Solucionado: HGU en monopuesto para usar un Sophos XG230 como gestor neutro

JonayDelgadoHernández · ‎20-08-2021

Hola a todos!

He estado leyendo varias entradas sobre temas de HGU en modo bridge y luego usar un router neutro para gestionar el PPPOE...

En mi caso, no tengo un router neutro como tal, lo que tengo es un UTM Sophos XG230.

He podido configurar el HGU Askey modelo 3505VW y con firm actualizado a ES_g19.6_R3505VWSTD203_n70, en modo bridge. He conectado del HGU (puerto4) al puerto 3 del Sophos XG230 y he configurado como WAN PPPOE y se establece la conexion sin problemas. En el Sophos luego tengo en el puerto1, la LAN de toda la casa. Este puerto1 LAN lo conecto a un switch general Dlink DGS1210-52 para que reparta DHCP, DNS, etc...

Esta configuracion funciona bien, tengo internet en todos los dispositivos.

Por otro lado, tengo conectado un cable del puerto2 del HGU al switch Dlink, para que funcione la television, pero aqui es donde tengo el problema, ya que los canales si funcionan bien, pero, no puedo ir a la parte de menus de Movistar, consultar grabaciones o cualquier cosa que quiera ver, me sale en los 3 decos que tengo, error en la red.

El switch Dlink puede gestionar VLANs, pero lo tengo de fabrica, es decir, todo esta como VLAN1.

Leyendo en los foros, he ido sacando informacion sobre el tema de la TV, por ejemplo, en el menu Avanzado del HGU, en la parte de LAN, veo que en Vendor Class ID, un rango de IP's que se supone que es para los decos, y como IP router, me sale la IP del HGU (192.168.2.2) pero no funciona la parte que tira de internet en los decos...

Los dispositivos de red los tengo configurados asi:

HGU: 192.168.2.2/24 No tiene DHCP

Sophos XG230:

Puerto1: LAN: 192.168.2.1/24 con rango DHCP: 192.168.2.33 a 192.168.2.100. Puerta enlace: 192.168.2.1

Puerto3: WAN. Conexion por PPOE, me obtiene IP publica. Y aqui el dato que no entiendo, es que automaticamente cuando se establece la conexion PPPOE, me sale una puerta enlace: 192.168.144.1 que no se de que se trata.

Los DNS que usa el Sophos: 80.58.61.250 y 80.58.61.254

Podria alguien ayudarme a solucionar el problema de que no funcione la parte de internet de lo decos? otra cosa que no funciona es la carga de configuracion en el deco que resetee. Para hacer pruebas, uno de los decos lo resetee y al no tener conexion a internet, no es capaz de cargar coniguracion.

Estare pendiende de datos que me puedan aportar

Muchas gracias!

Theliel · ‎21-08-2021

Buenas @JonayDelgadoHernández

En primer lugar, si no he entendido mal, ¿tienes conectado al Switch tanto el Sophos como el HGU? No es ni mucho menos lo más adecuado a menos que separes el Switch en dos VLAN para que el tráfico esté bien diferenciado el que es del HGU y el que es del Sophos, encima puedes provocar un loop.

Por otro lado, el DHCP del HGU debe de tenerlo habilitado sin problemas, ¿imagino que lo quitarías precisamente por tenerlo metido al Switch? El servidor condicional DHCP para los Decos es necesario de cualquier modo, y al margen de, ya digo que no es nada recomendable inyectar en el Switch el tráfico de los dos Router sin separar por VLAN.

En lo relativo a la IP 192.168.144.1, es la IP de enlace del servidor PPPoE, puedes verla como la puerta de enlace de la interfaz WAN al servidor PPPoE de Movistar. Para el caso, te es indiferente su existencia, el equipo la necesita porque al iniciar el descubrimiento PPP la recibe para poder conectarse al servidor remoto.

En lo que respecta a Internet, al estar el HGU en medio-bridge, el HGU cede internet al Router de abajo. con lo que el HGU se queda sin Internet en principio. Esto es un problema para quienes tienen contratado Netflix y quieren verlo por el deco, por ejemplo, o conectar simplemente cualquier equipo al HGU. Se puede solucionar de forma sencilla, simplemente basta con crear una ruta estática en el HGU para que redirija el tráfico por defecto al Router de abajo, al Sophos, y en el Sophos configurarlo para que acepte todo el tráfico que caiga del Router de arriba por la interfaz física WAN (no PPPoE).

