BandaAncha.eu

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate
Fibra

Puerto 25 con DNS dinámico inalcanzable desde internet

rufote

¿Alguien sabe si el puerto 25 de SMTP se forwardea por Digi o no cuando usas una IP dinámica?

Tenia un servidor Linux con Postfix + Dovecot + Roundcube que iba bien y hace un par de meses dejo de ir.

Ahora hago el típico telnet al puerto 25 desde internet y no llega al Postfix. El NAT está correcto en el router y el cortafuegos del servidor también.

Si hago telnet al server en el puerto 80, también con NAT y donde hay una web, llega perfecto.

En la red interna los telnet a ambos puertos 25 y 80 van bien, como era de esperar.

SOLUCIÓN

Austrapede
1

Digi tiene el puerto 25 cerrado. Yo les pedí que lo abrieran y lo hicieron.

🗨️ 2
Kikelon

¿Donde lo cierran?¿En los routers que ponen o en toda su red?

🗨️ 1
lhacc

En la red.

BocaDePez
BocaDePez

Un servidor de correo con IP dinámica??? Bien cierto es que no te acostarás sin aprender algo nuevo…

Y los correos que enviabas entraban en Hotmail / Outlook y GMail? O si quiera cualquier servicio de correo medianamente decente.

Yo hace tiempo administraba un servidor de correo de tamaño "modesto" y sudabas sangre en mantener una reputación de IP aceptable…

🗨️ 1
PezEnLaBoca

Yo lo uso para recibir, para enviar uso un relay externo (muy a mi pesar)

rufote

Esta claro…Muchas gracias por las respuestas.

En cuanto a IP dinámica la tengo con un dominio con el DNS gestionado por no-ip.com en el que tengo un MX record y otro TXT con el spf1 y demás…

search.opensuse.org/Cuando un sistema quiere enviar correo a ese dominio pregunta al DNS por el MX record y sabe la dirección, por lo que los paquetes llegan al router, pero no alpostfix pese a tener el NAT bien pues el puerto 25 esta "capao" como dice Austrapede .

Mañana llamo a Digi para que abran el puerto…y si hay alguna incidencia lo comentaré aqui.

Gracias de nuevo.

rufote

Pues nada, hace seis dias que llamé. Abrieron una incidencia y me dieron un numero de seguimiento…A los 3 dias nadie habia hecho nada…Volví a llamar a soporte y una señorita muy amable me dijo que estaba para "abrir puertos" y que todavía no lo habían hecho. Me dijo que lo escalaba de nuevo como urgente, pero hasta hoy nada de nada…Si recordáis el problema es que el router no hace NAT de los puertos relacionados con el correo electrónico, en particular el 25.

De modo que si tu tienes un dominio con tu DNS configurado correctamente con registro MX y/o TXT para SPF, las peticiones que se hagan en la red para enviar correo a tu dominio se envían al servidor que indique tu DNS, (que es la dirección externa de tu router), y el router hace NAT para llevar los paquetes a la IP interna donde tengas el servidor de correo.

Así que he decidido hacer otra prueba y se trata de sustituir el router.

Me hecho con uno de los recomendados en este foro que es económico (< 40€) , Xiaomi Mi Router AX1800 WiFi 6 2.4GHz/5GHz-1800 Mbps-Chip de 5 núcleos-4 antenas externas-Hasta 128 dispositivos-Mi Mesh , tiene puerto WAN y 3 puertos LAN. Y segun uno de los post que lei en el foro soporta VLAN.

La idea es seguir usando la misma ONT, enchufarle la salida a la toma WAN, meterle los datos de PPoE (que Digi ya da…) y configurar que el puerto WAN pertenece a la VLAN 20.

He recibido el router y le he conectado la ONT (se activa correctamente…) Le he metido la cuenta PPoE de Digi y no encuentro como configurar la VLAN 20.

¿Alguien puede decirme como se configura la VLAN ?

Gracias.

🗨️ 5
rufote

El dia 29 de Diciembre volvi a llamar por la incidencia abierta (tengo número de referencia de la misma) del puerto 25 y la "amable" señorita que me atendió me dijo que es cierto, que deberían haberse puesto en contacto conmigo para decirme que estaban trabajando en ello y que se tardaba porque era un puerto "muy peligroso" desde el que se mandan SMS fraudulentos…De traca !!!

Estoy pensando en denunciarlo a la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales…No recuerdo que en el contrato ponga nada de restricciones de acceso a servicios básicos con un dominio propio. ¿Alguien lo ha hecho ya?

