MANUAL: Mikrotik, integración con NordVPN (IKEv2 / Nordlynx)

Introducción

Mucha gente utiliza una VPN en su día a día para diversos motivos: privacidad y seguridad al no mostrar su IP pública real, acceder a servicios y plataformas no disponibles en su país o acceder a sus plataformas cuando está de viaje fuera del país, acceder a una web en su forma original y no a la versión internacional, comprar en tiendas o en versiones de tiendas no disponibles en el país de origen, etc. Cada uno para lo que quiere, vamos.

NordVPN es un servicio de VPN de pago con un cliente de escritorio para Windows, Mac y Linux y también para Android e iOS.

01 nvpn.png


Es rápido, cómodo y fácil de usar.

Sin embargo tiene algunas limitaciones: por un lado sólo se puede usar en 6 equipos a la vez y por otro, hay dispositivos que no tienen soporte para la aplicación, como por ejemplo una SmartTV.

Aquí es donde entra en juego este manual.

Si configuramos este servicio de NordVPN en nuestro Mikrotik, a efectos de contabilizar equipos para uso simultáneo será de un solo dispositivo, aunque tengamos 10 o 20 o 30 en nuestra red saliendo por esa VPN. Además, si queremos conectarnos desde la SmartTV del salón a nuestra plataforma de streaming favorita de la cual tenemos una cuenta extranjera, ahora sí podremos.

Para este tutorial partiremos de un router con la config por defecto aunque es fácil de adaptar a routers con otras configuraciones. También damos por hecho que tenemos una suscripción a NordVPN.

La finalidad será levantar un túnel IKEv2 hacia un servidor y seleccionar qué tráfico enviaremos por ahí por lo que nuestro Mikrotik debe tener al menos la versión 6.45.

Nos basaremos en la documentación oficial de NordVPN y de Mikrotik para este servicio, la cual complementaremos con lo que hemos descubierto aquí en el foro.


Pasos previos


Vamos a tomar nota del usuario y contraseña de nuestra cuenta de NordVPN. Ojo, no son los datos del login sino que los sacaremos desde el panel de gestión de usuario:


02 nvpndb.png




También, vamos a escoger un servidor de los muchos que nos proporciona NordVPN desde su buscador:

nvpnsvs.png



Por defecto nos mostrará uno cercano a nuestra ubicación. Si preferís otro seleccionadlo en el desplegable “Select Country”.

En nuestro caso, nos apuntamos el nombre es147.nordvpn.com para usarlo más tarde.

Ahora ya podemos seguir.



Configurando el túnel


Descargamos e instalamos el certificado de NordVPN.

Ojo, después del primer comando, esperad a que se descargue el certificado antes de meter el segundo. Os pedirá la pass del router para instalarlo.

Código:
/tool fetch url="https://downloads.nordvpn.com/certificates/root.der"
/certificate import file-name=root.der


Confirmamos que todo ha salido bien:
Código:
/certificate print where name~"root.der"

Flags: K - private-key, L - crl, C - smart-card-key, A - authority, I - issued, R - revoked, E - expired, T - trusted
#         NAME            COMMON-NAME            SUBJECT-ALT-NAME                                         FINGERPRINT 
0       T root.der_0      NordVPN Root CA                                                                 8b5a495db498a6c2c8c...


Creamos el túnel IPSec. Empezamos por el profile y el proposal:
Código:
/ip ipsec profile
add name=NordVPN
/ip ipsec proposal
add name=NordVPN pfs-group=none


Creamos un nuevo grupo de políticas y una template para separar esta configuración de cualquier otra configuración de IPsec.
Código:
/ip ipsec policy group
add name=NordVPN
/ip ipsec policy
add dst-address=0.0.0.0/0 group=NordVPN proposal=NordVPN src-address=0.0.0.0/0 template=yes


Ahora el mode-config para solicitar al servidor los parámetros de la conexión con responder=no, ya que somos nosotros los que enviamos la petición de conexión.
Código:
/ip ipsec mode-config
add name=NordVPN responder=no


