BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

Router VPN para conectar remotamente a mi LAN doméstica de manera fiable

Bramante

Vengo con otra historia para no dormir y necesito ayuda.

En casa tengo un NAS que uso como respaldo de datos, servidor Plex, etc. En ese mismo NAS tengo corriendo un servidor OpenVPN al que me conecto cuando tengo que acceder a la LAN de casa en remoto. En estos momentos, el uso del servidor OpenVPN es muy poco ya que no necesito acceder demasiado a menudo en remoto, pero la cosa cambiará a partir de septiembre, estaré poco tiempo en casa y todo el rato que esté fuera deberé estar conectado a la LAN.

Tal como lo tengo ahora, funciona, pero el NAS se arrastra para mover OpenVPN cuando se le da marcha a la conexión y ya me ha hecho alguna guarradita cayéndose el servidor y dejándome fuera de juego hasta que vuelvo a casa.

La opción que tenía antes era correr OVPN en un router doméstico que tengo por casa, pero el rendimiento es más o menos el mismo, asqueroso.

Vale, pues he estado mirando la opción de comprar un router VPN dedicado exclusivamente a correr una VPN (que tendrá que ser IPsec) y aquí es donde necesito vuestra ayuda porque nunca me he pegado con cacharros de estos.

¿Algo como esto me solucionaría la papeleta? Entiendo que por lo que cuesta, no obtendré un gran rendimiento, pero a poco que haga, ya irá mejor que el NAS y algo más de estabilidad tendré.

¿Cómo lo monto? Saco de uno de los puertos del HGU y le meto al puerto WAN del router este, asigno IP fija y a configurar?

¿Es todo esto un poco overkill para el uso que tengo pensado darle y mejor me estoy quietecito?

BocaDePez
BocaDePez
1

Yo lo montaría en unas Raspberry, solo hace falta que te apetezca trastear y tengas tiempo.

🗨️ 3
superllo
1

Esto iba a poner yo, una raspberry pi con zeroshell.

Bramante

Pero, ¿las Raspberry son capaces de mover cifrado con soltura?

BocaDePez
BocaDePez

Yo tengo openVpn en una Raspberry pi2 y la tasa es de 25 a 30 (Con solo un usuario y solo lo tengo para el vpn)

Jomainbe

Todo depende de la transferencia de datos necesaria y del número de usuarios que se conecten, pero al parecer solo tú tendrás que acceder. Necesitas poner tu router principal en modo bridge e instalar un router neutro. Podría servirte el router que pones, pero yo miraría alguna solución con Ubiquiti. Yo tengo un Edgerouter X (unos 53 € en Amazon) y me conecto a casa perfectamente por OpenVPN para descargar del NAS y va bastante bien. Luego hay modelos superiores que manejan más paquetes de datos por segundo, como el Edgerouter Lite. Todo depende de tus necesidades.

Por supuesto hay otras opciones, como Mikrotik, pero no las conozco, aunque quizá te puedan asesorar por aquí.

🗨️ 7
BocaDePez
BocaDePez

Muy fácil: Mikrotik hap lite. Poco más de 20 € y una capacidad configuración infinita. Hay que saber configurarlo y echarle tiempo, pero una vez que tengas la configuración no te fallará jamás.

Yo lo tengo con un servidor OpenVPN, y genial siempre.

🗨️ 5
Bramante

Estaría en las mismas, el Mikrotik lleva un QCA9533 que no está pensado para andar cifrando AES. El rendimiento de la VPN sería similar al que obtengo con el Archer C7 que lleva un QCA9558 y aún peor que con el NAS que lleva un x86 (sin AES-NI, ese es el problema).

Gracias!!

🗨️ 4
BocaDePez
BocaDePez

El rendimiento no sólo depende del hardware. Comparar el software de Mikrotik con el de TP-Link debería estar penado con varios años de cárcel :P

De todos modos hay Mikrotiks por menos de 100€ que ya multiplican el rendimiento hadware del modelo que te han dicho.

🗨️ 3
Bramante
🗨️ 2
BocaDePez
BocaDePez
🗨️ 1
Bramante

Todo depende de la transferencia de datos necesaria y del número de usuarios que se conecten

No aspiro a exprimir los 300 Mbps de la conexión pero sí a conseguir algo más de los 30 Mbps que consigo ahora. Yo sería el único usuario, sí.

Necesitas poner tu router principal en modo bridge e instalar un router neutro.

Eso es lo quería evitar, pero si no queda más remedio lo haré.

