¿¿Como hacer que el router se conecte a VPN y nosotros a través de él ??

ACTUALIZACÓN: Ya lo he conseguido. Para ver un mini howto ("cómo se hace") de como lo he hecho, visitar este hilo:


La idea es conseguir que openwrt se conecte a una vpn, y nos cifre el tráfico de red de los ordenadores que le conectemos al switch, enrutándonos desde nuestra red local a la vpn.

¿Alguien sabe cómo hacerlo? (mis conocimientos son básicos)
¿Es necesario el uso de vlans?

Lo que he hecho hasta ahora:
Añadir nueva interfaz
Ponerla en Firewall zone wan
configurarla como PPTP, con la dirección del servidor vpn, el usuario y contraseña.
Instalar el paquete ppp-mod-pptp (o algo así, lo estoy poniendo de cabeza), como me pidió el propio luci.

Pero no se conecta, no sé si me falta algo, o estoy haciendo algo mal.

¿Algún cable, howto, idea, ayuda...?


Ok, lo he mirado, pero lo veo chungo....

Hay un montón de opciones que no sé qué tengo que poner.

Creo que es demasiado difícil para mi conocimiento. Gracias de todas formas.


Es mas facil de lo que parece.

Instalando y configurando OpenVpn en router huaweig HG556a

Instalamos un firmware al router yo he optado por lede-17.01.0-r3205-59508e3-brcm63xx-generic-HG556a-B-squashfs-cfe.bin en modo recuperación.

Modo de instalación recomendado:

  • Con el router apagado pulsar botón de RESTART y mantenerlo pulsado.
  • Encender el router y seguir con el botón apretado durante 20 segundos.
  • Soltar el botón.
  • Conectamos por ethernet con un cable de datos cruzado. el router con el pc.
  • Configurar la IP del ordenador como y máscara de subred
  • Abrir el navegador y acceder a

Configuramos una contraseña para que se pueda acceder por ssh.

Nos dirigimos hacia network >> interfaces

Editamos la conexión lan, por defecto la dirección ip fija, es, yo la cambio por, guardamos los cambios.

Nos volemos a conectar ahora por ssh hacia, para ello hay que volver a configurar la IP del ordenador como y máscara de subred y conectarnos por ethernet.

# ssh root@
root@'s password:

Y seguimos con lo que dice en la https://lede-project.org/docs/howto/openvpn.server

Instalar los paquetes necesarios OpenVPN + nano que es un editor de texto plano.

Recuerda que #= escribir una orden o conjunto en la ventana del terminal, en nuestro caso la conexión ssh con el router.

# opkg update && opkg install openvpn-openssl openvpn-easy-rsa luci-app-openvpn nano

Código: [Seleccionar]
# opkg update && opkg install openvpn-openssl openvpn-easy-rsa luci-app-openvpn nano ipset
Creamos los certificados y llaves para el uso de los mismos.

Código: [Seleccionar]
# cd /etc/easy-rsa

# source vars

# clean-all

# build-ca

# build-dh

# build-key-server myvpn

# openvpn --genkey --secret /etc/easy-rsa/keys/ta.key

Configuramos la red y el cortafuegos.

Código: [Seleccionar]
uci set network.vpn0="interface"
uci set network.vpn0.ifname="tun0"
uci set network.vpn0.proto="none"
uci set network.vpn0.auto="1"
uci commit network

Código: [Seleccionar]
uci add firewall rule
uci set firewall.@rule[-1].name="Allow-OpenVPN-Inbound"
uci set firewall.@rule[-1].target="ACCEPT"
uci set firewall.@rule[-1].src="wan"
uci set firewall.@rule[-1].proto="udp"
uci set firewall.@rule[-1].dest_port="1194"
uci add firewall zone
uci set firewall.@zone[-1].name="vpn"
uci set firewall.@zone[-1].input="ACCEPT"
uci set firewall.@zone[-1].forward="ACCEPT"
uci set firewall.@zone[-1].output="ACCEPT"
uci set firewall.@zone[-1].masq="1"
uci set firewall.@zone[-1].network="vpn0"
uci add firewall forwarding
uci set firewall.@forwarding[-1].src="vpn"
uci set firewall.@forwarding[-1].dest="wan"
uci add firewall forwarding
uci set firewall.@forwarding[-1].src="vpn"
uci set firewall.@forwarding[-1].dest="lan"
uci commit firewall

Actualizar las configuraciones de red y cortafuegos.