Y por último, el peer (el servidor que escogimos en los pasos previos) y el identity (cambiad las XXXXX y las YYYYY por el usuario y contraseña de vuestro panel)
Código:
/ip ipsec peer
add address=es147.nordvpn.com exchange-mode=ike2 name=NordVPN profile=NordVPN
/ip ipsec identity
add auth-method=eap certificate="" eap-methods=eap-mschapv2 generate-policy=port-strict mode-config=NordVPN peer=NordVPN policy-template-group=NordVPN username=XXXXX password=YYYYY


Si lo hemos hecho bien, el túnel estará levantado (las XXX del remote address las he cambiado yo pero ahí aparecerá la IP del otro extremo del túnel):
Código:
/ip ipsec active-peers print

Flags: R - responder, N - natt-peer
#    ID                   STATE              UPTIME          PH2-TOTAL REMOTE-ADDRESS                                                    DYNAMIC-ADDRESS               
0  N es147.nordvpn.com    established        13s                     1 XXX.XXX.XXX.XXX




Seleccionando qué enviaremos por la VPN


Opción 1 (recomendada)​

En este escenario, vamos a dedicar un pool de IPs para que salgan siempre por la VPN. El resto de IPs de nuestra red seguirán saliendo a internet por el acceso habitual. Esto nos permitirá seleccionar qué dispositivos saldrán por la VPN (PCs, Smartphones, SmartTVs…) simplemente modificando su IP, sin tener que estar levantando y tirando el túnel desde Winbox cada vez que lo queramos usar o no. La IP la podemos fijar manualmente en el propio dispositivo o vía Lease desde el Mikrotik.

Este pool reservado estará fuera del DHCP.

Empezamos reduciendo el pool del DHCP por defecto, dejándolo desde la .10 tal y como empieza pero cortándolo en la .248, para que no se solape con las IPs que nos reservamos para la VPN, y que en nuestro ejemplo irán desde la .249 a la .254:
Código:
/ip pool
set [find name=default-dhcp] ranges=198.168.88.248-192.168.88.10


Las IPs de la VPN las incluiremos en una address list. En este caso una /29 que nos permitirá conectar 6 dispositivos.
Código:
/ip firewall address-list
add address=192.168.88.249/29 list=NordVPN-Pool



Ahora le indicaremos esta lista al mode-config
Código:
/ip ipsec mode-config
set [ find name=NordVPN ] src-address-list=NordVPN-Pool



Opción 2​

En este caso sacaremos todo nuestro tráfico por la VPN. Usad esta opción con cabeza ya que, como comentaremos al final, el ancho de banda se resiente.

La idea es la misma. Creamos una address list con nuestro rango local (192.168.88.0/24) y se lo pasamos al mode-config.
Código:
/ip firewall address-list
add address=192.168.88.0/24 list=NordVPN-Pool
/ip ipsec mode-config
set [ find name=NordVPN ] src-address-list=NordVPN-Pool

Si lo hacemos así, cada vez que queramos dejar de salir por la VPN tendremos que deshabilitar el túnel directamente en el Mikrotik y volver a habilitarlo cuando queramos usarla de nuevo.

Ajustes finos

Según las pruebas realizadas en este foro, hayamos elegido la opción 1 o 2, aunque estemos saliendo por la VPN veremos que es imposible usarla ya que la navegación es extremadamente lenta y los test de velocidad arrojarán resultados ridículamente bajos o directamente darán error.

Vamos a aceptar el tráfico antes de la política de IPSec para que el fasttrack no rompa la conexión TCP.
Código:
/ip firewall filter
add chain=forward action=accept src-address-list=NordVPN-Pool dst-address-list=!NordVPN-Pool place-before=[find comment="defconf: accept in ipsec policy"]
add chain=forward action=accept src-address-list=!NordVPN-Pool dst-address-list=NordVPN-Pool place-before=[find comment="defconf: accept in ipsec policy"]


Y ajustamos también el MSS del MTU:
Código:
/ip firewall mangle
add action=change-mss chain=forward ipsec-policy=in,ipsec new-mss=1382 passthrough=yes protocol=tcp \
  tcp-flags=syn tcp-mss=!0-1382


Ahora ya sí podremos navegar sin problema a través del túnel.

