Buenas, lanzo este hilo a ver si alguien sabe guiarme un poco al respecto (en otro post vi que @Theliel entiende del tema).
Me gustaría montar un túnel GRE entre dos ubicaciones, ambas con fibra Movistar y router HGU.
El esquema es el siguiente:
- Casa 1: Router OpenWrt que es el que maneja el túnel GRE conectado al HGU 1
- Casa 2: Router OpenWrt que es el que maneja el túnel GRE conectado al HGU 2
La comunicación la debe mantener como tal el router "neutro" conectado a cada HGU. El 0x47 es un protocolo, no un puerto, y los dos router OpenWrt son invisibles entre ellos al estar en diferentes redes. A la hora de configurar las IP 'local' y 'remote', en la parte remota pondría las IPs públicas de cada extremo... pero esa llamada llegaría al HGU de Movistar, ¿cómo podría desviar ese tráfico al OpenWrt? Cuando es un puerto en concreto, lo diriges al dispositivo interno que sea pero aquí no hay puertos, ¿cómo se haría esta conexión?
También he pensado en establecer una VPN (a través de los OpenWrt) entre los mismos y luego montar encima el túnel GRE... en este caso, ¿serían visibles entre si los routers utilizando las IPs locales o no?
Saludos.
Buenas @javy97
Estás mezclando dos cosas totalmente diferentes.
Es cierto que GRE es un protocolo para túneles, y técnicamente hablando, no posee un "puerto". Pero GRE por sí solo no vale para absolutamente para nada, GRE es un modo de encapsular tráfico. Es necesario un protocolo de tunel para que sea usable. A día de hoy GRE es usado fundamentalmente con PPTP, que por defecto usa el puerto 1723.
Tanto L2TP/IPsec como PPTP, usan protocolos que son problemáticos a la hora de usarse con dispositivos NAT, como un Router, precisamente debido a que usan protocolos no orientados a puertos. Esto para un dispositivo NAT es un problema, y tendrá que tener soporte (y habilitado) para permitir estos tipos de tráfico "especial". Estas funcionalidades las llamamos por lo general passthrough ó ALG, y son específicas para cada protocolo. Es decir, GRE requiere una, IPSec otra...
Desde un punto de vista práctico para nosotros, el HGU ya tiene por defecto habilitados los ALG más habituales, con lo que no deberíamos de tener problema alguno de trabajar con GRE u otros protocolos. Eso no obstante no significa que el Router no tenga que reenviar el tráfico al servidor PPTP, al otro Router.
De cualquier modo, y en lo personal, es una barbaridad a día de hoy usar un tunel PPTP, incluso un tunel IPSec/L2TP. PPTP es totalmente inseguro, IPSec/L2TP es lento y tedioso... a día de hoy (en lo personal) no configuraría ningún tunel que no fuese por OpenVPN, el cual es totalmente seguro, completamente configurable, no depende de protocolos "especiales"!, solo requiere un puerto, ya sea TCP o UDP
Hola @javy97 !
Siento indicarte que sobre configuraciones avanzadas sobre configuraciones de equipos no podamos darte soporte.
Con la información aportada por @Theliel ( gracias por tu aportación ) ¿ tienes resuelta la consulta para configurar los equipos ?
Quedo a la espera de tu respuesta.
Gracias, un saludo, Mar.
Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.
Si necesitas contratar Fibra Óptica, comprobar tu cobertura Adsl y Fibra, o ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es
Gracias, me han hablado en el foro de OpenWrt de securizar con OpenVPN o Wireguard y luego aplicar un túnel GRE para poder usar ciertos protocolos, simulando que un dispositivo en Punto 2 se encuentra físicamente enchufado en Punto 1.
Una vez establecida comunicación VPN entre los dos OpenWrt (tengo que ver cómo hacerlo, sin haciendo los dos de cliente y servidor o cómo), ¿se tendría acceso a través de las IPs privadas o habría que seguir trabajando con las públicas? En el caso de las públicas gracias a tu mensaje me ha quedado claro que el puerto que se utilice es el que se debería redirigir al correspondiente OpenWrt
La idea es algo así:
Layer-2 GRE tunnels allow you to have the same VLAN in multiple locations (separated by a Layer-3 network) and be connected. The forwarding method for a Layer-2 GRE tunnel is bridging.
Hola @javy97 !
Me alegra saber que a través del foro de OpenWrt , te estén ayudando para poder realizar la configuración indicada.
Como te indicaba, ante éstas configuraciones avanzadas, no podemos darte soporte, por lo que dejamos el hilo abierto para que otros usuarios que hayan podido realizar o tengan ésta configuración, puedan ayudarte.
Gracias, un saludo, Mar.
Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.
Si necesitas contratar Fibra Óptica, comprobar tu cobertura Adsl y Fibra, o ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es
Buenas @javy97
Precisamente la idea de crear un tunel es poder acceder a los recursos de la red interna. El servidor VPN asigna una IP al cliente dentro de su propia red, con lo que bien configurado todo dicho equipo es como si estuviese conectado físicamente a la otra red. El tráfico ethernet normal se encapsula dentro de paquetes TCP/UDP, cuando el paquete se envía y llega al servidor VPN, este le quita el envoltorio y prácticamente se ve como tráfico de red normal.
Cuando se configura un tunel como conexión WAN, sencillamente lo que va a hacer es que la propia red que tiene debajo esté "conectada" a la red del otro lado que mantiene el otro extremo. Obviamente, siempre existe un "servidor" y un "cliente", desde el punto de vista al menos de la configuración/conexión VPN.
GRE no veo que sea necesario en ningún momento
Editado 06-07-2019 18:41
Editado 06-07-2019 18:41
Al final lo he montado sin GRE con OpenVPN, el servidor se activa correctamente en el router, pero desde el cliente no conecta.
Tengo abierto el puerto 1194 de UDP a la IP 192.168.1.31 que es donde tengo instalado el servidor, pero debe haber algún bloqueo por parte de Movistar.
Con una herramienta online de verificación de puertos me lo da como cerrado. El resto de puertos de mi red que tengo abiertos si me los detecta bien como abiertos (incluso con el dispositivo en concreto apagado), pero el 1194 me sale cerrado.
Si funciona, al menos la conexión... no sé por qué el HGU no me guardó bien la apertura. Tengo que probar a ver si puedo acceder bien a los recursos de la red, pero al menos el cliente ha dado OK a la conexión 🙂
Hola @javy97 !
Me alegra saber que con la ayuda proporcionada por @Theliel ( gracias por tu aportación ) ya tengas la incidencia solucionada.
¿ Podemos ayudarte con alguna otra consulta o gestión ?
Me mantengo a la espera de tu respuesta.
Gracias, un saludo, Mar.
Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.
Si necesitas contratar Fibra Óptica, comprobar tu cobertura Adsl y Fibra, o ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es
Hola @javy97 !
En primer lugar, pedirte disculpas por la demora en responder.
Al tener ya la incidencia solucionada e indicarnos que no tienes ninguna otra consulta o gestión que podamos ayudarte, procedemos a cerrar el hilo.
Recordarte que para cualquier consulta o gestión que necesites, no dudes en contactar con nosotros.
Gracias por participar en la Comunidad Movistar.
Un saludo, Mar.
Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.
Si necesitas contratar Fibra Óptica, comprobar tu cobertura Adsl y Fibra, o ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es