Gracias por tu erudita explicación Theliel.
En efecto, de los tres rangos "privados" de IANA elegí el 10.* más que por estética, porque es menos "conocido" cuando los hackers empiezan a hacer de las suyas...; siendo la 192.* más extendidas y habituales en ámbitos domésticos, me es más fácil y rápido detectar anomalías en una 10.x.x.x a primera vista que si me aparecen con una 192, ya que hay 192 públicas.
La misma Wikipedia cita vagamente que si dos partners usan el mismo direccionamiento privado (como p.e citas tú que el ISP podría tener Clase A 10.* para sus internas), esto " .... puede ocasionar problemas cuando distintas compañías intenten conectar redes que usan direcciones privadas.". Sin embargo, y confío en la capacidad tecnológica de un gigante como Movistar, estoy seguro de que sus tráficos internos en clase A no llegarán a mi red 10*. A ese respecto, y sobre lo que dices de reconstruir las rutas internas, confieso que lo único que no he investigado en mi router es el enrutamiento o las rutas actualmente establecidas; eso se lo dejo entero a gusto de Movistar y no voy a tocarlo.
En conclusión, aunque pueda parecer un dispendio el uso de la Clase A 10.*, si no hay limitación técnica para el funcionamiento con Movistar no veo nada que impere que use una 192.*, más allá de que a lo mejor las herramientas propias de gestión de Movistar esperen siempre "ver" una 192.* al otro lado y no sepan/puedan lidiar con una 10.* que no esperaban.
BTW, también es lógico que el cliente pueda fijar su propio direccionamiento interno, ¿no?. Imagínate que me paso a un ISP competidor que usa internamente una B 172.* ; eso me obligaría a "reconfigurar" de nuevo mi LAN interna, y así sucesivamente, con las consiguientes molestias.... Así pues, creo que habiendo puesto una 10.10.20.200-223 en el "Conditional DHCP" confío en que el problema no se vuelva a presentar.
Gracias de nuevo.
Buenas JDmobistar
Para Hackers da igual la clase que se use. Si un Hacker se cuela en tu lan, tarda en enumerar todos los equipos de esta en 3 segundos. Si se cuela en el Router, lo mismo. Es decir, que da exactamente igual las IPs privadas que uses en cuanto a seguridad se refiere. Sobre que te es más sencillo identificarlas eso ya es otra cosa, es cierto que hay otras 192.* que sí son direccionables, pero desde mi punto de vista, es mucho más lioso 10.* si tenemos en cuenta, de nuevo, que ya se usan y que el Router ve, y pueden aparecer en este, siendo totalmente legítimas. Es decir, creo que es mucho menos lioso y directo usar rangos que son claramente diferenciados.
Mi caso por ejemplo, mi propio Router hospeda un servidor VPN. Por defecto la red VPN la crea en 10.*, y puedo configurarlo sin problema, pero me es infinitamente más ilustrativo, cómodo y visible asignarles un rango IP a los clientes VPN dentro de la misma red principal aunque fuera del pool DHCP, en mi caso 192.168.2.0/24.
Todo eso, de nuevo, no significa que no se pueda, y que por descontado cada uno tenga sus propios gustos, los cuales son totalmente respetables. En eso te doy la razón. En cualquier caso no es tan sencillo, los ISP llevan los servicios a los equipos desde diferentes redes propias. Por ejemplo ahora mismo no, pero al menos antes los clientes de ONO estaban todos circulando por la red propia de estos 10.* haciendo CG-NAT. Movistar, en el caso que nos compete, usa al menos que sepamos redes de tipo A para tráfico para TV y VoIP, y me consta que para gestión también. Aunque desde el punto de vista del Router sean "dos partes" diferentes WAN/LAN, las rutas del Router al final dictan hacia donde se manda el tráfico y hacia que interfaz, y si RIP dicta que, por ejemplo, el tráfico hacia 10.* se mande por un lado, se mandará por ese lado. No digo que sea eso para nada, digo que son cosas habituales, y pueden existir "choques" entre diferentes configuraciones internas.
Movistar podría solucionarlo?? En parte sí, en parte no. Movistar podría prepararlo más o menos todo, pero aun así sería imposible evitar todo conflicto, dado que el usuario al final tendría la posibilidad de establecer su red en lo que quisiese, y ese quisiese siempre siempre puede dar la casualidad que sea el escenario no deseado.
Ha pasado hace poco un caso similar, no sé si se ha reportado o no en algún lado de por aquí. Hace poco CloudFlare ha abierto servidores DNS copiando la nomenclatura sencilla de Google, en la IP 1.1.1.1 como DNS principal. Pero dicha IP específicamente, la 1.1.1.1 está siendo usada por muchos equipos residenciales (y algunos otros) como IP interna para que el Router se comunique con la interfaz de 5GHz propia que tiene, con lo que la IP 1.1.1.1 la filtran internamente para que el usuario no pueda acceder a ella. Ojo, es totalmente legítima como IP enrutable, la culpa es de los fabricantes en este caso de no usar internamente una IP privada. Pero es otro ejemplo más de incompatibilidades que se pueden tener.
