Escogiendo routers VPN WireGuard: servidor y cliente

Cambia momentáneamente la routing rule para que, en lugar de hacer “lookup”, haga “lookup-only”. Eso forzará a que sólo se use el túnel, y no tenga esa opción de fallback. Una vez pasado el registro, puedes volver a ponerle el lookup.

Y, sobre todo, asegúrate de que no lo tengas también conectado por wifi. Los móviles y portátiles comparten el llavero de icloud. No me extraña que este chisme haga lo mismo para facilitar la conexión inalámbrica. Y claro, si por ahí coges otra IP, puede que vengan de ahí los tiros.

Saludos!
En cuanto llegue a casa lo pruebo.

Lo del wifi me extrañaría mucho porque nunca ha estado conectado por wifi y en los primeros pasos de configuración no pregunta nada de red. Por otro lado según la web de Mikrotik parece claro que coge red “por el cable”.

Pruebo el cambio del lookup y te cuento.

Muchas gracias!
 
@pokoyo te cuento un poco, y espero explicarme lo mejor posible.

El resumen sería que en cuanto a la configuración de la red (y los bridge) funciona perfectamente, lo que pasa es que a veces la tecnología da guerra...

Tras hacer varias pruebas, todo el rato me daba error de activación el Apple TV, hasta que al final, he cambiado la ip del Apple TV, la he fijado pero saliendo por UK con la ip 192.168.88.3, le he puesto al Apple TV región UK, y entonces ha pasado la activación. Ni idea del por qué... a saber qué chequeo hace el trasto de Apple.
Luego en los settings del Apple TV le he puesto cambiar de región de UK a España y lo he apagado. Me he metido en el Mikrotik y le he vuelto a fijar la ip pero ahora saliendo por la 192.168.88.251, es decir por el agujero del DCHP para salir por España. No se ha quejado el Apple TV, y con una cuenta de apple id española, he empezado a descargar apps.

Pero pasan dos cosas curiosas:
Una, en el Apple TV uso la app Infuse para ver películas que tengo en el NAS, pues me encontraba enseguida el NAS como "NAS local", lo que me ha extrañado un poco porque el NAS usa la ip fija 192.168.88.2 (luego el NAS está en la "red de UK") y el Apple TV saliendo por España ¿? pero aún así, lo encuentra como NAS en red local... curioso, probablemente se me está escapando algo por mi desconocimiento de redes, para no entender el por qué de esto.

Y dos, el Apple TV está saliendo por España seguro, por ejemplo Netflix me enseña el catálogo de series y películas de España, luego, usando eso como comprobación, puedo asegurar que la salida a internet es por España. Pero entonces, lo curioso es que la famosa app de deportes D*ZN no me deja loggearme, como si detectase algo en la red. Y ya por testear, porque no la necesito, la app de M+ para el Apple TV también da error.

Te dejo estos párrafos a modo de compartir experiencia, no sé qué haré con el Apple TV si dejarlo así o a una configuración total de UK, porque tanto la app de la NBA y la NFL funcionan sin geolocalización, pero lo que tengo claro es que la configuración del Mikrotik es una maravilla y muy práctico el hecho de que simplemente fijando la ip y sacandola por el agujero, puedas navegar en España.

Como siempre, muchas gracias por la ayuda.
 
