Autor Tema: ZeroTier en OpenWrt (VPN + SD-WAN) (Leído 69833 veces)

raphik · « **en:** 14-03-2021, 21:07 (Domingo) »

Gracias al esfuerzo y a la dedicación de Moritz Warning, ZeroTier One es a día de hoy un paquete más de OpenWrt.

Posibles aplicaciones de ZeroTier en un router OpenWrt:

APLICACIÓN 1
Servidor (de archivos, páginas web, lectura de sensores, manejo de relés, etc.) (Ver más)

Router OpenWrt desempeñando rol de servidor en una VPN.

APLICACIÓN 2
Punto de acceso a la red privada virtual (masquerading) (Ver más)

Router OpenWrt en modo puente (bridged AP). El router asigna a sus hosts IPs ajenas a la VPN. Los hosts salen a la VPN con la IP del router utilizando una técnica llamada masquerading. Pueden navegar, pero no son direccionables.

APLICACIÓN 3
Punto de acceso a la red privada virtual (layer 2 bridging) (Ver más)

Router OpenWrt en modo pasarela (routed AP). El router asigna a sus hosts IPs dentro del rango VPN. Los hosts salen a la VPN con su propia IP utilizando una técnica llamada layer 2 bridging. Pueden navegar y son direccionables.

APLICACIÓN 4
LAN extendida. Los PCs situados en ubicaciones alejadas entre sí están en la misma red (Ver más)

Varios routers OpenWrt en modo pasarela (routed AP). Cada router asigna a sus hosts IPs dentro de un subrango VPN. Los hosts salen a la VPN con su propia IP utilizando una técnica llamada layer 2 bridging. Pueden navegar y son direccionables.

raphik · « **Respuesta #1 en:** 15-03-2021, 18:35 (Lunes) »

=========================== ADVERTENCIA DE RIESGO =========================== Buena parte de la información que aparece en este artículo la he recopilado de distintos sitios de Internet. A pesar de las minuciosas coprobaciones pre- vias a su publicación, no puedo garantizar su veracidad, exactitud, actuali- dad, fiabilidad e integridad. Por lo tanto, el presente artículo no debe ser considerado como un consejo de uso. Usted es responsable de cualquier uso que haga de la información aquí contenida. =============================================================================

Servidor (de archivos, páginas web, multimedia, video vigilancia, lectura de sensores, manejo de relés, etc.)

ZeroTier facilita la integración de un router OpenWrt en la VPN. En función del conjunto de paquetes de software que se le instale posteriormente, podrá desempeñar el rol de servidor de archivos, de páginas web, lectura de sensores, manejo de relés, etc.

NOTA: ZeroTier encripta el tráfico de un extremo al otro. La transmisión de vídeo implica un alto flujo de datos. Esto no debería suponer un problema si no fuera porque ZeroTier impone al router el cifrado/descifrado de la transmisión. El streaming de vídeo en tiempo real es inviable, dado que la imagen se congela cada pocos segundos.
Tal vez se podría resolver deshabilitando la encriptación. https://github.com/zerotier/ZeroTierOne/issues/340

0) Planteamiento

Router proveedor de Intenet
LAN IP: 192.168.1.1

Router OpenWrt (bridged AP)
LAN IP: 192.168.1.2 (IP estática)
Puerta de enlace: 192.168.1.1
Servidor DNS: 192.168.1.1
VPN IP: 192.168.100.2

Red ZeroTier (VPN)
Rango: 192.168.100.0/24 (Asignado por el usuario al registrar la red.)
Network ID: ID_DE_RED (El Network ID es un número hexadecimal único de 16 dígitos generado automáticamente por la capa VL2 de ZeroTier.)

1) Configurar la interfaz LAN

Asignar a la interfaz LAN una IP estática (192.168.1.2). Establecer DNS y Gateway (192.168.1.1, IP del proveedor de Internet.)

Código: [Seleccionar]

uci del network.lan.ip6assign
uci set network.lan.ipaddr='192.168.1.2'
uci set network.lan.gateway='192.168.1.1'
uci add_list network.lan.dns='192.168.1.1'
uci commit network

Desconectar el servidor DHCP.

Código: [Seleccionar]

uci del dhcp.lan.start
uci del dhcp.lan.limit
uci del dhcp.lan.leasetime
uci set dhcp.lan.ra_management='1'
uci set dhcp.lan.ignore='1'
uci commit dhcp

Reiniciar el router.

Código: [Seleccionar]

reboot
2) Instalar y configurar ZeroTier

Actualizar lista de paquetes e instalar ZeroTier One.

Código: [Seleccionar]

opkg update && opkg install zerotier
Configurar ZeroTier (yo lo hago a lo bruto). Sustituir 'ID_DE_RED' por el Network ID.

Código: [Seleccionar]

rm /etc/config/zerotier
touch /etc/config/zerotier
uci set zerotier.openwrt_network=zerotier
uci add_list zerotier.openwrt_network.join='ID_DE_RED'
uci set zerotier.openwrt_network.enabled='1'
uci commit zerotier
/etc/init.d/zerotier restart
/etc/init.d/firewall restart

Se puede comprobar que la instalación de ZeroTier ha generado un nuevo dispositivo ethernet virtual "ztxxxxxxxx".

