BandaAncha

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate
Fibra
💡

Cómo abrir puertos para BitTorrent en Digi sin salir de CG-NAT gracias a IPv6

Andromeda8
26
Abrir puertos BitTorrent router Digi

El objeto de este tutorial es explicaros cómo se pueden abrir puertos y recibir peticiones entrantes en vuestro cliente de BitTorrent (o cualquier otra aplicación) aun estando detrás del CG-NAT de Digi.

Vamos a entrar un poco en materia:

Con IPv4:

Con IPv4, que es lo más común, las peticiones entrantes a un determinado puerto las recibe la IP pública que está en la pata exterior del router. Lo que hacemos es redireccionar ese puerto a una IP interna de nuestra red donde tenemos el cliente. Normalmente se suele redireccionar al mismo puerto.

Esto con Digi con CG-NAT no es posible, ya que no hay IP pública en la pata WAN de nuestro router. Si quisiéramos hacer esto, habría que salir del CG-NAT y Digi nos cobrará un euro al mes.

Con IPv6:

Con Digi tenemos la ventaja de que tenemos IPv6, con lo cual cada dispositivo de nuestra red interna tiene una IPv6 pública asignada.

De esta forma por IPv6 podemos recibir directamente peticiones entrantes por ejemplo en nuestro PC. Aquí no aplica el CG-NAT de Digi para IPv4.

El tema es que no vamos a recibir ninguna petición debido a que el firewall del router por seguridad bloquea cualquier petición entrante a nuestra dirección IPv6.

La práctica va a consistir en crear una regla en el firewall para que deje pasar peticiones entrantes al puerto que tengamos configurado de escucha en nuestro cliente de BitTorrent (o cualquier otra aplicación que nos interese que funcione como servidor).

Para esta práctica voy a usar el cliente Tixati de BT y la aplicación TCPView para que podamos ver que estamos configurando todo bien y se reciben peticiones entrantes.

Proceso

Lo primero es ver si tenemos una IPv6 asignada a nuestro dispositivo, una forma fácil es acceder por ejemplo a la web: whatismyipaddress.com/es/mi-ip

Cuál es mi dirección IP Herramientas de dirección IPv4 IPv6

Si no obtenemos nuestra dirección IPv6 de nuestro dispositivos los motivos pueden ser varios, que nuestro sistema no soporte IPv6, tener desactivado por ejemplo en Windows 10, en las propiedades de nuestros adaptador de red este protocolo no esté activo, etc.

Ahora en el cliente de BitTorrent (yo utilizo Tixati, ya que soporta la conexiones IPv6 y da bastante información en su interface), vamos a configurar el puerto de escucha para las conexiones entrantes. Yo voy a configurar el típico puerto para este protocolo que es el 6881, pero podéis poner otro.

Captura Tixati

Comprobamos también en el cliente que no estamos limitando las conexiones por IPv6 (no poner “only TCPv4” en el caso de Tixati).

Captura Tixati

Si abrimos TCPview, veremos que ya tenemos el puerto :6881 escuchando por Tixati, pero no recibimos ninguna petición entrante. Posiblemente solo veamos peticiones salientes de este programa hacia clientes externos desde puertos aleatorios.

Captura TCPview

Ahora en nuestro router (yo uso el router de Digi Zyxel EX3301-T0), como prueba, vamos a desactivar el firewall para el protocolo IPv6.

Entramos a la direccion http://192.168.1.1.

Abrimos el menú pulsando en los tres rayas, pulsamos en SeguridadFirewall, y desactivamos el Firewall IPv6.

Router firewall

Ahora si ponemos a descargar algún torrent al cabo de un breve tiempo, posiblemente ya veremos conexiones por el puerto :6881 en el TCPVIew.

Captura TCP

Esto solo es una prueba. Volvemos a activar el firewall para IPv6. No queremos exponer nuestra IP a peticiones que puedan llegar de todo el mundo.