A ver, por partes,

Tras hacer varias pruebas, todo el rato me daba error de activación el Apple TV, hasta que al final, he cambiado la ip del Apple TV, la he fijado pero saliendo por UK con la ip 192.168.88.3, le he puesto al Apple TV región UK, y entonces ha pasado la activación. Ni idea del por qué... a saber qué chequeo hace el trasto de Apple.
Luego en los settings del Apple TV le he puesto cambiar de región de UK a España y lo he apagado. Me he metido en el Mikrotik y le he vuelto a fijar la ip pero ahora saliendo por la 192.168.88.251, es decir por el agujero del DCHP para salir por España. No se ha quejado el Apple TV, y con una cuenta de apple id española, he empezado a descargar apps.
Se me olvidó mencionar una cosa: tu apple ID. Ese también va asociado a una localización y, dependiendo de cuál sea, puedes acceder a una tienda de aplicaciones y otra. No me extraña que si tu apple ID está asociado a UK y tratas de setearlo vía España, cante. Intenta alinear ambas cosas, aunque tengas que usar ID's distintos para las cosas que quieras por España o por UK. Esto ya me dio a mi guerra en su día con la propia app store y aplicaciones/música compradas en España, de las cuales no podía disfrutar en el extranjero cuando asocié mi apple ID a otro país. No fue hasta que volvía a España y lo puse en su sitio de nuevo, cuando recuperé el acceso a ese contenido. Y no tiene nada que ver con la localización, cuando venía a España tampoco veía ese contenido, puesto que fue vendido por una app store distinta.

Pero pasan dos cosas curiosas:
Una, en el Apple TV uso la app Infuse para ver películas que tengo en el NAS, pues me encontraba enseguida el NAS como "NAS local", lo que me ha extrañado un poco porque el NAS usa la ip fija 192.168.88.2 (luego el NAS está en la "red de UK") y el Apple TV saliendo por España ¿? pero aún así, lo encuentra como NAS en red local... curioso, probablemente se me está escapando algo por mi desconocimiento de redes, para no entender el por qué de esto.
Se te escapa: que sigues en la misma red. Lo único que cambia es por qué IP pública sale el contenido a internet. Pero lo que es local, no depende de ninguna tabla de rutas, sino simplemente de la capa 2; el tráfico ni si quiera sube al router, y ambos equipos "hablan" vía switch.
Es decir, cuando tu apple tv habla con tu NAS, lo hace dentro del mismo segmento de red, el 192.168.88.x, usando para ello la tabla ARP (la cual tienen tanto tu router como tu switch, cada uno la suya), sin necesidad de usar la tabla de rutas para nada.

Y dos, el Apple TV está saliendo por España seguro, por ejemplo Netflix me enseña el catálogo de series y películas de España, luego, usando eso como comprobación, puedo asegurar que la salida a internet es por España. Pero entonces, lo curioso es que la famosa app de deportes D*ZN no me deja loggearme, como si detectase algo en la red. Y ya por testear, porque no la necesito, la app de M+ para el Apple TV también da error.
Mira el primer tema que te digo del apple ID, más que probable que por ahí vengan los tiros.

Te dejo estos párrafos a modo de compartir experiencia, no sé qué haré con el Apple TV si dejarlo así o a una configuración total de UK, porque tanto la app de la NBA y la NFL funcionan sin geolocalización, pero lo que tengo claro es que la configuración del Mikrotik es una maravilla y muy práctico el hecho de que simplemente fijando la ip y sacandola por el agujero, puedas navegar en España.
Si me pides consejo: saca dos apple ID, uno asociado a cada país. Y usa el que necesites, dependiendo de cómo quieres que se comporte el dispositivo, además del tema del routing condicional que ya tienes montado. Y sí, el tema de poder salir por una IP pública distinta es un puntazo, especialmente sin tener que pagarle a nadie ni enviar tu tráfico a ningún proveedor VPN chungo que a saber qué hace con él. Aquí todo queda en casa.

Saludos!
 
A ver, por partes,


Se me olvidó mencionar una cosa: tu apple ID. Ese también va asociado a una localización y, dependiendo de cuál sea, puedes acceder a una tienda de aplicaciones y otra. No me extraña que si tu apple ID está asociado a UK y tratas de setearlo vía España, cante. Intenta alinear ambas cosas, aunque tengas que usar ID's distintos para las cosas que quieras por España o por UK. Esto ya me dio a mi guerra en su día con la propia app store y aplicaciones/música compradas en España, de las cuales no podía disfrutar en el extranjero cuando asocié mi apple ID a otro país. No fue hasta que volvía a España y lo puse en su sitio de nuevo, cuando recuperé el acceso a ese contenido. Y no tiene nada que ver con la localización, cuando venía a España tampoco veía ese contenido, puesto que fue vendido por una app store distinta.