Código: [Seleccionar]

ifconfig | grep zt
ztxxxxxxxx Link encap:Ethernet  HWaddr 0E:F4:4C:xx:xx:xx

También, se puede verificar que ZeroTier está ONLINE.

Código: [Seleccionar]

zerotier-cli info
200 info 79aa2xxxxx 1.6.4 ONLINE

(El número hexadecimal "79aa2xxxxx" es el identificador de nodo generado por la capa VL1 de ZeroTier.)

Opcionalmente, se puede mejorar el rendimiento permitiendo las conexiones UDP entrantes por el puerto 9993. Yo nunca lo hago. Supongo que habría que hacer lo mismo con el router del proveedor de Internet.

Código: [Seleccionar]

uci add firewall rule
uci set firewall.@rule[-1].name='Allow-ZeroTier-Inbound'
uci set firewall.@rule[-1].src='*'
uci set firewall.@rule[-1].target='ACCEPT'
uci set firewall.@rule[-1].proto='udp'
uci set firewall.@rule[-1].dest_port='9993'
uci commit firewall
/etc/init.d/firewall restart

Reiniciar el router. Algunas veces no es necesario.

Código: [Seleccionar]

reboot

3) Autorizar al router a unirse a la red ZeroTier

En ZeroTier Central (https://my.zerotier.com), buscar el router (el identificador de nodo y la MAC ayudan) y marcar la casilla "Auth?". Cambiar la IP asignada automáticamente por la IP fija 192.168.100.2. Si se quiere, se le puede poner un nombre.

4) Esperar unos minutos a que ZeroTier establezca la red.

El router está conectado a la red ZeroTier 192.168.100.0/24. Responde a los pings que se le envían.

Desde cualquier host de la VPN se puede abrir una sesión SSH contra el router.

Código: [Seleccionar]

ssh root@192.168.100.2

peperfus · « **Respuesta #2 en:** 15-03-2021, 19:11 (Lunes) »

Estás hecho todo un cocinero

.
Gracias por la receta.

En el router ZT de la casa1, no hice la parte de añadir la interfaz desde luci. No sabía que había que hacerlo. En el tutorial que vi por ahí, no lo hacía. Lo probaré un día de estos.

EDITO:
De hecho, creo que la parte realmente importante (que tampoco hice) es la de firewall.

raphik · « **Respuesta #3 en:** 15-03-2021, 19:37 (Lunes) »

Al instalar ZeroTier en OpenWrt se crea un dispositivo virtual, pero no su correspondiente interfaz que hay añadir "a mano". La interfaz es de tipo "unmanaged" que ya se encargará ZeroTier de asignarle una IP.

Darktakan · « **Respuesta #4 en:** 18-03-2021, 20:21 (Jueves) »

Mil gracias raphik por tu tiempo y por el tuto que va al baúl para cuando tenga un rato!!!

raphik · « **Respuesta #5 en:** 20-03-2021, 07:26 (Sábado) »

Cita de: peperfus en 15-03-2021, 19:11 (Lunes)

En el router ZT de la casa1, no hice la parte de añadir la interfaz desde luci. No sabía que había que hacerlo. En el tutorial que vi por ahí, no lo hacía. Lo probaré un día de estos.

EDITO:
De hecho, creo que la parte realmente importante (que tampoco hice) es la de firewall.

Efectivamente, podrías saltarte lo de añadir la interfaz, pero es imprescindible definir las políticas de entrada/salida/reenvío entre las redes LAN y ZeroTier. Al no haberse generado la interfaz, la red cubierta por la nueva zona del cortafuegos se designa por el nombre del dispositivo, a secas.

peperfus · « **Respuesta #6 en:** 22-03-2021, 09:43 (Lunes) »

Hola !

He conseguido que me funcione.
Sin embargo, lo he configurado algo distinto.
En mi caso, también he omitido la parte de zona y de firewall ....; ya que la interfaz lan también la tengo fuera de zonas y fuera de la config de firewall. Al asignar la interfaz de ZT a ninguna zona, he conseguido la conectividad.
Lo que no termino de entender es ....

(Vuelvo en un par de pruebas....)

EDITO:
Prueba: desactivar el firewall.
Resultado: se puede acceder. El firewall no es imprescindible para la conectividad.

Prueba: borro la interfaz ZT ... (en sección networks, en luci)
Resultado: se puede acceder.

A todo esto, tengo que decir que las pruebas las estoy haciendo ahora mismo en CASA1, y estoy accediendo desde mi móvil (red móvil).
No sé por qué no podía acceder en CASA2, desde el PC. Algo debí tocar para que no funcionara. Cuando vuelva a CASA2 volveré a intentar conectarme, ahora que sé que en CASA1 no está el problema.
Estas pruebas las he hecho después de añadir la interfaz en luci -> networks.
¿Al haber añadido la interfaz en luci -> networks, ha cambiado algo el archivo de configuración .... que ha hecho que me funcionara?
(Aquí echo en falta un smiley pensativo)

raphik · « **Respuesta #7 en:** 23-03-2021, 01:29 (Martes) »

@peperfus

He repetido tu configuración: router recién flasheado, ZT instalado (compruebo que se genera el dispositivo virtual ztxxxxxxxx), NO le añado interfaz, NO le asigno zona en el firewall, lo autorizo en ZeroTier Central y... ¡funciona!

