¡Resuelto! Ir a solución.
Hola kitus_san.
Resetea el router para que se actualice a la última versión de Firmware ( B38_2 ),
y vuelve a configurar la red de invitados.
Saludos.
Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.
Si necesitas contratar Fibra Óptica, comprobar tu cobertura Adsl y Fibra, o ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es
Hola kitus_san .
Reseteando el router el solo se actualiza automáticamente.
Saludos.
Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.
Si necesitas contratar Fibra Óptica, comprobar tu cobertura Adsl y Fibra, o ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es
Hola de nuevo.
No disponemos del archivo bin para poder descargarlo.
Prueba a realizar un Backup de la configuración, lo reseteas para que se actualice, y le
vuelve a cargar la configuración.
Saludos.
Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.
Si necesitas contratar Fibra Óptica, comprobar tu cobertura Adsl y Fibra, o ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es
Hola de nuevo.
Es la única forma de realizarla conservando los datos que tiene configurados
actualmente en el router, ya que por la configuración que tiene realizada, no
tenemos gestión para cargarlo en forma remota.
Saludos.
Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.
Si necesitas contratar Fibra Óptica, comprobar tu cobertura Adsl y Fibra, o ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es
Hola,
podríais por favor revisar el post que he hecho aquí: https://comunidad.movistar.es/t5/Soporte-T%C3%A9cnico-de-Fibra-%C3%93ptica/Aislar-red-invitados-en-H...
Os confirmo que estoy en la b38_2.
Gracias,
Hola kitus_san .
La red WIFI de invitados del HGU Mitrastar en la versión de Firmware b38_2 se comporta de la siguiente forma:
Saludos.
Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.
Si necesitas contratar Fibra Óptica, comprobar tu cobertura Adsl y Fibra, o ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es
Hola,
disculpa pero en tu respuesta no veo resuelta mi duda relativa al tráfico DHCP. No entiendo por qué la red guest y la no guest, comparten direccionamiento. Es más, que pueda hacer ping a la interfaz del router .1 no es sino una consecuencia de la implementación que hace este fabricante de la red guest, no?
Ya me dices.
Gracias,
Hola de nuevo.
El router solo tiene un servidor de DHCP y todas las IP pertenecen al mismo Pool de direcciones
privadas. Que pueda realizar PING a la interfaz del router es necesario para testar si tienes
conectividad IP con el router.
Saludos.
Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.
Si necesitas contratar Fibra Óptica, comprobar tu cobertura Adsl y Fibra, o ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es
Eso implica que el tráfico de los 2 SSIDs "se ve", y consecuentemente no son redes estancas entre si. Estamos de acuerdo?
Me podéis indicar cómo configurar el mitrastar con el soporte de VLANs, para poder segmentar el tráfico completamente usando un DHCP externo?
Gracias
Hola de nuevo.
Como indica la figura de arriba, los dispositivos conectados a la red de invitados no tienen
acceso a los dispositivos conectados a la red principal, ni los de la red principal a los de la
de invitados.
No damos soporte a configuraciones avanzadas, aunque el hilo esta abierto a que otros
usuarios aporten sus conocimientos y experiencias en configuraciones.
Saludos.
Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.
Si necesitas contratar Fibra Óptica, comprobar tu cobertura Adsl y Fibra, o ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es
Javim-Movistar escribió:
Como indica la figura de arriba, los dispositivos conectados a la red de invitados no tienen
acceso a los dispositivos conectados a la red principal, ni los de la red principal a los de la
de invitados.
disculpa, pero no estoy de acuerdo con esta afirmación. Si las peticiones DHCP de las 2 redes van al mismo scope de DHCP, es porque las tramas de una y otra red están en contacto. O no lo ves así?
Gracias
Buenas @kitus_san
Si y no.
No te puedo decir en el HGU Mitrastar y replicar el escenario ahora mismo no tengo tiempo, pero te cuento si quieres.
