Foro

Avatar de mgarzon
mgarzon
Yo probé el VDSL
17-01-2024
Resuelto

dynamic dns en askey rtf8115vw

Hola, tengo el router askey rtf8115vw y tengo configurado ddns con noip pero no consigo que funcione.

Desde la red interna, la dirección publica en el navegador abre la web del router, pero con el nombre de host no se abre. Asi mismo hago ping y responde la ip publica pero no el nombre de host.

Desde la red externa, en el navegador no se accede ni por ip ni por host, pero si responde al ping tanto la ip publica como el nombre host y tambien completa las trazas ejecutando tracert.

Que puede estar pasando?

Gracias.

  • Avatar de Theliel
    Theliel
    18-01-2024

    Buenas mgarzon 

     

    Es cierto que no todos los dispositivos pueden ser Zigbee, sobre todo cualquiera que requiera un ancho de banda algo más elevado o una conexión IP real. No obstante de algunos dispositivos que citas, no deberían de ir por WIFI, como las TV por ejemplo. Las cámaras... si son de uso fijo es bueno que tb estén por cable, además pueden generar bastante tráfico, dependiendo de como sean o como funcionen.

     

    Otro problema que veo son nodos Mesh, las redes Mesh en entornos domésticos, pese a que se quieren vender como solución, son un enemigo para las redes domésticas y no aportan realmente nada que no pueda hacer un AP en condiciones. Generan una buena gran cantidad de problemas en cantidad de escenarios, y si los combinas con domótica mucho más. Los Repetidores y más aun los nodos Mesh tienen enormes problemas con el tráfico Multicast/Broadcast, tienden a saturar toda la red y sino en el mejor de los casos ralentizar mucho toda la conexión WIFI. Si encima, que no digo que sea tu caso, se tienen dispositivos domóticos/IoT que sean susceptibles a generar este tipo de tráfico... con seguridad el Deco de Movistar, pero hay muchos otros dispositivos Domóticos/IoT que les encanta, y esto es un problema y gordo.

     

    -----------------------

     

    Dejando todo ello a un lado, el problema es que no puedes de forma selectiva habilitarlo o deshabilitar la regla en el FW, con lo que eso lastra enormemente su usabilidad. A ver, si puedes quitarlo y ponerlo, me refiero a una preprogramación. Teniendo en cuenta que si lo quitas de forma remota, no puedes acceder luego de forma remota hasta que no se habilita desde casa. Dependiendo del modelo, en todo caso podrías intentar aumentar la seguridad modificando el puerto externo si te lo permite el Router, en vez de usar el 443 usar otro diferente alto. Que esa es otra cuestión importante, ni se te ocurra acceder jamás de forma remota por el puerto 80, donde los datos se intercambian en plano, o dicho de otro modo cualquiera podría de forma sencilla robarte usuario y contraseña además.

     

    Sobre las aplicaciones, son aun peor. Estas pueden funcionar de dos modos. O son simplemente un wrapper de la interfaz Web, donde todo va por peticiones HTML en cualquier caso, o usan una API propia para ello. Lo primero estaríamos en el mismo caso que lo anterior, lo segundo es un peligro mayor, ya que o tiene el Router otro puerto y servicio en funcionamiento y nos conectamos a él directamente, o es la empresa quien se conecta a él y nosotros a la empresa... que sería aun peor.

     

    Cuanto menos servicios y exposición tengan nuestros dispositivos, mucho mejor. Cuantos inconscientemente hacen uso de sus NAS o de Home Assistant ahora tan de moda, y lo exponen a Internet como si tal cosa.... y están dando acceso a toda  su red y dispositivos a sabe dios quien. Deja deja. Todo lo más oculto posible y un poco de cabeza, que a día de hoy es la mejor protección. Eso no significa que no se puedan hacer uso de ciertos servicios con relativa seguridad, sí, se puede, pero obviamente hay que tomar medidas al respecto y ver las diferentes opciones.

     

    Saludos.