Se te escapa: que sigues en la misma red. Lo único que cambia es por qué IP pública sale el contenido a internet. Pero lo que es local, no depende de ninguna tabla de rutas, sino simplemente de la capa 2; el tráfico ni si quiera sube al router, y ambos equipos "hablan" vía switch.
Es decir, cuando tu apple tv habla con tu NAS, lo hace dentro del mismo segmento de red, el 192.168.88.x, usando para ello la tabla ARP (la cual tienen tanto tu router como tu switch, cada uno la suya), sin necesidad de usar la tabla de rutas para nada.


Mira el primer tema que te digo del apple ID, más que probable que por ahí vengan los tiros.


Si me pides consejo: saca dos apple ID, uno asociado a cada país. Y usa el que necesites, dependiendo de cómo quieres que se comporte el dispositivo, además del tema del routing condicional que ya tienes montado. Y sí, el tema de poder salir por una IP pública distinta es un puntazo, especialmente sin tener que pagarle a nadie ni enviar tu tráfico a ningún proveedor VPN chungo que a saber qué hace con él. Aquí todo queda en casa.

Saludos!

muchas gracias por tus comentarios, y me reafirman en que aunque no soy muy listo tampoco voy muy desencaminado, lo que pasa es que Apple es mucho Apple y creo que su software es muy cerrado.

Desde hace ya varios meses me cree un segundo Apple id registrado en España. Y ayer al españolizar el Apple TV lo hice con dicho usuario, lo curioso es que en el momento que hace la activación, aun no me habia pedido un apple id. Fijate, le desconecte el cable de red al Apple TV, le apague el wifi al Mikrotik y formateé el Apple tv. Lo encendí, pantalla uno selecciono idioma “Español”, paso a la segunda pantalla de Region y veo que pasa de estar en “España” a cambiar a Reino Unido en menos de un segundo… eso insisto, sin estar conectado a internet ni tener un Apple ID puesto… suena a que de algun modo Apple geolocalizaba el Apple TV.

De hecho fijate lo curioso que es Apple y su ecosistema: Con el Apple tv, como lo tenia la semana pasada, configurado para UK, saliendo a internet por UK y con un usuario apple id de UK. Si vas al App Store hay apps que no puedes descargar pq no estan disponibles en esa region: ejemplo A tres Media o RTVE por decir un par. Pero el Apple TV te deja registrar otros apple id (por si hay más usuarios en casa). Si ahi le pones un Apple id de España, cuando vas a su App Store entonces sí que estan dichas Otro tema es que no funcionen o tengas partes restringidas por usar geolocalización y detectar que estas fuera de España.

Vaya rollo he escrito, vamos que llevo un tiempo jugando al ratón y al gato con Apple y las restricciones geográficas, y esta claro que casi siempre, gana Apple.
 
Desde hace ya varios meses me cree un segundo Apple id registrado en España. Y ayer al españolizar el Apple TV lo hice con dicho usuario, lo curioso es que en el momento que hace la activación, aun no me habia pedido un apple id. Fijate, le desconecte el cable de red al Apple TV, le apague el wifi al Mikrotik y formateé el Apple tv. Lo encendí, pantalla uno selecciono idioma “Español”, paso a la segunda pantalla de Region y veo que pasa de estar en “España” a cambiar a Reino Unido en menos de un segundo… eso insisto, sin estar conectado a internet ni tener un Apple ID puesto… suena a que de algun modo Apple geolocalizaba el Apple TV.
Si el chisme usa Beacons, con el propio bluetooth de tu teléfono lo tiene geolocalizado en un pis pas, sin si quiera tener ambos dispositivos vinculados. Ojo con estas cosas, que son muy de Apple (pensadas en un principio para facilitarte la vida, pero que te pueden jugar malas pasadas, como en este caso).

