=========================== ADVERTENCIA DE RIESGO ===========================
Buena parte de la información que aparece en este artículo la he recopilado
de distintos sitios de Internet. A pesar de las minuciosas coprobaciones pre-
vias a su publicación, no puedo garantizar su veracidad, exactitud, actuali-
dad, fiabilidad e integridad. Por lo tanto, el presente artículo no debe ser
considerado como un consejo de uso. Usted es responsable de cualquier uso que
haga de la información aquí contenida.
=============================================================================


Servidor (de archivos, páginas web, multimedia, video vigilancia, lectura de sensores, manejo de relés, etc.)


ZeroTier facilita la integración de un router OpenWrt en la VPN. En función del conjunto de paquetes de software que se le instale posteriormente, podrá desempeñar el rol de servidor de archivos, de páginas web, lectura de sensores, manejo de relés, etc.

NOTA: ZeroTier encripta el tráfico de un extremo al otro. La transmisión de vídeo implica un alto flujo de datos. Esto no debería suponer un problema si no fuera porque ZeroTier impone al router el cifrado/descifrado de la transmisión. El streaming de vídeo en tiempo real es inviable, dado que la imagen se congela cada pocos segundos.
Tal vez se podría resolver deshabilitando la encriptación. https://github.com/zerotier/ZeroTierOne/issues/340

0) Planteamiento

Router proveedor de Intenet
LAN IP: 192.168.1.1

Router OpenWrt (bridged AP)
LAN IP: 192.168.1.2 (IP estática)
Puerta de enlace: 192.168.1.1
Servidor DNS: 192.168.1.1
VPN IP: 192.168.100.2

Red ZeroTier (VPN)
Rango: 192.168.100.0/24 (Asignado por el usuario al registrar la red.)
Network ID: ID_DE_RED (El Network ID es un número hexadecimal único de 16 dígitos generado automáticamente por la capa VL2 de ZeroTier.)


1) Configurar la interfaz LAN

Asignar a la interfaz LAN una IP estática (192.168.1.2). Establecer DNS y Gateway (192.168.1.1, IP del proveedor de Internet.)
uci del network.lan.ip6assign
uci set network.lan.ipaddr='192.168.1.2'
uci set network.lan.gateway='192.168.1.1'
uci add_list network.lan.dns='192.168.1.1'
uci commit network
Desconectar el servidor DHCP.
uci del dhcp.lan.start
uci del dhcp.lan.limit
uci del dhcp.lan.leasetime
uci set dhcp.lan.ra_management='1'
uci set dhcp.lan.ignore='1'
uci commit dhcp
Reiniciar el router.
reboot
2) Instalar y configurar ZeroTier

Actualizar lista de paquetes e instalar ZeroTier One.
opkg update && opkg install zerotier
Configurar ZeroTier (yo lo hago a lo bruto). Sustituir 'ID_DE_RED' por el Network ID.
rm /etc/config/zerotier
touch /etc/config/zerotier
uci set zerotier.openwrt_network=zerotier
uci add_list zerotier.openwrt_network.join='ID_DE_RED'
uci set zerotier.openwrt_network.enabled='1'
uci commit zerotier
/etc/init.d/zerotier restart
/etc/init.d/firewall restart
Se puede comprobar que la instalación de ZeroTier ha generado un nuevo dispositivo ethernet virtual "ztxxxxxxxx".
ifconfig | grep zt
ztxxxxxxxx Link encap:Ethernet  HWaddr 0E:F4:4C:xx:xx:xx
También, se puede verificar que ZeroTier está ONLINE.
zerotier-cli info
200 info 79aa2xxxxx 1.6.4 ONLINE(El número hexadecimal "79aa2xxxxx" es el identificador de nodo generado por la capa VL1 de ZeroTier.)

