[TECNICO] Configurar router neutro para que lleve el trafico WAN y IPTV pero que VoIP sigua en router de Movistar

Hola riahc3

Si lo deseas, dejamos el hilo abierto por si algún otro usuario desea aportar alguna información al caso. De todas formas, damos las gracias a Theliel por lo colaboración.

Un saludo.

Nacho.

No voy a leer mas textos que no van a ningun sitio.

Podeis proceder a cerrar el hilo y creare uno nuevo.

Buenas riahc3 

Poco me conoces si crees por un instante que tengo alguna necesidad de que se esté de acuerdo conmigo o tener razón, me es totalmente indiferente. Te recuerdo que eres tú quien acude a este foro buscando asesoramiento/guía/orientación para hacer algo de lo que no tienes conocimiento para ello... pero sí, estoy seguro que quien no tiene claro algunos conceptos soy yo, y que quiero hacer ver lo blanco negro cuando se dicen, desde mi opinión, barbaridades como que cualquier dispositivo de capa 2 (o de cualquier otra) es igual a otro que sea también de capa 2 y hacer lo mismo. Máxime con todos los ejemplos que he puesto.

No es cuestión de tecnicismo, no es cuestión que el fabricante pueda ocultar o no dar acceso a dicha funcionalidad. Es algo tan simple como que no se implementa, no se soporta, no se incluyen dichos protocolos. La lista es tan enorme... Intenta hacer CoS en un Switch tipo "tonto", y ahora dile al fabricante que es que si que puede pero que tienen la funcionalidad oculta. Dile también a todos los fabricantes eso de que todos los Router son iguales y que solo cambian las prestaciones técnicas (Memoria, SoC...), que como son dispositivos multicapa (al menos de capa 3), pueden hacer TODO lo que se puede hacer en capa 3. Y mejor ni hablar de la capa 1/2 puesto que está claro que para ti un adaptador WIFI es exactamente lo mismo que un adaptador Ethernet. Ah, y sí, a nivel físico es electrónica en esencia, y no, la electrónica no es igual, te guste o no te guste la electrónica que tiene un adaptador WIFI es muy diferente a la electrónica que tiene un adaptador Ethernet. Incluso la electrónica de dos dispositivos WIFI diferentes será diferente. Tu asunción de que un dispositivo de capa X es igual y puede hacer lo mismo que otro de capa X es simplemente un sinsentido, da la sensación que te has metido tú mismo en un buen berenjenal del que simplemente no quieres salirte.

No es que te pueda poner 1 ejemplo, es que por cada capa te puedo poner decenas de ellos, sin que tenga nada que ver lo que haya "ocultado" un fabricante o te quiera o no dar acceso.

-------

Respecto a SNAT/Masquerade, lo mejor que puedes hacer es hablar directamente con el señor Torvalds para decirle que puede simplificar la parte de nftables del kernel y dejar solo 1, porque son iguales a fin de cuentas y Masquerade puede usarse con una IP estática. Como ya te dije desde el principio, no solo es una cuestión de modificar la IP de origen, entre otras cosas, por ejemplo gestionan de forma diferente el seguimiento de las conexiones o que tienen obviamente un rendimiento diferente. Me resulta cuanto menos curioso que cuando puse el término y en el contexto que lo hacía, ni siquiera sabías de que estaba hablando. Pero repito, ¿dices que es lo mismo? Para ti la perra gorda, no tengo problema alguno, es lo mismo y yo estoy equivocado.

------------------------

Me resulta cuanto menos... sorprendente,  los años que llevo configurando mis propios dispositivos (y el de muchos otros) sin problema alguno, sin necesidad de guías o de otras historias o de preguntarle a nadie, funcionando todo perfectamente... y en cambio tener tantos conceptos equivocados como parece que tengo. Desde luego debo de tener una suerte increíble, me siento afortunado.

