Mejorando la red de casa con hEX S y acceso exterior

Hola compañeros.

Pasadas las primeras semanas de sustitución del HGU y de dejar todo como estaba (apertura de puertos, jugar con los scripts y el bot de telegram) empiezo a plantearme organizar un poco la red LAN y las políticas de acceso exterior. Me gusta trastear bastante y eso pasa por:

1) un NAS synology con diferentes servicios hacia el exterior y que consulto desde diferentes dispositivos. Tengo desde los contactos del móvil con webDAV sincronizados en los móviles de mi familia, hasta la agenda (también con el servicio de synology y alojado en mi nas), nube privada con Synology Drive que es accesible desde pc oficina, móvil, así como varias raspberry pi con Kodi que acceden por el 5005 a contenido guardado en el NAS (pelis y series).
2) un receptor vu+ que hace streaming iptv del contenido que recibe por sat.
3) dos cámaras de seguridad.

Con todo esto, como podéis imaginar cada servicio tiene su propio puerto, y la lista de puertos abierta en el hEX empieza a hacerme sentir incómodo. Claro, ya he ido leyendo vuestros comentarios: "ante una situación así, túnel vpn y conectate en local". Pero no siempre es fácil... No siempre quiero tener el tunel levantado en el movil para acceder a algo tan sencillo como la lista de contactos. O a veces, tener que configurar una app de tunel vpn en el kodi o el firestick de mis suegros que corre una app IPTV para recibir lo que envía el deco de mi casa, pues es un rollo... No sólo la instalación, sino a menudo, el rendimiento cuando hace que vaya por el tunel...

Con esta foto que os planteo, se me ocurren varias preguntas:

1)¿Qué haríais vosotros?
2) ¿Es viable abrir unicamente un puerto, de tal forma que (y perdonad la explicación lamentable de alguien que no sabe de redes) se hace forward del puerto abierto al que realmente quieres abrir? ¿O esto en realidad no mejora para nada la seguridad?

Espero vuestras opiniones, y si no me he explicado bien con algo me decís y lo intento de nuevo! :)
 
Si la mayoría de tus acceos van a ser al NAS, lo primer que yo haría sería cerrar todos los puertos y habilitar el quickconnect de Synology, al menos así tienes un acceso https que no requiere de ninguna apertura de puertos (la conexión se establece desde el NAS hacia afuera) y te quitarías un pico de servicios abiertos.

Como segunda opción, consideraría un túnel vpn usando wireguard, un tipo de túnel que puedes tener siempre levantado, ya que no comprueba la permanencia de la conexión (el túnel levanta en ambos extremos siempre, y sólo hay comunicación cuando. Lo puedes instalar en el NAS vía Docker, si es un NAS actual. Sino, en una raspberry pi funciona muy bien también.

Como tercera opción, podrías echarle un vistazo a apps tipo zerotier, e instalarlas en todo dispositivo que deba tener acceso final al NAS.

Como última opción, abrir los puertos a cholón. Y sí, puedes abrir un puerto de cara a fuera, menos llamativo, y mandarlo a otro estándar adentro. Aunque este tipo de prácticas de "seguridad por ocultación" no son muy recomendables tampoco. Podrías, por ejemplo, habilitar un acceso temporal a una IP de una lista de direcciones dinámicas haciendo port knocking o con cualquier otro tipo de combinación que se te ocurra.

Saludos!
 
Hola compañeros.

Pasadas las primeras semanas de sustitución del HGU y de dejar todo como estaba (apertura de puertos, jugar con los scripts y el bot de telegram) empiezo a plantearme organizar un poco la red LAN y las políticas de acceso exterior. Me gusta trastear bastante y eso pasa por:

1) un NAS synology con diferentes servicios hacia el exterior y que consulto desde diferentes dispositivos. Tengo desde los contactos del móvil con webDAV sincronizados en los móviles de mi familia, hasta la agenda (también con el servicio de synology y alojado en mi nas), nube privada con Synology Drive que es accesible desde pc oficina, móvil, así como varias raspberry pi con Kodi que acceden por el 5005 a contenido guardado en el NAS (pelis y series).
2) un receptor vu+ que hace streaming iptv del contenido que recibe por sat.
3) dos cámaras de seguridad.

