Autor Tema: ZeroTier en OpenWrt (VPN + SD-WAN)  (Leído 11984 veces)

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado raphik

  • ****
  • Mensajes: 96
Punto de acceso a la red privada virtual (layer 2 bridging)
« Respuesta #20 en: 23-04-2021, 18:37 (Viernes) »
=========================== ADVERTENCIA DE RIESGO ===========================
Buena parte de la información que aparece en este artículo la he recopilado
de distintos sitios de Internet. A pesar de las minuciosas coprobaciones pre-
vias a su publicación, no puedo garantizar su veracidad, exactitud, actuali-
dad, fiabilidad e integridad. Por lo tanto, el presente artículo no debe ser
considerado como un consejo de uso. Usted es responsable de cualquier uso que
haga de la información aquí contenida.
=============================================================================



Punto de acceso a la red privada virtual (layer 2 bridging)


El router OpenWrt asigna a sus hosts IPs dentro del rango VPN. Los hosts no necesitan que se les instale ZeroTier para navegar por la VPN. Al tener una IP VPN, son direccionables: responden al ping, reaccionan al arranque en remoto (Wake on Lan), son manejables desde escritorio remoto...


0) Planteamiento

Router proveedor de Intenet
WAN IP: 192.168.1.1

Router OpenWrt (routed AP)
WAN IP: 192.168.1.x (la que le asigne el servidor DHCP)
LAN/VPN IP: 192.168.100.4 (IP estática)
Puerta de enlace: 192.168.1.1 (WAN)
Servidor DNS: 1.1.1.1, 1.0.0.1

SWITCH
Bocas 1, 2 y 3 : LAN
Boca 4: WAN

Red ZeroTier (VPN)
Rango: 192.168.100.0/24 (Asignado por el usuario al registrar la red.)
Network ID: ID_DE_RED (El Network ID es un número hexadecimal único de 16 dígitos generado automáticamente por la capa VL2 de ZeroTier.)


1) Configurar el router OpenWrt

Conectar el PC al zócalo LAN1 del router OpenWrt e iniciar sesión ssh root@192.168.1.1 (PuTTY, en Windows)

Configurar la interfaz LAN
Código: [Seleccionar]
uci set dhcp.lan.ra_management='1'
uci del network.lan.ip6assign
uci set network.lan.ipaddr='192.168.1.4'
uci add_list network.lan.dns='1.1.1.1'
uci add_list network.lan.dns='1.0.0.1'
LuCI: https://i.imgur.com/SKcLLRS.png

Configurar el SWITCH (conectores LAN1 a LAN4)
Código: [Seleccionar]
puertoCPU=$(uci get network.@switch_vlan[0].ports | awk '{print $5}')
uci set network.@switch_vlan[0].ports='0 1 2 '$puertoCPU
uci add network switch_vlan
uci set network.@switch_vlan[-1].device='switch0'
uci set network.@switch_vlan[-1].vlan='2'
uci set network.@switch_vlan[-1].ports='3 '$puertoCPU

Configurar la interfaz WAN
Código: [Seleccionar]
uci set network.wan=interface
uci set network.wan.ifname='eth0.2'
uci set network.wan.proto='dhcp'

Aplicar cambios y reiniciar
Código: [Seleccionar]
uci commit
reboot

Conectar un cable ethernet entre el router ISP y el zócalo LAN4 del router OpenWrt.


2) Instalar y configurar ZeroTier

Tras el reinicio, el PC habrá perdido la conexión con el router, que ahora tiene una nueva IP: 192.168.100.4. Para que el PC retome una IP dentro del nuevo rango, suele bastar con desconectar y volver a conectar el latiguillo ethernet que lo une al router.

Abrir una nueva sesión ssh root@192.168.100.4 (PuTTY, en Windows)

Actualizar lista de paquetes e instalar ZeroTier One
Código: [Seleccionar]
opkg update
opkg install zerotier

Configurar ZeroTier. Sustituir 'ID_DE_RED' por la Network ID de la red ZeroTier.
Código: [Seleccionar]
rm /etc/config/zerotier
touch /etc/config/zerotier
uci set zerotier.openwrt_network=zerotier
uci add_list zerotier.openwrt_network.join='ID_DE_RED'
uci set zerotier.openwrt_network.enabled='1'
uci commit zerotier
/etc/init.d/zerotier restart
/etc/init.d/firewall restart

Si la instalación de ZeroTier ha ido bien, se habrá generado un nuevo dispositivo ethernet virtual "ztxxxxxxxx".
Código: [Seleccionar]
ifconfig | grep zt
ztxxxxxxxx Link encap:Ethernet  HWaddr 0E:F4:4C:xx:xx:xx

Además, se puede verificar que ZeroTier está ONLINE.
Código: [Seleccionar]
zerotier-cli info
200 info 79aa2xxxxx 1.6.4 ONLINE
(El número hexadecimal "79aa2xxxxx" es el identificador de nodo generado por la capa VL1 de ZeroTier.)

