Esta guía proporciona instrucciones detalladas para asegurar el acceso remoto a su router OpenWRT utilizando DNS dinámico (DDNS) con No-IP y VPN con ZeroTier. El script proporcionado automatiza el proceso de instalación y configuración, permitiendo a los usuarios acceder remotamente a sus routers desde cualquier lugar.
Para soporte adicional, por favor visite el Foro OpenWRT.
Para soporte adicional, por favor visite el Foro OpenWRT.
Requisitos previos
- Router OpenWRT: Asegúrese de que su router está ejecutando OpenWRT 19.07.
- Cuenta No-IP: Cree una cuenta en No-IP o en cualquier otro servicio de DNS dinámico.
- Cuenta ZeroTier: Cree una cuenta en ZeroTier.
- Acceso SSH: Asegúrese de que ha habilitado el acceso SSH a su router.
1. Cree un nombre de host No-IP
Cree una cuenta No-IP:
- Vaya al sitio web de No-IP y cree una cuenta.
Cree un nombre de host:
- Acceda a su cuenta No-IP.
- Vaya a la sección "Dynamic DNS" (DNS dinámico).
- Haga clic en "Add a Hostname" (Añadir un nombre de host).
- Introduzca un nombre de host (por ejemplo, deadtest) y elija un dominio (por ejemplo, ddns.net).
- Haga clic en "Add Hostname" (Añadir nombre de host).
2. Prepare el script
Guarde el siguiente script como setup_remote_access.sh en su máquina local y por favor haga cambios en las siguientes variables:
- Descargar Script: setup_remote_access.sh
# Definir variablesNETWORK_ID='<cadena de ID de red>' # Sustituir por el ID de red realDOMAIN='<nombre de host No-IP>' # Nombre de host No-IPUSERNAME='<Nombre de usuario NO EMAIL!>' # Sustitúyalo por su dirección de correo electrónico No-IPPASSWORD='<nombre de usuario contraseña>' # Sustitúyalo por su contraseña No-IP
3. Ejecute el Script.
- Cargue el script: Suba el script setup_remote_access.sh a su router. Reemplace <router_ip> con la dirección IP de su router.
scp setup_remote_access.sh root@<router_ip>:/tmp/
-
Ejecute el script en el router:
ssh root@<router_ip>sh /tmp/setup_remote_access.sh
4. Autorice el dispositivo en ZeroTier Central.
-
Inicie sesión en ZeroTier Central:
- Vaya al panel de ZeroTier Central e inicie sesión.
-
Autorice el dispositivo:
- Busque el dispositivo en la red especificada y autorícelo.
5. Verifique la configuración.
En el Router:
- Compruebe el estado de DDNS:
/etc/init.d/ddns status
- Fuerce la actualización DDNS:
/usr/lib/ddns/update_noip.sh
- Compruebe el estado de ZeroTier:
zerotier-cli status
zerotier-cli listnetworks
En su máquina local:
- Verifique la actualización DDNS:
nslookup deadtest.ddns.net
- Pruebe el acceso SSH:
- A través de DDNS Hostname:
- A través de la dirección IP ZeroTier:
ssh root@<zerotier_ip_address>
-
Problemas DDNS:
- Asegúrese de que las credenciales No-IP son correctas.
- Compruebe que el script de actualización DDNS es ejecutable.
- Compruebe si hay errores en el registro de actualización de DDNS (/var/log/ddns/).
-
Problemas ZeroTier:
- Asegúrese de que el servicio ZeroTier se está ejecutando.
- Compruebe que el dispositivo está autorizado en ZeroTier Central.
- Compruebe si hay problemas de conectividad de red.
-
Problemas de acceso SSH:
- Asegúrese de que el servicio SSH se está ejecutando (/etc/init.d/dropbear status).
- Compruebe que las reglas del cortafuegos están configuradas correctamente para permitir el acceso SSH.
Siguiendo esta guía, puede configurar un acceso remoto seguro a su router OpenWRT utilizando No-IP DDNS y ZeroTier VPN. Esta configuración le permite administrar su router desde cualquier lugar con una conexión a Internet, proporcionando comodidad y seguridad.
Para mejorar la seguridad y minimizar el riesgo de ataques de fuerza bruta, se recomienda utilizar pares de claves SSH en lugar de contraseñas para la autenticación.
Generar un par de claves SSH
En su máquina local, genere un par de claves SSH si aún no tiene una:
-
ssh-keygen -t rsa -b 4096 -C "[email protected]"
Esto creará una clave pública (~/.ssh/id_rsa.pub) and a private key (~/.ssh/id_rsa).
Copie la clave pública en el router
Copie y pegue su clave pública en el router (https://192.168.1.1/cgi-bin/luci/admin/system/admin/sshkeys).
-
cat ~/.ssh/id_rsa.pub
Desactive la autenticación por contraseña
Después de copiar la clave pública, desactive la autenticación de contraseña en el router para evitar ataques de fuerza bruta:
- Edite la configuración de Dropbear:
vi /etc/config/dropbear
- Modifique la configuración para desactivar la autenticación por contraseña: Añada la siguiente línea o modifíquela si ya existe:
config dropbear option PasswordAuth 'off' option RootPasswordAuth 'off'
- Reinicie el servicio Dropbear:
/etc/init.d/dropbear restart
Pruebe la autenticación de clave SSH
Intente acceder por SSH a su router para asegurarse de que la autenticación basada en clave funciona y la autenticación por contraseña está desactivada:
-
ssh root@<router_ip>
Si la autenticación tiene éxito sin pedir una contraseña, entonces la autenticación basada en clave SSH está configurada correctamente.