Lo que queremos lograr es poder abrir solo el tráfico al puerto o rango de puertos que nos interesa, en este caso el 6881:

Para ello en el menú anterior de firewall del router, nos vamos a la pestaña Control de acceso donde vamos a crear una regla de acceso en el firewall de nuestro router.

Pulsamos en Añadir nueva regla ACL.

Donde vamos a tocar:

  • Nombre de filtro: BT (o como lo queráis llamar)
  • Tipo de IP: IPv6
  • Protocolo de acceso: TCP/UDP
  • Puerto de origen personalizado: Cualquiera
  • Puerto de destino personalizado: Singular 6881
  • Directiva: Aceptar
  • Dirección: WLAN a LAN

Y pulsamos OK.

Rotuer_firewal2

Nos quedará una regla así.

Router_firewall_2

Con esto le estamos diciendo al firewall del router que deje pasar conexiones desde cualquier IP exterior y puerto a nuestras IPv6 internas de nuestra red al puerto 6881

Una vez agregada la regla, veremos que nos vuelven a entrar peticiones por el puerto 6881 en TCPView

(Podéis probar a configurar otro puerto en el cliente para ver que no entra nada y bloquea peticiones que no entren por el 6881)

Con esto ya tenemos configurada nuestra red para recibir peticiones entrantes en BT, lo mismo podemos usar otro cliente de lo que sea que necesite actuar como servidor y soporte IPv6 y configurar el puerto que necesitemos, en “puerto destino” también nos permite poner rango de puertos, podemos definir también IPs o rango de origen, etc…

En Tixati, podemos ver que ahora también se ven conexiones entrantes.

Captura Tixati

Espero que os sirva para no tener que contratar una IPv4 pública con Digi. Agradecimientos a los usuarios del hilo Digi está trabajando en ofrecer IPv6 nativo sin CG-NAT, que me ayudaron y me dieron pistas para abrir los puertos bajo CG-NAT en el firewall del router.

digiboy

¡Muchas gracias! :)

🗨️ 1
Andromeda8

A ti, hubiese formateado un poco mejor el documento, pero el editor del foro no da para mucho.

lhacc

Yo tenía el ZTE y no hacía falta abrir puertos en el firewall, funcionaba "out of the box"

Aun así si tienes cgnat y no quieres o puedes pagar para saltártelo, o si usas programas de p2p que no tienen soporte de ipv6, puedes recurrir a una vpn como hice yo.

🗨️ 10
Andromeda8
2

Las VPN suelen ser mas caras que el euro de Digi para salir de CG-NAT, pero si me recomiendas alguna gratis con la que pueda hacerlo pues la estudiare.

🗨️ 9
apocalypse

Hay servidores VPS por 1 o 2€ al mes. Y te pueden servir para bastantes más cosas, además de tener una IPv4 estática que incluso puedes delegar a algún equipo o router de tu red, conectando la VPN por IPv6 (los VPS suelen venir con una única IPv4 gratis, y un prefijo IPv6 /64).

🗨️ 6
Andromeda8

Esta el Oracle Cloud Free, yo tengo un servidor gratuito ahi bastante potente, tal vez como practica de instalar OpenVPN en él o algo así pueda estar interesante.

🗨️ 2
Aokromes
Aokromes
1
🗨️ 1
Anton bb

Perdón por el off-topic ¿donde se puede conseguir esos VPS tan baratos? Gracias

🗨️ 1
dano88
dano88
Omegaservernw

Podrias explicar como delegar la IPv4 de un vps a tu red local?

lhacc

Me refería a otros isp que cobran mucho o no lo permiten siquiera.

Yo lo hacía "gratis" porque tengo servidores donde tengo una vpn.

🗨️ 1
Bramante
1

13 euritos + IVA cada mes me pide mi ISP.

DeTeX

Menudo currazo! Por aportar algo, rtorrent soporta IPv6 desde la version 9.7 y juraria que qBittorrent tambien lo soporta.