8 Respuestas

  • Avatar de mgarzon
    mgarzon
    Yo probé el VDSL
    21-01-2024

    Hola,

    bueno, al menos se que el ddns funciona. Estudiaré la forma de acceder desde fuera para cuando lo necesite poder usarlo. Es cuestión de sopesar pros y contras de hacer el router accesible al exterior. Está claro que permanentemente no lo voy a hacer pero para situaciones puntuales puede que si. Si es que averiguo como.

    Gracias por todo. Un saludo

  • Avatar de Técnico-Movistar
    Técnico-Movistar
    Responsable Técnico
    20-01-2024

    Hola mgarzon 

     

    Agradecemos a Theliel su colaboración y esperamos que sus aportes te hayan servido de ayuda. Confirmarte en todo caso que el hilo sigue abierto y a tú disposición para poder recibir nuevos aportaciones de la Comunidad.

     

    Un saludo.

     

    Fernando.

  • Avatar de Theliel
    Theliel
    Yo probé el VDSL
    18-01-2024

    Buenas mgarzon 

     

    Es cierto que no todos los dispositivos pueden ser Zigbee, sobre todo cualquiera que requiera un ancho de banda algo más elevado o una conexión IP real. No obstante de algunos dispositivos que citas, no deberían de ir por WIFI, como las TV por ejemplo. Las cámaras... si son de uso fijo es bueno que tb estén por cable, además pueden generar bastante tráfico, dependiendo de como sean o como funcionen.

     

    Otro problema que veo son nodos Mesh, las redes Mesh en entornos domésticos, pese a que se quieren vender como solución, son un enemigo para las redes domésticas y no aportan realmente nada que no pueda hacer un AP en condiciones. Generan una buena gran cantidad de problemas en cantidad de escenarios, y si los combinas con domótica mucho más. Los Repetidores y más aun los nodos Mesh tienen enormes problemas con el tráfico Multicast/Broadcast, tienden a saturar toda la red y sino en el mejor de los casos ralentizar mucho toda la conexión WIFI. Si encima, que no digo que sea tu caso, se tienen dispositivos domóticos/IoT que sean susceptibles a generar este tipo de tráfico... con seguridad el Deco de Movistar, pero hay muchos otros dispositivos Domóticos/IoT que les encanta, y esto es un problema y gordo.

     

    -----------------------

     

    Dejando todo ello a un lado, el problema es que no puedes de forma selectiva habilitarlo o deshabilitar la regla en el FW, con lo que eso lastra enormemente su usabilidad. A ver, si puedes quitarlo y ponerlo, me refiero a una preprogramación. Teniendo en cuenta que si lo quitas de forma remota, no puedes acceder luego de forma remota hasta que no se habilita desde casa. Dependiendo del modelo, en todo caso podrías intentar aumentar la seguridad modificando el puerto externo si te lo permite el Router, en vez de usar el 443 usar otro diferente alto. Que esa es otra cuestión importante, ni se te ocurra acceder jamás de forma remota por el puerto 80, donde los datos se intercambian en plano, o dicho de otro modo cualquiera podría de forma sencilla robarte usuario y contraseña además.

     

    Sobre las aplicaciones, son aun peor. Estas pueden funcionar de dos modos. O son simplemente un wrapper de la interfaz Web, donde todo va por peticiones HTML en cualquier caso, o usan una API propia para ello. Lo primero estaríamos en el mismo caso que lo anterior, lo segundo es un peligro mayor, ya que o tiene el Router otro puerto y servicio en funcionamiento y nos conectamos a él directamente, o es la empresa quien se conecta a él y nosotros a la empresa... que sería aun peor.

     

    Cuanto menos servicios y exposición tengan nuestros dispositivos, mucho mejor. Cuantos inconscientemente hacen uso de sus NAS o de Home Assistant ahora tan de moda, y lo exponen a Internet como si tal cosa.... y están dando acceso a toda  su red y dispositivos a sabe dios quien. Deja deja. Todo lo más oculto posible y un poco de cabeza, que a día de hoy es la mejor protección. Eso no significa que no se puedan hacer uso de ciertos servicios con relativa seguridad, sí, se puede, pero obviamente hay que tomar medidas al respecto y ver las diferentes opciones.

