Problemas con termostato inteligente tado / como aislar un puerto del switch del router?

iriusf
Yo probé el VDSL
Problemas con termostato inteligente tado / como aislar un puerto del switch del router?

Hola,

 

Soy cliente de Movistar Fusión Ocio 50Mb (Fibra con TV).

También tengo un termostato inteligente de la marca tado (https://www.tado.com/es/). Este tiene un elemento (le llaman bridge) que va conectado físicamente al router HGU de Movistar en uno de los 4 puertos que tiene. Este "bridge" de tado se conecta por RF al termostato inteligente, y por internet a los servidores de tado en la nube (concretamente a my.tado.com).

 

La cuestión es que el "bridge" de tado se queda "colgado" cada 2 o 3 días aproximadamente indicando que no puede conectar con sus servidores centrales. Llevo por lo menos 15 mensajes con el soporte técnico del fabricante, y finalmente según ellos, todo parece indicar que el tráfico multicast de la TV de Movistar deja frito este aparatito de las narices y hay que hacerle un reset físico. Como consecuencia, cada 2 días me levanto por la mañana con la calefacción parada porqué todo el cuento este "smart" no funciona. Ni que decir que no os recomiendo ni loco comprar esta marca de termostato inteligente, pero lamentablemente para mí ya es demasiado tarde, así que estoy intentando "solucionarlo" por mi cuenta.

 

AHÍ VA MI PREGUNTA: "Hay alguna manera de poder aislar uno de los 4 puertos ethernet (por ejemplo eth0) del router HGU para garantizar que no pasa ningún tipo de tráfico entre el eth0 y los demás puertos ( eth1,2 y 3) ???"

Cabe recalcar que ambos grupos de puertos necesitarían acceso a internet "independiente" (dos subredes sería posible?), y además en el grupo eth1,2 y 3 conectaría el decodificador de Movistar TV por lo que necesito que el tráfico multicast funcione en ese grupo con IGMP snooping y toda la martingala.

 

Muchas gracias de antemano!

Ignasi

 

Etiquetas (4)
Mensaje 1 de 8
3.080 Visitas
7 RESPUESTAS 7
JulioC-Movistar
Antiguo Moderador

Nuestro router tiene IGMP snooping por lo que no se propaga tráfico IGMP hacia las bocas ethernet que no hagan peticiones IGMP gracias al IGMP snooping, no creo que el problema provenga de ahí.

 

¿En el domicilio tienes algún router secundario, switch, PLC, punto de acceso wifi o repetidor wifi?   ya que un equipo de este tipo sin IGMP snooping si podría hacer que el tráfico multidifusión (IGMP) se convierta en tráfico broadcast y acabar saturando otros equipos de la red.

 

Cuando ese bridge se queda colgado ¿Responde a ping ip?... es mucho aventurar porque no sé si ese equipo tiene IP o es simplemente un punto de acceso de radiofrecuencia.



Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

 Si necesitas contratar Fibra Ópticacomprobar tu cobertura Adsl y Fibrao ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 

Solución aceptada.png
Mensaje 2 de 8
3.051 Visitas
iriusf
Yo probé el VDSL

Hola Julio, gracias por tu respuesta. Efectivamente, tengo un Punto de Acceso conectado a una de las bocas del router de Movistar.

Es este: https://www.ubnt.com/unifi/unifi-ap-ac-lite/

De todas formas, creo recordar que cuando no lo tenía también se colgaba el aparato este de tado. Respecto a si responde ping IP no lo sé porqué no he investigado mucho sobre él. Yo imagino que será un dispositivo a nivel de Layer 3 que coge IP por DHCP y sencillamente se conecta hacia my.tado.com por HTTP... si yo fuera ellos lo hubiera implementado así para evitar problemas con firewalls y similares...

Inverstigo un poco a ver qué ip tiene el aparato y le hago unas pruebas cuando se cuelgue... tengo pendiente capturar tráfico con el Wireshark pero la verdad no tengo tiempo.

 

A parte de esto, a mi pregunta sobre si es posible agrupar interfaces y montar una VLAN de datos sólo para el tado es posible con el HGU?

 

Gracias.

