Seguridad Wireless - Wifi
Equipos y materiales => Puntos de acceso, routers, switchs y bridges => Openwrt & LEDE => Mensaje iniciado por: raphik en 14-03-2021, 21:07 (Domingo)
-
Gracias al esfuerzo y a la dedicación de Moritz Warning (https://github.com/mwarning), ZeroTier One es a día de hoy un paquete más de OpenWrt.
Posibles aplicaciones de ZeroTier en un router OpenWrt:
APLICACIÓN 1
Servidor (de archivos, páginas web, lectura de sensores, manejo de relés, etc.) (Ver más) (https://foro.seguridadwireless.net/openwrt/vpn-con-zerotier-en-openwrt/msg371843/#msg371843)
(https://i.imgur.com/4pUFmhw.png)
Router OpenWrt desempeñando rol de servidor en una VPN.
APLICACIÓN 2
Punto de acceso a la red privada virtual (masquerading) (Ver más) (https://foro.seguridadwireless.net/openwrt/vpn-con-zerotier-en-openwrt/msg371884/#msg371884)
(https://i.imgur.com/ochL579.png)
Router OpenWrt en modo puente (bridged AP). El router asigna a sus hosts IPs ajenas a la VPN. Los hosts salen a la VPN con la IP del router utilizando una técnica llamada masquerading. Pueden navegar, pero no son direccionables.
APLICACIÓN 3
Punto de acceso a la red privada virtual (layer 2 bridging) (Ver más) (https://foro.seguridadwireless.net/openwrt/vpn-con-zerotier-en-openwrt/msg372042/#msg372042)
(https://i.imgur.com/lfEDtgt.png)
Router OpenWrt en modo pasarela (routed AP). El router asigna a sus hosts IPs dentro del rango VPN. Los hosts salen a la VPN con su propia IP utilizando una técnica llamada layer 2 bridging. Pueden navegar y son direccionables.
APLICACIÓN 4
LAN extendida. Los PCs situados en ubicaciones alejadas entre sí están en la misma red (Ver más) (https://foro.seguridadwireless.net/openwrt/vpn-con-zerotier-en-openwrt/msg372178/#msg372178)
(https://i.imgur.com/ZfDt8Vh.png)
Varios routers OpenWrt en modo pasarela (routed AP). Cada router asigna a sus hosts IPs dentro de un subrango VPN. Los hosts salen a la VPN con su propia IP utilizando una técnica llamada layer 2 bridging. Pueden navegar y son direccionables.
-
=========================== ADVERTENCIA DE RIESGO ===========================
Buena parte de la información que aparece en este artículo la he recopilado
de distintos sitios de Internet. A pesar de las minuciosas coprobaciones pre-
vias a su publicación, no puedo garantizar su veracidad, exactitud, actuali-
dad, fiabilidad e integridad. Por lo tanto, el presente artículo no debe ser
considerado como un consejo de uso. Usted es responsable de cualquier uso que
haga de la información aquí contenida.
=============================================================================
Servidor (de archivos, páginas web, multimedia, video vigilancia, lectura de sensores, manejo de relés, etc.)
(https://i.imgur.com/4pUFmhw.png)
ZeroTier facilita la integración de un router OpenWrt en la VPN. En función del conjunto de paquetes de software que se le instale posteriormente, podrá desempeñar el rol de servidor de archivos, de páginas web, lectura de sensores, manejo de relés, etc.
NOTA: ZeroTier encripta el tráfico de un extremo al otro. La transmisión de vídeo implica un alto flujo de datos. Esto no debería suponer un problema si no fuera porque ZeroTier impone al router el cifrado/descifrado de la transmisión. El streaming de vídeo en tiempo real es inviable, dado que la imagen se congela cada pocos segundos.
Tal vez se podría resolver deshabilitando la encriptación. https://github.com/zerotier/ZeroTierOne/issues/340
0) Planteamiento
Router proveedor de Intenet
LAN IP: 192.168.1.1
Router OpenWrt (bridged AP) (https://openwrt.org/docs/guide-user/network/wifi/bridgedap)
LAN IP: 192.168.1.2 (IP estática)
Puerta de enlace: 192.168.1.1
Servidor DNS: 192.168.1.1
VPN IP: 192.168.100.2
Red ZeroTier (VPN)
Rango: 192.168.100.0/24 (Asignado por el usuario al registrar la red.)
Network ID: ID_DE_RED (El Network ID es un número hexadecimal único de 16 dígitos generado automáticamente por la capa VL2 de ZeroTier.)
1) Configurar la interfaz LAN
Asignar a la interfaz LAN una IP estática (192.168.1.2). Establecer DNS y Gateway (192.168.1.1, IP del proveedor de Internet.)
uci del network.lan.ip6assign
uci set network.lan.ipaddr='192.168.1.2'
uci set network.lan.gateway='192.168.1.1'
uci add_list network.lan.dns='192.168.1.1'
uci commit network
Desconectar el servidor DHCP.
uci del dhcp.lan.start
uci del dhcp.lan.limit
uci del dhcp.lan.leasetime
uci set dhcp.lan.ra_management='1'
uci set dhcp.lan.ignore='1'
uci commit dhcp
Reiniciar el router.
reboot
2) Instalar y configurar ZeroTier
Actualizar lista de paquetes e instalar ZeroTier One.
opkg update && opkg install zerotier
Configurar ZeroTier (yo lo hago a lo bruto). Sustituir 'ID_DE_RED' por el Network ID.
rm /etc/config/zerotier
touch /etc/config/zerotier
uci set zerotier.openwrt_network=zerotier
uci add_list zerotier.openwrt_network.join='ID_DE_RED'
uci set zerotier.openwrt_network.enabled='1'
uci commit zerotier
/etc/init.d/zerotier restart
/etc/init.d/firewall restart
Se puede comprobar que la instalación de ZeroTier ha generado un nuevo dispositivo ethernet virtual "ztxxxxxxxx".
ifconfig | grep zt
ztxxxxxxxx Link encap:Ethernet HWaddr 0E:F4:4C:xx:xx:xx
También, se puede verificar que ZeroTier está ONLINE.
zerotier-cli info
200 info 79aa2xxxxx 1.6.4 ONLINE(El número hexadecimal "79aa2xxxxx" es el identificador de nodo generado por la capa VL1 de ZeroTier.)
Opcionalmente, se puede mejorar el rendimiento permitiendo las conexiones UDP entrantes por el puerto 9993. Yo nunca lo hago. Supongo que habría que hacer lo mismo con el router del proveedor de Internet.
uci add firewall rule
uci set firewall.@rule[-1].name='Allow-ZeroTier-Inbound'
uci set firewall.@rule[-1].src='*'
uci set firewall.@rule[-1].target='ACCEPT'
uci set firewall.@rule[-1].proto='udp'
uci set firewall.@rule[-1].dest_port='9993'
uci commit firewall
/etc/init.d/firewall restart
Reiniciar el router. Algunas veces no es necesario.
reboot
3) Autorizar al router a unirse a la red ZeroTier
En ZeroTier Central (https://my.zerotier.com), buscar el router (el identificador de nodo y la MAC ayudan) y marcar la casilla "Auth?". Cambiar la IP asignada automáticamente por la IP fija 192.168.100.2. Si se quiere, se le puede poner un nombre.
(https://i.imgur.com/WLWSWXx.png)
4) Esperar unos minutos a que ZeroTier establezca la red.
El router está conectado a la red ZeroTier 192.168.100.0/24. Responde a los pings que se le envían.
Desde cualquier host de la VPN se puede abrir una sesión SSH contra el router.
ssh root@192.168.100.2
-
Estás hecho todo un cocinero :D.
Gracias por la receta.
En el router ZT de la casa1, no hice la parte de añadir la interfaz desde luci. No sabía que había que hacerlo. En el tutorial que vi por ahí, no lo hacía. Lo probaré un día de estos.
EDITO:
De hecho, creo que la parte realmente importante (que tampoco hice) es la de firewall.
-
Al instalar ZeroTier en OpenWrt se crea un dispositivo virtual, pero no su correspondiente interfaz que hay añadir "a mano". La interfaz es de tipo "unmanaged" que ya se encargará ZeroTier de asignarle una IP.
-
Mil gracias raphik por tu tiempo y por el tuto que va al baúl para cuando tenga un rato!!! >:(
-
En el router ZT de la casa1, no hice la parte de añadir la interfaz desde luci. No sabía que había que hacerlo. En el tutorial que vi por ahí, no lo hacía. Lo probaré un día de estos.
EDITO:
De hecho, creo que la parte realmente importante (que tampoco hice) es la de firewall.
