ONT para router neutro en compañía local que permita modifica el SN

Dexter91tracker martes a las 07:02 ✎

⋮

Tengo un familiar al que le llevo todo el tema de soporte de sistemas en su pequeño negocio como autónomo. Quiero hacerle copias de seguridad automatizadas e incluso que pueda acceder desde su casa por una VPN al ordenador de la oficina. Tiene contratado un operador local, muy pequeño en un pueblo de Badajoz.

Tiene un ONT-router todo en uno de Huawei ahora mismo no recuerdo el modelo pero es imposible entrar en modo admin y tampoco te dan la contraseña por teléfono.

He colocado un router Mikrotik justo detrás solo para crear el túnel WireGuard pero es imposible echarlo a andar. Tienen capados todos los puertos y al no poder entrar en el router no puedo abrirlos.

Llame por teléfono y les comenté que me pusieran el router como neutro y no sabían de lo que le estaba hablando, luego les comenté que me pusieran una IP en particular en la DMZ para que el Mikrotik se gestionara solo el tema de puertos, y la respuesta es, ¿pero qué quieres jugar a la play?

En fin, ya desesperado se me ha ocurrido intentar comprar una ONT por Wallapop e intentar sustituir a la fuerza bruta la ONT y dejar libre el Mikrotik.

Imagino que usarán autentificación por sn, por lo que me gustaría me recomendarais un modelo que permita modificar el sn. He estado mirando el 8010h pero no tengo seguro que se pueda programar el sn ya que todos los tutoriales que veo en internet son para Movistar que va por IdONT.

¿Que me recomendáis?

Gracias,

CMov martes a las 07:47

⋮

Buenos días.

Generalmente, en las ONTs Huawei no es necesario entrar como administrador para configurar el DMZ o el port forwarding. Deberías poder hacerlo con Epuser.

Dexter91tracker martes a las 07:49

⋮

También probé con ese usuario y nada, no obstante vuelvo a probar Epuser y userEp.

and125 martes a las 08:00

⋮

No es estrictamente necesario comprar una ONT, puedes comprar el mismo modelo que la operadora te dio y así manipularlo a tu antojo, por ejemplo configurando el modo bridge

Eso sí, hay que jugar un poco con la fibra, conectándola en el momento justo para que no telecargue toda la configuración. Tuve suerte con Avatel, me funcionó una vez, aunque tampoco he vuelto a intentarlo.

Aún así, te diría que uses algo como Tailscale en lugar de WireGuard directamente. Más margen de error sobretodo para un sitio en remoto, y parece que para tu situación puede funcionar perfectamente.

✖

Dexter91tracker martes a las 08:05

⋮

Tailscale tengo entendido que es una implementación de WireGuard. Mikrotik creó el back to Home, y en mi domicilio con Movistar va bien, pero en el de ellos que tienen también el operador local estuvo funcionando una semana y ha dejado de andar. He revisado todo y está bien, por lo que entiendo que han debido tocar algo.

Lo que quiero quitarme ya es a ellos de enmedio y no tener que estar buscando alternativas.

vgvvictor martes a las 08:29

⋮

¿Tienes claro que no están tras un CG-NAT? porque si lo están y no pueden salir, todos los esfuerzos de poco te servirán

Bramante martes a las 09:16

⋮

Con toda probabilidad estás tras CG-NAT, tenlo en cuenta si necesitas levantar servicios que tengan que ser accesibles desde el exterior, como ese WireGuard.

Por otro lado, para acceder al dispositivo Huawei de la operadora, si se niegan a darte las credenciales de acceso, intenta seguir este método. En mi caso, en una situación similar a la tuya, consiguió solucionarme la papeleta, a pesar de no ser el mismo modelo exacto.

No obstante, ten en cuenta que incluso contando con la posibilidad de que puedas sustituir el router/ONT o modificar la configuración del existente, las limitaciones impuestas por CG-NAT seguirán presentes. Tendrás que explorar soluciones tipo Tailscale, túneles de Cloudflare, etc.

✖

Dexter91tracker martes a las 12:12

⋮

En principio que yo recuerde no está detrás de CG-NAT, esta tarde noche haré pruebas que en el ordenador que estoy no tengo acceso a esa red.

He estado mirando el método que me indicas. Es interesante, pero claro, no me dan ninguna contraseña, en el tutorial parte que sabe la contraseña de root, entonces copia la contraseña encriptada y machaca la admin. Yo al no saber la contraseña de root, no tengo manera de desencriptar esa contraseña.

✖

Bramante martes a las 12:21

⋮

no me dan ninguna contraseña, en el tutorial parte que sabe la contraseña de root

No, no tiene las credenciales root, de tenerlas, no haría falta ningún método.

Lo que indica el enlace es que vía Telnet, en ese caso concreto (y que coincidió con el mío, en un modelo Huawei distinto), las credenciales "estándar" root/admin, el sistema se las traga y permite interactuar con TFTP para modificar los archivos de configuración y sobreescribir las credenciales que ha hardcodeado la operadora.

La esencia es probar si en tu caso puedes acceder vía Telnet con root/admin. Si es así, tienes la mayor parte del camino recorrido.

✖

Dexter91tracker martes a las 12:26

⋮

Vale, he podido entrar por TeamViewer, nada, tienen capadas también las contraseñas root/admin por telnet, incluso he probado con la que viene en la pegatina trasera, root/adminHW y nada, es un EG8245H

✖

Bramante martes a las 12:29

⋮

khaelin martes a las 09:36

⋮

Prueba Epuser y la contraseña que viene detrás del router.

vukits martes a las 10:45

⋮

Si es para hasta 5 ordenadores, instala Tailscale: no necesita abrir puertos. Tailscale está muy recomendado por estos foros y para hasta 5 ordenadores, es gratis

Y a largo plazo, puedes montar un "Headscale" (necesitarás un VPS por ahi)

✖

Bramante martes a las 11:40

⋮

Son más generosos: En el plan gratuito, "Personal" lo llaman, son 100 dispositivos conectados a tu tail y un máximo de 3 usuarios, que para cualquiera de nosotros con un uso para cuestiones domésticas, ocuparemos uno solo de esos 3 asientos.

✖

Dexter91tracker martes a las 12:10

⋮

Lo que con Tailscale hacer un STS para que siempre esté en mi red es complicado ¿no? Lo suyo entiendo que es hacerlo directo, sin intermediarios. Aparte, he visto que el docker para Mikrotik se come toda la CPU

✖

Bramante martes a las 12:26

⋮

hacer un STS

Desconozco qué es esto de STS, lo siento.

La idea detrás de Tailscale es crear nodos que puedan comunicarse entre sí, no es más que WireGuard manejado por terceros y con un GUI que simplifica la configuración.

En LAN, levantarás un nodo (yo lo tengo levantado en una Raspberry) que hará un "agujero" (si estás tras CG-NAT) para salir a WAN. En el resto de dispositivos que quieras que pueden verse entre sí, instalarás también Tailscale.

vukits martes a las 12:56

⋮

No, no es un STS . (site to site)

Según entendí leyendo la docu

Es RoadWarrior para todos. (no hay nodo central excepto el de Gestión que sí tiene que ser alcanzable: te la hace Tailscale gratis, o sino te tienes que montar un nodo de Gestión en un VPS con Headscale)

Según tengo entendido, Tailscale (y Headscale) hacen carambolas con UDP para saltarse el NAT y por eso les hace falta el nodo de gestión.

Solospam martes a las 13:16

⋮

Si tienes Mikrotik descarga zerotier y configúralo, son 10 dispositivos gratis