BandaAncha

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate
🗞️

Grandes cuentas exentas de los bloqueos a Cloudflare y otras IP en Movistar

1
userfiber
5

Diversas fuentes internas de multinacionales españolas me confirman que los bloqueos ordenados por LaLiga contra Cloudflare y otros rangos de IP no se están aplicando a los clientes de Movistar que utilizan:

  • Circuitos MPLS corporativos con salida a Internet.
  • Líneas móviles con APN privado, habituales en terminales de directivos y personal de alto nivel.

En la práctica, cualquier empresa cuyos rangos se anuncien a través del AS3352 de Movistar Grandes Cuentas queda al margen de las restricciones. Puede comprobarse la propagación de esos prefijos en la tabla pública de BGP: AS3352 en bgp.he.net/AS3352#_peers

¿Por qué creo que se produce esta excepción?

Fuentes cercanas me señalan que Movistar habría decidido no bloquear a sus grandes clientes para evitar reclamaciones y posibles demandas, incumpliendo así la resolución judicial obtenida por LaLiga.

Una orden cuestionada… pero debe aplicarse por igual.

Aun admitiendo que la resolución resulte desproporcionada —bloquear infraestructuras completas como Cloudflare afecta a miles de dominios ajenos al fútbol—, su ejecución debería ser uniforme. El trato preferente hacia grandes cuentas discrimina a los usuarios particulares.

Invitación a contrastar

Si trabajas en una de estas multinacionales, bastaría con lanzar un ping o intentar acceder desde tu equipo corporativo a uno de los dominios supuestamente bloqueados. Compartir esos resultados ayudaría a verificar —o desmentir— la existencia de esta excepción selectiva.

andressis2k

El AS3352 no es de "Movistar Grandes Cuentas". Es el de Telefónica de España, donde están todos sus clientes (incluidos los residenciales)

🗨️ 3
userfiber

Hola,

Si , Soy cosciente de ello , quiza no lo explique adecuadamente en el post , me refiero a AS publicos de empresas , Como Seat AS200669 , que estan conectados como Peer al AS3352 de telefonica, dichas grandes cuentas suelen tener un rango IP publico asignado y su propio AS , el cual salen a internet a traves de un operador como Movistar ( operador de transito).

En este caso lo que indico , es que los abonados ( grandes cuentas) con circuitos MPLS de grandes cuentas los cuales suelen tener un AS y direcionamiento publico IP no estarian siendo afectados por el bloqueo de la liga.

A mi entender, Movistar estarian aplicando un whitelist basado en IP de origen o AS de origen para no aplican el bloqueo cuando pasa el trafico por su red core.

🗨️ 1
Mick Diaz
1

si tienes un AS propio y te están vendiendo conectividad mayorista, quizás ellos dejen de ser los prestadores finales de la conectividad, no sé si me explico; y entonces las reclamaciones irán al AS final, no al de interconexión o tránsito.

Lo del APN privado, ¡por fin lo leo! Siempre lo supuse pero nunca lo había comentado.

Andromeda8

Tal vez para impedir que bloqueen la IP publica de clientes, imagina alguien que usa Acestream y bloquean su IP, reinicia el router le asignan nueva IP y esa IP va rulando y bloqueando al que le toque la china.

Vamos que bloquean las IP de otros menos las propias o las de clientes de Telefónica.

lucasdb

convendría precisar si solo es para grandes cuentas con sistema autónomo propio, o también para aquellos que tienen un acceso a Internet dedicado tipo Diba/data Internet, muchas gracias

bronx
1

Así que si tienes una web pequeña te aguantas que te bloqueen. Y si eres un usuario pequeño te aguantas los bloqueos.

Pero aaaamigo si eres una web grande entonces contigo hacemos una excepción.

Y claro si eres un usuario grande por supuesto que la sentencia no te aplica como al resto.

Vaya mafia que se han montado Movistar, LaLiga y el honorable juez.

Lo siguiente es vender un paquete fibra ultra premium, por el módico precio de 19.99€ al mes tu conexión no se verá afectada por los bloqueos. Al fin y al cabo qué es la justicia sino un producto más que puedes comprar si tienes el dinero suficiente.

🗨️ 2
delegao
4

Claro, al populacho que le den. Que paguen, traguen y no molesten. Nada nuevo bajo el sol.

