Aislar puerto físico en GPT-2541GNAC

Aislar puerto físico en GPT-2541GNAC

Hola, 

Necesito aislar un video bridge Movistar que tengo conectado al router (GPT-2541GNAC) en la boca 4 por cable ethernet y que uso como AP en la planta baja, y no quiero que los usuarios de la wifi que emite dicho AP puedan ver los dispositivos conectados al router principal.

He estado trasteando en la configuración del router, en Advanced Setup>Interface Grouping. He creado el nuevo grupo y le he asignado eth3.0 para aislar esa boca 4 física del router. No se si el fallo viene por la WAN Interface used in the grouping. He seleccionado ppp0.1, quedandose el grupo Default con el resto de puertos asignados a veip0.2 y veip0.3. Luego en el apartado de configuración LAN veo que ha aparecido automáticamente el grupo creado, pero no se si tengo que cambiar los parámetros que figuran ahí. El caso es que de momento sigue todo igual, no existe aislamiento ya que conectandome desde cualquiera de las 2 wifis puedo ver todos los dispositivos de la red. Agradecería mucho su ayuda, ya que he tenido algún que otro problema de seguridad por este motivo. Gracias.

Etiquetas (5)
Mensaje 1 de 18
560 Visitas
17 RESPUESTAS 17

Hola @|awerde23

 

Gracias por remitirnos tu consulta y bienvenido a la Comunidad Movistar.


De igual forma para poder comprobar la conexión y así poder ayudarte mejor, necesitamos si no te importa que nos envíes los siguientes datos a comprobar:


- Número de teléfono fijo afectado
- Nombre, apellidos y Nif/Cif titular la línea
- Teléfono y persona de contacto, por si fuera necesario
- Dirección completa (provincia, localidad, nombre y número de la calle)


Si pulsas en mi avatar te aparece la opción de "Mensaje Privado" para mayor seguridad de los datos.

 
Nos mantendremos pendientes de la recepción de la información que nos envíes.


Muchas gracias, un saludo

 
Fernando.



Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

 Si necesitas contratar Fibra Ópticacomprobar tu cobertura Adsl y Fibrao ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 

Solución aceptada.png
Mensaje 2 de 18
544 Visitas

Hola,

Hace un par de semanas que os mandé mis datos por privado, alguna solución? Gracias.

Mensaje 3 de 18
474 Visitas

Hola @awerde23

 

Lamentamos las molestias, aun no hemos recibido los datos. Cuando sea posible remitenos los datos solicitados mediante mensaje privado, con el puntero sobre el nick de Técnico-Movistar te habilita la opción. Quedamos a la espera.

 

Un saludo.

 

Miriam



Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

 Si necesitas contratar Fibra Ópticacomprobar tu cobertura Adsl y Fibrao ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 

Solución aceptada.png
Mensaje 4 de 18
462 Visitas

Hecho

Mensaje 5 de 18
453 Visitas

Buenas @awerde23 

 

Estás partiendo de la base de que "Interfaz Grouping" aísla de facto el puerto en cuestión, y que el Router lo hace bien. Y sinceramente dudo enormemente las dos cosas.


En la propia opción croe que dice que los grupos están en bridge, con lo que se van a seguir viendo, aun cuando incluso fuesen dos redes independientes, el Router podría estar uniéndolas. Dicho de otro modo, que esa opción nunca se usó para aislar un puerto posiblemente.

 

Hay otras posibles formas de hacerlo... se podría intentar por VLAN, o quizás la más "sucia" pero probablemente con más % de funcionar, a través de un filtro en el Firewall, aplicado a la interfaz br y controlando las IPs de origen/destino, o bloqueando los puertos de descubrimiento/samba o... opciones varias.



Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 6 de 18
411 Visitas

Hola @awerde23

 

Gracias por facilitar los datos. Vamos a revisar la información sobre el aislamiento de puertos y te comentamos. 

Agradecer también la ayuda facilitada por @Theliel

 

Un saludo.

 

Nieves

 



Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

 Si necesitas contratar Fibra Ópticacomprobar tu cobertura Adsl y Fibrao ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 

Solución aceptada.png
Mensaje 7 de 18
392 Visitas

Gracias por tu respuesta @Theliel

Lo he intentado por VLAN. He creado la Vlan en eth3/eth3 pero no sé si los parámetros introducidos son correctos. He metido los siguientes valores:

- VLAN PBITS: 7

- VLAN ID: 1

 

Luego en el menú LAN, he seleccionado el grupo que había creado para la interfaz eth3 y le he asignado su direccionamiento propio con su DHCP Server correspondiente. El caso es que sigue todo igual, de hecho me he dado cuenta justo ahora que la Vlan que había creado ha desaparecido, sin haber si quiera reiniciado el router. No se si se te ocurre alguna forma de resolverlo, muchas gracias.

Mensaje 8 de 18
374 Visitas

Buenas @awerde23 

 

Ahora mismo, puedo decirte en el Askey, en su día si jugué bastante con ello y con el Mitrastar también. Es de esas cosas que internamente es muy simple de hacer (una simple línea con ebtables es suficiente), pero que por interfaz Web puede ser complicado, sobre todo porque no podemos saber a priori que va a hacer el Router internamente.

