OpenWrt: Securizar la red mediante VLANs
2019-09-02
Índice
Podemos añadir un plus de seguridad a nuestra red separando dispositivos en diferentes subredes, por ejemplo, puedes separar los dispositivos móviles como telófonos o tablets del resto de dispositivos conectados al router mediante cable, o utilizar los dos primeros puertos del switch del router para ser utilizados por tus servidores y el resto de puertos del switch para los demás dispositivos como pueden ser la TV o TVBox, de esta forma dejamos aislados los servidores del resto de la red.
Para mi ejemplo, voy a aislar la TV y la PSP4 de mis servidores, OpenmediaVault y LibreElec, el objetivo es que por la VLAN 1 vayan la TV y PSP4 y por la VLAN 20 los servidores.
Crear VLAN
Para configurar el Switch lo haremos desde el menú Red->/Switch/
Pulsa en añadir y crea una VLAN con ID 20, observa que la TV y la PSP4 los tengo conectados a los puertos 1 y 4 respectivamente y con estado desmarcado, los servidores a los puertos 2 y 3 y con estado desmarcado.
Cuando termines pulsa en Guardar
Añadiendo interfaces a la VLAN
Ahora debemos de añadir una nueva interface para asociar la VLAN, para ello vamos al menú Red -> Interfaces y añadimos una nueva
Le damos un nombre, por ejemplo lan2, protocolo Dirección estática, permitimos enlazar varios interfaces, para permitir el acceso a internet, y ámbito de las interfafces eth0, es la VLAN 1, tambión aprovecho y todas las conexiones wifi por wlan0 tambión las asigno a lan2
Configuración DHCP
Ahora podemos configurar el servidor DHCP, para que asigne las dirección IP a los dispositivos que se conecten a este interface
El tramo de red para esta interface va a se la 192.168.2.0/24, la VLAN 20 tiene el rango 192.168.1.0/24
Tambión podemos aprovechar y cambiar los servidores DNS que van a utilizar los dispositivos que se conezen a la interface
En mi caso configuro el servidor DHCP parar que empiece a dar direcciones a partir de la numero 2 hasta la 30 y renuve la asignación de direcciones cada 12 horas
Cortafuegos
Debes de tener una zona en el cortaafugos que permita el acceso de la interfaces lan2 a internet (WAN)
Espero que te haya gustado, pasa un buen día. 🐧