Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

Fibra

Comtrend 5813n problema para abrir puertos a servicios lan

aduniel1

Hola a todos

A ver si alguien puede echarme un cable...

Tengo la FTTH de telefonica 100/10 y el router Comtrend 5813n.
Firmware: P401-402TLF-C02_R35

Tengo una red lan y el router esta conectado a un firewall que filtra las conexiones.

El router al que he cambiado la ip y he puesto IP 1.1.1.2 (figurada) esta conectado al firewall a la interfaz 1.1.1.1.

El servidor web 2.2.2.2 esta conectado al firewall por la interfaz 2.2.2.1. El servidor web no tiene firewall activo y tiene el servidor web funcionando correctamente en el puerto 80.

El router lo he configurado con rutas estáticas y le he puesto que si el destino es 2.2.2.2 use el gateway 1.1.1.1.

Entro por telnet al router comtrend y hago un ping a 2.2.2.2 (servidor web) y todo correcto. Desde el servidor web hago un ping a 1.1.1.2 (router) y todo correcto. El firewall tiene todo abierto desde el servidor web al router y desde el router al servidor web para que no haya problemas en las pruebas.

Ahora voy al router y configuro en NAT --> Virtual Server (tambien he probado con DMZ y nada)

Código:
Server Name External Port Start External Port End Protocol Internal Port Start Internal Port End Server IP Address WAN Interface Remove
Web Server (HTTP) 80 80 TCP 80 80 2.2.2.2 ppp0.6

Con esto hago nat a la ip de destino de mis servidor web lan (2.2.2.2) al puerto 80 usando la interfaz externa del router ppp0.6 donde esta configurada mi IP externa (que es fija). Me dice que cambia el puerto de gestión del router del 80 al 8080 aunque yo sigo entrando por el 80... Vamos que lo que vaya al 80 de la IP externa lo debería enviar al 80 de la 2.2.2.2.

Por último, abro el firewall para el puerto 80 para ello en el router voy a Security --> Ip filtering --> Incoming

Código:
FilterName Interfaces Protocol Allow/Deny SourceAddress/Mask SourcePort Dest.Address/Mask Dest.Port
webext ppp0.6 TCP or UDP Allow 2.2.2.2 / 255.255.255.0 80

Desde fuera de mi red, con un smartphone conectado a datos (no wifi para estar fuera de mi red interna por aquello del NAT Transversal) pongo en el navegador la dirección externa del router y nada, se queda en blanco. He usado un sniffer y envía paquetes SYN pero no hay respuesta, vamos que no pasa del router.

¿Alguien sabe si estoy configurando algo mal, si debo tocar alguna otra cosa o si simplemente este router no funciona correctamente?

Muchas gracias de antemano

Como nota: Ni siquiera un técnico enviado por Movistar supo configurarme el router, ya no digamos el 1002... para cagarse. En fin.

cancanillas

¿Has borrado las reglas de firewall del comtrend?

> ipfilters --info

En el apartado de Incoming aparecen las reglas de filtrado. Tienes que buscar alguna entrada que haga referencia al puerto 80

de todas formas, tampoco tengo claro nada claro que puedas hacer NAT a una IP que no tiene el router. (el router no tienen ningun interfaz en la red 2.2.2.x) Deberias hacer NAT hacia el 1.1.1.1 no hacia 2.2.2.2 y que el firewall encaminara a 2.2.2.2

🗨️ 5
aduniel1

Hola

No, no hay reglas al puerto 80 en el firewall del router (Ip filters) excepto la que yo he puesto, por eso debe ser algo del propio firmware el que cambie el puerto del 80 al 8080 de gestion y haga todo por debajo, pero no funciona correctamente...