Opcionalmente, se puede mejorar el rendimiento permitiendo las conexiones UDP entrantes por el puerto 9993.

Reiniciar el router. Algunas veces no es necesario.

Código: [Seleccionar]
reboot
Definir una interfaz para el dispositivo virtual ztxxxxxxxx
Código: [Seleccionar]
uci set network.ZeroTier=interface
uci set network.ZeroTier.ifname=$(ifconfig | grep zt | awk '{print $1}')
uci set network.ZeroTier.proto='none'

Puentear la interfaz LAN con la interfaz ZeroTier
Código: [Seleccionar]
uci set network.lan.ifname="$(uci get network.lan.ifname) $(uci get network.ZeroTier.ifname)"
Aplicar los cambios y reiniciar
Código: [Seleccionar]
uci commit network
uci commit firewall
reboot


3) Autorizar al router OpenWrt a unirse a la red ZeroTier

En ZeroTier Central (https://my.zerotier.com), buscar el router (el identificador de nodo y la MAC ayudan) y marcar la casilla "Auth?". Cambiar la IP asignada automáticamente por la IP fija 192.168.100.4. Si se quiere, se le puede poner un nombre. Marcar la casilla "Allow Ethernet Bridging" (para verla, hacer clic en el icono 🔧)




4) Esperar unos minutos a que se establezca la red ZeroTier.

El router está conectado a la red ZeroTier con su propia IP (192.168.100.4). Además, reparte IPs VPN entre sus hosts, que pueden navegar por la red virtual. Los hosts, al tener una IP propia en la VPN, son miembros "de pleno derecho" de la VPN. Responden a los pings recibidos, reaccionan al recibir paquetes mágicos "wake-on-lan" y es posible acceder a ellos mediante escritorio remoto.


« Última modificación: 14-05-2021, 10:59 (Viernes) por raphik »

Desconectado plumanegra

  • **
  • Mensajes: 6
Re: ZeroTier en OpenWrt (VPN + SD-WAN)
« Respuesta #21 en: 23-04-2021, 21:05 (Viernes) »
La IP inicial de un router OpenWrt recién flasheado es la 192.168.1.1. Al ponerle la 192.168.1.3. y reiniciar el router los cambios se llevan a cabo. En mi caso (un HG553 y Linux Mint) no tengo que hacer nada para que el PC refresque la conexión, pero no descarto que en otros casos haya que desconectar y volver a conectar físicamente el latiguillo de red entre el PC y el router.

Si, sin problema. De eso si tenía conocimiento y es verdad, para acelerar la reasignación es mejor desconectar y reconectar el cable.

Según la documentación de OpenWrt, hay dos maneras básicas de configurar un router como punto de acceso.
Bridged AP: https://openwrt.org/docs/guide-user/network/wifi/bridgedap
Routed AP: https://openwrt.org/docs/guide-user/network/wifi/routedap

Un router en modo "bridged" no hace funciones de router: no asigna IPs ni tiene hosts propios. El router funciona como un simple puente (bridge) entre los hosts y el router principal que es el que asigna las IPs y maneja el acceso a Internet de todos los hosts. Este modo me ha parecido perfecto para un router OpenWrt con rol de servidor dentro de la VPN.

Un router en modo "routed" hace funciones propias de router: asignación de IPs, manejo de hosts de su propia LAN y enrutado desde/hacia la WAN. Lo que lleva a confusión es el hecho de que las dos redes, la LAN y la WAN, sean 192.168.1.0/24. Tal vez si la LAN fuese 192.168.50.0/24 se entendería mejor. De cualquier forma, lo cierto es que hay dos redes distintas: la del router principal (WAN) y la del router OpenWrt (LAN). Este es el motivo por el que el switch está dividido en bocas LAN (de la 1 a la 3) y boca WAN (la 4). El modo "routed" es particularmente interesante porque mediante una capacidad llamada IP masquerade permite que sus hosts accedan a Internet (y a la VPN) sin tener una dirección oficial de Internet (ni de la VPN). El modo "bridged" no admite IP masquerade.

Te lo has currado. Ahora si que me cuadran algunas cosas. Muchisimas gracias por tu tan detallada explicación.

En la configuración Servidor (Bridged AP), la puerta de enlace está declarada: uci set network.lan.gateway='192.168.1.1'

En la configuración AP VPN (Masquerading), no hay necesidad de declarar la puerta de enlace. Por defecto, si no se declara, es la WAN. He seguido los pasos tal como está publicado y me funciona bien en un HG553. ¿En qué router lo estás instalando?

Lo hice en la segunda configuración, como VPN (Masquerading), pero al ver en un primer momento que no funcionaba esa boca porque algún paso no hice bien seguro me cargué (borré) la interface Wan y ya se lio un poco más todo. Volveré a probarlo. Pero yo al menos no le veo en mi caso particular, utilidad que haya definida una boca WAN y otras 3 para la LAN porque no nocesito que el OpenWrt haga nada de "routed", me basta con que haga de "bridged". Y además no lo tengo al principio de la instalación. No lo tengo conectado al router directamente sino a través de cable, pero a un punto de acceso.