En cuanto a seguridad, no sabría decir si es peligroso dejar un dispositivo sin interfaz y sin cortafuegos.

raphik · « **Respuesta #8 en:** 23-03-2021, 19:19 (Martes) »

=========================== ADVERTENCIA DE RIESGO =========================== Buena parte de la información que aparece en este artículo la he recopilado de distintos sitios de Internet. A pesar de las minuciosas coprobaciones pre- vias a su publicación, no puedo garantizar su veracidad, exactitud, actuali- dad, fiabilidad e integridad. Por lo tanto, el presente artículo no debe ser considerado como un consejo de uso. Usted es responsable de cualquier uso que haga de la información aquí contenida. =============================================================================

Punto de acceso a la red privada virtual (masquerading)

El router OpenWrt comparte con sus hosts el acceso a la VPN sin que haya que instalarles ZT a cada uno de ellos. Los hosts tienen una IP ajena a la VPN, por lo que no son direccionables (pueden navegar por la VPN, pero no son manejables mediante escritorio remoto).

0) Planteamiento

Router proveedor de Intenet
WAN IP: 192.168.1.1

Router OpenWrt (bridged AP)
WAN IP: 192.168.1.x (la que le asigne el servidor DHCP)
LAN IP: 192.168.1.3 (IP estática)
Puerta de enlace: 192.168.1.1 (WAN)
Servidor DNS: 1.1.1.1, 1.0.0.1
VPN IP: 192.168.100.3

SWITCH
Bocas 1, 2 y 3 : LAN
Boca 4: WAN

Red ZeroTier (VPN)
Rango: 192.168.100.0/24 (Asignado por el usuario al registrar la red.)
Network ID: ID_DE_RED (El Network ID es un número hexadecimal único de 16 dígitos generado automáticamente por la capa VL2 de ZeroTier.)

1) Configurar el router OpenWrt

Conectar el PC al zócalo LAN1 del router OpenWrt.

Configurar la interfaz LAN

Código: [Seleccionar]

uci set dhcp.lan.ra_management='1'
uci del network.lan.ip6assign
uci set network.lan.ipaddr='192.168.1.3'
uci add_list network.lan.dns='1.1.1.1'
uci add_list network.lan.dns='1.0.0.1'

Configurar el SWITCH (conectores LAN1 a LAN4)

Código: [Seleccionar]

puertoCPU=$(uci get network.@switch_vlan[0].ports | awk '{print $5}')
uci set network.@switch_vlan[0].ports='0 1 2 '$puertoCPU
uci add network switch_vlan
uci set network.@switch_vlan[-1].device='switch0'
uci set network.@switch_vlan[-1].vlan='2'
uci set network.@switch_vlan[-1].ports='3 '$puertoCPU

Configurar la interfaz WAN

Código: [Seleccionar]

uci set network.wan=interface
uci set network.wan.ifname='eth0.2'
uci set network.wan.proto='dhcp'

Aplicar cambios y reiniciar

Código: [Seleccionar]

uci commit
reboot

Conectar un cable ethernet entre el router ISP y el zócalo LAN4 del router OpenWrt.

2) Instalar y configurar ZeroTier

Actualizar lista de paquetes e instalar ZeroTier One

Código: [Seleccionar]

opkg update
opkg install zerotier

Configurar ZeroTier. Sustituir 'ID_DE_RED' por la Network ID de la red ZeroTier.

Código: [Seleccionar]

rm /etc/config/zerotier
touch /etc/config/zerotier
uci set zerotier.openwrt_network=zerotier
uci add_list zerotier.openwrt_network.join='ID_DE_RED'
uci set zerotier.openwrt_network.enabled='1'
uci commit zerotier
/etc/init.d/zerotier restart
/etc/init.d/firewall restart

ZeroTier se habrá instalado correctamente si existe un nuevo dispositivo ethernet virtual "ztxxxxxxxx".

Código: [Seleccionar]

ifconfig | grep zt
ztxxxxxxxx Link encap:Ethernet  HWaddr 0E:F4:4C:xx:xx:xx

Además, se puede verificar que ZeroTier está ONLINE.

Código: [Seleccionar]

zerotier-cli info
200 info 79aa2xxxxx 1.6.4 ONLINE

(El número hexadecimal "79aa2xxxxx" es el identificador de nodo generado por la capa VL1 de ZeroTier.)

Opcionalmente, se puede mejorar el rendimiento permitiendo las conexiones UDP entrantes por el puerto 9993.

Reiniciar el router. Algunas veces no es necesario.

