OpenWrt: Securizar la red mediante VLANs

Podemos añadir un plus de seguridad a nuestra red separando dispositivos en diferentes subredes, por ejemplo, puedes separar los dispositivos móviles como teléfonos o tablets del resto de dispositivos conectados al router mediante cable, o utilizar los dos primeros puertos del switch del router para ser utilizados por tus servidores y el resto de puertos del switch para los demás dispositivos como pueden ser la TV o TVBox, de esta forma dejamos aislados los servidores del resto de la red.

Para mi ejemplo, voy a aislar la TV y la PSP4 de mis servidores, OpenmediaVault y LibreElec, el objetivo es que por la VLAN 1 vayan la TV y PSP4 y por la VLAN 20 los servidores.

Crear VLAN

Para configurar el Switch lo haremos desde el menú Red->/Switch/

Pulsa en añadir y crea una VLAN con ID 20, observa que la TV y la PSP4 los tengo conectados a los puertos 1 y 4 respectivamente y con estado desmarcado, los servidores a los puertos 2 y 3 y con estado desmarcado.

Si no sabes a que puerto has conectado un dispositivo, ve a la pantalla Switch dentro de la interfaz LuCi, veras como el puerto aparece con su respectiva velocidad, cuando desconectes el cable aparecerá sin enlace

Cuando termines pulsa en Guardar

Añadiendo interfaces a la VLAN

Ahora debemos de añadir una nueva interface para asociar la VLAN, para ello vamos al menú Red -> Interfaces y añadimos una nueva

Le damos un nombre, por ejemplo lan2, protocolo Dirección estática, permitimos enlazar varios interfaces, para permitir el acceso a internet, y ámbito de las interfafces eth0, es la VLAN 1, también aprovecho y todas las conexiones wifi por wlan0 también las asigno a lan2

No se te olvide pulsar en Guardar

Configuración DHCP

Ahora podemos configurar el servidor DHCP, para que asigne las dirección IP a los dispositivos que se conecten a este interface

El tramo de red para esta interface va a se la 192.168.2.0/24, la VLAN 20 tiene el rango 192.168.1.0/24

También podemos aprovechar y cambiar los servidores DNS que van a utilizar los dispositivos que se conezen a la interface

En mi caso configuro el servidor DHCP parar que empiece a dar direcciones a partir de la numero 2 hasta la 30 y renuve la asignación de direcciones cada 12 horas

Cortafuegos

Debes de tener una zona en el cortaafugos que permita el acceso de la interfaces lan2 a internet (WAN)

Espero que te haya gustado, pasa un buen día… 🐧