Configuracion de router Mitrastar GPT-2541GNAC con subnet de otro router Xiaomi Mini

Configuracion de router Mitrastar GPT-2541GNAC con subnet de otro router Xiaomi Mini

Buenas noches, me gustaría crear una red con subnet, donde se pudieran abrir los puertos de la subnet. El router principal con todas las funcionalidades de wifi activadas y ethernet(ip-gateway: xx.xx.1.1), un DCHP para todas las conexiones exceptuando una ip estática para el router (xx.xx.1.37). Y un segundo router con xx.xx.31.1 de puerta principal, con funcionalidad de apertura de puertos para permitir a través de ese router un servidor web y otro de juegos, además de wifi y ethernet. Con DCHP para todos, exceptuando el servidor principal que es un pc windows con ip estática (xx.xx.31.232). Mis preguntas son:

1. Necesitaría activar el DMZ o con port forwarding normal en ambos router bastaría?

2. En caso de necesitar DMZ en cual router se activaría, el primero, el segundo o ambos?

3. Tengo creada una static route, pero no se si es necesaria, en caso de serlo como sería su correcta definición?

Si alguien sabe alguna configuracion para poder abrir puertos del servidor del segundo router me encantaría conocerla, un saludo y gracias.

Mensaje 1 de 5
1.370 Visitas
4 RESPUESTAS 4

Buenas @AndresMorales 

 

Te explicas bastante bien, y eso facilita las cosas compañero. Yo estoy espesito, así que discúlpame si te cuesta seguirme o mi explicación.

 

Bueno lo primero sería recomendarte que, a menos que tengas una buena razón para independizar una red, no lo hagas, y es mejor configurarlos como AP. Imagino, y esto es ya suposición, que has querido configurarlo como Router independiente para poder usar algunos servicios "extra" que tienen los Routers de Xiaomi. Los conozco bien, calidad precio están bastante bien, aunque personalmente se quedan un poco corto en cuanto a versatilidad, tendrían que volver a permitir el acceso completo como hacían con los R3 o anteriores.

 

Por qué no es bueno?? Bien, el problema es que te vas a encontrar en un entorno de doble NAT. Si fuesen, ambos, equipos que el fabricante nos diese un control completo y pudiésemos crear a voluntad scripts o ajustes finos de arranque... perfecto, porque podrías al final dejarlo al dedillo. Pero ni el equipo de Movistar ni el de Xiaomi te permite un control tan granular, así que o vamos a encontrarnos limitaciones o vamos  a tener que hacer "parches" sucios para solventarlo.

 

DMZ? Jamás lo usaría, ni en uno ni en otro, DMZ crea un agujero enorme de seguridad, básicamente es un reenvío masivo de puertos hacia el equipo que sea, que previamente  no haya sido configurado. No se debería de usar nunca, no hay motivo.

 

¿Rutas estáticas? Bueno, ya entramos en el comportamiento que quieras tener, depende de que sea lo deseable o no.

 

Por defecto, la red del HGU jamás podrá comunicarse con la red de Xiaomi. El HGU tiene una tabla de rutas concretas que, repito por defecto, no conoce que red es la 31.1. Hablo de acceso a la red interna de Xiaomi, no al propio Router, ojo, es diferente. El HGU sí sabe que hay un dispositivo en su red que es el 1.37, pero ni idea de la red 192.168.31.0/24, no podrían conectar desde la red del HGU a por ejemplo 192.168.31.232.  Si desde la red del HGU se quisiese acceder a un servicio propio del Xiaomi o un servicio específico dentro de la red de este aun así sería posible hacerlo sin ninguna ruta, se especificaría como destino la IP de Xiaomi dentro del HGU 1.37. Si el servicio a alcanzar estuviese levantado dentro del propio Xiaomi, que el Router permita dicho servicio para conexiones externas. Si en cambio el servicio estuviese en la red interna del Xiaomi, como por ejemplo en 192.168.31.232, entonces Xiaomi tendría que mapear un puerto ha dicho equipo, pero la conexión se haría hacia el Router Xiaomi.

 

En este mismo escenario, una conexión desde fuera del HGU, desde Internet, requeriría un mapeo de puerto en el HGU hacia 1.37 para alcanzar al Xiaomi, y en Xiaomi una redirección si el servicio está en algún equipo conectado a él.

---

 

¿Pero rutas o no rutas?