Efectivamente, podrías saltarte lo de añadir la interfaz, pero es imprescindible definir las políticas de entrada/salida/reenvío entre las redes LAN y ZeroTier. Al no haberse generado la interfaz, la red cubierta por la nueva zona del cortafuegos se designa por el nombre del dispositivo, a secas.
(https://i.imgur.com/OuiMUJ1.png)
-
Hola !
He conseguido que me funcione.
Sin embargo, lo he configurado algo distinto.
En mi caso, también he omitido la parte de zona y de firewall ....; ya que la interfaz lan también la tengo fuera de zonas y fuera de la config de firewall. Al asignar la interfaz de ZT a ninguna zona, he conseguido la conectividad.
Lo que no termino de entender es .... ^-^
(Vuelvo en un par de pruebas....)
EDITO:
Prueba: desactivar el firewall.
Resultado: se puede acceder. El firewall no es imprescindible para la conectividad.
Prueba: borro la interfaz ZT ... (en sección networks, en luci)
Resultado: se puede acceder.
A todo esto, tengo que decir que las pruebas las estoy haciendo ahora mismo en CASA1, y estoy accediendo desde mi móvil (red móvil).
No sé por qué no podía acceder en CASA2, desde el PC. Algo debí tocar para que no funcionara. Cuando vuelva a CASA2 volveré a intentar conectarme, ahora que sé que en CASA1 no está el problema.
Estas pruebas las he hecho después de añadir la interfaz en luci -> networks.
¿Al haber añadido la interfaz en luci -> networks, ha cambiado algo el archivo de configuración .... que ha hecho que me funcionara?
(Aquí echo en falta un smiley pensativo)
-
@peperfus
He repetido tu configuración: router recién flasheado, ZT instalado (compruebo que se genera el dispositivo virtual ztxxxxxxxx), NO le añado interfaz, NO le asigno zona en el firewall, lo autorizo en ZeroTier Central y... ¡funciona!
En cuanto a seguridad, no sabría decir si es peligroso dejar un dispositivo sin interfaz y sin cortafuegos.
-
=========================== ADVERTENCIA DE RIESGO ===========================
Buena parte de la información que aparece en este artículo la he recopilado
de distintos sitios de Internet. A pesar de las minuciosas coprobaciones pre-
vias a su publicación, no puedo garantizar su veracidad, exactitud, actuali-
dad, fiabilidad e integridad. Por lo tanto, el presente artículo no debe ser
considerado como un consejo de uso. Usted es responsable de cualquier uso que
haga de la información aquí contenida.
=============================================================================
Punto de acceso a la red privada virtual (masquerading)
(https://i.imgur.com/ochL579.png)
El router OpenWrt comparte con sus hosts el acceso a la VPN sin que haya que instalarles ZT a cada uno de ellos. Los hosts tienen una IP ajena a la VPN, por lo que no son direccionables (pueden navegar por la VPN, pero no son manejables mediante escritorio remoto).
0) Planteamiento
Router proveedor de Intenet
WAN IP: 192.168.1.1
Router OpenWrt (bridged AP) (https://openwrt.org/docs/guide-user/network/wifi/bridgedap)
WAN IP: 192.168.1.x (la que le asigne el servidor DHCP)
LAN IP: 192.168.1.3 (IP estática)
Puerta de enlace: 192.168.1.1 (WAN)
Servidor DNS: 1.1.1.1, 1.0.0.1
VPN IP: 192.168.100.3
SWITCH
Bocas 1, 2 y 3 : LAN
Boca 4: WAN
Red ZeroTier (VPN)
Rango: 192.168.100.0/24 (Asignado por el usuario al registrar la red.)
Network ID: ID_DE_RED (El Network ID es un número hexadecimal único de 16 dígitos generado automáticamente por la capa VL2 de ZeroTier.)
1) Configurar el router OpenWrt
Conectar el PC al zócalo LAN1 del router OpenWrt.
Configurar la interfaz LAN
uci set dhcp.lan.ra_management='1'
uci del network.lan.ip6assign
uci set network.lan.ipaddr='192.168.1.3'
uci add_list network.lan.dns='1.1.1.1'
uci add_list network.lan.dns='1.0.0.1'
Configurar el SWITCH (conectores LAN1 a LAN4)
puertoCPU=$(uci get network.@switch_vlan[0].ports | awk '{print $5}')
uci set network.@switch_vlan[0].ports='0 1 2 '$puertoCPU
uci add network switch_vlan
uci set network.@switch_vlan[-1].device='switch0'
uci set network.@switch_vlan[-1].vlan='2'
uci set network.@switch_vlan[-1].ports='3 '$puertoCPU
Configurar la interfaz WAN
uci set network.wan=interface
uci set network.wan.ifname='eth0.2'
uci set network.wan.proto='dhcp'
Aplicar cambios y reiniciar
uci commit
reboot
Conectar un cable ethernet entre el router ISP y el zócalo LAN4 del router OpenWrt.
2) Instalar y configurar ZeroTier
Actualizar lista de paquetes e instalar ZeroTier One
opkg update
opkg install zerotier
Configurar ZeroTier. Sustituir 'ID_DE_RED' por la Network ID de la red ZeroTier.
rm /etc/config/zerotier
touch /etc/config/zerotier
uci set zerotier.openwrt_network=zerotier
uci add_list zerotier.openwrt_network.join='ID_DE_RED'
uci set zerotier.openwrt_network.enabled='1'
uci commit zerotier
/etc/init.d/zerotier restart
/etc/init.d/firewall restart
ZeroTier se habrá instalado correctamente si existe un nuevo dispositivo ethernet virtual "ztxxxxxxxx".
ifconfig | grep zt
ztxxxxxxxx Link encap:Ethernet HWaddr 0E:F4:4C:xx:xx:xx
Además, se puede verificar que ZeroTier está ONLINE.
zerotier-cli info
200 info 79aa2xxxxx 1.6.4 ONLINE(El número hexadecimal "79aa2xxxxx" es el identificador de nodo generado por la capa VL1 de ZeroTier.)
Opcionalmente, se puede mejorar el rendimiento permitiendo las conexiones UDP entrantes por el puerto 9993.
Reiniciar el router. Algunas veces no es necesario.
reboot
Definir una interfaz para el dispositivo virtual interfaz ztxxxxxxxx
uci set network.ZeroTier=interface
uci set network.ZeroTier.ifname=$(ifconfig | grep zt | awk '{print $1}')
uci set network.ZeroTier.proto='none'
Configurar una nueva zona en el cortafuegos
uci add firewall zone
uci set firewall.@zone[-1].name='vpn'
uci set firewall.@zone[-1].network='ZeroTier'
uci set firewall.@zone[-1].input='ACCEPT'
uci set firewall.@zone[-1].forward='ACCEPT'
uci set firewall.@zone[-1].masq='1'
uci set firewall.@zone[-1].output='ACCEPT'
uci add firewall forwarding
uci set firewall.@forwarding[-1].dest='lan'
uci set firewall.@forwarding[-1].src='vpn'
uci add firewall forwarding
uci set firewall.@forwarding[-1].dest='vpn'
uci set firewall.@forwarding[-1].src='lan'
Aplicar los cambios y reiniciar
uci commit network
uci commit firewall
reboot
3) Autorizar al router OpenWrt a unirse a la red ZeroTier
En ZeroTier Central (https://my.zerotier.com), buscar el router (el identificador de nodo y la MAC ayudan) y marcar la casilla "Auth?". Cambiar la IP asignada automáticamente por la IP fija 192.168.100.3. Si se quiere, se le puede poner un nombre.
(https://i.imgur.com/PbQlrts.png)
4) Esperar unos minutos a que se establezca la red ZeroTier.
El router está conectado a la red ZeroTier. Comparte su IP VPN (192.168.100.3) con sus hosts, que pueden navegar por la red virtual. Los hosts tienen una IP ajena a la VPN, por lo que no son direccionables.
-
Ok, raphik !!
Vuelvo con novedades y 4 comentarios:
1) Acabo de volver a CASA2 (ZeroTier en PC con Win7) y haciendo pruebas, investigando.... por lo visto alguna vez falla ZT aquí (no sé quién tendrá la culpa, pero hay varias quejas en algún que otro foro). He desinstalado ZT, vuelto a instalar ....; él me añade en dispositivos de red una tarjeta de red virtual nueva y un puerto virtual nuevo. Lo pruebo y OK. Ya funciona.
