ADSL

¿Vodafone bloquea puertos? No consigo conectar por OpenVPN con mi LAN de casa

seifja 11 octubre 2016 23:04 ✎

⋮

Buenas noches,

Hoy he estado donde amigos que tienen el VDSL con Vodafone con un router Sercomm vd1018. Desde mi móvil, he intentado conectarme x OpenVPN con mi LAN de casa, pero no me funcionaba. Lo tengo bajo el puerto 64389. A través del operador del LTE iba bien, como siempre. Luego, he intentado conectarme con un servidor por HTTPS que está puesto en el puerto 28700, pero tampoco me funcionaba. Por supuesto, había hecho el NAT correspondiente en el router. Luego lo intenté con otro puerto (50050), pero tampoco funcionaba.

Es la primera vez que tenía semejantes problemas, pues siempre me podía conectar por OpenVPN con mi red de casa, sea a través de datos o por Wifi con la mayoría de los routers de otros amigos o por Wifi público. Puesto que tampoco podía acceder al servidor HTTPS bajo los puertos 28700 y 50050, me da la sensación que Vodafone bloquea cierto rango de puertos. Igual he intentado activar el DMZ, pero no servía de nada.

El servicio de atención al cliente de Vodafone es muy malo. Varias veces se cortaba, no llamaron devuelta, y la última conversación era con un chico que literalmente dijo que si es cierto que Vodafone tiene bloqueado el puerto 28700 para la transmisión de sus datos y que debía de utilizar un puerto por encima del 50000 por si quisiera conectarme con un servidor HTTPS que tiene asignado un puerto distinto que el habitual. Nunca en mi vida he escuchado semejantes tonterías , pues doy por hecho que el cliente tiene derecho a disponer de todos los puertos sin que hubiese restricciones por parte del operador.

¿ Alguien ha vivido algo parecido ?

Gracias por vuestras ayuda.

WiLZy 12 octubre 2016 10:33

⋮

En el router VDSL clásico VH4032N, se reservaban ciertos puertos (TCP: 23, 32, 8085, 80 y UDP: 161, 1900, 520, 32768), eso de que tengas que usar puertos "por encima del 50000" me suena a cuento chino.

Habría que ver cuales se reservan en el VD1018, por ejemplo su hermano mayor, el AD1018 solo tenía 3 puertos reservados (23, 80, 161).

(link roto)

Sobre el Sercomm VDSL no encontré nada específico, pero es de esperar que sea como el AD.

✖

mceds 12 octubre 2016 10:45

⋮

Lo extraño es que, si no he entendido mal la cuestión (y no resulta fácil entenderla bien), lo que teóricamente estaría haciendo Vodafone es bloquear puertos de destino. Y sólo algunos, puesto que ha podido acceder a su red local (mediante SSH, supongo) para cambiar el puerto de escucha de su servidor web y a su propio router para activar DMZ.

En cuanto a lo del servicio técnico, me resulta de una entrañable ingenuidad creer que, en la atención de primer nivel, puedan entender conceptos tan arcanos. De hecho, aunque se les haya "colado" alguien experto en redes, no creo ni que le permitan salirse del guión y mucho menos salirse de los famosos 180 segundos estipulados por las subcontratas para atender a cada llamada.

¿Solución? Sabemos que el 22 (SSH) y supongo que el 80 (interfaz web del router) no están bloqueados. Yo probaría a configurar OpenVPN y el servidor web con esos rangos bajos de puertos, a fin de tratar de descubrir cuál es el misterioso patrón o criterio de bloqueo.

✖

seifja 12 octubre 2016 11:53

⋮

Buenos días,

Me explico: En dicho router está conectado por wifi un televisor de Samsung. Le asigné IP fija ( aparentemente lo llaman DHCP estático). A través de dicho televisor quieren acceder mis amigos mediante la app "DS Video" a mi servidor de Synology que tiene DDNS asignado, SSL activado, y funciona bajo el puerto 28700. Desde el televisor, se puede navegar perfectamente en Internet, pero no hay manera establecer conexion con el servidor. Para descartar problemas con el DNS de Vodafone, lo probe incluso con la IP directamente sin pasar por DDNS, pero tampoco funciona. Luego cambie el puerto del servidor al 50050, pero no hay manera de conectarme. Por si acaso, había hecho el NAT en el router, aunque entiendo que no debería hacer falta al ser el router que hace conexión con el servidor. También he activado el DMZ. Todo sin resultado.

Donde otros amigos que no tienen Vodafone sino Orange y/o Jazztel/Movistar, no hay problemas acceder a mi servidor, ni siquiera hacía falta hacer alguna modificación en el router.

Igual me parece raro que no puedo conectarme desde mi móvil por la misma wifi con mi servidor por OpenVPN a través del puerto 64389 UDP.

Todo pinta como si la SSL estuviera bloqueada, pero no supiera donde activarlo en el router, no he encontrado opción.

Los cambios en mi servidor los he hecho x VPN a través de la red móvil al no haber manera conectarme a través de la wifi de los amigos.

