{"id":1885,"date":"2017-03-10T11:56:10","date_gmt":"2017-03-10T17:56:10","guid":{"rendered":"https:\/\/www.lastdragon.net\/?p=1885"},"modified":"2017-03-11T11:19:29","modified_gmt":"2017-03-11T17:19:29","slug":"protege-tu-modem-protege-tus-computadoras-en-casa-y-cifra-tu-conexion-a-internet","status":"publish","type":"post","link":"https:\/\/www.lastdragon.net\/?p=1885","title":{"rendered":"Protege tu modem, protege tus computadoras en casa y cifra tu conexi\u00f3n a internet"},"content":{"rendered":"<p>La siguiente configuraci\u00f3n cifra todas las conexiones salientes a internet, quien espi\u00e9 el flujo de datos no podr\u00e1 ver el contenido de conexiones ni siquiera la que por default van desprotegidas como las <em>http<\/em> u otras, al menos no podr\u00e1n ser espiadas desde el pa\u00eds de origen.<\/p>\n<p><strong>Diagrama de conexi\u00f3n.<\/strong><\/p>\n<p><a href=\"https:\/\/www.lastdragon.net\/misarchivos\/pppoe-bridge\/Diagrama1.jpeg\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.lastdragon.net\/misarchivos\/pppoe-bridge\/Diagrama1.jpeg\" alt=\"Cifrar conexiones a Internet\" width=\"425\" height=\"350\" \/><\/a><\/p>\n<p><strong>Explicaci\u00f3n en video.<\/strong><\/p>\n<p><iframe loading=\"lazy\" width=\"560\" height=\"315\" src=\"https:\/\/www.youtube.com\/embed\/PFjwYyi5D1c\" frameborder=\"0\" allowfullscreen><\/iframe><\/p>\n<p><strong>Requerimientos<\/strong><\/p>\n<p>1 computadora con al menos 1 tarjeta de red, GNU\/Linux ( Aqu\u00ed uso CentOS 7 )<br \/>\n2 modem dsl en modo bridge o puente<br \/>\n3 un servidor VPS de azure, linode o de cualquier proveedor en la nube en el pa\u00eds al que se desee usar como salida ( peering ) ( aqu\u00ed uso CentOS 7 )<\/p>\n<p><strong>Configuraci\u00f3n del modem<\/strong><\/p>\n<p>1 Llamar al ISP ( aqu\u00ed telmex ) para obtener las claves de conexi\u00f3n PPPoE<br \/>\n2 Entrar a la consola WEB del modem para cambiar la conexi\u00f3n a internet a modo bridge<br \/>\n3 Desactiva el servicio de dhcp en el modem<\/p>\n<p><strong>Configuraci\u00f3n de la computadora en casa como servidor firewall y de cifrado<\/strong><\/p>\n<p>1 Instalar GNU\/Linux<br \/>\n2 Instalar los script de administraci\u00f3n de PPPoE con: yum install rp-pppoe<br \/>\n3 Configurar en la tarjeta de red la red ip que usara la LAN tradicionalmente es 192.168.1.0\/24 pero a mi me gusta complicar las cosas para los script kiddies , en ese ejemplo uso la red 172.16.0.0\/24 a la tarjeta de red le he colocado 172.16.0.254<br \/>\n4 Conectar la tarjeta de red al puerto ethernet 1  del modem dsl<br \/>\n5 Configurar la conexi\u00f3n PPPoE con: pppoe-setup<br \/>\n6 Realizar la conexi\u00f3n a internet del servidor con: pppoe-connect o pppoe-start<\/p>\n<p><strong>Contratar un VPS<\/strong> <\/p>\n<p>1 Para este ejemplo contrato un VPS en Frankfurt, Alemania con Linode ( CentOs 7 )<br \/>\n2 Interconectar el servidor firewall en casa con el vps via VPN ( aqu\u00ed uso OpenVPN )<br \/>\n3 IP configuradas  en VPN 200.30.30.1 en Alemania y 200.30.30.2 en firewall local\/casa<br \/>\n4 Permitir reenv\u00edo de paquetes en el VPS con: echo &#8220;1&#8221;  > \/proc\/sys\/net\/ipv4\/ip_forward<\/p>\n<p><strong>Reglas de ruteo en el firewall local\/casa<\/strong><\/p>\n<p>1 Se limpia cualquier regla de firewall o nat que pudiera tener el kernel por default<\/p>\n<p>iptables -t filter -F<br \/>\niptables -t nat -F<\/p>\n<p>2 Se declara una ruta a la ip vpn del servidor vps con la tabla 100 para este ejemplo y reenv\u00edo de paquetes<br \/>\necho &#8220;1&#8221;  > \/proc\/sys\/net\/ipv4\/ip_forward<br \/>\nip route add default via 200.30.30.1 dev tun0 table 100<\/p>\n<p>3 Se declara una regla para cada ip de la red LAN que vaya a