Y es asi como esperamos "digitalizar" el pais, poniendo trabas y que solamente grandes empresas puedan ofrecer servicios electrónicos y que no existan pequeñas empresas de servicios de hosting "de barrio" …

🗨️ 4
vukits

saturar SETSI con consultas de este tipo me parce poco ético. Más aún cuando es un servicio público.

más allá de eso.

en otro post dices que estás cambiando de router (a uno propio)… Cuando lo hayas cambiado, pues seguiremos cavilando sobre el puerto 25.

A día de hoy, hay evidencias de que Digi NO capa el puerto 25

🗨️ 2
pepejil

Digi capa el SMTP 25 pero sólo en tráfico saliente (lo más lógico). No conozco el caso del OP de que se lo capen en entrante.

🗨️ 1
pepejil

Lo más normal es que una operadora cape en tráfico saliente (sería lo perjudicial para la propia operadora), pero no veo motivos de por qué te lo capan en entrante.

De todas formas, esto no es denunciable. La operadora perfectamente puede alegar dos motivos:

  • Motivos de seguridad. Es un tráfico en un puerto específico para SMTP y todo el peligro que eso conlleva.
  • Poner a escuchar el puerto 25 en Internet tiene de todo menos de ser "un servicio básico"… Y servicio básico se entiende por "necesidad". Poner a escuchar una MTA tiene de todo menos ser algo "básico".

No me parece una traba en absoluto. Las conexiones residenciales no están pensadas para ejecutar servicios de red. Para eso están los servicios de hosting y cloud. Si poner servicios en red es un "servicio básico", entonces el que las operadoras implanten CG-NAT por defecto sería ilegal per se… Y no veo que la SETSI haga hincapié en ello.

rufote
1

Por fin hoy me han llamado de Digi para comunicarme que han abierto el puerto 25 en mi contrato !!! Desde el 16 de Diciembre hasta hoy 12 de Enero, tras tres llamadas a Atención del Cliente con una incidencia que registraron y para la que me dieron el ticket correspondiente.

He aprendido muchas cosas interesantes gracias a los input que me habéis proporcionado los usuarios de este foro en particular para hacer relay de correo desde dominios con DNS dinámico en Linux y con postfix cuando el ISP bloquea el puerto 25 de SMTP, en particular:

  • Relay del dominio a través de los servicios de gmail, que es complejo pero seguro…
  • Los consejos de Austrapede de alternativas para bypasear el bloqueo del ISP que explican en el hilo.

Gracias de nuevo a todos. Por mi el hilo queda cerrado.

Saludos

Xaametz

¿Alguien ha probado a configurar un servidor VPN para que escuche en el puerto 25 con Digi? ¿Esto funciona? De esta manera podríamos conectarnos a la red de casa y tener acceso a nuestros servicios sin tener que contratar el servicio PLUS de 1€… Gracias!!

🗨️ 7
lhacc

¿De dónde te sacas que no tienes que pagar el plus?

🗨️ 3
Xaametz

En su FAQ pone: Si necesitas abrir el puerto 25, no es necesario que contrates este servicio, simplemente contacta con nosotros para solicitarlo.

🗨️ 2
pepejil

Claro. El problema es que el capado está en tráfico saliente y tú necesitas un puerto en tráfico entrante.

pepejil

Confundes conceptos.

Lo que está capado es el 25 EN SALIENTE. La CG-NAT hace que no puedas recibir ningún tráfico EN ENTRANTE. Da igual el tipo de servicio que sea.

Así que si necesitas tener tráfico entrante a tu conexión, te va a tocar pagar ese euro de más.

🗨️ 2
pepejil

No sólo induce a error, sino que mezclan conceptos.

Ponen "Si necesitas abrir el puerto 25, no es necesario que contrates este servicio, simplemente contacta con nosotros para solicitarlo". OK, lo entiendo. El operador no quiere ser un emisor de spam y lo capan por defecto. No puede ser capado en tráfico entrante porque el tráfico que reciba Digi no le supone un problema (y además está disponible sin necesidad de pagar el plus, con lo que se entiende que si funciona bajo CG-NAT, es que el tráfico por cojones es saliente). No tendría sentido que lo caparan como entrante pero sí como saliente.

Pero es que el párrafo siguiente dice "Los puertos: 443, 21, 80, 7547 no se pueden abrir porque se utilizan para gestión interna" y aquí ya la han liado, porque aquí si se refiere a tráfico entrante. No pueden capar el 443 en saliente porque entonces no puedes navegar por la web HTTP.

Si no especifican el sentido del tráfico donde realizan el capado, mal van.

Xaametz

Entendido. No sabía si hacía referencia a tráfico entrante o saliente. Una pena. Gracias