Consideraciones finales

El rendimiento de la VPN está directamente relacionada con la distancia al servidor escogido (obviamente, cuanto más lejos menos velocidad) y por el Mikrotik que tengáis.

En estas pruebas se ha usado siempre un servidor de España (el mismo en todas ellas) y los resultados han sido los siguientes:

  • Con un hAP (CPU 650MHz y RAM 32MB): alrededor de 20 megas simétricos.
  • Con un mAP (CPU 650MHz y RAM 64MB): alrededor de 20 megas simétricos.
  • Con un RB3011 (CPU 2x1.4 GHz y RAM 1GB): alrededor de 65 megas simétricos.
  • Con un RB4011 (CPU 4x1.4 GHz y RAM 1GB): alrededor de 265 bajada y 335 subida.


Si estáis especialmente preocupados por vuestra privacidad, confirmad siempre cual es vuestra IP pública del equipo desde donde os estáis conectando.

Lo más fácil es irse a una página del tipo cualesmiip, whatismyip y similares y confirmar que no es la vuestra habitual o de un rango de vuestro ISP.

Si queréis hacer un doble check, copiad esa IP en ip2location y mirad dónde os ubica, sobre todo si habéis escogido un servidor de otro país.


ip2l.png




Agradecimientos

A pokoyo, a pokoyo y a pokoyo. Sin él esta guía habría sido imposible. Yo únicamente he recopilado y ordenado la información del hilo que abrí en su día pidiendo ayuda a punto de tirar la toalla y que ni los del propio soporte de NordVPN me habían podido dar una solución. Bendita sea su paciencia y ganas de cacharrear para que otros podamos disfrutar de todo esto.

Y por supuesto, al resto del foro, que aunque yo no sea de los activos siempre os observo desde la sombra. Y aquí hay auténticos fenómenos y virtuosos del tema. Siempre es un placer leeros.


BONUS TRACK: Integración con Nordlyxn (WireGuard) [by @pokoyo, con la colaboración de @dremi y @ZoNkeD]

Tras el magnífico manual del compañero @dremi, hoy os vengo a destripar el nuevo protocolo de Nordlynx, la implementación WireGuard de NordVPN. Y, tal y como hicimos anteriormente, aprenderemos a llevarnos esto a nuestro Mikrotik. No me voy a enrollar mucho describiendo la implementación que han hecho, pero si os daré un par de curiosidades más adelante en el manual. No obstante, si queréis información, lo tienen en su propia web: https://nordvpn.com/blog/nordlynx-protocol-wireguard/

Primeros pasos​

Lo primero que podemos hacer es probarlo. Para ello es tan sencillo como que seleccionéis ese tipo de conexión como la conexión a usar para la VPN. Muchos de vosotros incluso ya lo estaréis usando por defecto, pero si no, lo tenéis en las preferencias de la app. Desmarcáis la opción de "Elija un protocolo VPN y un servidor automáticamente" y seleccionáis "Nordlynx" como protocolo VPN.

2022-09-18 12.41.25.jpg


Extrayendo los datos de conexión​

Para este paso os recomiendo usar cualquier distro linux que podáis arrancar en modo live-cd. Lo digo porque, si bien le hemos dedicado a este tema varias horas, no hemos localizado los datos necesarios de conexión en Windows de manera sencilla, ni si quiera en el registro (al menos no a simple vista). Y, sinceramente, viendo lo sencillo que es hacerlo en linux y/o Mac OS, no os recomiendo gastar ni medio minuto en el tema. Para los siguientes pasos, si sois usuarios de windows, intentad arrancar vuestro sistema con un pincho de tipo live-cd, o simplemente instalaros VirtualBox o cualquier otro manejador de máquinas virtuales y arrancad la distribución linux que más os guste. Yo e mi caso elegí linux mint xfce, bastante livianita, para tatar de documentar este proceso. Necesitaremos:
  • Clave privada: esta tiene miga de sacar, lo detallaremos más adelante. Es lo que nos identifica como usuario NordVPN para este protocolo. Se genera en base a la credencial del usuario.
  • Endpoint: este lo elegimos en función a dónde nos queramos conectar. Para ello, podemos usar la propia web de NordVPN, para que nos recomiende un servidor basado en nuestra localización, o tirar de la API pública. Como lo primero es trivial, vamos a por lo segundo, que como veréis tiene relación con el siguiente paso.
  • Clave pública: han montado los peers por región. Quiere decir que todos los servidores de un país o región tienen la misma clave pública. Para averiguarla, o sacar una concreta de un país que nos interese en un momento dado, vamos a usar la API pública de NordVPN. Ahora detallaremos cómo. Como ejemplo, la clave pública de los servidores de nuestra región es IF1FGVSzrUznFVZ+dymIz+6bdlCgsuiT/d6cyapN8lw=
  • Puerto: 51820, fijo, siempre el mismo.
  • Address: 10.5.0.2, fija, siempre la misma.

