Consulta sobre VPN

[Zavaleta]

Hola Cabaleros..

Les cuento, en mi trabajo tenia un router de la marca ubiquiti, con 2 WAN configurado con failover y una VPN PPTP para poder accesar a un servidor Windows 2008 por escritorio remoto, todo estaba de maravilla hasta q la Wan de Telmex fallo y jodio el router.

Tengo otro Router un Cisco RV340 que no se ha usado, esto debido a que hay q comprar licencias para las VPNs y el minimo a comprar son 25 licencias siendo que cuando mucho ocupo 4, la pregunta es si es posible poner el Cisco e instalar OpenVPN en el servidor Windows??  es esto posible? o que me recomiendan?

Salu2!!

[Fjor]

Últimamente recomiendo Wireguard (wireguard.com) en lugar de OpenVPN. Tiene clientes para Linux, Win, Mac y celulares. Es muy rápido, seguro 

y virtualmente transparente. Algunos minutos pompi en Linux con lo de ajustar el firewall, pero nada del otro mundo, (y usar --unprivileged en el nmap 

desde Windows para que escanee equipos de la red Wireguard si se requiere; en Linux no da ningún problema).

Tip: La configuración de Allowed IPs genera automáticamente las rutas hacia los equipos indicados, por lo que no hay que agregarlas, y hay que

poner atención a las máscaras de red si se quiere tener comunicación a través de un tercer nodo Wireguard.

Saludos a todos.

Caminar y caminar por la vereda del saber...
... de vez en cuando, mirar una estrella.

Tu servidor,
Francisco de Jesús Orozco Ruiz

--
Has recibido este mensaje porque estás suscrito al grupo "LinuxCabal" de Grupos de Google.
Para cancelar la suscripción a este grupo y dejar de recibir sus mensajes, envía un correo electrónico a linuxcabal+...@googlegroups.com.
Para ver esta conversación en el sitio web, visita https://groups.google.com/d/msgid/linuxcabal/29635f08-47d3-4f34-8980-65f7838b01e3n%40googlegroups.com.

[Neo]

calale con wireward, yo tengo montado eso en una raspberry pi en mi
casa y todo chido
(\ (\
(=^.^)
c( (")(")

[H A]

Yo he usado Wireguard con éxito. En nuestro caso combinamos iptables y Wireguard en un debian con lo mínimo, solo para el Wireguard. Lo pusimos detrás del router solo le abrimos los puertos UDP que necesitamos y listo. 

Para los ubnt he visto que hay un firmware o un tipo de parche no oficial Vyatta.  Aunque tenemos algunos routers de esa marca en producción, no he tenido oportunidad de hacer una prueba.

A lo mejor te sirve: Wireguard Vyatta Ubnt (awesomeopensource.com)

Antes usábamos OpenVPN con los routers, pero costaba más trabajo mantenerlo estable.

Saludos.

--

Has recibido este mensaje porque estás suscrito al grupo "LinuxCabal" de Grupos de Google.
Para cancelar la suscripción a este grupo y dejar de recibir sus mensajes, envía un correo electrónico a linuxcabal+...@googlegroups.com.
Para ver esta conversación en el sitio web, visita https://groups.google.com/d/msgid/linuxcabal/29635f08-47d3-4f34-8980-65f7838b01e3n%40googlegroups.com.

--

Hector Alfredo Alvarez C.
www.hectoralvarez.com.mx

[Angel Perez]

Pues si estuve viendo Wireguard y parece buena opción, pero en mi caso no me funcionaría, ya que el servidor de Wireguard lo necesito en un servidor Windows cosa que de momento no es posible, solo hay cliente Windows para conectarse a un servidor en Linux, alguna otra sugerencia?

Salu2!!

Has recibido este mensaje porque estás suscrito a un tema del grupo "LinuxCabal" de Grupos de Google.
Para cancelar la suscripción a este tema, visita https://groups.google.com/d/topic/linuxcabal/ummdzI9o3fk/unsubscribe.
Para cancelar la suscripción a este grupo y a todos sus temas, envía un correo electrónico a linuxcabal+...@googlegroups.com.
Para ver esta conversación en el sitio web, visita https://groups.google.com/d/msgid/linuxcabal/CAN-SDgsQ0PtaT8%3Dg0JSTm8Xm5vnrfZyQf_%2BUB8BWgXk%2BCLgHLg%40mail.gmail.com.

