Configurar wireguard-sts sin router de operadora de bridge

Hola a todos,

Me he tomado unos días de vacaciones y me he pasado por casa de mis padres y como no... me ha tocado hacer de hijo "que entiende de ordenadores" y de paso quiero sacar partido a su conexión.

En casa de mis padres hay un hap ac2 que funciona como un campeón tras actualizar a RouterOs v7. Pero quisiera montar un túnel VPN site-to-site desde mi casa (donde tengo un RB4011 funcionando con wireguard road-warrior) a casa de mis padres para poder arreglarles destrozos que hace de vez en cuando mi hermano y de paso meter una NAS sencilla que me haga de backup de la de mi casa.

El operador es Conectabalear (del que supongo que no sabréis nada por ser un operador local pero muy eficiente) y se puede gestionar su router desde el área de clientes de su portal web. Puedes cambiar cuatro cosas, pero entre ellas está la apertura de puertos NAT y asignar una IP local al DMZ.

También he contactado con el operador y me dan el usuario, contraseña y MTU para poder ponerlo en bridge y conectar desde mi Mikrotik por PPPoE, pero eso me lo tienen que configurar ellos.

Quisiera saber si es posible hacer lo que quiero con la opción de abrir puertos en NAT o meter la IP local de mi Mikrotik en el DMZ. O si necesariamente tengo que poner el router de la operadora de modo bridge. Preferiría las dos primeras opciones y no ponerlo en bridge por aquello de no trastear más de la cuenta con el router de mis padres, que al fin y al cabo no es mío.

Saludos y muchas gracias.
 
Hola a todos,

Me he tomado unos días de vacaciones y me he pasado por casa de mis padres y como no... me ha tocado hacer de hijo "que entiende de ordenadores" y de paso quiero sacar partido a su conexión.

En casa de mis padres hay un hap ac2 que funciona como un campeón tras actualizar a RouterOs v7. Pero quisiera montar un túnel VPN site-to-site desde mi casa (donde tengo un RB4011 funcionando con wireguard road-warrior) a casa de mis padres para poder arreglarles destrozos que hace de vez en cuando mi hermano y de paso meter una NAS sencilla que me haga de backup de la de mi casa.

El operador es Conectabalear (del que supongo que no sabréis nada por ser un operador local pero muy eficiente) y se puede gestionar su router desde el área de clientes de su portal web. Puedes cambiar cuatro cosas, pero entre ellas está la apertura de puertos NAT y asignar una IP local al DMZ.

También he contactado con el operador y me dan el usuario, contraseña y MTU para poder ponerlo en bridge y conectar desde mi Mikrotik por PPPoE, pero eso me lo tienen que configurar ellos.

Quisiera saber si es posible hacer lo que quiero con la opción de abrir puertos en NAT o meter la IP local de mi Mikrotik en el DMZ. O si necesariamente tengo que poner el router de la operadora de modo bridge. Preferiría las dos primeras opciones y no ponerlo en bridge por aquello de no trastear más de la cuenta con el router de mis padres, que al fin y al cabo no es mío.

Saludos y muchas gracias.
Si tienes opción de ponerlo en modo bridge transparente, es un setup mucho más limpio que el que puedas hacer con una DMZ. Te va a funcionar de ambas maneras, pero hacerlo vía DMZ te implica tener una doble NAT, nada deseado.

Yo intentaría poner ambos extremos en bridge, y que sendos mikrotik manejen la IP pública. Te vas ahorrar dolores de cabeza a futuro.

Saludos!
 
Si tienes opción de ponerlo en modo bridge transparente, es un setup mucho más limpio que el que puedas hacer con una DMZ. Te va a funcionar de ambas maneras, pero hacerlo vía DMZ te implica tener una doble NAT, nada deseado.

Yo intentaría poner ambos extremos en bridge, y que sendos mikrotik manejen la IP pública. Te vas ahorrar dolores de cabeza a futuro.

Saludos!

Vaya, mi gozo en un pozo.
A ver si lo entiendo bien… ¿qué implica doble NAT al estar en una DMZ?
A priori supongo que la IP del router estará el el rango local que me ofrezca el router del operador. ¿Cómo hace para que el ddns de Mikrotik y wireguard funcionen?
¿Hay que toquetear algo en routeros para que lo resuelva?
Me apasiona cero lo del modo bridge porque parece que les estés pidiendo algo marciano a las operadoras, pero veré si lo puedo resolver poniéndolo en bridge.
Por otro lado, a ver si consigo saber si puedo meter mi propio ONT y me olvido del hardware cutre de la operadora, que por cierto es algo con MAC de Huawei.
Gracias
 
A ver si lo entiendo bien… ¿qué implica doble NAT al estar en una DMZ?
Que en lugar de tener un NAT; tienes dos. Es decir, que te toca abrir puertos en el router de operadora y después repetir la operación en el mikrotik. Si el mikrotik maneja la IP pública y esta llega hasta él, sólo tienes una NAT: la del mikrotik, y sólo tienes que manejar ese equipo. La DMZ te ahorra tener que abrir puertos en el router de la operadora (es como abrirlos todos de un golpe y mandarlos a un único equipo), pero la parte del NAT sigue estando ahí, puesto que tu mikrotik no tendrá IP pública, sino una IP privada del rango del router que tiene por encima. Y, cada vez que haces NAT (masquerade) es tiempo que pierdes. A parte de eso, el mikrotik se quejará y te avisará en la parte de IP -> Cloud diciéndote que tiene un router con NAT por encima, y que no te asegura de que pueda actualizar la IP pública correctamente para el dominio DDNS.