Clave pública (regional)​

Para sacar la clave pública de un servidor, basta con hacer una consulta a la API pública de NordVPN, o sacarla de los propios datos de conexión de la VPN. La manera más sencilla es lanzar el siguiente curl vía terminal, que nos debe dar una salida tal que así (recordad tener instalado jq si no lo tiene vuestra distro linux por defecto)
Código:
curl --ssl-no-revoke "https://api.nordvpn.com/v1/servers/recommendations?&filters\[servers_technologies\]\[identifier\]=wireguard_udp&limit=10" | jq -r '.[]|.hostname, .station, (.locations|.[]|.country|.city.name), (.locations|.[]|.country|.name), (.technologies|.[].metadata|.[].value), .load'

1663498678292.png


Esto nos sacará una lista de servidores compatibles con nordlynx recomendados para nuestra ubicación y ordenados por carga de trabajo. Si queréis jugar más con la API, os dejo una web donde le dan un buen meneo al tema.

Clave privada (por usuario)​

Para sacar la clave privada, una vez arrancado nuestro live-cd de linux (doy por hecho que sabéis hacerlo, sino eso queda para otro manual), abrimos un terminal y ejecutamos los siguientes pasos, todos ellos precedidos del comando sudo o, más cómodo, ejecutando sudo su según abramos la terminal, que ya nos dará acceso de root.
Código:
sudo su
wget https://repo.nordvpn.com/deb/nordvpn/debian/pool/main/nordvpn-release_1.0.0_all.deb
apt install ./nordvpn-release_1.0.0_all.deb
apt update
apt install nordvpn wireguard-tools
Es decir, descargamos el repo de NordVPN para linux (también podemos hacerlo desde su propia web), instalamos el paquete, actualizamos los repos e instalamos la aplicación propiamente dicha, así como el paquete linux wireguard-tools.

Hecho esto, ejecutamos los siguientes comandos, también como root
Código:
nordvpn login
Ese comando lanzará el proceso de login, mostrando una URL a la que podremos clickar para que nos abra un navegador y metamos nuestro usuario y contraseña de NordVPN. Para abrir el enlace, simplemente pulsamos la tecla CTRL + click en el enlace, y se abrirá el navegador predeterminado para la distribución que estéis usando (Firefox en mi caso). Una vez completado el proceso de login, tendremos una ventana tal que así: pulsamos botón derecho en el botón "Continue" y copiamos esa URL. de tipo nordvpn://login?action=login&exchange_token=chorizo&status=done, donde chorizo = token de sesión.

1663501030435.png


Volvemos a la terminal, y ejecutamos el siguiente comando (pegad vuestra URL copiada en el paso anterior, entre comillas dobles)
Código:
nordpvn login --callback "nordvpn://login?action=login&exchange_token=chorizo&status=done"

Si todo ha ido bien, tendremos un mensaje diciéndonos que nos hemos logado correctamente en el servicio. Procedemos a asegurarnos de que la tecnología de conexión es la indicada (nordlynx, aunque creo que ya la tienen por defecto para linux, a mi no me hizo falta ni cambiarla) y nos conectamos a la VPN, todo ello desde la misma terminal
Código:
nordvpn set technology nordlynx
nordvpn connect

Y, por último, una vez conectados, extraemos los datos de conexión, en este caso lo que nos interesa, la clave privada. Importante: este comando sólo funciona una vez estáis conectados a la VPN, puesto que la interfaz "nordlynx" es dinámica; se crea y se destruye con cada conexión.
Código:
wg show nordlynx private-key

