Ir a Empresas
Search
Open navigation

FTP y VPN con nuevo Smart Wifi 6 GO

Babelia
Yo probé el VDSL
Yo probé el VDSL
‎10-10-2024 12:46

FTP y VPN con nuevo Smart Wifi 6 GO
‎10-10-2024 12:46

Me han enviado desde Movistar un nuevo router Smart Wifi 6 GO para que los sustituya por el modelo anterior, un Askey RTF8115VW. En mi casa tengo 2 NAS, uno para copias de seguridad internas y en el otro, un synology, tengo configurada una VPN y un servidor FTP en el que se hacen copias de seguridad de dispositivos externos a través de Internet.

He modificado la configuración del Smart Wifi para que esté igual que tenía el anterior con redirección de puertos. Si comparo la configuración de los dos routers, no hay diferencias pero cuando intento conectarme a la VPN responde que no puede realizar la conexión y el FTP se conecta crea la carpeta en la que guardar las copias externas pero cuando se envía el primer fichero da un error y no lo envía al FTP del Synology.

He probado a quitar el cortafuegos pero sigue igual y también he probado a configurar la DMZ pero hace lo mismo.

¿Alguien me puede orientar dónde puede estar el problema?

Mensaje 1 de 4
1.153 Visitas
0 votos
Responder
3 RESPUESTAS 3
Theliel
Yo probé el VDSL
Yo probé el VDSL
‎10-10-2024 16:36

‎10-10-2024 16:36

Buenas @Babelia 

 

A ver, al no tener dicho modelo ni poder estar en tu casa para ver como lo tengas configurado todo, no te puedo decir exactamente cual es el problema. No obstante, podemos ver pro donde van los tiros.

 

Para empezar, no especificas que tipo de VPN estás usando, y esto es de importancia. Más que nada porque dependiendo del túnel configurado tendrías un problema similar al del FTP... es decir, que ambos pueden estar correlacionados.

 

--------------

 

Existen protocolos muy viejos que jamás se crearon para ser usados bajo NAT. NAT es en esencia lo que hace tu Router para poder compartir tu conexión con el resto de dispositivos de la casa. Vamos, que dentro de casa siempre estás bajo NAT. Y esto es un problema para algunos protocolos. Por ejemplo, en VPN, NAT es un infierno para protocolos como L2TP/IPSec o PPTP, mientras que otros protocolos mucho más modernos como OpenVPN o mejor aun Wireguard, funcionan sin ningún problema, más seguros y más rápidos.Repito, esto es una constante si se quieren usar los protocolos mecionados. Tal es así que los fabricantes se ven obligados a implementar "parches" no estándare ni universales para intentar hacerlos funcionar bajo su Router. El problema es que estas medidas ni son universales, ni funcionan en todos los escenarios, ni tienen porque implementarse en los Router. Vamos, que aun cuando el Router las implementase no hay garantías de que funcionase bien. Hablo siempre de estos protocolos no amigables con NAT. Algunos fabricantes los llaman ALG, Helpers, Passtrought...

 

El caso de FTP es similar, pero antes de explicar lo que pasa, es una idea francamente nefasta usar FTP a día de hoy para hacer copias de contenido externo,  es como poner un cartel luminoso para que te accedan a todo el contenido, al menos el compartido o presente por FTP. Todo ello sin contar además que FTP se transmite todo en plano, con lo que usuario/contraseña llevarán años circulando por Internet. No tiene razón de ser usar FTP cuando puede usarse SFTP por ejemplo y que no tiene problemas con NAT, incluso sería mucho mejor y seguro usar WebDav.

 

 

Nota rápida de como funciona NAT:
El Router como comparte la conexión, si le entra tráfico que no ha sido solicitado, lo bloquea, no sabría a quien enviarlo de la red local. Cuando un dispositivo de la red local se comunica con el exterior, el Router hace un seguimiento de la conexión, así cuando el exterior le responde sabe a quien enviar dicho tráfico. Por eso "abrimos" puertos, realmente hacemos redirecciones, así le decimos al Router que todo lo que le llegue por un puerto concreto, aunque no haya sido solicitado previamente, lo envíe a otro dispositivo concreto.

 

 

Volviendo la tema de FTP, es otro protocolo no amigable con NAT. Cuando se usa FTP en su forma estándar, "modo activo", el servidor usa dos puertos diferentes para la comunicación, uno para control y otro para datos. En modo pasivo usa un puerto de control, y para datos es un intervalo de puertos aleatorio/preconfigurado. Y hay enormes diferencias según el escenario.