🗨️ 1
Andromeda8
1

Si si, en uno de los pantallazo podemos ver que recibimos peticiones entrantes desde direcciones IPv6, desde clientes BT como Transmission 3.0, libtorrent 1.2.2.0, qBittorrent 4.4.1 o Bitcomet 1.67, imagino que la mayoría de los clientes modernos soportan IPv6, usar el que más os guste, podríamos usar tambien otro tipo de servicios, por ejemplo un servidor web que de servicio por IPv6, mira, me has dado una idea, otra practica podría ser montar un servidor web a traves del CG-NAT de Digi.

Mick Diaz

Muchas gracias por al artículo.

Sin duda, es muy útil para todas las cosas ahora que (por fin) está comenzando a generalizarse IPv6.

pepejil

Buen tutorial, pero me sigue dando mala espina que la apertura de puertos sea "global" para todos los dispositivos. A mi desde luego no me haría gracia tener el 6881 abierto para todos (usando el ejemplo del tutorial).

¿No se permite un ACL hacia un dispositivo registrado?

🗨️ 4
Andromeda8
2

Claro, mira el pantallazo de la pantalla donde se configura el ACL, puedes configurar por ejemplo el equipo destino donde solo quieres abrir el puerto, en este router EX3301-T0 es super sencillo, te sale un desplegable de los equipos que hay conectados:

Captu

(Luego también puedes limitar por MAC o por IP, pero la opción anterior es muy intuitiva)

Si pusieras el bittorrent en un PC, las peticiones al puerto 6881 solo irían a la IP de ese PC. Ten en cuenta que con IPv6 cada dispositivo tiene una IP publica diferente. Ademas si no hay ningún proceso escuchando por el puerto 6881, realmente esa petición no se atiende.

🗨️ 3
pepejil

Visto. No me había fijado en la captura.

Si, es más cómodo la MAC. El sufijo no deja de ser variable y poniéndolo fijo no es tampoco una buena solución.

🗨️ 2
Andromeda8
1

Actualice el comentario, puedes elegir en un desplegable a que equipo de los que están conectados quieres abrir el puerto.

🗨️ 1
pepejil
pepejil
chicaguapa

I para que hay que abrir los puertos? Yo llevo toda la vida usando torrent sin preocuparme de los puertos y nunca he tenido ningún problema, hace una semana que me he puesto fibra con Digi aprovechando que lo han puesto a 15 euros e igualmente he descargado un par de pelis a máxima velocidad

🗨️ 9
Andromeda8
7

Realmente no vas a notar mucha diferencia, pero imagina que te vas a descargar un torrent con solo una o dos semillas, y da la casualidad que tampoco tienen los puertos abiertos o mapeados, nunca ibas a poder conectarte a ellos para descargar el torrent, si tu tienes puertos abiertos, ellos si podrían conectarse a tu cliente y servirte los ficheros. (Lo mismo al reves, tu ser una unica semilla y los clientes no tener los puertos abiertos), si todo el mundo tuviese los puertos cerrados, los clientes no podrian acceder desde fuera, el protocolo bitorrent no podría funcionar, ya que nadie podría actuar como servidor. Pero vamos tampoco le des importancia el abrir los puertos, siempre suele haber suficientes clientes con los puertos accesibles.

Esto es más bien una practica, para demostrar que con un Internet de Digi con CG-NAT, un servidor dentro de nuestra red LAN puede hacerse accesible desde Internet… puede usarse para montar otros sistemas… una VPN, un servidor web, un servidor ftp, etc…

🗨️ 4
chicaguapa

gracias por responder

fargom
0

creo recordar que si los dos clientes tienen los puertos cerrados, el servidor hace de puente

🗨️ 2
lhacc

No, los servidores de torrent no hacen de puente.

