Buenas de nuevo, estoy de vuelta.
He tardado porque he realizado un cambio de sistema operativo en mi firewall (nada que ver con esto), por lo que ahora veréis imagenes distintas, pero he conseguido simplificar completamente la configuración, mejorandola y QUE FUNCIONE ABSOLUTAMENTE TODO.
Voy a intentar hacerlo lo menos "técnico" posible para que sea accesible a todo el mundo. Si os quedáis con dudas no os cortéis en preguntarme.
*** Veréis que hablo de "TESA", es una manía de donde trabajaba antes (que seguramente la tengan muchos técnicos en España), en la cual básicamente significa "Telefónica de España Sociedad Anónima" (antes de Movistar). Además me resulta más cómodo de escribir, por lo que ya sabéis, a partir de aquí si veis "TESA", es "Movistar". 😋
***INET=INTERNET
Comenzamos de nuevo. 🙌
Debemos reunir los siguientes requisitos para poder darle salida a internet al deco 4K de Movistar si tenemos el router en modo Bridge (VLAN6_PPPOE) y por lo cual la LAN de TESA no sale a internet, sólo llega a IPTV por la vlan de IPTV (VLAN2):
El escenario de conexionado sería el siguiente. Donde FW OPNSENSE podéis cambiarlo por vuestro router/firewall en vuestro caso. Lo importante es fijarse que al router/firewall van 2 cables desde el router de TESA (WAN con el bridge y el nuevo que conectaremos para montar la WAN pero en este caso del router de TESA, no la WAN de nuestro router).
La parte del bridge obviamente no la voy a comentar, por lo cual damos por hecho que teneis el bridge con la VLAN6 conectado por cable a vuestro router/firewall, por lo que esa primera conexión la damos como COMPLETADA.
La tercera conexión, que es la que va al deco 4K (o si lo tenéis por wifi) la damos por completada también, ya que es la LAN del router de TESA por donde va a recibir IPTV y cuando acabemos, Internet.
Por lo tanto, comenzamos. Primero debemos ir al router de TESA a opciones avanzadas y vamos a configurar el circuito de nivel 2 y le vamos a asignar un puerto:
(en mi caso, seleccioné eth3/eth3, me volví loco ya que parece ser que los números no corresponden con los puertos LAN como deberían. Para que quede claro, por lo menos en mi router, el puerto eth3 hace referencia al ULTIMO PUERTO LAN, EL 4 DE LOS DE COLOR AMARILLO). Añado, que el Bridge lo tengo en el puerto LAN1 y el Deco en el LAN2, por si os interesa copiarlo.
Una vez asignado el puerto físico a un circuito de nivel 2 (podéis ir conectando si quereis este puerto ya a vuestro router/firewall, pero queda mucho para que funcione), nos vamos a crear la nueva conexión WAN para el router de TESA:
En mi caso, ya la tengo creada, por eso no puedo enseñaros el paso completo porque no quiero tocar nada, que está funcionando todo bien 🤣. Como veis en la imagen, sale el puerto que hemos creado antes, la VLAN200 (podéis usar cualquiera, si queréis, usar la 200), prioridad 4 (la tuve que subir porque se me colgaban algunas películas, así priorizamos el tráfico de esa VLAN), activamos todas las opciones restantes. Os tiene que quedar como en la foto que he pasado.
Ahora os enseño lo que me deja ver si le doy a "Edit", para que os guíe un poco más:
Ya casi tenemos el router de TESA listo, vamos a finalizar configurandole la parte MUY IMPORTANTE de los DNS.
Olvidaros de ponerle los de google, cloudfare, etc. Compróbadísimo que para que funcione todo en el deco, hay que poner los de movistar, ya que ataca a dominios suyos propios y me da que google no los tiene. Fue configurarlos y ya me iban todos los menús del deco por completo.
Por lo que nos vamos a aquí y configuramos los DNS de Movistar. Hacemos lo mismo en la parte LAN (tranquilos, en vuestra red de internet vais a poder seguir usando los de google o los que sea, esto solo es para el router de Movistar, no tiene que ver con vuestra red de casa).
He tenido que configurarle el DNS proxy también. Para los que no sepáis que es esto, simplemente hacemos que el router de Movistar actue como servidor DNS (un equipo en la LAN de Movistar no hará consultas DNS a servidores externos configurados en la LAN, si no que el propio router de TESA (192.168.1.1) será el servidor DNS que salga a los equipos que cojan IP en la LAN de TESA. En esta imagen le estamos diciendo que queremos activarlo, y nos pide que le demos un NOMBRE al servidor, poned lo que querais (no pongáis dns.google logicamente...) Por ultimo nos pide que nos inventemos el nombre de dominio que usará para resolver consultas en la LAN. Como se ve en la foto, poned lo que queráis, como si queréis poner eso mismo, lo importante es que acabe en .arpa en dominio:
Por último, por si acaso no está activado, confirmad que tengáis aquí el puerto que habéis configurado):
Con todo esto hemos acabado con el router de Movistar, hemos hecho lo siguiente:
Ahora viene lo que igual se os complica, ya que en mi caso tengo un Firewall con OPNSENSE y la interfaz cambiará, etc. Pero el tema redes es el mismo, sí o sí necesitais un equipo que os deje crear VLAN, configurar un puerto concreto para una VLAN (ya veis que hasta el router de Movistar ha dejado hacerlo sin problema, ya que ahora haremos lo mismo pero con el direccionamiento contrario en nuestro equipo) y con eso lo tenéis solucionado, ya que lo único que cambiará es el menú desde donde lo hagáis.
