Equipos y materiales > Openwrt & LEDE
ZeroTier en OpenWrt (VPN + SD-WAN)
raphik:
--- Cita de: peperfus en 27-03-2021, 20:15 (Sábado) ---Efectivamente, como me imaginaba, al instalar ZT en el router openwrt (CON función de router propiamente dicha), la navegación por la VPN de los hosts de nuestro lado de la red es transparente, no necesitando el cliente ZT en cada host.
--- Fin de la cita ---
Los hosts de nuestro lado de la red son hosts de la LAN, no de la VPN. Navegan por la VPN con una IP enmascarada. En consecuencia, no son direccionables desde el lado remoto de la VPN. Tal vez por eso daviddrf quiso instalar Relayd. (https://foro.seguridadwireless.net/openwrt/(consultaduda)-relayd-con-zerotier-no-accesible-por-web-ni-ping-desde-sd-wan/msg369695/#msg369695)
Para que los hosts sean hosts de la VPN, hay que asignarles una IP dentro del rango VPN
puentear las interfaces LAN y ZT en el router (Layer 2 Bridging)
forzar la misma IP en ZT Central y marcar la casilla "Allow Ethernet Bridging" (para verla, hacer clic en el icono 🔧)
Una vez hecho esto, los hosts de nuestro lado de la red tienen una IP en la LAN y otra en la VPN que son coincidentes (no sé si esto es una buena idea, lo cierto es que funciona...) Son hosts de pleno derecho de la VPN. Responden a los pings del lado remoto. También responden al arranque WOL y pueden manejarse mediante escritorio remoto.
Saludos.
plumanegra:
Hace tiempo que me registré en el foro, pero debe haberse eliminado la cuenta. Bueno pues bien, me he molestado en volverme a registrar solo para darte/daros las gracias por este grandismo aporte. Esto es tremendo. Funciona de escándalo.
Me ha costado seguir todo el proceso porque entendía las cosas a duras penas. Me faltaban y aún me faltan muchos conocimientos sobre redes. Por eso y aún después de echarle unas cuantas horas hay cosas que se me escapan pero que gracias al paso a paso he conseguido tirar para adelante. Me hubiera gustado que hubiese sido más visual, en vez de usar Putty puesto que no entiendo bien la sintaxis usada, pero sin problema.
Me interesaba lo que no has publicado formalmente pero si que has apuntado las formas, aunque no sea de una manera muy ortodoxa. Espero que le puedas dar forma pronto. Lo espero ansioso por si se puede mejorar más. En concreto la parte de comunicación con los host en la VPN desde fuera, sin ser local. Pero vamos ya digo, que con lo que hay funciona bien.
Una vez más y nunca me cansaré, muchas gracias.
EDITO PARA DECIR......
Se me olvidó comentar que durante el proceso de configuración del SWITCH se me desactivó el puerto LAN1. No se si es normal y es necesario que esté así, aunque creo que no. La verdad es que no entiendo bien porque hay que hacer esto del SWITCH. ¿Hay que tener un puerto exclusivo para recibir internet por cable? La he activado otra vez y parece que por todas puede recibir internet y lo ofrece al resto. Parece que bien.
En el tutorial al poner la IP fija, falta la puerta de enlace. O al menos a mi no me funciona sin poner el Gateway. No me daba internet para bajar el paquete de ZeroTier. Después de fijarla, bien.
Por último añadir que intento poner el receptor de satélite para poder conectarme fuera de casa y el caso que conecta, pero se ven los 2 o 3 primeros segundos. Luego se corta y se acabó lo que se daba. Parece que quiere volver al rato o de vez encuando pero solo da un pantallazo con la imagen del momento. Primero he pensando que sería la velocidad de la conexión pero creo que no.
En mi propia red con Wifi se genera un tráfico de 330 kb aproximadamente para ver un vídeo en SD y lo veo sin problema ninguno en cualquier dispositivo (móvil, móvil android, ...). Si activo ZeroTier veo que el fujo de datos que recibe el móvil android por ejemplo, sube a 550 kb. Al menos esa es la cantidad de datos que le entran al teléfono constantemente, que no se porque, pero bueno. Y ocurre lo que he dicho antes. Que no se ve a pesar de recibir mñas datos que antes.
¿Podría ser algún tema de zonas, firewall, redundancia de datos por algún sitio? ¿Porqué se genera más flujo de datos en el smartphone cuando uso ZeroTier para ver las emisiones del receptor que si lo hago de manera directa? ¿Alguna idea de como solucionar algo de esto?
raphik:
--- Cita de: plumanegra en 16-04-2021, 15:57 (Viernes) ---Hace tiempo que me registré en el foro, pero debe haberse eliminado la cuenta.
