El acceso a Internet de mi red doméstica se basa en OPNSense y proporciona acceso a través de canales de fibra. Recientemente, agregué un punto de acceso 4G basado en OpenWRT que se ejecuta en una Raspberry Pi, que es parte de un grupo de puerta de enlace. En caso de falla de la red de fibra, el cambio lo realiza OPNSense. Funciona bastante bien hasta ahora. Estoy pensando en proteger el acceso a mi red doméstica (conexión VPN entrante) en caso de falla de la red cableada. Me imaginé usando el punto de acceso 4G que permite una conexión VPN a una instancia de servidor alojada externamente (cualquier VPS alojado en la nube podría hacer el trabajo) en caso de falla. Esto me permitiría acceder a mi red en caso de que mi enlace de respaldo esté activo. Ahora la pregunta es, ¿cómo hacer eso?
¿Creen que sería posible establecer una conexión VPN usando Wireguard a la instancia del servidor alojado externamente, iniciar sesión en esta instancia y poder acceder a mi LAN? No estoy seguro de que esto funcione porque el cliente Wireguard estaría ubicado en mi entorno doméstico, mientras que el lado del servidor estaría ubicado en el VPS, por ejemplo...
Por favor, déjame saber tu opinión, solo pensando en cómo podría manejarlo...
Respuesta1
Sí, eso suena como una configuración VPN normal de "sitio a sitio". En general, la diferencia entre servidor y cliente supone poca diferencia: una vez establecido el enlace, los paquetes pueden atravesarlo en cualquier dirección de forma predeterminada.
(Aunque ayuda un poco el hecho de que WireGuard sea más bien un "componente básico de VPN", untúnel– que un producto VPN de 'cliente' completo, por lo que es completamente simétrico tanto en términos del protocolo subyacente que no distingue en absoluto a "clientes" de "servidores" como en términos de configuración que no impone ningún rol predefinido. Como otro ejemplo, IPsec/IKEv2 utiliza los términos "iniciador" y "respondedor" para evitar implicaciones innecesarias.
Peroharíaaún será posible hacer lo mismo con, por ejemplo, OpenVPN usando 'iroute', pero no tan bonito; Si tuviera que usar OpenVPN para un túnel de sitio a sitio, usaría el modo 'tap', que es de naturaleza más flexible, mientras que el modo 'tun' predeterminado está fuertemente orientado al cliente).
Nota: Si el punto final WireGuard local no está ubicadoenla puerta de enlace principal (por ejemplo, si decide configurarlo en el dispositivo OpenWRT y no en OpnSense), no olvide configurar la puerta de enlace principal de OpnSense para que tenga unarutahacia la subred VPN a través de OpenWRT; de lo contrario, sus dispositivos LAN no sabrán cómo enviar paquetes de regreso al VPS. Sin embargo, esto no es nada específico de VPN.