Configurando el Mikrotik para usar nuestros datos de NordLyxn​

Este paso es quizá el más sencillo de todos. Una vez tenemos los datos de conexión, no difiere del setup de cualquier otro tipo de conexión WireGuard que hayamos hecho. Como esto está ya sobradamente explicado en otros manuales, no me detengo en ello, os pongo el churro, y simplemente modificadlo con vuestros datos.
Código:
# Procedemos al setup de wireguard en el router
/interface wireguard
add name=nordvpn private-key="XXXXXX="

# Direccionamos la interfaz (siempre la misma dirección)
/ip address
add interface=nordvpn address=10.5.0.2/32

# Cofiguramos el Peer que representa al servidor por el que vamos a salir
/interface wireguard peers
add allowed-address=0.0.0.0/0 endpoint-address=es163.nordvpn.com \
    endpoint-port=51820 interface=nordvpn persistent-keepalive=25s \
    public-key="IF1FGVSzrUznFVZ+dymIz+6bdlCgsuiT/d6cyapN8lw="

# Nateamos la interfaz Wireguard, puesto que todo tráfico que salga por la VPN
# ha de salir con la IP 10.5.0.2 o no se enrutará (cosa de cómo lo tiene montado)
/interface list member
add interface=nordvpn list=WAN

Hasta aquí nada cambia, salvo el hecho de meter la interfaz wireguard en la lista WAN. Esto es porque todo el tráfico que mandemos a sus servidores ha de ir de esa IP específica.

Ahora, la parte divertida: routing condicional​

Hasta ahora hemos montado la parte de la conectividad. Ahora, decidiremos qué sacar por la VPN, en función de nuestras necesidades. Empezamos por crear una nueva tabla de routing, para el tráfico que deseemos mandar por la VPN. Cremos la tabla y su ruta por defecto:
Código:
# Creamos la nueva tabla de rutas
/routing table
add fib name=nordvpn

# Creamos una ruta por defecto para dicha tabla, con gateway nuestra interfaz wireguard
/ip route
add dst-address=0.0.0.0/0 gateway=nordvpn routing-table=nordvpn

Hecho lo anterior, algunos ejemplos de routeo condicional

Ejemplo 1: sacar una IP concreta de nuestra red, por la conexión VPN (imaginaos, un dispositivo donde no se pueda instalar la app)
Código:
/routing rule
add action=lookup-only src-address=192.168.88.5/32 inteface=bridge table=nordvpn

Ejemplo 2: lo mismo, pero para un pedazo de nuestra red (subred /29, IPs de la 192.168.88.249 - 254)
Código:
/routing rule
add action=lookup-only src-address=192.168.88.248/29 inteface=bridge table=nordvpn

Ejemplo 3: la subred entera
Código:
/routing rule
add action=lookup-only src-address=192.168.88.0/24 inteface=bridge table=nordvpn

Ejemplo 4: mismo que el ejemplo 1, pero usando mangle (aseguraos de deshabilitar fasttrack, incompatible con mangle rules)
Código:
/ip firewall mangle
add chain=prerouting src-address=192.168.87.5/32 connection-mark=no-mark dst-address-type=!local \
  action=mark-connection new-connection-mark=to-nordvpn
add action=mark-routing chain=prerouting connection-mark=to-nordvpn \
  in-interface=bridge new-routing-mark=nordvpn passthrough=no

Ejemplo 5: sacar el tráfico de un servicio de destino concreto, tipo "todo el tráfico de netflix, por la VPN"
Código:
/ip firewall address-list
add address=netflix.com list=netflix

/ip firewall mangle
add action=add-dst-to-address-list address-list=netflix \
  address-list-timeout=1d chain=prerouting content=nflxvideo.net
add action=mark-connection chain=prerouting connection-mark=no-mark \
  dst-address-list=netflix new-connection-mark=to-nordvpn passthrough=yes
add action=mark-routing chain=prerouting connection-mark=to-nordvpn \
  in-interface=bridge new-routing-mark=nordvpn passthrough=no

Y listo, así podemos aprovechar el protocolo Nodlynx en nuestros equipos.