Slds

✖

mceds 12 octubre 2016 15:26

⋮

Entre el cacao que tienes en la cabeza y el que estás transmitiendo (hay que adivinar dónde está cada router, cada televisor y cada servidor), me está comenzando a dar vueltas la mía y se me va a acabar desatornillando. Pero creo que he llegado a una conclusión (como los Ents) y presumo que vuestro esquema es el siguiente:

<<<<< Casa de los amigos____________________________________tu casa >>>>>
TV------routerVD1018 · · · · · · · · · · · · · · · · (INTERNET) · · · · · · · · · · ·· · · · · router-------Synology

Bien, pues en el router VD1018 no hay que tocar puertos, ni hacer DMZ, NAT ni nada por el estilo. La smartTV funciona como cliente, así que el funcionamiento predeterminado del router (del VD1018 y de cualquier otro), admitiendo todo el tráfico de salida y el asociado de entrada, debería ser suficiente. ¿Seguro que, en el VD1018, no has estado toqueteando en los filtros en vez de en las entradas de NAT (redirección de puertos/port forwarding)?

¿Habéis probado a acceder a los vídeos del Synology desde la conexión de Vodafone de esa casa, pero con otro dispositivo que no sea la televisión? Un PC o un móvil, por ejemplo. No sé si el "DS Vídeo" será instalable en ellos o habrá otras alternativas de acceso al Synology; aunque sea para transmitir un archivo normal y corriente.

¿Alguna posibilidad de desactivar (temporalmente) el SSL en el Synology para descartar o confirmar que esté ahí el problema?

✖

seifja 12 octubre 2016 17:32

⋮

✖

seifja 12 octubre 2016 18:39

⋮

✖

mceds 12 octubre 2016 19:44

⋮

✖

seifja 13 octubre 2016 11:26

⋮

✖

seifja 14 octubre 2016 11:10

⋮

✖

mceds 14 octubre 2016 11:50

⋮

✖

rbetancor 14 octubre 2016 12:23

⋮

BocaDePez 30 marzo 2017 21:28

⋮

Yo tengo el mismo problema con el puerto 53 y la respuesta de todos los técnicos a los que he conseguido llegar termina siendo la misma: el router tiene bloqueado el puerto 53. No acierto a comprender semejante majaradería!!! Tengo acceso a internet, pero resulta que mi operador (Vodafone) ha decidido que yo no puedo tener en mi casa un servidor DNS. Todo lo demás (HTTP, FTP, TELNET, POP3, SMTP, etc.) funciona correctamente; pero el DNS (puerto 53) es imposible poder utilizarlo (?).

✖

pepejil 30 marzo 2017 23:06

⋮

No, el router no tiene bloqueado el puerto 53, es la propia red del operador la que lo bloquea. Ni Vodafone ni Movistar ni Orange ni Jazztel permite tráfico IN al puerto 53 hacia su red. Y no, no es una majadería. La respuesta de por qué ese capado es más sencilla de lo que crees: us-cert.gov/ncas/alerts/TA13-088A además de que el 99% de los usuarios de una red residencial no van a instalar un servidor DNS.

Además, yo no entiendo que haces metiendo servicios típicos de un hosting en una red residencial. Por 3 duros tienes un VPS en OVH para meter todo lo que te apetezca.

BocaDePez 9 enero 2018 09:47

⋮

La cosa tiene miga, nadie en el mundo conoce el motivo y, los que deberian saberlo, que son los de atención al cliente de Vodafone, no tienen la capacidad intelectual suficiente para comprender siquiera el problema.

El problema no es de acceso a la red local de un usuario de Vodafone. el problema es que el usuario de Vodafone no puede acceder a un servicio externo a través de protocolo https por un puerto distinto de 443. No hay grieta de seguridad ni peligro oculto. Hablo de que quiero acceder a un servicio externo de una manera particular y Vodafone lo bloquea por la única razón de que no le da la gana.

Me explico: Tengo 2 servidores web en mi casa con diferentes servicios. Quiero acceder a ambos por protocolo https, así que configuro el NAT de mi router redirigiendo el puerto 443 sobre el primero y el 444 sobre el segundo. Con esto, para acceder desde fuera a cada uno de los servicios uso en un navegador web "https://www.midominio.net" para el primero y "https://www.midominio.net:444" para el segundo. Mi amigo Pepe, usuario de una compañía distinta de Vodafone, accede sin el mas mínimo problema a ambos servicios. Mi amigo Manolo, que es usuario de Vodafone, accede sin problema al primero, pero le resulta imposible acceder al segundo.

Ya que estamos, hago mas pruebas. Renuncio al protocolo https. Me configuro en el router los puertos 80 para el primer servidor y 81 para el segundo, para que mis amigos puedan acceder desde sus casas poniendo en el navegador "http://www.midominio.net" y "http://www.midominio.net:81" respectivamente. Todos mis amigos, sean de Vodafone o no, acceden sin problema a ambos servicios.

Si hay vida inteligente en Vodafone, podrían explicarme por que no permiten que sus clientes accedan a servicios externos por protocolo https, a través de un puerto distinto del estandar.

✖

Tnz 18 enero 2018 16:25

⋮

El problema no es que esos puertos estén reservados, es que la interfaz del router falla y da ese error, por lo que paea abrir ciertos puertos hay que usar comandos SSH, y en el soporte técnico de primer nivel casi nadie sabe hacer.