Cuando se hace nat se cambia el destino de origen (IP Externa del router y puerto externo de destino) al destino interno (IP del servidor) El router tiene una ruta statica que le dice que si el destino es la 2.2.2.2 que use 1.1.1.1. Por tanto, los paquetes que natea los envía al firewall y el firewall basándose en el destino 2.2.2.2 los envía con sus rutas al servidor 2.2.2.2 y vuelta. Si haces ping desde el router o desde el servidor se envian recibien paquetes correctamente, es decir, el tráfico llega, por tanto, debería ser correcto.

En la linea anterior que tengo de ONO con otro router, el NAT se hacia perfectamente con estas reglas y con ruteo estático, el problema no es por el NAT en si o por el ruteo, sino que el propio router parece como si no aceptara eso o no sea capaz de realizar esta función, que por otro lado es básica.

Me estoy temiendo que dan un router tan capado que hacen que ni siquiera funcione correctamente... y ahora mismo tengo dos linas FTTH de MOVISTAR que no están dando servicio, me parece increíble que ni siquiera el servicio técnico sepa ni de lo que les hablo y tenga que venir a foros :-D.

🗨️ 4
cancanillas

prueba a quitar el firewall y conectar el servidor web directamente al router.... solo para probar

🗨️ 3
aduniel1

Hola he hecho lo que comentas de poner como destino el firewall interno y no el servidor web directamente y en el firewall interno redireccionar el puerto 80 de destino que venga del router al servidor web final al puerto 80 mediant DNAT y no funciona tampoco.

De hecho no recibo trafico del router al propio firewall con destino 80. Es decir no pasa del router y tengo abierto el puerto 80 en la WAN en el firewall del router. Es como si pasara del NAT.

🗨️ 2
BocaDePez
BocaDePez
dnight
aduniel1

Hola

Tengo esto sacado del telnet del router. He dejado, como aconsejais, abierto el puerto 80 en la wan hacia mi firewall interno. Y abierto el firewall del router para que cualquier direccion externa

> nat show virtualserver
[IDX] Name ExtPrtS ExtPrtE Protocol IntPrtS IntPrtE Server
[ 0] Web Server (HTTP) 80 80 TCP 80 80 1.1.1.1

> ipfilters --info
IP Filter Incoming Entries :
Name Interface Protocol Policy Sour.Addr/Mask/Port Dest.Addr/Mask/Port--------------------------------------------------------------------------------

web ppp0.6 TCP 0 (null)/(null)/0-0 1.1.1.1/255.255.255.248/80-0

En mi firewall interno (1.1.1.1) hago DNAT para traducir en la cadena prerouting para que antes de enrutar se adecue el nuevo destino (servidor web 2.2.2.2)

si el origen es mi router de movistar (1.1.1.2) y el puerto de destino es el 80 traduce a 2.2.2.2

1 0 0 DNAT tcp -- * * 1.1.1.2 0.0.0.0/0 tcp dpt:80 to:2.2.2.2:80

Esto no funciona tampoco, no me llega trafico del router al firewall cuando pongo la ip externa en mi movil. Tambien he probado a reiniciar el router con los cambios y no funciona porque no me acordaba si habia reiniciado o no.

Menu ACL no hay en este router en el menu de gestion web del router ni por telnet. Lo que hay es el menu ipfilters que es el firewall del router.

🗨️ 1
aduniel1

Hola

Al final me compre el Microtik RB450G y funciona perfectamente con una FTTH de 100/10 y los parámetros adecuados a mi red.

Muy bueno este router para el precio que tiene.

Además se pueden abrir puertos de forma correcta contra otros segmentos de red como debería ser y puse en mi primer mensaje y no directamente contra el firewall (que también probé y también falló).

El router comtrend de movistar simplemente no funciona. Es una simple y llana estafa y encima el servicio técnico no sabe dar solución.

¿Alguien sabe si se puede devolver este router y que te dejen de cobrar el alquiler del equipo?

Saludos y gracias por la ayuda

PD: No pongo solucionado porque no esta solucionado, el router comtrend sigue siendo una autentica porquería :D