 

Activo:

Configurar un servidor en modo activo es muy sencillo, tan solo requiere mapearse en cualquier Router el puerto 21, que es el puerto de control. Nada más. Cuando un cliente solicita acceso a su puerto 21 en este escenario, envía tb al Router el puerto que el dispositivo va a recibir los datos del puerto 20 del Router. El Router envía por su puerto 20 los datos al puerto del dispositivo especificado en los mensajes de control.  ¿Problema? Que esto funciona perfectamente si el dispositivo cliente no está bajo NAT. Si el dispositivo cliente está bajo NAT no funcionará. Sí. el cliente inicia la conexión y el Router hace seguimiento de esa comunicación... pero el servidor le responderá por un puerto diferente (el 20, no el 21) y a un puerto tb diferente. El Router bloqueará el tráfico de datos. Para que el modo activo funcione en un cliente que está bajo NAT, ese cliente FTP tendrá que configurar previamente el Router para permitir pasar hacia dentro el tráfico de datos, y por ende estar configurado para usar siempre el mismo puerto.

 

 

Pasivo:

El modo pasivo facilita el uso de los clientes FTP, estos no tienen que crear redireccines ni hacer nada raro... en este escenario es un poco al revés. El cliente se conecta al puerto 21 del servidor, el servidor le responde por el mismo puerto a que puerto tiene que enviarle el canal de datos. Esto llega al cliente FTP porque como digo se hace seguimiento de la conexión, es la misma, al cliente le llega dicho puerto y crea otra conexión al puerto especificado por el servidor. Esa conexión la inicia también el cliente FTP con lo que funciona perfectamente bajo NAT.

Ahora bien, te darás cuenta que ahora el problema es del servidor FTP si está bajo NAT (el servidor), porque ahora es el servidor el que especifica a que puerto enviarle el canal de datos, y no inicia nunca la conexión. Eso implica que el puerto 21 tiene que seguir teniéndolo mapeado si está bajo NAT, pero además también tiene que tener mapeado un rango de puertos porque es por ellos por los que tiene que esperar que el cliente le envíe el canal de datos.

 

 

--------

 

en resumen, en modo activo es más sencilla la configuración del servidor pero más complicada la del cliente FTP. En modo pasivo es al revés.

 

Otro ejemplo de protocolos de otra época, nunca pensados para los entornos actuales. En caso de querer seguir usando FTP, nada recomendable, tendrás que optar por un modelo o por otro.

 

Para terminal, y no menos importante, hacer uso de DMZ en un dispositivo que además se puede usar para copias de seguridad y sabe dios que información tendrá, es igualmente demencial. Si juntas eso con FTP... me dan escalofríos solo de pensarlo, es poner un cartel luminoso que diga: Por favor, roben mi información o infectenme con un ramsonware.

 

Nota final: Es posible, no seguro, que el HGU por otro lado tb esté reservando para sí mismo el puerto 21, pero esto no lo puedo asegurar ni certificar, dado que depende del modelo en concreto... pero podría estar usándolo para sí mismo, lo que implicaría que tal cual tampoco podrías usarlo... razón además adicional para no usar estos protocolos, y menos aun en sus puertos por defecto.

-------------------------------------

 

Saludos.


Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 2 de 4
1.100 Visitas
0 votos
Responder
Babelia
Yo probé el VDSL
Yo probé el VDSL
‎10-10-2024 18:00

‎10-10-2024 18:00

Gracias por la respuesta.

La VPN es L2TP y con el router anterior funciona perfectamente, es con el nuevo con el que no se conecta ni en local ni desde internet.

Respecto del FTP, ya entiendo que no es muy seguro pero tengo el NAS Synology bien protegido por lo que en todo caso si alguien quiere entrar no lo tendrá fácil, por ejemplo las ip permitidas solo son las de los clientes, es decir que en principio si alguien quiere conectarse con una IP diferente a las que están permitidas, rechaza la petición.

Del resto de tus explicaciones ya tengo claro todo lo que me dices, ya digo en mi mensaje que tengo todo configurado y funcionando en el router antigui Askey RTF8115VW pero que esa misma configuración en el Smart Wifi 6 GO no me funciona.

Respecto de la  DMZ, por supuesto que no lo uso, lo que decía es que para descartar un problema de puertos, lo configuré para probarlo pero tampoco funcionó. Lógicamente una vez probado la volví a quitar. También probé quitando el cortafuegos y lo volvía a activar pues tampoco cambió nada.

En realidad continuo con el tema casi por cuestión personal ya que no tengo ninguna queja del router viejo y el nuevo me lo mandó Movistar gratuitamente por lo que si finalmente no consigo hacerlo funcionar simplemente lo devolveré.

Saludos y gracias por tu información.

 

Mensaje 3 de 4
1.082 Visitas
0 votos
Responder
Theliel
Yo probé el VDSL
Yo probé el VDSL
‎10-10-2024 19:13

‎10-10-2024 19:13

Buenas @Babelia 

 

En lo que respecta a la VPN... pues como te decía, L2TP/IPSec no son VPN adecuadas para NAT. Usan ESP y AH como protocolos, y ambos como te decía no se crearon para ser usados en entornos NAT. Dependiendo del Router, Fabricante, entorno y suerte... puede o no funcionar. No importa que funcionase antes o no funcionase ahora, estás usando tecnología no adecuada para NAT.

