Administradores de redes y sistemas ¡Yo os invoco! (cosas del router)
- Autor del tema Leovigildo
- Fecha de inicio
Leovigildo
Madmaxista
- Desde
- 26 Jul 2011
- Mensajes
- 9.629
- Reputación
- 20.626
Por hoy ya no tengo más tiempo para cacharrear, probaré otro día, pero creo que algo tendrá que ver la VPN. Para que funcione había que instalar OpenVPN y no se qué otros cerficiados, y se creo la conexión "area local 2", que ya me dirá alguien qué función tiene si sólo hay un puerto ethernet.
Por comparar, con la VPN encendida
Area local 1
dirección ipv4 - 10.10.110.10
mascara de subred - 255.255.255.252
puerta de enlace - inexistente
Area local 2
dirección ipv4 - 192.168.1.103
mascara de subred - 255.255.255.0
puerta de enlace - 192.168.1.1
Con la VPN apagada no hay conexión de area local 1 y se mantiene la configuración de area local 2.
Por comparar, con la VPN encendida
Area local 1
dirección ipv4 - 10.10.110.10
mascara de subred - 255.255.255.252
puerta de enlace - inexistente
Area local 2
dirección ipv4 - 192.168.1.103
mascara de subred - 255.255.255.0
puerta de enlace - 192.168.1.1
Con la VPN apagada no hay conexión de area local 1 y se mantiene la configuración de area local 2.
Area local 1 es la VPN y Area local 2 es tu red local. Un puerto ethernet puede pertenecer a varias redes IP, cada una con su configuración siempre que no haya conflictos entre ellas.
Con esa configuración el Area local 2 te funciona?
ienso:
Con esa configuración el Area local 2 te funciona?
ienso:
Cui Bono
So far, so good
- Desde
- 19 Jul 2007
- Mensajes
- 29.855
- Reputación
- 51.553
Un puerto ethernet no puede pertenecer a varias redes.
Lo que pasa cuando se crea la conexión VPN es que aparece otro dispositivo en el PC y es el que tiene el gw de salida.
Cuando apaga la VPN se queda en red local 2, es decir, la LAN del router, no revierte la situación anterior, antes de crear el túnel..
Para hacer esto bien hay que saber cuántos dispositivos de red hay en el router del hamijo.
Por poner un ejemplo, yo tengo 7, que son 5 ethX que tengo unidas en un bridge (y que podrían ir por separado) y dos WLAN, uno de la banda 5.8Ghz y otro de la 2.4Ghz.
La radio de 2.4GHz la tengo apagada. A la de 5.8Ghz le tengo otra red.
Adresses:
Wlan2: 192.168.58,1/24 ( "/24" significa 24 bits de máscara, o sea 255.255.255.0)
bridge(eth): 192.168.1.3/24 (una de las eth del bridge tiene 192.168.1.3/24 estático y dota a todo el bridge de IP)
El gateway a internet está en 192.168.1.1, pero no hay que enrutarlo si vas por el bridge, por el cable ethernet, se va ella solita a internet sin rutas, esto es porque el router de salida (un ubiquity) sí tiene rutas a internet y se entiende bien con el Mikrotik, de alguna forma se lo dice "Eh tío, que a internet es por aquí". Se podría poner una ruta 0.0.0.0/0 a pata, pero ésto suele confundir, aparte de que ahora vereis que hay poner esa ruta, para otra cosa.
En cambio, sí que hay que enrutar lo que viene por wifi. wlan2 tiene un DHCP server y da una IP a los dispositivos que se conecten. Hay dos opciones para que esto llegue a dar conexión a internet:
Opción 1 - Bridge de la wlan. Para ello, en vez de un DHCP server habría que poner un DHCP Relay, poner el ubiquity a dar IPs y añadir wlan2 al bridge. El problema es que si wlan entra en el bridge luego no puedes hacer más cositas, que no vienen a cuento ahora.
Opción 2 - Enrutado de la wlan, es la que tengo. Primero se hace un marcado mangle (prerouting) de todo lo que proceda de la wlan wifi, marcando la conexión para su posterior enrutamiento y luego se crea una ruta por defecto (0.0.0.0/0) a 192.168.1.1 para esas conexiones marcadas. También hay que hacerle NAT (src-nat masquerade) a todos las conexiones con el marcado de ruta antes citado. Con el marcado mangle haces luego las dos cosas (ruta condicional y NAT) de forma muy simplificada.
