Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

Fibra/Cable

Liberar el puerto 443 en el router Technicolor TC7230 de Lowi

Lirico89

Llevo unos días intentando montar un servidor en casa a través de una Raspberry la cual tiene un proxy inverso (Traefik), pero necesito tener el puerto 443 liberado con el fin de poder entrar mediante https usando mi dominio.

Tengo el cablemodem de Lowi (Technicolor) en modo bridge y en serie un Archer C6 V2 con OpenWrt.

Por mas que abro el puerto en la interfaz del segundo router, cuando hago nmap desde fuera me aparece que el puerto esta "filtrado".

¿A alguien más le ha pasado? ¿Tiene solución?

Muchas gracias. Un saludo.

NetSpot

Es muy cómodo, sí, y cumplirá el estándar, también, pero salvo que estés tras CG-NAT o el operador bloquee porque sí y no puedas, no tienes por qué limitarte al 443, y no dices si ya has probado con otros puertos, por ejemplo, 4343, o cualquiera que te sea fácil de recordar. Si hasta las administraciones públicas lo hacen, no sé que tiene de malo que lo hagas tú. A no ser que sea un software específico que no puedan ponerse diferentes puertos como URLs de destino.

Si a alguien más le ha ocurrido, dado que estás en HFC, y yo estoy en Ono/Vodafone, te puedo decir que, al menos a mí, el 443 está abierto cuando lo levanto. Y solución…, es que, que yo sepa, no hay problema a nivel ISP, suponiendo que operen como la matriz.

De hecho, acabo de probar, que hace tiempo que no levanto el servidor, y ahí está, visible desde fuera. Ahora bien, yo no uso un proxy inverso y tal vez el problema lo tengas ahí.

Ah, utiliza Wireshark, o similar, para verificar que el tráfico llega a tu red.

🗨️ 7
rbetancor
2

otros puertos, por ejemplo, 4343, o cualquiera que te sea fácil de recordar. Si hasta las administraciones públicas lo hacen, no sé que tiene de malo que lo hagas tú

Porque es saltarse los estandares, sin necesidad ninguna … solo por dar por culo, como hacen la manada de lerdos retrasados mentales que montan los servidores de todo tipo de la administración pública, colgado webservices en puertos raros, solo porque no saben montar un jodido proxy-inverso que haga bien el trabajo. Que luego hay que estar con excepciones en navegadores, software de seguridad perimetrales, etc.

Por favor, respetemos los estandares, que para algo están.

🗨️ 6
NetSpot

Están para cuando se pueden aplicar.

Por desgracia no vivimos en un mundo ideal y a veces hay que hacer lo que toca. Lo de las AAPP tampoco lo pongo como un ejemplo ideal. Simplemente el hecho de que nadie se muere por usar otros puertos. No era mi intención arremeter contra las AAPP.

🗨️ 5
rbetancor

Están para cuando se pueden aplicar.

Es que cuando no se pueden aplicar, es por que algo se está haciendo mal … ;-)

pepejil
1

Están para cuando se pueden aplicar.

Resolver un subdominio y pasarlo a través de un proxy web es bastante simple y no requiere más de 5 minutos. La máxima es de dejarlo al usuario mascadito y si no se sigue este principio, es que algo se está haciendo mal.

Teniendo en cuenta que en la administración pública no son precisamente pocos los dedicados a IT, es que efectivamente algo se está haciendo mal.

🗨️ 3
NetSpot
🗨️ 2
Lirico89
1
🗨️ 1
NetSpot
BocaDePez
BocaDePez

Yo tengo un Asus en vez del router de Lowi y me funciona perfectamente

vukits

Tengo el cablemodem de Lowi (Technicolor) en modo bridge

¿Puerto 443 bloqueado en Lowi?

A mi el puerto 443 incluso me funciona con el router en modo normal. (el h500s)

el-xalso
1

Yo con el Sagemcom 3686 en modo bridge, y un Strong 1200 con Openwrt por detrás no tengo problemas en abrir el 443.

BocaDePez
BocaDePez

Cuando tuve el Technicolor en Lowi recuerdo que el 443 estaba abierto por defecto con la interfaz web y no se podía desactivar. Luego lo cerraron pero es posible que se haya quedado así, a medias

BocaDePez
BocaDePez

Sabeis donde puedo encontrar una guia para mirar donde se rechaza el puerto con wireshark? Gracias

🗨️ 1
NetSpot

No hay guía, sólo ver que no hay respuesta, ni un simple ACK, tras una petición al puerto del servidor.

Tú vigila el puerto que tengas para el servidor, si no entra nada a tu red en el momento que tú ejecutas la prueba, es que está bloqueado de fuera. Si ves algo, pero tu servidor no responde. Analiza si tienes un firewall y te lo está bloqueando. Un firewall no va a generar un rechazo. Lo descarta y ya, normalmente.

pepejil

Si tienes el Technicolor TC7230, no vas a poder abrir el 443. Con el Sagemcom 3686 no hay ese problema.