[Fjor]

Para wireguard no hay servidores/clientes como para el OpenVPN, todos son peers equivalentes, por lo que el cliente de Windows funciona 

perfectamente como punto de entrada a la red local y es conectable con cualquier otro cliente en cualquier sistema, siempre y cuando se ajusten

los firewalls/rutas/máscaras apropiadamente, como en todo router, y tenga el par de llaves tuya/mía para identificarse mutuamente. 

Por supuesto, hay que verificar con cuáles IP origen/destino estamos operando: cuando tenemos un Linux de entrada, podemos hacer fácilmente 

que haga NAT a las conexiones que vienen de la VPN wireguard y así las estaciones en la red local reciben el tráfico como si fuera del Linux, que, 

por estar en su red, ya lo conocen, y así le contestan directamente. Pero si no se hace NAT, entonces hay dos opciones: el peer wireguard debe ser la 

puerta de enlace de la red local, para que las consultas desde el rango desconocido de la red wireguard regresen de nuevo por allí, o bien agregar 

a las estaciones locales que lo necesiten una ruta simple que diga que el rango wireguard está por el peer, con lo que ya no necesita éste ser la 

puerta de enlace, sino cualquier estación en la red local.

Igualmente, si queremos que los nodos wireguard se vean entre sí a través de un tercero en la red wireguard hay que asegurarse de no definir su

IP de la VPN como /32, lo cual restringiría el tráfico al mismo nodo. Debe tener la máscara que usemos para el rango wireguard. Por ejemplo, si todos 

mis nodos wireguard tienen IP con máscara /27 puedo tener (/24=256, /25=128, /26=64, /27=32) 30 hosts visibles alrededor de la IP correspondiente

del peer. Claro, lo más fácil es usar una /24 y así se simplifica la numeración A.B.C.x, x=1-254 de mi red wireguard, y no olvidar que en AllowedIPs

van los rangos que queremos ver del otro lado de la VPN para que se agreguen las rutas automáticamente, e incluirle la A.B.C.x/24 de la VPN también.

¡Saludos!

Caminar y caminar por la vereda del saber...
... de vez en cuando, mirar una estrella.

Su servidor,

Francisco de Jesús Orozco Ruiz

Para ver esta conversación en el sitio web, visita https://groups.google.com/d/msgid/linuxcabal/CACdxo6jSd%3Dj9hzL6No-%3D8RW0J9zS1b8zf3MAnRWpJBqHJig-9Q%40mail.gmail.com.

[Neo]

OpenVPN tiene server windows

(\ (\
(=^.^)
c( (")(")

> Para ver esta conversación en el sitio web, visita https://groups.google.com/d/msgid/linuxcabal/CACdxo6jSd%3Dj9hzL6No-%3D8RW0J9zS1b8zf3MAnRWpJBqHJig-9Q%40mail.gmail.com.

[H A]

En efecto, el concepto de cliente y servidor no es la mejor definición para los extremos o peers de WireGuard. Lo que se requiere es que por lo menos alguno de los extremos pueda encontrar al otro y con eso se establece el enlace.

Algo que no me ha gustado de Wireguard para windows es que no se puede (o por lo menos yo no he sabido cómo) tener más de una interfaz WireGuard activa. En los Linuxes eso sí que se puede. Así que podría conectar más de dos redes distintas. 

Saludos

Para ver este debate en la Web, visita https://groups.google.com/d/msgid/linuxcabal/CANfj2UG0BO75zOyJ47Wynh%3Du5F-VSbMcuv1yd1EYnzo%3D%3DSgWdg%40mail.gmail.com.

[Fjor]

H A, para poder activar múltiples túneles wireguard desde el cliente Windows, agrega al registro la llave DWORD MultipleSimultaneousTunnels 

con el valor 1 en HKLM\Software\Wireguard. Recorte del archivo .reg:

---------------------8<-------------------------

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\WireGuard]
"MultipleSimultaneousTunnels"=dword:00000001
---------------------8<-------------------------

Referencia: https://git.zx2c4.com/wireguard-windows/about/docs/adminregistry.md

¡Saludos!

Caminar y caminar por la vereda del saber...
... de vez en cuando, mirar una estrella.

Su servidor,
Francisco de Jesús Orozco Ruiz

Para ver esta conversación en el sitio web, visita https://groups.google.com/d/msgid/linuxcabal/CAN-SDguRD-pPHsFE7uxONLPPB%3DKCUHCT%2BV%2BoQ0afJB_KwoOq3Q%40mail.gmail.com.

