Conectar dos viviendas con VPN de Wireguard y unificar red doméstica

damosta1 5 enero 2022 21:31 ✎

⋮

La situación es la siguiente. En casa tengo montado un servidor con Wireguard que utilizo también para temas de domótica, impresión, Pi-hole, servidor DNS con Cloudflare. Actualmente todos los móviles de casa tienen la app de Wireguard para cuando salimos a la calle que se conecten a la VPN doméstica y bloquear anuncios. También la uso en el portátil cuando estoy fuera de casa para lo mismo y para poder acceder al disco duro local.

El tema es que ahora en el pueblo hemos puesto fibra y me gustaría conectarlo con casa a través de la VPN de manera permanente, como si fuese una sede. En el pueblo tengo una Raspberry 3 con Pi-hole y Wireguard montados, que me hacen la misma función.

La idea sería usar la Raspberry como router (detrás del HGU de Movistar) y que todo el tráfico pase por mi casa.

No sé si esto sería posible. He visto que se puede conectar la raspberry como cliente a la VPN principal, pero no llego a localizar cómo usarla como router y redirigir todo el tráfico a través de la VPN (WiFi y ethernet).

Otro tema serían las IP, en casa tengo 192.168.0.1 y en el pueblo 192.168.1.1. Me gustaría que ambas casas estuviesen en la misma red.

Por último, en mi casa tengo Movistar+. En caso de que se pueda hacer esta VPN, ¿se podría usar un descodificador en el pueblo y ver la tele como si estuviese dentro de mi casa? Actualmente si uso móvil o tablet con la VPN esté donde esté reconoce el dispositivo como dentro de casa.

JCDev 5 enero 2022 21:39

⋮

Yo lo que haria seria usar un router con SD-WAN y OpenVPN y usar OpenVPN para el tema del Movistar+, supongo. Después no sé si hay algun router con sd-WAN y WireGuard

vukits 5 enero 2022 22:41

⋮

SI quieres ver la TV, vas a tener que usar OpenVPN. No tengo constancia de documentación sobre Wireguard.

En ambas casas vas a tener que usar router neutro con OpenWrt… en la casa principal se configura así

he visto que se puede conectar la raspberry como cliente a la VPN principal, pero no llego a localizar como usarla como router y redirigir todo el tráfico a través de la VPN

no puedes. tendrás que usar algun router con OpenWrt que haga de gateway en el pueblo. Algún Xiaomi que soporte OpenWrt , p.e. o el router del tutorial para TV.

PD: por cierto, ni qué decir, que los rangos LAN de cada casa deben ser diferentes, p.e. 192.168.1.* en una y 192.168.2.* en otra

MasterL 5 enero 2022 22:41

⋮

Yo meteria un par de routers con ethernet over IP

Asi el sitio remoto lo cuelgas del principal y en remoto ven la misma red que ves tu

Amenhotep 6 enero 2022 09:19 ✎

⋮

Para lo que quieres creo que es perfecto ZeroTier

foro.seguridadwireless.net/openwrt/vpn-c…r-en-openwrt

Mezcua 28 enero 2022 12:08

⋮

Yo lo tengo con wireguard, pero para la television, necesitas montar un bridge entre un interface nuevo fisico y el pseudo interface que crea wireguard, Movistar envia la Iptv con el ttl a 1 por lo que en el momento que tengas un salto de routing se acabo, por no hablarte del IGMP que ahi ya necesitarias un dispositivo que haga multicast routing.

Si no requires mas que la tele y poco mas, OpenVPN a nivel 2 con un bridge y quitate de lios, a mi dedicandome a esto, me costo varios dias ponerlo en marcha con wireguard, eso si, voy a velocidad de enlace, 600Mb y puedo ver contenido en HD de una nas remota en la tele de la otra casa sin problema, olvidate de montarlo sobre una raspberry pi.

Un saludo.

✖

Vmx 15 agosto 2022 12:19

⋮

Hola!

Disculpa por rescatar este tema tan viejo, pero no encuentro mucha información al respecto.

Lo que dices de la TV, aplicaría también en el caso de querer consumir la TV (el fútbol) a través de la app de Smart TV en lugar del deco?

Lo digo porque la Smart TV sí que te permite ver todo lo que quieras fuera de casa, pero el fútbol en directo lo bloquean si no te encuentras en la misma residencia donde tienes contratada la línea.

