Problemas IP pública

Buenos días Melsion,

Nos alegra que se haya podido solucionar, del mismo modo, agradecerte que hayas compartido con la Comunidad los pasos efectuados.

Por nuestra parte quedamos a tu disposición ante cualquier duda o consulta que te pueda surgir en un futuro.

Un saludo

Victoria 

Hola Melsion

Vemos que has sido asesorado por Theliel, al cual agradecemos como siempre la colaboración y la información facilitada. 

Por lo que indicas ya lo has podido solucionar, ¿podemos ayudarte en algo más?.

Un saludo.

Nacho.

Buenas Melsion 

Como te digo la IP no era de Movistar, con lo que me hace pensar que fuese un problema del propio equipo, ya fuese infectado con un malware que estuviese proxeando la conexión, alguna suite de seguridad instalada... a saber.

Cambiar el puerto es con mucho la forma más eficiente de evitar ataques. Sí, un escáner de puertos integral te revelaría el servidor SSH en cualquier caso, pero nadie hace eso a menos que sea un ataque dirigido, y si es un ataque dirigido en cualquier caso no tienes nada que hacer, y menos con el Router de un ISP. Los ataques dirigidos son por lo general efectuados solo a objetivos llamemos "de importancia", ya sean gobiernos, infraestructuras importantes etc etc, no un usuario más o menos doméstico.

El principal problema no son ese tipo de ataques, sino el "ruido de fondo" de Internet, es decir, miles o decenas de miles de redes zombie, de malware que busca 24/7 cualquier objeto en Internet que pueda ser vulnerable. Ese tipo de ataques no escanean todo el rango de puertos de un objetivo, si es que los escanea, no sería viable en tiempo ni sería práctico!! En vez de eso es mucho más rápido y efectivo centrarse en puertos conocidos donde pueden hacer funcionar servicios vulnerables. Es por esto que es la mejor forma de evitar todo ese ruido.

Por otro lado, no tengo del todo claro lo que te refieres con "clave compartida". Para iniciar sesión por SSH se requiere una identificación, con total independencia del cifrado usado. Esta identificación puede hacerse por medio de login, o por medio de claves asimétricas. Pero la identificación poco o nada tiene que ver con la encriptación, que en SSH se hace por medio de clave compartida, aká cifrado simétrico. Es decir, primero se cifra el canal por medio de una clave simétrica que es negociada generalmente por medio de una clave asimétrica. Y una vez el canal está cifrado se requiere la autentificación, que se hace por login y/o claves asimétricas.

En cualquier caso, esto no es relevante en cuanto a la exposición de un dispositivo. Sí, por supuesto, hace mucho más seguro el sistema ante cualquier intento fraudulento de acceso por credenciales, ya sea fuerza bruta o simplemente intento de adivinación. Pero ese no es el problema, el problema son las vulnerabilidades a las que cualquier servicio que está detrás está expuesto. O dicho de otro modo, da igual lo complejo que sea el candado y las combinaciones posibles que pueda tener, como si pones una trampa que en cuanto pongas una combinación mala llamas a la policía!! Puesto que si llevas un cortafríos y cortas el candado directamente, no te hace falta saber la combinación exacta, ni disparas alarma alguna. ESE es el problema.

-----------

A menos que uno tenga conocimientos avanzados sobre redes y dispositivos configurados para cualquier tipo de contingencia, tapando todos los posibles problemas derivados de, JAMAS se debe de exponer un servicio interno a sus puertos por defecto, máxime cuando además se puede evitar sin ningún tipo de contrapartida, esto es una regla de oro.

---------

El motivo por otro lado por el que los HGU usan dicho puerto, es porque lo usan para uso interno, igual que el 80 o el 443. Algunos HGU permiten modificarlos, otros no. Personalmente siempre he dicho que de rebote me parece una medida de seguridad buena, para evitar que usuarios menos avispados cometan insensateces, que no será ni el primero ni el último que ve como se le cuelan hasta en la cocina.

Saludos compañero.

Sinceramente no entiendo lo de la IP "falsa", me estaba volviendo loco, pero lo cierto es que tras resetear el router ya no pasa.

Respecto al puerto 22, por un lado el equipo en cuestión es una Raspberry que uso para trastear y subir archivos absolutamente prescindibles y nada importantes, No era el dispositivo que usaba para investigar el problema. Igualmente, cambiar el puerto no sirve de mucho ante cualquier escaneo de puertos, aunque solo sea mi opinión, SSH con acceso vía login desactivado (acceso únicamente mediante clave compartida con un cifrado decente) junto con el Fail2Ban (baneo de 1 mes al primer intento fallido, como no uso contraseñas no puedo equivocarme) me da una tranquilidad más que suficiente.

He insistido con el puerto 22 y parece que el puerto está bloqueado, no entiendo que lo reserven y más aún que lo hagan sin avisar a los que lo usen. En fin...

Saludos!

Buenas Melsion 

La IP "falsa" pertenece a un servidor Proxy de CloudFlare, dudo que Movistar esté usando CloudFlare para nada, ni para la conexión segura ni para otros menesteres.