     

    Saludos.

  • Avatar de mgarzon
    mgarzon
    Yo probé el VDSL
    18-01-2024

    Hola, la domótica la tengo por zigbee pero hay cosas que no implementan ese protocolo como cámaras, teles, dispositivos de amazon, amplificadores mesh, en total son 15 o 16 que tampoco son tantos como para que se sature el router, pero tampoco me extrañaria que si lo fueran.

    Buscaré en el firewall, tampoco es que necesite que esté siempre abierto, sólo en periodos de vacaciones para poder controlar el sistema desde fuera. El resto del tiempo lo cerraría.

    Tambien he probado el sistema de los router tplink que usan su propia app para permitir la conexión remota, algo parecido a la app de movistar que a mi no me funciona al ser de O2.

    Un saludo

  • Avatar de Theliel
    Theliel
    Yo probé el VDSL
    18-01-2024

    Buenas mgarzon 

     

    Pues aprovechar para decirte que el principal problema que tienes es tener conectada la domótica por WIFI. WIFI no se creó para ello, hay protocolos y tecnologías específicas para ellos, como es Zigbee. Es un problema habitual el que comentas, y no precisamente por cortes de luz, sino porque si tienes un número elevado de dispositivos WIFI, DHCP que es el protocolo usado para la asignación de los datos de interconexión se colapsa, porque usa Broadcast. O dicho de otro modo, en cada reinicio del Router, a la red le puede costar la misma vida volver a funcionar. Este problema lo vas a tener siempre, sin contar con muchos otros que se derivan de tener un número elevado de estos dispositivos conectados a WIFI.

     

    ----------

     

    Con respecto a la seguridad, no se trata de poner una contraseña compleja, que podemos considerar como algo imprescindible, se trata de que dejas accesible al Router. Simplemente por estar expuesto, puede ser atacado. El primer riesgo de cualquier dispositivo hacia internet, es estar expuesto. Por eso el Router tiene un Firewall propio, los dispositivos tienen el suyo... exponer el servidor Web del Router implica que cualquiera en Internet puede bombardearlo en busca de credenciales válidas, o peor aun, encontrar un exploit para acceder a él o modificarlo, sin requerir siquiera contraseña. Más aun cuando el Router usará el puerto por defecto para el acceso Web.

     

    ------------------------------------------------

     

    Respecto al Firewall, en cualquier caso es trivial. Desde editar la regla que ya tiene creada para permitir el acceso de cualquier IP, o eliminarla y crear otra sin restricción. Cada Router es diferente y los ajustes/pantallas pueden ser muy diferentes. Es decir, no te puedo decir dale aquí, allí, esto o lo otro. Sin entrar ya que tampoco sería muy recomendable seguir al pie de la letra lo que te dicen, nunca he sido muy de guías paso a paso, creo que son un error enorme, es mejor entender y saber que se está haciendo.

     

    De todos modos es sencillo, simplemente se trata de configurar puerto al que se quiere acceder, y con ello al servicio, y restricciones que se quieran imponer.

     

    ----------

     

    De todos modos no te lo recomiendo como ya te he dicho, y menos sin tener conocimientos al menos avanzados de seguridad y saber a que te expones.

     

    Saludos.

  • Avatar de mgarzon
    mgarzon
    Yo probé el VDSL
    18-01-2024

    Gracias por la respuesta, ya voy entendiendo algunas cosas.

    He probado nslookup y devuelve la información correcta, por lo que parece que ddns funciona.

    Ponía lo de ping y  tracert por si ayudaban en algo.

    En definitiva, lo que quiero es poder acceder al router desde fuera de mi red para poder reiniciarlo, porque a veces, sobre todo cuando hay algún corte de corriente, algunos dispositivos de domótica no se conectan bien al router y se quedan inoperativos. Esto se resuelve con un reinicio de router y todo vuelve a conectar correctamente.

