BandaAncha

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate
Fibra

¿Movistar usando rangos de IP públicas para configurar LAN?

rbetancor
1

La pasada semana nos encontramos un caso curioso en un cliente que había cambiado la FTTH normal por un Fusión empresas con centralita virtual, terminales Ubiquiti UniFi (me sorprendió que Movistar instale Ubiquiti), unos Dect Gigaset, unos switches PoE de Alcatel, ONT Huawei y router Mikrotik (juro por lo más sagrado, que flipé al ver al técnico de Movistar sacarlo de la caja).

Obviando la parte de la centralita virtual funciona mal (cosa que ya le habíamos advertido al cliente, pero ya se sabe, escuchan lo que les da la gana), que el comercial les ha encasquetado una permanencia de 36 meses, además de servicios de HotSpot de pago (cuando el cliente ya tenía unos preciosos Ubiquiti LR instalados), copias de seguridad en cloud de Arsys (200GB para un cliente que genera más de 1TB al mes de información "nueva") y otras lindeces que les han metido con calzador.

Lo que más me mosqueó, fue cuando le pedí al técnico los datos de la IP pública, para poder configurar correctamente el cortafuegos de la LAN (todo lo que instalaron fue solo para la parte de VoIP, la LAN no se las dejé tocar, ni jarto de whisky) y me da un rango de 6 IP's públicas (que supongo que le estarán cobrando a precio de oro), pero que dichas IP's no son alcanzables desde internet.

El montaje tiene una IP pública tipo 2.X.X.X en la interfaz WAN del Mikrotik, que redirige todo el tráfico entrante a una 217.124.X.X que es la IP de "LAN" (sí, me lo dijo así el tipo y tan pancho que se quedó) y que le tuve que poner como WAN al otro Mikrotik nuestro, que hace de cortafuegos de la LAN.

La cosa es ¿están usando rangos de IP's públicas, para configurar LAN así? ¿o es simplemente (como sospecho profundamente), que el tipo no se enteraba de la misa la media y configuró incorrectamente el Mikrotik de ellos?

BocaDePez
1

Pueden estar usando IP publicas para la LAN, o puede que les hayan metido un tunel y una mascara /29, habría que ver la configuración que se le ha cargado, ya que el que ha ido a enchufarlo, le han pasado un archivo y habrá realizado el volcado, por lo cual, no sabrá nada.

BocaDePez

Sobre la permanencia. Cuando una empresa contrata un servicio de comunicaciones lo hace por un periodo de tiempo determinado. Igual que cuando contrataron a tu empresa lo hicieron por un periodo de tiempo. Por supuesto si no se cumplen las condiciones de servicio se puede denunciar el contrato.

Por cierto, Poner un mikrotik de Firewall a una empresa .. Ya te vale

🗨️ 13
rbetancor
1

Por cierto, Poner un mikrotik de Firewall a una empresa .. Ya te vale

¿Por?, salvo que tengas tres manos izquierdas, hacen exactamente lo mismo que cualquier otra marca, incluso cosas que otras no hacen y por bastante menos que lo que cuestan equipos de la competencia.

🗨️ 9
BocaDePez

Si. EL firewall mikrotik es una referencia en el mercado de seguridad. No dudo que para jugar en casa este bien prro como solucion profesional es de pena. Dice mucho de la empresa en la que trabajas

🗨️ 8
BocaDePez

¿Qué nos quieres vender?

Como si una mugre de Palo Alto Networks o un F5 (por poner dos ejemplos) a precio de oro fuesen mejor, tanto en software como en hardware...

Es más, para tu desconocimiento te puedo decir que algunos carrier internacionales usan MikroTik en su infraestructura, y vamos, que bien configurado hace su cometido en una fracción de precio y aún por encima fabricado en la Unión Europea. Desgraciadamente en esto último ni Arista Networks con los productos que tienen.

🗨️ 1
BocaDePez
BocaDePez
rbetancor

Repito, salvo que tengas tres manos izquierdas, hace exactamente lo mismo que un FotiGate, Cisco, PaloAlto, F5 o cualquier otro cacharro que quieras nombrar.

Un FW, es un FW ... un conjunto de reglas que definen una política de seguridad, nada más. Te da igual que ejecute esas reglas, entre las diferentes marcas, solo cambia el rendimiento que puedas obtener del bicho.

Y por el precio de un Mikrotik, no hay absolutamente nadie, en el mercado, que les tosa en precio/rendimiento.

🗨️ 5
BocaDePez
BocaDePez
🗨️ 4
rbetancor
rbetancor
🗨️ 3
BocaDePez
BocaDePez
vukits
vukits
🗨️ 1
rbetancor
rbetancor
vukits

Por cierto, Poner un mikrotik de Firewall a una empresa .. Ya te vale

xD . Estamos una y otra vez con lo mismo.

