Una VPN casera, donde?

¿Quieres que el tráfico de tu casa salga por la VPN o conectarte a tu casa desde fuera con una VPN?

A mi entender, para el primer caso optaría por el router, para el segundo, la Raspberry.

Hola.

Yo voy tirando de Xiaomi router 3G flasheado con firmware Gargoyle, la última beta experimental que permite configurar VLAN. La interfaz permite configurar VPN mediante OpenVPN o Wireguard, yo he recurrido a este último ya que muy sencillo una vez estableces el DDNS. Me queda preguntar por sus foros, el tema del UPNP y cómo instalar Qbittorrent mediante OPKG de Entware. En conclusión, router con WireGuard integrado y tan contento.

PD: Antes tenía una Rasp con PiVPN, pero petó y no carga...

Un cordial saludo.

MiguelAngel LV escribió:¿Quieres que el tráfico de tu casa salga por la VPN o conectarte a tu casa desde fuera con una VPN?

A mi entender, para el primer caso optaría por el router, para el segundo, la Raspberry.

La idea seria montar el servidor VPN en casa, si. Vamos, conectarme a casa desde fuera, exactamente.

En el router claro. Muchos routers te permiten configurar un servidor VPN. Claro, asumiendo que tengas ip estatica.

Si es ip dinamica. Te coges un dominio y lo apuntas a tu router. Despues corres un crontab dentro de casa cada 30 minutos, preguntando cual es su ip y actualizando el dominio si corresponde... Aunque capaz que te salga mejor pedirle a tu ISP una ip estatica.

@lovechii5 Y a ser posible WireGuard en vez de OpenVPN. A ti te iría bien un router Mikrotik.

Te recomiendo evitar usar los routers que tienen vpn integrado en su firmware. No suelen actualizarse muy a menudo y tener un servicio expuesto a internet y no tener la ultima versión de ese servicio es ir buscando problemas.

Yo uso un router con openwrt y lo mantengo actualizado de forma constante.

Tu pregunta no tiene sentido, averígualo tú mismo

Tener tu propia VPN tiene varios beneficios.

Puedes establecer bloqueos regionales, por países o ips.

Te permitirá tener tu propio bloqueador de anuncios y te dejará acceder a tu red interna.

Hace tiempo es mi configuración.

Tengo una máquina vieja, con Proxmox, donde tiene una máquina virtual con pfSense, configurado con eso que te mencione arriba y usando WireGuard en pfSense.

Las cámaras no tienen acceso a internet, pero sí puedo entrar a ellas por mi VPN.

PD: Sino tienes para un equipo viejo o se hace muy tedioso, busca un router que sea compatible con OpenWrt e instala algún programa que te permita hacer una VPN como WireGuard o OpenVPN

La cosa es que preguntaba que era mas seguro, no como hacerlo, porque esto mas o menos lo tengo por mano

ap3188 escribió:No me lo creo, sólo los ignorantes hacen preguntas estúpidas o irrelevantes

¿A que viene esto ahora?

Creo que tiene sentido la pregunta. No es lo mismo poner un servicio tipo VPN en el mismo router que en un dispositivo a parte y abrir un puerto. En términos de seguridad, sobretodo, donde el router es la puerta de entrada a tu casa.

Pero supongo que perdon por preguntar y ofenderte.

@lovechii5 empiezo por decir que no sé cual de las 2 configuraciones será mejor.

Uso un equipo determinado para alojar la VPN casera, tengo un puerto abierto en el router [distinto al de por defecto] y sólo permito el acceso a 1 determinado equipo de mi red interna, tengo los servicios que me interesan corriendo en ese equipo. El resto de dispositivos de la red inaccesibles, creo recordar que esto lo podías configurar en WG.

Por otro lado, tengo monitorizados los accesos y los intentos de acceso a la VPN, tipicas medidas de seguridad de fail2ban etc aunque llegue a leer que con WG todo esto no tenía demasiado sentido.

Contraseñas robustas y actualizarlas cada cierto tiempo

Newton escribió:@lovechii5 empiezo por decir que no sé cual de las 2 configuraciones será mejor.