Que pasa cuando me conecto a VPN con mi PC? Que hay dos scripts, para modificar el enrutado del PC después de conexión y al retornar a no conectado. En esto le da una paliza Linux a Windows, por ser mucho más manual, pero a la vez más tras*parente.
El script de post-conexión (hay que ponerlo en /etc/ppp/ip-up.d ) crea la ruta para la máquina VPN remota a través del tunel cifrado ppp0, le quita el default gw a ethernet y se lo da a la máquina VPN remota que, lógicamente, allí tendrá un nat masquerade si tiene que enrutarte y además ha de otorgarte las DNS si así lo dispones. Todo ésto se hace con "route del" y "route add".
El script de post-desconexión de la VPN (en /etc/ppp/ip-down.d) restaura todo al punto de partida, dándole el default gw de nuevo a eth0. Alguien estará pensando "Pero por eth va en todo momento", pues no, una cosa es el dispositivo, túnel ppp0 o eth en este caso, y otra el cable. De hecho, en la mayoría de mikrotik con más de un eth puedes configurar varias redes ethX que irán por el mismo cable.
Lo que pasa cuando se crea la conexión VPN es que aparece otro dispositivo en el PC y es el que tiene el gw de salida.
Cuando apaga la VPN se queda en red local 2, es decir, la LAN del router, no revierte la situación anterior, antes de crear el túnel..
Para hacer esto bien hay que saber cuántos dispositivos de red hay en el router del hamijo.
Por poner un ejemplo, yo tengo 7, que son 5 ethX que tengo unidas en un bridge (y que podrían ir por separado) y dos WLAN, uno de la banda 5.8Ghz y otro de la 2.4Ghz.
La radio de 2.4GHz la tengo apagada. A la de 5.8Ghz le tengo otra red.
Adresses:
Wlan2: 192.168.58,1/24 ( "/24" significa 24 bits de máscara, o sea 255.255.255.0)
bridge(eth): 192.168.1.3/24 (una de las eth del bridge tiene 192.168.1.3/24 estático y dota a todo el bridge de IP)
El gateway a internet está en 192.168.1.1, pero no hay que enrutarlo si vas por el bridge, por el cable ethernet, se va ella solita a internet sin rutas, esto es porque el router de salida (un ubiquity) sí tiene rutas a internet y se entiende bien con el Mikrotik, de alguna forma se lo dice "Eh tío, que a internet es por aquí". Se podría poner una ruta 0.0.0.0/0 a pata, pero ésto suele confundir, aparte de que ahora vereis que hay poner esa ruta, para otra cosa.
En cambio, sí que hay que enrutar lo que viene por wifi. wlan2 tiene un DHCP server y da una IP a los dispositivos que se conecten. Hay dos opciones para que esto llegue a dar conexión a internet:
Opción 1 - Bridge de la wlan. Para ello, en vez de un DHCP server habría que poner un DHCP Relay, poner el ubiquity a dar IPs y añadir wlan2 al bridge. El problema es que si wlan entra en el bridge luego no puedes hacer más cositas, que no vienen a cuento ahora.
Opción 2 - Enrutado de la wlan, es la que tengo. Primero se hace un marcado mangle (prerouting) de todo lo que proceda de la wlan wifi, marcando la conexión para su posterior enrutamiento y luego se crea una ruta por defecto (0.0.0.0/0) a 192.168.1.1 para esas conexiones marcadas. También hay que hacerle NAT (src-nat masquerade) a todos las conexiones con el marcado de ruta antes citado. Con el marcado mangle haces luego las dos cosas (ruta condicional y NAT) de forma muy simplificada.
Que pasa cuando me conecto a VPN con mi PC? Que hay dos scripts, para modificar el enrutado del PC después de conexión y al retornar a no conectado. En esto le da una paliza Linux a Windows, por ser mucho más manual, pero a la vez más tras*parente.
El script de post-conexión (hay que ponerlo en /etc/ppp/ip-up.d ) crea la ruta para la máquina VPN remota a través del tunel cifrado ppp0, le quita el default gw a ethernet y se lo da a la máquina VPN remota que, lógicamente, allí tendrá un nat masquerade si tiene que enrutarte y además ha de otorgarte las DNS si así lo dispones. Todo ésto se hace con "route del" y "route add".