Código: [Seleccionar]

reboot

Definir una interfaz para el dispositivo virtual interfaz ztxxxxxxxx

Código: [Seleccionar]

uci set network.ZeroTier=interface
uci set network.ZeroTier.ifname=$(ifconfig | grep zt | awk '{print $1}')
uci set network.ZeroTier.proto='none'

Configurar una nueva zona en el cortafuegos

Código: [Seleccionar]

uci add firewall zone
uci set firewall.@zone[-1].name='vpn'
uci set firewall.@zone[-1].network='ZeroTier'
uci set firewall.@zone[-1].input='ACCEPT'
uci set firewall.@zone[-1].forward='ACCEPT'
uci set firewall.@zone[-1].masq='1'
uci set firewall.@zone[-1].output='ACCEPT'
uci add firewall forwarding
uci set firewall.@forwarding[-1].dest='lan'
uci set firewall.@forwarding[-1].src='vpn'
uci add firewall forwarding
uci set firewall.@forwarding[-1].dest='vpn'
uci set firewall.@forwarding[-1].src='lan'

Aplicar los cambios y reiniciar

Código: [Seleccionar]

uci commit network
uci commit firewall
reboot

3) Autorizar al router OpenWrt a unirse a la red ZeroTier

En ZeroTier Central (https://my.zerotier.com), buscar el router (el identificador de nodo y la MAC ayudan) y marcar la casilla "Auth?". Cambiar la IP asignada automáticamente por la IP fija 192.168.100.3. Si se quiere, se le puede poner un nombre.

4) Esperar unos minutos a que se establezca la red ZeroTier.

El router está conectado a la red ZeroTier. Comparte su IP VPN (192.168.100.3) con sus hosts, que pueden navegar por la red virtual. Los hosts tienen una IP ajena a la VPN, por lo que no son direccionables.

peperfus · « **Respuesta #9 en:** 24-03-2021, 11:08 (Miércoles) »

Ok, raphik !!
Vuelvo con novedades y 4 comentarios:

1) Acabo de volver a CASA2 (ZeroTier en PC con Win7) y haciendo pruebas, investigando.... por lo visto alguna vez falla ZT aquí (no sé quién tendrá la culpa, pero hay varias quejas en algún que otro foro). He desinstalado ZT, vuelto a instalar ....; él me añade en dispositivos de red una tarjeta de red virtual nueva y un puerto virtual nuevo. Lo pruebo y OK. Ya funciona.

2) En cuanto al tema de seguridad, te cuento mi punto de vista. Según entiendo, el firewall tiene 2 funciones: una es la de seguridad y la otra la de enrutar conexiones de una zona a otra (función de router propiamente dicha, ya sea entre WAN y LAN, o la que sea). En cuanto a seguridad.... piensa que una red (zona) es como tu casa. Si confías en todos los miembros de la red, el firewall en principio no es necesario, pero claro, cuando dejas la puerta abierta (conectas con otra red), ahí el firewall ya tiene que vigilar quién puede entrar y quién no, etc (input/output/forward). Al usar este cacharro (llamado router, pero que no hace ninguna función de router, sino que simplemente es un miembro de la red), no necesito activarle el firewall, con lo que le mejoro el rendimiento. Otra cosa es que un día venga un Señor de Troya y me la líe parda, eso ya es responsabilidad mía (y la asumo). De todas formas, si tenemos el firewall por defecto con la zona LAN en verde, todo el input abierto y output abierto, de nada serviría a nivel local. Hay que ponerle una contraseña fuerte. Piensa también que al estar este cacharro ("router") dentro de la vpn, sólo los miembros de la vpn tienen acceso, que son de confianza. En el caso de la red vpn, tenemos conexión directa y no es necesario enrutar nada a nivel de firewall. Otra cosa será el enrutamiento interno que haga zerotier, que se encarga de configurar ruta estática diciéndole al cacharro: "todo lo que vaya a la red 192.168.192.0/24 (mi red IPv4 ZT), lánzalo por este dispositivo de red: ztxxxxxx5".
Así es como entiendo yo su funcionamiento.

3) Interesante todo esto, además de seguir aprendiendo y/o refrescando conocimientos de redes.
Este tema me ha recordado a otro que me picó en su día, sobre tener un openwrt WIFI cliente y CABLE cliente conectadas ambas al mismo tiempo a la misma red lógica. Algunos decían que era imposible, que no se podía o que no tenía sentido. No me rendí y lo conseguí. Tiene sentido porque al tener 2 interfaces conectadas, tenemos 2 posibilidades de acceso por si una de ellas cae. (Al fin y al cabo, esa filosofía fue uno de los pilares de la invención de arpanet, el "padre" de Internet, la red de redes.) En cierto sentido esto de la vpn es algo relativamente similar: una forma alternativa de acceso.