Por lo general, es cierto que puedes dividir dos redes de forma "sencilla" con dos dominios diferentes broadcast usando por ejemplo VLANs, y a efectos prácticos tendrías 2 redes, que sin configurar rutas para que pudiesen verse mutuamente, serían invisibles la una para la otra. Pero ojo, incluso en este escenario los equipos seguirían teniendo una puerta de enlace predeterminada, y como es lógico el Router sigue siendo accesible a nivel de ping y otros, de lo contrario directamente no tendrías conexión, los propios paquetes DHCP tienen que venir de algún lado, como es natural.
Ahora bien, en este caso la implementación no se ha llevado a cabo por VLANs, y usan el mismo servidor DHCP. Esto no tiene que causar ningún problema en principio tampoco, y es totalmente seguro si se realiza bien. Sencillamente, de forma interna a través de iptables/ebtables, se isolan, que es como los HGU lo hacen.
-Por un lado, usa iptables para denegar el acceso a los servicios del Router, interfaz web y otros... no lo pongo todo para no alargar la respuesta, pongo solo algunas reglas en el caso del ASKEY;
Iptables:
Chain _FW_2DOT4G_FWD4_ (1 references) pkts bytes target prot opt in out source destination 0 0 DROP all -- * !ppp+ 0.0.0.0/0 0.0.0.0/0 PHYSDEV match --physdev-in wl0.1 0 0 DROP all -- * !ppp+ 0.0.0.0/0 0.0.0.0/0 PHYSDEV match --physdev-in wl0.2 0 0 DROP all -- * !ppp+ 0.0.0.0/0 0.0.0.0/0 PHYSDEV match --physdev-in wl0.3 Chain _FW_2DOT4G_IN4_ (1 references) pkts bytes target prot opt in out source destination 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 PHYSDEV match --physdev-in wl0.1 tcp dpt:22 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 PHYSDEV match --physdev-in wl0.1 tcp dpt:23 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 PHYSDEV match --physdev-in wl0.1 tcp dpt:80 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 PHYSDEV match --physdev-in wl0.1 tcp dpt:443
...
ebtables:
Bridge chain: _FW_2DOT4G_FWD4_, entries: 6, policy: ACCEPT -i wl0.1 -j DROP -o wl0.1 -j DROP -i wl0.2 -j DROP -o wl0.2 -j DROP -i wl0.3 -j DROP -o wl0.3 -j DROP
siendo como imaginarás en este caso, wl0.1 2 y 3 las redes de invitado.
Quedan totalmente incomunicadas unas con otras. Todo el tráfico de las redes de invitado hacia el bridge (cualquier equipo conectado al Router) queda automáticamente bloqueado por ebtables, e iptables bloquea el acceso a los servicios del Router.
Hola Theliel,
muchísimas gracias por tu respuesta. Tiene mucho sentido lo que dices. Hay en todo caso algo que tengo que revisar porque cuando viene mi suegro a casa, alguna vez ha sido capaz de imprimir en mi impresora juraría (a raíz de eso empecé a investigar ese caso).
Te pregunto algo más: si aplico filtrado por MAC en mi red principal, qué sentido tiene que se me aplique también el filtrado en la red de invitados? tan pronto activo el filtrado, empiezo a denegar invitados 😞
mil gracias por todo!! )
Buenas @kitus_san
No había leído sinceramente ese post, todo lo bien que me funciona la cabeza en algunas cosas, todo lo mal que me funciona en otras 😉
Sobre el filtrado MAC:
Partamos de la base de que directamente no tiene ningún sentido usar el filtrado MAC en ninguna red, excluyendo casos muy muy partículares y por razones muy específicas, que de seguro no es tu caso. No tiene razón de ser, la seguridad que da a una red es totalmente ficticia, Para lo único que sirve es para entorpecerse a uno mismo. Saltarse un filtrado MAC se tarda de reloj unos 5 segundos. La seguridad de una red WIFI viene por:
a) Deshabilitar WPS
b) Usar WPA2-PSK AES (A día de hoy)
c) Usar una contraseña que sea facil de recordar pero segura, una pequeña frase por ejemplo
Nada más, si se cumplen las 3 premisas, la seguridad está garantizada.
