Buenas @Babelia    En lo que respecta a la VPN... pues como te decía, L2TP/IPSec no son VPN adecuadas para NAT. Usan ESP y AH como protocolos, y ambos como te decía no se crearon para ser usados en entornos NAT. Dependiendo del Router, Fabricante, entorno y suerte... puede o no funcionar. No importa que funcionase antes o no funcionase ahora, estás usando tecnología no adecuada para NAT.   Sí, algunos fabricantes implementan en algunos de sus equipos estas técnicas que he comentado antes, para poder solventar en parte estos problemas (passthrough, helpers, ALG...), pero esto no soluciona el problema real. ¿Por qué?   1º. Los fabricantes tendrían que implementarlo en el Router estos ayudantes, cosa que cada vez es menos habitual, cuanto más actual sea el Router más raro será que lo tenga. Son protocolos considerados obsoletos, de otras épocas. Aun es habitual encontrarlos en algunos entornos por cuestiones históricas más que nada, y desconocimiento por otros lados.   2º. Aun cuando son implementados, en muchos casos requieren ser habilitados, puesto que no es recomendable tampoco que lo estén por defecto. Piensa que hay unos cuantos ayudantes de este tipo, por ejemplo también FTP, H323, SIP, RTSP, GRE... los equipos dispositivos que suelen implementarlos pueden tener uno o varios de estos, en función de más a menos habitual. Por ejemplo, de poner alguno se suele implementar el de SIP. SIP es un caso particular, porque en el caso de SIP para solventar los problemas es muy normal usar servidores STUN para esto.   3º. Aun cuando estén implementados y estén habilitados por defecto (o se pueda habilitar a voluntad), tampoco tienes garantía ninguna de funcionamiento. Va a depender del tipo de NAT del origen y del destino, del software VPN, del entorno... en algunos escenarios pueden funcionar bien, en otros no. Por qué? Porque son "trampas" que añaden los fabricantes para intentar paliarlo, no es una normativa ni un estándar.   Tienes el ejemplo sencillo con FTP. Con FTP pasa algo similar. Por qué por lo general no hace falta nunca habilitar un ayudante para FTP? Porque hace ya tiempo que FTP creó el modo pasivo. El modo pasivo no es una característica original de FTP, es algo mucho más moderno para lidiar con los problemas de NAT... aunque obliga a un servidor FTP a una configuración más compleja, pero soluciona el problema de los clientes FTP, que suele ser más problemático. Con SIP como digo pasa similar, y se extendió el uso de servidores STUN.   Pero otros protocolos no amigables con NAT, como ESP/EH/GRE... usados por las VPN citadas, no evolucionaron... no pueden realmente hacerlo del modo que se adaptaron los otros. Así que tan solo queda o usar una VPN algo más moderna en el que todo son ventajas... o seguir lidiando con los problemas de VPN viejas. Y repito, no hay solución real a esto, puesto que incluso estos ayudantes no solucionan el problema realmente, en el mejor de los casos es patada hacia delante... hasta que aparezca el problema de nuevo.   ----------   Usar FTP, aun cuando se permiten solo ciertas IP, sigue siendo extremadamente peligroso. Cualquier captura de tráfico automáticamente te da usuario y contraseña. Y la IP se falsea. Más aun en FTP donde el canal de datos es diferente al canal de control, con lo que se puede redirigir todo el tráfico a otra máquina, pesando el Router que habla con quien debe de hablar. A ver... por algo existen a día de hoy los sistemas de autentificación, por eso a día de hoy se sigue usando de forma extremadamente extensa SFTP (no confundir con FTP seguro, que a veces podemos verlo también como SFTP, sino FTP sobre SSH). Además, un filtro de IP tampoco evita ninguna explotación de vulnerabilidades, la IP de origen se falsea, el atacante no necesita que la víctima responda, (que respondería a una IP diferente a la del atacante) a su propio equipo, solo tiene que explotar la vulnerabilidad y listo, se ha montado la fiesta en el NAS.   Y peor aun... puertos conocidos expuestos...   ---------   En cualquier caso, mucho de todo ello es lo que uno quiera hacer en su propia red, y por supuesto cada uno es libre de hacer/configurar lo que quiera en su casa, son solo consejos de como están las cosas a día de hoy, es más, casi con seguridad si lo has tenido así, sin que lo hayas sabido siquiera, alguien ya ha estado entrando/saliendo (sea un bot o no, cogiendo/quitando o simplemente escaneando). El "ruido" de internet es enorme, te puedo enseñar registros diarios de intentos de acceso de todo tipo: triviales, intentando explotar vulnerabilidades, escaneos, fuerza bruta, altamente sofisticados...   -------   De todos modos ya te he comentado los problemas y soluciones de usar dichos protocolos, no de cara a la seguridad sino a que funcionen mejor o peor por NAT. Se puede configurar un servidor FTP en modo pasivo para facilitar la labor a otros clientes FTP o al revés, pero toca configurar. Y con L2TP... esto tiene menos solución... como no sea claro está usar alguna VPN decente, a poder ser Wireguard, que es como pasar de tercera división a ganar la champion, o OpenVPN si se prefiere una personalización extrema, pero en comparación más lento que el primero.   Saludos. ... Mostrar más