Y ya mejor no vamos a entrar en que sus equipos son cedidos y no en propiedad, y todo lo que no esté certificado y sellado, se lavan las manos. Parte lo entiendo porque sería imposible testear y probar todos los casos posibles, somos millones de clientes y cada uno tiene sus propias peculiaridades. Entiendo también que cada usuario tenga sus propias necesidades, ya sea estética, por funcionalidad o sencillamente porque le da la gana, pues tiene igualmente todos los derechos. Pero para esos casos ya digo lo de siempre que es también lo que hacemos muchos: Usar nuestro propio Hardware, configurarlo perfectamente a nuestras necesidades, y listo.
Saludos y feliz Domingo.
Gracias Thaliel.
Para cerrar el tema, me quedo con lo de "Usar nuestro propio Hardware".
Precisamente estoy intentado encontrar algún router que me permita tener dos interfases LAN configurables por separado, una para Movistar 192.* y otra para mi muy particular con 10.*.
Solo se me ocurren los caros y profesionales/difíciles de Cisco, pero, ¿alguna otra sugerencia?
Buenas JDmobistar
Opciones tienes muchas, pero matiza que te refieres exactamente con: Una para Movistar y otra para ti. No necesitas tener 2 LAN a menos que quieras por otros motivos tenerlas.
Por ejemplo, en este momento, mi caso, uso un ASKEY en medio-bridge que gestiona TV y VoIP ( prácticamente sin tocar la configuración de este) y detrás un Router haciendo de cliente PPPoE para gestionar inet, con su propia red, que en mi caso como te he dicho uso 192.168.2.0/24 por gusto y por tenerlas todas en clase C. Podría usar 10.* en mi LAN también, pero no me gustan, y además para poder acceder desde mi red a los servicios gestionados por el ASKEY (VoIP/TV) no me valdría cualquier red creada en 10.*, tendría que usar una red y máscara que obviamente no se pisasen con las otras.
Otra cosa totalmente diferente, y que también podría hacer sin muchos problemas (aunque no configurando desde la interfaz Web de mi Router) sería crear dos redes LAN totalmente diferenciadas, para eso se usa VLAN, creando a cada una de ellas dos servidores DHCP diferenciados. Pero no tengo esa necesidad en absoluto, no quiero 2 LAN independientes gestionadas por mi Router.
Si te refieres simplemente a que el HGU tenga una y tu otro Router otra, es como lo tenemos todos o la inmensa mayoría que usamos Router propio. En el caso mas sencillo, en el que no te importa que ningún equipo o dispositivo conectado a la red del Router pueda acceder a la red del HGU, puedes poner en el Router propio la que te de la gana (menos la red del HGU, 192.168.1.0/24).
Y para esto vale prácticamente la mayoría de Routers, no se requiere nada especial, en Medio-bridge el HGU pasa todo hacia abajo ya sin taggeo VLAN, con lo que cualquier router que permita una interfaz WAN pppoe es suficiente. Para gestiones más específicas o concretas, ya no valndrían todos, pero vamos... que no te tienes que ir para nada a equipos profesionales.
Si te he entendido bien, tú has implanatdo una solución a base de aparatos en cascada.
Hace mucho tiempo yo usé algo así, pero lo abandoné porque me daba problemas; compré un switch más grande (16 puertos) y confié todo a un solo direccionamiento y router, yéndome bien.
Por eso, entre lo que dices, creo que lo que yo intento, para entendernos, puede ser crear dos VLAN; te lo explico mejor en el esquema que adjunto aquí.
El router debería SER CAPAZ de crear dos LANs distintas, cada una con su direccionamiento y DHCP propias, aunque ambas acaben dirigiéndose al mismo puerto de entrada del ONT para ir a Internet y Telefónica. Así el deco tiene todo su direccionamiento 192.*asegurado y yo gestiono mis 10.* repartiéndolas con mi switch actual.
Pero, en efecto, no veo en el programa de configuiración web cómo crearlas (como mucho puedo establecer una DMZ, que no me convence ...), aunque he visto por ahí algo de alguien que ha hecho ingeniería inversa del MITRA y da los comandos del router para gestionarlo mejor por SSH; con eso probablemente lo consiga.
Y si no, quizás tenga que buscar algo caro con dos interfases físicas, como te decía, con tal de no tener que recurrir a poner aparatos en cascada que, me temo, ralentizarían la navegación internet de mis equipos.