Aquí me has pillado. No tengo receptor satélite y no sé que contestarte.

Actualmente intento centrarme en las distintas maneras de integrar un router OpenWrt en una VPN ZeroTier. El foro de ZeroTier no da soporte para OpenWrt, así que cualquier avance cuesta lo suyo. Todavía no he llegado al tema de las velocidades de transferencia, pero según los datos que aportó peperfus, me pareció muy baja (273 kb/s de subida y 367 kb/s de bajada). Las pruebas las hizo usando winscp y protocolo scp. Supongo que con Samba el rendimiento sería todavía peor.

Nada sin problema. Ya te digo que el teléfono se comunica con el receptor de satélite pero carece de velocidad suficiente y yo creo que debe ser cosa del propio ZeroTier, porque a mi también me ha sorprendido que a "peperfus" le diera tan poca velocidad en esa subida y bajada cuando lo leí. Creo que estamos en este sentido atados de pies y manos. Quizás esta VPN no de para más en cuanto a velocidad de transferencia. Es lo único que me queda por pensar.

Desconectado plumanegra

  • **
  • Mensajes: 6
Re: ZeroTier en OpenWrt (VPN + SD-WAN)
« Respuesta #22 en: 23-04-2021, 21:09 (Viernes) »
La IP inicial de un router OpenWrt recién flasheado es la 192.168.1.1. Al ponerle la 192.168.1.3. y reiniciar el router los cambios se llevan a cabo. En mi caso (un HG553 y Linux Mint) no tengo que hacer nada para que el PC refresque la conexión, pero no descarto que en otros casos haya que desconectar y volver a conectar físicamente el latiguillo de red entre el PC y el router.

Si, sin problema. De eso si tenía conocimiento y es verdad, para acelerar la reasignación es mejor desconectar y reconectar el cable.

Según la documentación de OpenWrt, hay dos maneras básicas de configurar un router como punto de acceso.
Bridged AP: https://openwrt.org/docs/guide-user/network/wifi/bridgedap
Routed AP: https://openwrt.org/docs/guide-user/network/wifi/routedap

Un router en modo "bridged" no hace funciones de router: no asigna IPs ni tiene hosts propios. El router funciona como un simple puente (bridge) entre los hosts y el router principal que es el que asigna las IPs y maneja el acceso a Internet de todos los hosts. Este modo me ha parecido perfecto para un router OpenWrt con rol de servidor dentro de la VPN.

Un router en modo "routed" hace funciones propias de router: asignación de IPs, manejo de hosts de su propia LAN y enrutado desde/hacia la WAN. Lo que lleva a confusión es el hecho de que las dos redes, la LAN y la WAN, sean 192.168.1.0/24. Tal vez si la LAN fuese 192.168.50.0/24 se entendería mejor. De cualquier forma, lo cierto es que hay dos redes distintas: la del router principal (WAN) y la del router OpenWrt (LAN). Este es el motivo por el que el switch está dividido en bocas LAN (de la 1 a la 3) y boca WAN (la 4). El modo "routed" es particularmente interesante porque mediante una capacidad llamada IP masquerade permite que sus hosts accedan a Internet (y a la VPN) sin tener una dirección oficial de Internet (ni de la VPN). El modo "bridged" no admite IP masquerade.

Te lo has currado. Ahora si que me cuadran algunas cosas. Muchisimas gracias por tu tan detallada explicación.

En la configuración Servidor (Bridged AP), la puerta de enlace está declarada: uci set network.lan.gateway='192.168.1.1'

En la configuración AP VPN (Masquerading), no hay necesidad de declarar la puerta de enlace. Por defecto, si no se declara, es la WAN. He seguido los pasos tal como está publicado y me funciona bien en un HG553. ¿En qué router lo estás instalando?

Lo hice en la segunda configuración, como VPN (Masquerading), pero al ver en un primer momento que no funcionaba esa boca porque algún paso no hice bien seguro me cargué (borré) la interface Wan y ya se lio un poco más todo. Volveré a probarlo. Pero yo al menos no le veo en mi caso particular, utilidad que haya definida una boca WAN y otras 3 para la LAN porque no nocesito que el OpenWrt haga nada de "routed", me basta con que haga de "bridged". Y además no lo tengo al principio de la instalación. No lo tengo conectado al router directamente sino a través de cable, pero a un punto de acceso.

Aquí me has pillado. No tengo receptor satélite y no sé que contestarte.

Actualmente intento centrarme en las distintas maneras de integrar un router OpenWrt en una VPN ZeroTier. El foro de ZeroTier no da soporte para OpenWrt, así que cualquier avance cuesta lo suyo. Todavía no he llegado al tema de las velocidades de transferencia, pero según los datos que aportó peperfus, me pareció muy baja (273 kb/s de subida y 367 kb/s de bajada). Las pruebas las hizo usando winscp y protocolo scp. Supongo que con Samba el rendimiento sería todavía peor.