conectar de forma segura<\/p>\n<p>ip rule add from 172.16.0.10 table 100<br \/>\nip rule add from 172.16.0.11 table 100<br \/>\nip rule add from 172.16.0.12 table 100<\/p>\n<p><strong>Configuraci\u00f3n de DHCP en el servidor de firewall<\/strong><\/p>\n<p>Ya que se desactivo el servicio DHCP en el modem habr\u00e1 que darlo por medio de GNU\/Linux<\/p>\n<p>subnet 172.16.0.0 netmask 255.255.255.0 {<br \/>\n              range 172.16.0.10 172.16.0.253;<br \/>\n              option subnet-mask 255.255.255.0;<br \/>\n              option broadcast-address 172.16.0.255;<br \/>\n              option routers 172.16.0.254;<br \/>\n              option domain-name-servers 8.8.8.8;<br \/>\n              option domain-name &#8220;firewall.lastdragon.net&#8221;;<\/p>\n<p>            }<\/p>\n<p><strong>Reglas de NAT en el VPS<\/strong><\/p>\n<p>iptables -t filter -F<br \/>\niptables -t nat -F<\/p>\n<p>iptables -t nat -A POSTROUTING -j MASQUERADE<\/p>\n<p>Desactivar el trafico seguro v\u00eda VPN<\/p>\n<p>En caso de que se requiera dejar de usar la VPN y sacar la conexi\u00f3n por el ISP de forma tradicional,  se deben borrar las reglas ip y de ruteo a la VPN <\/p>\n<p>ip route del default via 200.30.30.1 dev tun0 table 100<br \/>\nip rule del from 172.16.0.10 table 100<br \/>\nip rule del from 172.16.0.11 table 100<br \/>\nip rule del from 172.16.0.12 table 100<\/p>\n<p>Para obtener NAT en el firewall local\/casa<br \/>\niptables -t nat -A POSTROUTING -j MASQUERADE<\/p>\n<p><strong>Im\u00e1genes<\/strong><\/p>\n<p><a href=\"https:\/\/www.lastdragon.net\/misarchivos\/pppoe-bridge\/linode.jpg\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.lastdragon.net\/misarchivos\/pppoe-bridge\/linode.jpg\" alt=\"Cifrar conexiones a Internet\" width=\"425\" height=\"350\" \/><\/a><\/p>\n<p><a href=\"https:\/\/www.lastdragon.net\/misarchivos\/pppoe-bridge\/bridge.jpg\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.lastdragon.net\/misarchivos\/pppoe-bridge\/bridge.jpg\" alt=\"Cifrar conexiones a Internet\" width=\"425\" height=\"350\" \/><\/a><\/p>\n<p><a href=\"https:\/\/www.lastdragon.net\/misarchivos\/pppoe-bridge\/bridge2.jpg\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.lastdragon.net\/misarchivos\/pppoe-bridge\/bridge2.jpg\" alt=\"Cifrar conexiones a Internet\" width=\"425\" height=\"350\" \/><\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>La siguiente configuraci\u00f3n cifra todas las conexiones salientes a internet, quien espi\u00e9 el flujo de datos no podr\u00e1 ver el contenido de conexiones ni siquiera la que por default van desprotegidas como las http u otras, al menos no podr\u00e1n ser espiadas desde el pa\u00eds de origen. Diagrama de conexi\u00f3n. Explicaci\u00f3n en video. Requerimientos 1&#8230;<\/p>\n","protected":false},"author":1,"featured_media":1888,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2],"tags":[],"class_list":["post-1885","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-consultoria-y-manuales"],"_links":{"self":[{"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=\/wp\/v2\/posts\/1885","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1885"}],"version-history":[{"count":4,"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=\/wp\/v2\/posts\/1885\/revisions"}],"predecessor-version":[{"id":1890,"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=\/wp\/v2\/posts\/1885\/revisions\/1890"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=\/wp\/v2\/media\/1888"}],"wp:attachment":[{"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1885"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1885"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1885"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}