Por mi parte, doy por concluido este hilo, prefiero invertir el tiempo libre que dispongo en usuarios que realmente lo necesitan, obviamente no es tu caso que no necesitas ayuda alguna (ergo no tengo muy claro la creación de este hilo). Eres libre de pensar, creer y hacer lo que estimes, el hilo ahí queda de cualquier modo, por mi parte no tengo problema alguno en ello, por suerte no nací ni con orgullo ni con soberbia. Gracias por las diferentes disertaciones y suerte.

Un saludo.

Pues entonces pregúntale a  un adaptador WIFI (802.11) si entiende T568A/B, o intenta conectar un RJ45 a un modem DSL

A nivel capa 1, si. Son circuitos electronicos , no? Es asi o no es asi? Porque si qieres ponerte quisquilloso con todo 😂

Otra cosa es que necestian protocolos y demas de capa 2 para hacer el bridging....Disculpa, puente, que esta claro que desconoces los terminos en ingles.

Con una capa 2 de bridge por medio, se entienden perfectamente.. Todo lo de capa 1 es exactamente lo mismo: Circuitos electronicos fisicos.

No. No lees, ya te dije en una contestación anterior que NO ES LO MISMO, y puse de echo las diferencias:

Un pajaro es lo mismo que una paloma? Si contestas "no", ya no entres mas porque no merece la pena discutuir con una persona que solamente quiere tener la razon.

SNAT y lo que llamas tu "enmascarar" el trafico ES LO MISMO. Porque uno es estatico y el otro dinamico NO CAMBIA QUE ESTAS CAMBIANDO UNA IP DE ORIGEN. SOURCE Network Address Translation. Estas traduciendo la direccion de origen. Que mas da si es estatico o dinamico? Es lo mismo,

Y NO!! No puedes hacer todo lo que uno quiera en L3.

No se si es que todo el mundo en tu entorno te dice si a todo y ya esta pero lo siento, aqui no funciona asi. Un dispositivo L3 (si realmente es de L3) puede hacer absolutamente todo. Insisto, si el fabricante oculta la funcion, lo hace dificil acceder, etc. por supuesto configurarlo puede ser imposible PERO si es realmente es L3, deberia soportarlo.

Theliel Has convertido en el hilo en un "yo quiero tener la razon"....Y como con gente como tu no se puede razonar y solamente estan encabezonados en tener la razon te dire un "lo que tu digas" y ya esta por mucho que no la tengas. No voy a perder mas el tiempo explicandote conceptos basicos y generales mientras que tu quieres buscar agujas en un pajar. 

Buenas riahc3 

"Creo que no estas entendiendolo del todo entonces te lo simplifico a nivel aun mas bajo: Capa 1... Por supuesto que te puedes hacer un cable T568x pero todos los medios de capa 1 entienden T568A y T568B "

Pues entonces pregúntale a  un adaptador WIFI (802.11) si entiende T568A/B, o intenta conectar un RJ45 a un modem DSL, Son solo dos ejemplos de dispositivos/Protocolos de Capa 1, mientras que los que expones pertenecen a 802.3. En todo caso, un dispositivo de red 802.3 (Ethernet) le podrás conectar un cable siguiendo la forma T568A/B, que es bien diferente.Y repito, en todo caso, pues en el siguiente ejemplo no siquiera tiene por qué cumplirse.

Incluso en 802.3, tampoco  se cumple lo que insinúas. Dentro de 802.3 (Repito, capa 1), tienes por ejemplo 802.3ab (1000Base-T, GigaEthernet), o también 802.3an (10GBase-T, 10GEthernet)... y no hace falta decir que sólo será posible acceder a dicha velocidad/especificación sí y solo sí el adaptador es compatible con dichos protocolos. O por ejemplo muchos adaptadores de red algo más viejos no eran compatibles con cables cruzados mientras que a día de hoy la mayoría lo son. De nuevo, más ejemplos de que en absoluto todos los dispositivos de Capa X son iguales, ni siquiera usando, como vemos en este caso, el mismo protocolo "base".