Nada sin problema. Ya te digo que el teléfono se comunica con el receptor de satélite pero carece de velocidad suficiente y yo creo que debe ser cosa del propio ZeroTier, porque a mi también me ha sorprendido que a "peperfus" le diera tan poca velocidad en esa subida y bajada cuando lo leí. Creo que estamos en este sentido atados de pies y manos. Quizás esta VPN no de para más en cuanto a velocidad de transferencia. Es lo único que me queda por pensar.

Se me olvidaba decirte que he estado viendo el manual que has publicado sobre esto y es a grandes rasgos lo que yo tengo hecho. Lo que si veo es que ya os omitido la parte de zonas de firewall. Supongo que no haran falta, pero cuando yo lo he probado no me daba buena conexión entre conexión externa y los hots de la red. Volveré a revisar todo. A ver si lo dejo ya todo bien configurado.

Gracias por la divulgación de tus conocimientos sobre todo esto, raphik. Todo muy compresible y explícito.

Desconectado raphik

  • ****
  • Mensajes: 96
Re: ZeroTier en OpenWrt (VPN + SD-WAN)
« Respuesta #23 en: 23-04-2021, 21:37 (Viernes) »
@plumanegra
Efectivamente, en esta tercera aplicación (punto de acceso mediante puente en la capa de nivel 2) no se hace nada en el cortafuegos. Los paquetes no se enrutan a través del cortafuegos, sino que circulan por un puente entre las interfaces LAN (eth0.1) y ZeroTier (ztxxxxxxxx).
FUENTE: https://zerotier.atlassian.net/wiki/spaces/SD/pages/7438339/Layer+2+Bridging+with+LEDE+OpenWRT. La clave está donde pone On the Physical Settings tab, ensure zt0 is checked in the interface list.



Su equivalente con UCI es
Código: [Seleccionar]
uci set network.lan.ifname="$(uci get network.lan.ifname) $(uci get network.ZeroTier.ifname)"
« Última modificación: 24-04-2021, 10:09 (Sábado) por raphik »

Desconectado plumanegra

  • **
  • Mensajes: 6
Re: ZeroTier en OpenWrt (VPN + SD-WAN)
« Respuesta #24 en: 03-05-2021, 21:52 (Lunes) »
He actualizado a la versión 1.6.5 pensando que iba a mejorar algo y vamos a peor. Ahora no conecta. Mejor dicho conecta pero al poco tiempo la conexión cae. Por PuTTy me está indicando por este orden:

200 info fb45xxxxxx 1.6.5 ONLINE

200 info fb45xxxxxx 1.6.5 TUNNELED

200 info fb45xxxxxx 1.6.5 OFFLINE

Hay reporte de este problema en otras versiones de ZeroTier pero no veo solución alguna. He reinstalado todo desde cero, por si las moscas, pero no soluciona nada.

Asi que he vuelto a la 1.6.4. que he encontrado en el repositorio de OpenWrt y también he tenido que descargar algunas dependencias porque de por si no se instalaba.
« Última modificación: 03-05-2021, 22:31 (Lunes) por plumanegra »

Desconectado raphik

  • ****
  • Mensajes: 96
Re: ZeroTier en OpenWrt (VPN + SD-WAN)
« Respuesta #25 en: 05-05-2021, 21:22 (Miércoles) »
@plumanegra

Acabo de instalar una imagen estable recién descargada en un HG556a ver.C y parece que va bien.

Desconectado plumanegra

  • **
  • Mensajes: 6
Re: ZeroTier en OpenWrt (VPN + SD-WAN)
« Respuesta #26 en: 06-05-2021, 01:44 (Jueves) »
Caramba.

Yo lo probé en un Comtrend AR-5315u con OpenWrt 19.07.7 y no tiraba la cosa.

Lo hice 2 veces y en la página de ZeroTier Central podía ver como aparecía el dispositivo con la IP, autorizado y registrado y al poco tiempo desaparecía la IP pública y el dispositivo como desconectado.

Un misterio.

Con la 1.6.4-1 sin problemas.

Desconectado Tki2000

  • Moderador
  • *
  • Mensajes: 2204
Re: ZeroTier en OpenWrt (VPN + SD-WAN)
« Respuesta #27 en: 07-05-2021, 16:38 (Viernes) »
Hay un problema que están intentando solucionar desde hace varias versiones. Busca "zerotier network coma issue".
Parece que te puedes estar viendo afectado.