Bueno, si te diviertes ...

🗨️ 2
BocaDePez

Luego nos sorprendemos con los incidentes de seguridad...

🗨️ 1
vukits

cachondo,

la mayoría de incidentes de seguridad son evitables si el usuario deja de hacer clicks donde no debe.

otra historia son los APT, que de eso la mayoría de empresas ni se entera

BocaDePez

Si es un fusión empresas los equipos se configuran con plantillas basadas en la configuración definida en el servicio.

BocaDePez

¿por que dices que la parte de voip de la centralita funciona como el culo? ¿Puedes indicar que es lo que falla?

🗨️ 9
rbetancor

-Por algún extraño motivo que el técnico no supo explicar (intuyo que simplemente no sabía), las antenas DECT que han puesto, no soportan roaming (o simplemente no está activado/no funciona). Eso es un chiste de mal gusto para los requisitos que se dieron al comercial.

-No se puede configurar un buzón de voz grupal (o el técnico no sabía como)

-Las llamadas se pierden en el limbo cuando haces una transferencia ciega que no contestan.

-En pleno 2019, han instalado terminales IP que no soporta Audio HD

-La firmware de los terminales ha sido capada y no se pueden colgar del puerto LAN del terminal más de 3 MACs

-Las capturas de llamada cuando un terminal pertenece a varios ring-groups, no funcionan correctamente.

-El call-parking no funciona

-Los distinct-ring-tones no funcionan

-No fueron capaces de hacer una simple configuración en la que un PC conectado al terminal, entregue su tráfico a una VLAN diferente que la usada para VoIP. (esto obligó a duplicar todo el cableado de el cliente, para independizar la red de VoIP de la red de datos normal)

Creo que la mayoría de las cosas, se deben a que el el técnico que vino a configurar, no tenía mucha idea de lo que estaba haciendo. Pero no es mi trabajo enseñarle a hacer el suyo ... ;)

Era un espectáculo, ver al comercial diciendole al cliente, que "Si, si, si, si, ahora te lo configuran" ... y luego ver los sudores fríos del técnico XDD ...

No sé, puede que fuera la subcontrata, pero llevan 4 días con el tema montado y el cliente ya está pensando en mandarlo a tomar por culo, incluso pagando la penalización.

🗨️ 8
PercebesBenz
1

XD es que no me extraña nada. El tipo estará atendiendo de todo por dos duros y no se va a poner a hacer cursos para Mikrotik, seguro que por su cuenta etc

BocaDePez
1

Ufffffffff. Suena a chapuza total. En mi empresa tenemos centralita virtual y todo lo que tu dices va bien. Me da la impresión que es todo un fallo en cadena de instalación.

BocaDePez

Hola, das por hecho que el trabajo del técnico es configurar la centralita IP, y no, eso es erroneo, su trabajo es instalar los equipos y realizar una configuración básica.

Indicas que no funciona el buzón de voz grupal, eso no es cierto, si funciona, pero no está configurado, al igual que la transferencia a ciegas, al igual que la captura de llamadas, los saltos de grupo etc etc...

Todos esos aspectos se piden en un proyecto técnico que se realiza con el cliente y un centro específico. ¿Fuiste tú el que realizo dicho proyecto técnico con el centro de provisión? o bien fue el cliente, porque si no pedisteis dichas configuraciones... es normal que "no funcionen" y os toca hablar con el centro de voz para que lo reconfiguren porque tecnicos, como bien dices, no es que no tengan mucha idea (aunque es cierto) es que sus herramientas y su capacidad configuración es limitada.

Respecto al roaming de las antenas, el cliente ha contratado antenas básicas, si quieres roaming contrata las profesionales,al igual que el audio HD. Normalmente el cliente suele tirar a lo mas barato dentro de un presupuesto y de ahi wue tenga carencias.

un saludo

🗨️ 5
rbetancor

Hola, das por hecho que el trabajo del técnico es configurar la centralita IP, y no, eso es erroneo, su trabajo es instalar los equipos y realizar una configuración básica.

Fue el técnico, quien sacó su portátil, entró en el portal Web de la vPBX de Movistar y empezó a configurar la centralita, así que no se tú, pero eso me parece a mí que es "tener que configurar la centralita IP".

La parte de instalación de los equipos y configuración básica, también la hizo mal, porque no era capaz de configurar los terminales para que funcionaran con un PC detrás y marcando el tráfico para la VLAN de voz y la de datos. Hasta el punto de que optó por la solución más drástica ... duplicar todo el cableado de la red.

Indicas que no funciona el buzón de voz grupal, eso no es cierto, si funciona, pero no está configurado, al igual que la transferencia a ciegas, al igual que la captura de llamadas, los saltos de grupo etc etc...

