Autor Tema: ZeroTier en OpenWrt (VPN + SD-WAN)  (Leído 1569 veces)

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado raphik

  • ****
  • Mensajes: 84
ZeroTier en OpenWrt (VPN + SD-WAN)
« en: 14-03-2021, 21:07 (Domingo) »
Gracias al esfuerzo y a la dedicación de Moritz Warning, ZeroTier One es a día de hoy un paquete más de OpenWrt.

Posibles aplicaciones de ZeroTier en un router OpenWrt:

Servidor (de archivos, páginas web, multimedia, video vigilancia, lectura de sensores, manejo de relés, etc.) (Ver más)


Router OpenWrt con ZeroTier desempeñando el rol de servidor de archivos, de páginas web, multimedia, video vigilancia, lectura de sensores, manejo de relés, etc., en una red privada virtual.


Punto de acceso a la red privada virtual (masquerading) (Ver más)


Router OpenWrt con ZeroTier compartiendo con sus hosts el acceso a la vpn. Los hosts del router no son hosts de la vpn.


Punto de acceso a la red privada virtual (layer 2 bridging) (Pendiente)


Router OpenWrt con ZeroTier asignando a sus hosts IPs dentro del rango vpn. Los hosts del router son hosts de la vpn.


Oficina Local - Oficina Remota (Pendiente)


Los PCs de una oficina local pertenecen a la misma red que los PCs de una oficina remota (LAN extendida).
Propuesta: (pendiente).


« Última modificación: 08-04-2021, 12:29 (Jueves) por raphik »
"Hay dos formas de diseñar software: la primera es hacerlo tan simple que sea obvio que no tiene deficiencias y la segunda es hacerlo tan complicado que no sea obvio que tiene deficiencias. La primera forma es mucho más difícil." Tony Hoare.

Desconectado raphik

  • ****
  • Mensajes: 84
Servidor (archivos, web, multimedia, vigilancia, sensores, relés, etc.)
« Respuesta #1 en: 15-03-2021, 18:35 (Lunes) »
Servidor (de archivos, páginas web, multimedia, video vigilancia, lectura de sensores, manejo de relés, etc.)


ZeroTier facilita la integración de un router OpenWrt en la vpn. En función del conjunto de paquetes de software que se le instale posteriormente, podrá desempeñar el rol de servidor de archivos, de páginas web, multimedia, video vigilancia, lectura de sensores, manejo de relés, etc.

0) Consideraciones iniciales

LAN
IP del router proveedor de Internet: 192.168.1.1

Red ZeroTier (vpn)
Rango: 192.168.100.0/24 (Asignado por el usuario al registrar la red.)
Network ID: ID_DE_RED (El Network ID es un número hexadecimal único de 16 dígitos generado automáticamente por la capa VL2 de ZeroTier.)


1) Configurar la interfaz LAN

Asignar a la interfaz LAN una IP estática (192.168.1.2). Establecer DNS y Gateway (192.168.1.1, IP del proveedor de Internet.)
Código: [Seleccionar]
uci del network.lan.ip6assign
uci set network.lan.ipaddr='192.168.1.2'
uci set network.lan.gateway='192.168.1.1'
uci add_list network.lan.dns='192.168.1.1'
uci commit network

Desconectar el servidor DHCP.
Código: [Seleccionar]
uci del dhcp.lan.start
uci del dhcp.lan.limit
uci del dhcp.lan.leasetime
uci set dhcp.lan.ra_management='1'
uci set dhcp.lan.ignore='1'
uci commit dhcp

Reiniciar el router.
Código: [Seleccionar]
reboot
2) Instalar y configurar ZeroTier

Actualizar lista de paquetes e instalar ZeroTier One.
Código: [Seleccionar]
opkg update && opkg install zerotier
Configurar ZeroTier (yo lo hago a lo bruto). Sustituir 'ID_DE_RED' por el Network ID.
Código: [Seleccionar]
rm /etc/config/zerotier
touch /etc/config/zerotier
uci set zerotier.openwrt_network=zerotier
uci add_list zerotier.openwrt_network.join='ID_DE_RED'
uci set zerotier.openwrt_network.enabled='1'
uci commit zerotier
/etc/init.d/zerotier restart
/etc/init.d/firewall restart