Con todo esto, como podéis imaginar cada servicio tiene su propio puerto, y la lista de puertos abierta en el hEX empieza a hacerme sentir incómodo. Claro, ya he ido leyendo vuestros comentarios: "ante una situación así, túnel vpn y conectate en local". Pero no siempre es fácil... No siempre quiero tener el tunel levantado en el movil para acceder a algo tan sencillo como la lista de contactos. O a veces, tener que configurar una app de tunel vpn en el kodi o el firestick de mis suegros que corre una app IPTV para recibir lo que envía el deco de mi casa, pues es un rollo... No sólo la instalación, sino a menudo, el rendimiento cuando hace que vaya por el tunel...

Con esta foto que os planteo, se me ocurren varias preguntas:

1)¿Qué haríais vosotros?
2) ¿Es viable abrir unicamente un puerto, de tal forma que (y perdonad la explicación lamentable de alguien que no sabe de redes) se hace forward del puerto abierto al que realmente quieres abrir? ¿O esto en realidad no mejora para nada la seguridad?

Espero vuestras opiniones, y si no me he explicado bien con algo me decís y lo intento de nuevo! :)

Yo, lo primero que te recomiendo es que el puerto 5005, que es el predeterminado del webdav, lo cambies y pongas otro, el que sea… que no se ninguno de los usados habitualmente por synology (siempre que se pueda cambiar, claro)
 
Hola compañeros.

Pasadas las primeras semanas de sustitución del HGU y de dejar todo como estaba (apertura de puertos, jugar con los scripts y el bot de telegram) empiezo a plantearme organizar un poco la red LAN y las políticas de acceso exterior. Me gusta trastear bastante y eso pasa por:

1) un NAS synology con diferentes servicios hacia el exterior y que consulto desde diferentes dispositivos. Tengo desde los contactos del móvil con webDAV sincronizados en los móviles de mi familia, hasta la agenda (también con el servicio de synology y alojado en mi nas), nube privada con Synology Drive que es accesible desde pc oficina, móvil, así como varias raspberry pi con Kodi que acceden por el 5005 a contenido guardado en el NAS (pelis y series).
2) un receptor vu+ que hace streaming iptv del contenido que recibe por sat.
3) dos cámaras de seguridad.

Con todo esto, como podéis imaginar cada servicio tiene su propio puerto, y la lista de puertos abierta en el hEX empieza a hacerme sentir incómodo. Claro, ya he ido leyendo vuestros comentarios: "ante una situación así, túnel vpn y conectate en local". Pero no siempre es fácil... No siempre quiero tener el tunel levantado en el movil para acceder a algo tan sencillo como la lista de contactos. O a veces, tener que configurar una app de tunel vpn en el kodi o el firestick de mis suegros que corre una app IPTV para recibir lo que envía el deco de mi casa, pues es un rollo... No sólo la instalación, sino a menudo, el rendimiento cuando hace que vaya por el tunel...

Con esta foto que os planteo, se me ocurren varias preguntas:

1)¿Qué haríais vosotros?
2) ¿Es viable abrir unicamente un puerto, de tal forma que (y perdonad la explicación lamentable de alguien que no sabe de redes) se hace forward del puerto abierto al que realmente quieres abrir? ¿O esto en realidad no mejora para nada la seguridad?

Espero vuestras opiniones, y si no me he explicado bien con algo me decís y lo intento de nuevo! :)

Me imagino q el usuario admin del nas lo tendrás deshabilitado,no?
 
Gracias a los dos.

Confirmo que tengo tomadas las medidas oportunas sobre el NAS. No usuario invitado, el usaurio con privilegios de administrador no se llama admin, reglas de firewall en el NAS para que sólo se accedan a los puertos abiertos IPs localizadas en España, autenticación en dos pasos, etc... Pero con todo y con eso, son unos cuantos puertos abiertos y no me gusta...