Mensaje 3 de 8
3.042 Visitas
Theliel
Yo probé el VDSL

Buenas @iriusf

 

Puede ser perfectamente problema de Multicast, aunque la lógica nos dice que efectivamente tan sólo es "problemático" cuando el router principal o el dispositivo al que se conecta la TV no usa adecuadamente IGMP Snooping, lo cierto es que en la práctica, cualquier dispositivo de red donde exista tráfico multicast, TODOS, deben de soportar tanto IGMP Snooping e IGMP Proxy. Sooping para bloquear el tráfico a equipos que no están adscritos a un grupo dado, y Proxy para que otros dispositivos de red como AP/Switchs o incluso ese mismo bridge, conozca los diferentes grupos multicast y quienes están asociados a ellos.

 

El Router sabemos que funciona bien el apartado que le atañe, IGMP Proxy/Snooping. El AP que usas, quiero pensar que igualmente soporta y tiene habilitado ambas características... que funcione bien no significa que no pueda tener problemas si algún equipo que se conecta a él, ya sea por error o por un bug en el AP, solicite unirse a un grupo multicast en emisión... y eso se extrapola igual al Bridge de Tardo.

 

El Bridge de Tardo no es más que un dispositivo de red, y debería de soportar y poder habilitar/deshabilitar algunas funciones básicas de nivel 2. Lo vemos a diario con los Switchs, muchos son totalmente automáticos y pueden dar problemas, otros no. Como digo no tendría por qué dar problemas, pero imagina que los dispositivos se conectan al Bridge y transfieren información por Multicast, e imagina que por error o por azar cualquiera de ellos se agrega al tráfico de la TV... inmediatamente si el bridge que ellos suministran no usan Snooping, el Bridge se va a poner a enviar a todos los cabezales (a todo lo que esté conectado a él) un torrente constante y alto de datos, y eso lo puede dejar KO sin problema.

 

Sobre independizar un puerto Eth para VLAN si puedes hacerlo, al menos en teoría, en la práctica la última vez que lo hice un fallo en la firmware no lo permitía, pero puedes intentarlo. Puedes ir a grouping, soltar uno de los puertos y crear una segunda agrupación. Una vez creado te permitirá en LAN crear un segundo dominio para el grupo disgregado y en teoría asignarle otra interfaz WAN, Pero los Routers de Movistar no se han testeado para ello y que no funcione esto es lo más normal.

 

Sobre Wireshark, es sin duda lo que debes de hacer. Por desgracia, no tienes acceso a la Shell del Router para capturar el tráfico en sus interfaces, así que el tráfico multicast que podrás ver en tu equipo será sólo el que también esté destinado a ti, precisamente debido a Snooping, si el problema está en el Bridge, el tráfico multicast que el Router les envié a ellos no podrás verlo, a menos que captures en el Router, captures en el Bridge o hagas un MITM y envenenes la caché ARP del Router y del Bridge. Pero como punto de partida sí, sería bueno echarle un ojo.

 

Cual de los 2 HGU tienes? Si es el Mitrastar la Shell reducida si te da herramientas más o menos útiles para ello



Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 4 de 8
3.029 Visitas
iriusf
Yo probé el VDSL
Hola Theliel, en primer lugar 1000 gracias por tu respuesta. Me has ayudado mucho a entender las posibilidades que hay.
No creo que sea problema del AP de Ubiquiti por varias razones pero igualmente puedo probar de desconectarlo 1 semana. No tengo nada más conectado que pueda ser "sospechoso" de no soportar IGMP Snooping y proxy debidamente.

Me parece muy interesante la posibilidad que comentas que a lo mejor el tado esté usando multicast "a su manera" y la líe parda con el grupo de multicast de la TV de Movistar. Entiendo que la única manera de depurarlo como es debido sería poniendo un MITM entre el router y el "bridge" de tado y dejarlo días capturando todo lo que pase por ahí. Yo creo que con un portátil con 2 interfaces y alguna distro Linux afinadita debería conseguirlo. No se si sólo falseando las MACs ya lo conseguiría. La verdad a este nivel no lo he hecho nunca. Siempre he capturado a saco lo que me llega del propio switch pero entiendo lo que dices del multicast. Creo que antes de hacer esto haré 2 pruebas:

1) Pondré un router más entre el de Movistar y el tado. La idea es hacer doble NAT. Así espero poder ver si el dispositivo que queda frito por tráfico multicast es el router extra (un Wrt54gw clásico con una CPU lenta) en vez del tado. Esto me confirmaría que el tado "activa" el envío del tráfico multicast hacia él por error.