2) En cuanto al tema de seguridad, te cuento mi punto de vista. Según entiendo, el firewall tiene 2 funciones: una es la de seguridad y la otra la de enrutar conexiones de una zona a otra (función de router propiamente dicha, ya sea entre WAN y LAN, o la que sea). En cuanto a seguridad.... piensa que una red (zona) es como tu casa. Si confías en todos los miembros de la red, el firewall en principio no es necesario, pero claro, cuando dejas la puerta abierta (conectas con otra red), ahí el firewall ya tiene que vigilar quién puede entrar y quién no, etc (input/output/forward). Al usar este cacharro (llamado router, pero que no hace ninguna función de router, sino que simplemente es un miembro de la red), no necesito activarle el firewall, con lo que le mejoro el rendimiento. Otra cosa es que un día venga un Señor de Troya y me la líe parda, eso ya es responsabilidad mía (y la asumo). De todas formas, si tenemos el firewall por defecto con la zona LAN en verde, todo el input abierto y output abierto, de nada serviría a nivel local. Hay que ponerle una contraseña fuerte. Piensa también que al estar este cacharro ("router") dentro de la vpn, sólo los miembros de la vpn tienen acceso, que son de confianza. En el caso de la red vpn, tenemos conexión directa y no es necesario enrutar nada a nivel de firewall. Otra cosa será el enrutamiento interno que haga zerotier, que se encarga de configurar ruta estática diciéndole al cacharro: "todo lo que vaya a la red 192.168.192.0/24 (mi red IPv4 ZT), lánzalo por este dispositivo de red: ztxxxxxx5".
Así es como entiendo yo su funcionamiento.
3) Interesante todo esto, además de seguir aprendiendo y/o refrescando conocimientos de redes.
Este tema me ha recordado a otro que me picó en su día (https://foro.seguridadwireless.net/openwrt/2-interfaces-con-dhcp-(eth0-y-wlan0)-wlan0-coge-ip-pero-eth0-no-por-que/), sobre tener un openwrt WIFI cliente y CABLE cliente conectadas ambas al mismo tiempo a la misma red lógica. Algunos decían que era imposible, que no se podía o que no tenía sentido. No me rendí y lo conseguí. Tiene sentido porque al tener 2 interfaces conectadas, tenemos 2 posibilidades de acceso por si una de ellas cae. (Al fin y al cabo, esa filosofía fue uno de los pilares de la invención de arpanet, el "padre" de Internet, la red de redes.) En cierto sentido esto de la vpn es algo relativamente similar: una forma alternativa de acceso.
4) Ah, no. Eran sólo 3 comentarios. ( ;D)
Edito: estaría interesante conseguir que los PCs (ó hosts, vaya), naveguen de forma transparente por la vpn, conectados a través del router openwrt. No sé si es la idea que tienes para el próximo tuto que has dejado en pendiente (cuidado, no vaya a resbalar ;D (perdón ^-^)). En principio no lo veo muy difícil....
De hecho.... creo que sólo habría que indicarle las rutas estáticas.... manualmente una a una, o bien toda la red.
Es decir: decirle al router openwrt: "Las peticiones a la red ZT, lánzalas por la interfaz ZT"
-
Efectivamente, como me imaginaba, al instalar ZT en el router openwrt (CON función de router propiamente dicha), la navegación por la VPN de los hosts de nuestro lado de la red es transparente, no necesitando el cliente ZT en cada host.
Lo acabo de probar y es instantáneo. No necesita nada de configuración extra, lo cual es lógico. Es el propio ZT el que se encarga de añadir una ruta estática a la tabla de enrutamiento, es decir: definir que para acceder a la red ZT, debe usar la interfaz ZT. Al acceder a cualquier IP de dicha red desde, por ejemplo un PC de nuestro lado de la red, openwrt ya redirige la petición a la red ZT directamente, sin que tengamos que hacer nada más.
Fácil fácil !!
:D
-
Efectivamente, como me imaginaba, al instalar ZT en el router openwrt (CON función de router propiamente dicha), la navegación por la VPN de los hosts de nuestro lado de la red es transparente, no necesitando el cliente ZT en cada host.
Lo acabo de probar y es instantáneo. No necesita nada de configuración extra, lo cual es lógico. Es el propio ZT el que se encarga de añadir una ruta estática a la tabla de enrutamiento, es decir: definir que para acceder a la red ZT, debe usar la interfaz ZT. Al acceder a cualquier IP de dicha red desde, por ejemplo un PC de nuestro lado de la red, openwrt ya redirige la petición a la red ZT directamente, sin que tengamos que hacer nada más.
Fácil fácil !!
:D
Lo he probado y no obtengo resultados consistentes. Unas veces funciona y otras no.
¿Cómo conectas el router OpenWrt al ISP? ¿Por cable o Wi-Fi? ¿y los hosts?
Saludos.
-
....
Lo he probado y no obtengo resultados consistentes. Unas veces funciona y otras no.
¿Cómo conectas el router OpenWrt al ISP? ¿Por cable o Wi-Fi? ¿y los hosts?
Saludos.
Personalmente, soy partidario de usar sólo el wifi cuando no tengo más remedio. Siempre que puedo elegir, elijo cable. El router Open lo tengo en la misma mesita que el del ISP, conectado por cable. Y el del ISP lo tengo con todos los puertos abiertos al de Open (tal vez sea eso lo que te falla ? (habría que pensarlo bien))
Y los hosts .... por cable también, excepto móviles, claro.
A todo esto, sólo lo he probado un par de veces. Lo probaré desde el móvil a ver qué tal va, por curiosidad.
Tengo que decir también que la conexión a veces sí me tardaba bastante, eso sí. Si hago más pruebas y veo que me falla alguna vez, te lo comento.
Edito: Pego resultado de pings:
C:\Users\Pepe>ping -t 192.168.192.184
Haciendo ping a 192.168.192.184 con 32 bytes de datos:
Respuesta desde 192.168.192.184: bytes=32 tiempo=45ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=46ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=47ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=44ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=46ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=45ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Tiempo de espera agotado para esta solicitud.
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=46ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=44ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=46ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=47ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=44ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=46ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=46ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=46ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=46ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=46ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=46ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=62ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=46ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=44ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=46ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Estadísticas de ping para 192.168.192.184:
Paquetes: enviados = 69, recibidos = 68, perdidos = 1
(1% perdidos),
Tiempos aproximados de ida y vuelta en milisegundos:
Mínimo = 42ms, Máximo = 62ms, Media = 43ms
-
@peperfus
¡Ya me funciona! Era la wifi del router remoto, que no iba bien. Sigue algo inestable, pero ha mejorado bastante. En cuanto pueda le meto cable.
En la parte remota: [router] ))) [isp]
En la parte local: [host] ))) [router] --- [isp]
Los dos ISPs tienen los puertos cerrados, tal como los instala el proveedor.
Los pings desde el host me salen de media 17.221 ms para el router local y 385.014 ms para el remoto.
¿Has hecho pruebas de velocidad de transferencia de archivos? ¿webcam, sensores..?
-
Me alegro :-)
Mira, si te fijas en mis pruebas de ping, no fueron 100% estables. Hubo un paquete perdido. Creo que coincidió al mismo tiempo que hice un inicio se sesión al ssh del router mientras hacía los pings. Tal vez se saturó >:D
Acabo de hacer una prueba de subir un archivo:
(subida = 273 kb/s. Lo indico escrito por si en un futuro se pierde la imagen.)
(https://i.imgur.com/FtTGcEk.png)
Prueba de bajada:
(bajada = 367 kb/s)
(https://i.imgur.com/m7XezQc.png)
Ambas pruebas, usando winscp y protocolo scp.
-
Efectivamente, como me imaginaba, al instalar ZT en el router openwrt (CON función de router propiamente dicha), la navegación por la VPN de los hosts de nuestro lado de la red es transparente, no necesitando el cliente ZT en cada host.
Los hosts de nuestro lado de la red son hosts de la LAN, no de la VPN. Navegan por la VPN con una IP enmascarada. En consecuencia, no son direccionables desde el lado remoto de la VPN. Tal vez por eso daviddrf quiso instalar Relayd. (https://foro.seguridadwireless.net/openwrt/(consultaduda)-relayd-con-zerotier-no-accesible-por-web-ni-ping-desde-sd-wan/msg369695/#msg369695)
Para que los hosts sean hosts de la VPN, hay que asignarles una IP dentro del rango VPN
(https://i.imgur.com/nSggNLR.png)
puentear las interfaces LAN y ZT en el router (Layer 2 Bridging)
(https://i.imgur.com/KSXmxuc.png)
forzar la misma IP en ZT Central y marcar la casilla "Allow Ethernet Bridging" (para verla, hacer clic en el icono 🔧)
(https://i.imgur.com/jCtMJ1O.png)
Una vez hecho esto, los hosts de nuestro lado de la red tienen una IP en la LAN y otra en la VPN que son coincidentes (no sé si esto es una buena idea, lo cierto es que funciona...) Son hosts de pleno derecho de la VPN. Responden a los pings del lado remoto. También responden al arranque WOL y pueden manejarse mediante escritorio remoto.