4) Ah, no. Eran sólo 3 comentarios. (

)

Edito: estaría interesante conseguir que los PCs (ó hosts, vaya), naveguen de forma transparente por la vpn, conectados a través del router openwrt. No sé si es la idea que tienes para el próximo tuto que has dejado en pendiente (cuidado, no vaya a resbalar

(perdón

)). En principio no lo veo muy difícil....
De hecho.... creo que sólo habría que indicarle las rutas estáticas.... manualmente una a una, o bien toda la red.
Es decir: decirle al router openwrt: "Las peticiones a la red ZT, lánzalas por la interfaz ZT"

peperfus · « **Respuesta #10 en:** 27-03-2021, 20:15 (Sábado) »

Efectivamente, como me imaginaba, al instalar ZT en el router openwrt (CON función de router propiamente dicha), la navegación por la VPN de los hosts de nuestro lado de la red es transparente, no necesitando el cliente ZT en cada host.
Lo acabo de probar y es instantáneo. No necesita nada de configuración extra, lo cual es lógico. Es el propio ZT el que se encarga de añadir una ruta estática a la tabla de enrutamiento, es decir: definir que para acceder a la red ZT, debe usar la interfaz ZT. Al acceder a cualquier IP de dicha red desde, por ejemplo un PC de nuestro lado de la red, openwrt ya redirige la petición a la red ZT directamente, sin que tengamos que hacer nada más.

Fácil fácil !!

raphik · « **Respuesta #11 en:** 29-03-2021, 19:47 (Lunes) »

Cita de: peperfus en 27-03-2021, 20:15 (Sábado)

Efectivamente, como me imaginaba, al instalar ZT en el router openwrt (CON función de router propiamente dicha), la navegación por la VPN de los hosts de nuestro lado de la red es transparente, no necesitando el cliente ZT en cada host.
Lo acabo de probar y es instantáneo. No necesita nada de configuración extra, lo cual es lógico. Es el propio ZT el que se encarga de añadir una ruta estática a la tabla de enrutamiento, es decir: definir que para acceder a la red ZT, debe usar la interfaz ZT. Al acceder a cualquier IP de dicha red desde, por ejemplo un PC de nuestro lado de la red, openwrt ya redirige la petición a la red ZT directamente, sin que tengamos que hacer nada más.

Fácil fácil !!

Lo he probado y no obtengo resultados consistentes. Unas veces funciona y otras no.
¿Cómo conectas el router OpenWrt al ISP? ¿Por cable o Wi-Fi? ¿y los hosts?

Saludos.

peperfus · « **Respuesta #12 en:** 29-03-2021, 22:21 (Lunes) »

Cita de: raphik en 29-03-2021, 19:47 (Lunes)

....

Lo he probado y no obtengo resultados consistentes. Unas veces funciona y otras no.
¿Cómo conectas el router OpenWrt al ISP? ¿Por cable o Wi-Fi? ¿y los hosts?

Saludos.

Personalmente, soy partidario de usar sólo el wifi cuando no tengo más remedio. Siempre que puedo elegir, elijo cable. El router Open lo tengo en la misma mesita que el del ISP, conectado por cable. Y el del ISP lo tengo con todos los puertos abiertos al de Open (tal vez sea eso lo que te falla ? (habría que pensarlo bien))
Y los hosts .... por cable también, excepto móviles, claro.
A todo esto, sólo lo he probado un par de veces. Lo probaré desde el móvil a ver qué tal va, por curiosidad.
Tengo que decir también que la conexión a veces sí me tardaba bastante, eso sí. Si hago más pruebas y veo que me falla alguna vez, te lo comento.

Edito: Pego resultado de pings:

Código: [Seleccionar]

C:\Users\Pepe>ping -t 192.168.192.184

Haciendo ping a 192.168.192.184 con 32 bytes de datos:
Respuesta desde 192.168.192.184: bytes=32 tiempo=45ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=46ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=47ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=44ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=46ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=45ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Tiempo de espera agotado para esta solicitud.
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=46ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=44ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=46ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=47ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=44ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=46ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=46ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=46ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=46ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=46ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=46ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=62ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=46ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=44ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=46ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64

Estadísticas de ping para 192.168.192.184:
    Paquetes: enviados = 69, recibidos = 68, perdidos = 1
    (1% perdidos),
Tiempos aproximados de ida y vuelta en milisegundos:
    Mínimo = 42ms, Máximo = 62ms, Media = 43ms

raphik · « **Respuesta #13 en:** 31-03-2021, 14:49 (Miércoles) »

@peperfus

¡Ya me funciona! Era la wifi del router remoto, que no iba bien. Sigue algo inestable, pero ha mejorado bastante. En cuanto pueda le meto cable.

En la parte remota: [router] ))) [isp]
En la parte local: [host] ))) [router] --- [isp]

Los dos ISPs tienen los puertos cerrados, tal como los instala el proveedor.

Los pings desde el host me salen de media 17.221 ms para el router local y 385.014 ms para el remoto.

¿Has hecho pruebas de velocidad de transferencia de archivos? ¿webcam, sensores..?

peperfus · « **Respuesta #14 en:** 31-03-2021, 16:17 (Miércoles) »

Me alegro :-)

Mira, si te fijas en mis pruebas de ping, no fueron 100% estables. Hubo un paquete perdido. Creo que coincidió al mismo tiempo que hice un inicio se sesión al ssh del router mientras hacía los pings. Tal vez se saturó

Acabo de hacer una prueba de subir un archivo:
(subida = 273 kb/s. Lo indico escrito por si en un futuro se pierde la imagen.)

