He buscado en los foros, pero como las redes no son mi área de especialización, no sé si esto ha sido respondido explícitamente, así que espero que no sea un duplicado.
Actualmente tengo un enrutador TL-WR841N que está configurado con una dirección IP dinámica WAN proporcionada por mi proveedor de VPN. Actualmente, la IP que tengo configurada en mi router es una que permite hacer streaming desde Netflix. Sin embargo, esto impide que Amazon Prime Video funcione.
Anteriormente, me comuniqué con TP-Link y pregunté si había alguna manera de permitir que ciertos dispositivos omitieran la VPN y en su lugar usaran mi dirección IP real para acceder a contenido de transmisión. Específicamente, quería decirle al enrutador que todos mis dispositivos, excepto las consolas de juegos, deberían conectarse a través de la VPN. Me dijeron que esto no es posible. Así que investigué un poco y un amigo mencionó algo sobre el enrutamiento estático, que mi enrutador es bastante capaz de hacer.
Por lo que tengo entendido, el enrutamiento estático permitiría que las direcciones IP de destino omitan la VPN y, si ese es el caso, funcionaría en mi situación, ya que solo quiero poder acceder a todos los medios de transmisión mientras mi VPN está activada. ¿Es el enrutamiento estático lo que necesito? Amazon publica una lista de sus rangos de IP, pero hay más de 1000. Si el enrutamiento estático es realmente la respuesta, ¿debo agregar un caso para todas las IP publicadas? ¿O hay una mejor manera de lograr lo que necesito?
Respuesta1
El TL-WR841 es solo una computadora Linux con una interfaz de usuario proporcionada por TP-Link.
Si usa una VPN, tendrá dos interfaces de red (una para la VPN y otra para la WAN de su ISP). Linux tiene reglas de enrutamiento que pueden decidir qué interfaz usar según la dirección IP de destino (lo que se llama "enrutamiento estático"). Linux también tiene algo llamadoenrutamiento de políticasdonde puede enrutar según la dirección de origen.
Entonces, si configura su enrutador para asignar a todos sus dispositivos siempre la misma dirección IP a través de DHCP (a veces llamado "DHCP estático"), puede usar la dirección IP para identificar el dispositivo y enrutarlo en consecuencia.
Ahora la pregunta es cómo configurar esto. Si TP-Link dice que no puede enrutar por dispositivo, probablemente no tengan una interfaz de usuario para el enrutamiento de políticas. Si tiene una interfaz de usuario para "rutas estáticas", por supuesto, puede realizar rutas por destino.
Una alternativa es actualizar su enrutador con un firmware diferente, por ejemplo OpenWRT. Hay que tener un poco de cuidado, el TL-WR841N se basa en hardware muy diferente dependiendo de la versión, y para algunos tipos (principalmente hardware antiguo) funciona, para otros funciona.no.
Una vez que tenga acceso completo al dispositivo, podrá configurar todo lo que desee, incluido el enrutamiento de políticas por dirección de origen. Sin embargo, necesitarás sentirte cómodo con la línea de comandos de Linux para hacer esto.
Existen otras variantes de firmware como DD-WRT (basado en OpenWRT, mismas restricciones de hardware) con una interfaz de usuario más fácil de usar.Aquíes la página wiki de DD-WRT para el enrutamiento de políticas. Si lo entiendo correctamente, tiene cierta compatibilidad con la interfaz de usuario, pero es posible que aún necesite secuencias de comandos para la VPN (pero no lo he hecho en DD-WRT, por lo que mi interpretación puede ser incorrecta).
Es posible volver a actualizar su enrutador al firmware original de TP-Link (descárguelo o guárdelo antes de actualizarlo por primera vez), para que pueda experimentar.
Editar
Para enrutamiento estático: no sé cómo se ve la interfaz de usuario de TP-Link, pero en general, necesita una colección de direcciones IP de destino, por ejemplo, todas las direcciones IP relacionadas con Amazon Prime Video (se pueden involucrar varios servidores en eso, y pueden equilibrar la carga utilizando varias direcciones IP). Estas pueden ser direcciones únicas, en cuyo caso necesitará una máscara de red de /32 resp. 255.255.255.255. O pueden ser rangos de IP completos, por ejemplo, el rango de IP pública de Amazon, en cuyo caso puede agruparlos con una máscara de red diferente.
La puerta de enlace (siguiente salto) será la puerta de enlace para la conexión a través de la cual desea enrutar, ya sea WAN o VPN. Buscar las interfaces debería proporcionarle la puerta de entrada. La puerta de enlace puede cambiar tanto para la WAN como para la VPN cuando se configura la conexión, por lo que puede resultar difícil asignarla de forma estática.