Saludos.
-
Hace tiempo que me registré en el foro, pero debe haberse eliminado la cuenta. Bueno pues bien, me he molestado en volverme a registrar solo para darte/daros las gracias por este grandismo aporte. Esto es tremendo. Funciona de escándalo.
Me ha costado seguir todo el proceso porque entendía las cosas a duras penas. Me faltaban y aún me faltan muchos conocimientos sobre redes. Por eso y aún después de echarle unas cuantas horas hay cosas que se me escapan pero que gracias al paso a paso he conseguido tirar para adelante. Me hubiera gustado que hubiese sido más visual, en vez de usar Putty puesto que no entiendo bien la sintaxis usada, pero sin problema.
Me interesaba lo que no has publicado formalmente pero si que has apuntado las formas, aunque no sea de una manera muy ortodoxa. Espero que le puedas dar forma pronto. Lo espero ansioso por si se puede mejorar más. En concreto la parte de comunicación con los host en la VPN desde fuera, sin ser local. Pero vamos ya digo, que con lo que hay funciona bien.
Una vez más y nunca me cansaré, muchas gracias.
EDITO PARA DECIR......
Se me olvidó comentar que durante el proceso de configuración del SWITCH se me desactivó el puerto LAN1. No se si es normal y es necesario que esté así, aunque creo que no. La verdad es que no entiendo bien porque hay que hacer esto del SWITCH. ¿Hay que tener un puerto exclusivo para recibir internet por cable? La he activado otra vez y parece que por todas puede recibir internet y lo ofrece al resto. Parece que bien.
En el tutorial al poner la IP fija, falta la puerta de enlace. O al menos a mi no me funciona sin poner el Gateway. No me daba internet para bajar el paquete de ZeroTier. Después de fijarla, bien.
Por último añadir que intento poner el receptor de satélite para poder conectarme fuera de casa y el caso que conecta, pero se ven los 2 o 3 primeros segundos. Luego se corta y se acabó lo que se daba. Parece que quiere volver al rato o de vez encuando pero solo da un pantallazo con la imagen del momento. Primero he pensando que sería la velocidad de la conexión pero creo que no.
En mi propia red con Wifi se genera un tráfico de 330 kb aproximadamente para ver un vídeo en SD y lo veo sin problema ninguno en cualquier dispositivo (móvil, móvil android, ...). Si activo ZeroTier veo que el fujo de datos que recibe el móvil android por ejemplo, sube a 550 kb. Al menos esa es la cantidad de datos que le entran al teléfono constantemente, que no se porque, pero bueno. Y ocurre lo que he dicho antes. Que no se ve a pesar de recibir mñas datos que antes.
¿Podría ser algún tema de zonas, firewall, redundancia de datos por algún sitio? ¿Porqué se genera más flujo de datos en el smartphone cuando uso ZeroTier para ver las emisiones del receptor que si lo hago de manera directa? ¿Alguna idea de como solucionar algo de esto?
-
Hace tiempo que me registré en el foro, pero debe haberse eliminado la cuenta.
Yo también perdí mi cuenta. Eso fue en 2018. Hubo cambios en el foro y el Administrador estableció un plazo para migrar las cuentas, cosa que yo no hice. Son cosas que pasan.
https://foro.seguridadwireless.net/index.php?pretty;board=foro-libre-offtopic;topic=proximamente-abriremos-el-registro.msg363291#msg363291
Posteriormente ha habido purgas de usuarios que no envían comentarios en seis meses. Igual vuelvo a perder mi cuenta en una de éstas. Hay semestres en los que uno no tiene nada que decir.
https://foro.seguridadwireless.net/problemas-con-el-foro-y-los-portales-web/purga-usuarios/
Bueno pues bien, me he molestado en volverme a registrar solo para darte/daros las gracias por este grandísmo aporte. Esto es tremendo. Funciona de escándalo.
Gracias a ti por comentar y agradecer.
Me ha costado seguir todo el proceso porque entendía las cosas a duras penas. Me faltaban y aún me faltan muchos conocimientos sobre redes. Por eso y aún después de echarle unas cuantas horas hay cosas que se me escapan pero que gracias al paso a paso he conseguido tirar para adelante.
Yo tampoco tengo los conocimientos de redes que me gustaría y los que tengo me ha costado años conseguirlos. No tengo apuros en compartir mis conocimientos si con ello facilito el aprendizaje a otras personas: éste es o debería ser el espíritu de cualquier foro.
Me hubiera gustado que hubiese sido más visual, en vez de usar Putty puesto que no entiendo bien la sintaxis usada, pero sin problema.
A mi también, pero no.
Me interesaba lo que no has publicado formalmente pero si que has apuntado las formas, aunque no sea de una manera muy ortodoxa. Espero que le puedas dar forma pronto. Lo espero ansioso por si se puede mejorar más. En concreto la parte de comunicación con los host en la VPN desde fuera, sin ser local. Pero vamos ya digo, que con lo que hay funciona bien.
En eso estoy ahora, en el acceso a hosts remotos. La clave está en asignar automáticamente a los hosts una IP dentro del rango VPN de modo que sean accesibles individualmente (escaneo IP, wake-on-lan, escritorio remoto, mensajería instantánea...) Espero tenerlo listo en breve.
Una vez más y nunca me cansaré, muchas gracias.
En serio, gracias a ti por comentar y agradecer. Es muy gratificante.
Saludos.
-
Desde luego que hay gente muy poco agredecida. Y que además encima te copien sin reparo alguno los desarrollos de algo que has hecho desinteresadamente y que te ha costado seguramente muchas horas de investigación y publicación, no hay verguenza. Este tipo de gente abunda en esta vida, ya lo sabrás. Pero no por eso te apartes del espiritu de divulgación, que como bien dices, debe imperar en este y en todos los foros. Unos sabemos de unas cosas y otros de otras, y entre todos ayudamos en los que podemos.
Al tema...
No me refería a que hicieses un tutorial más visual. Me refería a que me hubiese gustado que lo hubieras publicado usando Luci, pero ya he visto que no hay opciones configurables por esta vía, así que toca echar manos de PuTTy si o si.
Sigo viendo como desarrollar esto, leyendo aquí y allá. Y sobretodo toqueteando que muchas veces es como se aprende y he intentando documentarme más leyendo en otros sitios en inglés, y se dice que simplemente es necesario darle una red distinta en ZeroTier Central a la que tenemos localmente apuntando, eso si, al router con OpenWrt con Zerotier instalado para que podamos comunicarnos con los host.
Pues yo al menos no he sido capaz y ya he leido que otras personas que tampoco. No hay comunicación. No se como lo conseguirán. La unica manera que he podido y que no he visto en más sitios es lo que tu dices de asignarles la misma red tanto a nivel local, como en la web Zerotier. Entonces si que se ven unos y otros.
Sigo sin conseguir estabilidad en la conexión, al menos en cuanto a mi idea de IPTV entre mi casa y estar fuera de ella. Parece que hay velocidad pero el video empieza perfecto al principio, y luego a los pocos segundos empiezan a ir a trompicones. Y no creo que sea velocidad de la conexión. Como digo empieza a verse rapido y se ve bien 5 o 6 segundos. Luego nada. De hecho cuando he intentado acceder a otros dispositivos en mi red local desde fuera tarda como en conectar y tengo que darle a refrescar 2 o 3 veces hasta conecta.
He abierto el puerto 9993 en el OpenWrt, como se señala en varios sitios pero no parece mejorar la cosa. Supongo que tendría que ser en el propio router que si tiene acceso a Internet, pero no en el OpenWrt, aunque siempre se menciona que tiene que ser en este.
Esperaré con paciencia la finalización de ese tutorial tuyo. Si alguna prueba necesitas que haga aquí estoy.
-
... durante el proceso de configuración del SWITCH se me desactivó el puerto LAN1. No se si es normal y es necesario que esté así, aunque creo que no.
La IP inicial de un router OpenWrt recién flasheado es la 192.168.1.1. Al ponerle la 192.168.1.3. y reiniciar el router los cambios se llevan a cabo. En mi caso (un HG553 y Linux Mint) no tengo que hacer nada para que el PC refresque la conexión, pero no descarto que en otros casos haya que desconectar y volver a conectar físicamente el latiguillo de red entre el PC y el router.
La verdad es que no entiendo bien porque hay que hacer esto del SWITCH. ¿Hay que tener un puerto exclusivo para recibir internet por cable? La he activado otra vez y parece que por todas puede recibir internet y lo ofrece al resto. Parece que bien.