Pero crear una ruta podría ser esencial en el HGU. Se podría crear una Ruta en el HGU para decir que existe un camino hacia 192.168.31.0/24 y que el GW de ello es 192.168.1.37. En este escenario los equipos de la red del HGU podría invocar directamente IPs del rango del Xiaomi, por ejemplo 192.168.31.232, ya que el HGU sabría hacia donde encaminar dicho tráfico. Solo existe un problema ante esto, que el Xiaomi tendría que configurarse igualmente para aceptar todo el tráfico WAN cuya red de origen fuese 192.168.1.0/24. Por lo general son reglas básicas que pueden configurarse en la mayoría de los Firewall de los Routers.

 

Si ambas asunciones se cumpliesen, cualquier equipo conectado al HGU podría conectarse a la red de Xiaomi. Desde fuera, desde Internet, dependiendo de, podría ser suficiente con especificar la IP de la otra red, sin necesidad de especificar la IP de Xiaomi, pero para ello entonces habria posiblemente que deshabilitar completamente el FW de Xiaomi.

 

--------------

 

Otra cuestión por otro lado es si se quisiese lo contrario, que la red de Xiaomi pudiese conectarse a la red del HGU. En principio algunos servicios funcionarían, puesto que Xiaomi enviaría de cualquier modo el tráfico hacia su puerta de enlace, el HGU, que conoce la red 192.168.1.0/24. Pero hay servicios que no funcionarían puesto que el tráfico en principio vendría de una red externa. Para solventar esto sería necesario en el Xiaomi crear lo que llamamos un enmascaramiento. Por ejemplo imagina que tienes un deco conectado en la red de Xiaomi, serían necesarias algunas rutas y enmascarar el tráfico, es decir... que cuando se enviase el tráfico específicamente a las redes del HGU, el origen de  la IP se modificase y se estableciese en la IP del Xiaomi dentro de la red del HGU (1.37).

--------------------

 

Por todo ello, como entenderás, poder se puede hacer todo lo que quieras y más, pero dado que tienes que lidiar con doble NAT, implica tener que configurar más cosas, y eso implica toparte con posibles limitaciones de los equipos que tienes. DMZ jamás, y si no es estrictamente necesario, no hagas doble NAT, configura el Router como AP y que funcione como Bridge.



Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 2 de 5
1.346 Visitas

Entiendo mas o menos de lo que hablas,y de las restricciones de ambos routers a la hora de configurarlos. Pero una subnet del prrimer router no daría mucha mas seguridad que un acces-point?

Porque realmente lo que quiero es hacer que ese router permita crear una zona segura apartada de los dispositivos de uso en el hogar, y así poder tener el servidor sin problema alguno.

Me recomiendas alguna otra opción mas segura que el acces point y sin el problema de la doble nat?

Por otra parte ya tengo configurada toda la ruta estatica como dijiste, el portforwarding habilitado en ambos router y no se consigue gran cosa. 

Muchas gracias por la solucion de la DMZ ya que no la conozco en gran profundidad. Voy a intentar buscar algo sobre como hacer AP con un extra de sguridad, si sabes algo avisa.

 

Un saludo y muchas gracias, te explicas muy bien aunque digas que no 😂.

Mensaje 3 de 5
1.296 Visitas

Buenas @AndresMorales 

 

Por regla general cuando queremos crear otra red independiente suele ser casi en exclusividad por cuestiones de seguridad. Pero en este escenario, por la misma razón, se pretende aislar los equipos que están dentro, no exponer ningún servicio de ellos hacia fuera, no tendría mucho sentido aislar equipos dentro y por otro lado configurar el Router secundario para permitir el tráfico entre la red principal y la secundaria, o equipos externos (internet) hacia dentro.

 

Es decir, que desde un punto de vista de la seguridad, no ganas gran cosa, y sí ganas en complejidad. Otra cosa sería, por ejemplo, el tener una red para trabajar, para aislar todo lo que pudieran ser documentos, impresoras, equipos, bases de datos... no solo del exterior sino de posibles ataques de la red de arriba (la del HGU), que por malware o equipos mal intencionados quisiesen llegar a la otra red secundaria. Pero si de cualquier modo se quiere configurar la red de arriba para llegar al servidor de abajo, o peor aun, permitir el acceso desde internet a esa red secundaria y servidor, se gana poco, no merece la pena, ya el primer Router, el HGU está protegiendo toda la red desde el exterior haciendo NAT.



Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 4 de 5
1.270 Visitas

Hola Buenas tardes @AndresMorales 

 

Primero que nada agradecer la gran aportación de nuestro colaborador @Theliel entendemos que ha resuelto todas las dudas transmitidas en este hilo, sin embargo no queremos cerrarlo sin que antes nos confirmara que su caso haya sido resuelto.

 

Esperamos su contestación.

 

Un Saludo...




 

Mensaje 5 de 5
1.242 Visitas