Gracias en especial @dremi por el trabajo de campo en windows, aunque no sacásemos mucho en claro, y a @ZoNkeD por prestarme unas credenciales para montar todo esto. Que lo disfrutéis!

Saludos!
 
Última edición por un moderador:
Buen tuto, ya lo tenia andado de antes en un Hex poe lite para hacer pruebas, lo de "ajustes finos" no lo he hecho nunca, y los resultados han sido siempre estos.



El limite, la cpu al 100%.
 
Muchas gracias por el tuto! Venia buscando como integrar nordvpn en mikrotik y este es el mejor tuto, pero he leido que se puede conectar con nordvpn a través de wireguard con su protocolo nordlynx y que da muchísimo más rendimiento. Se apunta alguien a crear un tuto NordVPN - Wireguard?
 
Muchas gracias por el tuto! Venia buscando como integrar nordvpn en mikrotik y este es el mejor tuto, pero he leido que se puede conectar con nordvpn a través de wireguard con su protocolo nordlynx y que da muchísimo más rendimiento. Se apunta alguien a crear un tuto NordVPN - Wireguard?
Si me das una cuenta que pueda probar, esta misma semana tienes uno.

Saludos!
 
Pues mandando credenciales por privado! Infinitas gracias!
Me da que vamos a tener que esperar algo más. He estado leyendo y de momento sólo está implementado a nivel de APP y en linux. Podríamos probar con contenedores, pero es una putada, porque no todos los routers lo soportan. Esperemos un poco, no creo que tarden en dar soporte a otras aquitecturas, tipo OpenWRT y Mikrotik. Además, con la marca me consta que tienen buena relación, no tardarán en sacar algo.

De todas formas, investigo, a ver qué se puede rascar con lo que me has pasado. Siéntete libre de cambiar las credenciales cuando quieras.

Por si a alguien le interesa la info, está documentada aquí: https://nordvpn.com/blog/nordlynx-protocol-wireguard/

Saludos!
 
Ahh vaya bueno pues a ver si publican algo pronto porque en moviles y escritorios llevan ya unos años con nordlynx. En los foros oficiales de openwrt y mikrotik he leido algo pero no alcanzo a entender si llegan a buen puerto o no. Gracias por tu tiempo!
 
Pues al final no ha sido tan complejo, ya lo tengo funcionando en el mikrotik. Esta semana estoy a tope y no creo que me de tiempo a documentarlo, pero te prometo que para finales de la que viene lo tienes publicado. No me cambies la contraseña aún, que me gustaría hacer alguna prueba más, pero en un principio creo que ya hemos descubierto cómo funciona esta implementación de wireguard tan particular. Me ha costado indagar un pelín en las profundidades de la web, pero ya tengo el mikrotik saliendo con una subred específica por la VPN con Nordlynx.

Saludos!
 
Perdón, que ando algo liadillo estos días y no había visto esto!

Pues genial también lo de WireGuard!

@pokoyo, veo que lo tienes controlado pero si aún tienes los datos que te pasé de mi cuenta de Nord y los necesitas para alguna prueba más úsalos sin problema. Y sino me los pides de nuevo.

Gracias a todos por los avances!
 
Pues al final no ha sido tan complejo, ya lo tengo funcionando en el mikrotik. Esta semana estoy a tope y no creo que me de tiempo a documentarlo, pero te prometo que para finales de la que viene lo tienes publicado. No me cambies la contraseña aún, que me gustaría hacer alguna prueba más, pero en un principio creo que ya hemos descubierto cómo funciona esta implementación de wireguard tan particular. Me ha costado indagar un pelín en las profundidades de la web, pero ya tengo el mikrotik saliendo con una subred específica por la VPN con Nordlynx.

Saludos!
Que maravilla, no creo yo que se te resista nada. Podrías controlar el mundo con un mikrotik si quisieras jaja. Cuando puedas lo documentas no hay prisa ninguna, lo bueno se hace esperar. Gracias por todo! Un saludo!
 