Acabo de leer tu segundo privado, que configures el puerto en cuestión no interfiere de ningún modo en la gestión del router, y mucho menos en que tu conexión haya sido proxeada. Probaste antes de resetearlo en otro dispositivo para ver si te sucedía lo mismo??

Más que nada porque el problema de origen debe de estar en tu propio dispositivo, repito que no es una dirección que Movistar vaya a usar en modo alguno, y no afecta en nada que mapees o no el puerto 22, que por otro lado es una barbaridad usar como puerto externo el 22, se pueda o no se pueda configurar, es poner un cartel luminoso de "Piratéame". O dicho de otro modo, si estabas realmente mapeando el 22 externo al 22 del equipo interno, es más plausible que se hubiesen hecho con el control del equipo y estuviesen proxeando la conexión ilegítimamente que otra cosa.

Siempre se debe de modificar el Router desde el Router, no desde Alejandra, que al final es usar un intermediario para ello.

Buenas Melsion 

Puedes comprobar la IP en uan web como la que te he comentado, con cualquier otro dispositivo como te he dicho? si lo haces con un móvil, que IP aparece? La del Router? la otra?

Por otro lado, puedes enviarme por privado la IP que supuestamente te da la Web? es decir, llamemos la "ip falsa" y por otro lado la IP también que es asignada al Router?

Muchas gracias por su elaborada respuesta Theliel.

Entiendo todo lo que dices, pero menciono lo de "Conexión segura" porque tengo la sensación de estar bajo una VPN, me explico:

el router me indica una IP, que es la misma que registra la aplicación de DynDNS, el router funciona perfectamente, y si intento conectarme a mi ordenador desde mi propio router tanto usando la IP como resolviendo DNS funciona perfectamente. 

Pero si uso un servicio como el de whatismyip.com o el que mencionas, me dan una IP diferente a la que indica el router. Dicha dirección coincide con la que me da DynDNS cuando me entro en su web. Mi problema es que ninguna de esas direcciones parece válida o visible desde ningún otro sitio, por lo que no puedo conectarme a mi ordenador.

Insisto en que no es un problema de DynDNS ya que aunque intente conectarme desde fuera usando la IP, la dirección no es válida, y la dirección que me da el router e incluso el portal Alejandra no coincide con la que ven otros servicios a los que me conecto. Además, no tengo configurado ni contratado ningún servicio de VPN ni nada parecido.

Por especificar algo más, la conexión que uso es un SSH, que funcionaba perfectamente hasta que me encontré con esta "doble IP" y que he comprobado que sigue funcionando.

¿Alguna idea?

Buenas Melsion 

Conexión Segura en esto no tiene absolutamente nada que ver.  Aunque es cierto que es algo así como un "proxy", en realidad lo que hace es filtrar el tráfico DNS.

Pueden ser varias cosas.

Lo primero, si quieres ver realmente la IP que tienes y la que "ven" otros servicios es tan simple como mirarla en cualquier servicio web, el propio test de velocidad de Movistar te la da, o puedes acceder directamenta a

https://www.cual-es-mi-ip.net/

Esa IP debería de coincidir con la IP asignada al Router. Tan solo en el caso de que tu equipo esté proxeando la conexión o una VPN o cualquier historia similar, la IP debería de ser la misma... esto es válido al menos en Movistar España en conexiones fijas, ya que las conexiones móviles usan CGNAT por defecto.

Aclarado eso, si el Router está bien configurado y el servicio DynDNS del Router está actualizado, el servicoi DynDNS debería de ser capaz de mantener actualizada la IP. Es cierto que muchas veces cualquier cambio que hace el proveedor DDNS "rompe" la implementación que los Router poseen, lo que obliga a tener que esperar un tiempo indeterminado, si es que se soluciona, a que el fabricante quiera o no actualizar el cliente DDNS del Router.

Hay que tener en cuenta que los fabricantes que no posee un proveedor propio de DDNS, te pueden como mucho ofrecer una serie de proveedores de terceros, que pueden funcionar mejor o peor, o como digo dejar de funcionar en cualquier momento. Al no ser un servicio de ellos, no pueden controlar cualquier cambio que el proveedor DDNS quiera hacer.

Es por esto que siempre he recomendado en entornos avanzados usar soluciones consistentes que no dependan de terceros, ya sea un dominio propio, por ejemplo, o un Router propio que podamos configurar el proveedor que queramos o incluso varios de ellos por tolerancia a fallos... etc etc etc.

Sobre DynDns en particular, es un proveedor que cada vez más ha ido en declive. Cierto es que hace muchos años era la única opción posible, y era gratis de echo, pero a lo largo de los años ha ido empeorando tanto la calidad del servicio como en todo lo demás. No es precisamente el proveedor que aconsejaría a nadie ahora mismo.

------

En cualquier caso, verifica que la IP que te devuelva cualquier Web es efectivamente la que tenga el Router asignada, sino lo es, comprueba con cualquier otro dispositivo cual le aparece. Y a partir de ahí se puede ir viendo cual es el problema.