Código: [Seleccionar]
/etc/init.d/network reload
/etc/init.d/firewall reload

Habilitamos el reenvío de paquetes

Código: [Seleccionar]
echo 1 >/proc/sys/net/ipv4/ip_forward
Creamos el archivo de configuración de openvpn

Código: [Seleccionar]
echo  >/etc/config/openvpn
Escribimos el archivo de configuración de openvpn

Código: [Seleccionar]
nano /etc/config/openvpn
Control+C Copiamos el texto
Control+V Pegamos el texto

Control+X salimos de nano, confirmamos con y los cambios + la tecla INTRO

Contenido del archivo /etc/config/openvpn

Código: [Seleccionar]
config openvpn 'myvpn'
        option enabled '1'
        option dev 'tun'
        option port '1194'
        option proto 'udp'
        option status '/var/log/openvpn_status.log'
        option log '/tmp/openvpn.log'
        option verb '3'
        option mute '5'
        option keepalive '10 120'
        option persist_key '1'
        option persist_tun '1'
        option user 'nobody'
        option group 'nogroup'
        option ca '/etc/easy-rsa/keys/ca.crt'
        option cert '/etc/easy-rsa/keys/myvpn.crt'
        option key '/etc/easy-rsa/keys/myvpn.key'
        option dh '/etc/easy-rsa/keys/dh2048.pem'
        option mode 'server'
        option tls_server '1'
        option tls_auth '/etc/easy-rsa/keys/ta.key 0'
        option server ''
        option topology 'subnet'
        option route_gateway 'dhcp'
        option client_to_client '1'
        list push 'persist-key'
        list push 'persist-tun'
        list push 'redirect-gateway def1'
        # allow your clients to access to your network
        list push 'route'
        # push DNS to your clients
        list push 'dhcp-option DNS'
        option comp_lzo 'no'

Iniciamos openvpny activamos el servicio

Código: [Seleccionar]
/etc/init.d/openvpn start
/etc/init.d/openvpn enable

Vemos si nos ha salido todo bien, y esta trabajando.

Código: [Seleccionar]
cat /tmp/openvpn.log
# ssh root@
root@'s password:

root@LEDE:~# cat /tmp/openvpn.log
Mon Mar 20 00:37:12 2017 OpenVPN 2.4.0 mips-openwrt-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD]
Mon Mar 20 00:37:12 2017 library versions: OpenSSL 1.0.2k  26 Jan 2017, LZO 2.09
Mon Mar 20 00:37:12 2017 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x.  Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
Mon Mar 20 00:37:12 2017 Diffie-Hellman initialized with 2048 bit key
Mon Mar 20 00:37:12 2017 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Mar 20 00:37:12 2017 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Mar 20 00:37:12 2017 TUN/TAP device tun0 opened
Mon Mar 20 00:37:12 2017 TUN/TAP TX queue length set to 100
Mon Mar 20 00:37:12 2017 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Mon Mar 20 00:37:12 2017 /sbin/ifconfig tun0 netmask mtu 1500 broadcast
Mon Mar 20 00:37:12 2017 Could not determine IPv4/IPv6 protocol. Using AF_INET
Mon Mar 20 00:37:12 2017 Socket Buffers: R=[159744->159744] S=[159744->159744]
Mon Mar 20 00:37:12 2017 UDPv4 link local (bound): [AF_INET][undef]:1194
Mon Mar 20 00:37:12 2017 UDPv4 link remote: [AF_UNSPEC]
Mon Mar 20 00:37:12 2017 GID set to nogroup
Mon Mar 20 00:37:12 2017 UID set to nobody
Mon Mar 20 00:37:12 2017 MULTI: multi_init called, r=256 v=256
Mon Mar 20 00:37:12 2017 IFCONFIG POOL: base= size=252, ipv6=0
Mon Mar 20 00:37:12 2017 Initialization Sequence Completed

Configuración de clientes.

Creamos un archivo de configuración /etc/easy-rsa/keys/Default.txt donde tendremos que HOST_NAME por el nombre host de redireccion de ddns

*Falta instalar paquetes ddns y configuración del mismo.*

Código: [Seleccionar]
dev tun
proto udp
remote HOST_NAME 1194
resolv-retry infinite
ns-cert-type server
key-direction 1
verb 1
mute 20
# uncomment for Windows 7 clients
#route-method exe
#route-delay 2

Yo lo tengo del siguiente modo.

Código: [Seleccionar]
dev tun
proto udp
remote vpn-openwrt.ddns.net 1194
resolv-retry infinite
ns-cert-type server
key-direction 1
verb 1
mute 20
# uncomment for Windows 7 clients
#route-method exe
#route-delay 2

Descargamos el archivo MakeOpenVPN.sh y damos permisos

Código: [Seleccionar]
wget --no-check-certificate  https://gist.githubusercontent.com/coolaj86/4120d90e57d1d01cd59f/raw/331d70d718746d567f2b3ac0c0c2801c901eecc4/MakeOpenVPN.sh /etc/easy-rsa/keys/MakeOpenVPN.sh
chmod +x /etc/easy-rsa/keys/MakeOpenVPN.sh

Creamos los certificados para cada cliente, usando un nombre diferente para cada uno.