O si quieres pasamos a un adaptador 802.11, que además de no entender ni papa de T568A/B, dependiendo del adaptador soportará unos estándares WIFI u otros diferentes.  Y todo ello sigue siendo Capa 1 (Realmente Capa 1 y 2). Según tu modo de enfocarlo, todos los dispositivos 802.11 al menos tendrían que ser iguales.  Cosa que no lo es, y ya no solo dentro de 802.11, sino que menos aun como he dicho si comparas 802.11 con 802.3

Le puedes dar las vueltas que quieras a ello y a la capa que quieras 🙂

----------

"SNAT es como correctamente se denomia lo de "enmascarar""

No. No lees, ya te dije en una contestación anterior que NO ES LO MISMO, y puse de echo las diferencias:

"Enmascarar es similar a hacer SNAT, pero no es lo mismo, no se "NATea". Las conexiones no se registran igual, no se requiere tampoco ninguna IP de origen, sino que automáticamente es usada la IP de la puerta de enlace a la que se enmascara."

Más claro explicado imposible. Y es totalmente necesario enmascarar en muchos escenarios donde no es posible hacer SNAT. De echo en la mayoría de los Router existirán reglas de enmascaramiento, pero no SNAT.

Más pruebas? Copiar/pegar las reglas iptables del HGU Askey de la cadena postrouting:

# iptables -nvL POSTROUTING -t nat
Chain POSTROUTING (policy ACCEPT 704K packets, 59M bytes)
 pkts bytes target     prot opt in     out     source               destination
 631K   49M HAIRPIN_POST  all  --  *      br0     0.0.0.0/0            0.0.0.0/0
 7666  521K MASQUERADE  all  --  *      veip0.3  192.168.1.0/24       0.0.0.0/0           mode: fullcone
    0     0 MASQUERADE  all  --  *      veip0.2  192.168.1.0/24       0.0.0.0/0

------------

"Si es un router, puede hacer todas las capacidades en cuanto L3. AHORA, que el fabricante las oculte "

Hablo de Router Asus como puedo hablar de cualquier otro. Y NO!! No puedes hacer todo lo que uno quiera en L3. Por supuesto que el fabricante puede ocultarlas o no permitir el acceso, pero es que puede directamente no implementar la cantidad de protocolos o funcionalidades que le de la gana. No que lo oculte, repito, que directamente no lo implementa en el hardware/software, así de simple. Te puse el ejemplo de IGMP Snooping ya, muchos Switch pueden implementarlo, muchos otros no. Pero eso es extrapolable a TODO, y a la capa que sea. Si posees un Router del fabricante que sea que no implementa en software/hardware VLAN, ya puedes llorarle lo que quieras que no tendrás VLANs, aunque tengas acceso total al dispositivo.

Saludos.

Creo que no estas entendiendolo del todo entonces te lo simplifico a nivel aun mas bajo: Capa 1.

Ethernet, fibra, etc. son todos componentes diferentes de la capa 1 y estan bien definidos no? Cada uno es diferente pero siguen siendo fisicos cada uno de ellos. Por supuesto que te puedes hacer un cable T568x pero todos los medios de capa 1 entienden T568A y T568B 

Has escrito un párrafo en el que no estas hablando de absolutamente nada y/o repitiendo las cosas. SNAT es como correctamente se denomia lo de "enmascarar", DNAT cambias el destino, y SNAT cambias el origen. Ese es el resumen. Honestamente, no se que estas intentando decir en 20 lineas de textaco.

Te pones hablar randomly de routers de Asus. Vale, supongo, OK. Si es un router, puede hacer todas las capacidades en cuanto L3. AHORA, que el fabricante las oculte y/o hace el acceso o modificación a ello dificultoso, eso es otro tema TOTALMENTE diferente.  Eso es totalmente cierto. Un trunk en los switches cisco y HPE son lo mismo pero lo que quieres conseguir, se puede hacer igualmente de otra forma.

