Por refrescar, el objetivo es, bien desde la oficina (lan 192.168.1.0/24), bien desde conexiones remotas a la oficina (conexiones túnel wg desde mi portátil), poder conectarme a lans exteriores (192.168.88.0/24) como si estuviera dentro. Estas Lan exteriores se comunicarán (ya que son lans aisladas sin salida a internet por ningún medio) poniendo un router LtAP 4G, que como no tiene salida directa a internet, entiendo que no puede hacer un site2site, sino que debe ser este equipo el que llame al servidor VPN de la oficina y abra el túnel, no?.
No necesariamente. Que sólo llame uno de los sitios no significa que no puedas montar un site to site. Será un site to site algo cojo, pero seguirá siendo un site to site. Date cuenta de que ambos equipos tendrán su LAN independiente del otro lado, y a ti lo único que te interesa es que los clientes de una LAN lleguen a la otra, y viceversa. No te interesa que todo el tráfico del router mikrotik que sale por 4G acabe saliendo por la IP pública del otro extremo, sino simplemente el tráfico inter LAN. Es decir, tienes un esquema site to site, solo que se levantará únicamente de uno de los lados, por el tema de que la conexión móvil no tiene IP pública. Pero ya está, por lo demás, un site to site.
La salida a internet de la oficina no puedo tocarla, tiene que ir con el router que gestiona directamente VF. Puedo pedir redireccionar puertos y más cosas, pero no tenemos posibilidad de tocarlo directamente.
Entiendo que esto me deja sólo la opción de usarlo como switch y servidor VPN, sustituyendo en esta función al NAS.
No necesariamente. Si metes una ruta estática en el router de Vodafone, ya llegas al router mikrotik que montes debajo. La pregunta que te tienes que hace es, ¿qué subred quiero comunicar? ¿la nueva que cree el mikrotik debajo de la del de Vodafone (sólo ciertos equipos que conecten por cable al nuevo hEX) o todos los equipos que conectan actualmente al router de Vodafone? Dependiendo de la respuesta, así te convendrá más un modo u otro. Y, a igualdad de condiciones, usa siempre el modo router.
Como quiero que el hEX sólo me sirva para tener los servidores de vpn (por ahora) para unir otras sedes y otros equipos, lo he desconfigurado, pasando a estar limpio. El eth1 lo he puesto con ip fija (192.168.1.2) en el rango de IPs de mi LAN, puerta de enlace el router de VF (192.168.1.1) con los DNS de google para tener internet, y he actualizado el fw a 7.1.1. Así los dos equipos (hEX y LtAP) están con la misma versión.
Perfecto. Creaste la ruta por defecto? Recuerda que, si vas con IP estática, necesitas la ruta que diga que a la 0.0.0.0/0 (internet) se llega por la 192.168.1.1 (router de vodafone).
La primera duda es... si en el VF sólo tengo un acceso "normal" a internet, poniendo el hEX en el 192.168.1.2,... en el VF no tengo que tener nada en cuenta, no?
Sí, necesitas abrir el que sea el puerto UDP que elijas para montar la VPN, y mandárselo a la 192.168.1.2 (o mejor dicho dos puertos, si vamos a usar dos servidores separados para wireguard, road-warriors por un lado y site to site por otro). Yo, empezaría por unir las dos sedes, y luego ya le das acceso a los de fuera.
La segunda duda es... una vez que desde o mi portátil o el LtAP hago conexión mediante el túnel al hEX, podré hacer pings a las tres IPs de los dos túneles, no?
Si lo montamos bien, tanto los clientes que se conecten como road warrior verán la subred de vodafone, como la subred del LtAP. Tendrías dos interfaces wireguard, una para cada tipo de conexión (road warrior por un lado, site to site por otro)
Tercera duda.... cuando están los túneles establecidos, desde el winbox puedo hacer ping a las lans de cada uno de los routers, y a sus otros extremos de los túneles, pero con esa configuración no llego a hacer ping al resto de las lans porque no tengo las rutas declaradas no? Sólo declarando rutas podré hacer ping entre dos equipos de las dos lans, comunicadas por el túnel. Esto es, no necesito hacer nada en los firewalls ni nada parecido...
En el router hEX no vas a tener firewall, si lo tienes en modo "switch". En el otro, deberás aceptar en input las subredes que quieres que tengan acceso al propio router. En forward, si tienes la config por defecto, no hace falta tocar nada.
Por otro lado, necesitas dos cosas para que la conectividad entre las LAN funcione: uno, que el peer lo permita (en el allowed ip's tienes que declarar las subredes de las cuales vas a permitir recibir tráfico) y dos, las rutas que te lleven a dichas direcciones.
Cuarta duda... con esto ya podría entrar en un servidor web de una lan desde la otra¿? o que responda al ping no hace necesariamente que sean visibles en un nivel "mayor"...
La idea es que tengas acceso completo, no sólo que los veas con un ping.
Saludos!