Desconectado raphik

  • ****
  • Mensajes: 96
LAN extendida
« Respuesta #28 en: 13-05-2021, 06:19 (Jueves) »
=========================== ADVERTENCIA DE RIESGO ===========================
Buena parte de la información que aparece en este artículo la he recopilado
de distintos sitios de Internet. A pesar de las minuciosas coprobaciones pre-
vias a su publicación, no puedo garantizar su veracidad, exactitud, actuali-
dad, fiabilidad e integridad. Por lo tanto, el presente artículo no debe ser
considerado como un consejo de uso. Usted es responsable de cualquier uso que
haga de la información aquí contenida.
=============================================================================



Este post es una adaptación del artículo Layer 2 Bridging with LEDE/OpenWRT creado por Grant Limberg y actualizado el 12 de marzo de 2019 por Travis LaDuke.



LAN extendida. Los PCs situados en ubicaciones alejadas entre sí están en la misma red


LAN extendida en la que los hosts están situados en tres ubicaciones distintas. En cada ubicación, un router OpenWrt en modo pasarela (routed AP) asigna a sus hosts IPs dentro de un subrango VPN. Los hosts salen a la VPN con su propia IP utilizando una técnica llamada layer 2 bridging. Pueden navegar y son direccionables.


0) Planteamiento

La red xLAN para las tres ubicaciones es 192.168.100.0/22
Las IPs de los routers proveedores de Internet son irrelevantes, ya que la interfaz WAN OpenWrt tomará su IP por DHCP.

Router OpenWrt
----------------------------------------------------------------------------
 Ubicación | Interfaz LAN  | Interfaz VPN   | DHCP leases
----------------------------------------------------------------------------
     A     | 192.168.100.5 | 192.168.103.10 | 192.168.100.100 - 192.168.100.250
     B     | 192.168.101.5 | 192.168.103.11 | 192.168.101.100 - 192.168.101.250
     C     | 192.168.102.5 | 192.168.103.12 | 192.168.102.100 - 192.168.102.250
----------------------------------------------------------------------------

Máscara de red: 255.255.252.0
Puerta de enlace: 192.168.1.1 (es la IP del router ISP)
Servidor DNS: 1.1.1.1, 1.0.0.1

SWITCH
Bocas 1, 2 y 3 : LAN
Boca 4: WAN

Red ZeroTier (VPN)
Rango: 192.168.100.0/22 (Asignado por el usuario al registrar la red.)
Auto-Assign [Advanced] Pools. Start 192.168.103.10 Stop 192.168.103.12 (Si se quiere, se puede elegir un rango más amplio.)
Network ID: ID_DE_RED (El Network ID es un número hexadecimal único de 16 dígitos generado automáticamente por la capa VL2 de ZeroTier.)



1) Configurar el router OpenWrt en cada ubicación
(A continuación se muestran valores IP para la Ubicación A. Para la Ubicación B y la Ubicación C, sustituir por los valores pertinentes.)

Conectar el PC al zócalo LAN1 del router OpenWrt e iniciar sesión ssh root@192.168.1.1 (PuTTY, en Windows)

Configurar la interfaz LAN
Código: [Seleccionar]
uci set dhcp.lan.ra_management='1'
uci del network.lan.ip6assign
uci set network.lan.ipaddr='192.168.100.5'
uci set network.lan.netmask="255.255.252.0"
uci set dhcp.lan.start='192.168.100.100'
uci add_list network.lan.dns='1.1.1.1'
uci add_list network.lan.dns='1.0.0.1'

Configurar el SWITCH (conectores LAN1 a LAN4)
Código: [Seleccionar]
puertoCPU=$(uci get network.@switch_vlan[0].ports | awk '{print $5}')
uci set network.@switch_vlan[0].ports='0 1 2 '$puertoCPU
uci add network switch_vlan
uci set network.@switch_vlan[-1].device='switch0'
uci set network.@switch_vlan[-1].vlan='2'
uci set network.@switch_vlan[-1].ports='3 '$puertoCPU

Configurar la interfaz WAN
Código: [Seleccionar]
uci set network.wan=interface
uci set network.wan.ifname='eth0.2'
uci set network.wan.proto='dhcp'

Aplicar cambios y reiniciar
Código: [Seleccionar]
uci commit
reboot

Conectar un cable ethernet entre el router ISP y el zócalo LAN4 del router OpenWrt.


2) Instalar y configurar ZeroTier

Tras el reinicio, el PC habrá perdido la conexión con el router, que ahora tiene una nueva IP: 192.168.100.5. Para que el PC retome una IP dentro del nuevo rango, suele bastar con desconectar y volver a conectar el latiguillo ethernet que lo une al router.