De todas formas, estamos yendo a temas totalmente offtopic

Buenas riahc3 

Vamos a ver... depende lo que quieras decir con que funcionan exactamente igual. Desde mi opinión personal, no funcionan todas igual ni mucho menos. Las capas son descriptivas, son "directrices" de como se deberían de jerarquizar sobre ella diversos protocolos, divididos en diferentes capas a fin de cada una pueda ser independiente.

Análogamente, es como decir que todas las funciones de la capa 7 son las mismas para todos los sistemas operativos. Pues desde mi interpretación del modelo OSI/TCPIP va a ser que no, cada OS implementa los protocolos como le da la gana, al igual que los navegadores Webs implementan HTTP/HTTPS de forma diferente, al igual que tenemos diferentes servidores HTTP, diferentes servidores/clientes FTP... es más, podemos o no tener un cliente FTP, y todo ello es capa 7. Decir que todas las funciones en capa 7 funcionan igual sin importar el software/dispositivo... lo único que es igual es que sigue siendo capa 7, y nada más, es decir, que en todos ellos están usando la capa más alta descrita en el modelo OSI, y que por ende todos los protocolos que funcionan en dicho nivel comparten ciertas características... o no estarían en dicho nivel.

Con la capa 2 es lo mismo, no creo que sea adecuado decir que todos los dispositivos funcionan igual en capa 2, cuando pueden usar protocolos bien diferentes que hace que en capa 2 realicen funciones muy diferentes unos de otros, incluso realizando las mismas funciones no lo hacen igual, no funcionan igual. Al menos por supuesto desde mi perspectiva.

--

Respecto SNAT/DNAT no tengo claro que es lo que te estás refiriendo. Obviamente no dejan de ser siglas que en un momento dado se le puede dar un significado u otro, según lo que se esté leyendo y el contexto. Sí, en la Wiki pone que según el fabricante... Pero obviamente en el contexto que se está usando es como análogo a DNAT. Es decir, D de Destination, S de Source (Destino y Origen). Que en otro contexto la S pueda ser de Static, o de Secure o de lo que se quiera, no cambia el sentido en el contexto que se está utilizando.  Simplemente pongo SNAT porque es más rápido que escribir "Source NAT", y porque en la mayoría de los sistemas Operativos, especialmente Linux que es lo que corren la inmensa mayoría de dispositivos (en redes), existe directamente la directiva SNAT/DNAT en iptables

Dicho de otro modo, es una mera cuestión de de siglas y contexto, pero de cualquier modo el uso/funcionalidad es exactamente la misma.

DNAT: Modifica la IP al vuelo de Destino

SNAT: Modifica la IP al vuelo de Origen

Casi todos los equipos residenciales hacen NAT, así que en cualquier conexión "normal" de un equipo dentro de la red local hacia cualquier destino, se hace tanto SNAT como DNAT de forma transparente. Eso no quita que no se pueda hacer específicamente SNAT o DNAT para cuestiones concretas que no son sólo una conexión normal local -> Internet.  Así por ejemplo, generalmente un reenvío de puertos se hace esencialmente con DNAT. Mientras que por regla general no se usa de forma aislada SNAT, porque cuando se requiere algo "similar" se hace enmascarando el tráfico, no haciendo SNAT. Tanto DNAT como SNAT se usan no solo para permitir conexiones Uno-Varios, son herramientas que se usan para hacer NAT, y que pueden ser usadas como acabo de exponer en algunos ejemplos, para moverte por diferentes redes, dado que para acceder a dicha red puedes necesitar obligatoriamente una IP en otro rango o sería filtrada. No es el concepto de "NAT" que usamos en los Routers, que efectivamente lo que permite en esencia es compartir la conexión a Internet con todos los dispositivos de casa.

---

Es que si se saben estos conceptos, el único "problema" es en esencia implementarlos, y eso ya es cosa de cada cual, teniendo en cuenta como dije al principio de todo el hilo que hay en el mercado un número ingente de fabricantes (y aun más modelos) de dispositivos. Desde dispositivos imposible de configurar para ello, a sistemas operativos diferentes, peculiaridades diferentes. Yo mismo he escrito en este foro en alguna ocasión alguna configuración para Router Asus para ello, e incluso así, usando dispositivos Asus similares, lo más probable es que no funcionase, a menos que cojas el mismo modelo y la misma firmware.