Es un bloqueo a nivel de CPE. En la red no te están bloqueando nada.

¿Solución? Pues con otro CPE.

🗨️ 4
BocaDePez
BocaDePez

Y como podria conseguir que me lo cambiaran?? Que fastidio, habia puesto el router para tener control total y me voy a quedar con las ganas

🗨️ 3
pepejil

Cambiar te lo pueden cambiar… Si lo rompes. Y aún así no tendrás garantía de que te den otro distinto.

Así que mejor ponlo en bridge y pon por detrás un router propio que te permita tener control total de la NAT.

🗨️ 2
BocaDePez
BocaDePez

lo tengo en modo bridge con mi router propio como dices… pero aún asi nada. estoy probando netcat y del router al server si puedo mandar por el puerto 443

🗨️ 1
BocaDePez
BocaDePez

¿Has probado otros puertos? Si tampoco consigues contactar con puertos raros o estás con CG-NAT (En líneas fijas lo dudo) o no lo has configurado bien.

Y para probar… nmap es matar moscas a cañonazos, pudiendo utilizar un netcat… ¿tienes el servicio arrancado antes de nada?

🗨️ 1
BocaDePez
BocaDePez

Si que he probado, con el puerto 80 y el proxy inverso puedo acceder a cualquier servicio de mi servidor. Voy a probar netcat, pero es que para hacerlo debio usar el movil por lo de no estar en la misma red, y no he visto un cliente para Android

BocaDePez
BocaDePez

Hola, ¿Conseguiste solucionarlo?

Te comento mi caso por si te sirve de ayuda, hace un tiempo el modo bridge contra otro router y todos los puertos bien pero ahora ni el modo bridge.

Te lo digo porque yo quiere hacer exactamente lo que mismo que tu pero con nginx y solo consigo el puerto 80.

🗨️ 2
BocaDePez
BocaDePez
1

Buenas, al final la solución fue redirigir el puerto externo 8443 al puerto interno 443

🗨️ 1
BocaDePez
BocaDePez

Y si quieres usar https tienes que indicar el puerto no?

Ej: https://domino.ext:8443?

¿Usas letsencrypt?

ysko

Comentar que tengo el mismo problema, Lowi no me deja abrir el 443 en un Technicolor, pedí el cambio de router pero aun no me lo han proporcionado. De momento sólo tengo un email conforme "Informarte que el puerto 443 esta reservado para uso interno de la empresa y no se puede abrir.", palabras textuales.

Por ahora también estoy jugando con usar otro puerto y luego redirigir, pero no me gusta un pelo hacerlo así.

🗨️ 2
vukits

sólo tengo un email conforme "Informarte que el puerto 443 esta reservado para uso interno de la empresa y no se puede abrir."

Buenas.

con este correo, prueba a reclamar ante UsuariosTeleco . (no te garantizo que teng éxito… pero así, la persona idónea de Vodafone, reaccionará …)

Aduciéndo que en las condiciones del contrato no pone nada sobre restricción de puertos, además de que en las condiciones comerciales se te ha ofrecido una conexión directa a internet.

un cordial saludo

🗨️ 1
ysko

Muchas gracias por tu recomendación, pondré una reclamación ahí, por lo menos será más que estar de manos cruzadas.

BocaDePez
BocaDePez

Estoy en las mismas, me cambié desde Movistar, todo perfecto. Cuando me metieron el h500s. Los tecnicos me mandaron un mail diciendo que el 8080 y el 443 los usan para asistencia técnica. -__- ala

Cuando mi dominio el https://dominio.loquesea/ entra por el 443.

Así que me quedo sin servidor, gracias Lowi. Si no me dan una solución daré de baja el servicio.

Estoy pensando en poner mi propio router, no se si me darán acceso. Si me dicen que no, me cambiaré de compañía.

🗨️ 3
vukits
1

me metieron el h500s.

sí se puede, compañero…

con el h500s, yo he tenido varios meses el 443 redirigido…

llama a SAT y te lo liberan en el momento… pide 443 TCP (que es el que se usa para HTTPS).

un saludo

apocalypse

Con otro router no tienes ese problema. El router de Lowi utiliza el puerto 80 y 443 para acceso remoto, pero solo desde determinadas subredes de ips de Vodafone. Para el resto de tráfico entrante no debería tener ningún problema en redirigir esos puertos a la red interna. Salvo mala programación en el firewall del firmware.

🗨️ 1
rbetancor

Es que la configuración del FW es muy cutre … es un equivalente a: (bueno y ni tan equivalente, porque lleva un Linux debajo)

iptables -P INPUT DROP

iptables -I INPUT -s [IPs VF] -p tcp –dport 443 -j ACCEPT

Así que cuando intentas hacer un DNAT del 443, el interfaz web te dice … tururuuuuuuu