In molti scenari, specialmente quando si utilizza un server per ospitare sia siti web che servizi accessibili solo in VPN, è importante mantenere il traffico separato per evitare conflitti e garantire una gestione ottimale. Un modo efficace per farlo è utilizzare due indirizzi IP separati su uno stesso server gestito con ISPConfig: uno per gestire il traffico pubblico dei siti web e l’altro per il traffico VPN.
Va da sé che stiamo parlando di un server Linux, non importa se macchina fisica o VPS. Al server si devono poter assegnare due indirizzi IP separati. Questa è una condizione necessaria importante e va verificata con il fornitore di hosting / housing, perché non tutti danno questa possibilità.
Fatta questa doverosa premessa, vediamo quali sono i passaggi per configurare un server con due indirizzi IP pubblici e separare il traffico VPN da quello pubblico.
1. Richiedere un secondo indirizzo IP
Il primo passo è ottenere un secondo IP dal tuo provider di hosting. Molti provider offrono questa opzione a un costo aggiuntivo. Avere due IP ti permetterà di gestire il traffico in modo indipendente, evitando che la VPN interferisca con il traffico dei siti web pubblici.
2. Configurazione del secondo IP
Una volta che il provider ti ha assegnato un secondo IP, dovrai configurarlo sul tuo server.
Su una distribuzione Linux, questo può essere fatto modificando il file di configurazione della rete. Il file varia a seconda della distribuzione che utilizzi, ma per sistemi basati su Debian/Ubuntu, il file di configurazione è il seguente: /etc/network/interfaces. Ecco un esempio di configurazione:
auto eth0:1
iface eth0:1 inet static
address <secondo_IP>
netmask 255.255.255.0 # o la tua maschera di rete correttaIn questo esempi, abbiamo impostato un alias sulla scheda di rete esistente, ma è sempre possibile richiedere l’installazione di una seconda scheda di rete, impostando poi eth1 anziché eth0 come device.
Dopo aver salvato il file, riavvia il servizio di rete per applicare le modifiche. Puoi farlo in vari modi, ad esempio con il comando:
sudo systemctl restart networkingA questo punto, il tuo server sarà configurato per rispondere su entrambi gli indirizzi IP.
3. Configurare il firewall per il traffico separato
Una volta che il secondo IP è configurato, puoi utilizzare il firewall del server per separare il traffico VPN da quello pubblico. Ad esempio, puoi instradare tutto il traffico VPN attraverso il secondo IP e lasciare che il primo gestisca esclusivamente il traffico pubblico dei siti web.
Se stai utilizzando iptables, puoi impostare regole come queste:
# Traffico VPN attraverso il secondo IP
iptables -t nat -A PREROUTING -p tcp -d <secondo_IP> --dport 51820 -j DNAT --to-destination 10.0.0.1
# Traffico web pubblico sul primo IP
iptables -t nat -A PREROUTING -p tcp -d <primo_IP> --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d <primo_IP> --dport 443 -j ACCEPT
Queste regole dicono al firewall di instradare tutto il traffico destinato alla VPN attraverso il secondo IP, mentre il traffico web normale rimane sul primo IP.
4. Assegnare gli IP ai siti web tramite ISPConfig
Se utilizzi ISPConfig per gestire i tuoi siti web, è facile assegnare ciascun sito a un IP specifico. Basta andare nel pannello di controllo di ISPConfig e selezionare quale IP utilizzare per ogni sito. In questo modo puoi scegliere se far passare un sito attraverso la VPN o lasciarlo accessibile pubblicamente.
5. Testare la configurazione
Dopo aver configurato il secondo IP e il firewall, assicurati di testare la tua configurazione. Verifica che:
- Il traffico VPN passi solo attraverso il secondo IP.
- I tuoi siti web siano accessibili pubblicamente tramite il primo IP.
Puoi usare strumenti come curl per verificare quale IP viene usato per le connessioni.
Con questa configurazione, avrai separato in modo chiaro e sicuro il traffico della VPN dal traffico pubblico, mantenendo il controllo su entrambe le tipologie di connessioni. Questo approccio è particolarmente utile per chi, come te, gestisce un server su cui devono coesistere servizi pubblici e privati.