Prueba de bajada:
(bajada = 367 kb/s)

Ambas pruebas, usando winscp y protocolo scp.

raphik · « **Respuesta #15 en:** 04-04-2021, 13:35 (Domingo) »

Cita de: peperfus en 27-03-2021, 20:15 (Sábado)

Efectivamente, como me imaginaba, al instalar ZT en el router openwrt (CON función de router propiamente dicha), la navegación por la VPN de los hosts de nuestro lado de la red es transparente, no necesitando el cliente ZT en cada host.

Los hosts de nuestro lado de la red son hosts de la LAN, no de la VPN. Navegan por la VPN con una IP enmascarada. En consecuencia, no son direccionables desde el lado remoto de la VPN. Tal vez por eso daviddrf quiso instalar Relayd. (https://foro.seguridadwireless.net/openwrt/(consultaduda)-relayd-con-zerotier-no-accesible-por-web-ni-ping-desde-sd-wan/msg369695/#msg369695)

Para que los hosts sean hosts de la VPN, hay que asignarles una IP dentro del rango VPN

puentear las interfaces LAN y ZT en el router (Layer 2 Bridging)

forzar la misma IP en ZT Central y marcar la casilla "Allow Ethernet Bridging" (para verla, hacer clic en el icono 🔧)

Una vez hecho esto, los hosts de nuestro lado de la red tienen una IP en la LAN y otra en la VPN que son coincidentes (no sé si esto es una buena idea, lo cierto es que funciona...) Son hosts de pleno derecho de la VPN. Responden a los pings del lado remoto. También responden al arranque WOL y pueden manejarse mediante escritorio remoto.

Saludos.

plumanegra · « **Respuesta #16 en:** 16-04-2021, 15:57 (Viernes) »

Hace tiempo que me registré en el foro, pero debe haberse eliminado la cuenta. Bueno pues bien, me he molestado en volverme a registrar solo para darte/daros las gracias por este grandismo aporte. Esto es tremendo. Funciona de escándalo.

Me ha costado seguir todo el proceso porque entendía las cosas a duras penas. Me faltaban y aún me faltan muchos conocimientos sobre redes. Por eso y aún después de echarle unas cuantas horas hay cosas que se me escapan pero que gracias al paso a paso he conseguido tirar para adelante. Me hubiera gustado que hubiese sido más visual, en vez de usar Putty puesto que no entiendo bien la sintaxis usada, pero sin problema.

Me interesaba lo que no has publicado formalmente pero si que has apuntado las formas, aunque no sea de una manera muy ortodoxa. Espero que le puedas dar forma pronto. Lo espero ansioso por si se puede mejorar más. En concreto la parte de comunicación con los host en la VPN desde fuera, sin ser local. Pero vamos ya digo, que con lo que hay funciona bien.

Una vez más y nunca me cansaré, muchas gracias.

EDITO PARA DECIR......

Se me olvidó comentar que durante el proceso de configuración del SWITCH se me desactivó el puerto LAN1. No se si es normal y es necesario que esté así, aunque creo que no. La verdad es que no entiendo bien porque hay que hacer esto del SWITCH. ¿Hay que tener un puerto exclusivo para recibir internet por cable? La he activado otra vez y parece que por todas puede recibir internet y lo ofrece al resto. Parece que bien.

En el tutorial al poner la IP fija, falta la puerta de enlace. O al menos a mi no me funciona sin poner el Gateway. No me daba internet para bajar el paquete de ZeroTier. Después de fijarla, bien.

Por último añadir que intento poner el receptor de satélite para poder conectarme fuera de casa y el caso que conecta, pero se ven los 2 o 3 primeros segundos. Luego se corta y se acabó lo que se daba. Parece que quiere volver al rato o de vez encuando pero solo da un pantallazo con la imagen del momento. Primero he pensando que sería la velocidad de la conexión pero creo que no.

En mi propia red con Wifi se genera un tráfico de 330 kb aproximadamente para ver un vídeo en SD y lo veo sin problema ninguno en cualquier dispositivo (móvil, móvil android, ...). Si activo ZeroTier veo que el fujo de datos que recibe el móvil android por ejemplo, sube a 550 kb. Al menos esa es la cantidad de datos que le entran al teléfono constantemente, que no se porque, pero bueno. Y ocurre lo que he dicho antes. Que no se ve a pesar de recibir mñas datos que antes.

¿Podría ser algún tema de zonas, firewall, redundancia de datos por algún sitio? ¿Porqué se genera más flujo de datos en el smartphone cuando uso ZeroTier para ver las emisiones del receptor que si lo hago de manera directa? ¿Alguna idea de como solucionar algo de esto?

raphik · « **Respuesta #17 en:** 22-04-2021, 21:18 (Jueves) »

Cita de: plumanegra en 16-04-2021, 15:57 (Viernes)

Hace tiempo que me registré en el foro, pero debe haberse eliminado la cuenta.

