Hola
He instalado en mi red wifi un servidor con Home Assistant. Para acceder a él he abierto los puertos 80 y 443 en TCP/UDP, pero no consigo conectarme.
¿He de realizar alguna otra parámetro avión en el router?
un saludo y gracias
Hola Alfonso Ruiz.
¿Podrías confirmarnos si la información facilitada por Theliel, al que agradecemos su aportación, ha servido de ayuda para la consulta que nos realizas, por favor?
Un saludo.
Angela.
Hola Alfonso Ruiz
Vemos que has aceptado la solución, te lo agradecemos.
Por nuestra parte, procedemos a cerrar este hilo y quedamos a tu disposición para cualquier otra consulta o incidencia que tengas mas adelante.
Un saludo.
Nacho.
Hola Alfonso Ruiz.
¿Podrías confirmarnos si la información facilitada por Theliel, al que agradecemos su aportación, ha servido de ayuda para la consulta que nos realizas, por favor?
Un saludo.
Angela.
Buscare más a fondo en las opciones entonces.
Buenas pytness
Ya te lo he comentado, creo. Con independencia de que es, literalmente, dejar en manos de hackers y usuarios mal intencionados todos tus dispositivos domóticos, depende del modelo de HGU que se tenga, firmware y otros. Alguno lo cambia de forma automática si se intenta forzar. Otros tienen en el menu avanzado una opción para cambiarlo.
Pero te repito... en cualquier caso, créeme, no es exageración o un aviso generalista, antes de que te des cuenta están accediendo a tu red como pepito por su casa, suerte si te das cuenta de ello incluso. Solo hay que pasarse por el buscador de shodan y hacerte una idea..... y shodan es público, con lo que...
Buenas Alfonso Ruiz
El Firewall del Router, el apartado que habla de él, es en su mayor parte para modificar las reglas de "entrada" al Router. Esto por lo general es una confusión habitual. En redes tenemos 3 tipos de tráfico diferente: Entrante, Reenviado y Saliente. Todo ello es siempre desde el punto de vista del Router. El tráfico entrante es el que está dirigido al propio Router. El tráfico saliente es el tráfico que GENERA el propio Router y lo envía hacia algún destino. Y el tráfico reenviado es el que el Router recibe de una red y lo encamina hacia otra.
Casi todo el tráfico, por ejemplo, que genera tu red local hacia Internet, es tráfico reenviado, porque es tráfico que se envía desde una red 192.168.1.0/24 hacia Internet. Casi todo el tráfico que recibes desde Internet es también del mismo tipo, es tráfico destinado a tus dispositivos. El tráfico Entrante sería por ejemplo el tráfico que tu generas cuando te conectas al Router, es decir, el destino es el Router mismo. O cuando desde el exterior, desde Internet, alguien desea conectarse al Router. Pero cuando rediriges un puerto para permitir una conexión remota a un dispositivo de tu red local, es tráfico reenviado.
Esto puede parecer una tontada, pero por lo general los Firewall de los Router son filtros aplicados al tráfico de entrada, no reenviado. Es decir al tráfico cuyo destino es el Router. Por ende, no tiene ninguna utilidad por lo general modificar las reglas del Firewall si lo que se quiere es impedir o permitir el tráfico de cierto tipo a tu red local. Es cierto que algunos Router permiten crear reglas también para el tráfico reenviado, o el tráfico entre el Router y tus dispositivos de la red local, pero por lo general vamos a decir que a menos que quieras permitir o denegar un tipo de tráfico específico HACIA el propio Router (no tu red local), no tienes que tocar el FW para nada, dejarlo como está sin más.
Todo lo que implica redirección de puertos, suele ser más que suficiente con abrir el puerto necesario. En el ejemplo anterior, podrías por ejemplo añadir simplemente una regla que sea puerto externo 21000 puerto interno 8123 a la IP del HA (por poner un ejemplo), y simplemente desde fuera tendrías que especificar el 21000 y 8123 desde dentro. Si esto es un "problema", porque es un lío tener dos configuraciones diferentes, gracias a NAT Loopback deberías de poder configurar incluso para uso interno la IP/DDNS externa y puerto externo para conectarte a tu dispositivo en red local
Hola
Muchas gracias por la información, modificaré los puertos como indicas.
Si cambio a otros puertos, aparte de abrir los mismos en el router¿debo haber alguna parametrización mas, como p.e. firewall…?
un saludo
Buenas Alfonso Ruiz
El primer problema con el que te enfrentas, y esto es totalmente al margen del resto de cuestiones, es que querer abrir el puerto externo 80/433 hacia el interior de tu red local, para exponer dicho Home Assistant hacia Internet, es una auténtica barbaridad, como si es el 8123 que es su puerto por defecto. JAMAS, y repito, JAMAS se debe de exponer un servicio conocido hacia Internet en entornos domésticos, y más aun usando equipamiento doméstico y sin conocimientos en seguridad para saber como blindar la seguridad. Dicho de otro modo, si expones HA en algún puerto conocido, como pueda ser 850/443/8123... en pocas semanas/meses tu domótica estará siendo más que probablemente manipulada por cualquier red zombie/hackers etc etc etc, es como poner un cartel luminoso en la puerta.
SIEMPRE usar un puerto externo alto no conocido, por ejemplo el 20000. Esto no hace que el servidor sea invisible, obviamente, pero automáticamente se está a salvo de cualquier ataque indiscriminado, que en esencia son el 99.99%, puesto que no es rentable ni asumible realizar escaneos completos, a menos que se busque un objetivo concreto a dedo. Y realmente la única diferencia en usar un puerto externo alternativo, es que la aplicación o el acceso externo en caso de querer habilitarlo (que tampoco lo recomiendo por seguridad) se debe de especificar el nuevo puerto, nada más. Internamente se puede quedar con el puerto que sea.
------------
Dejando todo ello a un lado, la otra cuestión. El Router usa para uso propio interno algunos puertos, como el 80/443/22 y alguno más. Esto es así porque el Router levanta los servicios en dichos puertos. Por ejemplo el servidor Web del Router escucha en el puerto 80/443 para su gestión y configuración remota por parte de Movistar. Ergo no pueden usarse para otros fines, y como he dicho personalmente como efecto colateral me parece genial que el usuario medio no pueda usar dichos puertos para sus propios intereses, termina siendo un disparo en el pie.
Dependiendo del modelo de HGU, de la interfaz desde donde se intente hacer y otras artes, se puede lograr poder usarlos. No siempre, ni todos los modelos. Pero ya te digo que en cualquier caso, es cuanto menos casi un suicidio, puesto que antes o después te piratean el servidor.
Hola
Desde mi wifi no tengo problema en conectarme al servidor, ni tampoco a Home Assistant. Los dispositivos se conectan también con la aplicación sin ningún problema ( están en la red 2.4Ghz).
Quizás antes no me he expresado bien, la cuestión es que desde fuera de casa no me puedo conectar con mi servidor y a Home Assistant, a través de la puerta 80 y 443.
Un saludo
Hola Alfonso Ruiz.
¿Podrías confirmarnos si el fallo es que no conecta a la red wifi o que no reconoce Home Assitant la conexión de los dispositivos que deseas asociar, por favor?
Un saludo.
Angela.