[Angel Perez]

Fjor,

Tengo muy poco conocimiento en redes, porque en si esa parte no es mi chamba, en mi situación actual tengo un router cisco RV340 el cual no puedo configurar una VPN que asigne direcciones IP de mi mismo rango de ip's q mi LAN tengo que definir otro segmento diferente, el servidor al que se necesito conectar desde fuera, tiene 2 tarjetas de red, es posible configurar a la segunda tarjeta de red el mismo segmento de red que defina en la VPN para que puedan acceder al servidor? en caso de q si, que puerta de enlace le tendría q definir tanto a los clientes vpn que se van a conectar como a la segunda tarjeta de red del servidor?

Para ver esta conversación en el sitio web, visita https://groups.google.com/d/msgid/linuxcabal/CAGdSEtHyusyqMm-wiBef1tsnpE61S9bzh0CkgJCCTdFXcBM2mA%40mail.gmail.com.

[H A]

H A, para poder activar múltiples túneles wireguard desde el cliente Windows, agrega al registro la llave DWORD MultipleSimultaneousTunnels 

con el valor 1 en HKLM\Software\Wireguard. Recorte del archivo .reg:

---------------------8<-------------------------

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\WireGuard]
"MultipleSimultaneousTunnels"=dword:00000001

---------------------8<-------------------------

Interesante dato, gracias. De todas formas preferimos usar Debian, pero es muy bueno saberlo por si acaso.

Saludos.

El jue, 1 jul 2021 a las 18:22, Fjor (<ssf...@gmail.com>) escribió:

Para ver esta conversación en el sitio web, visita https://groups.google.com/d/msgid/linuxcabal/CAGdSEtHyusyqMm-wiBef1tsnpE61S9bzh0CkgJCCTdFXcBM2mA%40mail.gmail.com.

[Fjor]

A ver si entendí, Angel. Supongamos que la red es así (los nombres local/remoto solo son para distinguir fácilmente de

cuál lado estamos hablando; luego nos aclaras como es tu red en realidad, sin indicar IPs reales, claro):

                192.168.5.x/24                          Publica 200.a.b.c       192.168.0.x/24

estaciones -----[RED LOCAL]---------[RV340]------(inet)-------[ROUTER REMOTO]------[RED REMOTA]----estaciones 0.x

                     /                                                                \

     [SERVER en VPN t1 y t2]---x                                 [Otro equipo con wireguard] 

         192.168.5.26/24 pto 46726                                     192.168.0.15/24 pto 46715

El server de dos tarjetas está en la red 5.x, pero solamente usa una, con IP 5.26. Del otro lado tenemos estaciones en la red 0.x

y una de ellas, la 0.15, tiene el wireguard, y queremos que todas las estaciones remotas vean el server. Nótese que al menos

uno de los lados debe tener IP pública visible en internet; supongamos que es la 200.a.b.c en el lado remoto.

Digamos que me gusta para que la VPN use el rango 10.10.7.x/24. Entonces decido previamente que el server tendrá la

10.10.7.26 con puerto 46726 y el equipo remoto la 10.10.7.15 con puerto 46715 (los números no importan siempre y cuando

no haya conflictos con las redes local/remota y los puertos sean diferentes y estén libres).

En el router remoto se configura un servicio virtual: que al llegar tráfico en la pública por la UDP 46715  lo mande a la

estación 192.168.0.15 puerto 46715 (allí si deben ser iguales los puertos, por si acaso). En la estación le ponemos la

definición propia y la del server/red remotas para que tenga las rutas hacia el otro lado:

#-- estación remota 0.15

[Interface]

  PrivateKey = (la privada de la estación 0.15)

  Address    = 10.10.7.15/24

  ListenPort = 46715

[Peer]

  PublicKey  = (la pública del server 5.26)

  AllowedIPs = 10.10.7.0/24,192.168.5.0/24

En el server no necesitamos hacer nada especial, salvo abrir el puerto UDP 46726, ya que las rutas hacia el otro lado se 

definen con su AllowedIPs:

#-- server local

[Interface]

  PrivateKey = (la privada del server 5.26)

  Address    = 10.10.7.26/24

  ListenPort = 46726

[Peer]

  PublicKey  = (la pública de la estación 0.15)

  AllowedIPs = 10.10.7.0/24,192.168.5.0/24

  EndPoint   = 200.a.b.c:46715

  PersistentKeepAlive = 19

El PersistentKeepAlive se usa para que los routers sepan que esa conexión está viva y no la corten; puede ser

cualquier valor menor a unos ventitantos segundos por cada paquete 'despiértate'.