El 5005 no, pero el 5006 sí. ¿Por qué? Pues porque una de las cosas es compartir material audiovisual (pelis y series) con mi casa de la playa. Y despúes de darle muchas vueltas, vi que lo mejor era abrir el 5006 (https) y en la casa de la playa, en el kodi que reproduce, introducir la ruta de red tipo davs://xxxxx y así el Kodi tiene dicha ruta como local, y accede a las pelis y series. Ni servidor Plex ni nada. Y así no hay que transcodificar, el NAS no sufre (no podría hacerlo) y el ancho de banda de los accesos a internet dan de sobra para 1080p.

Dicho esto... me gusta la idea de wireguard. Pero... ¿por qué no montarlo en el mikrotik? Pensé que se podría, y como me suena haber leído hilos sobre dejar túneles fijos sobre el mikrotik. En caso de hacerlo sobre la Raspberry, tengo una Raspberry Pi 3 por casa, pero veo que su ethernet es 10/100, ¿no sería esto un problema considerando que para alguna de las aplicaciones quiero usar el tunel para transmitir video en 1080p? También como que da pena, teniendo toda la red en casa a 1gbit.

Gracias como siempre por la ayuda
 
Gracias a los dos.

Confirmo que tengo tomadas las medidas oportunas sobre el NAS. No usuario invitado, el usaurio con privilegios de administrador no se llama admin, reglas de firewall en el NAS para que sólo se accedan a los puertos abiertos IPs localizadas en España, autenticación en dos pasos, etc... Pero con todo y con eso, son unos cuantos puertos abiertos y no me gusta...

El 5005 no, pero el 5006 sí. ¿Por qué? Pues porque una de las cosas es compartir material audiovisual (pelis y series) con mi casa de la playa. Y despúes de darle muchas vueltas, vi que lo mejor era abrir el 5006 (https) y en la casa de la playa, en el kodi que reproduce, introducir la ruta de red tipo davs://xxxxx y así el Kodi tiene dicha ruta como local, y accede a las pelis y series. Ni servidor Plex ni nada. Y así no hay que transcodificar, el NAS no sufre (no podría hacerlo) y el ancho de banda de los accesos a internet dan de sobra para 1080p.

Dicho esto... me gusta la idea de wireguard. Pero... ¿por qué no montarlo en el mikrotik? Pensé que se podría, y como me suena haber leído hilos sobre dejar túneles fijos sobre el mikrotik. En caso de hacerlo sobre la Raspberry, tengo una Raspberry Pi 3 por casa, pero veo que su ethernet es 10/100, ¿no sería esto un problema considerando que para alguna de las aplicaciones quiero usar el tunel para transmitir video en 1080p? También como que da pena, teniendo toda la red en casa a 1gbit.

Gracias como siempre por la ayuda

Si tienes un nas, puedes montarlo en un contenedor docker, virtualizar un ubuntu server,….

En Mikrotik se supone que lo meteran con la version 7, pero aun está en fase de pruebas…

Yo tengo el wireguard en un ubuntu server virtualizado en el nas, asignado 500 mb de ram y va de lujo….
 
Si quieres montar WireGuard en el mikrotik, tienes que instalar la V7 que aún no está en la rama estable, sigue en pruebas en la v7.1rc4. Ahí ya tú mismo, depende de lo que te guste el riesgo.

En una raspberry pi se monta bien. Y he reproducido 4K teniendo servidor y cliente separados por un PLC TP-LINK guarrete AV200, así que por ancho de banda no te preocupes, que vas más que de sobra con 100Mbps. Otra cosa es el rendimiento que te de la Pi encriptando y desencriptando lo que pasa por el túnel, pero vamos, que no he oído a nadie quejarse del tema.

Saludos!
 
Me habéis convencido con lo de la raspberry, además tenía una por aquí tirada sin mucho uso. Última pregunta, más a nivel culturilla general de túneles:

Veo que hay diferentes tipos de túneles vpn. Que si EoIP, IKEv2, OpenVPN, IPSec... entiendo que la arquitectura viene a ser similar, una especie de "canuto virtual" entre dos puntos (dos IPs públicas) y lo que cambia es la encriptación, ¿es correcto? Y segunda pregunta: existen por tanto ecriptaciones más idóneas para el tipo de enlace que se quiera tener? Quiero decir: si es para una conecxión permanentemente abierta de intercambio de ficheros poco pesados, pues que sea de una forma. Si es para streaming de video, otra.