Se puede comprobar que la instalación de ZeroTier ha generado un nuevo dispositivo ethernet virtual "ztxxxxxxxx".
Código: [Seleccionar]
ifconfig | grep zt
ztxxxxxxxx Link encap:Ethernet  HWaddr 0E:F4:4C:xx:xx:xx

También, se puede verificar que ZeroTier está ONLINE.
Código: [Seleccionar]
zerotier-cli info
200 info 79aa2xxxxx 1.6.4 ONLINE
(El número hexadecimal "79aa2xxxxx" es el identificador de nodo generado por la capa VL1 de ZeroTier.)

Opcionalmente, se puede mejorar el rendimiento permitiendo las conexiones UDP entrantes por el puerto 9993. Yo nunca lo hago. Supongo que habría que hacer lo mismo con el router del proveedor de Internet.
Código: [Seleccionar]
uci add firewall rule
uci set firewall.@rule[-1].name='Allow-ZeroTier-Inbound'
uci set firewall.@rule[-1].src='*'
uci set firewall.@rule[-1].target='ACCEPT'
uci set firewall.@rule[-1].proto='udp'
uci set firewall.@rule[-1].dest_port='9993'
uci commit firewall
/etc/init.d/firewall restart

Reiniciar el router. Algunas veces no es necesario.
Código: [Seleccionar]
reboot

3) Autorizar al router a unirse a la red ZeroTier

En ZeroTier Central (https://my.zerotier.com), buscar el router (el identificador de nodo y la MAC ayudan) y marcar la casilla "Auth?". Cambiar la IP asignada automáticamente por la IP fija 192.168.100.2. Si se quiere, se le puede poner un nombre.




4) Esperar unos minutos a que ZeroTier establezca la red.

El router está conectado a la red ZeroTier 192.168.100.0/24. Responde a los pings que se le envían.

Desde cualquier host de la vpn se puede abrir una sesión SSH contra el router.
Código: [Seleccionar]
ssh root@192.168.100.2
« Última modificación: 08-04-2021, 11:00 (Jueves) por raphik »
"Hay dos formas de diseñar software: la primera es hacerlo tan simple que sea obvio que no tiene deficiencias y la segunda es hacerlo tan complicado que no sea obvio que tiene deficiencias. La primera forma es mucho más difícil." Tony Hoare.

Desconectado peperfus

  • *****
  • Mensajes: 231
Re: ZeroTier en OpenWrt (VPN + SD-WAN)
« Respuesta #2 en: 15-03-2021, 19:11 (Lunes) »
Estás hecho todo un cocinero  :D.
Gracias por la receta.

En el router ZT de la casa1, no hice la parte de añadir la interfaz desde luci. No sabía que había que hacerlo. En el tutorial que vi por ahí, no lo hacía. Lo probaré un día de estos.

EDITO:
De hecho, creo que la parte realmente importante (que tampoco hice) es la de firewall.
« Última modificación: 16-03-2021, 15:54 (Martes) por peperfus »

Desconectado raphik

  • ****
  • Mensajes: 84
Re: ZeroTier en OpenWrt (VPN + SD-WAN)
« Respuesta #3 en: 15-03-2021, 19:37 (Lunes) »
Al instalar ZeroTier en OpenWrt se crea un dispositivo virtual, pero no su correspondiente interfaz que hay añadir "a mano". La interfaz es de tipo "unmanaged" que ya se encargará ZeroTier de asignarle una IP.
« Última modificación: 15-03-2021, 19:39 (Lunes) por raphik »
"Hay dos formas de diseñar software: la primera es hacerlo tan simple que sea obvio que no tiene deficiencias y la segunda es hacerlo tan complicado que no sea obvio que tiene deficiencias. La primera forma es mucho más difícil." Tony Hoare.