Opcionalmente, se puede mejorar el rendimiento permitiendo las conexiones UDP entrantes por el puerto 9993. Yo nunca lo hago. Supongo que habría que hacer lo mismo con el router del proveedor de Internet.
uci add firewall rule
uci set firewall.@rule[-1].name='Allow-ZeroTier-Inbound'
uci set firewall.@rule[-1].src='*'
uci set firewall.@rule[-1].target='ACCEPT'
uci set firewall.@rule[-1].proto='udp'
uci set firewall.@rule[-1].dest_port='9993'
uci commit firewall
/etc/init.d/firewall restart
Reiniciar el router. Algunas veces no es necesario.
reboot

3) Autorizar al router a unirse a la red ZeroTier

En ZeroTier Central (https://my.zerotier.com), buscar el router (el identificador de nodo y la MAC ayudan) y marcar la casilla "Auth?". Cambiar la IP asignada automáticamente por la IP fija 192.168.100.2. Si se quiere, se le puede poner un nombre.




4) Esperar unos minutos a que ZeroTier establezca la red.

El router está conectado a la red ZeroTier 192.168.100.0/24. Responde a los pings que se le envían.

Desde cualquier host de la VPN se puede abrir una sesión SSH contra el router.
ssh root@192.168.100.2

Al instalar ZeroTier en OpenWrt se crea un dispositivo virtual, pero no su correspondiente interfaz que hay añadir "a mano". La interfaz es de tipo "unmanaged" que ya se encargará ZeroTier de asignarle una IP.

En el router ZT de la casa1, no hice la parte de añadir la interfaz desde luci. No sabía que había que hacerlo. En el tutorial que vi por ahí, no lo hacía. Lo probaré un día de estos.

EDITO:
De hecho, creo que la parte realmente importante (que tampoco hice) es la de firewall.

Efectivamente, podrías saltarte lo de añadir la interfaz, pero es imprescindible definir las políticas de entrada/salida/reenvío entre las redes LAN y ZeroTier. Al no haberse generado la interfaz, la red cubierta por la nueva zona del cortafuegos se designa por el nombre del dispositivo, a secas.

@peperfus

He repetido tu configuración: router recién flasheado, ZT instalado (compruebo que se genera el dispositivo virtual ztxxxxxxxx), NO le añado interfaz, NO le asigno zona en el firewall, lo autorizo en ZeroTier Central y... ¡funciona!

En cuanto a seguridad, no sabría decir si es peligroso dejar un dispositivo sin interfaz y sin cortafuegos.

Ok, raphik !!
Vuelvo con novedades y 4 comentarios:

1) Acabo de volver a CASA2 (ZeroTier en PC con Win7) y haciendo pruebas, investigando.... por lo visto alguna vez falla ZT aquí (no sé quién tendrá la culpa, pero hay varias quejas en algún que otro foro). He desinstalado ZT, vuelto a instalar ....; él me añade en dispositivos de red una tarjeta de red virtual nueva y un puerto virtual nuevo. Lo pruebo y OK. Ya funciona.

2) En cuanto al tema de seguridad, te cuento mi punto de vista. Según entiendo, el firewall tiene 2 funciones: una es la de seguridad y la otra la de enrutar conexiones de una zona a otra (función de router propiamente dicha, ya sea entre WAN y LAN, o la que sea). En cuanto a seguridad.... piensa que una red (zona) es como tu casa. Si confías en todos los miembros de la red, el firewall en principio no es necesario, pero claro, cuando dejas la puerta abierta (conectas con otra red), ahí el firewall ya tiene que vigilar quién puede entrar y quién no, etc (input/output/forward). Al usar este cacharro (llamado router, pero que no hace ninguna función de router, sino que simplemente es un miembro de la red), no necesito activarle el firewall, con lo que le mejoro el rendimiento. Otra cosa es que un día venga un Señor de Troya y me la líe parda, eso ya es responsabilidad mía (y la asumo). De todas formas, si tenemos el firewall por defecto con la zona LAN en verde, todo el input abierto y output abierto, de nada serviría a nivel local. Hay que ponerle una contraseña fuerte. Piensa también que al estar este cacharro ("router") dentro de la vpn, sólo los miembros de la vpn tienen acceso, que son de confianza. En el caso de la red vpn, tenemos conexión directa y no es necesario enrutar nada a nivel de firewall. Otra cosa será el enrutamiento interno que haga zerotier, que se encarga de configurar ruta estática diciéndole al cacharro: "todo lo que vaya a la red 192.168.192.0/24 (mi red IPv4 ZT), lánzalo por este dispositivo de red: ztxxxxxx5".
Así es como entiendo yo su funcionamiento.