Andromeda8

Ten en cuenta que en una conexión p2p no hay un servidor central que haga de puente, cada una de los clientes hace ademas de servidor y si dos clientes tienen los puertos de escucha cerrados o inaccesibles pues no puede haber conexión.

Lobo Anonimo
3

Hay que abrir los puertos para poder conectar con todos los demas usuarios.

Si dejas los puertos cerrados, no puedes recibir conexiones entrantes, solo las salientes.

Entonces lo que pasa es que tendras menos velocidad, porque no conectaras con todos los usuarios que quieren conectar contigo. Por otro lado también afectas negativamente a la red de Bittorrent porque al no aceptar conexiones entrantes, tampoco seedearás apenas nada. Descargarás de otros usuarios y luego a los demás "que le den por culo".

🗨️ 3
Jav9i

Eso explica por que en algunos torrents mandaba tan poco, curiosos cuanto menos.

🗨️ 2
apocalypse

Así funciona todo lo que sea P2P, hasta las actualizaciones de Windows 10. Si la conexión es directa entre dos clientes, uno de los dos tiene que tener puertos escuchando y accesibles, si no, no hay comunicación ninguna posible.

🗨️ 1
Jav9i
Jav9i
Wolf-ramio

Hola. Me puse a abrir un puerto para el Qbittorrent, viendo que en este hilo se dice que se puede para IPv6. Estoy bajo CG-NAT y aunque en principio contemplaba la posibilidad de pagar el euro y contratar la conexión plus, cuando probé el Qbit y vi que sin abrir puerto alguno, las descargas eran mas que suficientes para mi, decidí seguir bajo CG-NAT, pues no tengo ningún otro motivo para tener que abrir puertos.

El caso es que habiendo visto este hilo, me decidí a intentar abrir el puerto que en mi Qbit se requiere, en mi caso el 44721 bajo IPv6. Entré en la configuración de mi router Zte ZXHN H3600. Ya había comprobado que este router viene muy capado de configuraciones a nivel de usuario y no tiene acceso admin, que yo sepa. El caso es que en la configuración de puertos no viene la posibilidad de seleccionar para que protocolo se abre, es decir que no puedo indicarle al router que lo abra solo para IPv6. Pero no me pareció un problema, sabedor de que bajo CG-NAT, no se abriría para ese protocolo y confiando en que si lo haría para IPv6.

Por otro lado, la configuración de puertos tal como viene es poco explícita. Entendí que puerto WAN, eran los puertos de origen, los de los demás clientes torrent y lo configuré similar al tutorial, como no viene la opción "cualquiera" puse todo el rango de puertos. Y el puerto de destino, ya puse como inicio y fin el puerto que tengo configurado en mi Qbit. Tal como pongo en la imagen:

Regla apertura puerto qbit

Tras ponerlo así le di a aceptar y acto seguido probé a abrir el Qbit con TCPView abierto para comprobar si el comportamiento era el esperado. He visto enTCPView que primero salen las dos conexiones que tiene ese puerto, pero mas adelante salen multitud de conexiones con puerto local de diferente número al que yo pensé que abría, tanto en TCP normal, como en TCPv6 que no sale en la foto de a continuación, pero que parecen conexiones tan activas como las que se ven ahí.

Puertos Qbit

Ahora tengo la duda de si he abierto todos los puertos, viendo la foto. El problema es que una vez creada la regla, esta no sale, no es editable ni se ve por ningún lado. He repasado toda la configuración del router a ver si encontraba por donde acceder a ella, aunque debería estar en esa pantalla de la primera foto que puse, puesto que es ahí donde está la gestión de puertos. ¿hay algún comando de consola que me permita comprobar el estado de los puertos? Por que si no, solo veo la alternativa de hacerle un hard-reset al router para borrar esa regla, de tener todos los puertos abiertos, lo cual sería un coniazo al tener que configurarlo todo otra vez. Ahh, lo olvidaba, el PC donde está instalado Qbit, tiene la IP fijada tanto en el router, como en el propio PC, en la LAN como 192.168.1.135

A ver si alguien puede aclararme algo, pues ando acojonado al pensar que tengo mi router abierto de par en par.