Al margen de la utilidad o no del filtrado MAC, y sobre tu pregunta en cuestión:
Tiene todo el sentido del mundo. Los filtrados MAC de las redes WIFI está implementado a nivel de Driver del propio adaptador WIFI. La interfaz Web o como se quiera configurar, son llamadas directas a las herramientas de gestión del adaptador. El Router, aunque pueda crear diferentes redes de invitado, realmente usa el mismo adaptador, en el que crea diferentes interfaces virtuales. Pero por debajo de todo ello está el mismo adaptador. Un simil con el que quizás lo veas mas claro... piensa en el canal WIFI. Si estableces el canal WIFI en 3, por ejemplo, las redes WIFI van a emitir en el mismo canal 3. La única forma para que la red emitiese en un canal diferente sería que el Router alternase rápidamente y constantemente de canal (cosa muy poco recomendable) o tener otro adaptador físico, otro transmisor, el equipo no puede funcionar en dos canales simultaneamente. Con el filtrado MAC sucede algo parecido, se implementa de tal modo que es intrínseco al propio adaptador. Los adaptadores virtuales se nutren de la mayoría de todos los parámetros del adaptador real, y el filtrado MAC es parte de unos de esos parámetros "globales". Sinceramente no sé si algún fabricante lo permitirá, es posible, te encuentras de todo, pero hasta la fecha jamás he visto ninguno que independice filtrado MAC por red.
Si existe un modo de hacerlo, como es lógico, pero es por "software". Es decir, obviamente se puede configurar el sistema para aplicar filtrados MAC por interfaz, es trivial en Linux, pero todo ello estaría fuera del hardware, no se usan implementaciones así cuando ya existen en el propio hardware y de un modo mucho más eficiente y rápido.
De todos modos, ya te digo que la recomendación es olvidarte de historias de filtrados MAC, sólo dan dolor de cabeza y para quien lo quiere usar, y no aporta ningún tipo de seguridad.
Buenas @kitus_san
No es una cuestión de Idoneidad, sino de como se implementan y funcionan las cosas. Lo ideal, siempre desde mi punto de vista, sería poder tener un control granular de cada parámetro, en el que poder configurar lo que quisieses como quisieses. Por ejemplo, aplicar de forma diferente un filtrado MAC a una red u a otra.
La cuestión aquí no es esa. La cuestión es que un dispositivo como el HGU de 2 interfaces WIFI reales (una de 2.4 y otra de 5GHz) podrás hacer filtrado de forma independiente sólo una de la otra, pero en cualquier red virtual que puedas crear en ellas, "beben" del mismo dispositivo en realidad, con lo que el filtrado es el mismo. Es como el canal WIFI, si creas una red de invitado, usará el mismo canal que la principal, el hardware manda, y sólo hay 2 interfaces en este caso.
Ahora bien, podríamos plantearnos otra cosa, si sería posible o adecuado realizar un filtrado MAC a independiente del hardware e independiente de cada una de las interfaces Wifi existentes, virtuales o no. Sí, esto es posible, se puede denegar el tráfico saliente/entrante por medio de iptables, en teoría cualquier Router podría hacerlo de forma interna, y a nivel de interfaz aunque sea virtual. Pero esto es mucho más farragoso, y realmaente lo que haría sería denegar el tráfico, no la conexión en sí misma.
Buenas @kitus_san
Eso es debido a que la red de invitado está aislada del bridge que conforma tanto las otras redes WIFIS y el propio Switch del Router. El aislamiento lo hacen por ebtables precisamente para que la red de invitado no pueda ver ni interactuar con ningún otro equipo de la red, y eso incluye también el servidor DHCP externo
Gracias Theliel. A ver si lo estoy entendiendo bien: me estas diciendo que el equipo que distribuis es incapaz de funcionar con red wireless de invitados y DHCP Externo???? Si es así, te aseguro que me voy a quedar francamente sorprendido al descubrir tal cosa, porque, entre otras cosas, tengo la percepción de que en algún momento sí me ha funcionado.