3) Interesante todo esto, además de seguir aprendiendo y/o refrescando conocimientos de redes.
Este tema me ha recordado a otro que me picó en su día, sobre tener un openwrt WIFI cliente y CABLE cliente conectadas ambas al mismo tiempo a la misma red lógica. Algunos decían que era imposible, que no se podía o que no tenía sentido. No me rendí y lo conseguí. Tiene sentido porque al tener 2 interfaces conectadas, tenemos 2 posibilidades de acceso por si una de ellas cae. (Al fin y al cabo, esa filosofía fue uno de los pilares de la invención de arpanet, el "padre" de Internet, la red de redes.) En cierto sentido esto de la vpn es algo relativamente similar: una forma alternativa de acceso.

4) Ah, no. Eran sólo 3 comentarios. ( )


Edito: estaría interesante conseguir que los PCs (ó hosts, vaya), naveguen de forma transparente por la vpn, conectados a través del router openwrt. No sé si es la idea que tienes para el próximo tuto que has dejado en pendiente (cuidado, no vaya a resbalar  (perdón  )). En principio no lo veo muy difícil....
De hecho.... creo que sólo habría que indicarle las rutas estáticas.... manualmente una a una, o bien toda la red.
Es decir: decirle al router openwrt: "Las peticiones a la red ZT, lánzalas por la interfaz ZT"

Efectivamente, como me imaginaba, al instalar ZT en el router openwrt (CON función de router propiamente dicha), la navegación por la VPN de los hosts de nuestro lado de la red es transparente, no necesitando el cliente ZT en cada host.
Lo acabo de probar y es instantáneo. No necesita nada de configuración extra, lo cual es lógico. Es el propio ZT el que se encarga de añadir una ruta estática a la tabla de enrutamiento, es decir: definir que para acceder a la red ZT, debe usar la interfaz ZT. Al acceder a cualquier IP de dicha red desde, por ejemplo un PC de nuestro lado de la red, openwrt ya redirige la petición a la red ZT directamente, sin que tengamos que hacer nada más.

Fácil fácil !!

 

Lo he probado y no obtengo resultados consistentes. Unas veces funciona y otras no.
¿Cómo conectas el router OpenWrt al ISP? ¿Por cable o Wi-Fi? ¿y los hosts?

Saludos.

@peperfus

¡Ya me funciona! Era la wifi del router remoto, que no iba bien. Sigue algo inestable, pero ha mejorado bastante. En cuanto pueda le meto cable.

En la parte remota: [router] ))) [isp]
En la parte local: [host]  ))) [router] --- [isp]

Los dos ISPs tienen los puertos cerrados, tal como los instala el proveedor.

Los pings desde el host me salen de media 17.221 ms para el router local y 385.014 ms para el remoto.

¿Has hecho pruebas de velocidad de transferencia de archivos? ¿webcam, sensores..?

Efectivamente, como me imaginaba, al instalar ZT en el router openwrt (CON función de router propiamente dicha), la navegación por la VPN de los hosts de nuestro lado de la red es transparente, no necesitando el cliente ZT en cada host.