Según la documentación de OpenWrt, hay dos maneras básicas de configurar un router como punto de acceso.
Bridged AP: https://openwrt.org/docs/guide-user/network/wifi/bridgedap
Routed AP: https://openwrt.org/docs/guide-user/network/wifi/routedap
Un router en modo "bridged" no hace funciones de router: no asigna IPs ni tiene hosts propios. El router funciona como un simple puente (bridge) entre los hosts y el router principal que es el que asigna las IPs y maneja el acceso a Internet de todos los hosts. Este modo me ha parecido perfecto para un router OpenWrt con rol de servidor dentro de la VPN.
Un router en modo "routed" hace funciones propias de router: asignación de IPs, manejo de hosts de su propia LAN y enrutado desde/hacia la WAN. Lo que lleva a confusión es el hecho de que las dos redes, la LAN y la WAN, sean 192.168.1.0/24. Tal vez si la LAN fuese 192.168.50.0/24 se entendería mejor. De cualquier forma, lo cierto es que hay dos redes distintas: la del router principal (WAN) y la del router OpenWrt (LAN). Este es el motivo por el que el switch está dividido en bocas LAN (de la 1 a la 3) y boca WAN (la 4). El modo "routed" es particularmente interesante porque mediante una capacidad llamada IP masquerade permite que sus hosts accedan a Internet (y a la VPN) sin tener una dirección oficial de Internet (ni de la VPN). El modo "bridged" no admite IP masquerade.
En el tutorial al poner la IP fija, falta la puerta de enlace. O al menos a mi no me funciona sin poner el Gateway. No me daba internet para bajar el paquete de ZeroTier. Después de fijarla, bien.
En la configuración Servidor (Bridged AP), la puerta de enlace está declarada: uci set network.lan.gateway='192.168.1.1'
En la configuración AP VPN (Masquerading), no hay necesidad de declarar la puerta de enlace. Por defecto, si no se declara, es la WAN. He seguido los pasos tal como está publicado y me funciona bien en un HG553. ¿En qué router lo estás instalando?
Por último añadir que intento poner el receptor de satélite para poder conectarme fuera de casa y el caso que conecta, pero se ven los 2 o 3 primeros segundos. Luego se corta y se acabó lo que se daba. Parece que quiere volver al rato o de vez en cuando pero solo da un pantallazo con la imagen del momento. Primero he pensando que sería la velocidad de la conexión pero creo que no.
Aquí me has pillado. No tengo receptor satélite y no sé que contestarte.
En mi propia red con Wifi se genera un tráfico de 330 kb aproximadamente para ver un vídeo en SD y lo veo sin problema ninguno en cualquier dispositivo (móvil, móvil android, ...). Si activo ZeroTier veo que el flujo de datos que recibe el móvil android por ejemplo, sube a 550 kb. Al menos esa es la cantidad de datos que le entran al teléfono constantemente, que no se por qué, pero bueno. Y ocurre lo que he dicho antes. Que no se ve a pesar de recibir más datos que antes.
¿Podría ser algún tema de zonas, firewall, redundancia de datos por algún sitio? ¿Porqué se genera más flujo de datos en el smartphone cuando uso ZeroTier para ver las emisiones del receptor que si lo hago de manera directa? ¿Alguna idea de como solucionar algo de esto?
Actualmente intento centrarme en las distintas maneras de integrar un router OpenWrt en una VPN ZeroTier. El foro de ZeroTier no da soporte para OpenWrt, así que cualquier avance cuesta lo suyo. Todavía no he llegado al tema de las velocidades de transferencia, pero según los datos que aportó peperfus, me pareció muy baja (273 kb/s de subida y 367 kb/s de bajada). Las pruebas las hizo usando winscp y protocolo scp. Supongo que con Samba el rendimiento sería todavía peor.
-
=========================== ADVERTENCIA DE RIESGO ===========================
Buena parte de la información que aparece en este artículo la he recopilado
de distintos sitios de Internet. A pesar de las minuciosas coprobaciones pre-
vias a su publicación, no puedo garantizar su veracidad, exactitud, actuali-
dad, fiabilidad e integridad. Por lo tanto, el presente artículo no debe ser
considerado como un consejo de uso. Usted es responsable de cualquier uso que
haga de la información aquí contenida.
=============================================================================
Punto de acceso a la red privada virtual (layer 2 bridging)
(https://i.imgur.com/lfEDtgt.png)
El router OpenWrt asigna a sus hosts IPs dentro del rango VPN. Los hosts no necesitan que se les instale ZeroTier para navegar por la VPN. Al tener una IP VPN, son direccionables: responden al ping, reaccionan al arranque en remoto (Wake on Lan), son manejables desde escritorio remoto...
0) Planteamiento
Router proveedor de Intenet
WAN IP: 192.168.1.1
Router OpenWrt (routed AP) (https://openwrt.org/docs/guide-user/network/wifi/routedap)
WAN IP: 192.168.1.x (la que le asigne el servidor DHCP)
LAN/VPN IP: 192.168.100.4 (IP estática)
Puerta de enlace: 192.168.1.1 (WAN)
Servidor DNS: 1.1.1.1, 1.0.0.1
SWITCH
Bocas 1, 2 y 3 : LAN
Boca 4: WAN
Red ZeroTier (VPN)
Rango: 192.168.100.0/24 (Asignado por el usuario al registrar la red.)
Network ID: ID_DE_RED (El Network ID es un número hexadecimal único de 16 dígitos generado automáticamente por la capa VL2 de ZeroTier.)
1) Configurar el router OpenWrt
Conectar el PC al zócalo LAN1 del router OpenWrt e iniciar sesión ssh root@192.168.1.1 (PuTTY, en Windows)
Configurar la interfaz LAN
uci set dhcp.lan.ra_management='1'
uci del network.lan.ip6assign
uci set network.lan.ipaddr='192.168.100.4'
uci add_list network.lan.dns='1.1.1.1'
uci add_list network.lan.dns='1.0.0.1'LuCI: https://i.imgur.com/SKcLLRS.png
Configurar el SWITCH (conectores LAN1 a LAN4)
puertoCPU=$(uci get network.@switch_vlan[0].ports | awk '{print $5}')
uci set network.@switch_vlan[0].ports='0 1 2 '$puertoCPU
uci add network switch_vlan
uci set network.@switch_vlan[-1].device='switch0'
uci set network.@switch_vlan[-1].vlan='2'
uci set network.@switch_vlan[-1].ports='3 '$puertoCPU
Configurar la interfaz WAN
uci set network.wan=interface
uci set network.wan.ifname='eth0.2'
uci set network.wan.proto='dhcp'
Aplicar cambios y reiniciar
uci commit
reboot
Conectar un cable ethernet entre el router ISP y el zócalo LAN4 del router OpenWrt.
2) Instalar y configurar ZeroTier
Tras el reinicio, el PC habrá perdido la conexión con el router, que ahora tiene una nueva IP: 192.168.100.4. Para que el PC retome una IP dentro del nuevo rango, suele bastar con desconectar y volver a conectar el latiguillo ethernet que lo une al router.
Abrir una nueva sesión ssh root@192.168.100.4 (PuTTY, en Windows)
Actualizar lista de paquetes e instalar ZeroTier One
opkg update
opkg install zerotier
Configurar ZeroTier. Sustituir 'ID_DE_RED' por la Network ID de la red ZeroTier.
rm /etc/config/zerotier
touch /etc/config/zerotier
uci set zerotier.openwrt_network=zerotier
uci add_list zerotier.openwrt_network.join='ID_DE_RED'
uci set zerotier.openwrt_network.enabled='1'
uci commit zerotier
/etc/init.d/zerotier restart
/etc/init.d/firewall restart
Si la instalación de ZeroTier ha ido bien, se habrá generado un nuevo dispositivo ethernet virtual "ztxxxxxxxx".
ifconfig | grep zt
ztxxxxxxxx Link encap:Ethernet HWaddr 0E:F4:4C:xx:xx:xx
Además, se puede verificar que ZeroTier está ONLINE.
zerotier-cli info
200 info 79aa2xxxxx 1.6.4 ONLINE(El número hexadecimal "79aa2xxxxx" es el identificador de nodo generado por la capa VL1 de ZeroTier.)
Opcionalmente, se puede mejorar el rendimiento permitiendo las conexiones UDP entrantes por el puerto 9993.