Tengo entendido que para esto lo que comprueban es la dirección IP, cosa que se podría solucionar fácilmente montando un VPN con WireGuard en dicha residencia. Pero no sé si en la app de Smart TV también limitan el TTL de alguna manera al ser tráfico que va por internet.

Agradecería cualquier info!

✖

vukits 15 agosto 2022 12:22

-1

⋮

mientras estés en España, no necesitas estar en casa para ver la TV

✖

Vmx 15 agosto 2022 12:23

⋮

Por favor lee mi mensaje. Estoy hablando del fútbol en directo, que Movistar bloquea en las apps de Smart TV a no ser que te encuentres en la misma residencia donde tienes contratado el servicio.

Sí dejan verlo desde la web, las apps móviles, etc., pero no desde Smart TV.

✖

vukits 15 agosto 2022 12:46 ✎

-1

⋮

✖

Vmx 15 agosto 2022 12:51

⋮

✖

vukits 15 agosto 2022 13:12

⋮

✖

Vmx 15 agosto 2022 13:22

⋮

mezcua 15 agosto 2022 12:39

⋮

El TTL para el multicast esta limitado a 1, por eso necesitas emular que no hay saltos de routing mediante una VPN a nivel 2, esto te permite llevarte la red ethernet a nivel 2 por medio de una VPN de nivel 3 y soltarla en el otro extremo como si nada hubiera pasado, mirate lo que se puede hacer con un tunel GRE, luego depende de los cacharricos que tengas para poder hacerlo, con dos rasbpberry con un interface mas de red por USB lo puedes hacer, o con un router con OpenWrt o similar con el ip_gre compilado.

✖

Vmx 15 agosto 2022 12:41

⋮

Entiendo, pero cuando hablas de tráfico multicast me estás hablando de la señal de TV del deco, no?

Yo estoy hablando de la app de Smart TV, el antiguo Yomvi, que si no me equivoco es todo over the top no? Tenía entendido que lo único que comprueban ahí para decidir si estás "en casa" es que la IP pública de tu cliente se corresponda con la IP pública que te están asignando ellos en ese momento en tu residencia. No es así?

✖

mezcua 16 agosto 2022 13:00

⋮

✖

Vmx 16 agosto 2022 13:03

⋮

Antoniojmh 2 enero 2023 17:29

⋮

Hola Mezcua,

He montado un sistema como el que comentas. GRE (tap-layer 2) sobre Wireguard, con dos OpenWrt en los extremos. Sé que funciona bien porque hago ping y traceroute a cualquier dirección, pero luego tengo problemas con ciertas direcciones. Creo que el problema puede estar en el MTU / fragmentación, pero la solución no parece ser trivial por lo que investigo. Pero hay muy poca información al respecto.

Cuando montaste tu sistema, ¿lo hiciste igual con OpenWrt u otros dispositivos? Y si te enfrentaste al mismo problema del MTU/Fragmentación, ¿cómo lo resolviste?

Muchas gracias por adelantado. Agradecido por cualquier consejo, dado que tienes el sistema funcionando sin problemas.

Un saludo.

✖

mezcua 2 enero 2023 17:40

⋮

Hola @Antoniojmh, pues a ver, cuando dices que no llegas a algunas direcciones, a cuales concretamente?, si pones un esquema de como lo tienes montado lo entenderia mejor, por mi parte lo he tenido montado de diferentes formas, primero con dos mikrotik pequeños con las versiones que ya soportan wireguard y despues levantaba el gre por ahí, y ahora tengo dos raspberry pi 4 haciendo lo mismo, en efecto tienes que tocar la mtu ya que las cabeceras de GRE se comen 12 bytes de header de los paquetes IP, si los dejas a 1400 en ambos sitios ni te vas a enterar, unicamente tus equipos enviaran paquetes mas pequeños mas veces, ademas en internet se fragmenta mas aún dependiendo de la tecnologia de transporte de los operadores, no sé, si me puedes dar mas detalles intentamos solucionarlo.

Si me puedes explicar como es el esquema del nivel 3 con direccionamientos y rutas que tienes en ambos lugares mucho mejor.

Un saludo.

✖

Antoniojmh 2 enero 2023 23:06

⋮

Hola @mezcua,

Muchas gracias por tu respuesta rápida, te lo agradezco. He intentado mandarte un privado, pero creo que no se puede. No querría poner todos los detalles de mi montaje aquí, y por no dar la tabarra a todo el mundo. Mi email, si quieres, es antoniojesus.9912 at gmail punto com. Si prefieres que sigamos por aquí, me lo dices y listo. En cualquier caso, si damos con la tecla, lo publicaremos para que todo el mundo pueda aprender.

