Equipos y materiales > Openwrt & LEDE

ZeroTier en OpenWrt (VPN + SD-WAN)

<< < (7/7)

raphik:
@ Tki2000

El post LAN extendida es una adaptación de un artículo publicado en la ZeroTier Knowledge Base, donde puede leerse: «Aquí explicamos cómo conectar su red ZeroTier con la LAN de su oficina o de su hogar para que pueda acceder de forma segura a sus servidores y servicios privados desde cualquier parte del mundo. Ni siquiera necesitará instalar ZeroTier en los servidores conectados a la LAN. Tan sólo en su router.»

Supongo que la seguridad que mencionan está relacionada con la criptografía que utilizan en la comunicación P2P. No dicen nada de cómo protegerse de ataques externos desde oficinas propias.

La preguntita que haces no es baladí. La seguridad en las oficinas es algo muy complicado. No me aventuro a dar consejos al respecto.

royroyers:
Hola amigos, es mi 1er mensaje en el foro me he animado y es que  me parecio muy bueno  lo que estaba buscando. felicito y agradesco al escritor de este post.

ojala pudieran ayudarme con una solución que pudiera implementar para poder acceder a mis servidores NAS o mucho mejor a toda mi red privada desde Internet? (con toda la carpeta compartida de todas las maquinas) por supusto de forma segura.

El problema es que tengo un módem/enrutador de fibra ZTE F670L que me da mi ISP en Bolivia (AXS), y tengo lo que llaman un CGNAT, no tengo el nombre de usuario y la contraseña del módem/enrutador; Por eso no he podido:

1 habilitar el reenvío de puertos de Internet a cualquier puerto de mi enrutador principal o servidor
2 habilitar DMZ
3 o, no tengo la opción de obtener una ip pública (el ISP no brinda ese servicio ni siquiera pagado)

He instalado zerotier en un par de mis compus y he podidos acceder a mis carpetas por lo que instale zerotier en mi MAINROUTER un R9000 con ddwrt

he visto tu post y me parcee muy buen trabajo solo que no lo entiendo mucho y no sabria escoger 1ero cual de las 4 soluciones que presentas me pudiera funcionar para lo que quiero.

DESEO que me pudieras asesorar porque lo necesito para que mi equipo de trabajo en el exterior pueda acceder a los servidores de datos e incluso a las impresoras y otras carpetas compartidas para nuestro trabajo 🙏

Mi red actual es asi



tegno un zerotier que hice de prueba con la subnet 192.168.100.0/24 pero lo que tengo entendido es que deberia confgurar mi router para que todos los dispositivos conectados a el... incluyendo las impresoras cableadas o wifi, etubieran ya en zerotier y mi equipo de trabajo y yo mismo desde fuera de mi red privada poder ingresar a toda la red privada con las carpetas compartidas e impresoras... de la forma mas segura posible claro...

ojala me puedan ayudar aconsejándome cual es mi mejor solucion para ponerme manos a la obra hehe

Editado: por lo que he leido y entendido... (muy poco) creo que la la 4 es una variacion de la 3 pero entre la 2 y 3 no entiendo la diferencia...

yo creo que la que necesito es la 3 o la 4 ya que mi equipo de trabajo esta en diferentes paises y necesito que llos puedan acceder a las carpetas y dispositivos como impresoras

royroyers:

--- Cita de: raphik en 23-04-2021, 18:37 (Viernes) ---=========================== ADVERTENCIA DE RIESGO ===========================
Buena parte de la información que aparece en este artículo la he recopilado
de distintos sitios de Internet. A pesar de las minuciosas coprobaciones pre-
vias a su publicación, no puedo garantizar su veracidad, exactitud, actuali-
dad, fiabilidad e integridad. Por lo tanto, el presente artículo no debe ser
considerado como un consejo de uso. Usted es responsable de cualquier uso que
haga de la información aquí contenida.
=============================================================================


Punto de acceso a la red privada virtual (layer 2 bridging)


El router OpenWrt asigna a sus hosts IPs dentro del rango VPN. Los hosts no necesitan que se les instale ZeroTier para navegar por la VPN. Al tener una IP VPN, son direccionables: responden al ping, reaccionan al arranque en remoto (Wake on Lan), son manejables desde escritorio remoto...


0) Planteamiento

Router proveedor de Intenet
WAN IP: 192.168.1.1

Router OpenWrt (routed AP)
WAN IP: 192.168.1.x (la que le asigne el servidor DHCP)
LAN/VPN IP: 192.168.100.4 (IP estática)
Puerta de enlace: 192.168.1.1 (WAN)
Servidor DNS: 1.1.1.1, 1.0.0.1

SWITCH
Bocas 1, 2 y 3 : LAN
Boca 4: WAN

Red ZeroTier (VPN)
Rango: 192.168.100.0/24 (Asignado por el usuario al registrar la red.)
Network ID: ID_DE_RED (El Network ID es un número hexadecimal único de 16 dígitos generado automáticamente por la capa VL2 de ZeroTier.)