Reiniciar el router. Algunas veces no es necesario.
reboot
Definir una interfaz para el dispositivo virtual ztxxxxxxxx
uci set network.ZeroTier=interface
uci set network.ZeroTier.ifname=$(ifconfig | grep zt | awk '{print $1}')
uci set network.ZeroTier.proto='none'
Puentear la interfaz LAN con la interfaz ZeroTier
uci set network.lan.ifname="$(uci get network.lan.ifname) $(uci get network.ZeroTier.ifname)"
Aplicar los cambios y reiniciar
uci commit network
uci commit firewall
reboot
3) Autorizar al router OpenWrt a unirse a la red ZeroTier
En ZeroTier Central (https://my.zerotier.com), buscar el router (el identificador de nodo y la MAC ayudan) y marcar la casilla "Auth?". Cambiar la IP asignada automáticamente por la IP fija 192.168.100.4. Si se quiere, se le puede poner un nombre. Marcar la casilla "Allow Ethernet Bridging" (para verla, hacer clic en el icono 🔧)
(https://i.imgur.com/GbaiGEJ.png)
4) Esperar unos minutos a que se establezca la red ZeroTier.
El router está conectado a la red ZeroTier con su propia IP (192.168.100.4). Además, reparte IPs VPN entre sus hosts, que pueden navegar por la red virtual. Los hosts, al tener una IP propia en la VPN, son miembros "de pleno derecho" de la VPN. Responden a los pings recibidos, reaccionan al recibir paquetes mágicos "wake-on-lan" y es posible acceder a ellos mediante escritorio remoto.
-
La IP inicial de un router OpenWrt recién flasheado es la 192.168.1.1. Al ponerle la 192.168.1.3. y reiniciar el router los cambios se llevan a cabo. En mi caso (un HG553 y Linux Mint) no tengo que hacer nada para que el PC refresque la conexión, pero no descarto que en otros casos haya que desconectar y volver a conectar físicamente el latiguillo de red entre el PC y el router.
Si, sin problema. De eso si tenía conocimiento y es verdad, para acelerar la reasignación es mejor desconectar y reconectar el cable.
Según la documentación de OpenWrt, hay dos maneras básicas de configurar un router como punto de acceso.
Bridged AP: https://openwrt.org/docs/guide-user/network/wifi/bridgedap
Routed AP: https://openwrt.org/docs/guide-user/network/wifi/routedap
Un router en modo "bridged" no hace funciones de router: no asigna IPs ni tiene hosts propios. El router funciona como un simple puente (bridge) entre los hosts y el router principal que es el que asigna las IPs y maneja el acceso a Internet de todos los hosts. Este modo me ha parecido perfecto para un router OpenWrt con rol de servidor dentro de la VPN.
Un router en modo "routed" hace funciones propias de router: asignación de IPs, manejo de hosts de su propia LAN y enrutado desde/hacia la WAN. Lo que lleva a confusión es el hecho de que las dos redes, la LAN y la WAN, sean 192.168.1.0/24. Tal vez si la LAN fuese 192.168.50.0/24 se entendería mejor. De cualquier forma, lo cierto es que hay dos redes distintas: la del router principal (WAN) y la del router OpenWrt (LAN). Este es el motivo por el que el switch está dividido en bocas LAN (de la 1 a la 3) y boca WAN (la 4). El modo "routed" es particularmente interesante porque mediante una capacidad llamada IP masquerade permite que sus hosts accedan a Internet (y a la VPN) sin tener una dirección oficial de Internet (ni de la VPN). El modo "bridged" no admite IP masquerade.
Te lo has currado. Ahora si que me cuadran algunas cosas. Muchisimas gracias por tu tan detallada explicación.
En la configuración Servidor (Bridged AP), la puerta de enlace está declarada: uci set network.lan.gateway='192.168.1.1'
En la configuración AP VPN (Masquerading), no hay necesidad de declarar la puerta de enlace. Por defecto, si no se declara, es la WAN. He seguido los pasos tal como está publicado y me funciona bien en un HG553. ¿En qué router lo estás instalando?
Lo hice en la segunda configuración, como VPN (Masquerading), pero al ver en un primer momento que no funcionaba esa boca porque algún paso no hice bien seguro me cargué (borré) la interface Wan y ya se lio un poco más todo. Volveré a probarlo. Pero yo al menos no le veo en mi caso particular, utilidad que haya definida una boca WAN y otras 3 para la LAN porque no nocesito que el OpenWrt haga nada de "routed", me basta con que haga de "bridged". Y además no lo tengo al principio de la instalación. No lo tengo conectado al router directamente sino a través de cable, pero a un punto de acceso.
Aquí me has pillado. No tengo receptor satélite y no sé que contestarte.
Actualmente intento centrarme en las distintas maneras de integrar un router OpenWrt en una VPN ZeroTier. El foro de ZeroTier no da soporte para OpenWrt, así que cualquier avance cuesta lo suyo. Todavía no he llegado al tema de las velocidades de transferencia, pero según los datos que aportó peperfus, me pareció muy baja (273 kb/s de subida y 367 kb/s de bajada). Las pruebas las hizo usando winscp y protocolo scp. Supongo que con Samba el rendimiento sería todavía peor.
Nada sin problema. Ya te digo que el teléfono se comunica con el receptor de satélite pero carece de velocidad suficiente y yo creo que debe ser cosa del propio ZeroTier, porque a mi también me ha sorprendido que a "peperfus" le diera tan poca velocidad en esa subida y bajada cuando lo leí. Creo que estamos en este sentido atados de pies y manos. Quizás esta VPN no de para más en cuanto a velocidad de transferencia. Es lo único que me queda por pensar.
-
La IP inicial de un router OpenWrt recién flasheado es la 192.168.1.1. Al ponerle la 192.168.1.3. y reiniciar el router los cambios se llevan a cabo. En mi caso (un HG553 y Linux Mint) no tengo que hacer nada para que el PC refresque la conexión, pero no descarto que en otros casos haya que desconectar y volver a conectar físicamente el latiguillo de red entre el PC y el router.
Si, sin problema. De eso si tenía conocimiento y es verdad, para acelerar la reasignación es mejor desconectar y reconectar el cable.
Según la documentación de OpenWrt, hay dos maneras básicas de configurar un router como punto de acceso.
Bridged AP: https://openwrt.org/docs/guide-user/network/wifi/bridgedap
Routed AP: https://openwrt.org/docs/guide-user/network/wifi/routedap
Un router en modo "bridged" no hace funciones de router: no asigna IPs ni tiene hosts propios. El router funciona como un simple puente (bridge) entre los hosts y el router principal que es el que asigna las IPs y maneja el acceso a Internet de todos los hosts. Este modo me ha parecido perfecto para un router OpenWrt con rol de servidor dentro de la VPN.
Un router en modo "routed" hace funciones propias de router: asignación de IPs, manejo de hosts de su propia LAN y enrutado desde/hacia la WAN. Lo que lleva a confusión es el hecho de que las dos redes, la LAN y la WAN, sean 192.168.1.0/24. Tal vez si la LAN fuese 192.168.50.0/24 se entendería mejor. De cualquier forma, lo cierto es que hay dos redes distintas: la del router principal (WAN) y la del router OpenWrt (LAN). Este es el motivo por el que el switch está dividido en bocas LAN (de la 1 a la 3) y boca WAN (la 4). El modo "routed" es particularmente interesante porque mediante una capacidad llamada IP masquerade permite que sus hosts accedan a Internet (y a la VPN) sin tener una dirección oficial de Internet (ni de la VPN). El modo "bridged" no admite IP masquerade.
Te lo has currado. Ahora si que me cuadran algunas cosas. Muchisimas gracias por tu tan detallada explicación.
En la configuración Servidor (Bridged AP), la puerta de enlace está declarada: uci set network.lan.gateway='192.168.1.1'
En la configuración AP VPN (Masquerading), no hay necesidad de declarar la puerta de enlace. Por defecto, si no se declara, es la WAN. He seguido los pasos tal como está publicado y me funciona bien en un HG553. ¿En qué router lo estás instalando?
Lo hice en la segunda configuración, como VPN (Masquerading), pero al ver en un primer momento que no funcionaba esa boca porque algún paso no hice bien seguro me cargué (borré) la interface Wan y ya se lio un poco más todo. Volveré a probarlo. Pero yo al menos no le veo en mi caso particular, utilidad que haya definida una boca WAN y otras 3 para la LAN porque no nocesito que el OpenWrt haga nada de "routed", me basta con que haga de "bridged". Y además no lo tengo al principio de la instalación. No lo tengo conectado al router directamente sino a través de cable, pero a un punto de acceso.
Aquí me has pillado. No tengo receptor satélite y no sé que contestarte.