2) Jugaré con los settings de grouping y VLANs del HGU a ver si hay suerte.

Por cierto, tengo el Mitrastar. Desde "fuera" parece un buen router pero claro si las opciones que te da no están bien implementadas esto ya es otra cosa.

Gracias de nuevo por tu ayuda.
Mensaje 5 de 8
3.016 Visitas
Theliel
Yo probé el VDSL

Buenas @iriusf

 

Puedes hacer en principio un MITM sin necesidad de conexión directa ni dos interfaces, envenenando las cache ARP de ambos se hace sin problemas. Obviamente siempre puedes hacerlo a las bravas (realmente es mejor opción aun) y usar el propio equipo como bridge, lo cual sería bastante sencillo por otro lado, incluso con Windows se hace de forma rápida

 

Usar un Router en medio también te vale, pero ni siquiera hace falta ponerlo en doble nat, si tienes un Wrt54gw deberías poder meterle DDWRT y capturas tráfico como quieras, pero es lo mismo que usar el PC en medio. El problema de doble nat es que vas a tener que lidiar con configuración en el principal y en el secundario, y siempre es más engorroso que sencillamente hacer un bridge en medio. Otra opción aun más sencilla, si tienes, es un Switch con port mirror, colocarlo en medio, te pinchas a él y listo.

 

Hay que tener un cuidado siempre enorme con el tráfco multicast/broadcast, la mayoría de ataques más viejos que se conocen es lo que han usado por su capacidad de amplificación. Es suficiente un equipo con una mala implementación o que haga algo raro, para dejar KO una red. Imagínate que por error el Router empieza a emitir en Broadcast el flujo de la TV... los móviles en pocas horas sin batería, WIFI posiblemente inutilizado, hardware de red colapsado... y estas cosas pasan de vez en cuando, no a lo mejor el tráfico de la TV, pero cualquier cosa que produzca una tormenta... lo que pasa es que por lo general son cosas aisladas, ni siquiera nos paramos a ver que ha pasado, sencillamente vemos que se ha caído la red, reiniciamos equipos y listo. Pero pasa, vaya si pasa...

 

Para que veas los gracioso del asunto... y ya lo he visto más de una vez por desgracia. Una mala configuración de la BIOS de un sobremesa, con WOL habilitado, al apagarse el equipo (soft), la tarjeta de red en latencia producía el colapso de toda la red, incluyendo el propio Router. La firmware del adaptador de red producía alguna interacción extraña en el Router de modo que ambos generaban una tormenta broadcast indefinida y sostenida: TV con cortes cada 2 segundos, WIFI KO, red cableada al 10%... y mira lo que es/era, algo tan simple como un problema de compatibilidad entre las stack de red o a saber... y lo mejor era que sólo sucedía con el equipo "apagado".



Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 6 de 8
3.008 Visitas
iriusf
Yo probé el VDSL
Claro, pongo un switch "tonto" que replique a saco todo en todos los puertos y le enchufo un PC con el Wireshark. A ver si este fin de semana puedo hacerlo.
Lo del doble NAT lo decía más como manera "fácil" de aislar la red que usa el bridge de tado que no como manera de implementar el MITM.

Respecto los paquetes broadcast WOL me has abierto un mundo. Me acaba de venir a la mente un expediente X que tuvimos en un trabajo y mkra por donde que a lo mejor era eso.... Además lo tengo habilitado en un PC que tengo en casa que es del plistoceno por lo menos así que para ir descartando lo deshabilitaré también.

Gracias de nuevo.
Mensaje 7 de 8
2.971 Visitas
JulioC-Movistar
Antiguo Moderador

Hola @iriusf   no damos soporte a ese nivel, primero porque son routers residenciales con capacidades residenciales  y segundo y principalmente por falta de conocimientos a ese nivel, te dejo en manos de @Theliel que es en mi opinión es el usuario más avanzado y didáctico del foro a nivel técnico.



Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

 Si necesitas contratar Fibra Ópticacomprobar tu cobertura Adsl y Fibrao ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 

Solución aceptada.png
Mensaje 8 de 8
2.964 Visitas