Desconectado Darktakan

  • **
  • Mensajes: 1
Re: ZeroTier en OpenWrt (VPN + SD-WAN)
« Respuesta #4 en: 18-03-2021, 20:21 (Jueves) »
Mil gracias raphik por tu tiempo y por el tuto que va al baúl para cuando tenga un rato!!! >:(

Desconectado raphik

  • ****
  • Mensajes: 84
Re: ZeroTier en OpenWrt (VPN + SD-WAN)
« Respuesta #5 en: 20-03-2021, 07:26 (Sábado) »
En el router ZT de la casa1, no hice la parte de añadir la interfaz desde luci. No sabía que había que hacerlo. En el tutorial que vi por ahí, no lo hacía. Lo probaré un día de estos.

EDITO:
De hecho, creo que la parte realmente importante (que tampoco hice) es la de firewall.

Efectivamente, podrías saltarte lo de añadir la interfaz, pero es imprescindible definir las políticas de entrada/salida/reenvío entre las redes LAN y ZeroTier. Al no haberse generado la interfaz, la red cubierta por la nueva zona del cortafuegos se designa por el nombre del dispositivo, a secas.

« Última modificación: 21-03-2021, 20:56 (Domingo) por raphik »
"Hay dos formas de diseñar software: la primera es hacerlo tan simple que sea obvio que no tiene deficiencias y la segunda es hacerlo tan complicado que no sea obvio que tiene deficiencias. La primera forma es mucho más difícil." Tony Hoare.

Desconectado peperfus

  • *****
  • Mensajes: 231
Re: ZeroTier en OpenWrt (VPN + SD-WAN)
« Respuesta #6 en: 22-03-2021, 09:43 (Lunes) »
Hola !

He conseguido que me funcione.
Sin embargo, lo he configurado algo distinto.
En mi caso, también he omitido la parte de zona y de firewall ....; ya que la interfaz lan también la tengo fuera de zonas y fuera de la config de firewall. Al asignar la interfaz de ZT a ninguna zona, he conseguido la conectividad.
Lo que no termino de entender es ....  ^-^
(Vuelvo en un par de pruebas....)

EDITO:
Prueba: desactivar el firewall.
Resultado: se puede acceder. El firewall no es imprescindible para la conectividad.

Prueba: borro la interfaz ZT ... (en sección networks, en luci)
Resultado: se puede acceder.

A todo esto, tengo que decir que las pruebas las estoy haciendo ahora mismo en CASA1, y estoy accediendo desde mi móvil (red móvil).
No sé por qué no podía acceder en CASA2, desde el PC. Algo debí tocar para que no funcionara. Cuando vuelva a CASA2 volveré a intentar conectarme, ahora que sé que en CASA1 no está el problema.
Estas pruebas las he hecho después de añadir la interfaz en luci -> networks.
¿Al haber añadido la interfaz en luci -> networks, ha cambiado algo el archivo de configuración .... que ha hecho que me funcionara?
(Aquí echo en falta un smiley pensativo)
« Última modificación: 22-03-2021, 10:09 (Lunes) por peperfus »

Desconectado raphik

  • ****
  • Mensajes: 84
Re: ZeroTier en OpenWrt (VPN + SD-WAN)
« Respuesta #7 en: 23-03-2021, 01:29 (Martes) »
@peperfus

He repetido tu configuración: router recién flasheado, ZT instalado (compruebo que se genera el dispositivo virtual ztxxxxxxxx), NO le añado interfaz, NO le asigno zona en el firewall, lo autorizo en ZeroTier Central y... ¡funciona!

En cuanto a seguridad, no sabría decir si es peligroso dejar un dispositivo sin interfaz y sin cortafuegos.
« Última modificación: 24-03-2021, 10:05 (Miércoles) por raphik »
"Hay dos formas de diseñar software: la primera es hacerlo tan simple que sea obvio que no tiene deficiencias y la segunda es hacerlo tan complicado que no sea obvio que tiene deficiencias. La primera forma es mucho más difícil." Tony Hoare.

Desconectado raphik

  • ****
  • Mensajes: 84
Punto de acceso a la red privada virtual (masquerading)
« Respuesta #8 en: 23-03-2021, 19:19 (Martes) »
Punto de acceso a la red privada virtual (masquerading)


Un router OpenWrt con ZeroTier puede proporcionar a sus hosts acceso a la vpn sin que haya que instalarles ZT a cada uno de ellos. Los hosts no tiene IP propia en la vpn, por lo que no son direccionables (pueden navegar por la vpn, pero no son manejables mediante escritorio remoto).