Ahora en la estación 0.15 ya se puede tener acceso al server como 10.10.7.26 o como 192.168.5.26, peeero, las

estaciones remotas no pueden ver el server porque no saben cómo llegar a la red 192.168.5.0/24. en ese caso 

hay que agregar una ruta en el router remoto (que es la puerta de enlace de las estaciones) que diga: Para llegar 

a la 192.168.5.0/24 te vas por la 192.168.0.15. Y con eso las estaciones van a mandar la comunicación hacia el

192.168.5.26 por la puerta de enlace, de ahí rebota a la 0.15, y se va por el túnel a la 5.26, quien, como ya sabe 

que las 0.x están por el túnel, contesta por allí mismo, llega a la 0.15 y de allí a la estación solicitante. 

Única pega: la estación 0.5 debe saber enrutar tráfico; si es Linux es muy fácil con sólo habilitarle el ip_forward 

y agregar las reglas en el FORWARD del firewall para que permita paso libre desde/hacia la interface del wireguard 

(casi siempre wg0 pero podemos ponerle otro nombre). Para Winx hay que habilitar el ICS y... bueno, hay muchos 

tutoriales de cómo hacerlo buscando con google make router with windows o algo similar.

¡Espero te sirva y disculpen la novela!

Caminar y caminar por la vereda del saber...
... de vez en cuando, mirar una estrella.

Su servidor,
Francisco de Jesús Orozco Ruiz

Para ver esta conversación en el sitio web, visita https://groups.google.com/d/msgid/linuxcabal/CACdxo6hrJZMpdxDRVE%2BsqgFw6OFpTLX2G6k00jwzaJfypjHPuw%40mail.gmail.com.

[Angel Perez]

Gracias Francisco, tal cual lo planteaste es el escenario y te agradezco tu tiempo y tus explicaciones q me van ayudando a entender.

De mi router Cisco ya pude configurar la VPN L2TP solo que hay algo que me extraña mucho, en el cliente que se conecta a la VPN si abro el navegador y le pido me muestre la Ip de la que estoy conectado me muestra la IP privada de mi conexión VPN y supongo que si tengo abierta la VPN y me pongo a ver videos, estare utilizan el enlace de la VPN? en vez de hacer uso de mi enlace por la que estoy conectado a internet

Estoy haciendo pruebas para ver que me funciona mejor y ver con cual configuración me quedo.

Salu2!!

Para ver esta conversación en el sitio web, visita https://groups.google.com/d/msgid/linuxcabal/CAGdSEtGsrwQ3jk23Q3cQx2KJ2vO721nOKAvButDuy4rB-kZWvA%40mail.gmail.com.

[Fjor]

Temo que allí no te puedo ayudar, pues no he usado Cisco como punto de acceso seguro a redes internas, pero las VPN en general, 

salvo las que son mediante plugins en el navegador o aplicaciones, usan el enrutamiento para guiar los paquetes, por lo que un 

traceroute o similar te podría ayudar a determinar por dónde se va tu tráfico. Es posible que requiera agregarle algún ACL condicional

para que sólo envíe el tráfico dirigido al sitio remoto y no todo.

Tu servidor,

Fjor

----

Francisco de Jesús Orozco Ruiz

Caminar y caminar por la vereda del saber...
... de vez en cuando, mirar una estrella.

                                              -Fjor

Para ver esta conversación en el sitio web, visita https://groups.google.com/d/msgid/linuxcabal/CACdxo6g1nYjCnQaYEkc2YjOifOncKQ1kfqyhF5C5B%3DyJmvCu%3Dg%40mail.gmail.com.

[Angel Perez]

Gracias Francisco... 

La gente de Cisco ya me ayudo a configurar una VPN Client to Site y utilizando VPN Access Manager y ha estado trabajando bien, te agredezco tu tiempo y tus comentarios, voy a terminar de probar WireGuard como alternativa.

Salu2

Para ver esta conversación en el sitio web, visita https://groups.google.com/d/msgid/linuxcabal/CAGdSEtHm88D_c5SPDXdVunv-WKccK5CCwHs07nWi0v1YRA2UHw%40mail.gmail.com.