A ver, para cualquiera que sabe del tema, es evidente, que el servicio tiene que funcionar, solo que el zoquete que fué no sabe hacer la O con un canuto. Para el cliente (que no soy yo), el servicio NO FUNCIONA, y yo que me alegro, dicho sea de paso (pero eso ya es otro asunto).

Todos esos aspectos se piden en un proyecto técnico que se realiza con el cliente y un centro específico. ¿Fuiste tú el que realizo dicho proyecto técnico con el centro de provisión?

Yep, fui yo, me tocó, muy a mi pesar, sentarme hace meses con el comercial y otra persona que cuando vino, la presentaron como el "encargado de proyecto", con que hablé toda la parte de VLANs, rangos de red, IP pública, puertos, cableado del edificio, configuración de la centralita. Se fué de esa reunión con hasta los IVRs diseñados y las locuciones en un pendrive.

Meses (porque han sido 4 meses) más tarde, vienen a "implantar" ... y todo el trabajo previo, parece haberse esfumado, nadie sabe nada, ni el comercial, ni por supuesto los técnicos, que venían con una orden de trabajo más simple que el mecanismo de un chupete y de el supuesto "encargado de proyecto" ... ni rastro.

Como comprenderás, ante esa situación, a parte de hincharseme los cojones, porque ya me jodía tener que hacer de intermediario entre el cliente y Movistar (son clientes nuestros de otros servicios, en su momento también tenían VoIP con nosotros, pero se fueron con VF por una supuesta mejor oferta, que han estado arrastrando 2 años, hasta que ahora la oferta de Movistar, se supone que también era mejor y ya ves tú), no voy a permitir que le metan mano a la red, hagan lo que les salga de los cojones ... luego salgan a escape por la puerta y si te he visto no me acuerdo y nos dejan a nosotros el marrón (cosa bastante habitual en este cliente, que nos termina llamando en plan bombero apagafuegos).

En cuanto al roaming, el cliente le especificó al comercial, que se tenían que poder mover por todo el edificio con los inalámbricos. El cliente en ningún momento ha seleccionado NADA del equipamiento, comentó sus necesidades y el comercial fué el que determinó que equipos había que instalar. Ni tampoco el cliente protestó NADA de lo que le pasaron en la propuesta económica, osea no fueron de "ratas", la frase de los dueños al comercial fue clara y contundente "Esto es lo que necesito, búscame una solución", en ningún momento se ha puesto pegas, por temas de precios. Yo le dejé hacer, porque sabía que iban a meter la pata hasta el corbejón y porque NO es mi trabajo, hacerle de preventa técnica a la competencia.

Ahora que han instalado y que la parte que a nosotros nos importa, no la han jodido ... de el resto, como si se les prenden fuego los equipos. No es nuestro problema.

🗨️ 4
BocaDePez
BocaDePez
🗨️ 1
rbetancor
rbetancor
BocaDePez
BocaDePez
🗨️ 1
rbetancor
rbetancor
BocaDePez

A ver. Que monten ubiquity no es nada raro en el mercado empresas. Lo raro es que la empresa estuviera con un servicio de gran público. Todo lo que le han montado tiene SLAs contractuales no como su FTTH

🗨️ 4
rbetancor

Lo que es RARO, es que Movistar use esas marcas.

NADA de lo que han montado tiene SLA, me he leído los contratos. Salvo que consideres SLA, que te atiendan de forma "prioritaria" en las primeras 24h desde que notifiques una incidencia, salvo que llames fuera de horario de oficina o fines de semana.

Eso no es un SLA ... eso es reirse del cliente en la jeta.

🗨️ 3
BocaDePez

El fusion empresas tiene SLAs. Otra cosa es que no sepas encontrarlas.

🗨️ 1
rbetancor

Están bien escondidas en el contrato ... y llamar a eso SLA, es un chiste de mal gusto. Por lo menos es mi opinión.

BocaDePez

¿Porque dices que es raro?. Para lanzar un servicio lanzan RFIs y RFPs y escogen la empresa que cumple las especificaciones tecnicas y es mas barata independientemente de la marca

pacololrelol

En una macrolan de movistar (500€ al mes 50 megas) el router directamente no hace nada, tienes un rango de 6 ips y tu la pones en el wan de tu router.

Vamos que es tal y como te lo han dejado en esa instalacion

🗨️ 17
rbetancor

No es un Macrolan, es un simple Fusión Empresas con Centralita Virtual.

Las IP's que han dejado, de hecho, no funcionan ... tuve que hacer un "cualesmiip" para luego hacer los cambios DNS y apuntar a la IP que salía, para que los servicios hacia dentro, funcionaran otra vez.