 

En teoría, el Interfaz Grouping lo que debería de hacer es crear bridges entre las interfaces  que se seleccionan, lo que en teoría de nuevo nos permitiría crear bridges diferentes, y asignar a cada uno de ellos redes diferentes que luego configuraríamos desde el aparato LAN. Llegado a ese punto dependiendo de como lo pueda crear el Router, estaría todo el trabajo terminado o no.

 

Te pongo el ejemplo simple que he realizado en el Askey, aunque lo tengo como medio-bridge pero para el asunto es indiferente.

 

1º. Habilito WIFI en el Askey para tener una interfaz para hacer pruebas, voy a usar WIFI, pero en principio por cable debería de ser igual.

 

2º. En Interfaz Grouping creo otro llamada br1 y asigno solo la interfaz wlan0 (internamente la interfaz WIFI wl0).

 

3º. En LAN aparecerá la nueva, por defecto en mi caso usa la red 192.168.2.0/24 como tengo mi red interna de mi propio Router la misma la paso a 192.168.3.0/24. Esto hace que el Router se haga un lío y realmente me cambia tanto la red principal del HGU 1.0/24 como la del segundo bridge a la 3.0/24, así que accedo de nuevo y cambio la principal de vuelta a 1.0/24

 

4º. En este punto tengo 2 bridges, uno el de siempre br0 con 1.0/24 asignando IP a todos los equipos exceptuando a WIFI. Otro bridge llamado br1 con 3.0/24 solo para la interfaz WIFI wlan0 (wl01).

 

5º. Cojo cualquier movil, lo conecto a la red WIFI del Askey recién habilitada. Compruebo que efectivamente se le asigna IP en el rango debido (3.2). Intento hacer ping al Router a 1.1 con éxito, tb con 3.1. Intento hacer ping al deco (en 1.200) o a mi Router (1.2), y está cortado el tráfico, no hay comunicación, con lo que en principio la red 3.0/24 está efectivamente aislada.

 

El Mitrastar puede hacerlo mejor/peor no te puedo asegurar, pq tendría que verlo internamente para ver que pasa, tampoco puedo ver si realmente cuando lo haces se le asigna bien las IPs, o simplemente te estás equivocando de puerto Ethernet o...

 

# brctl show
bridge name     bridge id               STP enabled     interfaces
br0             8000.xxxxxxxxxxxx       no              eth0.0
                                                        eth1.0
                                                        eth2.0
                                                        eth3.0
                                                        eth4.0
                                                        veip0.1
br1             8000.xxxxxxxxxxxx       no              wl0


# ifconfig
br0       Link encap:Ethernet  HWaddr xxxxxxxxxxxx
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: xxxxxxxxxxxx/64 Scope:Link
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:50625507 multicast:18673 unicast:50606703 broadcast:131
          RX errors:0 dropped:0 overruns:0 frame:0
          TX packets:92886674 multicast:6753 unicast:92879921 broadcast:0
          TX errors:0 dropped:0 overruns:0 carrier:0 collisions:0
          txqueuelen:0
          RX bytes:3587177569 (3.3 GiB) TX bytes:3697703817 (3.4 GiB)
          RX multicast bytes:926474 (904.7 KiB) TX multicast bytes:0 (0.0 B)

br1       Link encap:Ethernet  HWaddr xxxxxxxxxxxx
          inet addr:192.168.3.1  Bcast:192.168.3.255  Mask:255.255.255.0
          inet6 addr: xxxxxxxxxxxx/64 Scope:Link
          UP BROADCAST RUNNING ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:2912 multicast:265 unicast:2565 broadcast:82
          RX errors:0 dropped:11 overruns:0 frame:0
          TX packets:2341 multicast:0 unicast:2341 broadcast:0
          TX errors:0 dropped:0 overruns:0 carrier:0 collisions:0
          txqueuelen:0
          RX bytes:271224 (264.8 KiB) TX bytes:2082239 (1.9 MiB)
          RX multicast bytes:36729 (35.8 KiB) TX multicast bytes:0 (0.0 B)


Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 9 de 18
360 Visitas

Hola @awerde23

 

Agradecemos a @Theliel su colaboración y esperamos que sus explicaciones te hayan servido de ayuda.

 

Un saludo.

 

Fernando.



Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

 Si necesitas contratar Fibra Ópticacomprobar tu cobertura Adsl y Fibrao ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 

Solución aceptada.png
Mensaje 10 de 18
342 Visitas

Hola @Theliel

Eliminando toda configuración del apartado Vlan, he probado a realizar una configuración en Interface Grouping análoga a la tuya pero en mi caso con el objetivo de aislar la boca LAN eth4 física del router.

- En la Captura1 se muestra el aprovisionamiento de la nueva interfaz group Bridge1, donde he seleccionado la wan interface 6/ppp0.1  para dicho grupo, y he incorporado al

mismo la interfaz LAN eth3.0 para aislar de esta manera la boca 4 del router.