Respuesta2
El siguiente artículo tiene un procedimiento detallado para lograr su objetivo utilizando el firmware estándar:
Cómo poner tu PS3 o PS4 en una DMZ.
Lo resumo a continuación:
Asigne a la consola una dirección IP estática enConfiguración > Configuración de red. Esta dirección debe estar dentro del rango de su red local, tal vez como
192.168.0.X, pero asegúrese de que no esté dentro del rango de direcciones DHCP.Inicie sesión en su enrutador como administrador y busque una opción llamada
DMZ. Como dirección IP para su DMZ, ingrese la dirección IP que le dio a su consola anteriormente.En la consola, nuevamente en Configuración de red, seleccionePrueba de conexión a Internet.
Si tiene éxito, su tipo de NAT puede ser "2".
Esto debería conectar su consola directamente a Internet, evitando de hecho la VPN. Su éxito depende también de cómo su enrutador maneja VPN y DMZ especificadas al mismo tiempo.
Para obtener más detalles, consulte el artículo anterior.
Respuesta3
Este es un conjunto desordenado de respuestas:
El problema que tengo es que permite el enrutamiento estático. Simplemente no estoy seguro de cómo configurarlo correctamente (por ejemplo, ¿cuál es la IP de destino, cuál es la máscara de subred y las puertas de enlace?).
Dentro de una ruta, la IP de destino + máscara (o IP/longitud de prefijo) define a qué se quiere llegar, una dirección específica o un rango. La puerta de enlace definecómolo alcanzará, es decir, el "siguiente salto" al que pasar el paquete.
Su enrutador tendrá una página en algún lugar mostrando todosactivoRutas (estáticas y dinámicas). Entre ellas verá una ruta para 0.0.0.0/0 (máscara 0.0.0.0), también conocida como ruta "predeterminada" porque coincide con cualquier dirección. Esa es la ruta que normalmente utiliza su enrutador para acceder a Internet, y su puerta de enlace/nexthop será alguna dirección de enrutador que pertenezca a su ISP.
Iniciar una conexión VPN agregará más rutas; cuando la VPN está destinada al acceso a Internet, agregará unasegundo0.0.0.0/0, pero esta vez con la dirección de un servidor VPN como puerta de enlace (o ninguna dirección, solo un nombre de interfaz).
Si el mismo paquete coincide con varias rutas, la ruta con el prefijo más largo (o con más bits '1' en la máscara de red) tendrá la mayor prioridad. (Por ejemplo, una ruta máscara=255.255.255.0 tendrá prioridad sobre una ruta máscara=0.0.0.0). Si hay varias rutas con destino+máscara idénticos, la prioridad se establece mediante el parámetro "métrica".
Entonces, mientras la VPN está activa, tiene dos rutas "predeterminadas" para 0.0.0.0/0, pero la ruta VPN tiene mayor prioridad (métrica más baja), de modo que todo el acceso a Internet pasará a través de la VPN. Para anularlo para un destino específico, agregaría una nueva ruta con ese destino, copiando los parámetros de la puerta de enlace de la ruta principal predeterminada de su ISP.
Específicamente, quería decirle al enrutador que todos mis dispositivos, excepto las consolas de juegos, deberían conectarse a través de la VPN. Me dijeron que esto no es posible.
De hecho, es imposible con el enrutamiento IPv4 normal.
(Aunque en Linux esseríaEsto es posible con el enrutamiento IPv6 normal, ya que las rutas IPv6 también pueden coincidir en el origen, no solo en el destino. Desafortunadamente, eso no está implementado para IPv4 y, en cualquier caso, no lo encontrará en las pantallas de configuración de TP-Link).
Sin embargo, es posible con la función de "enrutamiento de políticas" mencionada por @dirkt. El enrutamiento de políticas inserta un paso adicionalantesEnrutamiento regular: le permite crear varias tablas de enrutamiento independientes y definir reglas sobre cuándo usar cada tabla.
Por ejemplo tupodríaDefina que los paquetes de su consola de juegos usarán la tabla 1 (con la ruta predeterminada del ISP habitual) y los paquetes de otros dispositivos usarán la tabla 2 (con la ruta predeterminada de la VPN).
Amazon publica una lista de sus rangos de IP, pero hay más de 1000. Si el enrutamiento estático es realmente la respuesta, ¿debo agregar un caso para todas las IP publicadas?
Con la ruta estándar, sí, deberá enumerar todos los destinos.
El enrutamiento de políticas cambia la situación, ya que permite que el dispositivo tome decisiones de enrutamiento en función de otros parámetros, como la dirección de origen o el protocolo/puerto en uso.