Comenzamos creando en nuestro equipo la VLAN 200, que configuramos antes en el RT de TESA. Tenemos que configurarla con los mismos parámetros, si antes le pusimos prioridad 4, aquí tenemos que poner la misma.
Aquí vemos que he accedido al menú VLAN, le he dado a crear nueva y he completado esos datos asignando aquí el puerto que voy a usar para esa VLAN en mi equipo, donde irá conectado ese cable que hemos puesto antes al configurarle la nueva WAN al router de TESA, tras eso guardamos.
Tras esto, nos asignamos el nuevo puerto para que nos salga la interfaz de la nueva VLAN, y le vamos a configurar el direccionamiento IP. Recordad que hemos usado un /30 (192.168.2.0 255.255.255.252) en el cual sólo hay 2 IPs útiles, 1 la hemos puesto en el router de TESA y la otra es la que configuramos en nuestro equipo. En este caso, TESA:192.168.2.2 y NUESTRO EQUIPO: 192.168.2.1):
AHORA IMPORTANTÍSIMO ESTE PASO. AUNQUE HEMOS ACTIVADO EL NAT EN EL ROUTER DE TESA, NO SÉ POR QUÉ SIGUEN LLEGANDO PAQUETES CON ORIGEN LA 192.168.1.X DESTINO 192.168.2.X, YA QUE AL ACTIVAR EL NAT SE SUPONE QUE NUESTRO EQUIPO SÓLO DEBERÍA VER A SU OTRO EQUIPO EN LA RED, LA 192.168.2.2.
Para solucionar esto, es tan sencillo como decirle a nuestro equipo: Para llegar a la red 192.168.1.0/24, tu siguiente salto es esta IP: 192.168.2.2 (Router de Movistar, esa IP está detrás de él). Esto lo conseguimos con una ruta estática:
¡Ya casi estamos!
En un usuario común, aquí os tendría que empezar a funcionar absolutamente todo, si sois como yo que tenéis firewall y cositas, debéis permitir en las reglas del firewall tanto la LAN de TESA como la red WAN nueva, para que se permita el tráfico:
Con todo esto, habremos finiquitado. Como veis creo que es un poco más sencillo que la última vez que comenté, a nivel de configuraciones.
Si tenéis alguna duda indicádmelo y podemos echarle un ojo, a ver si "en vuestro escenario" se puede hacer esto. Ya os digo que cualquier router tiene que dejaros crear una vlan y asignarla a un puerto físico, el resto como veis es configurar un direccionamiento IP sólo para esa nueva conexión, y decirle al router que todo lo que desconozca (IPTV lo sigue mandando por donde siempre, pero internet lo manda por el nuevo puerto) lo mande a la IP que hemos configurado en nuestro equipo. En nuestro equipo, como es una "LAN más", con realizarle el NAT para que salga a internet, ya estaría (esto en mi caso lo hace automáticamente el FW, en el vuestro seguramente también).
Espero no haber sido muy denso, pero es un tema el cual he estado probando mil cosas y por fin puedo decir que funciona al 100% (hasta me deja que el deco pueda actualizarse😁). Cualquier duda ya sabéis. Gracias.
***Se me han borrado todas las capturas al intentar editar el mensaje..... Mañana las vuelvo a hacer 😄
Hola Thrangs . En mi caso tengo un OPNSense actuando como router principal justo detrás de la ONT (sin HGU). De la IPTV me funcionan los canales en vivo (incluidos los protegidos por DRM) y el menú, pero todas las funciones que requireren acceso a internet (volver atrás en la emisión, acceder a DAZN, Netflix..., reproducir contenido que no es en directo desde el menú) no funcionan. Adjunto capturas de las rutas, configuración del firewall de las interfaces IPTV, LAN y WAN y la configuración del IGMP Proxy.
Buenas JGeek00 !
Pues en tu caso entiendo que estás recibiendo la vlan de datos y la iptv desde la ONT (serían 2 interfaces WAN) y después tienes tu interfaz LAN (192.168.1.0/24) que es donde tienes conectado el DECO, por lo que también deberías tener configurado el DHCP de tu LAN con las options que tiene el HGU para la IPTV. Viendo las capturas que me mandas, a primera vista veo todo correcto, pero necesitaría más información para poder localizar el problema.
