Seguridad router HGU y ovpn

Buenas,

Tengo el router RTF8115VW y tengo configurado ovpn en un pequeño pc, usando como DDNS duckdns y todo funciona perfecto con el router excepto que si accedo desde internet, por ejemplo desde el móvil con conexión 4G a la url del ddns veo la página de acceso al router como si accediera desde mi wifi a 192.168.1.1.

De momento tengo desactivado el ddns hasta que encuentre solución, con lo que no me funciona la vpn.

¿Se puede solucionar de alguna manera? ¿He pensado en cerrar el acceso a la consola de administración, pero parece que está capada esa opción (es lo del tr69 si no me equivoco), la otra opción que he pensado es bloquear los puertos que tengan que ver con webs (80,8080, 443 y alguno más que me dejaré) pero esta opción no tengo ni idea de cómo configurarla

ovpn

router

seguridad

Theliel
02-06-2021
Buenas skyleth

A menos que no te esté entendiendo en algo, por lo que dices, no hay ningún problema de seguridad, es en esencia como funciona una VPN. Cuando te conectas a una VPN, estás por lo general en bridge con tu propia red local donde esté el servidor, con lo que puedes acceder a los servicios de tu propia red. Dado que el DDNS apunta a la IP de tu Router, mientras estés conectado a la VPN dicha DDNS te va a abrir la interfaz del Router. La interfaz Web no está abierta hacia fuera, ni accedes desde fuera, simplemente al estar en red local por la VPN accedes del mismo modo que si estuvieses dentro de tu red de forma física y usas dicho DDNS, que a fin de cuenta es la IP pública asignada en dicho momento, y debido a NAT Loopback, estás llamando al propio Router.

Si quieres evitar eso, podrías itnentar deshabilitar NAT Loopback aunque puede ser perjudicial para otras cuestiones, o modificar simplemente el servidor OVPN para que los equipos conectados no puedan acceder a la red local, o específicamente al propio Router, o añadir al Router una excepción en el Firewall para evitar el acceso a él desde una IP de las que se asignen por el servidor DHCP del servidor VPN

9 Respuestas

Las respuestas se han desactivado para esta discusión

Técnico-Movistar
Responsable Técnico
05-06-2021
Hola skyleth

Nos alegra ver que tu consulta está resuelta y que has marcado una de las respuestas como solución.

Por nuestra parte, procedemos al cierre de este hilo, para cualquier otra duda o consulta en el futuro ya sabes donde encontrarnos.

Un saludo.

Luis.
skyleth
Mi vida cambió con el ADSL
05-06-2021
gracias, se puede cerrar el tema
Técnico-Movistar
Responsable Técnico
05-06-2021
Hola skyleth

Agradecemos a Theliel su colaboración. Nos alegra que su aporte te haya servido de ayuda. ¿Podemos ayudarte en algo más?

Por otra parte, si consideras que tu consulta está resuelta, te agradeceríamos que en el hilo que has abierto, pulsases en el botón “Aceptar como solución” del post en el que se te ha resuelto tu caso. Es importante para nosotros que vuestras consultas queden resueltas y para otros usuarios es útil utilizar estas respuestas para sus dudas.

Saludos.

Fernando.
Theliel
Yo probé el VDSL
02-06-2021
Buenas skyleth

Son ya muchos Router, y algunos los he podido toquetear mas que otros, los Mediatek no los he podido puñetear demasiado. En otros, está en la interfaz avanzada del Router, allí en avanzadas y en Firewall/Seguridad. Generalmente está en sitios similares, son secciones que están presentes en casi cualquier Router, ya que gestionan los filtros reales del Router, que nada tiene que ver con NAT. No te puedo precisar mucho más la verdad, como te digo no tengo uno a mano, pero me extrañaría mucho que la sección no estuviese.

Saludos y de cualquier modo me alegro que esté solucionado, ya te digo que era muy raro que fuese fallo de la firmware algo que suele ser básico para Movistar, más que nada porque como te digo Movistar lo usa para poder realizar gestiones remotas.
skyleth
Mi vida cambió con el ADSL
02-06-2021
Hola Theliel

No me sonaba haber tocado nada más que abrir el puerto de ovpn, y tampoco encontraba la configuración del firewall en las opciones, así que le he pegado un reset al router y ahora ya va bien, no puedo acceder al router a través del DDNS. Lo único es que sigo sin saber donde está la configuración del firewall, pero al menos puedo tener la vpn activada sin miedo.