De hecho fijate lo curioso que es Apple y su ecosistema: Con el Apple tv, como lo tenia la semana pasada, configurado para UK, saliendo a internet por UK y con un usuario apple id de UK. Si vas al App Store hay apps que no puedes descargar pq no estan disponibles en esa region: ejemplo A tres Media o RTVE por decir un par. Pero el Apple TV te deja registrar otros apple id (por si hay más usuarios en casa). Si ahi le pones un Apple id de España, cuando vas a su App Store entonces sí que estan dichas Otro tema es que no funcionen o tengas partes restringidas por usar geolocalización y detectar que estas fuera de España.
Es que son dos cosas distintas, dos tipos de restricciones: unas atienden a geolocalización (las de la IP) y otras a contenidos (la de las tiendas de aplicaciones). Cada una se usa para una cosa, y el muy probable que incluso se complementen. Yo pude tener el iPhone en el extranjero funcionando con ID español muchísimo tiempo: hasta que topé con una app local que solo estaba en la tienda de ese país. Lo mismo pasa con el contenido televisivo, que se restringe no por región "porque sí" sino por temas de permisos y licencias audiovisuales.

Por eso te digo que es complejo el tema, yo he estado en una situación similar, y créeme que me dolió la cabeza con ello.

En fin, ánimo y suerte, no te puedo decir más, porque sinceramente desconozco los entresijos de la marca.

Saludos!
 
@pokoyo

he estado trasteando :D y otra vez vuelvo con dudas...

En Londres tengo un Amazon Fire TV (Fire TV Stick 4K Ultra HD de 2020) y le he querido instalar la app de M+ y la app de DAZN. Primero he hecho la opción de fijarle la ip (192.168.88.251) de modo que hago salir la conexión por el agujero "español" que va de la 192.168.88.249 - 192.168.88.254. Curiosamente sucede lo mismo que con el Applet TV, la app de M+ y de DAZN, no quieren funcionar, como si detectasen que realmente están en UK y no en España.

Entonces he hecho una cosa alternativa, he vuelto a poner la ip automática, le ha asignado la 192.168.88.169 (por lo tanto saliendo a internet por UK) y dado que la app WireGuard está disponible para el Fire TV, pues la he instalado. He configurado un nuveo peer (Fire TV) en el hEX que está en Barcelona y voilá!! funciona perfectamente, tanto la conexión WireGuard como ambas aplicaciones.

Y esto me suscita una pregunta: ¿cuando a un dispositivo le fijamos la ip y lo mandamos salir a internet por el agujero "español" (192.168.88.249 - 192.168.88.254), la conexión viaja por un túnel "distinto" que cuando lo hacemos vía la una conexión WireGuard?

Me refiero distinto en el sentido de si es un túnel con una codificación distinta a la WireGuard que quizás ciertas apps puedan detectar.

PD: Esto es más por aprender que por necesidad... el deco que pusimos de M+ funciona de maravilla. Esta semana tengo visita de familia española en Londres y anoche se echaban las manos a la cabeza cuando podían ver telediario en castellano.
 
@pokoyo

he estado trasteando :D y otra vez vuelvo con dudas...

En Londres tengo un Amazon Fire TV (Fire TV Stick 4K Ultra HD de 2020) y le he querido instalar la app de M+ y la app de DAZN. Primero he hecho la opción de fijarle la ip (192.168.88.251) de modo que hago salir la conexión por el agujero "español" que va de la 192.168.88.249 - 192.168.88.254. Curiosamente sucede lo mismo que con el Applet TV, la app de M+ y de DAZN, no quieren funcionar, como si detectasen que realmente están en UK y no en España.

Entonces he hecho una cosa alternativa, he vuelto a poner la ip automática, le ha asignado la 192.168.88.169 (por lo tanto saliendo a internet por UK) y dado que la app WireGuard está disponible para el Fire TV, pues la he instalado. He configurado un nuveo peer (Fire TV) en el hEX que está en Barcelona y voilá!! funciona perfectamente, tanto la conexión WireGuard como ambas aplicaciones.