--- Fin de la cita ---
Yo también perdí mi cuenta. Eso fue en 2018. Hubo cambios en el foro y el Administrador estableció un plazo para migrar las cuentas, cosa que yo no hice. Son cosas que pasan.
https://foro.seguridadwireless.net/index.php?pretty;board=foro-libre-offtopic;topic=proximamente-abriremos-el-registro.msg363291#msg363291
Posteriormente ha habido purgas de usuarios que no envían comentarios en seis meses. Igual vuelvo a perder mi cuenta en una de éstas. Hay semestres en los que uno no tiene nada que decir.
https://foro.seguridadwireless.net/problemas-con-el-foro-y-los-portales-web/purga-usuarios/
--- Cita de: plumanegra en 16-04-2021, 15:57 (Viernes) --- Bueno pues bien, me he molestado en volverme a registrar solo para darte/daros las gracias por este grandísmo aporte. Esto es tremendo. Funciona de escándalo.
--- Fin de la cita ---
Gracias a ti por comentar y agradecer.
--- Cita de: plumanegra en 16-04-2021, 15:57 (Viernes) ---Me ha costado seguir todo el proceso porque entendía las cosas a duras penas. Me faltaban y aún me faltan muchos conocimientos sobre redes. Por eso y aún después de echarle unas cuantas horas hay cosas que se me escapan pero que gracias al paso a paso he conseguido tirar para adelante.
--- Fin de la cita ---
Yo tampoco tengo los conocimientos de redes que me gustaría y los que tengo me ha costado años conseguirlos. No tengo apuros en compartir mis conocimientos si con ello facilito el aprendizaje a otras personas: éste es o debería ser el espíritu de cualquier foro.
--- Cita de: plumanegra en 16-04-2021, 15:57 (Viernes) ---Me hubiera gustado que hubiese sido más visual, en vez de usar Putty puesto que no entiendo bien la sintaxis usada, pero sin problema.
--- Fin de la cita ---
A mi también, pero no.
--- Cita de: plumanegra en 16-04-2021, 15:57 (Viernes) ---Me interesaba lo que no has publicado formalmente pero si que has apuntado las formas, aunque no sea de una manera muy ortodoxa. Espero que le puedas dar forma pronto. Lo espero ansioso por si se puede mejorar más. En concreto la parte de comunicación con los host en la VPN desde fuera, sin ser local. Pero vamos ya digo, que con lo que hay funciona bien.
--- Fin de la cita ---
En eso estoy ahora, en el acceso a hosts remotos. La clave está en asignar automáticamente a los hosts una IP dentro del rango VPN de modo que sean accesibles individualmente (escaneo IP, wake-on-lan, escritorio remoto, mensajería instantánea...) Espero tenerlo listo en breve.
--- Cita de: plumanegra en 16-04-2021, 15:57 (Viernes) ---Una vez más y nunca me cansaré, muchas gracias.
--- Fin de la cita ---
En serio, gracias a ti por comentar y agradecer. Es muy gratificante.
Saludos.
plumanegra:
Desde luego que hay gente muy poco agredecida. Y que además encima te copien sin reparo alguno los desarrollos de algo que has hecho desinteresadamente y que te ha costado seguramente muchas horas de investigación y publicación, no hay verguenza. Este tipo de gente abunda en esta vida, ya lo sabrás. Pero no por eso te apartes del espiritu de divulgación, que como bien dices, debe imperar en este y en todos los foros. Unos sabemos de unas cosas y otros de otras, y entre todos ayudamos en los que podemos.
Al tema...
No me refería a que hicieses un tutorial más visual. Me refería a que me hubiese gustado que lo hubieras publicado usando Luci, pero ya he visto que no hay opciones configurables por esta vía, así que toca echar manos de PuTTy si o si.
Sigo viendo como desarrollar esto, leyendo aquí y allá. Y sobretodo toqueteando que muchas veces es como se aprende y he intentando documentarme más leyendo en otros sitios en inglés, y se dice que simplemente es necesario darle una red distinta en ZeroTier Central a la que tenemos localmente apuntando, eso si, al router con OpenWrt con Zerotier instalado para que podamos comunicarnos con los host.
Pues yo al menos no he sido capaz y ya he leido que otras personas que tampoco. No hay comunicación. No se como lo conseguirán. La unica manera que he podido y que no he visto en más sitios es lo que tu dices de asignarles la misma red tanto a nivel local, como en la web Zerotier. Entonces si que se ven unos y otros.
Sigo sin conseguir estabilidad en la conexión, al menos en cuanto a mi idea de IPTV entre mi casa y estar fuera de ella. Parece que hay velocidad pero el video empieza perfecto al principio, y luego a los pocos segundos empiezan a ir a trompicones. Y no creo que sea velocidad de la conexión. Como digo empieza a verse rapido y se ve bien 5 o 6 segundos. Luego nada. De hecho cuando he intentado acceder a otros dispositivos en mi red local desde fuera tarda como en conectar y tengo que darle a refrescar 2 o 3 veces hasta conecta.
He abierto el puerto 9993 en el OpenWrt, como se señala en varios sitios pero no parece mejorar la cosa. Supongo que tendría que ser en el propio router que si tiene acceso a Internet, pero no en el OpenWrt, aunque siempre se menciona que tiene que ser en este.
Esperaré con paciencia la finalización de ese tutorial tuyo. Si alguna prueba necesitas que haga aquí estoy.
raphik:
--- Cita de: plumanegra en 16-04-2021, 15:57 (Viernes) ---... durante el proceso de configuración del SWITCH se me desactivó el puerto LAN1. No se si es normal y es necesario que esté así, aunque creo que no.