Independientemente de si seguimos por privado, te cuento brevemente. Uso dos routers gl.inet en ambos extremos. Levanto un wireguard sin problemas y con conexión correcta. Sobre ese túnel, creo un interfaz gretap en ambos extremos. Lo que me pasa es muy curioso. Desde el sitio remoto, adquiero sin problemas la dirección IP por DHCP dada por el servidor (de casa con IP 192.168.0.1). Puedo hacer pings y traceroutes a cualquier dirección, ya sea una IP numérica, o una dirección, el DNS funciona perfectamente y tanto el ping como el traceroute funcionan sin problemas.

Pero cuando pongo en un explorador una dirección, a algunas llego sin problemas, y a otras no. Por ejemplo: sin problemas a www.ui.com, o www.nyc.com (por poner dos ejemplos). Pero a la mayoría no llego, como por ejemplo www.elmundo.es, www.amazon.es, etc. Otra cosa curiosa. Desde el sitio remoto, hago una prueba de velocidad con speedtest, y la prueba de download sin problemas, pero al hacer la prueba de upload, no hace nada y dice que parece haber problemas de conexión. Otra cosa curiosa es que abro bien en un explorador las direcciones IP del gl.inet de casa y el remoto, pero pongo la IP del servidor (el router principal de casa, el que me da bien las IP por DHCP), y no llego a él, no se abre la página web. Se pone en blanco el explorador, indicando que ha contactado, pero luego no se muestra nada y no se recibe nada.

Mediante ipconfig, sí que veo muchos paquetes "dropped" en la br-LAN de ambos extremos, en los gl.inet. Respecto de las MTU, he probado con varias configuraciones con el mismo resultado. Está la MTU del interfaz gretap (MTU=1280), está la del br-LAN (fijada también en 1280), la MTU de wireguard (1380), etc… He probado a cambiarlos, pero nada. Por lo que he leído, existe un problema de exceso de tamaño de MTU/fragmentación que no es trivial, pero no sé seguro si es ese el problema. Intuyo que pueda ser, porque es raro que me funcionen los ping y los traceroutes, que acceda sin problemas a algunas webs, y no a otras. Pero quizás ese no es el problema.

Como tú has pasado por aquí, seguramente te has podido encontrar con este problema.

Como tú me digas. Seguimos por aquí, o por privado.

Gracias por adelantado!

Un saludo.

✖

ReaL 17 abril 2024 20:10

⋮

BoccaDePez 13 febrero 2022 19:16

⋮

Cada red debe tener su propio rango de direcciones y nunca debes mezclar direcciones IP de casa con la casa del pueblo.

mezcua 15 agosto 2022 12:36

⋮

Puedes extender el nivel 2 de OSI desde una casa a la otra mediante un bridge en cada extremo con un interface dedicado, el bridge lo montarias entre un tunel GRE que tienes que meter por dentro del tunel de wireguard, aunque baja la MTU, he comprobado que funciona perfectamente, de esta manera la red del lugar remoto, puede recibir el DHCP de la red local que tiene contratado el servicio, ademas del multicast de la tele, si tuvieras decos puedes ponerlos y si usas la app de la tele es como si estuvieras en la red de la casa que tiene el servicio, el montaje no es baladi, tiene su aquel, pero como te digo funcionar funciona.

Un saludo.

CSP81 29 enero 2023 21:53

⋮

Perdonar que reflote el tema pero me viene muy bien porqué es muy parecido mi problema.

En mi residencia habitual tengo un nas synology para fotos, videos, etc… En una segunda residencia acabo de poner fibra y cámaras IP y me gustaría poder utilizar wireguard para poder visualizar las cámaras con el surveillance station del synology.

En la segunda residencia tengo un Asus ax58u con posibilidad de activar wireguard y en la residencia habitual sólo tendría que ponerlo como cliente para el visionado de las cámaras?

Gracias.

✖

PezDeRedes 29 enero 2023 22:30

⋮

Te aconsejo abrir un hilo nuevo, enlazando a este si lo consideras oportuno. Tu duda será más visible :)

✖

CSP81 29 enero 2023 22:32

⋮

En esta misma sección?