1) Configurar el router OpenWrt

Conectar el PC al zócalo LAN1 del router OpenWrt e iniciar sesión ssh root@192.168.1.1 (PuTTY, en Windows)

Configurar la interfaz LAN

--- Código: ---uci set dhcp.lan.ra_management='1'
uci del network.lan.ip6assign
uci set network.lan.ipaddr='192.168.1.4'
uci add_list network.lan.dns='1.1.1.1'
uci add_list network.lan.dns='1.0.0.1'
--- Fin del código ---
LuCI: https://i.imgur.com/SKcLLRS.png

Configurar el SWITCH (conectores LAN1 a LAN4)

--- Código: ---puertoCPU=$(uci get network.@switch_vlan[0].ports | awk '{print $5}')
uci set network.@switch_vlan[0].ports='0 1 2 '$puertoCPU
uci add network switch_vlan
uci set network.@switch_vlan[-1].device='switch0'
uci set network.@switch_vlan[-1].vlan='2'
uci set network.@switch_vlan[-1].ports='3 '$puertoCPU
--- Fin del código ---

Configurar la interfaz WAN

--- Código: ---uci set network.wan=interface
uci set network.wan.ifname='eth0.2'
uci set network.wan.proto='dhcp'
--- Fin del código ---

Aplicar cambios y reiniciar

--- Código: ---uci commit
reboot
--- Fin del código ---

Conectar un cable ethernet entre el router ISP y el zócalo LAN4 del router OpenWrt.


2) Instalar y configurar ZeroTier

Tras el reinicio, el PC habrá perdido la conexión con el router, que ahora tiene una nueva IP: 192.168.100.4. Para que el PC retome una IP dentro del nuevo rango, suele bastar con desconectar y volver a conectar el latiguillo ethernet que lo une al router.

Abrir una nueva sesión ssh root@192.168.100.4 (PuTTY, en Windows)

Actualizar lista de paquetes e instalar ZeroTier One

--- Código: ---opkg update
opkg install zerotier
--- Fin del código ---

Configurar ZeroTier. Sustituir 'ID_DE_RED' por la Network ID de la red ZeroTier.

--- Código: ---rm /etc/config/zerotier
touch /etc/config/zerotier
uci set zerotier.openwrt_network=zerotier
uci add_list zerotier.openwrt_network.join='ID_DE_RED'
uci set zerotier.openwrt_network.enabled='1'
uci commit zerotier
/etc/init.d/zerotier restart
/etc/init.d/firewall restart
--- Fin del código ---

Si la instalación de ZeroTier ha ido bien, se habrá generado un nuevo dispositivo ethernet virtual "ztxxxxxxxx".

--- Código: ---ifconfig | grep zt
ztxxxxxxxx Link encap:Ethernet  HWaddr 0E:F4:4C:xx:xx:xx
--- Fin del código ---

Además, se puede verificar que ZeroTier está ONLINE.

--- Código: ---zerotier-cli info
200 info 79aa2xxxxx 1.6.4 ONLINE
--- Fin del código ---
(El número hexadecimal "79aa2xxxxx" es el identificador de nodo generado por la capa VL1 de ZeroTier.)

Opcionalmente, se puede mejorar el rendimiento permitiendo las conexiones UDP entrantes por el puerto 9993.

Reiniciar el router. Algunas veces no es necesario.


--- Código: ---reboot
--- Fin del código ---

Definir una interfaz para el dispositivo virtual ztxxxxxxxx

--- Código: ---uci set network.ZeroTier=interface
uci set network.ZeroTier.ifname=$(ifconfig | grep zt | awk '{print $1}')
uci set network.ZeroTier.proto='none'
--- Fin del código ---

Puentear la interfaz LAN con la interfaz ZeroTier

--- Código: ---uci set network.lan.ifname="$(uci get network.lan.ifname) $(uci get network.ZeroTier.ifname)"
--- Fin del código ---

Aplicar los cambios y reiniciar

--- Código: ---uci commit network
uci commit firewall
reboot
--- Fin del código ---


3) Autorizar al router OpenWrt a unirse a la red ZeroTier

En ZeroTier Central (https://my.zerotier.com), buscar el router (el identificador de nodo y la MAC ayudan) y marcar la casilla "Auth?". Cambiar la IP asignada automáticamente por la IP fija 192.168.100.4. Si se quiere, se le puede poner un nombre. Marcar la casilla "Allow Ethernet Bridging" (para verla, hacer clic en el icono 🔧)




4) Esperar unos minutos a que se establezca la red ZeroTier.

El router está conectado a la red ZeroTier con su propia IP (192.168.100.4). Además, reparte IPs VPN entre sus hosts, que pueden navegar por la red virtual. Los hosts, al tener una IP propia en la VPN, son miembros "de pleno derecho" de la VPN. Responden a los pings recibidos, reaccionan al recibir paquetes mágicos "wake-on-lan" y es posible acceder a ellos mediante escritorio remoto.

--- Fin de la cita ---

sabrias decirme si puedo hacer esto mismo en mi router R9000 ddwrt?

raphik:

--- Cita de: royroyers en 11-09-2021, 18:55 (Sábado) ---sabrias decirme si puedo hacer esto mismo en mi router R9000 ddwrt?

--- Fin de la cita ---

En el primer post escribí:
“Gracias al esfuerzo y a la dedicación de Moritz Warning, ZeroTier One es a día de hoy un paquete más de OpenWrt.”

Moritz Warning desarrolló una versión de ZeroTier One para routers OpenWrt. Hasta donde sé, no desarrolló nada de esto para dd-wrt.

Navegación

[0] Índice de Mensajes

[*] Página Anterior

Ir a la versión completa