Le pego un vistazo a las opciones que comentas.

Gracias!!

BocaDePez
BocaDePez

Dos detalles sobre Wireguard extraídos de wireguard.com

- WireGuard securely encapsulates IP packets over UDP (con redes sin pérdida de paquetes es problema, ... ahora bien... quién garantiza eso fuera de una LAN)

- WireGuard is not yet complete. You should not rely on this code. It has not undergone proper degrees of security auditing and the protocol is still subject to change. We're working toward a stable 1.0 release, but that time has not yet come.

🗨️ 1
BocaDePez
BocaDePez

AAggh me autocorrijo:

(con redes sin pérdida de paquetes NO es problema, ... ahora bien... quién garantiza eso fuera de una LAN)

Bramante

Cuando el propio desarrollador me dice "WireGuard is not yet complete. You should not rely on this code. It has not undergone proper degrees of security auditing and the protocol is still subject to change.", prefiero hacerle caso.

La aceptación y devoción que ha tenido WireGuard entre la comunidad no la termino de entender siendo un producto todavía en estadios iniciales y sin estar todavía auditado seriamente. Entiendo que la sencillez y el rendimiento son bazas muy interesantes.

Me considero un early adopter, pero para cifrar, prefiero que alguien que haya estudiado más que yo analice la mandanga.

🗨️ 7
BocaDePez
BocaDePez

La aceptación y devoción que ha tenido WireGuard entre la comunidad no la termino de entender siendo un producto todavía en estadios iniciales y sin estar todavía auditado seriamente. Entiendo que la sencillez y el rendimiento son bazas muy interesantes.

Entonces sí que lo entiendes. OpenVPN es tan difícil de configurar y tan lento que todo el mundo se ha vuelto loco en cuanto ha aparecido una alternativa.

🗨️ 6
Bramante

Lo que no entiendo es que la peña se lance a la piscina a la primera oportunidad con un código del que incluso los desarrolladores dicen que está verde y le falta trabajo y ser auditado.

Estamos hablando de cifrado de comunicaciones, no de un editor de texto.

🗨️ 2
BocaDePez
BocaDePez
🗨️ 1
rbetancor

Entonces sí que lo entiendes. OpenVPN es tan difícil de configurar y tan lento

Bonito par de falacias ..., ¡dios mio, que cruz maricruz! ... parece que los cagaprisas, sino consiguen que algo funcione en medio-click, es que es malo ... XDD

🗨️ 2
BocaDePez
BocaDePez
🗨️ 1
raxor
1

Comprate el router neutro Asus AC86U 180mbps de rendimiento en openvpn unos 150 euros de coste, tiene chip dedicado para el cifrado, anteriormente usaba un ASUS AC68u que solo conseguía 30mbps. Es lo mas limpio, aparte de un buen router neutro que es compatible con todo y fácil de configurar.

BocaDePez
BocaDePez

yo de ti lo primero que probaria es que el router del operador que tengas permite ipsec passthrough

IPSEC pass through is a technique for allowing IPSEC packets to pass through a NAT router. By itself, IPSEC does not work when it travels through NAT.

🗨️ 1
Bramante

Sí, eso no será problema.

Un saludo.

vukits

¿puedes adjuntar el contenido de tu fichero de configuración de Openvpn (anonimizalo, jeje)?

🗨️ 19
Bramante

Claro.

Ten en cuenta que estoy usando la implementación de OVPN que ha hecho QNAP y aunque he tuneado bastante (guarramente) el servicio (que arranca mediante un script que captura los datos introducidos via GUI en el NAS), no he querido tocar lo esencial. Básicamente he ajustado los ciphers y el algoritmo al mínimo indispensable y para que el servidor se mueva lo mejor posible dentro de lo que se puede esperar.

🗨️ 18
Bramante

com-lzo (la comrpesión gasta cpu)

Está desactivado, el script comprueba el valor especificado por el usuario en la GUI. No uso compresion por lo que comentas, por no añadir carga.

client-to-client

Ten en cuenta que tengo que ser capaz de "hablar" con otros dispositivos conectados al servidor OVPN.

🗨️ 16
vukits
🗨️ 15
Bramante
🗨️ 14
vukits
🗨️ 1
raxor
🗨️ 11
vukits
1
🗨️ 5
raxor
1
🗨️ 2
vukits
1
🗨️ 1
raxor
1
Bramante
🗨️ 1
raxor
Bramante
🗨️ 1
raxor
1
Bramante
🗨️ 2
vukits
🗨️ 1
raxor
1