Uso un equipo determinado para alojar la VPN casera, tengo un puerto abierto en el router [distinto al de por defecto] y sólo permito el acceso a 1 determinado equipo de mi red interna, tengo los servicios que me interesan corriendo en ese equipo. El resto de dispositivos de la red inaccesibles, creo recordar que esto lo podías configurar en WG.

Por otro lado, tengo monitorizados los accesos y los intentos de acceso a la VPN, tipicas medidas de seguridad de fail2ban etc aunque llegue a leer que con WG todo esto no tenía demasiado sentido.

Contraseñas robustas y actualizarlas cada cierto tiempo

Gracias

Yo lo montaria un wireward en un dispositivo aparte

En mi caso tengo un mini-pc con docker, con wireward y puerto expuesto en el router. Los demas servicios que aloja el mini-pc estan solo expuestos a cloudflare con un tunel, así se pueden bloquear directamente a bots y poner reglas como la de "solo accesible desde españa"

Pues me mirare lo del wireward.

Wireguard en Docker, super sencillo.

https://github.com/azagramac/wireguard-docker

Yo me volví loco buscando un programeja para usar WireGuard (cliente) en Linux y resulta que NetworkManager lo soporta. La de vueltas que he dado mae mia.

la parte servidor la tengo en una raspberry pi 4, y clientes, pues en android, en mac y en linux integrado con networkmanager, luego tengo cambiado la DNS para que pase por el adguardhome que tambien tengo en docker, y asi no tengo publicidad incluso fuera de casa. , y todo con DoT y DoH habilitado incluso por VPN.

AzagraMac escribió:la parte servidor la tengo en una raspberry pi 4, y clientes, pues en android, en mac y en linux integrado con networkmanager, luego tengo cambiado la DNS para que pase por el adguardhome que tambien tengo en docker, y asi no tengo publicidad incluso fuera de casa. , y todo con DoT y DoH habilitado incluso por VPN.

Yo tengo exactamente la misma topología de red salvo que donde tu tienes una Raspberry yo tengo un router MIkrotik. AdGuard Home en un Docker en el NAS. Y las DNS DoT de Cloudflare. Todo en perfecta armonía.

Pues voy a empezar a mirar estas cosas cuando tenga tiempo.

Hola. Nunca he usado una VPN y estoy interesado en aprender sobre ellas. Me interesa sobre todo para evitar la desconexión que provoca el proveedor cuando detecta ciertas conexiones P2P, pero ya que estamos, también para lo que se tercie.

He visto que existen por ejemplo servicios gratuitos como Proton VPN. ¿Qué tal funcionan? ¿Podría configurarse uno de estos servicios a nivel de router o para eso tendría que ser una versión Premium de los mismos?

Gracias.

lovechii5 escribió:

ap3188 escribió:No me lo creo, sólo los ignorantes hacen preguntas estúpidas o irrelevantes

¿A que viene esto ahora?

Creo que tiene sentido la pregunta. No es lo mismo poner un servicio tipo VPN en el mismo router que en un dispositivo a parte y abrir un puerto. En términos de seguridad, sobretodo, donde el router es la puerta de entrada a tu casa.

Pero supongo que perdon por preguntar y ofenderte.

No le prestes demasiada atención, se llaman "haters" y supongo que es algo que siempre ha habido y siempre habrá.

Ya solo es necesario que sepan que, ser hater sólo sirve para estar siempre enfadado, de mal humor.
Es triste no estar un poco más alegre y más triste no querer estar más alegre.

Haters gonna hate.

Hostia, pues tengo una orange pi 5 criando malvas y me parece que le voy a dar un uso de estos.

También he visto que la Opi5 tiene un firmware OpenWRT, voy a estudiarme el tema, pero vamos, que le doy caña a este asunto en breves.

Al final ni Orange Pi ni hostias, tenía un router OpenWRT por ahí guardado, lo he transformado a Switch y ahora estoy en el proceso de acabar de configurar el Wireguard que de momento tengo problemas, pero vamos, a base de cabezazos lo acabo de arreglar.

DJ Deu escribió:Al final ni Orange Pi ni hostias, tenía un router OpenWRT por ahí guardado, lo he transformado a Switch y ahora estoy en el proceso de acabar de configurar el Wireguard que de momento tengo problemas, pero vamos, a base de cabezazos lo acabo de arreglar.