Código: [Seleccionar]
cd /etc/easy-rsa
source vars
build-key-pkcs12 myuser
openssl rsa -in /etc/easy-rsa/keys/myuser.key -des3 -out /etc/easy-rsa/keys/myuser.3des.key

Finalmente ejecutamos MakeOpenVPN.sh para generar los certificados de los clientes existentes.

Código: [Seleccionar]
Desde la interfaz gráfica entrando con el navegador web

Red > Dhcp y dns

Desmarcamos la casilla Local Service Only


Muchas gracias por la ayuda. Al final, lo he conseguido con otro tutorial....

Esto es lo que he hecho:
Después de instalar los paquetes openpvn-ssl y el de luci,... y de seguir algún tutorial por ahí en combinación con la configuración de mi servidor vpn...
Me he bajado el archivo de configuración de mi servidor vpn (recuerdo que quiero conectarme a un servicio vpn externa, de una empresa de pago).
Dicho servicio me da usuario y clave de vpn.
También me da los archivos de configuración: ca.crt y Wdc.key, además de un montón de archivos.ovpn para cada servidor.
He copiado los archivos al router, al directorio /etc/openvpn
y luego he ejecutado openvpn --daemon --config ./Spain-tcp.ovpn

Y voilá, ha funcionado. No puedo poner el método exacto que he seguido porque aún no lo tengo claro, como he mezclado varias cosas...; pero lo intentaré repetir para documentarlo.

Ahora tengo un par de dudas:
¿Cómo hago para que los dispositivos que conecto a la LAN vayan automáticamente por la vpn del router? ¿La interfaz tun0 debe estar en WAN?

Muchas Gracias.

PD: Adjunto algunos enlaces que me han ayudado mucho para futura referencia:
Este es el que más me ha ayudado: https://forum.openwrt.org/viewtopic.php?id=42990


Prácticamente el que me ha resuelto lo que quería ha sido el primero; si bien a los otros les he echado un vistazo. Al final no he utilizado luci, prácticamente para nada.

Ahora lo que tengo es el router en sí conectado a la vpn (la interfaz tun0, verdad?). Bien; ahora me falta que se puedan conectar los cacharros conectados al switch a la vpn de forma transparente. Voy a seguir investigando, a ver...

 ;D ;D

Lo único que he tenido que hacer es asignar la ip del router-vpn al ordenador para prueba y parece ser que sí me lo está pasando por la vpn.

Antes de conectar a vpn:
Código: [Seleccionar]
C:\Users\Pepe>tracert www.disney.com

Traza a la dirección e7979.g.akamaiedge.net []
sobre un máximo de 30 saltos:

  1    <1 ms    <1 ms     *     JAZZTEL.lan []
  2    <1 ms    <1 ms    <1 ms
  3     9 ms    24 ms    48 ms
  4    13 ms    15 ms    15 ms  49.red-81-46-6.customer.static.ccgg.telefonica.net []
  5    13 ms    12 ms    12 ms  181.red-80-58-76.staticip.rima-tde.net []
  6    13 ms    13 ms    20 ms
  7    15 ms    14 ms    14 ms
  8    14 ms    14 ms    14 ms
  9    14 ms    14 ms    14 ms  ae-27.r01.mdrdsp03.es.bb.gin.ntt.net []
 10    34 ms    34 ms    34 ms
 11    34 ms    34 ms    34 ms  a104-75-120-137.deploy.static.akamaitechnologies.com []

Traza completa.

Después de conectar el router a la vpn:
Código: [Seleccionar]
C:\Users\Pepe>tracert www.disney.com

Traza a la dirección e7979.g.akamaiedge.net []
sobre un máximo de 30 saltos:

  1    <1 ms    <1 ms    <1 ms  JAZZTEL.lan []
  2    66 ms    66 ms    66 ms  154.16.....
  3    69 ms    69 ms   333 ms  191.96....
  4    67 ms    67 ms    66 ms  10.20.....
  5   138 ms    65 ms   168 ms  10.44......
  6    66 ms    67 ms    65 ms  mcn-b2-link.telia.net []
  7    75 ms    74 ms    74 ms  mad-b1-link.telia.net []
  8    76 ms    75 ms    77 ms  ae-11.r01.mdrdsp03.es.bb.gin.ntt.net []
  9    74 ms   338 ms    74 ms
 10    75 ms    74 ms    74 ms  a104-75-120-137.deploy.static.akamaitechnologies.com []

Traza completa.