Y esto me suscita una pregunta: ¿cuando a un dispositivo le fijamos la ip y lo mandamos salir a internet por el agujero "español" (192.168.88.249 - 192.168.88.254), la conexión viaja por un túnel "distinto" que cuando lo hacemos vía la una conexión WireGuard?

Me refiero distinto en el sentido de si es un túnel con una codificación distinta a la WireGuard que quizás ciertas apps puedan detectar.

PD: Esto es más por aprender que por necesidad... el deco que pusimos de M+ funciona de maravilla. Esta semana tengo visita de familia española en Londres y anoche se echaban las manos a la cabeza cuando podían ver telediario en castellano.
Pásame un export de lo que tienes ahora en ambos equipos, a ver si detecto de dónde puede venir el tema. Es raro lo que te pasa, en un principio, y salvo que estemos fugando algo por la routing rule, debería ir por el mismo túnel. Por si acaso, puedes fijar la acción de la routing rule en “lookup-only”, y así no mirará nada más que esa tabla de rutas.

Saludos!
 
Pásame un export de lo que tienes ahora en ambos equipos, a ver si detecto de dónde puede venir el tema. Es raro lo que te pasa, en un principio, y salvo que estemos fugando algo por la routing rule, debería ir por el mismo túnel. Por si acaso, puedes fijar la acción de la routing rule en “lookup-only”, y así no mirará nada más que esa tabla de rutas.

Saludos!
Te paso por MP los export.
 
Bueno, pues después de mucho tira y afloja, hemos dado con la causa del problema: tenemos un problema de segmentación TCP. Dejadme que os explique esto un poco más en detalle: cuando metemos tráfico por un túnel VPN, el que sea, tenemos que tener en cuenta que el tamaño del paquete que podemos pasar por esa conexión se reduce. ¿Cuánto? Pues depende del tipo de túnel. Pero, siempre, siempre, siempre, va a ser menor a los 1500 bytes del tamaño de segmento TCP que manejamos en local (el famoso MTU). Cuando creamos una interfaz wireguard, el túnel se come 80 bytes de overhead, para mandar datos del propio túnel, dejándonos un tamaño aprovechable de 1420 bytes. Hay tipos de VPN que hacen este cálculo automático, y otras no.

Pues bien, cuando tú te conectas con un móvil como road-warrior a un router MikroTik, la aplicación sabe que por ahí no puede pasar más de 1420 bytes, y, de hacerlo, se producirá fragmentación (se partirá un paquete de 1500 en dos, y se mandarán 1420 de una vez, y los 80 restantes de una segunda vez, con la merma de rendimiento correspondiente). La aplicación, que no es tonta, dice: antes de fragmentar el paquete a la hora de lanzarlo, ya acuerdo yo con quien sea al que me esté conectando que el tamaño máximo de lo que le voy a enviar es menor, y así esto va como un tiro (pasas 80 bytes menos de tráfico en cada tacada, pero haces la mitad de tacadas). Esto también ocurre en los propios routers mikrotik con la regla de ICMP que veis en el chain de input, y que es tremendamente importante (y muchos se empeñan en quitar) par dicho cálculo.

Pero, ¿qué pasas cuando enrutamos dos LAN (o sacamos tráfico a internet vía la IP pública de otro extremo de un túnel VPN) y trabajamos en forward? Pues que ese cálculo, simplemente, no se hace. Y tu red LAN, que trabaja con 1500 bytes, siempre va a intentar ir con ese tamaño a todos sitios, mientras alguien no le diga lo contrario. Y hay servicios que funcionan con fragmentación, y hay otros que simplemente no funcionan. Y esto último es justo lo que te está pasando con DANZ y M+.