Y en todo esto, WireGuard, ¿qué es? ¿Una tecnología de encriptación alternativa simplemente?
 
Me habéis convencido con lo de la raspberry, además tenía una por aquí tirada sin mucho uso. Última pregunta, más a nivel culturilla general de túneles:

Veo que hay diferentes tipos de túneles vpn. Que si EoIP, IKEv2, OpenVPN, IPSec... entiendo que la arquitectura viene a ser similar, una especie de "canuto virtual" entre dos puntos (dos IPs públicas) y lo que cambia es la encriptación, ¿es correcto? Y segunda pregunta: existen por tanto ecriptaciones más idóneas para el tipo de enlace que se quiera tener? Quiero decir: si es para una conecxión permanentemente abierta de intercambio de ficheros poco pesados, pues que sea de una forma. Si es para streaming de video, otra.

Y en todo esto, WireGuard, ¿qué es? ¿Una tecnología de encriptación alternativa simplemente?

Wireguard es una vpn más, como las otras que has mencionado… Fácil de configurar y de las más seguras… Yo es la que uso y estoy encantado….

Luego en el mikrotik tengo la ikev2 y el l2tp de respaldo…. Por si cayerá el Wireguard… pero vamos, que a día de hoy, cero problemas….
 
Hay distintos tipos de túneles para distintos propósitos. Pero, para lo que quieres montar, no miraría ninguna otra cosa, vete directo a por WireGuard. Este último es una de los tipos de VPN más modernos y actuales que puedes montar, y además de ser seguro, tiene una configuración tremendamente sencilla, comparado con cualquier otro. Móntalo de momento en la Pi, y que lo migrarás al router cuando la v7 esté estable.

Te dejo un par de enlaces donde te explican cómo montarlo, tienes muchos en internet. Yo no me complicaría: instalaría raspbian en la pi y, sobre ese debian (actualizado a lo último) metería el servidor de WireGuard. Si te atascas dime, que lo miramos.

En castellano: https://dev.to/nervi0s/wireguard-con-raspberry-pi-3i60

En inglés, algo más completo: https://engineerworkshop.com/blog/how-to-set-up-wireguard-on-a-raspberry-pi/

Saludos!
 
Genial, este finde me pongo con ello. Lo monto en una pi, que además así le doy uso en vez de tenerla en una caja. El manual en inglés está genial por cierto... Pregunta básica: contra el server wireguard puede haber varios túneles abiertos, ¿no?

Pregunta de nota: pruebo aprovechar dicha raspberry para montar pi-hole? ¿O estaría cargando mucho la raspberry? (sería una model 3 por cierto)
 
Te sobra chisme para montar las dos cosas. Y sí, puedes tener tantos usuario y túneles como te de la gana.

Saludos!
 
Genial, este finde me pongo con ello. Lo monto en una pi, que además así le doy uso en vez de tenerla en una caja. El manual en inglés está genial por cierto... Pregunta básica: contra el server wireguard puede haber varios túneles abiertos, ¿no?

Pregunta de nota: pruebo aprovechar dicha raspberry para montar pi-hole? ¿O estaría cargando mucho la raspberry? (sería una model 3 por cierto)

Como te dice el compi, consumen muy pocos recursos, sobre todo el pi-hole…

Y sí, puedes montar los dos sobre la distro que metas.. yo tengo Ubuntu Server y va de lujo…. Y para estos de servicios, de sobra….
 
Hola!

Pues ya está, pihole y wireguard server montados en una raspberry pi y funcionando perfectamente. También es cierto que ya estaba acostumbrado a navegar sin publicidad: tenía los exploradores cargados de addons antipubli: que si ABP, ublock, etc...

Cosas que, pese a que todo funciona, me hacen preguntarme si estará ok:

- No estoy haciendo entrega de IPS DHCP con la raspberry pi. Lo digo porque veía muchos manuales donde indicaba que haría de servidor. Yo simplemente lo que hago es que la IP de la raspberry pi, pasa a ser la IP servidor de DNS. Y para no tenerla que poner de forma manual en la configuración de red de cada equipo que se conecta, entré al mikrotik y la puse aquí (aquí aparece la 192.168.1.23 pero he puesto otra).