Configuración del router local:

0) Consideraciones iniciales

Supongamos que la IP del router proveedor de Internet ISP1 es 192.168.1.1.
Para el router utilizaremos la IP 192.168.50.3.
Los PCs se conectan a los zócalos LAN1 a LAN3 del router OpenWrt.
El router ISP se conectará al Zócalo LAN4 del router OpenWrt.


1) Entrar en ZeroTier Central (my.zerotier.com)

Anotar los 16 dígitos hexadecimales del "Network ID" generados en el caso anterior. El rango de la red ZT es 192.168.100.0/24.
(El Network ID es el identificador de red generado por la capa VL2 de ZeroTier.)


2) Configurar las interfaces LAN y WAN

Desde LuCI, asignar a la interfaz LAN una IP estática de distinto rango que la del ISP1 (p.e. 192.168.50.3).
Network -> Interfaces -> LAN -> clic en botón "Edit".



Clic en "Save" y luego en "Save & Apply".

Generar una segunda VLAN.
Network -> Switch -> clic en botón "Add VLAN" y rellenar campos con estos valores



Clic en "Save & Apply".

Generar una interfaz WAN.
"Network" -> "Interfaces", clic en "Add new interface" y rellenar con estos valores



Click en "Create interface". Seleccionar pestaña "Firewall Settings". Seleccionar Create / Assign firewall-zone : wan.



Click en "Save" y luego en "Save & Apply"

Ya se puede conectar un cable ethernet entre el router ISP y el zócalo LAN4 del router OpenWrt. El router tiene Internet.


3) Instalar ZeroTier en el router local

Código: [Seleccionar]
opkg update && opkg install zerotier
Configurar ZeroTier. Sustituir 'ID_DE_RED' por la ID obtenida en el punto 1.

Código: [Seleccionar]
rm /etc/config/zerotier
touch /etc/config/zerotier
uci set zerotier.openwrt_network=zerotier
uci add_list zerotier.openwrt_network.join='ID_DE_RED'
uci set zerotier.openwrt_network.enabled='1'
uci commit zerotier
/etc/init.d/zerotier restart
/etc/init.d/firewall restart

Se puede comprobar que hay un nuevo dispositivo ethernet virtual "ztxxxxxxxx".

Código: [Seleccionar]
ifconfig | grep zt
ztxxxxxxxx Link encap:Ethernet  HWaddr 0E:F4:4C:xx:xx:xx

También, se puede verificar que ZeroTier está ONLINE.

Código: [Seleccionar]
zerotier-cli info
200 info 79aa2xxxxx 1.6.4 ONLINE
(El número hexadecimal "79aa2xxxxx" es el identificador de nodo generado por la capa VL1 de ZeroTier.)

Opcionalmente, se puede mejorar el rendimiento permitiendo las conexiones UDP entrantes por el puerto 9993.

Reiniciar el router. Algunas veces no es necesario.

Código: [Seleccionar]
reboot
Añadir una interfaz al dispositivo virtual ztxxxxxxxx.
"Network" -> "Interfaces", clic en "Add new interface" y rellenar con estos valores



Clic en "Submit" y luego en "Save and Apply"


Crear una zona "vpn" en el firewall.
"Network" -> "Firewall", clic en "Add" y rellenar con estos valores



Clic en "Save" y luego en "Save & Apply".


4) Autorizar al router local a unirse a la red ZeroTier

En ZeroTier Central (https://my.zerotier.com), buscar el router (el identificador de nodo y la MAC ayudan) y marcar la casilla "Auth?". Cambiar la IP asignada automáticamente por la IP fija 192.168.100.3. Si se quiere, se le puede poner un nombre.




5) Esperar unos minutos a que se establezca la red ZeroTier.

Los routers local y remoto están conectados a la red ZeroTier 192.168.100.0/24. Los PCs locales no tienen una IP ZeroTier, sin embargo pueden comunicarse con el router remoto (192.168.100.2).

Desde cualquier PC local  se puede abrir una sesión SSH contra el router remoto.