A priori supongo que la IP del router estará el el rango local que me ofrezca el router del operador. ¿Cómo hace para que el ddns de Mikrotik y wireguard funcionen?
Funcionar va a funcionar bien de cualquiera de las dos maneras, pero idealmente has de tener siempre la IP pública a nivel Mikrotik, no a nivel router de operadora que tengas por encima.

¿Hay que toquetear algo en routeros para que lo resuelva?
Una vez tengas el equipo de la operadora en bridge (o te den los datos del PPPoE y la/las VLANs a configurar, si lo que tienes delante del mikrotik es ONT + Router), necesitas llevarte esa configuración al mikrotik. No obstante, no es complejo.

Me apasiona cero lo del modo bridge porque parece que les estés pidiendo algo marciano a las operadoras, pero veré si lo puedo resolver poniéndolo en bridge.
Por otro lado, a ver si consigo saber si puedo meter mi propio ONT y me olvido del hardware cutre de la operadora, que por cierto es algo con MAC de Huawei.
Yo no me metería en ese fregado. La parte óptica es cosa del operador, y las ONT's han de machear con las OLT's que hay al otro lado (o al menos ser interoperables). Así que es preferible que dejes la ONT, si la tienes, y simplemente sustuyas el router por el mikrotik. Ante las dudas, dinos qué equipos tienes, a ver si son alguno conocido.

Saludos!
 
Pues nada pocoyo... soy tonto y se me ha olvidado un detalle: hay que mantener el teléfono fijo. Ya sabes como es la gente mayor con el fijo, no conciben vivir sin él. Yo hace más de una década que lo tengo desconectado.

Como no quiero follonear más metiendo un teléfono extra por VoIP, voy a ver si puedo poner en marcha el plan menos agradable usando el DMZ. De momento ya tengo el mikrotik funcionando así sin VPN ni nada. Ahora tengo que ver el tema de wireguard y si se queja o no.

A parte de eso, el mikrotik se quejará y te avisará en la parte de IP -> Cloud diciéndote que tiene un router con NAT por encima, y que no te asegura de que pueda actualizar la IP pública correctamente para el dominio DDNS.

Trasteando en el área de clientes, he visto que la operadora me permite tener acceso por dynamic DNS a través de "nombre_de_lo que_sea.conectabaleat.net" ¿Puedo usar esto para lo que decías de actualizar la IP publica adecuadamente?

Jo, me siento como intentar correr los 100m vallas con una pierna coja.

EDIT: y acabo de ver que "sólo" por 10€ más al mes puedes tener IP fija.
 
Última edición:
Pues nada pocoyo... soy tonto y se me ha olvidado un detalle: hay que mantener el teléfono fijo. Ya sabes como es la gente mayor con el fijo, no conciben vivir sin él. Yo hace más de una década que lo tengo desconectado.

Como no quiero follonear más metiendo un teléfono extra por VoIP, voy a ver si puedo poner en marcha el plan menos agradable usando el DMZ. De momento ya tengo el mikrotik funcionando así sin VPN ni nada. Ahora tengo que ver el tema de wireguard y si se queja o no.



Trasteando en el área de clientes, he visto que la operadora me permite tener acceso por dynamic DNS a través de "nombre_de_lo que_sea.conectabaleat.net" ¿Puedo usar esto para lo que decías de actualizar la IP publica adecuadamente?

Jo, me siento como intentar correr los 100m vallas con una pierna coja.

EDIT: y acabo de ver que "sólo" por 10€ más al mes puedes tener IP fija.
Sí; puedes usar el ddns que tendan o el de Mikrotik. Prueba con DMZ en ese caso.

Saludos!
 
Sí; puedes usar el ddns que tendan o el de Mikrotik. Prueba con DMZ en ese caso.

Saludos!

Pues con WireGuard en modo road-warrior funciona sin problemas.
Veo si mañana pruebo el site-to-site y voy viendo cómo responde.
Gracias!

EDIT: parece que todo va bien. Ha hecho la primera sincronización automática entre las dos NAS correctament. Además, accedo sin problemas a los recursos de ambas redes.

Seguro que es una solución un poco más sucia de lo deseable pero parece que tira.

Muchas gracias por la ayuda.
 
Última edición:
Arriba