Saludos.

---

Theliel  ha escrito:

 

 

 

Bueno, yo no he dicho nada de ello al respecto (creo), pero aun con todo, y nada tiene que ver con la cuestión principal del hilo, lo que dices no es así. Todo lo que pasa en la capa 2 no tiene por qué ser ni por asomo lo mismo que pasa en la capa 2 de otro dispositivo. La capa 2, como el resto de capas en las que se divide el modelo OSI, tiene su función definida, y esta función definida es la misma para todos... obviamente, el modelo es el mismo. 

 

 

---

Aquí te estas contradiciendo a ti mismo. Todas las funciones a capa 2 funcionan exactamente igual. Punto. Por supuesto que un fabricante puede decidir no incluir una característica o otra pero eso no cambia el funcionamiento. Son cosas totalmente diferentes.

Lo que he puesto es la IP, la mascara y la puerta de enlace que tiene la red de IPTV en mi HGU. Disculpa que no le deje claro.

De por si, SNAT es diferente por cada fabricante. Por logica al contrario del DNAT, se cambia el SNAT para hacer una conexion de uno a varios. Insisto que "enmascarar el trafico" esta mal dicho y nadie utiliza ese termino en ingles.

Me parece genial utilizar RIP. La informacion que he podido informarme es que habia que poner rutas estaticas pero si se puede configurar RIP en todos los dispositivos,  de mil maravillas.

A todo esto, me estas hablando de conceptos que ya se saben cuando realmente estamos hablando de como configurar todo esto. Es decir, no tenemos un gran avance en cuanto implementacion.

Lamentablemente, no he podido probar ninguna de tus propuestas (gracias) pero en cuanto pueda, lo implemento. 

Buenas riahc3 

No le veo sentido no por usar dispositivos que sean mejores, sino por usar dispositivos que uno no es capaz de utilidad como le gustaría porque en ese momento es algo que le supera, y esto a su vez lo que provoca es más problemas. Cuando realmente uno bien podría adquirir los conocimientos necesarios y luego meterle mano al asunto.

"Por mucho que los routers sean diferentes, todo a nivel capa 2 sigue siendo exactamente igual. No hay diferente entre hacerlo en un pfSense que un router de AliExpress. El concepto es exactamente el mismo."

Bueno, yo no he dicho nada de ello al respecto (creo), pero aun con todo, y nada tiene que ver con la cuestión principal del hilo, lo que dices no es así. Todo lo que pasa en la capa 2 no tiene por qué ser ni por asomo lo mismo que pasa en la capa 2 de otro dispositivo. La capa 2, como el resto de capas en las que se divide el modelo OSI, tiene su función definida, y esta función definida es la misma para todos... obviamente, el modelo es el mismo. Pero los protocolos que son usados (o pueden serlo) en cada capa pueden ser de los más variados, y más aun las implementaciones que puedan hacerse de ellos. Claro que hay diferencias, y muchas. No digo para bien o para mal, digo que claro que las hay. Por ejemplo, CoS funciona en la capa 2, y en esencia el 100% de todos los Switch "tontos" no lo implementan, y la mayoría de Routers tampoco. IGMP Snooping funciona en esencia también en Capa 2 (aunque IGMP es un protocolo de la capa 3), y de nuevo existen multitud de dispositivos que lo implementan y muchos otros que no. Y esto se repite básicamente a cualquier capa. Las capas son las mismas en cuanto a su finalidad, pero las implementaciones y protocolos/funcionalidades que cada dispositivo tenga es otro cantar.

-----------

Volviendo ahora ya al hilo en sí mismo

Rutas:

No tengo claro que es lo que has puesto, está separado, pero mientras que la primera y la tercera IP podría ser una puerta de enlace o una IP final, la del medio es una máscara, con lo que incluso todo ello podría estar haciendo referencia a una sola Ruta.

