BandaAncha.eu

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate
ADSL/VDSL

NAPT en SpeedTouch 510

1
kAlvaro

Tenemos un SpeedTouch 510 configurado en modo multipuesto, tras el cual hay una pequeña red local. Con el fin de poder acceder desde Internet a servicios de la red local hemos creado entradas en el apartado NAPT. El problema es que no podemos hacer ninguna prueba en condiciones ya que aparentemente el router no utiliza NAPT para las peticiones que llegan desde dentro de la LAN. Es decir, tenemos que marcharnos a otro lugar para comprobar si (por ejemplo) el vídeo de la cámara IP se muestra correctamente en nuestra web porque desde nuestros PCs no se ve: la conexión siempre da "time out" (aunque desde fuera funcione correctamente).

¿Esto es un inconveniente inherente a esta tecnología o podemos soslayarlo de alguna manera? Tenemos varios manuales del 510 y ni siquiera mencionan este asunto. Y ni que decir tiene que en Telefónica nos han dado una de sus habituales respuestas utilísimas: que además de en el router hay que abrir el puerto en todos los ordenadores desde donde queramos ver la web :-|

Este tema está cerrado a nuevas respuestas. Abre un nuevo tema para retomar la conversación.
BocaDePez
BocaDePez

NAT es una técnica que permite que varios ordenadores puedan salir a internet utilizando una única IP externa, ya sea esta estática o dinámica.

Todos los ordenadores de la red interna, la LAN, poseen una IP en esa red que no es válida en internet. Esa es la IP privada de cada ordenador. Lo que hace NAT es cambiar esa IP en los paquetes que envía cada ordenador por la IP pública (estática o dinámica) que te asigna tu ISP. La iP pública está asignada al router, luego es el SPeed Touch la única máquina conectada directamente a internet y por lo tanto visible desde fuera.

Cualquier comunicación entrante a través de la IP pública, externa, va dirigida al router, quees quien la posee y él la redirije a la IP privada de red que corresponda, cambiando esa IP externa, pública, por la interna (privada) de cada equipo. La forma que tiene de saber a qué equipo debe dirigir esos paquetes de información es a través de los puertos. Cada programa o dispositivo utiliza un o unos puertos determinados.

Por defecto el Speed Touch se entrega con lospuertos cerrados (un router se fundamenta en la seguridad), con excepción del puerto 80 para acceder a internet y del 25 y 110 si no recuerdo mal para el pop3 y smtp (enviar y recibir correo, vamos).

Para poder establecer comunicación es pues necesario abrir esos puertos (NAPT). Lo que se hace es crear una relación entre el puerto del Speed Touch (que está cerrado) con el correspondiente puerto de la IP interna (ordenador) de la LAN que deba correr ese sercio o dispositivo. Eso se conoce también como mapear puertos, abrir puertos, etc.

Lo puede hacer con el CD del Speed Touch, mediante el CLI accediendo por telnet o hiperterminal o via web (http://10.0.0.138 si no lo has cambiado).

El problema es que solo es posible crear una relación de forma únivoca entre dos dispositivos. Por ejemplo, el puerto 21 del Speed Touch se lo puedes asignar a la IP privada de un equipo, por ejemplo la 172.26.0.2, pero a ninguna más.

Si yo quisiera ejecutar Emule en dos equipos y asigno (mapeo) loas puertos 4662 TCP y 4672 UDP al ordenador 1, ¿cómo demonios puedo dar paso a EMule en el ordenador 2?

La respuesta es que no puedo. La solución es que en el ordenador 2 he de usar otros puertos. Entonces mapearé esos puertos distintos a los anteriores del Speed Touch al ordenador 2 y el Emule irá en los dos equipos, pero con distintos puertos.

Si por ejemplo tienes un servidor escuchando por el puerto 21 en una de las iP internas, para acceder a él desde la red debes usar la IP interna de ese ordenador. Desde el exterior se accederá a él a travé de la IP externa asociada al Router, pero para ello deberás mapear el puerto 21 del router al ordenar en el que está corriendo el servidor, si no es inaccesible.

Espero que esto te haya aclarado algo el tema.

🗨️ 1
kAlvaro

Gracias por tu respuesta, pero me parece que no me he sabido explicar. Digamos que tengo un servidor web en el equipo 192.168.0.1 al que quiero acceder desde Internet. He creado una entrada NAPT así:

IP externa: 0.0.0.0 (comodín para "cualquiera")
Puerto externo: 81
IP interna: 192.168.0.1
Puerto interno: 80

Me voy a mi casa y accedo perfectamente al servidor web tecleando la IP pública del router:

http://99.88.77.66:81/

Sin embargo, ese URL no funciona en absoluto dentro de la oficina donde está el router. Ahí sólo puedo acceder con http://192.168.0.1/. Lógicamente el problema no es acceder a la web en sí sino poder comprobar que un contenido determinado se ve bien desde fuera: puede ser, por ejemplo, un control ActiveX situado en un servidor web fuera de la LAN que obtiene sus imágenes de una cámara IP dentro de la LAN.

Todo apunta a que el router sólo aplica las reglas NAPT al interfaz de red correspondiente a Internet y si la petición es desde la propia LAN ignora las reglas, independientemente de con qué IP estés accediendo al router.

BocaDePez
BocaDePez

Es lo que he tratado de explicar.

Desde fuera de la LAN puedes acceder al servidor que está en LAN a través de la IP púplica del router. Este recibe la orden y al tener el puerto mapeado lo dirije a la IP interna que está escuchando por ese puerto.

Desde dentro de la LAN accedes a través de la IP interna del ordenador que tiene el servidor.

Solo puedes acceder a ese servidor usando la IP externa desde fuera de la LAN.

Otra cosa es que crees una VPN.

Por lo que cuentas y a mi entender todo está funcionando como debe.

🗨️ 2
kAlvaro

Vaya por Dios... Bueno, qué se le va hacer. Habrá que montarse un repetidor en Internet o yo qué sé. De momento, código por la mañana en la oficina y pruebas por la tarde en casa ;-)

Realmente es una limitación curiosa: si hospedas tu página web en tu casa u oficina, eres el único que no puede acceder a ella usando el nombre de dominio. Es raro que no haya pensada alguna solución.

Gracias por tu tiempo,

🗨️ 1
BocaDePez
BocaDePez

Lo unico que necesitas es que el servidor sea un 2000Server o Linux y creas un servidor DNS.
En le servidor DNS podras hacer que resuelva el nombre de domino pepito.com con la ip publica para peticiones externas y en ip de LAN para peticiones de LAN.
No es sencillo hacerlo, pero con un poco de practica es facil.

Bye!

1