Buenas compañeros del foro una consulta, a los que han implementado WireGuard nord en mikrotik y ya lo han puesto a trabajar, que diferencia encuentran, encuentran alguna mejoría en algo, velocidad, ping, estabilidad, seguridad, etc
Gracias
 
Buenas compañeros del foro una consulta, a los que han implementado WireGuard nord en mikrotik y ya lo han puesto a trabajar, que diferencia encuentran, encuentran alguna mejoría en algo, velocidad, ping, estabilidad, seguridad, etc
Gracias
La principal diferencia es que puedes sacar selectivamente una porción de tu red siempre por VPN, sin necesidad de andar usando una app en cada chisme. Más allá de eso, poco más ventaja tiene.

Saludos!
 
La principal diferencia es que puedes sacar selectivamente una porción de tu red siempre por VPN, sin necesidad de andar usando una app en cada chisme. Más allá de eso, poco más ventaja tiene.

Saludos!
En resumen Ipsec igual a wireguard, nada de beneficio.
 
Estás mezclando dos preguntas distintas. Yo te he contestado al beneficio de montarlo en un router, tú me estás comparando además ipsec y wireguard. Y, en esa comparación, gana wireguard de calle. Con respecto a la segunda, el principal beneficio que vas a notar es la velocidad.

Saludos!
 
Pues al final no ha sido tan complejo, ya lo tengo funcionando en el mikrotik. Esta semana estoy a tope y no creo que me de tiempo a documentarlo, pero te prometo que para finales de la que viene lo tienes publicado. No me cambies la contraseña aún, que me gustaría hacer alguna prueba más, pero en un principio creo que ya hemos descubierto cómo funciona esta implementación de wireguard tan particular. Me ha costado indagar un pelín en las profundidades de la web, pero ya tengo el mikrotik saliendo con una subred específica por la VPN con Nordlynx.

Saludos!
Hola @pokoyo, esperando la docu como "agua de mayo" para ponerla en práctica en casa.
En mi caso la idea es sustituir el router de DIGI por el mikrotik hEX (https://mikrotik.com/product/RB750Gr3) + router Tp-link Deco M4 (https://www.tp-link.com/es/home-networking/deco/deco-m4/) como red mesh --ya lo tengo--.
En el mikrotik montar la VPN con Nordlynx y conectar el M4 en modo router para dar wifi a los dispositivos y poder así controlarlos desde la app del móvil (muy útil para poner/quitar los dispositivos de los niños de la "lista negra").
Pregunta extra: ¿Cómo configuro los routers para que las redes se vean entre ellos?.
Gracias.
 
Hola @pokoyo, esperando la docu como "agua de mayo" para ponerla en práctica en casa.
En mi caso la idea es sustituir el router de DIGI por el mikrotik hEX (https://mikrotik.com/product/RB750Gr3) + router Tp-link Deco M4 (https://www.tp-link.com/es/home-networking/deco/deco-m4/) como red mesh --ya lo tengo--.
En el mikrotik montar la VPN con Nordlynx y conectar el M4 en modo router para dar wifi a los dispositivos y poder así controlarlos desde la app del móvil (muy útil para poner/quitar los dispositivos de los niños de la "lista negra").
Pregunta extra: ¿Cómo configuro los routers para que las redes se vean entre ellos?.
Gracias.
Ya lo tienes, como bonus track de este mismo manual. No sé a qué te refieres con que los routers se vean entre ellos. El que está debajo del mikrotik siempre va a ver a su "padre" puesto que es cliente del mismo. No así al reves, pero por el tipo de setup que estás montando.

Saludos!
 
Ya lo tienes, como bonus track de este mismo manual. No sé a qué te refieres con que los routers se vean entre ellos. El que está debajo del mikrotik siempre va a ver a su "padre" puesto que es cliente del mismo. No así al reves, pero por el tipo de setup que estás montando.

Saludos!
Gracias,
Respecto al manual, perdona, no lo había visto.
El "problema" que tengo ahora es que los dispositivos conectados al router DIGI tienen ip 192.168.1.x y no ven a los dispositivos que están conectados al router M4 con ip 192.168.168.x. Para el nuevo esquema quiero solucionar este inconveniente.
Saludos!
 
Arriba