Screen Shot 2021-10-15 at 15.06.38.png


- Con el servidor wireguard, en ningún momento de la configuración recuerdo haber metido la dirección ddns que ya tengo porque la tengo montada en el NAS. Es decir, como sabéis synology ofrece un servicio de estos, y como ya lo tengo configurado y operativo, es el que pretendía usar en la conffgiuración del tunel. Pues bien, abrí con un editor de texto un fichero *.conf de los que genera para instalar en un cliente (en un pc) y vi que la dirección de destino tenía puesto la IP WAN (que obviamente podría cambiar ya que es dinámica). A mano edité el fichero, puse mi dirección: pepepalotes.synology.me y guardé. Luego lo importé en el PC remoto, y el tunel funciona perfectamente. Por si os lo estáis preguntando, sí, me encargué de poner la dirección del servidor DNS en dicho fichero para que la navegación sea sin publi haciendo uso de pihole.

Creo que no me dejo nada, pero vaya, a ver qué opináis de mis dudas. De momento, encantado con el setup. La prueba de fuego va a ser montar el tunel en un firestick que en teoría se conecta a mi casa para recibir contenido 1080p de un receptor de satélite... a ver si va fluido!
 
Pues si antes lo digo... empiezan los problemas!

Las pruebas de los túneles wireguard las hice con el cliente que monté en mi movil, y no hubo problema alguno. El problema viene cuando he querido montar el cliente en un portatil y acceder desde la wifi de casa de mis padres. Ocurre que se establece el tunel sin problemas, navego correctamente. Pero a la hora de acceder a direcciones IP locales, no carga. ¿Por qué? Creo que debe haber algún solapamiento de IPs, es decir, como he cometido el error de tener direccionamientos similares en ambas casas (192.168.1.0/24) quizás esto esté dándome problemas? Lo supongo porque con el móvil, no he tenido problemas.

¿Alguna idea?
 
Pues si antes lo digo... empiezan los problemas!

Las pruebas de los túneles wireguard las hice con el cliente que monté en mi movil, y no hubo problema alguno. El problema viene cuando he querido montar el cliente en un portatil y acceder desde la wifi de casa de mis padres. Ocurre que se establece el tunel sin problemas, navego correctamente. Pero a la hora de acceder a direcciones IP locales, no carga. ¿Por qué? Creo que debe haber algún solapamiento de IPs, es decir, como he cometido el error de tener direccionamientos similares en ambas casas (192.168.1.0/24) quizás esto esté dándome problemas? Lo supongo porque con el móvil, no he tenido problemas.

¿Alguna idea?
Correcto. Cambia los segmentos de LAN. Es la razón por la que mikrotik trae un segmento “raro” .88

Saludos!
 
Correcto. Cambia los segmentos de LAN. Es la razón por la que mikrotik trae un segmento “raro” .88

Saludos!
Pfff... miedo me da ponerme a cambiar todo el rango de IPs de la LAN. Pero efectivamente creo que no me queda otra, más lío sería cambiar los rangos de IPs de las wifis que visito...
 
De todas formas, y antes de que cambies nada, ¿que segmento lan tienes y qué segmento le has dado a la vpn WireGuard? Por si el problema viniera del segundo, en lugar del primero

Saludos!
 
De todas formas, y antes de que cambies nada, ¿que segmento lan tienes y qué segmento le has dado a la vpn WireGuard? Por si el problema viniera del segundo, en lugar del primero

Saludos!
Nada, el LAN del servidor es el tipico 192.168.1.0/24. De hecho el pihole va en la 23 (no lo llegue a cambiar jeje).

Y tanto en casa de mis padres como la de los suegros (las que frecuento) tienen los mismos rangos. Estoy planteandome cambiar los rangos del router de las de mis padres y mis suegros. Y meter no se, la 192.168.2.1 o algo asi. Algun rango a recomendar? Con mantener server dchp vale, no tienen nada a mayores montado en estas casas…
 
Arriba