Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

hosting en interdominios
535 lecturas y 15 respuestas
  • [Editado 5/01/14 19:04]

    IP Fija abre el router desde LAN...

    Hola,

    Estoy configurando un Comtrend AR-5387. Dispongo de una IP pública fija con la que en Nominalia he definido un DNS. El router ha sido configurado remotamente por los técnicos de Jazztel. He solicitado algunos los puertos. El servidor es un Mac Mini con OSX Server Mountain Lion.

    En definitiva, necesito un servidor que tiene que dar servicios al exterior de Wiki y de archivos de FileMaker.

    En estos momentos el funcionamiento desde el exterior de la LAN es el deseado, pero... el problema es que desde cualquier ordenador de la LAN no puedo acceder ni a la Wiki ni a FileMaker Server utilizando la IP pública fija. Cuando desde un navegador de un ordenador de la LAN introduzco el nombre del dominio registrado en Nominalia (o lo que es lo mismo la IP pública fija) se abre el router...pero no la Wiki...

    He leído en algún post que hay routers que cuando accedes a la IP pública fija desde la misma LAN, se abre el router y que, en cambio, al acceder a la misma IP desde el exterior el router se encarga de redirigirlo donde se haya configurado. Este es el tipo de router que tengo yo, pues eso es exactamente lo que pasa. El mismo post mencionaba que hay otro tipo de routers (más modernos decía...) que se ve siempre lo mismo accedamos a la IP pública fija desde la LAN o desde la WAN. Este es el tipo de router que me interesaría tener.

    ¿Qué puedo hacer para resolver el problema y lograr que desde la LAN acceda al servidor tal y como lo hago desde la WAN?

    Saludos,

    Rafael

    Este tema lleva más de 6 meses inactivo. Es recomendable que abras un nuevo tema para retomar la conversación.
    1
    • Finalmente lo he resuelto utilizando el servicio DNS Server…

      Finalmente lo he resuelto utilizando el servicio DNS Server que incluye el OSX Server. La configuración que he realizado es la siguiente:

      1. En la configuración de red del servidor: Servidor DNS 127.0.0.1 (localhost)
      2. Activar el servicio DNS Server de OSX Server asociando mi nombre de dominio registrado en Nominalia a la IP interna fija del Mac Mini. Decirle que lo que no pueda resolver de este modo vaya a los DNS de Jazztel.
      3. En la configuración de red de los dispositivos de mi red local, poner la IP interna fija del Mac Mini como primer servidor DNS seguido de los servidora DNS de Jazztel.

      Con esto funciona perfectamente. Gracias a BocaDePez y Aleri (la solución ha sido la segunda opción que mencionabas).

    • Si no tienes router preparado igualmente puedes hacer un…

      Si no tienes router preparado igualmente puedes hacer un "apaño"

      A nivel interno tuyo el servidor tendrá una IP Privada solo has de añadir esa "dns enrutada"

      en los macs anda por private/etc/hosts , en el windows creo recordar ..windows/system32/drivers/etc/hosts

      Los editas les añades una linea tal que 192.168.1.1 loquesea.dominio.es, donde la ip será la de tu server en la red local y el nombre de dominio el que le tengas en las dns de nominalia y por el cual accedes desde fuera de tu LAN. Lo guardas y listos esos ordenadores cuando abras un navegador o lo que sea y escribas loquesea.midominio.es irán a la IP privada y no a la publica que te abre el panel de configuración del router.

      Otra opción es que tu servidor haga de servidor de DNS y en lugar de usar el servidor de Jazztel o del que sea, usas el tuyo propio de esta forma cualquier equipo que se conecte en tu red utilizará las respuesta a la petición de dns que tu quieras.

      No obstante por simplicidad yo usaría la primera, no tienes que hacer prácticamente nada, y no tienes que cambiar de router.

      • BocaDePez BocaDePez
        12

        No te preocupes por las respuestas, se entienden. Pero…

        No te preocupes por las respuestas, se entienden.

