Fortunatamente ho una serie di VPS onLine e mi sono appoggiato ad uno di questi per pubblicare la porta di WireGuard tramite SSH Port Forwarding, ma in questo caso la cosa non è stata immediata, perché WireGuard funziona in UDP mentre SSH fa il Port Forwarding di connessioni TCP.

Beh, allora l’unica cosa da fare era veicolare i pacchetti UDP sulla connessione TCP che SSH, tramite Port Forwarding, metteva a disposizione. Passiamo al dunque.

Intanto ho bisogno di autossh sul raspberry che installiamo con:

apt install autossh

e socat sia sul raspberry che sul VPS:

apt install socat

Sul raspberry (Wireguard Server) ho inserito queste due righe nel file /etc/rc.local (in modo da avviare automaticamente al reboot):

autossh -2 -fN -M 20001 -R 51821:localhost:51821 user@ip_del_vps
socat tcp4-listen:51821,reuseaddr,fork udp:localhost:51820

Sul VPS (con IP pubblico) ho inserito questa riga nel file /etc/rc.local:

socat -T15 udp4-recvfrom:51820,reuseaddr,fork tcp:localhost:51821

ecco fatto… Ora, effettuando la connessione dal client Wireguard verso l’IP del server VPS su porta 51820/UDP, i pacchetti vengono inoltrati da socat verso la porta 51821/TCP dove in ascolto c’è la connessione SSH, per il Port-Forwarding, avviata dal Raspberry sul quale abbiamo nuovamente socat che rigira i pacchetti dalla porta 51821/TCP verso la porta 51820/UCP dove è in ascolto il servizio VPN WireGuard.

Nota:

Sui sistemi Debian Based recenti (con systemd) è necessario riattivare l’esecuzione di rc.local al riavvio. C’è già il file systemd in /lib/systemd/system/rc-local.service dove aggiungeremo la sezione [Install] alla fine:

[Install]
WantedBy=multi-user.target

Poi creiamo il file rc.local:

>/etc/rc.local
chmod +x /etc/rc.local

in cui scriviamo

#!/bin/sh -e
#
# rc.local
#
#inserire di seguito le istruzioni


exit 0

infine attiviamo il servizio:

systemctl enable rc-local.service
systemctl start rc-local.service

enjoy!

La cartella in cui si trovano le cartelle con le varie configurazioni sono in:

/Library/Application\ Support/Tunnelblick/Shared/

la sottocartella specifica per una connessione che ad esempio chiamiamo XXX, sarà:

/Library/Application\ Support/Tunnelblick/Shared/XXX.tblk/Contents/Resources/

enjoy!

Installazione del server PoPToP:

aptitude install pptpd

che installera anche il pacchetto ppp.

Ora bisogna modificare il file /etc/pptpd.conf assicurandoci di avere attive le seguenti direttive:

option /etc/ppp/pptpd-options
logwtmp
localip 192.168.0.1
remoteip 192.168.0.10-20

Ora bisogna impostare i DNS nel file /etc/ppp/pptpd-option, in particolare le direttive ms-wins e ms-dns con il proprio server DNS, es:

ms-wins XXX.XX.XXX.XXX
ms-dns  XXX.XX.XXX.XXX

Ora bisogna configurare i dati di connessione dei vari account in /etc/ppp/chap-secrets. Ad esempio per creare un account con username “pippo” e password “pwd” bisognerà creare una riga come la seguente:

pippo  pptpd   pwd   *

Ora riavviamo pptp con:

/etc/init.d/pptpd restart

Bene, per finire bisogna attivare l’IP Forwarding inserendo in /etc/sysctl.conf la direttiva:

net.ipv4.ip_forward=1

poi eseguire:

sysctl -p

ATTENZIONE: Nel caso sia necessario raggiungere anche altri PC nella rete in cui è attivo il server pptp, allora è necessario abilitare il server al routing verso tali PC. Per farlo, basta aggiungere al file di configurazione del firewall (nel mio caso apf-firewall: /etc/apf/postroute.rules) le seguenti direttive per l’attivazione del masquerading:

#pptp routing
$IPT -t nat -A POSTROUTING -s 192.168.0.0/16 -o eth0 -j MASQUERADE

e questo per ogni interfaccia per cui va abilitato il routing.
Ricordo inoltre che deve essere attiva la connessione per il protocollo GRE (47) e per la porta 1723. Nel caso di apf-firewall, basta aggiungere in /etc/apf/postroute.rules la direttiva:

#GRE Protocol
$IPT -A INPUT -p 47 -j ACCEPT

e nel file /etc/apf/conf.apf la porta 1723 alla direttiva IG_TCP_CPORTS.

Configurazione iPhone

Per la configurazione della VPN sull’iPhone, basterà creare una nuova entry dal menu “Impostazioni” -> “Generali” -> “Rete” -> “VPN” -> “Aggiungi config. VPN…”, scegliere PPTP ed inserire Descrizione (es: “Debian VPN”), Server (l’indirizzo IP del server Debian), Account (l’username), Password (la relativa password), lasciare il resto invariato e premere sul pulsante “Salva” in alto.

Loggin accessi

Per attivare il log con gli accessi, basta aggiungere il seguente codice nei file /etc/ppp/ip-up e /etc/ppp/ip-down:

PID=$(cat /var/run/$PPP_IFACE.pid)
if [ $PID ]; then
    PROCCESS="$(last | grep ppp | grep still | grep $PPP_IFACE)"
    NAME=$(echo $PROCCESS |cut -d' ' -f1)
  # uncomment for logout on duplicate login
  #  NUMLOGINS="$(last | grep ppp | grep still | grep -c $NAME' ')"
  #  if [ $NUMLOGINS -gt 1 ]; then
  #      kill $PID
  #  fi
fi

# If /var/log/ppp-ipupdown.log exists use it for logging.
if [ -e /var/log/ppp-ipupdown.log ]; then
  exec >> /var/log/ppp-ipupdown.log 2>&1
  echo $0 $@ $NAME
  echo
fi

enjoy!