Los hosts de nuestro lado de la red son hosts de la LAN, no de la VPN. Navegan por la VPN con una IP enmascarada. En consecuencia, no son direccionables desde el lado remoto de la VPN. Tal vez por eso daviddrf quiso instalar Relayd. (https://foro.seguridadwireless.net/openwrt/(consultaduda)-relayd-con-zerotier-no-accesible-por-web-ni-ping-desde-sd-wan/msg369695/#msg369695)

Para que los hosts sean hosts de la VPN, hay que asignarles una IP dentro del rango VPN



puentear las interfaces LAN y ZT en el router (Layer 2 Bridging)



forzar la misma IP en ZT Central y marcar la casilla "Allow Ethernet Bridging" (para verla, hacer clic en el icono 🔧)



Una vez hecho esto, los hosts de nuestro lado de la red tienen una IP en la LAN y otra en la VPN que son coincidentes (no sé si esto es una buena idea, lo cierto es que funciona...) Son hosts de pleno derecho de la VPN. Responden a los pings del lado remoto. También responden al arranque WOL y pueden manejarse mediante escritorio remoto.

Saludos.

Hace tiempo que me registré en el foro, pero debe haberse eliminado la cuenta.

Yo también perdí mi cuenta. Eso fue en 2018. Hubo cambios en el foro y el Administrador estableció un plazo para migrar las cuentas, cosa que yo no hice. Son cosas que pasan.
https://foro.seguridadwireless.net/index.php?pretty;board=foro-libre-offtopic;topic=proximamente-abriremos-el-registro.msg363291#msg363291
Posteriormente ha habido purgas de usuarios que no envían comentarios en seis meses. Igual vuelvo a perder mi cuenta en una de éstas. Hay semestres en los que uno no tiene nada que decir.
https://foro.seguridadwireless.net/problemas-con-el-foro-y-los-portales-web/purga-usuarios/

Bueno pues bien, me he molestado en volverme a registrar solo para darte/daros las gracias por este grandísmo aporte. Esto es tremendo. Funciona de escándalo.

Gracias a ti por comentar y agradecer.

Me ha costado seguir todo el proceso porque entendía las cosas a duras penas. Me faltaban y aún me faltan muchos conocimientos sobre redes. Por eso y aún después de echarle unas cuantas horas hay cosas que se me escapan pero que gracias al paso a paso he conseguido tirar para adelante.

Yo tampoco tengo los conocimientos de redes que me gustaría y los que tengo me ha costado años conseguirlos. No tengo apuros en compartir mis conocimientos si con ello facilito el aprendizaje a otras personas: éste es o debería ser el espíritu de cualquier foro.

Me hubiera gustado que hubiese sido más visual, en vez de usar Putty puesto que no entiendo bien la sintaxis usada, pero sin problema.

A mi también, pero no.

Me interesaba lo que no has publicado formalmente pero si que has apuntado las formas, aunque no sea de una manera muy ortodoxa. Espero que le puedas dar forma pronto. Lo espero ansioso por si se puede mejorar más. En concreto la parte de comunicación con los host en la VPN desde fuera, sin ser local. Pero vamos ya digo, que con lo que hay funciona bien.

En eso estoy ahora, en el acceso a hosts remotos. La clave está en asignar automáticamente a los hosts una IP dentro del rango VPN de modo que sean accesibles individualmente (escaneo IP, wake-on-lan, escritorio remoto, mensajería instantánea...) Espero tenerlo listo en breve.

Una vez más y nunca me cansaré, muchas gracias.

En serio, gracias a ti por comentar y agradecer. Es muy gratificante.

Saludos.

... durante el proceso de configuración del SWITCH se me desactivó el puerto LAN1. No se si es normal y es necesario que esté así, aunque creo que no.

La IP inicial de un router OpenWrt recién flasheado es la 192.168.1.1. Al ponerle la 192.168.1.3. y reiniciar el router los cambios se llevan a cabo. En mi caso (un HG553 y Linux Mint) no tengo que hacer nada para que el PC refresque la conexión, pero no descarto que en otros casos haya que desconectar y volver a conectar físicamente el latiguillo de red entre el PC y el router.