Osea ... la cosa está Internet -> ONT -> (SNAT IP Pública 2.X.X.X.X) Mikrotik Movistar (DNAT: IP Pública 217.124.X.X ) -> (SNAT IP Pública 217.124.X.Y) Mikrotik cliente (DNAT: IP Privada 192.168.1.X) -> LAN

Un doble NAT, pero con IP's públicas ... un cachondeo ... XDD

🗨️ 16
BocaDePez

¿Y que es un fusion empresas mas que un macrolan unido a otros servicios?

🗨️ 4
rbetancor

Macrolan era/es otra cosa diferente.

Pero bueno, lo pueden llamar como quieran, es una FTTH de 600 con más caudal RT para la Voz, nada más.

🗨️ 3
BocaDePez
BocaDePez
🗨️ 2
rbetancor
rbetancor
🗨️ 1
PercebesBenz

??? Hace que no toco empresas, pero esto que cuentas no tiene sentido¿?

Qué yo recuerde la centralita virtual o bien estaba tunelizada o bien necesitaba un u/p por software.

Qué carajos es eso

🗨️ 10
rbetancor

Supongo que la vPBX va tunelizada desde el router que han puesto, a ver si me paso esta semana y jugeteo con los terminales que han puesto, para ver la config.

🗨️ 9
PercebesBenz
PercebesBenz
🗨️ 8
rbetancor
rbetancor
1
🗨️ 7
BocaDePez
BocaDePez
🗨️ 6
rbetancor
rbetancor
🗨️ 3
BocaDePez
BocaDePez
🗨️ 2
skgsergio
skgsergio
rbetancor
rbetancor
BocaDePez
BocaDePez
BocaDePez
BocaDePez
BocaDePez

El hecho de que sea direccionamiento en teoría erteneciente a un rango público no significa que no se pueda usar como privado, me consta que en algunos servicios lo hacían no se si en la actualidad lo hacen.

Tu en tu casa u oficina puedes usar el direccionamiento que quieras siempre que sea en tu intranet y no conectado a Internet. Eso sí si alguna vez se conecta esa Red a Internet puede que cuando apunte a esa Ip intente buscarla en el DNS

🗨️ 4
NetVicious

A ver, no hay que ser muy listo para entenderlo. Cualquier direccionamiento fuera de los rangos de IPs privadas y del cual NO tengas el control es una cagada. Si en dicho rango que utilizas internamente está casualmente un servidor público al que quieras acceder no podrás hacerlo.

Se pueden comprar/alquilar rangos públicos (todo ISP lo hace e incluso algunas empresas gordas) para montar tu infraestructura en ellos. Eso imagino que rbetancor lo habrá revisado en el Ripe (o similar), y habrá visto que no son propiedad de Teléfonica o Movistar, ....

Lo que no entiendo es porque no usan ya de una vez IPv6; por lo menos en su red interna mediante NAT64 o similar.

🗨️ 3
BocaDePez

Si en el servicio se incluyen direcciones IP Publicas es porque esas direcciones están gestionadas por el operador y las tienen reservadas para este servicio en concreto.

No creo que rbetancor se haya metido para comprobar eso.

🗨️ 2
PercebesBenz

Jajaja

mejor no te lo cuento

rbetancor

Las IP's, son de un bloque de RIMA, sin problema alguno ... simplemente es que no se pueden usar, intuyo, que porque dejaron el router mal configurado.

Es un /29, una IP para la pata del router de ellos que conecta con el mío, otra para el mio, la de red, la de broadcast y 2 que sobran.

El problema es que su router en la WAN, NATEA todo lo que salga hacia afuera ... en vez de simplemente enrutar el tráfico de la /29

vinclar

Me da mi que el teléfono VoIP basico unify que instala en fusión empresas nada tiene que ver con Ubiquiti. Lo sé porque me han encasquetado uno y de vuelta a la caja.

Por precio y oferta me ha merecido la pena, ya con el ahorro de la IP fija cubre, el switch Huawei(también a la caja),.

Estoy como loco por sacar del setup el router teldat, no me funciona directamente la sesión PPPoE vlan6 de toda la vida, directamente contra la ONT.

Alguien tiene información si es factible? Básicamente tengo el Teldat como una DMZ contra un pfsense. Y si me puedo quitar el cacharro este mejor.

🗨️ 2
vinclar

@rbetancor

Supongo que tu caso es diferente pero por si te sirve, yo tengo el siguiente setup con Movistar fusión empresas funcionando.

ONT Huawei → teldat 104kf 217.124.116.57/29 → Pfsense 217.124.116.61/29

Y en teoria hay una DMZ al pfsense, pero por si acaso pedí que abrieran todos los puertos a la IP del pfsense.

La centralita de Movistar no la uso, tengo una pbx propia, como túneles ipsec y sin problema de doble NAT.

🗨️ 1
BocaDePez

Esos equipos no son Ubiquiti, se llaman Unifi los terminales VoIP pero no son de Ubiquiti.