He omitido partes de las ips por si no es conveniente que se sepan... (no sé si es importante o una chorrada)

Pero la conclusión es que al ir por caminos distintos, supongo que sí estoy yendo por la vpv, verdad? Sobre todo, ya no aparece nada de timofónica en el segundo tracert.

¿estoy en lo correcto?



Cuando este conectado por vpn haz un cat /tmp/openvpn.log por ssh al router

La salida que te da se vera si esta correcto.



  • Visitante
Re: ¿¿Como hacer que el router se conecte a VPN y nosotros a través de él ??
« Respuesta #7 en: 22-03-2017, 02:58 (Miércoles) »
root@LEDE:~# cat /tmp/openvpn.log
Re: ¿¿Como hacer que el router se conecte a VPN y nosotros a través de él ??
« Respuesta #8 en: 22-03-2017, 11:31 (Miércoles) »
Sí, sí.

Sí que sale lo de  "Initialization Sequence Completed" y todo lo demás...; sí conecta bien y navego a través de vpn. Lo sé además porque me cambia la ip pública, etc...

Ahora me pasa una cosa rara y supongo que algo tendrá que ver.

Al cabo de un rato, me dejan de funcionar los puertos 1 y 2 del switch. Es como si se apagaran. Cualquier cacharro conectado a uno de esos puertos pierde la conexión de red. Tengo que reiniciar el router para que vuelvan a funcionar. Sospecho que es por algo de la vpn, pero no entiendo qué tiene que ver ni por qué pasa. ¿Se te ocurre algo?

Gracias por la ayuda.


Re: ¿¿Como hacer que el router se conecte a VPN y nosotros a través de él ??
« Respuesta #9 en: 22-03-2017, 20:51 (Miércoles) »
Descarga de los archivos de configuracion, certificados y llaves hacia el pc

root@LEDE:~#cd /tmp/
# tar -zcvf easy-rsa.tar.gz /etc/easy-rsa/
# mv easy-rsa.tar.gz /www/

Ahora en la direccion ip local del router tenemos un archivo easy-rsa.tar.gz

Entrando por el navegador en mi caso puedo descargarlo para poder usarlo o subirlos mas adelante.

Para subirlos desde un terminal ....

wifislax64 ~ # scp /root/Descargas/Huawei_HG556a/etc/easy-rsa/* root@

wifislax64 ~ # scp /root/Descargas/Huawei_HG556a/etc/easy-rsa/keys/* root@

Conectando con el router OpenWrt que hemos configurado con un cliente.

Yo estoy usando Netwokmanager

Abrimos el editor de conexiones de Newtworkmanager

Pulsamos en Añadir > nueva conexión vpn

Puerta de enlace la dirección ip local del router
Certificado X.509

Archivo AC > /etc/easy-rsa/keys/ca.crt

Certificado > /etc/easy-rsa/keys/myuser.crt

Clave > /etc/easy-rsa/keys/myuser.key

Contraseña > la que hemos puesto al crear el certificado.

Avanzado > Preferencias tsl > Usar autentificacion tsl > clave > /etc/easy-rsa/keys/ta.key

Dirección de la clave > Cliente 1

Guardamos los cambios, conectamos con el router que hemos configurado con Openvpn, una vez conectados, conectamos también con la configuración vpn anterior creada.

Si la conexión es correcta veremos un candado en nuestra conexión.

ssh root@
root@'s password:

root@LEDE:~# cat /tmp/openvpn.log
Código: [Seleccionar]
wifislax64 ~ # ssh root@
root@'s password:

root@LEDE:~# cat /var/log/openvpn_status.log
Código: [Seleccionar]
Updated,Wed Mar 22 19:55:13 2017
Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since
myuser,,114672,203736,Wed Mar 22 19:49:12 2017
Virtual Address,Common Name,Real Address,Last Ref,myuser,,Wed Mar 22 19:54:50 2017
Max bcast/mcast queue length,0

root@LEDE:~# traceroute www.google.es
Código: [Seleccionar]
traceroute to www.google.es (, 30 hops max, 38 byte packets
 1 (  0.972 ms  3.292 ms  1.391 ms
 2 (  2.808 ms  18.861 ms  2.706 ms
 3  111.pool62-36-171.static.orange.es (  48.097 ms  49.373 ms  47.283 ms
 4 (  49.715 ms (  48.287 ms  51.161 ms
 5 (  50.803 ms (  52.083 ms (  50.393 ms
 6  *  *  *
 7 (  80.696 ms (  49.356 ms (  48.751 ms
 8 (  55.618 ms  56.962 ms  50.484 ms
 9 (  52.428 ms  50.280 ms  48.724 ms
10  mad01s26-in-f163.1e100.net (  50.318 ms  75.155 ms  49.903 ms


