Hola Julio, gracias por tu respuesta. Efectivamente, tengo un Punto de Acceso conectado a una de las bocas del router de Movistar.

Es este: https://www.ubnt.com/unifi/unifi-ap-ac-lite/

De todas formas, creo recordar que cuando no lo tenía también se colgaba el aparato este de tado. Respecto a si responde ping IP no lo sé porqué no he investigado mucho sobre él. Yo imagino que será un dispositivo a nivel de Layer 3 que coge IP por DHCP y sencillamente se conecta hacia my.tado.com por HTTP... si yo fuera ellos lo hubiera implementado así para evitar problemas con firewalls y similares...

Inverstigo un poco a ver qué ip tiene el aparato y le hago unas pruebas cuando se cuelgue... tengo pendiente capturar tráfico con el Wireshark pero la verdad no tengo tiempo.

 

A parte de esto, a mi pregunta sobre si es posible agrupar interfaces y montar una VLAN de datos sólo para el tado es posible con el HGU?

 

Gracias.

Buenas @iriusf

 

Puede ser perfectamente problema de Multicast, aunque la lógica nos dice que efectivamente tan sólo es "problemático" cuando el router principal o el dispositivo al que se conecta la TV no usa adecuadamente IGMP Snooping, lo cierto es que en la práctica, cualquier dispositivo de red donde exista tráfico multicast, TODOS, deben de soportar tanto IGMP Snooping e IGMP Proxy. Sooping para bloquear el tráfico a equipos que no están adscritos a un grupo dado, y Proxy para que otros dispositivos de red como AP/Switchs o incluso ese mismo bridge, conozca los diferentes grupos multicast y quienes están asociados a ellos.

 

El Router sabemos que funciona bien el apartado que le atañe, IGMP Proxy/Snooping. El AP que usas, quiero pensar que igualmente soporta y tiene habilitado ambas características... que funcione bien no significa que no pueda tener problemas si algún equipo que se conecta a él, ya sea por error o por un bug en el AP, solicite unirse a un grupo multicast en emisión... y eso se extrapola igual al Bridge de Tardo.

 

El Bridge de Tardo no es más que un dispositivo de red, y debería de soportar y poder habilitar/deshabilitar algunas funciones básicas de nivel 2. Lo vemos a diario con los Switchs, muchos son totalmente automáticos y pueden dar problemas, otros no. Como digo no tendría por qué dar problemas, pero imagina que los dispositivos se conectan al Bridge y transfieren información por Multicast, e imagina que por error o por azar cualquiera de ellos se agrega al tráfico de la TV... inmediatamente si el bridge que ellos suministran no usan Snooping, el Bridge se va a poner a enviar a todos los cabezales (a todo lo que esté conectado a él) un torrente constante y alto de datos, y eso lo puede dejar KO sin problema.

 

Sobre independizar un puerto Eth para VLAN si puedes hacerlo, al menos en teoría, en la práctica la última vez que lo hice un fallo en la firmware no lo permitía, pero puedes intentarlo. Puedes ir a grouping, soltar uno de los puertos y crear una segunda agrupación. Una vez creado te permitirá en LAN crear un segundo dominio para el grupo disgregado y en teoría asignarle otra interfaz WAN, Pero los Routers de Movistar no se han testeado para ello y que no funcione esto es lo más normal.

 

Sobre Wireshark, es sin duda lo que debes de hacer. Por desgracia, no tienes acceso a la Shell del Router para capturar el tráfico en sus interfaces, así que el tráfico multicast que podrás ver en tu equipo será sólo el que también esté destinado a ti, precisamente debido a Snooping, si el problema está en el Bridge, el tráfico multicast que el Router les envié a ellos no podrás verlo, a menos que captures en el Router, captures en el Bridge o hagas un MITM y envenenes la caché ARP del Router y del Bridge. Pero como punto de partida sí, sería bueno echarle un ojo.

 

Cual de los 2 HGU tienes? Si es el Mitrastar la Shell reducida si te da herramientas más o menos útiles para ello

Hola Theliel, en primer lugar 1000 gracias por tu respuesta. Me has ayudado mucho a entender las posibilidades que hay.
No creo que sea problema del AP de Ubiquiti por varias razones pero igualmente puedo probar de desconectarlo 1 semana. No tengo nada más conectado que pueda ser "sospechoso" de no soportar IGMP Snooping y proxy debidamente.