Monjastar oficial

Obvio me lo imagianba ya que las grandes empresas pueden demandarlos y ahi tener problemas y un cliente pequeño no ya que no puede, mas que reclamaciones al ministerio que solo quedan en un cajon porque no sirven

Lo unico que serviria son bajas masivas a ver si le tocan la cuenta es lo unico que les afectaria en verdad.

Aunque la mayroia de la gente ni sabe que existe esto, solo empresas pequeñas, ya que cuslquiera que accede a una web bloqueada piensa que esta caida y la cierra y ya (Por algo no avisan en un mensaje en la web y solo Digi lo hace)

pastor de becerros

Los APNs privados son usados por Grandes clientes y aplican a dispositivos tanto para altos directivos com para curritos como para maquinas bajo IoT

La razon es que esas lineas suelen tener contratos de nivel de servicio especiales con penalizaciones incluidas. Tambien suele pasar que en esas lineas los grandes clientes suelen controlar que el uso sea el de trabajo y no se empleen en paginas raras

🗨️ 1
bronx

La sentencia no dice nada de que los bloqueos solo apliquen al ámbito doméstico… Aplican al ISP, no a una parte de su tráfico.

Otra cosa es que como hacen lo que les da la puta gana y saben que los bloqueos son un atropello pues mejor no hacerse enemigos poderosos que te puedan echar abajo todo el tinglado.

pepejil

Fuentes cercanas me señalan que Movistar habría decidido no bloquear a sus grandes clientes para evitar reclamaciones y posibles demandas, incumpliendo así la resolución judicial obtenida por LaLiga.

Y me apuesto un cojón y medio que eso a LaLiga le va a dar igual, porque no deja de ser un juego de trileros donde sólo pringa el populacho.

Es otra más de las incoherencias de Tebas y de lo que preside, que para él le preocupa "la pornografía infantil" pero sólo de viernes a domingo y no para todos.

pjpmosteiro
1

Creo que igual estamos confundiendo cosas.

El AS3352 es el AS de Telefónica para servicios de ISP. Es decir, para sus clientes. Hasta donde yo sé, no tienen AS para grandes cuentas.

Otra cosa es que las empresas tengan su propio AS y tengan al AS3352 como peer de tránsito, pero es que ahí cambia el cuento respecto al bloqueo, porque Telefónica ya no es un ISP, es un peer, no puede (o al menos yo así interpreto la sentencia) bloquear ni cribar tráfico porque no son el proveedor final, sólo un enlace.

Si se ponen a bloquear tráfico también a nivel de peer… Pues serían bastante tontos, porque para los AS es tan sencillo como romper el peer y enlazarse con otros. El enlace da más vuelta, pero se mantiene la conexión.

Esto lo digo un poco desde la barra del bar, no estoy nada seguro de cuales son los límites de la sentencia en sí.

🗨️ 1
userfiber

Hola,

Tengo dudas que en este escenario Telefonica no sea un operador ISP , debido a dos motivos.

  • El cliente contrata una linea de fibra dedicada de transito a telefonica, y este cliente propaga su rangos IP publicos a traves de la fibra y del Peer propocionado por el operador del cable . Es por tanto que el cliente no tiene opcion de elegir otro peer distinto que no sea el de la operadora, ya que la terminacion de dicha fibra es al core de la red del operador y no un punto neutro.
  • Telefonica ofrece servicios de proteccion en este tipo de lineas dedicadas , como la proteccion avanzada DDoS , que basicamente, en caso de ataque masivo , enrutan el trafico destinado al AS del cliente a traves de un data center de telefonica para limpiarlo y entregar solo al cliente el trafico legitimo , internamente lo llamanda "la lavadora"
nitro248
2

Hola a todos, esta es mi primera aportación por aquí, aunque llevo años siendo parte de la comunidad.

Respecto al debate que se está planteando, creo que es importante aclarar cómo funcionan por dentro los circuitos MPLS y los APN Privados que ofrece Telefónica, y cómo se diferencian de la red FTTH que todos conocemos.