 

Sí, algunos fabricantes implementan en algunos de sus equipos estas técnicas que he comentado antes, para poder solventar en parte estos problemas (passthrough, helpers, ALG...), pero esto no soluciona el problema real. ¿Por qué?

 

1º. Los fabricantes tendrían que implementarlo en el Router estos ayudantes, cosa que cada vez es menos habitual, cuanto más actual sea el Router más raro será que lo tenga. Son protocolos considerados obsoletos, de otras épocas. Aun es habitual encontrarlos en algunos entornos por cuestiones históricas más que nada, y desconocimiento por otros lados.

 

2º. Aun cuando son implementados, en muchos casos requieren ser habilitados, puesto que no es recomendable tampoco que lo estén por defecto. Piensa que hay unos cuantos ayudantes de este tipo, por ejemplo también FTP, H323, SIP, RTSP, GRE... los equipos dispositivos que suelen implementarlos pueden tener uno o varios de estos, en función de más a menos habitual. Por ejemplo, de poner alguno se suele implementar el de SIP. SIP es un caso particular, porque en el caso de SIP para solventar los problemas es muy normal usar servidores STUN para esto.

 

3º. Aun cuando estén implementados y estén habilitados por defecto (o se pueda habilitar a voluntad), tampoco tienes garantía ninguna de funcionamiento. Va a depender del tipo de NAT del origen y del destino, del software VPN, del entorno... en algunos escenarios pueden funcionar bien, en otros no. Por qué? Porque son "trampas" que añaden los fabricantes para intentar paliarlo, no es una normativa ni un estándar.

 

Tienes el ejemplo sencillo con FTP. Con FTP pasa algo similar. Por qué por lo general no hace falta nunca habilitar un ayudante para FTP? Porque hace ya tiempo que FTP creó el modo pasivo. El modo pasivo no es una característica original de FTP, es algo mucho más moderno para lidiar con los problemas de NAT... aunque obliga a un servidor FTP a una configuración más compleja, pero soluciona el problema de los clientes FTP, que suele ser más problemático. Con SIP como digo pasa similar, y se extendió el uso de servidores STUN.

 

Pero otros protocolos no amigables con NAT, como ESP/EH/GRE... usados por las VPN citadas, no evolucionaron... no pueden realmente hacerlo del modo que se adaptaron los otros. Así que tan solo queda o usar una VPN algo más moderna en el que todo son ventajas... o seguir lidiando con los problemas de VPN viejas. Y repito, no hay solución real a esto, puesto que incluso estos ayudantes no solucionan el problema realmente, en el mejor de los casos es patada hacia delante... hasta que aparezca el problema de nuevo.

 

----------

 

Usar FTP, aun cuando se permiten solo ciertas IP, sigue siendo extremadamente peligroso. Cualquier captura de tráfico automáticamente te da usuario y contraseña. Y la IP se falsea. Más aun en FTP donde el canal de datos es diferente al canal de control, con lo que se puede redirigir todo el tráfico a otra máquina, pesando el Router que habla con quien debe de hablar. A ver... por algo existen a día de hoy los sistemas de autentificación, por eso a día de hoy se sigue usando de forma extremadamente extensa SFTP (no confundir con FTP seguro, que a veces podemos verlo también como SFTP, sino FTP sobre SSH). Además, un filtro de IP tampoco evita ninguna explotación de vulnerabilidades, la IP de origen se falsea, el atacante no necesita que la víctima responda, (que respondería a una IP diferente a la del atacante) a su propio equipo, solo tiene que explotar la vulnerabilidad y listo, se ha montado la fiesta en el NAS.

 

Y peor aun... puertos conocidos expuestos...

 

---------

 

En cualquier caso, mucho de todo ello es lo que uno quiera hacer en su propia red, y por supuesto cada uno es libre de hacer/configurar lo que quiera en su casa, son solo consejos de como están las cosas a día de hoy, es más, casi con seguridad si lo has tenido así, sin que lo hayas sabido siquiera, alguien ya ha estado entrando/saliendo (sea un bot o no, cogiendo/quitando o simplemente escaneando). El "ruido" de internet es enorme, te puedo enseñar registros diarios de intentos de acceso de todo tipo: triviales, intentando explotar vulnerabilidades, escaneos, fuerza bruta, altamente sofisticados...

 

-------

 

De todos modos ya te he comentado los problemas y soluciones de usar dichos protocolos, no de cara a la seguridad sino a que funcionen mejor o peor por NAT. Se puede configurar un servidor FTP en modo pasivo para facilitar la labor a otros clientes FTP o al revés, pero toca configurar. Y con L2TP... esto tiene menos solución... como no sea claro está usar alguna VPN decente, a poder ser Wireguard, que es como pasar de tercera división a ganar la champion, o OpenVPN si se prefiere una personalización extrema, pero en comparación más lento que el primero.

 

Saludos.


Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 4 de 4
1.067 Visitas
0 votos
Responder