Yo también perdí mi cuenta. Eso fue en 2018. Hubo cambios en el foro y el Administrador estableció un plazo para migrar las cuentas, cosa que yo no hice. Son cosas que pasan.
https://foro.seguridadwireless.net/index.php?pretty;board=foro-libre-offtopic;topic=proximamente-abriremos-el-registro.msg363291#msg363291
Posteriormente ha habido purgas de usuarios que no envían comentarios en seis meses. Igual vuelvo a perder mi cuenta en una de éstas. Hay semestres en los que uno no tiene nada que decir.
https://foro.seguridadwireless.net/problemas-con-el-foro-y-los-portales-web/purga-usuarios/

Cita de: plumanegra en 16-04-2021, 15:57 (Viernes)

Bueno pues bien, me he molestado en volverme a registrar solo para darte/daros las gracias por este grandísmo aporte. Esto es tremendo. Funciona de escándalo.

Gracias a ti por comentar y agradecer.

Cita de: plumanegra en 16-04-2021, 15:57 (Viernes)

Me ha costado seguir todo el proceso porque entendía las cosas a duras penas. Me faltaban y aún me faltan muchos conocimientos sobre redes. Por eso y aún después de echarle unas cuantas horas hay cosas que se me escapan pero que gracias al paso a paso he conseguido tirar para adelante.

Yo tampoco tengo los conocimientos de redes que me gustaría y los que tengo me ha costado años conseguirlos. No tengo apuros en compartir mis conocimientos si con ello facilito el aprendizaje a otras personas: éste es o debería ser el espíritu de cualquier foro.

Cita de: plumanegra en 16-04-2021, 15:57 (Viernes)

Me hubiera gustado que hubiese sido más visual, en vez de usar Putty puesto que no entiendo bien la sintaxis usada, pero sin problema.

A mi también, pero no.

Cita de: plumanegra en 16-04-2021, 15:57 (Viernes)

Me interesaba lo que no has publicado formalmente pero si que has apuntado las formas, aunque no sea de una manera muy ortodoxa. Espero que le puedas dar forma pronto. Lo espero ansioso por si se puede mejorar más. En concreto la parte de comunicación con los host en la VPN desde fuera, sin ser local. Pero vamos ya digo, que con lo que hay funciona bien.

En eso estoy ahora, en el acceso a hosts remotos. La clave está en asignar automáticamente a los hosts una IP dentro del rango VPN de modo que sean accesibles individualmente (escaneo IP, wake-on-lan, escritorio remoto, mensajería instantánea...) Espero tenerlo listo en breve.

Cita de: plumanegra en 16-04-2021, 15:57 (Viernes)

Una vez más y nunca me cansaré, muchas gracias.

En serio, gracias a ti por comentar y agradecer. Es muy gratificante.

Saludos.

plumanegra · « **Respuesta #18 en:** 22-04-2021, 23:15 (Jueves) »

Desde luego que hay gente muy poco agredecida. Y que además encima te copien sin reparo alguno los desarrollos de algo que has hecho desinteresadamente y que te ha costado seguramente muchas horas de investigación y publicación, no hay verguenza. Este tipo de gente abunda en esta vida, ya lo sabrás. Pero no por eso te apartes del espiritu de divulgación, que como bien dices, debe imperar en este y en todos los foros. Unos sabemos de unas cosas y otros de otras, y entre todos ayudamos en los que podemos.

Al tema...

No me refería a que hicieses un tutorial más visual. Me refería a que me hubiese gustado que lo hubieras publicado usando Luci, pero ya he visto que no hay opciones configurables por esta vía, así que toca echar manos de PuTTy si o si.

Sigo viendo como desarrollar esto, leyendo aquí y allá. Y sobretodo toqueteando que muchas veces es como se aprende y he intentando documentarme más leyendo en otros sitios en inglés, y se dice que simplemente es necesario darle una red distinta en ZeroTier Central a la que tenemos localmente apuntando, eso si, al router con OpenWrt con Zerotier instalado para que podamos comunicarnos con los host.

Pues yo al menos no he sido capaz y ya he leido que otras personas que tampoco. No hay comunicación. No se como lo conseguirán. La unica manera que he podido y que no he visto en más sitios es lo que tu dices de asignarles la misma red tanto a nivel local, como en la web Zerotier. Entonces si que se ven unos y otros.

Sigo sin conseguir estabilidad en la conexión, al menos en cuanto a mi idea de IPTV entre mi casa y estar fuera de ella. Parece que hay velocidad pero el video empieza perfecto al principio, y luego a los pocos segundos empiezan a ir a trompicones. Y no creo que sea velocidad de la conexión. Como digo empieza a verse rapido y se ve bien 5 o 6 segundos. Luego nada. De hecho cuando he intentado acceder a otros dispositivos en mi red local desde fuera tarda como en conectar y tengo que darle a refrescar 2 o 3 veces hasta conecta.

He abierto el puerto 9993 en el OpenWrt, como se señala en varios sitios pero no parece mejorar la cosa. Supongo que tendría que ser en el propio router que si tiene acceso a Internet, pero no en el OpenWrt, aunque siempre se menciona que tiene que ser en este.