En lo relativo a que no puedes ver grabaciones/guías, no es por no tener internet, esto se debe a dos motivos en particular, (cualquiera de los dos o los dos). O un problema de rutas, o los Decos no tienen asignados el servidor condicional DNS que requieren. En caso de que tengas el servidor DHCP totalmente deshabilitado en el HGU, ya tienes el problema, los Decos usan el servidor DNS normal, y ese no vale.

El problema de base, en mi opinión, es que complicas enormemente todo. Lo más sencillo sería como digo usar el HGU simplemente como medio-bridge sin carga alguna (solo el Sophos conectado a él), y que el Sophos gestione todo lo demás. Internet por medio de la conexión PPPoE, y aunque el HGU siga gestionando VoIP/IPTV, si el Router es decente, se puede configurar perfectamente para que suba el tráfico IPTV hacia el HGU sin ningún tipo de problema, de modo que todos los decos que se quieran se pueden conectar al Switch al igual que cualquier otro dispositivo de la red, y como enlace ascendente SOLO el Sophos.

En lo que respecta a la configuración del Sophos es simple, dos o tres rutas estáticas como mucho, un servidor DNS condicional (trivial con DNSmasq), y enmascaramiento del tráfico hacia el HGU. Por supuesto imperativo IGMP Proxy e IGMP Snooping tanto en el Sophos como en el Switch.

Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"

Itjdel · ‎21-08-2021

Hola Theliel y gracias por tu contestacion!

El Sophos no permite IGMP Snooping ni IGMP Proxy.

Puedo configurar en el switch la VLAN2, conectar ahi un puerto del HGU y identificar los puertos de los 3 decos que tengo, y meterlos en la VLAN2 del switch, pero aun asi no funcionaria la parte de internet de los decos verdad? es obligatorio que el IGMP lo gestione el Sophos?

Gracias

Theliel · ‎21-08-2021

Buenas @Itjdel @JonayDelgadoHernández

Repito que el acceso a Internet no tiene nada que ver con que funcione la guía o grabaciones. Una cosa sería problema de acceso a internet que lo puede tener personas que usan netflix por ejemplo desde el propio deco, que sí requiere que el deco tenga internet. Otra cosa es problema de grabaciones/guia que suele ser o de rutas o de DNS.

Si los Decos estuviesen conectados al HGU físicamente, no tendrían que tener ningún problema de guía/grabaciones, tan solo no tendrían acceso a Internet, que como digo solo es necesario para Netflix a través del Deco y ahora quizás Disney+, este último no lo se aun con seguridad pq no lo he probado. Eso implica que separando en el Switch el tráfico pro VLAN interna del Sophos tendrían que funcionar bien casi todo.

En cualquier caso, el HGU envía tráfico Multicast hacia abajo, y a menos que el Sophos literalmente lo bloquee todo, y por ende este solo sea accesible desde el Switch con la VLAN creada a tal efecto, o te puede dejar seca toda la red, es una barbaridad a día de hoy tener un Router que no soporte IGMP Snooping, más que nada por los problemas que puede acarrear.

IGMP Proxy es necesario solo dependiendo de lo que se quiera/pretenda. En el escenario que dije anteriormente de que el tráfico caiga del HGU al Sophos y de este al Switch y listo, si se requiere IGMP Proxy, porque el Router tiene que bajar el tráfico IGMP que es el que gestiona los grupos multicast, IGMP Proxy en esencia lo que hace es posible que el Router intercambie el tráfico IGMP de una red a otra, es decir, del HGU a su red local. IGMP Snooping es difernete, es imperativo en una red si hay tráfico Multicast. Si todo el tráfico multicast en tu caso se queda confinado en el Switch y los decos, SEPARANDO ANTES por VLAN el tráfico, no es necesario IGMP Snooping en el Router, aunque si sería necesario IGMP Snooping en el Switch para evitar saturaciones, ya que los decos pueden ver diferentes canales cada uno, y sin Snooping (repito, en el Switch y con las VLAN creadas para separar el tráfico del Sophos) todos los decos serían bombardeados con el tráfico de todos.

Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"

Itjdel · ‎22-08-2021

Hola Theliel.

Muchas gracias por tus aportes.

Al final lo he solucionado y en principio esta todo funcionando. Lo que hice fue separar en el switch la VLAN2 y añadir ahi los 3 decos y 1 cable que une el switch con el HGU. Ahora si veo la TV y sus grabaciones y demas...