Abrir una nueva sesión ssh root@192.168.100.5 (PuTTY, en Windows)

Actualizar lista de paquetes e instalar ZeroTier One
Código: [Seleccionar]
opkg update
opkg install zerotier

Configurar ZeroTier. Sustituir 'ID_DE_RED' por la Network ID de la red ZeroTier.
Código: [Seleccionar]
rm /etc/config/zerotier
touch /etc/config/zerotier
uci set zerotier.openwrt_network=zerotier
uci add_list zerotier.openwrt_network.join='ID_DE_RED'
uci set zerotier.openwrt_network.enabled='1'
uci commit zerotier
/etc/init.d/zerotier restart
/etc/init.d/firewall restart

Si la instalación de ZeroTier ha ido bien, se habrá generado un nuevo dispositivo ethernet virtual "ztxxxxxxxx".
Código: [Seleccionar]
ifconfig | grep zt
ztxxxxxxxx Link encap:Ethernet  HWaddr 0E:F4:xx:xx:xx:xx

Además, se puede verificar que ZeroTier está ONLINE.
Código: [Seleccionar]
zerotier-cli info
200 info 79axxxxxxx 1.6.5 ONLINE
(El número hexadecimal "79axxxxxxx" es el identificador de nodo generado por la capa VL1 de ZeroTier.)

Opcionalmente, se puede mejorar el rendimiento permitiendo las conexiones UDP entrantes por el puerto 9993.

Reiniciar el router. Algunas veces no es necesario.

Código: [Seleccionar]
reboot
Definir una interfaz para el dispositivo virtual ztxxxxxxxx
Código: [Seleccionar]
uci set network.ZeroTier=interface
uci set network.ZeroTier.ifname=$(ifconfig | grep zt | awk '{print $1}')
uci set network.ZeroTier.proto='none'

Puentear la interfaz LAN con la interfaz ZeroTier
Código: [Seleccionar]
uci set network.lan.ifname="$(uci get network.lan.ifname) $(uci get network.ZeroTier.ifname)"
Aplicar los cambios y reiniciar
Código: [Seleccionar]
uci commit network
uci commit firewall
reboot


3) Autorizar al router OpenWrt a unirse a la red ZeroTier

En ZeroTier Central (https://my.zerotier.com), buscar el router (el identificador de nodo y la MAC ayudan) y marcar la casilla "Auth?". Se puede dejar la IP asignada automáticamente o cambiarla por la IP fija 192.168.103.10. Si se quiere, se le puede poner un nombre. Marcar la casilla "Allow Ethernet Bridging" (para verla, hacer clic en el icono 🔧)




4) Esperar unos minutos a que se establezca la red ZeroTier.

El router está conectado a la red ZeroTier con su propia IP (192.168.103.10). Además, reparte IPs VPN entre sus hosts, que pueden navegar por la red virtual. Los hosts, al tener una IP propia en la VPN, son miembros "de pleno derecho" de la VPN. Responden a los pings recibidos, reaccionan al recibir paquetes mágicos "wake-on-lan" y es posible acceder a ellos mediante escritorio remoto.
« Última modificación: 15-05-2021, 13:35 (Sábado) por raphik »

Desconectado Tki2000

  • Moderador
  • *
  • Mensajes: 2204
Re: ZeroTier en OpenWrt (VPN + SD-WAN)
« Respuesta #29 en: 13-05-2021, 11:52 (Jueves) »
Una preguntita:

Al tener los dispositivos el mismo acceso por la máscara 22 a la misma red, (se tiene acceso a todos los ordenadores de la red 100.x a la 103.x) ¿no sería más difícil hacer alguna regla de firewall para parar algún ataque desde una oficina externa? Me refiero, a que con ese rango y máscara la zona de firewall estará en la LAN, y no se podrá distinguir ninguna regla para parar un ataque externo desde tus propias oficinas si alguna queda comprometida. Aunque estén comunicadas es preferible habilitar reglas de acceso que puedan cortar el tráfico radicalmente.

Para comunicar distintas casas privadas puede estar bien, pero la seguridad en las oficinas creo que es un poco más complejo que eso.

Además, si no me equivoco, las direcciones de x, y y z de las WAN deben estar fuera de ese rango 100 a 103, ¿no?


Desconectado raphik

  • ****
  • Mensajes: 96
Re: ZeroTier en OpenWrt (VPN + SD-WAN)
« Respuesta #30 en: 13-05-2021, 21:37 (Jueves) »
@ Tki2000

El post LAN extendida es una adaptación de un artículo publicado en la ZeroTier Knowledge Base, donde puede leerse: «Aquí explicamos cómo conectar su red ZeroTier con la LAN de su oficina o de su hogar para que pueda acceder de forma segura a sus servidores y servicios privados desde cualquier parte del mundo. Ni siquiera necesitará instalar ZeroTier en los servidores conectados a la LAN. Tan sólo en su router.»

Supongo que la seguridad que mencionan está relacionada con la criptografía que utilizan en la comunicación P2P. No dicen nada de cómo protegerse de ataques externos desde oficinas propias.