Gracias!
Theliel
Yo probé el VDSL
02-06-2021
Buenas skyleth

Ummmm.... por defecto todos los Router de Movistar tienen filtrado el puerto 80/443 desde redes externas que no pertenezcan a un subrango muy pequeño de IPs de Movistar, que son sus equipos de gestión, con lo que el acceso tendría que estar totalmente cerrado.

Se me ocurren dos/tres cosas.

La primera, que un fallo que tenga el propio Router condicione habilitar el servicio DDNS del Router (si usas el del propio Router) a añadir una excepción a iptables, pero no tendría mucho sentido. En cualquier caso es simple verlo, basta con usar en vez del DDNS desde una red externa, usar la IP pública asignada en ese momento, con el servicio DDNS deshabilitado, y ver si conecta o no.

La segunda, que por cualquier motivo en algún momento deshabilitases la regla en el Firewall del Router que como digo por defecto bloquea el acceso a todos menos a unos pocos equipos de Movistar

La tercera, que en la versión de firmware que tengas movistar se le olvidase filtrar el puerto, pero ya te digo que eso me extrañaría mucho. Por desgracia no tengo ningún Askey Mediatek a mano para poder comprobarlo.

-----------

Las dos primeras opciones las deberías de poder ver rápidamente. Y en cualquier caso en el propio Router, dentro de él, deberías de poder acceder al Firewall y a las reglas de filtrado, y debería de estar presente como digo las dos reglas que por defecto Movistar usa en todos sus equipos para que no se pueda acceder al Router desde fuera, y solo ellos. De echo cuando alguno necesita acceder al Router desde fuera hay que modificarlas porque el Router lo deniega por defecto
skyleth
Mi vida cambió con el ADSL
02-06-2021
Hola Theliel

No, no me he explicado bien, sin conectarme a la vpn, voy a url del DDNS y veo la página de administración, como si conectándome al wifi escribiera 192.168.1.1 en el navegador, pero desde cualquier otra red, fuera de mi casa y sin vpn.

Vamos, si activo el DDNS y te paso la dirección y el pass de mi router, podrías entrar tú sin vpn ni nada
Theliel
Yo probé el VDSL
02-06-2021
Buenas skyleth

A menos que no te esté entendiendo en algo, por lo que dices, no hay ningún problema de seguridad, es en esencia como funciona una VPN. Cuando te conectas a una VPN, estás por lo general en bridge con tu propia red local donde esté el servidor, con lo que puedes acceder a los servicios de tu propia red. Dado que el DDNS apunta a la IP de tu Router, mientras estés conectado a la VPN dicha DDNS te va a abrir la interfaz del Router. La interfaz Web no está abierta hacia fuera, ni accedes desde fuera, simplemente al estar en red local por la VPN accedes del mismo modo que si estuvieses dentro de tu red de forma física y usas dicho DDNS, que a fin de cuenta es la IP pública asignada en dicho momento, y debido a NAT Loopback, estás llamando al propio Router.

Si quieres evitar eso, podrías itnentar deshabilitar NAT Loopback aunque puede ser perjudicial para otras cuestiones, o modificar simplemente el servidor OVPN para que los equipos conectados no puedan acceder a la red local, o específicamente al propio Router, o añadir al Router una excepción en el Firewall para evitar el acceso a él desde una IP de las que se asignen por el servidor DHCP del servidor VPN
Técnico-Movistar
Responsable Técnico
02-06-2021
Hola skyleth

Bienveni@ a Comunidad Movistar.

Lamentandolo mucho no damos soporte para configuración avanzada de los equipos. No obstante, por si algún usuario del foro puede facilitarte información que te pueda indicar dejamos el hilo abiertos unos días por si nos dieran alguna aportación al respecto y puedan ayudarte a resolver tu consulta.

Un saludo.

Miriam

Foro

Seguridad router HGU y ovpn

9 Respuestas

Contenido relacionado

Llamada seguridad cibernetica

Seguridad Dispositivo Caducado

Seguridad en dispositivos