Actualmente intento centrarme en las distintas maneras de integrar un router OpenWrt en una VPN ZeroTier. El foro de ZeroTier no da soporte para OpenWrt, así que cualquier avance cuesta lo suyo. Todavía no he llegado al tema de las velocidades de transferencia, pero según los datos que aportó peperfus, me pareció muy baja (273 kb/s de subida y 367 kb/s de bajada). Las pruebas las hizo usando winscp y protocolo scp. Supongo que con Samba el rendimiento sería todavía peor.
Nada sin problema. Ya te digo que el teléfono se comunica con el receptor de satélite pero carece de velocidad suficiente y yo creo que debe ser cosa del propio ZeroTier, porque a mi también me ha sorprendido que a "peperfus" le diera tan poca velocidad en esa subida y bajada cuando lo leí. Creo que estamos en este sentido atados de pies y manos. Quizás esta VPN no de para más en cuanto a velocidad de transferencia. Es lo único que me queda por pensar.
Se me olvidaba decirte que he estado viendo el manual que has publicado sobre esto y es a grandes rasgos lo que yo tengo hecho. Lo que si veo es que ya os omitido la parte de zonas de firewall. Supongo que no haran falta, pero cuando yo lo he probado no me daba buena conexión entre conexión externa y los hots de la red. Volveré a revisar todo. A ver si lo dejo ya todo bien configurado.
Gracias por la divulgación de tus conocimientos sobre todo esto, raphik. Todo muy compresible y explícito.
-
@plumanegra
Efectivamente, en esta tercera aplicación (punto de acceso mediante puente en la capa de nivel 2) no se hace nada en el cortafuegos. Los paquetes no se enrutan a través del cortafuegos, sino que circulan por un puente entre las interfaces LAN (eth0.1) y ZeroTier (ztxxxxxxxx).
FUENTE: https://zerotier.atlassian.net/wiki/spaces/SD/pages/7438339/Layer+2+Bridging+with+LEDE+OpenWRT. La clave está donde pone On the Physical Settings tab, ensure zt0 is checked in the interface list.
(https://i.imgur.com/oJI94Yg.png)
Su equivalente con UCI (https://openwrt.org/docs/guide-user/base-system/uci) es
uci set network.lan.ifname="$(uci get network.lan.ifname) $(uci get network.ZeroTier.ifname)"
-
He actualizado a la versión 1.6.5 pensando que iba a mejorar algo y vamos a peor. Ahora no conecta. Mejor dicho conecta pero al poco tiempo la conexión cae. Por PuTTy me está indicando por este orden:
200 info fb45xxxxxx 1.6.5 ONLINE
200 info fb45xxxxxx 1.6.5 TUNNELED
200 info fb45xxxxxx 1.6.5 OFFLINE
Hay reporte de este problema en otras versiones de ZeroTier pero no veo solución alguna. He reinstalado todo desde cero, por si las moscas, pero no soluciona nada.
Asi que he vuelto a la 1.6.4. que he encontrado en el repositorio de OpenWrt y también he tenido que descargar algunas dependencias porque de por si no se instalaba.
-
@plumanegra
Acabo de instalar una imagen estable recién descargada en un HG556a ver.C y parece que va bien.
(https://i.imgur.com/WlkduHf.png)
-
Caramba.
Yo lo probé en un Comtrend AR-5315u con OpenWrt 19.07.7 y no tiraba la cosa.
Lo hice 2 veces y en la página de ZeroTier Central podía ver como aparecía el dispositivo con la IP, autorizado y registrado y al poco tiempo desaparecía la IP pública y el dispositivo como desconectado.
Un misterio.
Con la 1.6.4-1 sin problemas.
-
Hay un problema que están intentando solucionar desde hace varias versiones. Busca "zerotier network coma issue".
Parece que te puedes estar viendo afectado.
-
=========================== ADVERTENCIA DE RIESGO ===========================
Buena parte de la información que aparece en este artículo la he recopilado
de distintos sitios de Internet. A pesar de las minuciosas coprobaciones pre-
vias a su publicación, no puedo garantizar su veracidad, exactitud, actuali-
dad, fiabilidad e integridad. Por lo tanto, el presente artículo no debe ser
considerado como un consejo de uso. Usted es responsable de cualquier uso que
haga de la información aquí contenida.
=============================================================================
Este post es una adaptación del artículo Layer 2 Bridging with LEDE/OpenWRT (https://zerotier.atlassian.net/wiki/spaces/SD/pages/7438339/Layer+2+Bridging+with+LEDE+OpenWRT) creado por Grant Limberg y actualizado el 12 de marzo de 2019 por Travis LaDuke.
(https://i.imgur.com/Azqb0No.png)
LAN extendida. Los PCs situados en ubicaciones alejadas entre sí están en la misma red
(https://i.imgur.com/ZfDt8Vh.png)
LAN extendida en la que los hosts están situados en tres ubicaciones distintas. En cada ubicación, un router OpenWrt en modo pasarela (routed AP (https://openwrt.org/docs/guide-user/network/wifi/routedap)) asigna a sus hosts IPs dentro de un subrango VPN. Los hosts salen a la VPN con su propia IP utilizando una técnica llamada layer 2 bridging. Pueden navegar y son direccionables.
0) Planteamiento
La red xLAN para las tres ubicaciones es 192.168.100.0/22
Las IPs de los routers proveedores de Internet son irrelevantes, ya que la interfaz WAN OpenWrt tomará su IP por DHCP.
Router OpenWrt
----------------------------------------------------------------------------
Ubicación | Interfaz LAN | Interfaz VPN | DHCP leases
----------------------------------------------------------------------------
A | 192.168.100.5 | 192.168.103.10 | 192.168.100.100 - 192.168.100.250
B | 192.168.101.5 | 192.168.103.11 | 192.168.101.100 - 192.168.101.250
C | 192.168.102.5 | 192.168.103.12 | 192.168.102.100 - 192.168.102.250
----------------------------------------------------------------------------
Máscara de red: 255.255.252.0
Puerta de enlace: 192.168.1.1 (es la IP del router ISP)
Servidor DNS: 1.1.1.1, 1.0.0.1
SWITCH
Bocas 1, 2 y 3 : LAN
Boca 4: WAN
Red ZeroTier (VPN)
Rango: 192.168.100.0/22 (Asignado por el usuario al registrar la red.)
Auto-Assign [Advanced] Pools. Start 192.168.103.10 Stop 192.168.103.12 (Si se quiere, se puede elegir un rango más amplio.)
Network ID: ID_DE_RED (El Network ID es un número hexadecimal único de 16 dígitos generado automáticamente por la capa VL2 de ZeroTier.)
(https://i.imgur.com/ZSYbXQW.png)
1) Configurar el router OpenWrt en cada ubicación
(A continuación se muestran valores IP para la Ubicación A. Para la Ubicación B y la Ubicación C, sustituir por los valores pertinentes.)
Conectar el PC al zócalo LAN1 del router OpenWrt e iniciar sesión ssh root@192.168.1.1 (PuTTY, en Windows)
Configurar la interfaz LAN
uci set dhcp.lan.ra_management='1'
uci del network.lan.ip6assign
uci set network.lan.ipaddr='192.168.100.5'
uci set network.lan.netmask="255.255.252.0"
uci set dhcp.lan.start='192.168.100.100'
uci add_list network.lan.dns='1.1.1.1'
uci add_list network.lan.dns='1.0.0.1'
Configurar el SWITCH (conectores LAN1 a LAN4)
puertoCPU=$(uci get network.@switch_vlan[0].ports | awk '{print $5}')
uci set network.@switch_vlan[0].ports='0 1 2 '$puertoCPU
uci add network switch_vlan
uci set network.@switch_vlan[-1].device='switch0'
uci set network.@switch_vlan[-1].vlan='2'
uci set network.@switch_vlan[-1].ports='3 '$puertoCPU
Configurar la interfaz WAN
uci set network.wan=interface
uci set network.wan.ifname='eth0.2'
uci set network.wan.proto='dhcp'
Aplicar cambios y reiniciar
uci commit
reboot
Conectar un cable ethernet entre el router ISP y el zócalo LAN4 del router OpenWrt.
2) Instalar y configurar ZeroTier
Tras el reinicio, el PC habrá perdido la conexión con el router, que ahora tiene una nueva IP: 192.168.100.5. Para que el PC retome una IP dentro del nuevo rango, suele bastar con desconectar y volver a conectar el latiguillo ethernet que lo une al router.