    El servicio ddns lo tengo con noip y como medida de seguridad propia se puede poner un usuario y contraseña, además de la propia del router que por supuesto es una suficientemente compleja.

    Por lo que me dices, tendría que cambiar alguna regla del firewall. Pero sabes cual y con que parametros? porque hay unas cuantas llenas de parametros que quien sabe lo que harán.

    Gracias de nuevo.

  • Avatar de Theliel
    Theliel
    Yo probé el VDSL
    17-01-2024

    Buenas mgarzon 

     

    Pues pasan algunas cosas, y pueden pasar otras, porque estás mezclando algunas características/funcionalidades que nada tienen que ver unas con otras.

     

    Respecto a DDNS, si lo que quieres comprobar es si funciona, la forma de proceder es mirar en el Router o en cualquier página tu IP asignada, y por otro lado consultar la resolución DNS de tu dominio DDNS, por ejemplo usando nslookup: "nslookup tudominio.ddnet.com"

     

    Eso es lo que respecta al servicio de DDNS. Y puede funcioanr bien, mal o regular. Dado que es un servicio integrado en el propio Router, depende tanto de la infraestructura del proveedor que uses como de las firmware del Router. Cualquier cambio por parte de algunas de las partes, y puede dejar de funcionar.

     

    ----------

     

    Por otro lado tenemos lo que dices que desde fuera de la red no se abre la interfaz del Router. Esto es lo esperable y lo normal, por seguridad cualquier Router bloquea por defecto todo el tráfico dirigido hacia él. Y los HGU no hacen menos, el Router implementa reglas en el Firewall para permitir tan solo el accesos desde fuera de la red a los equipos de gestión de Movistar. Esto se puede cambiar si se quiere claro está, pero con el consiguiente problema para la seguridad que ello acarrea.

     

    ---------------------------------------------

     

    Un PING no tiene nada que ver tampoco con que pueda funcionar un servidor Web o cualquier otro servicio. Un ping es un paquete especial que usa el protocolo ICMP para inducir a otro equipo que responda. Un equipo envía un Echo Request, y el destino si está configurado para ello responde con un Echo Reply. Esto es totalmente indiferente de todo lo anteriormente comentado, el ping responderá si la IP/dominio apunta correctamente al dispositivo que sea, y este está configurado para responder.

     

    Un tracert no es lo mismo, aunque hace uso también del protocolo ICMP. Y también puede ser configurado un dispositivo para no responder a los tracert.

     

    Con esto no existe convenio por lo general, algunos equipos están configurados por defecto para responder al uso de ping/tracert, y otros no. Y por supuesto se puede configurar el Firewall de los Router para permitirlo o denegarlo

     

    ---------------------------

     

    Para finalizar, también es diferente el que puedas acceder desde tu propia red local usando los datos públicos (IP o dominio). Cuando se intenta hacer esto en un dispositivo que hace NAT, es un problema, porque el Router no está preparado para ello. Tus propios equipos no conocen la IP pública del Router, así que el Router tiene que hacer trampas para tratar a este tipo de tráfico en especial. A esto se le llama NAT Loopback, y no existe un sistema universal de hacerlo, todos tienen ventajas e inconvenientes. Y es como digo derivado a que un Router no está diseñado para que los equipos en una red local, usando el Router como NAT, puedan acceder a él usando su IP pública o dominio.

     

    Esto puede provocar que funcione o no funcione como digo correctamente, ya sea usando una IP o un dominio.

     

    --------------------------------

     

    Espero que con eso quede más o menos resueltas todas las dudas, si me he dejado algo o quieres que te explique algo mejor cualquier cosilla, lo dices.

     

    Un saludo.

  • Avatar de Técnico-Movistar
    Técnico-Movistar
    Responsable Técnico
    17-01-2024

    Hola mgarzon 

    Desde aquí no damos soporte a configuraciones avanzadas en el router. Dejamos el hilo abierto para que el resto de usuarios puedan ayudarte y aportar sus conocimientos. 

    Un saludo. Oscar.