Esperaré con paciencia la finalización de ese tutorial tuyo. Si alguna prueba necesitas que haga aquí estoy.

raphik · « **Respuesta #19 en:** 23-04-2021, 00:40 (Viernes) »

Cita de: plumanegra en 16-04-2021, 15:57 (Viernes)

... durante el proceso de configuración del SWITCH se me desactivó el puerto LAN1. No se si es normal y es necesario que esté así, aunque creo que no.

La IP inicial de un router OpenWrt recién flasheado es la 192.168.1.1. Al ponerle la 192.168.1.3. y reiniciar el router los cambios se llevan a cabo. En mi caso (un HG553 y Linux Mint) no tengo que hacer nada para que el PC refresque la conexión, pero no descarto que en otros casos haya que desconectar y volver a conectar físicamente el latiguillo de red entre el PC y el router.

Cita de: plumanegra en 16-04-2021, 15:57 (Viernes)

La verdad es que no entiendo bien porque hay que hacer esto del SWITCH. ¿Hay que tener un puerto exclusivo para recibir internet por cable? La he activado otra vez y parece que por todas puede recibir internet y lo ofrece al resto. Parece que bien.

Según la documentación de OpenWrt, hay dos maneras básicas de configurar un router como punto de acceso.
Bridged AP: https://openwrt.org/docs/guide-user/network/wifi/bridgedap
Routed AP: https://openwrt.org/docs/guide-user/network/wifi/routedap

Un router en modo "bridged" no hace funciones de router: no asigna IPs ni tiene hosts propios. El router funciona como un simple puente (bridge) entre los hosts y el router principal que es el que asigna las IPs y maneja el acceso a Internet de todos los hosts. Este modo me ha parecido perfecto para un router OpenWrt con rol de servidor dentro de la VPN.

Un router en modo "routed" hace funciones propias de router: asignación de IPs, manejo de hosts de su propia LAN y enrutado desde/hacia la WAN. Lo que lleva a confusión es el hecho de que las dos redes, la LAN y la WAN, sean 192.168.1.0/24. Tal vez si la LAN fuese 192.168.50.0/24 se entendería mejor. De cualquier forma, lo cierto es que hay dos redes distintas: la del router principal (WAN) y la del router OpenWrt (LAN). Este es el motivo por el que el switch está dividido en bocas LAN (de la 1 a la 3) y boca WAN (la 4). El modo "routed" es particularmente interesante porque mediante una capacidad llamada IP masquerade permite que sus hosts accedan a Internet (y a la VPN) sin tener una dirección oficial de Internet (ni de la VPN). El modo "bridged" no admite IP masquerade.

Cita de: plumanegra en 16-04-2021, 15:57 (Viernes)

En el tutorial al poner la IP fija, falta la puerta de enlace. O al menos a mi no me funciona sin poner el Gateway. No me daba internet para bajar el paquete de ZeroTier. Después de fijarla, bien.

En la configuración Servidor (Bridged AP), la puerta de enlace está declarada: uci set network.lan.gateway='192.168.1.1'

En la configuración AP VPN (Masquerading), no hay necesidad de declarar la puerta de enlace. Por defecto, si no se declara, es la WAN. He seguido los pasos tal como está publicado y me funciona bien en un HG553. ¿En qué router lo estás instalando?

Cita de: plumanegra en 16-04-2021, 15:57 (Viernes)

Por último añadir que intento poner el receptor de satélite para poder conectarme fuera de casa y el caso que conecta, pero se ven los 2 o 3 primeros segundos. Luego se corta y se acabó lo que se daba. Parece que quiere volver al rato o de vez en cuando pero solo da un pantallazo con la imagen del momento. Primero he pensando que sería la velocidad de la conexión pero creo que no.

Aquí me has pillado. No tengo receptor satélite y no sé que contestarte.

Cita de: plumanegra en 16-04-2021, 15:57 (Viernes)

En mi propia red con Wifi se genera un tráfico de 330 kb aproximadamente para ver un vídeo en SD y lo veo sin problema ninguno en cualquier dispositivo (móvil, móvil android, ...). Si activo ZeroTier veo que el flujo de datos que recibe el móvil android por ejemplo, sube a 550 kb. Al menos esa es la cantidad de datos que le entran al teléfono constantemente, que no se por qué, pero bueno. Y ocurre lo que he dicho antes. Que no se ve a pesar de recibir más datos que antes.

¿Podría ser algún tema de zonas, firewall, redundancia de datos por algún sitio? ¿Porqué se genera más flujo de datos en el smartphone cuando uso ZeroTier para ver las emisiones del receptor que si lo hago de manera directa? ¿Alguna idea de como solucionar algo de esto?

Actualmente intento centrarme en las distintas maneras de integrar un router OpenWrt en una VPN ZeroTier. El foro de ZeroTier no da soporte para OpenWrt, así que cualquier avance cuesta lo suyo. Todavía no he llegado al tema de las velocidades de transferencia, pero según los datos que aportó peperfus, me pareció muy baja (273 kb/s de subida y 367 kb/s de bajada). Las pruebas las hizo usando winscp y protocolo scp. Supongo que con Samba el rendimiento sería todavía peor.

Noticias:

Autor Tema: ZeroTier en OpenWrt (VPN + SD-WAN) (Leído 69833 veces)