Внешний впн роутер на Ubuntu — Крипто-Безопасность

здесь будет пополнятся инфа по такому роутеру, пока что черновик, позже сделаю более доступно

это внешний впн, т.е. не в вашем компьютере или смартфоне, а как обычный маршрутизатор, очень удобная штука для ценителей комфорта и надежности, позже будут практики по такому устройству.

кому интересно записывайтесь на мини-курс по сборке такого устройства

Riepilogo Finale: PC1 e PC2 con VPN e DNS
PC1 (con interfaccia tun2): fa da router e gateway per PC2. La sua VPN (su tun2) è la porta verso internet.
PC2 (con interfaccia enxc84d4420af91): si collega a PC1 via cavo e usa solo la VPN di PC1 per navigare.
Tutto il traffico di PC2 (dati e DNS) passa attraverso tun2 → sicuro, privato, senza fughe.
Cosa fare
Su PC1:
Abilita il forwarding: net.ipv4.ip_forward=1.
Assegna un IP statico locale (es. 192.168.10.1/24) all’interfaccia connessa a PC2.
Installa dnsmasq: fa sia da DHCP (dà IP a PC2) che da DNS locale.
Configura dnsmasq per:
Dare a PC2 come gateway: 192.168.10.1.
Dare come DNS: 192.168.10.1.
Inoltrare le richieste DNS solo via tun2 (es. a 1.1.1.1 o 8.8.8.8).
Aggiungi regola firewall:
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o tun2 -j MASQUERADE

Su PC2:
Imposta rete in DHCP (automatico).
Riceverà IP, gateway e DNS da PC1.
Tutto il traffico va a PC1 → tun2 → VPN. sudo apt install dnsmasq

————

Ecco i passi chiari e semplici per configurare PC1 come router con VPN e DNS locale, e far sì che PC2 passi tutto (navigazione e DNS) attraverso la VPN su tun2:

1. Su PC1 – Prepara la rete locale
Assegna un IP statico all’interfaccia connessa a PC2 (es. 192.168.10.1):

sudo ip addr add 192.168.10.1/24 dev enxc84d4420af91

Abilita l’inoltro del traffico:

echo ‘net.ipv4.ip_forward=1’ | sudo tee -a /etc/sysctl.conf
sudo sysctl -p

Ferma e disabilita systemd-resolved, così dnsmasq può usare la porta 53:

sudo systemctl stop systemd-resolved
sudo systemctl disable systemd-resolved

Poi modifica il file /etc/resolv.conf per evitare conflitti:

sudo rm /etc/resolv.conf
sudo ln -s /run/systemd/resolve/resolv.conf /etc/resolv.conf

2. Installa e configura dnsmasq (DHCP + DNS locale)
Installa:

sudo apt install dnsmasq

Modifica il file
sudo nano /etc/dnsmasq.conf:

# Ascolta sull’interfaccia locale
interface=enxc84d4420af91
listen-address=192.168.10.1

# Pool di IP per i client (PC2)
dhcp-range=192.168.10.10,192.168.10.50,12h

# Gateway e DNS per i client
dhcp-option=option:router,192.168.10.1
dhcp-option=option:dns-server,192.168.10.1

# DNS upstream (es. Cloudflare) – risolvono via tun2!
server=1.1.1.1
server=1.0.0.1

# Abilita la cache
cache-size=1000

Riavvia il servizio:

sudo systemctl restart dnsmasq

3. Instrada tutto di PC2 attraverso la VPN (tun2)
Aggiungi la regola NAT:

sudo iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o tun2 -j MASQUERADE

✅ Assicurati che la VPN su tun2 sia già attiva prima di fare questo passo.

4. Su PC2 – Collegati e ricevi IP automaticamente
Collega il cavo e imposta la rete in DHCP (automatico). Dovrebbe ricevere:

IP: 192.168.10.10 (o simile)
Gateway: 192.168.10.1 (PC1)
DNS: 192.168.10.1 (PC1)
Verifica:

ip route show
nslookup google.com

5. Verifica che tutto passi dalla VPN
Da PC2, vai su: 👉 https://ipleak.net

Devi vedere:

IP della VPN (non il tuo reale)
DNS che puntano a 1.1.1.1 o simili, mai al tuo provider