La verdad es que no entiendo bien porque hay que hacer esto del SWITCH. ¿Hay que tener un puerto exclusivo para recibir internet por cable? La he activado otra vez y parece que por todas puede recibir internet y lo ofrece al resto. Parece que bien.

Según la documentación de OpenWrt, hay dos maneras básicas de configurar un router como punto de acceso.
Bridged AP: https://openwrt.org/docs/guide-user/network/wifi/bridgedap
Routed AP: https://openwrt.org/docs/guide-user/network/wifi/routedap

Un router en modo "bridged" no hace funciones de router: no asigna IPs ni tiene hosts propios. El router funciona como un simple puente (bridge) entre los hosts y el router principal que es el que asigna las IPs y maneja el acceso a Internet de todos los hosts. Este modo me ha parecido perfecto para un router OpenWrt con rol de servidor dentro de la VPN.

Un router en modo "routed" hace funciones propias de router: asignación de IPs, manejo de hosts de su propia LAN y enrutado desde/hacia la WAN. Lo que lleva a confusión es el hecho de que las dos redes, la LAN y la WAN, sean 192.168.1.0/24. Tal vez si la LAN fuese 192.168.50.0/24 se entendería mejor. De cualquier forma, lo cierto es que hay dos redes distintas: la del router principal (WAN) y la del router OpenWrt (LAN). Este es el motivo por el que el switch está dividido en bocas LAN (de la 1 a la 3) y boca WAN (la 4). El modo "routed" es particularmente interesante porque mediante una capacidad llamada IP masquerade permite que sus hosts accedan a Internet (y a la VPN) sin tener una dirección oficial de Internet (ni de la VPN). El modo "bridged" no admite IP masquerade.

En el tutorial al poner la IP fija, falta la puerta de enlace. O al menos a mi no me funciona sin poner el Gateway. No me daba internet para bajar el paquete de ZeroTier. Después de fijarla, bien.

En la configuración Servidor (Bridged AP), la puerta de enlace está declarada: uci set network.lan.gateway='192.168.1.1'

En la configuración AP VPN (Masquerading), no hay necesidad de declarar la puerta de enlace. Por defecto, si no se declara, es la WAN. He seguido los pasos tal como está publicado y me funciona bien en un HG553. ¿En qué router lo estás instalando?

Por último añadir que intento poner el receptor de satélite para poder conectarme fuera de casa y el caso que conecta, pero se ven los 2 o 3 primeros segundos. Luego se corta y se acabó lo que se daba. Parece que quiere volver al rato o de vez en cuando pero solo da un pantallazo con la imagen del momento. Primero he pensando que sería la velocidad de la conexión pero creo que no.

Aquí me has pillado. No tengo receptor satélite y no sé que contestarte.

En mi propia red con Wifi se genera un tráfico de 330 kb aproximadamente para ver un vídeo en SD y lo veo sin problema ninguno en cualquier dispositivo (móvil, móvil android, ...). Si activo ZeroTier veo que el flujo de datos que recibe el móvil android por ejemplo, sube a 550 kb. Al menos esa es la cantidad de datos que le entran al teléfono constantemente, que no se por qué, pero bueno. Y ocurre lo que he dicho antes. Que no se ve a pesar de recibir más datos que antes.

¿Podría ser algún tema de zonas, firewall, redundancia de datos por algún sitio? ¿Porqué se genera más flujo de datos en el smartphone cuando uso ZeroTier para ver las emisiones del receptor que si lo hago de manera directa? ¿Alguna idea de como solucionar algo de esto?

Actualmente intento centrarme en las distintas maneras de integrar un router OpenWrt en una VPN ZeroTier. El foro de ZeroTier no da soporte para OpenWrt, así que cualquier avance cuesta lo suyo. Todavía no he llegado al tema de las velocidades de transferencia, pero según los datos que aportó peperfus, me pareció muy baja (273 kb/s de subida y 367 kb/s de bajada). Las pruebas las hizo usando winscp y protocolo scp. Supongo que con Samba el rendimiento sería todavía peor.