La preguntita que haces no es baladí. La seguridad en las oficinas es algo muy complicado. No me aventuro a dar consejos al respecto.
« Última modificación: 14-05-2021, 08:27 (Viernes) por raphik »

Desconectado royroyers

  • **
  • Mensajes: 3
Re: ZeroTier en OpenWrt (VPN + SD-WAN)
« Respuesta #31 en: 11-09-2021, 08:41 (Sábado) »
Hola amigos, es mi 1er mensaje en el foro me he animado y es que  me parecio muy bueno  lo que estaba buscando. felicito y agradesco al escritor de este post.

ojala pudieran ayudarme con una solución que pudiera implementar para poder acceder a mis servidores NAS o mucho mejor a toda mi red privada desde Internet? (con toda la carpeta compartida de todas las maquinas) por supusto de forma segura.

El problema es que tengo un módem/enrutador de fibra ZTE F670L que me da mi ISP en Bolivia (AXS), y tengo lo que llaman un CGNAT, no tengo el nombre de usuario y la contraseña del módem/enrutador; Por eso no he podido:

1 habilitar el reenvío de puertos de Internet a cualquier puerto de mi enrutador principal o servidor
2 habilitar DMZ
3 o, no tengo la opción de obtener una ip pública (el ISP no brinda ese servicio ni siquiera pagado)

He instalado zerotier en un par de mis compus y he podidos acceder a mis carpetas por lo que instale zerotier en mi MAINROUTER un R9000 con ddwrt

he visto tu post y me parcee muy buen trabajo solo que no lo entiendo mucho y no sabria escoger 1ero cual de las 4 soluciones que presentas me pudiera funcionar para lo que quiero.

DESEO que me pudieras asesorar porque lo necesito para que mi equipo de trabajo en el exterior pueda acceder a los servidores de datos e incluso a las impresoras y otras carpetas compartidas para nuestro trabajo 🙏

Mi red actual es asi



tegno un zerotier que hice de prueba con la subnet 192.168.100.0/24 pero lo que tengo entendido es que deberia confgurar mi router para que todos los dispositivos conectados a el... incluyendo las impresoras cableadas o wifi, etubieran ya en zerotier y mi equipo de trabajo y yo mismo desde fuera de mi red privada poder ingresar a toda la red privada con las carpetas compartidas e impresoras... de la forma mas segura posible claro...

ojala me puedan ayudar aconsejándome cual es mi mejor solucion para ponerme manos a la obra hehe

Editado: por lo que he leido y entendido... (muy poco) creo que la la 4 es una variacion de la 3 pero entre la 2 y 3 no entiendo la diferencia...

yo creo que la que necesito es la 3 o la 4 ya que mi equipo de trabajo esta en diferentes paises y necesito que llos puedan acceder a las carpetas y dispositivos como impresoras
« Última modificación: 11-09-2021, 18:03 (Sábado) por royroyers »

Desconectado royroyers

  • **
  • Mensajes: 3
Re:Punto de acceso a la red privada virtual (layer 2 bridging)
« Respuesta #32 en: 11-09-2021, 18:55 (Sábado) »
=========================== ADVERTENCIA DE RIESGO ===========================
Buena parte de la información que aparece en este artículo la he recopilado
de distintos sitios de Internet. A pesar de las minuciosas coprobaciones pre-
vias a su publicación, no puedo garantizar su veracidad, exactitud, actuali-
dad, fiabilidad e integridad. Por lo tanto, el presente artículo no debe ser
considerado como un consejo de uso. Usted es responsable de cualquier uso que
haga de la información aquí contenida.
=============================================================================



Punto de acceso a la red privada virtual (layer 2 bridging)


El router OpenWrt asigna a sus hosts IPs dentro del rango VPN. Los hosts no necesitan que se les instale ZeroTier para navegar por la VPN. Al tener una IP VPN, son direccionables: responden al ping, reaccionan al arranque en remoto (Wake on Lan), son manejables desde escritorio remoto...


0) Planteamiento

Router proveedor de Intenet
WAN IP: 192.168.1.1

Router OpenWrt (routed AP)
WAN IP: 192.168.1.x (la que le asigne el servidor DHCP)
LAN/VPN IP: 192.168.100.4 (IP estática)
Puerta de enlace: 192.168.1.1 (WAN)
Servidor DNS: 1.1.1.1, 1.0.0.1

SWITCH
Bocas 1, 2 y 3 : LAN
Boca 4: WAN

Red ZeroTier (VPN)
Rango: 192.168.100.0/24 (Asignado por el usuario al registrar la red.)
Network ID: ID_DE_RED (El Network ID es un número hexadecimal único de 16 dígitos generado automáticamente por la capa VL2 de ZeroTier.)


