BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

Conectar 2 viviendas con OpenVPN entre FreshTomato y Asus Merlin

JVFReg

Actualmente estoy utilizando en el portátil y móvil, aplicaciones para poder conectarme a la red doméstica y usar los ficheros de la red y Pi-hole para filtrado DNS.

Estoy interesado en conectar otro domicilio a esa misma red y que los equipos/móviles puedan acceder a los ficheros y tengan filtrado de DNS sin necesidad de instalar nada.

En la siguiente imagen se muestra lo que explico.

untitled-diagram.webp

El servidor OpenVPN que está montando en el Asus/Merlin tiene la siguiente configuración:

brave-hxb4pthfob.webp

No he conseguido conectar el router FreshTomato como cliente, por lo que no he podido llegar al router Asus/Merlin en ningún momento.

Los PCs y móviles, ahora mismo están saliendo a Internet por el router Asus/Merlin.

Voy algo perdido y no sé por dónde continuar.

MasterL
-1

Yo te recomiendo usar IP over ethernet

🗨️ 2
naveganteperdido
1

sera ethernet over IP :P

🗨️ 1
MasterL

Correcto. Gracias por la correccion naveganteperdido

Obi-Wan
1

Sin logs ni más datos, es difícil saber qué está pasando.

Podría ser hasta que tengas CG-NAT en la conexión donde está el Asus/Merlin.

O podría ser que la configuración del cliente no coincida con el servidor.

O podría ser que ese Merlin tenga activo el cortafuegos y tengas que abrir el puerto 443 (que espero que sea UDP, salvo que tengas motivos buenos, no deberías usar TCP)

Ya de mano, algo que parece raro es que el pool para clientes coincida, aparentemente, con el rango en que tienes el Asus/Merlin.

En fin, demasiadas variables.

🗨️ 5
Jav9i

Trabaje en un sitio con varios centros, si usabas la VPN para teletrabajar te asignaba una IP de un rango como si fuera un centro mas. (las IPs eran 192.168.x.y donde"x" es el centro y el "y" es el /24 asignado al DHCP, kdejar claro que la empresa tenia menos de 250 trabajdores y aproximadamente un tercio de ellas no tenian opción de teletrabajo, lo que asegura que las IPs eran suficientes)

🗨️ 2
Obi-Wan

Si, ser es posible usando bridging. Pero eso hace la configuración más compleja, es menos eficiente, y no es necesario en entornos simples (que por cierto el op no dice lo que está usando en el servidor, bridging o routing)

Si solo quieres conectar dos sedes y que los clientes se vean entre ellos, se puede usar routing perfectamente, salvo algunos casos concretos:

openvpn.net/community-resources/determin…-bridged-vpn

Por poder, podrías crear bloques también dentro de una subred /24, obviamente, y asignar un subbloque a la VPN y otro subbloque a la LAN, pero para qué liarse.

🗨️ 1
Obi-Wan

Y decía que me parece raro lo del pool, porque me extraña que el op se esté metiendo en bridging, o que se haya preocupado de crear subbloques de 192.168.2.1/24… aunque todo podría ser.

JVFReg

Buenas, no tengo CG-NAT en destino (Asus/Merlin). Ahora mismo un portátil y un móvil conectan sin problemas a la VPN y les asigna IP del pool que se ve, llevo meses usándolo así.

Quería tener los dispositivos en el mismo rango y al usar TAP y no TUN, puedo usar el pool de IP de la misma LAN.

El problema reside en el FreshTomato, que no me aclaro para configurar.

🗨️ 1
Obi-Wan

Esos móviles y portátiles ¿están tras el LiveBox tambien, y llegan al servidor OpenVPN? ¿Y puedes hacer ping desde esos móviles y portátiles a 192.168.2.1?

Si es así, entonces claramente tu problema está en la configuración que tienes en FreshTomato. Pero por qué… es imposible saberlo sin más datos, y sin ver qué mensaje de error tienes en ese router con TomatoFresh.

En todo caso, lo suyo sería comprobar logs tanto en el cliente como en el servidor, y con eso es casi seguro que podrías ir viendo lo que va mal.

Cómo hacerlo en esos firmwares, ni idea. En OpenWrt el log de sistema se puede leer vía ssh con el comando logread, o vía web en "Status" > "System Logs", e incluye los logs de OpenVPN.

EmuAGR

Divide el problema para saber lo que está pasando. Empieza haciendo ping a la IP a la que te quieres conectar, ¿responde? Pásale un escáner de puertos a ver si responde al 443.

¿Cuáles son tus operadores? Porque como han dicho más arriba, si tienes CG-NAT los puertos que abras en tu IP no van a ser accesibles a Internet porque tu conexión no acaba en tu router.

vukits

Los PCs y móviles, ahora mismo están saliendo a Internet por el router Asus/Merlin.

así que tu problema es que el FrashTomato no hace muy bien el tema de cliente, ¿cierto?

🗨️ 3
JVFReg

Exacto, el FreshTomato no llega a conectar como cliente al Asus/Merlin. Un portátil y un móvil sí conectan sin problemas a la VPN, por lo que no es problema de CG-NAT.

🗨️ 2
vukits

¿Intentaste cargar el mismo fichero de ovpn que funciona en el PC, en el freshtomato?

¿qué sale en el log cuando invocas el fichero directamente desde SSH?

vukits

adicionalmente, hace falta captura de pantalla de cómo tienes configurado FreshTomato.

riahc3

Quieres que el 192.168.1.5 monte un site-to-site en vez de remote access contra el 192.168.2.1 , correcto ?

Cuando ejecutas un traffic capture en el 192.168.2.1 y intentas hacer el site-to-site , que te muestra? El servidor OpenVPN en el 192.168.2.1 te deja logs?

Puedes hacer ping entre las dos IPs publicas?

Hay bastantes preguntas y poca informacion para intentar seguir desarrollando una prepuesta valida para ayudarte.

Otra pregunta, algun motivo por el que utilizas el 443? La mayoria de sniffers de puertos aunque cambies el puerto, van a darse cuenta que es un OpenVPN. Lo de cambiar puertos es algo bastante anticuado y solo para casos de NAT y asi.