        Pero tampoco hay que irse a comprar un cortafuegos dedicado en una instalación pequeña. Si compras un router ADSL que tenga soporte para VLAN, y cuelgas los servidores de una de las bocas del router (con un switch aparte si son varios), al crear VLANs obligas a pasar por el router a todos los equipos para llegar desde los puestos a los servidores... y ahí aprovechas a meter reglas de cortafuegos: solo los paquetes de ida o de vuelta en tal o cual puerto serían los aceptados, y el resto se bloquearían.

        Pero ahí ya debes poseer unos conocimientos de redes más serios, o asesorarte por un experto.

        • Pues, tienes razón...lo mejor va a ser que me asesore algún…

          Pues, tienes razón...lo mejor va a ser que me asesore algún experto. Aunque supongo que en el foro no sería adecuado dar esta información, me iría bien un buen experto en la zona de Barcelona.

          Gracias por tu ayuda BocaDePez.:)

    • BocaDePez BocaDePez
      6

      Interesante el tema de poner un equipo cortafuegos entre el…

      Interesante el tema de poner un equipo cortafuegos entre el servidor expuesto al exterior y el resto de la LAN. ¿Hay algún sitio (link) donde pueda encontrar información de cómo se ejecuta el tema?

      Muchas gracias por tu ayuda.

    • Es una oficina con 3 Mac, 1 PC y un Mac que hace de servidor…

      Es una oficina con 3 Mac, 1 PC y un Mac que hace de servidor de Wiki (servicio incluido en el OSX Server) y de archivos Filemaker desde Filemaker Server. Ambos servicios están sujetos a nombres de usuario y contraseñas. Entiendo que ésto es a lo que te refieres cuando dices que "la seguridad debe estar en el propio equipo del servicio que dejas abierto". Por lo tanto, pienso que el sistema es suficientemente seguro...¿qué opinas?

      Pues voy a ver si los Reyes (no sé si llegaré a tiempo...) me traen un router con NAT Loopback y busco ayuda en este foro para configurarlo, pues como bien dices no estoy habituado a ello.

      • BocaDePez BocaDePez
        6

        Cuando se abre algún servicio al exterior, ya no sois los 3 ó…

        Cuando se abre algún servicio al exterior, ya no sois los 3 ó 4 usuarios los que pueden acceder al servicio, son 2000 millones de potenciales visitantes o intrusos. No lo digo por meterte miedo, pero lo importante es que no se descubran vulnerabilidades en el servicio que permitan la inyección de código que permita a su vez que instalen software y tomen el control remotamente de tu servidor. Para eso hay que estar al tanto de que el fabricante del producto arregle un fallo si se descubre... aquí te tienes que fiar de Apple, hehehe.

        Por eso normalmente en los sitios donde ya hay infraestructura informática seria, las máquinas que quedan expuestas al exterior se blindan y se coloca un equipo cortafuegos entre ellas y el resto de la red interna para que en el caso que una vulnerabilidad del servicio expuesto (sea una web, sea otra cosa) permita la caída del servidor, no consigan entrar hasta la cocina, como vulgarmente se dice.

        • BocaDePez BocaDePez
          6

          #2312293 ▲ Interesante el tema de poner un equipo cortafuegos…

          #2312293

          Interesante el tema de poner un equipo cortafuegos entre el servidor expuesto al exterior y el resto de la LAN. ¿Hay algún sitio (link) donde pueda encontrar información de cómo se ejecuta el tema?

          Muchas gracias por tu ayuda.

    • Gracias de nuevo BocaDePez. Tengo un par de dudas: Utilizar…

      Gracias de nuevo BocaDePez. Tengo un par de dudas:

      • Utilizar un router que permita NAT Loopback, ¿disminuye la seguridad de la LAN?
      • Si compro un router con NAT Loopback, ¿puedo instalarlo directamente sustituyendo al Comtrend? ¿Jazztel no tiene nada que objetar al cambio de router? Digo ésto último porque ahora ellos pueden acceder al router y ayudar en la configuración, pero si pongo mi router, qué pasa?
      • BocaDePez BocaDePez
        6

        Utilizar un router que permita NAT Loopback, ¿disminuye la…

        • Utilizar un router que permita NAT Loopback, ¿disminuye la seguridad de la LAN?