--- Fin de la cita ---
La IP inicial de un router OpenWrt recién flasheado es la 192.168.1.1. Al ponerle la 192.168.1.3. y reiniciar el router los cambios se llevan a cabo. En mi caso (un HG553 y Linux Mint) no tengo que hacer nada para que el PC refresque la conexión, pero no descarto que en otros casos haya que desconectar y volver a conectar físicamente el latiguillo de red entre el PC y el router.
--- Cita de: plumanegra en 16-04-2021, 15:57 (Viernes) ---La verdad es que no entiendo bien porque hay que hacer esto del SWITCH. ¿Hay que tener un puerto exclusivo para recibir internet por cable? La he activado otra vez y parece que por todas puede recibir internet y lo ofrece al resto. Parece que bien.
--- Fin de la cita ---
Según la documentación de OpenWrt, hay dos maneras básicas de configurar un router como punto de acceso.
Bridged AP: https://openwrt.org/docs/guide-user/network/wifi/bridgedap
Routed AP: https://openwrt.org/docs/guide-user/network/wifi/routedap
Un router en modo "bridged" no hace funciones de router: no asigna IPs ni tiene hosts propios. El router funciona como un simple puente (bridge) entre los hosts y el router principal que es el que asigna las IPs y maneja el acceso a Internet de todos los hosts. Este modo me ha parecido perfecto para un router OpenWrt con rol de servidor dentro de la VPN.
Un router en modo "routed" hace funciones propias de router: asignación de IPs, manejo de hosts de su propia LAN y enrutado desde/hacia la WAN. Lo que lleva a confusión es el hecho de que las dos redes, la LAN y la WAN, sean 192.168.1.0/24. Tal vez si la LAN fuese 192.168.50.0/24 se entendería mejor. De cualquier forma, lo cierto es que hay dos redes distintas: la del router principal (WAN) y la del router OpenWrt (LAN). Este es el motivo por el que el switch está dividido en bocas LAN (de la 1 a la 3) y boca WAN (la 4). El modo "routed" es particularmente interesante porque mediante una capacidad llamada IP masquerade permite que sus hosts accedan a Internet (y a la VPN) sin tener una dirección oficial de Internet (ni de la VPN). El modo "bridged" no admite IP masquerade.
--- Cita de: plumanegra en 16-04-2021, 15:57 (Viernes) ---En el tutorial al poner la IP fija, falta la puerta de enlace. O al menos a mi no me funciona sin poner el Gateway. No me daba internet para bajar el paquete de ZeroTier. Después de fijarla, bien.
--- Fin de la cita ---
En la configuración Servidor (Bridged AP), la puerta de enlace está declarada: uci set network.lan.gateway='192.168.1.1'
En la configuración AP VPN (Masquerading), no hay necesidad de declarar la puerta de enlace. Por defecto, si no se declara, es la WAN. He seguido los pasos tal como está publicado y me funciona bien en un HG553. ¿En qué router lo estás instalando?
--- Cita de: plumanegra en 16-04-2021, 15:57 (Viernes) ---Por último añadir que intento poner el receptor de satélite para poder conectarme fuera de casa y el caso que conecta, pero se ven los 2 o 3 primeros segundos. Luego se corta y se acabó lo que se daba. Parece que quiere volver al rato o de vez en cuando pero solo da un pantallazo con la imagen del momento. Primero he pensando que sería la velocidad de la conexión pero creo que no.
--- Fin de la cita ---
Aquí me has pillado. No tengo receptor satélite y no sé que contestarte.
--- Cita de: plumanegra en 16-04-2021, 15:57 (Viernes) ---En mi propia red con Wifi se genera un tráfico de 330 kb aproximadamente para ver un vídeo en SD y lo veo sin problema ninguno en cualquier dispositivo (móvil, móvil android, ...). Si activo ZeroTier veo que el flujo de datos que recibe el móvil android por ejemplo, sube a 550 kb. Al menos esa es la cantidad de datos que le entran al teléfono constantemente, que no se por qué, pero bueno. Y ocurre lo que he dicho antes. Que no se ve a pesar de recibir más datos que antes.
¿Podría ser algún tema de zonas, firewall, redundancia de datos por algún sitio? ¿Porqué se genera más flujo de datos en el smartphone cuando uso ZeroTier para ver las emisiones del receptor que si lo hago de manera directa? ¿Alguna idea de como solucionar algo de esto?
--- Fin de la cita ---
Actualmente intento centrarme en las distintas maneras de integrar un router OpenWrt en una VPN ZeroTier. El foro de ZeroTier no da soporte para OpenWrt, así que cualquier avance cuesta lo suyo. Todavía no he llegado al tema de las velocidades de transferencia, pero según los datos que aportó peperfus, me pareció muy baja (273 kb/s de subida y 367 kb/s de bajada). Las pruebas las hizo usando winscp y protocolo scp. Supongo que con Samba el rendimiento sería todavía peor.
Navegación
[#] Página Siguiente
[*] Página Anterior
Ir a la versión completa