Fibra/Cable

❓

Puertos salientes 22 y 23 bloqueados en Vodafone HFC con modo bridge

Lumito 8 mayo 2023 19:13 ✎

⋮

Desde hace un mes he notado que los puertos 22 y 23 de mi red están bloqueados. Es decir, que no me puedo conectar con telnet ni ssh a servidores externos desde mi red interna. Uso un router Asus (con ASUSWRT-Merlin 388.2) y el router Technicolor CGA4233 VDF en modo bridge (versión 19.3B01-7.0.8).

Para más información, si desactivo el modo bridge (doble NAT), funciona perfectamente. También desde red móvil. Lo que ocurre es que no quiero realizar eso para tener el máximo control de la red privada. Si solicito una IP distinta (de un rango diferente) tampoco va.

¿Alguien tiene el mismo problema?

Bramante 8 mayo 2023 19:16

⋮

¿No puedes acceder a puertos 22 y/o 23 en servidores que se encuentran fuera de tu LAN?

Si es eso, bien el Asus, bien el CPE tienen activado algún tipo de firewall bloqueando salidas.

Con la configuración actual, ¿funcionó correctamente en algún momento?

✖

Lumito 8 mayo 2023 19:38

⋮

Correcto. Hace algo más de un mes funcionaba perfectamente. Pocos cambios he hecho al router Asus por mi parte, pero sobre esas fechas actualizaron el firmware del Technicolor.

Lo que me extraña es que si quito el modo puente funciona (pero no quiero para nada doble NAT)…

✖

Bramante 8 mayo 2023 19:43

⋮

En Asuswrt-Merlin, creo que no ha habido ningún cambio que pueda afectarte

En el Technicolor, lo desconozco, pero si por esas fechas se actualizó, puede ser una pista.

Empezaría con traceroute para ver dónde muere el paquete.

✖

Lumito 8 mayo 2023 19:54 ✎

⋮

Usando tracetcp github.com:22 el único host al que se conecta es el router. Si uso el puerto, por ejemplo, 80, se conecta a algunos más (tipo 10.xxx.xxx.xxx).

✖

Bramante 9 mayo 2023 13:46

⋮

✖

Lumito 9 mayo 2023 16:52

⋮

✖

Lumito 11 mayo 2023 19:02

⋮

pepejil 9 mayo 2023 13:55

⋮

¿Lo tienes en modo bridge o lo tienes en doble NAT? Porque no es lo mismo.

Si está en modo bridge, la IP pública estará asignada directamente al Asus, con lo que no debería influir en absoluto lo que pase en el Technicolor con respecto a capa 3.

Sin embargo si es doble NAT, el Technicolor seguirá traduciendo el tráfico para salir a Internet y sí le influirá.

Comprueba que realmente estás en bridge. Si lo está, es imposible teóricamente que el Technicolor influyera en algo, con lo que empezaría a mirar si es tema del Asus o de la red de Vodafone.

✖

Lumito 9 mayo 2023 16:50

⋮

Puedo confirmar que está en modo bridge.

✖

pepejil 9 mayo 2023 16:58

⋮

Entonces algo raro debe haber en ese Asus. En modo bridge el Technicolor no puede influir en la capa 3.

Y dudo muchísimo que sea problema de la red de Vodafone. No hace mucho que tuve que entrar a un servidor SSH en el puerto 22 y no tuve problemas.

✖

Lumito 9 mayo 2023 16:59

⋮

¿HFC, móvil, FTTH…?

✖

pepejil 9 mayo 2023 17:00

⋮

✖

Lumito 9 mayo 2023 17:02

⋮

Lumito 23 mayo 2023 12:34

⋮

Al final conseguí que me cambiasen el cablemódem por el Sagemcom F@st 3686 y ya todo funciona perfectamente, por lo que el problema se debe a la reciente actualización del CGA4233VDF (19.3B01-v7.0.8).

✖

Amenhotep 23 mayo 2023 15:13

⋮

Menos mal. Espero no te haya costado nada. Menuda gracia que me desactivaran el puerto 22 y 23, me iba de Vodafone pero ya.

✖

Lumito 24 mayo 2023 22:40

⋮

No, no hubo ningún coste económico, únicamente dos llamadas con soporte técnico y una visita de un técnico. La verdad es que el Sagemcom va mucho mejor (ya que no tengo necesidad de abrir el puerto 443).

pepejil 25 mayo 2023 09:18

⋮

Sigo sin entender por qué, teniendo delegada la asignación de IP directamente en el Asus, el router que hace de puente puede capar nada de la capa 3.

✖

Amenhotep 25 mayo 2023 12:44

⋮

A mi me dijo un técnico de Vodafone que el Technicolor solo lo instala en usuarios que no tienen Internet sino solo fijo. Y el Sagemcom si el cliente usa internet.

Asi de malo es el Technicolor.

✖

pepejil 25 mayo 2023 13:04

⋮

Pero es que sea malo o bueno, si el Technicolor hace sólo de puente entre la conexión y el router destino (el Asus del OP), ¿Cómo puede influir la capa 2 en cuestiones de la capa 3?

Si tienes la IP delegada en el Asus, no veo otro intermediario que no sea el propio core de la operadora para alterar el funcionamiento de los puertos TCP.