- En la captura 2 se muestra cómo queda asignado el nuevo grupo dentro del menú Interfaz groping.

- En la captura 3 se ve la primera parte de la configuración LAN que he asignado al grupo Bridge1.

- En la captura 4 se ve la segunda parte de la configuración LAN que he asignado al grupo Bridge1.

 

En este momento, no tengo salida a internet al conectar el pc directamente a la boca 4, no se me asigna correctamente el direccionamiento DHCP que he asignado en la configuración LAN del router. A lo mejor el problema pudiera estar en que es necesario en este caso asignar valores también en el último apartado del menú de configuración LAN: "configure the second ip address and subnet mask for lan interface".

Si se te ocurre algo al ver las imágenes y me pudieras comentar tus impresiones te lo agradecería.

Captura1.JPGCaptura2.JPGCaptura3.JPGCaptura4.JPG

 

 

 

Mensaje 11 de 18
323 Visitas

Hola @awerde23

 

Después de revisar tu consulta, te informamos que esta configuración es una funcionalidad avanzada a la que no damos soporte.Lo que si te podemos indicar es que este tipo de configuraciones puede llegar a afectar al rendimiento del dispositivo. 

 

Hoy por hoy, en los equipos de Movistar, la única red que esta “aislada” es la red wifi de invitados (en 2.4) que se puede configurar en las HGU´s. Cualquier cliente conectada a esa red de invitados, no tiene acceso ni al router ni al resto de conexiones.

 

De todas formas, vemos que @Theliel (al que damos las gracias por sus aportes y colaboración) te está facilitando información al respecto, así que nos alegramos, mantenemos el hilo abierto y esperamos que te sirva de ayuda. 

 

Un saludo. Mª Jesús



Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

 Si necesitas contratar Fibra Ópticacomprobar tu cobertura Adsl y Fibrao ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 

Solución aceptada.png
Mensaje 12 de 18
301 Visitas

Buenas tardes @awerde23

 

Esperamos que con la información que te han indicado hayas podido resolver tu consulta. ¿Te podemos ayudar en algo más?

 

En caso de no ser así, te agradeceríamos que en el post que haya resuelto tu consulta, marcaras la opción de "Aceptar como Solución" con el fin de ayudar a otros usuarios. 

 

Un saludo

 

Griselda. 



Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

 Si necesitas contratar Fibra Ópticacomprobar tu cobertura Adsl y Fibrao ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 

Solución aceptada.png
Mensaje 13 de 18
293 Visitas

Hola,

 

Así es, @Theliel me ha facilitado bastante información y creo que sólo me falta algún pequeño detalle en la configuración avanzada para poder resolver el problema. Seguro que es posible ya que él con el Askey lo consiguió y son prácticamente iguales los dos routers. De hecho conseguí asilar la boca 4 como buscaba, pero con el inconveniente de quedarme sin salida a internet desde esa boca. Por favor, mantener el hilo abierto a ver si @Theliel o algún otro miembro de la comunidad puede aportar algo de luz para implementar la configuración, muchas gracias.

Mensaje 14 de 18
269 Visitas

Buenas tardes @awerde23,

 

Muchas gracias por respondernos y facilitarnos los detalles de las gestiones que has llevado a cabo. Dejamos entonces el hilo abierto pendiente para que puedan aportar información por parte de otros usuarios al caso para ayudarte con dicha consulta.

 

Muchas gracias, un saludo

 

Irene



Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

 Si necesitas contratar Fibra Ópticacomprobar tu cobertura Adsl y Fibrao ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 

Solución aceptada.png
Mensaje 15 de 18
263 Visitas

Buenas @awerde23 

 

Que sean muy similares no quiere decir que sean iguales.

 

Si no tienes salida a Inet, habría que mirar internamente las rutas para ver como ha quedado. Puede ser que la aisle totalmente de WAN aunque no debería, y quizás en icho caso añadir WAN al bridge, o añadir una ruta estática



Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 16 de 18
240 Visitas

Hola @awerde23.

 

Te pedimos disculpas por las molestias ocasionadas. ¿Podrías confirmarnos si con la información facilitada por @Theliel se ha resuelto tu consulta, por favor? Esperamos tu respuesta. 

 

Un saludo.

 

Angela.



Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

 Si necesitas contratar Fibra Ópticacomprobar tu cobertura Adsl y Fibrao ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 

Solución aceptada.png
Mensaje 17 de 18
192 Visitas

Hola @awerde23.

 

Te pedimos disculpas por las molestias ocasionadas.No hemos recibido mas comunicaciones por tu parte, por lo que creemos que ya no necesitas mas ayuda desde el foro. Por nuestra parte, procedemos al cierre de este hilo, para cualquier otra duda o consulta en el futuro ya sabes donde encontrarnos.

 

Un saludo.

 

Angela.



Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

 Si necesitas contratar Fibra Ópticacomprobar tu cobertura Adsl y Fibrao ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 

Solución aceptada.png
Mensaje 18 de 18
166 Visitas