Me parece muy interesante la posibilidad que comentas que a lo mejor el tado esté usando multicast "a su manera" y la líe parda con el grupo de multicast de la TV de Movistar. Entiendo que la única manera de depurarlo como es debido sería poniendo un MITM entre el router y el "bridge" de tado y dejarlo días capturando todo lo que pase por ahí. Yo creo que con un portátil con 2 interfaces y alguna distro Linux afinadita debería conseguirlo. No se si sólo falseando las MACs ya lo conseguiría. La verdad a este nivel no lo he hecho nunca. Siempre he capturado a saco lo que me llega del propio switch pero entiendo lo que dices del multicast. Creo que antes de hacer esto haré 2 pruebas:

1) Pondré un router más entre el de Movistar y el tado. La idea es hacer doble NAT. Así espero poder ver si el dispositivo que queda frito por tráfico multicast es el router extra (un Wrt54gw clásico con una CPU lenta) en vez del tado. Esto me confirmaría que el tado "activa" el envío del tráfico multicast hacia él por error.

2) Jugaré con los settings de grouping y VLANs del HGU a ver si hay suerte.

Por cierto, tengo el Mitrastar. Desde "fuera" parece un buen router pero claro si las opciones que te da no están bien implementadas esto ya es otra cosa.

Gracias de nuevo por tu ayuda.

Buenas @iriusf

 

Puedes hacer en principio un MITM sin necesidad de conexión directa ni dos interfaces, envenenando las cache ARP de ambos se hace sin problemas. Obviamente siempre puedes hacerlo a las bravas (realmente es mejor opción aun) y usar el propio equipo como bridge, lo cual sería bastante sencillo por otro lado, incluso con Windows se hace de forma rápida

 

Usar un Router en medio también te vale, pero ni siquiera hace falta ponerlo en doble nat, si tienes un Wrt54gw deberías poder meterle DDWRT y capturas tráfico como quieras, pero es lo mismo que usar el PC en medio. El problema de doble nat es que vas a tener que lidiar con configuración en el principal y en el secundario, y siempre es más engorroso que sencillamente hacer un bridge en medio. Otra opción aun más sencilla, si tienes, es un Switch con port mirror, colocarlo en medio, te pinchas a él y listo.

 

Hay que tener un cuidado siempre enorme con el tráfco multicast/broadcast, la mayoría de ataques más viejos que se conocen es lo que han usado por su capacidad de amplificación. Es suficiente un equipo con una mala implementación o que haga algo raro, para dejar KO una red. Imagínate que por error el Router empieza a emitir en Broadcast el flujo de la TV... los móviles en pocas horas sin batería, WIFI posiblemente inutilizado, hardware de red colapsado... y estas cosas pasan de vez en cuando, no a lo mejor el tráfico de la TV, pero cualquier cosa que produzca una tormenta... lo que pasa es que por lo general son cosas aisladas, ni siquiera nos paramos a ver que ha pasado, sencillamente vemos que se ha caído la red, reiniciamos equipos y listo. Pero pasa, vaya si pasa...

 

Para que veas los gracioso del asunto... y ya lo he visto más de una vez por desgracia. Una mala configuración de la BIOS de un sobremesa, con WOL habilitado, al apagarse el equipo (soft), la tarjeta de red en latencia producía el colapso de toda la red, incluyendo el propio Router. La firmware del adaptador de red producía alguna interacción extraña en el Router de modo que ambos generaban una tormenta broadcast indefinida y sostenida: TV con cortes cada 2 segundos, WIFI KO, red cableada al 10%... y mira lo que es/era, algo tan simple como un problema de compatibilidad entre las stack de red o a saber... y lo mejor era que sólo sucedía con el equipo "apagado".

Claro, pongo un switch "tonto" que replique a saco todo en todos los puertos y le enchufo un PC con el Wireshark. A ver si este fin de semana puedo hacerlo.
Lo del doble NAT lo decía más como manera "fácil" de aislar la red que usa el bridge de tado que no como manera de implementar el MITM.

Respecto los paquetes broadcast WOL me has abierto un mundo. Me acaba de venir a la mente un expediente X que tuvimos en un trabajo y mkra por donde que a lo mejor era eso.... Además lo tengo habilitado en un PC que tengo en casa que es del plistoceno por lo menos así que para ir descartando lo deshabilitaré también.

Gracias de nuevo.

Hola @iriusf   no damos soporte a ese nivel, primero porque son routers residenciales con capacidades residenciales  y segundo y principalmente por falta de conocimientos a ese nivel, te dejo en manos de @Theliel que es en mi opinión es el usuario más avanzado y didáctico del foro a nivel técnico.