Mi nuevo esquema de red

Desde hace tiempo vengo planeando y afinando un nuevo esquema de red en casa, que me permita sortear las diferentes complicaciones que me han ido surgiendo. Para explicar cómo llego a la última solución, primero debo hablar sobre el actual diagrama, y sus carencias.

Actualmente, mi red consiste en una computadora de escritorio (Kalagan) que se encuentra prendida practicamente 7×24; mi laptop (Voldemort) que va y viene conmigo, y el nodo (Trantor), que ahora está medio quieto. Todo esto está unido por un Router/Firewall/AP/Switch marca NEXXT, que me conecta a internet mediante un modem ADSL de Anteldata.

Lo primero que podemos notar de este escenario, es que cualquiera puede conectarse a la red, y salir a internet, ya que mi red se encuentra totalmente abierta, y entrega dhcp en el rango 10.71.1.0/27. De antemano descarto mecanismos de seguridad ineficientes e incompatibles como WEP y WPA en cualquiera de sus sabores.

Con el nuevo esquema, ya no utilizo el AP para conectarme a internet, sino que este es simplemente un switch más de la red.

Ahora, mi router/firewall pasará a ser Trantor (qué mejor que la capital del imperio para realizar esta tarea). Este servidor contará con 2 interfaces inalámbricas, y 2 intefrases cableadas.

Las interfaces inalámbricas cumplirán la función de unir este nodo con el resto de MontevideoLibre, siendo una de ellas modo Master, y la otra modo Managed.

Las interfaces cableadas estarán conectadas una directamente al AP NEXXT, y la otra al modem ADSL. De esta forma, Trantor será el punto neurálgico de la red, que cumplirá diferentes funciones.

Desde el punto de vista de la seguridad, Trantor se encargará de separar la red física en 2 redes lógicas, como se describe a continuación:

• Por un lado será el encargado de entregar direcciones IP en el rango 10.71.1.0/27 para la interfase inalámbrica en modo master (es decir los clientes del nodo). También entregará direcciones IP en el rango 10.71.5.0/27 por la interfaces cableada conectada al AP, de manera que la red interna de casa trabajará con direcciones de MontevideoLibre.
• Otro de los servicios del nodo será un OpenVPN, que permitirá conectar en una red virtual privada (que llamaremos VPN DKLIGHT) ciertos equipos de mi red particular, estén dentro de mi casa o no.
• El firewall se encargará de unir la interfase cableada que se conecta al modem con la red VPN. De esta forma, sólo los equipos dentro de la VPN DKLIGHT tendrán acceso a internet. Todo paquete desde cualquier dirección fuera de VPN DKLIGHT con destino internet, será descartado.
• A su vez, otra instancia de OpenVPN se conectará con el servidor de mi trabajo (VPN IPCONTACT), uniendo ambas redes virtuales. De esta forma, los equipos de la red doméstica que se encuentren dentro de la VPN DKLIGHT, podrán llegar a los servidores de mi trabajo (VPN IPCONTACT). Esta es una configuración muy conveniente que se viene manejando desde hace algún tiempo para poder trabajar de forma cómoda.
• Por último, algunos servicios que correrá el nodo serán accesibles tanto desde MontevideoLibre como desde Internet. Algunos ejemplos son:
  • Gobby
  • TEG
  • GNUMp3d