Para empezar, tanto MPLS como los APN privados funcionan en redes lógicamente separadas de la red FTTH de Telefónica. Esto permite aplicar políticas como bloqueos de IP en una red sin que afecte a la otra. De hecho, en la documentación de MacroLAN (wiki.bandaancha.st/MacroLAN) se explica un poco por encima cómo, gracias al funcionamiento por etiquetas de MPLS, se pueden crear túneles virtuales (los famosos LSPs) que aíslan el tráfico de forma lógica.

Si los bloqueos judiciales afectaran a la red MPLS, no solo impactarían a un cliente como SEAT (que se ha comentado más arriba), sino a muchos operadores que dependen de esa infraestructura, como es el caso de MásMóvil (ahora integrada en MásOrange). Muchos de ellos usan la red MPLS de Telefónica para llegar a sitios donde no tienen cobertura propia, precisamente por la capilaridad y los SLAs que ofrece.

La clave está en cómo se enruta el tráfico:

  • Por un lado, el tráfico FTTH sigue rutas IP normales.
  • Por otro, el tráfico MPLS sigue rutas basadas en etiquetas, completamente independientes.

Cuando llega una orden judicial para bloquear ciertas IPs, esos bloqueos se aplican sobre la parte FTTH, sin tocar la MPLS. Así se evitan líos con servicios críticos o de terceros que pasan por esa red.

Y por aclararlo, aquí no entran en juego los Números de Sistema Autónomo (AS). Aunque sí identifican redes bajo una única política de enrutamiento, la separación entre MPLS y FTTH no depende de los AS sino de cómo están segmentadas y de las rutas que sigue cada tráfico.

Espero que sirva para aclarar un poco el asunto.

Un saludo.

🗨️ 2
userfiber
1

Hola, nitro248:

¡Muchas gracias por tu aportación y por todo el nivel de detalle! Sin duda, enriquece enormemente a la comunidad.

Coincido contigo en que los operadores están separando activamente el tráfico residencial del corporativo que entra por MPLS. Ahora bien, la sentencia es inequívoca: debe bloquearse cualquier conexión que transite por el ISP —incluyendo los elementos de Movistar—, sin excepción para redes corporativas ni MPLS. De lo contrario, se produciría una discriminación evidente: un famoso con una mansión en Ibiza podría contratar un circuito MPLS para tener "internet de lujo” ( soy conocedor de algunos casos ) y quedar exento de los bloqueos, mientras un usuario doméstico con una simple FTTH sí tendría que afrontarlos.

En definitiva, si la sentencia ordena bloquear a Movistar, todos sus abonados, sin importar el tipo de servicio, deben quedar sujetos a ese mandato.

Por último, apunto una vía jurídica alternativa: tal vez no sea posible anular la orden de bloqueo, pero sí perseguir a los operadores que la incumplan. Obligarles a aplicarla también en sus circuitos MPLS y APN privados generaría un nivel de ruido y potenciales demandas tan alto entre las grandes empresas que podría desembocar en cancelaciones de contratos o litigios masivos.

🗨️ 1
nitro248

Efectivamente, pero como todos sabemos, una cosa es lo que dice la sentencia/ley y otra muy distinta lo que luego hacen las operadoras.

Te puedo poner muchos ejemplos, como por ejemplo, que la Ley de Telecomunicaciones dice que el usuario es libre de poner el dispositivo de red que quiera, y luego no es posible en muchas ocasiones:

  • Digi hasta hace nada no te dejaba poner un router que no fuese el suyo, ya que te ponían muchos problemas para darte los datos PPPoE. Es más, creo que en la fibra de 10G no te dejan oficialmente.
  • Telefónica no te facilita la clave GPON si no la buscas tú. Al menos a mi nunca me la dieron cuando la pedí.
  • Lo mismo pasa con Orange, que te las tienes que ingeniar para conseguir los datos de su Livebox.
  • Muchos operadores locales tienen filtrado MAC para evitar que se instale un router distinto al suyo.
  • ETC

Como puedes ver, no es cuestión de lujos, es cuestión de que se pasan las normas por donde quieren.

Y si, en este caso los "famosos" tienen su "internet de lujo". El motivo, sospecho que es por no tener que pagar luego multas millonarias por caídas del servicio a dichas empresas, porque en caso cortar el tráfico MPLS a Seat, puede costarle a Telefónica una multa de más de 6 cifras. No es lo mismo "4 frikis" que se tienen que ganar la vida con sus tiendas online de 100 visitas al mes…