Código: [Seleccionar]
ssh root@192.168.100.2
También pueden entrar en LuCI.
« Última modificación: 08-04-2021, 12:30 (Jueves) por raphik »
"Hay dos formas de diseñar software: la primera es hacerlo tan simple que sea obvio que no tiene deficiencias y la segunda es hacerlo tan complicado que no sea obvio que tiene deficiencias. La primera forma es mucho más difícil." Tony Hoare.

Desconectado peperfus

  • *****
  • Mensajes: 231
Re: ZeroTier en OpenWrt (VPN + SD-WAN)
« Respuesta #9 en: 24-03-2021, 11:08 (Miércoles) »
Ok, raphik !!
Vuelvo con novedades y 4 comentarios:

1) Acabo de volver a CASA2 (ZeroTier en PC con Win7) y haciendo pruebas, investigando.... por lo visto alguna vez falla ZT aquí (no sé quién tendrá la culpa, pero hay varias quejas en algún que otro foro). He desinstalado ZT, vuelto a instalar ....; él me añade en dispositivos de red una tarjeta de red virtual nueva y un puerto virtual nuevo. Lo pruebo y OK. Ya funciona.

2) En cuanto al tema de seguridad, te cuento mi punto de vista. Según entiendo, el firewall tiene 2 funciones: una es la de seguridad y la otra la de enrutar conexiones de una zona a otra (función de router propiamente dicha, ya sea entre WAN y LAN, o la que sea). En cuanto a seguridad.... piensa que una red (zona) es como tu casa. Si confías en todos los miembros de la red, el firewall en principio no es necesario, pero claro, cuando dejas la puerta abierta (conectas con otra red), ahí el firewall ya tiene que vigilar quién puede entrar y quién no, etc (input/output/forward). Al usar este cacharro (llamado router, pero que no hace ninguna función de router, sino que simplemente es un miembro de la red), no necesito activarle el firewall, con lo que le mejoro el rendimiento. Otra cosa es que un día venga un Señor de Troya y me la líe parda, eso ya es responsabilidad mía (y la asumo). De todas formas, si tenemos el firewall por defecto con la zona LAN en verde, todo el input abierto y output abierto, de nada serviría a nivel local. Hay que ponerle una contraseña fuerte. Piensa también que al estar este cacharro ("router") dentro de la vpn, sólo los miembros de la vpn tienen acceso, que son de confianza. En el caso de la red vpn, tenemos conexión directa y no es necesario enrutar nada a nivel de firewall. Otra cosa será el enrutamiento interno que haga zerotier, que se encarga de configurar ruta estática diciéndole al cacharro: "todo lo que vaya a la red 192.168.192.0/24 (mi red IPv4 ZT), lánzalo por este dispositivo de red: ztxxxxxx5".
Así es como entiendo yo su funcionamiento.

3) Interesante todo esto, además de seguir aprendiendo y/o refrescando conocimientos de redes.
Este tema me ha recordado a otro que me picó en su día, sobre tener un openwrt WIFI cliente y CABLE cliente conectadas ambas al mismo tiempo a la misma red lógica. Algunos decían que era imposible, que no se podía o que no tenía sentido. No me rendí y lo conseguí. Tiene sentido porque al tener 2 interfaces conectadas, tenemos 2 posibilidades de acceso por si una de ellas cae. (Al fin y al cabo, esa filosofía fue uno de los pilares de la invención de arpanet, el "padre" de Internet, la red de redes.) En cierto sentido esto de la vpn es algo relativamente similar: una forma alternativa de acceso.

4) Ah, no. Eran sólo 3 comentarios. ( ;D)


Edito: estaría interesante conseguir que los PCs (ó hosts, vaya), naveguen de forma transparente por la vpn, conectados a través del router openwrt. No sé si es la idea que tienes para el próximo tuto que has dejado en pendiente (cuidado, no vaya a resbalar  ;D (perdón  ^-^)). En principio no lo veo muy difícil....
De hecho.... creo que sólo habría que indicarle las rutas estáticas.... manualmente una a una, o bien toda la red.
Es decir: decirle al router openwrt: "Las peticiones a la red ZT, lánzalas por la interfaz ZT"
« Última modificación: 27-03-2021, 20:24 (Sábado) por peperfus »