Abrir una nueva sesión ssh root@192.168.100.5 (PuTTY, en Windows)
Actualizar lista de paquetes e instalar ZeroTier One
opkg update
opkg install zerotier
Configurar ZeroTier. Sustituir 'ID_DE_RED' por la Network ID de la red ZeroTier.
rm /etc/config/zerotier
touch /etc/config/zerotier
uci set zerotier.openwrt_network=zerotier
uci add_list zerotier.openwrt_network.join='ID_DE_RED'
uci set zerotier.openwrt_network.enabled='1'
uci commit zerotier
/etc/init.d/zerotier restart
/etc/init.d/firewall restart
Si la instalación de ZeroTier ha ido bien, se habrá generado un nuevo dispositivo ethernet virtual "ztxxxxxxxx".
ifconfig | grep zt
ztxxxxxxxx Link encap:Ethernet HWaddr 0E:F4:xx:xx:xx:xx
Además, se puede verificar que ZeroTier está ONLINE.
zerotier-cli info
200 info 79axxxxxxx 1.6.5 ONLINE(El número hexadecimal "79axxxxxxx" es el identificador de nodo generado por la capa VL1 de ZeroTier.)
Opcionalmente, se puede mejorar el rendimiento permitiendo las conexiones UDP entrantes por el puerto 9993.
Reiniciar el router. Algunas veces no es necesario.
reboot
Definir una interfaz para el dispositivo virtual ztxxxxxxxx
uci set network.ZeroTier=interface
uci set network.ZeroTier.ifname=$(ifconfig | grep zt | awk '{print $1}')
uci set network.ZeroTier.proto='none'
Puentear la interfaz LAN con la interfaz ZeroTier
uci set network.lan.ifname="$(uci get network.lan.ifname) $(uci get network.ZeroTier.ifname)"
Aplicar los cambios y reiniciar
uci commit network
uci commit firewall
reboot
3) Autorizar al router OpenWrt a unirse a la red ZeroTier
En ZeroTier Central (https://my.zerotier.com), buscar el router (el identificador de nodo y la MAC ayudan) y marcar la casilla "Auth?". Se puede dejar la IP asignada automáticamente o cambiarla por la IP fija 192.168.103.10. Si se quiere, se le puede poner un nombre. Marcar la casilla "Allow Ethernet Bridging" (para verla, hacer clic en el icono 🔧)
(https://i.imgur.com/gVCbSrD.png)
4) Esperar unos minutos a que se establezca la red ZeroTier.
El router está conectado a la red ZeroTier con su propia IP (192.168.103.10). Además, reparte IPs VPN entre sus hosts, que pueden navegar por la red virtual. Los hosts, al tener una IP propia en la VPN, son miembros "de pleno derecho" de la VPN. Responden a los pings recibidos, reaccionan al recibir paquetes mágicos "wake-on-lan" y es posible acceder a ellos mediante escritorio remoto.
-
Una preguntita:
Al tener los dispositivos el mismo acceso por la máscara 22 a la misma red, (se tiene acceso a todos los ordenadores de la red 100.x a la 103.x) ¿no sería más difícil hacer alguna regla de firewall para parar algún ataque desde una oficina externa? Me refiero, a que con ese rango y máscara la zona de firewall estará en la LAN, y no se podrá distinguir ninguna regla para parar un ataque externo desde tus propias oficinas si alguna queda comprometida. Aunque estén comunicadas es preferible habilitar reglas de acceso que puedan cortar el tráfico radicalmente.
Para comunicar distintas casas privadas puede estar bien, pero la seguridad en las oficinas creo que es un poco más complejo que eso.
Además, si no me equivoco, las direcciones de x, y y z de las WAN deben estar fuera de ese rango 100 a 103, ¿no?
-
@ Tki2000
El post LAN extendida (https://foro.seguridadwireless.net/openwrt/vpn-con-zerotier-en-openwrt/msg372178/#msg372178) es una adaptación de un artículo (https://zerotier.atlassian.net/wiki/spaces/SD/pages/7438339/Layer+2+Bridging+with+LEDE+OpenWRT) publicado en la ZeroTier Knowledge Base, donde puede leerse: «Aquí explicamos cómo conectar su red ZeroTier con la LAN de su oficina o de su hogar para que pueda acceder de forma segura a sus servidores y servicios privados desde cualquier parte del mundo. Ni siquiera necesitará instalar ZeroTier en los servidores conectados a la LAN. Tan sólo en su router.»
Supongo que la seguridad que mencionan está relacionada con la criptografía que utilizan en la comunicación P2P. No dicen nada de cómo protegerse de ataques externos desde oficinas propias.
La preguntita que haces no es baladí. La seguridad en las oficinas es algo muy complicado. No me aventuro a dar consejos al respecto.
-
Hola amigos, es mi 1er mensaje en el foro me he animado y es que me parecio muy bueno lo que estaba buscando. felicito y agradesco al escritor de este post.
ojala pudieran ayudarme con una solución que pudiera implementar para poder acceder a mis servidores NAS o mucho mejor a toda mi red privada desde Internet? (con toda la carpeta compartida de todas las maquinas) por supusto de forma segura.
El problema es que tengo un módem/enrutador de fibra ZTE F670L que me da mi ISP en Bolivia (AXS), y tengo lo que llaman un CGNAT, no tengo el nombre de usuario y la contraseña del módem/enrutador; Por eso no he podido:
1 habilitar el reenvío de puertos de Internet a cualquier puerto de mi enrutador principal o servidor
2 habilitar DMZ
3 o, no tengo la opción de obtener una ip pública (el ISP no brinda ese servicio ni siquiera pagado)
He instalado zerotier en un par de mis compus y he podidos acceder a mis carpetas por lo que instale zerotier en mi MAINROUTER un R9000 con ddwrt
he visto tu post y me parcee muy buen trabajo solo que no lo entiendo mucho y no sabria escoger 1ero cual de las 4 soluciones que presentas me pudiera funcionar para lo que quiero.
DESEO que me pudieras asesorar porque lo necesito para que mi equipo de trabajo en el exterior pueda acceder a los servidores de datos e incluso a las impresoras y otras carpetas compartidas para nuestro trabajo 🙏
Mi red actual es asi
(https://i.imgur.com/5MFYIXSl.png)
tegno un zerotier que hice de prueba con la subnet 192.168.100.0/24 pero lo que tengo entendido es que deberia confgurar mi router para que todos los dispositivos conectados a el... incluyendo las impresoras cableadas o wifi, etubieran ya en zerotier y mi equipo de trabajo y yo mismo desde fuera de mi red privada poder ingresar a toda la red privada con las carpetas compartidas e impresoras... de la forma mas segura posible claro...
ojala me puedan ayudar aconsejándome cual es mi mejor solucion para ponerme manos a la obra hehe
Editado: por lo que he leido y entendido... (muy poco) creo que la la 4 es una variacion de la 3 pero entre la 2 y 3 no entiendo la diferencia...
yo creo que la que necesito es la 3 o la 4 ya que mi equipo de trabajo esta en diferentes paises y necesito que llos puedan acceder a las carpetas y dispositivos como impresoras
-
sabrias decirme si puedo hacer esto mismo en mi router R9000 ddwrt?
-
sabrias decirme si puedo hacer esto mismo en mi router R9000 ddwrt?
En el primer post escribí:
“Gracias al esfuerzo y a la dedicación de Moritz Warning, ZeroTier One es a día de hoy un paquete más de OpenWrt.”
Moritz Warning desarrolló una versión de ZeroTier One para routers OpenWrt. Hasta donde sé, no desarrolló nada de esto para dd-wrt.
-
hola estoy intentando configurar mi router y no termina de ir bien.
La primera duda que me surge es en esto
uci set dhcp.lan.ra_management='1'
uci del network.lan.ip6assign
uci set network.lan.ipaddr='192.168.1.4'
uci add_list network.lan.dns='1.1.1.1'
uci add_list network.lan.dns='1.0.0.1'ahi no se deberia poner 192.168.100.4 en lugar de 192.168.1.4? en la imagen que pones debajo pone 192.168.100.4
yo lo he hecho poniendo 192.168.100.4
Parece ser que asi me funciona pero cada vez que se reinicia el router openwrt, me da una ip en el rango del router principal 192.168.0.x y no me da conexion a internet pero si saco el cable y lo meto de nuevo, ya si me da ip 192.168.100.x y puedo navegar. ¿esto debe ser asi o he hecho algo mal? GRacias
-
Que manía en citar en lugar de responder
Post editados
-
@lomismo1
Gracias por avisar, Es como dices: 192.168.100.4. Ya lo he corregido.
Lo otro es normal: parece que desde que se enchufa el router OpenWrt hasta que el switch queda configurado pasan unos instantes. Tiempo suficiente para que los PCs arrancados, ávidos de conectividad, aprovechen para para tomar sus direcciones IP directamente del router ISP.
EDITO: pues eso, que el switch está activo antes de su configuración. https://forum.openwrt.org/t/switch-active-before-its-configured-avoidable/36017/2
Saludos.