Al lío, ¿cómo lo solucionamos? Pues muy sencillo (y mira que me ha costado verlo, aún teniendo delante de mis narices... yo mismo tengo esta regla en mi red): con una regla de mangle que diga: "cuando vengas de este origen y salgas por el túnel, ojo cuidado y primero negocia el MTU que vas a usar. En la misma regla, si conocemos de antemano el MTU, podríamos llegar a establecerlo fijo, pero mejor usar el path discovery del MTU (lo que os contaba antes del ping, tenéis más detalle de cómo funciona aquí) para hacer dicha negociación y ver que, en el tránsito de A a B, no se puede ir con más de x tamaño de MTU sin producir fragmentación. La regla en cuestión, para el amigo @soso75, es esta:
Código:
/ip firewall mangle
add action=change-mss chain=forward new-mss=clamp-to-pmtu out-interface=\
  wg-sts-es src-address=192.168.88.248/29 protocol=tcp \
  tcp-flags=syn passthrough=yes

La regla dice, literlamente: cuando mandes un paquete de tipo tcp-sync con origen 192.168.88.248/29 (la subred a enrutar vía España) y destino cualquier cosa al otro lado del túnel, utiliza el cálculo automático del MTU para establecer el tamaño máximo del paquete (clamp-to-pmtu = ajústalo al tamaño del MTU descubierto a lo largo de todo el path desde A hasta B).

Con esto, dicho ajuste se producirá par cada nueva conexión y el resto de paquetes relacionados se enviarán con ese tamaño, haciendo que todo fluya como debe.

En definitiva, una chorrada, pero que te puede volver loco, si no caes en la cuenta. Así que nada, que disfrutes de tus servicios allá donde quieras, que para eso los pagas.

Saludos!
 
@pokoyo

me ha contactado mi proveedor inglés de fibra (Virgin Media) porque me van a enviar un nuevo router y me han ofrecido tres "Wifi pods".
El nuevo router se lo he aceptado y teóricamente lo recibiré la semana que viene. El nuevo equipo es este:

Virgin-Media-O2-Hub-5-Router_1.jpg
Virgin-Media-O2-Hub-5-Router_2.jpg


Model: Sagemcom F3896LG-VMB
Broadcom 3390S chip
Built-in modem supports DOCSIS3.1/3.0
802.11ax WiFi 6 standard
Dual band router (2.4Ghz and 5Ghz bands)
Four gigabit Ethernet ports (1×2.5Gbps, 3x1Gbps)
Maximum speeds – 2.5Gbps
2 phone ports
Number of antennas – 5
WPA3 security
1 x coax connector

Lo más relevante es el puerto 2.5Gbps (parece que están probando una nueva conexión de fibra a 2.2Gbps) y el Wifi 6.

Cuando lo reciba, lo pondré en modo modem y lo sustuiré por el actual, entiendo que no debería haber ningún problema ni más complicación. Conectaré el hAP ac3 a la toma ethernet 2.5Gbs del nuevo equipo. Entiendo que el Wifi 6 ni lo usaré porque ahora mismo uso el wifi del hAP ac3.

En cuanto a los 3 "Wifi pods" que me querían enviar:

Captura1.JPG
Captura2.JPG



no los he cogido porque entiendo que al tener el wifi del router de la operadora apagado, estos trastos no harían nada, ¿estoy en lo cierto?
 
Correcto. Si no te quieres complicar la vida, déjalo tal y como lo tienes: router de la compañía en modo bridge y al mikrotik. Si te da pelusa y quieres probar el wifi6, pon el equipo en modo router, apaga el mikrotik unos días, y le das una prueba. Pero no tendría mucho sentido montar ese equipo en modo router, después de la que tenemos liada con el mikrotik.

Saludos!
 
Correcto. Si no te quieres complicar la vida, déjalo tal y como lo tienes: router de la compañía en modo bridge y al mikrotik. Si te da pelusa y quieres probar el wifi6, pon el equipo en modo router, apaga el mikrotik unos días, y le das una prueba. Pero no tendría mucho sentido montar ese equipo en modo router, después de la que tenemos liada con el mikrotik.

Saludos!

En modo router ni de coña, ahora no puedo vivir sin el Mikrotik y los túneles WireGuard ;)

Gracias, te voy contando cuando lo reciba y lo conecte.
 
Arriba