BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

Fibra/Cable
💡

Cómo usar el servidor DNS 1.1.1.1 con Vodafone y el router Sercomm H-500-s

Pepf
5

Información previa

Como muchos otros, cuando Cloudfare anunció sus nuevos servidores DNS me lancé a probarlos y me llevé un chasco. El router Sercomm H500-s que instala Vodafone utiliza internamente la IP 1.1.1.1 así que era imposible acceder a esa dirección; ni por DNS, ni por HTTP, ni de ninguna otra forma. En mi caso, el servidor secundario en 1.0.0.1 tampoco respondía.

sercomm-vfh500-s-sin-fondo.png

Me puse en contacto con Vodafone a través de sus redes sociales para informarles del problema y pedirles una solución, y cual fue mi sorpresa cuando al día siguiente me responden diciendo que habían realizado un cambio en mi router y que ya podía usar la dirección 1.1.1.1 como servidor DNS. Ole! Así que inmediatamente lo pruebo y, efectivamente, las peticiones DNS a 1.1.1.1 funcionan y responde muy rápido. Rapidísimo. De hecho… demasiado rápido. Tras unas pruebas más termino confirmando mi sospecha: con el cambio que me han hecho, todas las peticiones DNS al servidor 1.1.1.1 las responde el propio router. Incluso con el DNS Proxy desactivado. Las peticiones a otros servidores DNS siguen funcionando correctamente, así que parece que el cambio sólo afecta a esta dirección en concreto.

Les respondí dejando claro que lo que habían hecho era una chapuza y un engaño, y que no habían solucionado el problema. Al cabo de un par de días me llamaron y esta vez me dieron más detalles. Me confirmaron que habían recibido varias quejas de clientes diciendo que no podían usar estos servidores y comentaron que ya hacía días que desde Vodafone habían pedido a Sercomm que incluyese una solución en su próxima actualización de firmware. Tras preguntarles, me dijeron que Sercomm había confirmado que lo solucionaría pero que por ahora no sabían cuándo esa actualización llegaría a los clientes. Otra cosa que me dijeron es que habían hecho ciertos cambios en mi router para que pudiera, esta vez sí de verdad, utilizar el servidor DNS 1.0.0.1. Estando aún al teléfono lo probé y efectivamente funcionaba como debía. Por desgracia, la dirección 1.1.1.1 seguiría sin funcionar hasta que Sercomm actualice el firmware.

Tras colgar y medio contento con al menos poder usar el servidor secundario, decidí acceder por SSH al router a investigar qué habían hecho. Tras un rato no conseguí encontrar qué es lo que habían cambiado pero sí encuentré cómo quitarle completamente al router la dirección 1.1.1.1 y así solucionar el problema yo mismo. Sorpresa!

Al tajo

  • Paso 1: Obtener el password de administrador de tu router.

Tienes todos los detalles en este otro post.

Nota: hay un error en la contraseña por defecto que indican, la correcta es VF-ESVodafone-H-500-s.

  • Paso 2: Activar el acceso por SSH.

Una vez hayas accedido como admin a la web del router, ve a la pestaña Settings, luego Access control, y habilita el SSH en la columna LAN (opción allow). Dale al botón Apply para guardar los cambios.

  • Paso 3: Acceder por SSH.

Conéctate por SSH a la IP de tu router (192.168.0.1 por defecto) y accede con el usuario admin y la contraseña que has obtenido en el paso 1. Una vez dentro, introduce el siguiente comando: ifconfig br0:0 down.

Y ya está. Sal, y desde ahora ya puedes acceder a la dirección 1.1.1.1 como a cualquier otra. Puedes probarlo de forma rápida abriendo https://1.1.1.1 en tu navegador. Si ves la página de Cloudfare es que todo ha ido bien.

Algunos detalles y conclusiones

Parece un cambio relativamente sencillo y es algo que desde Vodafone podrían hacer perfectamente cuando un cliente solicita poder usar estos DNS, así que me pregunto qué motivos tendrán para no hacerlo. ¿Por qué el router se asigna esa dirección y por qué no quieren quitársela? Quién sabe.

La interfaz de red br0 del router tiene asignada la dirección IP de la LAN, 192.168.0.1, pero además tiene asignada cómo segunda dirección IP la 1.1.1.1 mediante la interfaz br0:0. Desactivando esta segunda, lo que hemos hecho con el comando ifconfig anterior, simplemente quita esa dirección y desde ese momento el router deja de verla como una IP interna.

Por ahora no he notado ningún efecto adverso tras esta modificación, todo sigue funcionando correctamente y sin problemas. De lo que no estoy seguro es de si este cambio sobrevivirá tras un reinicio del router o si se reactivará la interfaz y habrá que volver a hacerlo. Ahora mismo no tengo ninguna necesidad de reiniciarlo pero en cuanto lo haga os informo.

Si en algún momento queréis deshacer el cambio, sólo tenés que volver a acceder por SSH e introducir el siguiente comando: ifconfig br0:0 add 1.1.1.1/8

Espero que esto os sea útil y ya dirés qué tal os ha ido.

mceds
1

Yo apuesto una de importación a que no sobrevivirá a un reinicio. En todo caso, lo normal es que estos cacharros se tiren meses y años en funcionamiento continuo.

rbetancor
2

El problema real con la IP 1.1.1.1 y todos los routers made-in-china que usan los operadores, es que vete a saber porqué motivo, el br0, que es el bridge entre el interfaz wifi y la LAN, los chinos le asignan la IP 1.1.1.1 cuando crean el intefaz y luego le 'añaden' la IP que le tengas puesto a tu router en un paso posterior.