Viendo que a nivel de flujos de tráfico, IGMP proxy y direccionamientos privados, pienso que el problema puede ser uno de los siguientes:
NAT de salida: (Que no se esté nateando correctamente la salida de la LAN, entiendo que no porque no tendrías ni internet si quiera en tu LAN. Podría ser también que las redes de IPTV necesiten NAT de salida también, aunque creo que no, por lo que dejaría esto concretamente para probar en último lugar.)
Proxy DNS y DNS de Movistar: Me da que va a ser esto casi seguro. ¿Cual es tu configuración de DNS en OPNSENSE? ¿Usas el servidor local unbound (Por ejemplo, si conectas un PC por DHCP a tu FW, sale como servidor DNS la 192.168.1.1 o salen DNS públicos?) o rediriges las consultas directamente a DNS externos? A parte de esto, ¿utilizas los DNS de Movistar o en caso contrario usas otros (google, cloudfare, etc)?
A falta de más información, esto es lo que te podría contar en estos momentos.
Si consigues alguna captura o decirme cómo tienes el tema DNS podríamos seguir averiguando cual es el problema.
Un saludo!!!!
Hola Thrangs gracias por responder.
En el ordenador como servidor DNS me aparece la IP del router. Normalmente yo uso como servidor DNS un AdGuard Home que tengo montado en mi servidor de casa (configurado como servidor DNS en el DHCP). La TV de Movistar nunca me ha dado problemas con ese servidor DNS y el router Asus. Ahora acabo de eliminar todos los DNS configurados en el DHCP y en el ordenador me aparece que el servidor DNS es el router, y si hago nslookup desde el router me sale el DNS de Movistar.
Normalmente, como he comentado, uso como DNS en el DHCP mi AdGuard Home, y luego este AdGuard Home tiene como upstream los DNS de CloudFlare. Para el router también suelo configurar como servidor DNS los de CloudFlare. Pero como he comentado ahora mismo no tengo DNS configurado en el servidor DHCP ni en el router, por lo que coge los de Movistar, y el problema persiste.
Acabo a probar a desactivar el Unbound DNS (y efectivamente, en el PC me salía como dirección DNS directamente la IP de DNS de Movistar) pero el problema persiste.
También comentar que si entro en el panel oculto de configuración del deco el DNS que viene ahí es el 172.26.23.3, y el option 240 también está correctamente configurado porque ahí también aparece.
Buenas de nuevo JGeek00 !
Vale perfecto, pues no es tema DNS.
Yo en tu caso intentaría entonces primero capturar tráfico en el FW en la interfaz LAN, y revisa la IP del deco, a ver qué está haciendo cuando en el deco intentas acceder a contenido de internet. Una vez revisado eso, revisa a nivel de logs del firewall qué está ocurriendo con esas IPs destino que viste que intenta alcanzar el deco (por lo que he visto en las capturas, no tienes los logs del FW activados, actívalos aunque sea para hacer el troubleshooting y ya los vuelves a desactivar).
Haciendo ese seguimiento podríamos saber más sobre lo que ocurre, en la captura debes fijarte en:
- Tráfico DNS (si estás usando DNS en la LAN (TCP-53), en la captura de tráfico podrás ver qué URLs está intentando alcanzar el deco, para así después confirmar que por ejemplo no las estés bloqueando con algúna lista de DNS o similar, si es que las tienes.
- IPs destino del deco cuando intentas acceder a contenido de internet, así sabiendo que por ejemplo: "cuando le doy a la app de youtube, en la captura se ve que el deco manda un paquete con destino 80.234.76.75(IP inventada), por lo que me guardo esa IP y me voy a los logs del FW, veo si para empezar llega como origen con la IP LAN del deco, veo si en el log de la WAN, se ve cómo se natea la IP LAN del deco con la WAN de tu casa, y a su vez la WAN con la IP destino que vimos".
Para ello tienes que tener activado en tu OPNSense el log de reglas de NAT también:
Yo la tengo desactivada porque genera muchos logs, actívala y después si quieres desactívala.
Tras ello, deberías ver en el log lo siguiente:
El flujo de tráfico tendría que ser ese, primero ver la IP del deco en la LAN intentando alcanzar la pública, después la regla de NAT (color azul) para natear la salida, y por último, la regla en la WAN con origen tu IP pública y destino la IP que deseas alcanzar.
Si ves eso correcto, nos estamos quedando sin opciones, habría que revisar routing también y alguna cosa más, pero yo comenzaría por ahí, captura de tráfico en el FW, revisas con whireshark si cuando intentas alcanzar INET, sale como ORIGEN la IP del deco (192.168.1.x) y te guardas la IP publica destino (youtube, google, netflix, etc.). Revisas logs y confirmas que todo sigue su camino correcto.
Espero no haberte liado mucho, me vas contando, un saludo!!!
Hola JGeek00
El router al ser un equipo ajeno a Movistar, no podemos garantizarte el correcto funcionamiento. Te pedimos disculpas por las molestias ocasionadas. Dejamos el hilo abierto para que otros usuarios de la comunidad puedan aportar más información.
Un saludo. Oscar.