Luego he creado una VLAN nueva para la red de cada (pc's, wifis, etc..) y ahi he conectado el Sophos para que de servicio de DHCP, DNS, Puerta enlace y firewall.

Y luego he creado la conexion PPPOE entre el HGU (modo bridge) y el Sophos XG y funcionando correctamente tambien.

En caso de en un futuro, querer usar Netflix en los decos, podria funcionar el crear una VLAN nueva que conecte el HGU al Switch, luego del Switch al Sophos (en la misma VLAN) y crear luego una regla que le diga que el trafico salga por la WAN del Sophos?

Por otro lado, lo que si veo que no me termina de funcionar bien, es el poder conectarme de nuevo al HGU por LAN (a 192.168.1.1)... he hecho una VLAN nueva y he conectado otro cable entre el switch y el HGU, y luego como el switch tiene activado la interconexion entre diferentes VLAN's de los puertos que se seleccionen, he añadido a eso, el puerto de mi PC y el latiguillo que he conectado el HGU, configurado en mi PC una IP 192.168.1.25 y no conecta... no llega hacer ping... seguramente si lo conecte a un puerto del Sophos y lo configure como LAN y luego le cree la regla que permita acceso a esa LAN desde la IP de mi pc, seguramente funcione, pero me ha quedado la duda en el tema del switch, sabrias que puede ser?

Por otro lado, el Sophos no tiene IGMP porque no es un router... es un UTM que trabaja en capa 8

Theliel · ‎22-08-2021

Buenas @Itjdel

En lo que respecta a los decos, me alegro que funcionase. Respecto a lo de darle Internet, en principio, si logras crear una regla default en el HGU para que lo envíe al Sophos, sí. Al margen de que siga pensando que es seguir complicado aun más toda la historia, cuando sería infinitamente más eficiente y simple como dije otro tipo de configuración, que sería más simple, sencilla y directa. Ahora, como poder funcionar, debería.

Respecto a IGMP, no he entendido bien lo que dices de que es "un UTM que trabaja en la capa 8", Más que nada porque al margen de otras cuestiones, no existe la capa 8. Tienes que irte a alguna literatura un tanto estrambótica que diga que es que la capa 8 es el usuario, pero vamos son memeces, el modelo OSI son 7, y en la actualidad realmente usamos el modelo TCP/IP que las simplificamos a 4, unificando en esencia las capa 1-2 y 5-7 de OSI. Eso sin contar que en el momento que hace un marcado PPPoE, por narices, está trabajando en capa 2 (TCPIP, 3 en OSI), con lo que como mínimo es un dispositivo de capa 2 (3).

Por otro lado, y de cualquier modo, no solo enruta tráfico y está haciendo NAT, sino que tendrá un Switch interno probablemente, con lo que en el momento que cualquiera de dos de sus puertos Ethernet estén en bridge (en el mismo dominio), automáticamente el tráfico Multicast es un problema, y por ende se requiere una buena gestión de IGMP.

Por último, respecto a la conexión al HGU a través de cualquier PC. De nuevo es complicar las cosas, ¿otro cable al HGU desde el Switch? Dios... Si no he entendido mal al final separaste el tráfico de los Decos (la red del HGU) con la red interna (la red del Sophos), con lo que los equipos que conectes están en otra red diferente no van a alcanzar al HGU. Es mucho más simple que eso, configura el Sophos para subir el tráfico por su interfaz WAN a la red del HGU y que enmascare el tráfico subido, nada más.

------

Y como consejo... no lo digo para nada con acritud ni a mal. Tener un buen Swich da mucha versatilidad a una red, y un elemento fundamental que por desgracia muchos desprecian. Pero querer solucionar a base de layer 2 de forma constante cuestiones que son la inmensa mayoría de layer 3, no le veo mucho sentido la verdad. Por cuestiones didácticas por supuesto, es como mejor se aprende, pero por estabilidad, simplicidad, rendimiento... muchas veces no es cuestión de que no se pueda, sino de si es o no lo más adecuado, y mantener además una estructura así consume además mucho más tiempo y dedicación, y propenso a problemas.

Saludos.

Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"

Itjdel · ‎22-08-2021

Hola Theliel, de nuevo, gracias por tus aportaciones.

Efectivamente, se me fue lo de la capa 8... trabaja hasta capa 7...

El switch que tengo (Dlink DGS-1210-52) trabaja en capa 2 y para casa lo veo bastante bien, pero es verdad que un capa 3 ya te permite muchas cosas...