Es un simple de cojones, problema de los scripts de inicio del router, que de una forma u otra son variantes de Linux. Resolverlo es tan chorra como lo que has comentado o un simple

ip addr del 1.1.1.1/8 dev br0:0

Modificar los scripts de arranque del router, es una tontería de 10s … pero como todo está hiper-externalizado, ya se tirarán MESES, hasta que saquen una firmware nueva que lo arregle.

Es curioso que se use ese rango para 'cosas internas inútiles y sin sentido' del router … lo que demuestra que los controles de calidad sobre las firmwares, brillan por su ausencia.

🗨️ 4
BocaDePez
BocaDePez
1

Modificar los scripts de arranque del router, es una tontería de 10s ... pero como todo está hiper-externalizado, ya se tirarán MESES, hasta que saquen una firmware nueva que lo arregle.

Lo de que por subcontratación tardarían MESES en hacerlo es precisamente lo que dije en otro post y te pusiste a dar la brasa con que es un paso de un segundo y blablabla.

🗨️ 3
rbetancor
1

Es un paso de 1s, se corrige en 10s el script de arranque, se 'cocina' una nueva firmware en 2 minutos y se publica en el ACS en 1 minuto mas ...

Para que 'ese arreglo', que es una soberana chorrada estuviera corregido a nivel nacional, en digamos ... 4-5h, porque no vas a lanzar un 'update all' a todos los CPEs a mismo tiempo, esas tareas tendrían que estar gestionadas por personal de la operadora, como todo está hypermega-externalizado ... a estos 4 chorripasos, le tienes que añadir un par de reuniones ... 40 o 50 emails que van y vienen entre distintos departamentos de distintas empresas, etc. etc. ... hasta que la petición final llega al becario chino en taiwan que hace el arreglo en 10s y devuelve la firmware nueva ... que el operador tardará otro par de semanas en publicar.

La burrocracia de por medio, no quita a que el problema se resuelva en 10s

Yo entré en mi LiveBox y corregí el falló en medio minuto. 5 minutos de pruebas con un HGU de laboratorio que tengo y luego fue solo cuestión de:

debops fix-bridge-ip -l hgu-cpes

Y listo ... corregido en los HGU's desplegados de los clientes. Y como el ACS está desactivado ... me importa un carajo lo que haga Movistar.

Un día que me aburra, saco los .xml de los HGU y los meto en mi ACS, pero por ahora no me hace falta.

Insisto ... el problema se resuelve en 10s, otra cosa es la externalización de las marías ... que convierte una incidencia de 10s en una de 10semanas, porque esto encima tiene prioridad -1 millón en la lista de incidencias de ellos.

🗨️ 2
Solospam
2

5 minutos de pruebas con un HGU de laboratorio que tengo y luego fue solo cuestión de:

debops fix-bridge-ip -l hgu-cpes

Y eso se hace entrando por ssh a con las pass del HGU?

lordman

Un detalle, hace X dias han actualizado el firmware a la versión 3.4.17, pues no han arreglado el tema este.

Solospam
1

Una duda de nada relativa a este tema:

1-1-1-1.png

Esto sucede en el momento 0 de conexión al router o puede suceder en otros? porque entiendo que el "SIP 100" llama a la VLAN 100 que es la nativa de Vodafone y lo hace aparentemente desde la red 1.1.1.1

Por lo que si se hace esa llamada al "inicio" de la sesión, cuando se reinicie el router se quedará inevitablemente sin tlf… no?¿

🗨️ 5
rbetancor
1

Eso es tráfico sip de un script-kiddie buscando servidores SIP abiertos para intentar follarselos ... ese tráfico lo descartamos a manotazos en nuestros servidores continuamente.

Ningún operador usa sipvicious para hacer 'SIP-pings'

🗨️ 4
Solospam
1

Así que al usar el comando

ifconfig br0:0 down

todo queda igual, no? no habría efectos secuandarios

BocaDePez
BocaDePez
-1

Ningún operador usa sipvicious para hacer 'SIP-pings'

Eso es como decir que ningún operador usa Nmap para hacer comprobaciones en la red.

🗨️ 2
rbetancor
1

sipvicous está considerada una herramienta de escaneo usada por crackers, no por administradores.

Los admins tenemos herramientas bastante más útiles, como sipp

Es como todo ... una herramienta, ni buena, ni mala ... depende de como la uses, pero en entornos 'serios' no se usa sipvicious, de hecho, como ya dije, suele estar baneado el User-Agent en los SBC's y proxies.

BocaDePez
BocaDePez
1

Como dice rbetancor.... hay herramientas mejores. Esto suele usarse para "testear" y crackers.... a nivell de hackers, no creo que sea muy usado.

BocaDePez
BocaDePez

No esta mal, pero en mi router lowi-h500s-v3.3.05 de Vodafone, me aunque me conecte como admin y cambie a Allow el acceso SSH, sigue sin conectarse, el service SSH esta offline.

🗨️ 1
Tnz

si tienes la clave admin, ve a settings , wan, y pon el servidor de DNS que quieres usar

BocaDePez
BocaDePez
1

¿Nadie sabe cómo eliminar definitivamente el interfaz br0:0 del Sercomm H500S o desasociarlo de la IP 1.1.1.1, de modo que la configuración resista un reinicio del router?

Es que suelo apagar el router todos los días y es un rollo hacer el ifconfig cada día para poder alcanzar Cloudflare.

Gracias.