🗨️ 25
Andromeda8

Hola: no hay que hacer un port forwarding, eso es para IPv4, aquí solo hay que abrir puertos para IPv6 en el firewall… A ver si te puedo ayudar

Vamos por pasos

1º Comprueba si tienes asignada un IPv6 como indico.

2º En el tcpview deja marcadas solo las pestañas de TCP 6 y UDP 6 y filtra por el 44721, por el pantallazo parece que esta escuchando, pero solo por IPv4, pero no veo que tengas ninguna dirección IPv6 en escucha…

qbbit

Así de primeras parece que no tienes una IPv6 asignada.

Mira esos dos primeros pasos y luego ya seguimos…

🗨️ 24
Wolf-ramio

OK. Si tengo IPv6 asignada, o eso creo. Puse a captura así por que me llamó la atención que al no ser protocolo TDPv6 y ver varias conexiones TDP con mi PC (.135) por puestos diferentes, me entró la flojera, pero cuando hice la captura de esa primera foto, si hubiese hecho scroll hacia abajo, había también no pocas conexiones de Qbit, por puertos ajenos al marcado, y con correspondencia en remote address, que supongo que indica que hay alguien al otro lado.

Te pongo 3 capturas, filtrando los TCP yUDP 4, como pides. En la primera está el Qbit con 3 ficheros ya descargados, que no tienen nada subiendo, en la segunda he puesto un fichero mientras se está bajando y en la tercera el fichero está bajado, pero está subiendo para otros.

ipv61ipv62IPv63

Ms allá de alarmarme que haya varias conexiones activas en puertos que no están abiertos, como en la tercera foto, con el 51331 y 51332. Es que ayer había un montón de ellas en IPv6, tantas como la captura de mas arriba, de las no IPv6., pero que dejé el scroll arriba.

🗨️ 23
Andromeda8

Guay. parece que tienes IPv6…

No te preocupes por los puertos 51331, 51332, etc… son puertos de salida, se abrirá uno por cada conexión saliente, por la que puede haber muchas conexiones. Pon ademas en el recuadro de search el 44721 para ver solo las conexiones el puerto de escucha que nos interesa:

Bien ahora que ya sabemos que tienes IPv6 y estas escuchando por esa IP, quita las configuraciones de port forwarding que habías puesto en tu routery pegarme un pantallazo de la pestaña de firewall a ver que muestra…

Un Saludo.

🗨️ 22
pepejil
pepejil
1
🗨️ 20
pepejil
pepejil
1
🗨️ 14
Wolf-ramio
Wolf-ramio
🗨️ 13
pepejil
pepejil
🗨️ 12
pepejil
pepejil
🗨️ 10
Wolf-ramio
Wolf-ramio
🗨️ 7
pepejil
pepejil
🗨️ 1
pepejil
pepejil
🗨️ 1
workplace

una pregunta, si no me equivoco, esto haría posible que SOLO los que tengan IPv6 puedan hacer peticiones, ¿no? Es decir 2 personas con CG-NAT, 1 de ellas con IPv6 y la otra no, tendrían el mismo problema de no poderse interconectar, ¿no?

Sin embargo si la otra tuviera IPv6 pues si, con este método, claro.

🗨️ 1
Andromeda8
1

Eso es, la conexión funcionaria solo para protocolo IPv6, si una de ellas no tiene IPv6 no podría establecer una conexión con la dirección IPv6 de la otra persona.

Tenemos que tener en cuenta que con IPv6 no existe CG-NAT ni NAT, tenemos una IP publica asignada a cada dispositivo, lo unico que hay que hace es abrir puertos para poder recibir conexiones entrantes, ya que el firewall por defecto nos bloquea por seguridad las conexiones entrantes a estas direcciones.