El script de post-desconexión de la VPN (en /etc/ppp/ip-down.d) restaura todo al punto de partida, dándole el default gw de nuevo a eth0. Alguien estará pensando "Pero por eth va en todo momento", pues no, una cosa es el dispositivo, túnel ppp0 o eth en este caso, y otra el cable. De hecho, en la mayoría de mikrotik con más de un eth puedes configurar varias redes ethX que irán por el mismo cable.
¿No? ¡Ahí va qué fallo!
Tips de informatica: Configurar varias IP y DNS en una tarjeta de red en Windows 7
Leovigildo
Madmaxista
- Desde
- 26 Jul 2011
- Mensajes
- 9.629
- Reputación
- 20.626
No me he enterado de nada :
:
Cui Bono
So far, so good
- Desde
- 19 Jul 2007
- Mensajes
- 29.855
- Reputación
- 51.553
No me he enterado de nada :
Tienes que separar el problema.
Quieres wifi -> a través del dispositivo wlan
El router se conecta al módem -> a través de qué dispositivo?
El router enlaza el wifi con el módem -> cómo piensas hacerlo?
Da la impresión de que no conoces lo más básico.
Turbamulta
Madmaxista
- Desde
- 17 Oct 2013
- Mensajes
- 4.343
- Reputación
- 15.127
Si usas OpenVPN este crea un interfaz de red virtual que es el que utiliza para enviar los paquetes cifrados sobre tu conexión "insegura". Si el ejemplo es el que pones Area local 1 corresponde a la red VPN y la 2 a tu interfaz de red real.
Leovigildo
Madmaxista
- Desde
- 26 Jul 2011
- Mensajes
- 9.629
- Reputación
- 20.626
Bien, momento de volver a upear el hilo.
Al final hasta la platano del DD-WRT he decidido volver al software base de Netgear (recuerdo que este es el trasto que tengo), y tras pelearme para flashearlo porque se ha resistido lo que no está escrito el cabrón (más fácil cambiarlo que restaurarlo, increíble), resulta que sigo teniendo el mismo puñetero problema de antes. Hay un conflicto de IPs entre los dos trastos.
Si reseteo el modem, puedo disfrutar de una ventana de unos segundillos donde puedo acceder al panel de control del router, pero en el momento que se asigna la IP al modem se acabó lo que se daba.
¿Cómo demoños lo puedo configurar para tener los dos paneles de control accesibles? (recordatorio, el cable de fibra óptica va a un hitron capadisimo, de este un cable al router de netgear, y del router sale otro cable al pc. El objetivo es usar el netgear como "principal" y el hitron como mero proveedor).
No sé si se agrava o no pero seguro que algún papel juega el hecho de contar con una VPN. Imagino que los tiros irán por definir un rango X o Y para cada trasto y desactivar el DHCP en uno de ellos, pero no sé en cuál ni qué rango de IPs.
Adjunto capturas:
Con la VPN apagada
Con la VPN encendida
Una ayudita para un zote por caridad ::
Al final hasta la platano del DD-WRT he decidido volver al software base de Netgear (recuerdo que este es el trasto que tengo), y tras pelearme para flashearlo porque se ha resistido lo que no está escrito el cabrón (más fácil cambiarlo que restaurarlo, increíble), resulta que sigo teniendo el mismo puñetero problema de antes. Hay un conflicto de IPs entre los dos trastos.
Si reseteo el modem, puedo disfrutar de una ventana de unos segundillos donde puedo acceder al panel de control del router, pero en el momento que se asigna la IP al modem se acabó lo que se daba.
¿Cómo demoños lo puedo configurar para tener los dos paneles de control accesibles? (recordatorio, el cable de fibra óptica va a un hitron capadisimo, de este un cable al router de netgear, y del router sale otro cable al pc. El objetivo es usar el netgear como "principal" y el hitron como mero proveedor).
No sé si se agrava o no pero seguro que algún papel juega el hecho de contar con una VPN. Imagino que los tiros irán por definir un rango X o Y para cada trasto y desactivar el DHCP en uno de ellos, pero no sé en cuál ni qué rango de IPs.
Adjunto capturas:
Con la VPN apagada
Con la VPN encendida
Una ayudita para un zote por caridad :
:
Última edición:
Similar threads