Desconectado peperfus

  • *****
  • Mensajes: 231
Re: ZeroTier en OpenWrt (VPN + SD-WAN)
« Respuesta #10 en: 27-03-2021, 20:15 (Sábado) »
Efectivamente, como me imaginaba, al instalar ZT en el router openwrt (CON función de router propiamente dicha), la navegación por la VPN de los hosts de nuestro lado de la red es transparente, no necesitando el cliente ZT en cada host.
Lo acabo de probar y es instantáneo. No necesita nada de configuración extra, lo cual es lógico. Es el propio ZT el que se encarga de añadir una ruta estática a la tabla de enrutamiento, es decir: definir que para acceder a la red ZT, debe usar la interfaz ZT. Al acceder a cualquier IP de dicha red desde, por ejemplo un PC de nuestro lado de la red, openwrt ya redirige la petición a la red ZT directamente, sin que tengamos que hacer nada más.

Fácil fácil !!

 :D
« Última modificación: 28-03-2021, 10:29 (Domingo) por peperfus »

Desconectado raphik

  • ****
  • Mensajes: 84
Re: ZeroTier en OpenWrt (VPN + SD-WAN)
« Respuesta #11 en: 29-03-2021, 19:47 (Lunes) »
Efectivamente, como me imaginaba, al instalar ZT en el router openwrt (CON función de router propiamente dicha), la navegación por la VPN de los hosts de nuestro lado de la red es transparente, no necesitando el cliente ZT en cada host.
Lo acabo de probar y es instantáneo. No necesita nada de configuración extra, lo cual es lógico. Es el propio ZT el que se encarga de añadir una ruta estática a la tabla de enrutamiento, es decir: definir que para acceder a la red ZT, debe usar la interfaz ZT. Al acceder a cualquier IP de dicha red desde, por ejemplo un PC de nuestro lado de la red, openwrt ya redirige la petición a la red ZT directamente, sin que tengamos que hacer nada más.

Fácil fácil !!

 :D

Lo he probado y no obtengo resultados consistentes. Unas veces funciona y otras no.
¿Cómo conectas el router OpenWrt al ISP? ¿Por cable o Wi-Fi? ¿y los hosts?

Saludos.
"Hay dos formas de diseñar software: la primera es hacerlo tan simple que sea obvio que no tiene deficiencias y la segunda es hacerlo tan complicado que no sea obvio que tiene deficiencias. La primera forma es mucho más difícil." Tony Hoare.

Desconectado peperfus

  • *****
  • Mensajes: 231
Re: ZeroTier en OpenWrt (VPN + SD-WAN)
« Respuesta #12 en: 29-03-2021, 22:21 (Lunes) »
....

Lo he probado y no obtengo resultados consistentes. Unas veces funciona y otras no.
¿Cómo conectas el router OpenWrt al ISP? ¿Por cable o Wi-Fi? ¿y los hosts?

Saludos.

Personalmente, soy partidario de usar sólo el wifi cuando no tengo más remedio. Siempre que puedo elegir, elijo cable. El router Open lo tengo en la misma mesita que el del ISP, conectado por cable. Y el del ISP lo tengo con todos los puertos abiertos al de Open (tal vez sea eso lo que te falla ? (habría que pensarlo bien))
Y los hosts .... por cable también, excepto móviles, claro.
A todo esto, sólo lo he probado un par de veces. Lo probaré desde el móvil a ver qué tal va, por curiosidad.
Tengo que decir también que la conexión a veces sí me tardaba bastante, eso sí. Si hago más pruebas y veo que me falla alguna vez, te lo comento.