1) Configurar el router OpenWrt

Conectar el PC al zócalo LAN1 del router OpenWrt e iniciar sesión ssh root@192.168.1.1 (PuTTY, en Windows)

Configurar la interfaz LAN
Código: [Seleccionar]
uci set dhcp.lan.ra_management='1'
uci del network.lan.ip6assign
uci set network.lan.ipaddr='192.168.1.4'
uci add_list network.lan.dns='1.1.1.1'
uci add_list network.lan.dns='1.0.0.1'
LuCI: https://i.imgur.com/SKcLLRS.png

Configurar el SWITCH (conectores LAN1 a LAN4)
Código: [Seleccionar]
puertoCPU=$(uci get network.@switch_vlan[0].ports | awk '{print $5}')
uci set network.@switch_vlan[0].ports='0 1 2 '$puertoCPU
uci add network switch_vlan
uci set network.@switch_vlan[-1].device='switch0'
uci set network.@switch_vlan[-1].vlan='2'
uci set network.@switch_vlan[-1].ports='3 '$puertoCPU

Configurar la interfaz WAN
Código: [Seleccionar]
uci set network.wan=interface
uci set network.wan.ifname='eth0.2'
uci set network.wan.proto='dhcp'

Aplicar cambios y reiniciar
Código: [Seleccionar]
uci commit
reboot

Conectar un cable ethernet entre el router ISP y el zócalo LAN4 del router OpenWrt.


2) Instalar y configurar ZeroTier

Tras el reinicio, el PC habrá perdido la conexión con el router, que ahora tiene una nueva IP: 192.168.100.4. Para que el PC retome una IP dentro del nuevo rango, suele bastar con desconectar y volver a conectar el latiguillo ethernet que lo une al router.

Abrir una nueva sesión ssh root@192.168.100.4 (PuTTY, en Windows)

Actualizar lista de paquetes e instalar ZeroTier One
Código: [Seleccionar]
opkg update
opkg install zerotier

Configurar ZeroTier. Sustituir 'ID_DE_RED' por la Network ID de la red ZeroTier.
Código: [Seleccionar]
rm /etc/config/zerotier
touch /etc/config/zerotier
uci set zerotier.openwrt_network=zerotier
uci add_list zerotier.openwrt_network.join='ID_DE_RED'
uci set zerotier.openwrt_network.enabled='1'
uci commit zerotier
/etc/init.d/zerotier restart
/etc/init.d/firewall restart

Si la instalación de ZeroTier ha ido bien, se habrá generado un nuevo dispositivo ethernet virtual "ztxxxxxxxx".
Código: [Seleccionar]
ifconfig | grep zt
ztxxxxxxxx Link encap:Ethernet  HWaddr 0E:F4:4C:xx:xx:xx

Además, se puede verificar que ZeroTier está ONLINE.
Código: [Seleccionar]
zerotier-cli info
200 info 79aa2xxxxx 1.6.4 ONLINE
(El número hexadecimal "79aa2xxxxx" es el identificador de nodo generado por la capa VL1 de ZeroTier.)

Opcionalmente, se puede mejorar el rendimiento permitiendo las conexiones UDP entrantes por el puerto 9993.

Reiniciar el router. Algunas veces no es necesario.

Código: [Seleccionar]
reboot
Definir una interfaz para el dispositivo virtual ztxxxxxxxx
Código: [Seleccionar]
uci set network.ZeroTier=interface
uci set network.ZeroTier.ifname=$(ifconfig | grep zt | awk '{print $1}')
uci set network.ZeroTier.proto='none'

Puentear la interfaz LAN con la interfaz ZeroTier
Código: [Seleccionar]
uci set network.lan.ifname="$(uci get network.lan.ifname) $(uci get network.ZeroTier.ifname)"
Aplicar los cambios y reiniciar
Código: [Seleccionar]
uci commit network
uci commit firewall
reboot


3) Autorizar al router OpenWrt a unirse a la red ZeroTier

En ZeroTier Central (https://my.zerotier.com), buscar el router (el identificador de nodo y la MAC ayudan) y marcar la casilla "Auth?". Cambiar la IP asignada automáticamente por la IP fija 192.168.100.4. Si se quiere, se le puede poner un nombre. Marcar la casilla "Allow Ethernet Bridging" (para verla, hacer clic en el icono 🔧)




4) Esperar unos minutos a que se establezca la red ZeroTier.

El router está conectado a la red ZeroTier con su propia IP (192.168.100.4). Además, reparte IPs VPN entre sus hosts, que pueden navegar por la red virtual. Los hosts, al tener una IP propia en la VPN, son miembros "de pleno derecho" de la VPN. Responden a los pings recibidos, reaccionan al recibir paquetes mágicos "wake-on-lan" y es posible acceder a ellos mediante escritorio remoto.

sabrias decirme si puedo hacer esto mismo en mi router R9000 ddwrt?

Desconectado raphik

  • ****
  • Mensajes: 96
Re:Punto de acceso a la red privada virtual (layer 2 bridging)
« Respuesta #33 en: 30-09-2021, 18:33 (Jueves) »
sabrias decirme si puedo hacer esto mismo en mi router R9000 ddwrt?

En el primer post escribí:
“Gracias al esfuerzo y a la dedicación de Moritz Warning, ZeroTier One es a día de hoy un paquete más de OpenWrt.”

Moritz Warning desarrolló una versión de ZeroTier One para routers OpenWrt. Hasta donde sé, no desarrolló nada de esto para dd-wrt.