Acabo de actualizar mi antiguo enrutador Netgear a DD-WRT y quiero usar el componente OpenVPN Server integrado para dar servicio a la subred única privada de mi hogar.
Entonces tengo esta configuración: [Internet público]----[host dns dinámico]<---ISP--->[enrutador DD-WRT/OpenVPN-Server 192.186.0.1 con subred privada doméstica 192.168.0.0/24 clientela]
Quiero poder utilizar de forma segura la conexión a Internet de mi hogar y acceder de forma segura a las máquinas de la subred privada de mi hogar cuando estoy en una red pública de Internet o en una red Wifi no segura.
Mi DD-WRT tiene la capacidad de ser un servidor OpenVPN.
Hasta ahora, muchas de las guías que he leído parecen querer que los clientes OpenVPN tengan una IP privada diferente a la dirección de mi subred privada única. Muchos de ellos parecen querer indicarle algo como 10.xxx para las IP de los clientes.
¿Es realmente un requisito para que esto funcione?
¿Es esa red de tipo 10.xxx una subred física real para la que debo tener un segundo enrutador, o es una subred virtual que el servidor OpenVPN de mi DD-WRT 'crearía' por sí mismo?
¿O puedo hacer todo esto con la única subred privada que tengo físicamente?
Gracias de antemano por su comprensión de mi incursión inicial en la configuración de OpenVPN.
Respuesta1
La dirección IP de openVPNdebeser diferente del rango de IP de su red doméstica; de lo contrario, tendrá problemas.
Por otro lado, la dirección IP de openVPN sólo se utilizará entre el servidor de openVPN y el dispositivo de conexión, por ejemplo, su computadora portátil. Por lo tanto, es posible que a su computadora portátil se le asigne 10.8.0.2 y su servidor openVPN tenga 10.8.0.1. Ambas direcciones IP (básicamente) sólo existen dentro del túnel VPN. La razón es que openVPN creará una interfaz de red virtual (por ejemplo, tun0) en el servidor y en el cliente y le asignará esas direcciones IP. No hay ninguna red "física" 10.8.0.0 para configurar.
Puedes configurar openVPN (servidor o cliente) para conocer la ruta al rango de IP de tu hogar 192.168.0.0/24, para que puedas
- conecta tu VPN
- A su computadora portátil se le asignará 10.8.0.2 para el túnel VPN.
- puede abrir su navegador, SSH o Microsoft Terminal Services
- y apúntelo a 192.168.0.x
Su servidor/enrutador openVPN será conocido por dos direcciones IP: 10.8.0.1 y 192.168.0.1.
Las declaraciones correspondientes a las rutas son
push "route 192.168.0.0 255.255.255.0"
en el servidor y
route 192.168.0.0 255.255.255.0
en el cliente respectivamente. Sólo necesitas uno de ellos; en su escenario es una cuestión de gustos en qué archivo de configuración lo coloca. Junto con el enmascaramiento de IP en sus iptables (que, supongo, openWRT ya tiene), le permitirá conectarse a su red doméstica de forma remota y también navegar por Internet de forma remota. Ejemplo sencillo:
Your laptop -> unencrypted, public WIFI -> internet
entonces será
Your laptop -> encrypted VPN -> openWRT -> internet.
Por lo tanto, el proveedor de WIFI público no cifrado o los rastreadores dentro de ese WIFI no podrán leer su tráfico.
Si desea ejecutar el servidor openVPN en un puerto diferente, por ejemplo, para protegerlo del escaneo de puertos, script kiddies o similares, utilícelo port 9411como ejemplo.
(Editar: se agregaron preguntas y respuestas de los comentarios debajo de esta respuesta en esta respuesta).