En cualquier caso, eso no es/son las rutas IPTV... o donde vives Movistar tiene desplegada una infraestructura diferente a lo que estamos acostumbrados.

Eso sin contar que las rutas pueden cambiar, de ahí la necesidad de usar RIP. Sí, se puede simplificar y evitar hacer uso de RIP, mirar las rutas que obtiene el HGU directamente y "adaptarlas" a nuestro propio dispositivo. El problema de esto es que antes o después las rutas cambiarán, y dejará de funcionar cualquier cosa. Mientras que del otro modo, si deja de funcionar algo posiblemente no sea por culpa de rutas.

Enmascaramiento:

Sí, la mayoría de términos españoles no suelen ser muy... "finos". Realmente no es de "Masking" que sería a lo mejor la traducción más esperada, sino de "Masquerade", aunque tampoco es raro usar en ingles "masking".

Enmascarar es similar a hacer SNAT, pero no es lo mismo, no se "NATea". Las conexiones no se registran igual, no se requiere tampoco ninguna IP de origen, sino que automáticamente es usada la IP de la puerta de enlace a la que se enmascara.

DNS:

Al igual que dije en las rutas, uno puede enfocar la configuración como prefiera. Puede simplificarse un poco como se quiera, o se puede optar por una configuración integral que lo administre todo. Por poder puedes asignar a dedo por IP/MAC un servidor DNS concreto, o incluso más cutre/simple aun, puedes incluso añadir a mano al archivo host del sistema o al demonio DNS que se use, directamente la resolución de los dominios que requiera el Deco resolver en forma de una "lista estática" de dominios <-> IP.

Al final, el resultado que se va a obtener entre las diferentes formas de "implementar" el sistema, va a afectar por lo general al futuro y mantenimiento de la propia red.... siempre que no existan cambios importantes por parte de Movistar.

Es decir, si se implementa el sistema, por así decirlo, de forma "sólida" o "de forma completa", a menos que Movistar le de un giro a toda su estructura, te va a funcionar de forma indefinida sin que sea necesario tocar la configuración del Router o de tu red, sin importar por ejemplo que tengas que cambiar el Deco, o se modifiquen algunas rutas, empiecen a usar otros dominios para otros menesteres... Y esto lo hemos visto en el foro multitud de veces, de usuarios que teniendo un esquema similar vuelven con problemas porque de pronto les falla algo.

Ahora bien... por supuesto que puede... "simplificarse" todo. Cada cual ya lo que le compense. Yo a título personal prefiero que todo sea lo más automático posible y tolerante a fallos, poder olvidarme de todo sabiendo que simplemente va a funcionar "siempre". Pero las necesidades de cada uno son las de cada uno como digo.

Si no ves el sentido en alguien que quiere utilizar sus dispositivos superiores que los de Movistar entonces....no se como se puede explicartelo.

Por mucho que los routers sean diferentes, todo a nivel capa 2 sigue siendo exactamente igual. No hay diferente entre hacerlo en un pfSense que un router de AliExpress. El concepto es exactamente el mismo.

Las rutas de la IPTV se pueden ver en el propio HGU, si no recuerdo mal por ejemplo en la mia son

10.239.20.180

255.128.0.0

10.239.0.254

Tengo que verifiarlo ya que no tengo aqui delante los dispositivos.

Por "enmascarar el trafico", SUPONGO que te refieres a NATearlo de vuelta; En absoluto es personal o acritud pero los terminos en castellano, suelen ser bastante malos; Deepl dice que tu frase significa "All traffic going to the router is masked"; Para ti, que es "masked"? 

Eso no es problema ya que especificas una reserva DHCP, le asignas ese servidor DNS y listo. No tienes ni que mirar la MAC del vendor ya que el se identifica como cliente de Arris.

Pensaba que no era necesario para el VoIP ya que esta VLAN no va hacia el router neutro y sigue estando gestionado por el HGU. El unico problema real es el IPTV.