Voy a ver lo de acceder al HGU, pero tampoco es algo que me preocupa ya...

Lo que si estoy notando ahora, es que algunas veces, la TV se queda parada la imagen... si cambias se recupera... puede que ser el IGMP Snooping, que no lo tenga bien configurado en el switch?

Gracias

Theliel · ‎22-08-2021

Buenas @Itjdel

En realidad no me refería al Switch, sino que la mayoría de todas esas tareas tendrían que recaer sobre el Sophos, no hacer encajes de bolillos con el Switch para intentar hacerlo andar todo, a eso me refería. Al Switch en principio no le pongo pegas, aunque al final solo puedo tener una opinión realista sobre hardware que haya podido probar. Lo que me refería es que si el Sophos fuese decente, permitiría hacer todo lo que estás teniendo que hacer con el Switch de un modo simple, rápido, eficaz, que a fin de cuenta está funcionando y actuando como Router.

En lo relativo a la congelación de canales y otros, es un clásico de una mala gestión de IGMP, muy posiblemente debido a una mala configuración de este. Por defecto el Router es el que hacer de Querier para IGMP, y todos los dispositivos finales van contestando al Router cada vez que este pregunta a que grupos multicast está adherido cada cual. Si hay dispositivos de red "intermedios" como Switchs APs, Routers... es imperativo el uso de IGMP Snooping para evitar que se inunden, hasta aquí perfecto. Pero para que estos dispositivos puedan mantener de forma correcta y adecuada la lista de snooping, por lo general lo que hacen es escuchar precisamente el tráfico IGMP que contestan los demás dispositivos al Querier general, que suele ser el Router. Por lo general si pasado X, el Switch en este caso, no intercepta la respuesta de un Deco que está suscrito a un grupo multicast concreto, el Switch le corta el grifo. Al cambiar de canal el Deco envía por IGMP la unión al grupo multicast, con lo que el Switch coge constancia de ello y añade el tráfico Multicast para dicho dispositivo para dicho grupo.

Todo esto tiene que funcionar como un reloj. Pero por ejemplo, el Switch podría tener un timeout para Snooping de 30seg y el Router configurado con un Intervalo de indagación de 125seg, que es el estándar habitualmente. En ese escenario el Router solo iría preguntando cada 125seg, pero el Switch pasados los 30seg de no interceptar los grupos les cerraría el grifo a todos. Otras veces es un problema de que el Switch no interpreta correctamente el protocolo o las cabeceras, con lo que ignora todo o parte del tráfico IGMP con lo que tenemos el mismo problema.

Dicho de otro modo, la configuración del Switch está haciendo que, o no sea capaz de recibir correctamente el tráfico IGMP de la red, o que le llegue bien pero por configuración de timeouts vacíe antes la lista de snooping, o que esté bloqueando expresamente el tráfico IGMP/multicast en según que escenarios.

Todos ellos de todos modos se suele resolver bien simplemente echando un ojo a la configuración del switch, y si no se da con la tecla, un analizador de paquetes conectado al Switch para capturar el tráfico IGMP y viendo que pasa.

Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"

Itjdel · ‎23-08-2021

Tras actualizar el firm del switch, todo esta funcionando bien ya.

Muchas gracias por tu ayuda!

Técnico-Movistar · ‎24-08-2021

Hola @Itjdel

Agradecemos a @Theliel su colaboración y nos alegra que su información te haya servido de ayuda.

¿Podemos ayudarte en algo más?

Por otra parte, si consideras que tu consulta está resuelta, te agradeceríamos que en el hilo que has abierto, pulsases en el botón “Aceptar como solución” del post en el que se te ha resuelto tu caso. Es importante para nosotros que vuestras consultas queden resueltas y para otros usuarios es útil utilizar estas respuestas para sus dudas.

Saludos.

Fernando.

Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

Si necesitas contratar Fibra Óptica, comprobar tu cobertura Adsl y Fibra, o ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es

Técnico-Movistar · ‎26-08-2021

Buenas tardes @Itjdel

Te agradecemos que nos hicieras llegar tu consulta por este canal y para cualquier otra duda en el futuro, esperamos poder ayudarte.

Un saludo

Griselda.

Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

Si necesitas contratar Fibra Óptica, comprobar tu cobertura Adsl y Fibra, o ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es

Soporte Fibra y ADSL

HGU en monopuesto para usar un Sophos XG230 como gestor neutro