Edito: Pego resultado de pings:

Código: [Seleccionar]
C:\Users\Pepe>ping -t 192.168.192.184

Haciendo ping a 192.168.192.184 con 32 bytes de datos:
Respuesta desde 192.168.192.184: bytes=32 tiempo=45ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=46ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=47ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=44ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=46ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=45ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Tiempo de espera agotado para esta solicitud.
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=46ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=44ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=46ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=47ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=44ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=46ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=46ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=46ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=46ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=46ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=46ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=62ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=46ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=44ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=42ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=46ms TTL=64
Respuesta desde 192.168.192.184: bytes=32 tiempo=43ms TTL=64

Estadísticas de ping para 192.168.192.184:
    Paquetes: enviados = 69, recibidos = 68, perdidos = 1
    (1% perdidos),
Tiempos aproximados de ida y vuelta en milisegundos:
    Mínimo = 42ms, Máximo = 62ms, Media = 43ms
« Última modificación: 29-03-2021, 22:25 (Lunes) por peperfus »

Desconectado raphik

  • ****
  • Mensajes: 84
Re: ZeroTier en OpenWrt (VPN + SD-WAN)
« Respuesta #13 en: 31-03-2021, 14:49 (Miércoles) »
@peperfus

¡Ya me funciona! Era la wifi del router remoto, que no iba bien. Sigue algo inestable, pero ha mejorado bastante. En cuanto pueda le meto cable.

En la parte remota: [router] ))) [isp]
En la parte local: [host]  ))) [router] --- [isp]

Los dos ISPs tienen los puertos cerrados, tal como los instala el proveedor.

Los pings desde el host me salen de media 17.221 ms para el router local y 385.014 ms para el remoto.

¿Has hecho pruebas de velocidad de transferencia de archivos? ¿webcam, sensores..?
« Última modificación: 31-03-2021, 14:51 (Miércoles) por raphik »
"Hay dos formas de diseñar software: la primera es hacerlo tan simple que sea obvio que no tiene deficiencias y la segunda es hacerlo tan complicado que no sea obvio que tiene deficiencias. La primera forma es mucho más difícil." Tony Hoare.

Desconectado peperfus

  • *****
  • Mensajes: 231
Re: ZeroTier en OpenWrt (VPN + SD-WAN)
« Respuesta #14 en: 31-03-2021, 16:17 (Miércoles) »
Me alegro :-)

Mira, si te fijas en mis pruebas de ping, no fueron 100% estables. Hubo un paquete perdido. Creo que coincidió al mismo tiempo que hice un inicio se sesión al ssh del router mientras hacía los pings. Tal vez se saturó  >:D

Acabo de hacer una prueba de subir un archivo:
(subida = 273 kb/s. Lo indico escrito por si en un futuro se pierde la imagen.)


Prueba de bajada:
(bajada = 367 kb/s)


Ambas pruebas, usando winscp y protocolo scp.
« Última modificación: 03-04-2021, 20:03 (Sábado) por peperfus »

Desconectado raphik

  • ****
  • Mensajes: 84
Re: ZeroTier en OpenWrt (VPN + SD-WAN)
« Respuesta #15 en: 04-04-2021, 13:35 (Domingo) »
Efectivamente, como me imaginaba, al instalar ZT en el router openwrt (CON función de router propiamente dicha), la navegación por la VPN de los hosts de nuestro lado de la red es transparente, no necesitando el cliente ZT en cada host.

Los hosts de nuestro lado de la red son hosts de la LAN, no de la VPN. Navegan por la VPN con una IP enmascarada. En consecuencia, no son direccionables desde el lado remoto de la VPN. Tal vez por eso daviddrf quiso instalar Relayd. (https://foro.seguridadwireless.net/openwrt/(consultaduda)-relayd-con-zerotier-no-accesible-por-web-ni-ping-desde-sd-wan/msg369695/#msg369695)

Para que los hosts sean hosts de la VPN, hay que asignarles una IP dentro del rango VPN



puentear las interfaces LAN y ZT en el router (Layer 2 Bridging)



forzar la misma IP en ZT Central y marcar la casilla "Allow Ethernet Bridging" (para verla, hacer clic en el icono 🔧)



Una vez hecho esto, los hosts de nuestro lado de la red tienen una IP en la LAN y otra en la VPN que son coincidentes (no sé si esto es una buena idea, lo cierto es que funciona...) Son hosts de pleno derecho de la VPN. Responden a los pings del lado remoto. También responden al arranque WOL y pueden manejarse mediante escritorio remoto.

Saludos.
"Hay dos formas de diseñar software: la primera es hacerlo tan simple que sea obvio que no tiene deficiencias y la segunda es hacerlo tan complicado que no sea obvio que tiene deficiencias. La primera forma es mucho más difícil." Tony Hoare.