Archivo

Entradas Etiquetadas ‘apertura de puertos’

Asus RT-AC66U_B1 haciendo de cliente de VPN

sábado, 4 de abril de 2020 Sin comentarios

Haciendo uso del firmware de Asuswrt-Merlin se permiten hacer ciertas cosas bastante provechosas. En otra entrada comenté cómo montar un cliente OpenVPN bajo Proxmox y que no consumiese excesivos recursos, pero seguía sin ser todo lo óptimo que deseaba. Al final me decanté por dejar dicha carga al servicio de un router libre de Asus.

Lo primero de todo es ir a la sección «VPN->Cliente VPN» y configurar los parámetros según nuestro proveedor. Una vez en marcha y habiendo marcado la opción de «Force Internet traffic through tunnel» como «Policy Rules (strict)», podremos añadir la IP de las máquinas que queramos que pasen por dicha VPN.

Si además necesitamos redirigir puertos, la cosa de complica un poco más. Necesitaremos habilitar el acceso por ssh a nuestro router desde «Administración->Sistema->Enable SSH» y también habilitar la partición JFFS desde «Administración->Sistema->Enable JFFS custom scripts and configs». Accederemos por ssh con nuestro login habitual de la interfaz web y crearemos un nuevo fichero:

nano /jffs/scripts/nat-start

En él introduciremos reglas de enrutado:

#!/bin/sh

DEV=»tun11″
PROTO=»tcp»
EXT_PORT=»50001″
INT_IP=»192.168.1.100″
INT_PORT=»22″

ipt() {
# precede insert/append w/ deletion to avoid dupes
while iptables ${@/-[IA]/-D} 2> /dev/null; do :; done
iptables $@
}

# create internal port forward
ipt «-t nat -I PREROUTING -i $DEV -p $PROTO –dport $EXT_PORT -j DNAT –to $INT_IP:$INT_PORT»
ipt «-I FORWARD -i $DEV -p $PROTO -d $INT_IP –dport $INT_PORT -j ACCEPT»

exit 0

El parámetro «tun11» equivaldría al primer cliente de VPN configurado en nuestro router y el script debería funcionar sin problemas como se indica en este foro de donde lo saqué nada más reiniciar el router. Pero a mi no me funcionó, es más, perdía toda la conectividad hacia el exterior. Lo acabé solucionando dejando simplemente una línea tras mucho probar:

iptables -t nat -I PREROUTING -i tun11 -p tcp –dport 50001 -j DNAT –to 192.168.1.100:22