        No tiene nada que ver. La LAN es igual de accesible desde fuera como con cualquier otro router al que le hayas abierto los puertos. La seguridad debe estar en el propio equipo del servicio que dejas abierto.

        La función de NAT Loopback simplemente permite acceder a la redirección de puertos desde un equipo de dentro, para que vuelva adentro. No sé si tienes control sobre todos ellos, si es una oficina con más gente, etc. pero obviamente, si no te fías de los equipos de dentro, ahí ya el router pinta poco y la seguridad debe venir por otro lado.

        • Si compro un router con NAT Loopback, ¿puedo instalarlo directamente sustituyendo al Comtrend?

        Puedes utilizar cualquier router ADSL del mercado para sustituir al Comtrend. Jazztel no tiene ningún elemento "extraño" que impida o dificulte sustituirlo por equipos ajenos, como sucede con Orange, Vodafone o la fibra de Movistar. Jazztel no puede ni debe objetar nada, pero no te va a asistir en su configuración. Sin embargo, siempre puedes acudir a un foro como éste si no te sabes manejar con este tipo de aparatos.

    • BocaDePez, gracias por tus comentarios. Pues tendré que ver…

      BocaDePez, gracias por tus comentarios. Pues tendré que ver con Jazztel la posibilidad de cambiar mi router por uno con NAT Loopback. ¿ Sabe alguien algún modelo de router de Jazztel con esta característica?

      • BocaDePez BocaDePez
        6

        Pues mira, antes lo digo, antes lo encuentro... solo con…

        Pues mira, antes lo digo, antes lo encuentro... solo con poner el término en Google sale una página que incorpora una lista:

        opensimulator.org/wiki/NAT_Loopback_Routers

        Ahí no sale ninguno proporcionado por Jazztel, pero esa lista solo son ejemplos recopilados por ellos. Lo que sí puedes estar seguro es que los Comtrend no tienen esa opción con los firmwares oficiales.

        Ahí habla de que todos los TP-Link traen esa función y son lo suficientemente baratos como para que compres uno si ese comportamiento es crucial para tu negocio.

        Yo tengo un amigo con un TD-W8970 y quizás quede con él mañana. Mientras tanto puedes esperar a ver si alguien más puede confirmar el tema.

    • BocaDePez BocaDePez
      6

      Un par de cosas: menos mal que te registraste, porque de lo…

      Un par de cosas: menos mal que te registraste, porque de lo contrario estaríamos viendo tu IP, y en el mismo mensaje ya has dicho qué puertos tienes abiertos. Es como ponerse una diana en la frente.

      Para acceder a los servidores desde la red local, simplemente tendrías que usar la dirección que tiene ese servidor, o cada uno de ellos, en la red privada. No la ip pública ni el nombre de dominio. Para que estas dos últimas opciones funcionen, no sé si tendrías que hacer port forwarding en tu red local, pero no se me ocurre. No estoy segura de eso. Lo veo innecesario.

      • BocaDePez BocaDePez
        6

        Lo que dices no es correcto del todo. En los routers que…

        Lo que dices no es correcto del todo. En los routers que implementan NAT Loopback no es necesario acceder a 2 IPs diferentes (la pública o la privada) para acceder al mismo sitio según entres desde fuera o desde dentro. Si el router tiene NAT Loopback, puedes usar la IP pública accediendo desde el interior.

        Lo malo es que el tema de NAT Loopback no es algo que los fabricantes publiciten activamente en la lista de características de sus routers. Yo sé que los DrayTek Vigor lo incorporan porque tuve uno, pero no porque apareciese en sus webs ni en sus manuales.

        Quizás otros usuarios del foro puedan nombrar más modelos con NAT Loopback y hacer una lista en el Wiki de BandaAncha, si no existe.