OpenWrt: Securizar la red mediante VLANs

2019-09-02

Podemos añadir un plus de seguridad a nuestra red separando dispositivos en diferentes subredes, por ejemplo, puedes separar los dispositivos móviles como telófonos o tablets del resto de dispositivos conectados al router mediante cable, o utilizar los dos primeros puertos del switch del router para ser utilizados por tus servidores y el resto de puertos del switch para los demás dispositivos como pueden ser la TV o TVBox, de esta forma dejamos aislados los servidores del resto de la red.

Para mi ejemplo, voy a aislar la TV y la PSP4 de mis servidores, OpenmediaVault y LibreElec, el objetivo es que por la VLAN 1 vayan la TV y PSP4 y por la VLAN 20 los servidores.

Crear VLAN

Para configurar el Switch lo haremos desde el menú Red->/Switch/

Pulsa en añadir y crea una VLAN con ID 20, observa que la TV y la PSP4 los tengo conectados a los puertos 1 y 4 respectivamente y con estado desmarcado, los servidores a los puertos 2 y 3 y con estado desmarcado.

Si no sabes a que puerto has conectado un dispositivo, ve a la pantalla Switch dentro de la interfaz LuCi, veras como el puerto aparece con su respectiva velocidad, cuando desconectes el cable aparecerá sin enlace

Cuando termines pulsa en Guardar

Añadiendo interfaces a la VLAN

Ahora debemos de añadir una nueva interface para asociar la VLAN, para ello vamos al menú Red -> Interfaces y añadimos una nueva

Le damos un nombre, por ejemplo lan2, protocolo Dirección estática, permitimos enlazar varios interfaces, para permitir el acceso a internet, y ámbito de las interfafces eth0, es la VLAN 1, tambión aprovecho y todas las conexiones wifi por wlan0 tambión las asigno a lan2

No se te olvide pulsar en Guardar

Configuración DHCP

Ahora podemos configurar el servidor DHCP, para que asigne las dirección IP a los dispositivos que se conecten a este interface

El tramo de red para esta interface va a se la 192.168.2.0/24, la VLAN 20 tiene el rango 192.168.1.0/24

Tambión podemos aprovechar y cambiar los servidores DNS que van a utilizar los dispositivos que se conezen a la interface

En mi caso configuro el servidor DHCP parar que empiece a dar direcciones a partir de la numero 2 hasta la 30 y renuve la asignación de direcciones cada 12 horas

Cortafuegos

Debes de tener una zona en el cortaafugos que permita el acceso de la interfaces lan2 a internet (WAN)

Espero que te haya gustado, pasa un buen día. 🐧

Ingrese la dirección de su instancia


Más publicaciones como esta

Asus RT-AC68U: Instalación rtorrent y rutorrent en firmware Merlin

2019-04-26 | #router #torrent

A lo largo de los diferentes artículos que hemos ido publicando sobre el Asus RT-AC68U, hemos visto las posibilidades que ofrece, los beneficios de utilizar el firmware Merlin, hemos instalado transmission como cliente torrent, sin embargo si se te queda pequeño en cuanto a características, podemos instalar rtorrent como cliente y rutorrent como UI para su administración, incluidos diferentes plugins para añadir nuevas características. Desinstalando transmission Si tenias instalado transmision, desinstálalo, para ello paramos servicio

Continuar leyendo 


OpenWrt: VPN con Wireguard

2018-06-28 | #router #vpn #wireguard

Wireguard nos permite implementar un servidor VPN de una manera sencilla, sin las dificultades de configuración que puedan presentar otras soluciones como OpenVPN o IP2sec. Ademas el rendimiento es muy superior como puedes ver en esta comparativa,z Wireguard viene implementado en el núcleo de OpenWRT y básicamente el funcionamiento seria parecido a una conexión ssh, la conexión entre dispositivos se realiza mediante el uso de claves publica y privada. Instalación Instalando el paquete luci-proto-wireguard y luci-app-wireguard que se encargaran de instalar las dependencias necesarias para poder crear nuestra VPN y administrarla desde LuCI.

Continuar leyendo 