Entrenadorjacm1
0

Buenas, llevo intentando abrir los puertos 25565 tcp y udp para hacer un servidor en minecraft, despues de activar el servicio PLUS de Digi y supuestamente salir de l CG-NAT y siguen sin abrirse, y estoy desesperado no sé que más hacer.

as
🗨️ 3
Andromeda8
2

Bueno, eso no tiene mucho que ver con este hilo, se trata de una redirección de puertos normal y corriente, no se como va un servidor de Minecraft, si es bajo Linux lo mismo tienes que abrir puertos en el firewall de Linux.

¿Has usado TCPview para ver los puertos en escucha? ¿Conectas desde un cliente dentro de la misma red?

Un saludo.

vukits

tienes ahi varias interfaces WAN, prueba todas

Josh

Se pide no hacer offtopic. Abre tu hilo por favor.

Andromeda8

Por cierto, he visto algún router de otro operador, que directamente tienen abiertas por defecto en el firewall todas las conexiones entrantes a direcciones IPv6, aquí también contemplamos en algun punto de la practica esa posibilidad, pero intentamos ir un poco más haya, dejando entrar solo las conexiones por los puertos que nos interesan para aumentar la seguridad.

🗨️ 18
LiTuS81

A mi me ha servido de mucho el tutorial, pero he abierto dos reglas para el acceso web a través del DDNS y no consigo hacerlo funcionar. Me ocurre lo mismo si intento acceder a mi NAS desde mi cuenta synology.me. Acepto sugerencias para encontrarle solución. Muchas gracias.

Salu2.

Edito: Corregidme si me equivoco, pero le he leído a un compañero en el hilo, que si la petición externa no es también a través de IPv6, no se tendría acceso ¿verdad? Es que estoy mirando mi IP a través de LTE y no da IPv6, entonces igual es por eso que no puedo acceder ni por DDNS ni por synology.me

🗨️ 17
Andromeda8

Claro, tu NAS tendría que tener una dirección IPv6 e imagino que el software tendría que poder soportar el acceso por ese tipo de direcciones.

Por ejemplo en la documentación de este NAS de Synology

kb.synology.com/es-mx/UG/Syno_UsersGuide…Server_7_2/9

Da la posibilidad de configurar para el acceso una IPv6

A ver si me animo y hago alguna practica con la Raspberry Pi o el PC para configurar un NAS y acceder por IPv6 con una conexión CG-NAT de Digi

LiTuS81

Si tiene para IPv6, lo que me estoy dando cuenta es que si el dispositivo externo desde el que me quiero conectar no lo hace desde una IPv6 no funciona el tutorial.

Desde mis PC’s si me funciona porque tienen ambas IP’s IPv6, pero por LTE tengo IP pública normal entonces no “encuentra” el dispositivo. Me ocurre lo mismo para acceder al router a través de DDNS.

Salu2.

Edito: Acabo de ver tu otro tutorial y voy a probar cuando esté en casa. Lo suyo sería llevarse apuntada la IPv6 para cuando quieras entrar.

🗨️ 14
LiTuS81
LiTuS81
🗨️ 12
LiTuS81
LiTuS81
🗨️ 10
LiTuS81
LiTuS81
🗨️ 8
LiTuS81
LiTuS81
🗨️ 6
LiTuS81
LiTuS81
🗨️ 4
LiTuS81
LiTuS81
🗨️ 2
LiTuS81
LiTuS81
IHateU

Buenísimo tuto, no se me había ocurrido el tirar de IPv6 para saltarme las limitaciones del CG-NAT, mañana lo pruebo, normalmente me iba bien las descargas a pesar del CG-NAT; pero en mi piso nuevo con Digi, el otro día probé un par de torrents y en 48h lleva 500Mb entre los dos, y eso que cada torrent tiene unos 50-60 seeds. Mañana revisaré todo a ver que está pasando.