Queria hacer esto en casa de mis padres, pero no he tenido el tiempo suficiente.

Una forma “sencilla” es buscarse un wg-easy, en github hay varios, bajo docker. Suele ser poco más que copiar un compose, configurarlo a los valores de uno mismo, y darle.

Luego instalar la app Wireguard en cada cliente y configurarlo con un fichero conf o código QR que te generan las imágenes mencionadas.

Útil si no puedes cambiar el firmare del router más si tienes algún chisme tipo RPi o incluso un NAS compatible docker.

Lo de sencilla entre comillas porque a veces las imágenes no funcionan, por ej he probado una que conecta pero no da internet y parece ser cosa de la última release porque en anteriores al parecer si funciona.

Aunque utilices VPN las aplicaciones que utilices podrían detectar que lo estás haciendo?

Me he estado pensando lo de la VPN porque en mi casa pago yo el DAZN pero ahora ya solo dejan un dispositivo y a veces estoy fuera de casa y lo quiero ver, pero también quiero que se pueda ver si hay alguien en casa.

Con la VPN en principio debería funcionar al utilizar la misma IP pero no sé si ellos tienen forma de detectarlo y bloquearlo o sancionarme. Al final si dejaran por lo menos unas pocas horas al mes en que puedes ver contenido desde 2 IP se solucionaría pero son tan ratas que ni eso.

@eric_14 detectar se puede detectar que son 2 dispositivos en el mismo hogar (o red) porque aunque sea la misma IP el puerto sería distinto. Pero vamos tu dale y si te “sancionan” por eso los mandas a tomar por saco y listo. A ver si ahora no vais a poder verlo en 2 TV distintos de la misma casa.

@darksch por eso no habría problema, es que no lo he explicado del todo bien, desde la misma IP puedes ver lo que quieras desde 3 dispositivos distintos pero si la IP es distinta solo puedes ver desde uno hasta que acabe el otro. También he visto que hay gente compartiendo netflix y eso de esta forma.

No me queda mucho de usar Dazn, pero por ahora aún puedo asumir el gasto.

También hay otras ventajas de usar el VPN con la raspberry y configurarte PI-Hole y demás, que hay más ventajas además de esta, así que aunque no sea para eso siempre le sacas alguna utilidad.

eric_14 escribió:También hay otras ventajas de usar el VPN con la raspberry y configurarte PI-Hole y demás, que hay más ventajas además de esta, así que aunque no sea para eso siempre le sacas alguna utilidad.

Pues probé el wg-easy “oficial” en la RPi y los clientes conectan pero no tienen internet. Si lo metes y funciona a ver si averiguas que podría fallar. Hay más gente con ese problema buscando.

@darksch al final he visto que el router (tuf ax5400) que tengo también tiene para VPN y con dos o tres clicks ya la tengo configurada con wireguard, además tiene soporte para DDNS así que ya lo tengo todo para lo del Dazn.
He probado un poco y por ahora me ha funcionado bien.

Me gustaría mirar lo de pi-hole también, para eso estoy mirando de iniciarlo en el NAS que tengo, un WD EX2 Ultra que he visto que le puedo instalar docker+portainer, probaré a ver aunque no tengo muchas esperanzas, sino habrá que comprar la raspberry si quiero tenerlo.

eric_14 escribió:Me gustaría mirar lo de pi-hole también, para eso estoy mirando de iniciarlo en el NAS que tengo, un WD EX2 Ultra que he visto que le puedo instalar docker+portainer, probaré a ver aunque no tengo muchas esperanzas, sino habrá que comprar la raspberry si quiero tenerlo.

Yo lo tengo corriendo en el NAS Qnap. Eso si cuidado con los tutoriales, que van muy alegres poniendo el modo de red Bridge para el contenedor y asignando una IP fija (lo normal para un servidor), y eso lo que hace es cambiar la IP del adaptador del propio NAS en sí, al menos en mi modelo. Previamente hay que crear un Switch Virtual para el adaptador de red a usar y entonces sí ya puede uno añadir contenedores con IP fijas en modo Bridge a ese switch virtual sin que fastidie la configuración del propio NAS.