sábado, 3 de agosto de 2019

PF: NAT Estricta o Nivel 3 - ¿Cómo solucionarlo?

Voy a explicar directamente qué hace falta para "abrir" los puertos de nuestro router en la tabla NAT, no voy a poder explicar cómo se hace en cada modelo de router porque sería una tarea titánica, pero teniendo claro qué nos va a pedir únicamente es cuestión de buscar por los menús de nuestro router, si no sabemos cómo hacerlo siempre podemos consultar con nuestro proveedor de Internet.

Si tu router está detrás de lo que se denomina CG-NAT o Carrier-Grand NAT no recibirá una IP pública, sino una privada, lo aquí expuesto no te servirá, tendrás que hablar con tu proveedor para que no te la aplique.

1. ¿Cómo accedo al router?.

Normalmente desde tu navegador poniendo la dirección http://192.168.0.1 o http://192.168.1.1, en todo caso mira en la configuración de red la puerta de enlace predeterminada (default gateway).

En:
  • Windows, pulsamos Windows + R, escribimos cmd y pulsamos Enter o Aceptar, se abrirá la Consola del sistema, tecleamos ipconfig y pulsamos Enter, nos dirá la IPv4 e IPv6 si está disponible, así como la puerta de enlace predeterminada, si usamos ipconfig /all, nos dará una serie de parámetros adicionales, como la MAC o dirección física separada por guiones.
  • PS3 y PS4.
  • Xbox 360 y One.

2. Activar UPnP

La mejor opción, que nos librará de tener que saber puertos, protocolos e IPs es activar tanto en el router como en nuestro dispositivo el protocolo UPnP, este se encarga directamente de comunicar tanto al cortafuegos de Windows, si usamos un PC con este sistema operativo, como al router, qué puertos son necesarios redirigir, qué protocolo debe usar y cual es nuestra dirección IP.

Cómo hacerlo en:

No encontré información sobre PS4 ni XBox por lo que supongo ya lo tienen activado por defecto.

3. Asignar una IP fija.

Si no funciona lo anterior las otras dos opciones pasan por configurar manualmente la NAT o activar la DMZ, para ello debemos conocer nuestra dirección IP, esta no debe cambiar ya que entonces la configuración que hagamos habrá que rehacerla, para ello lo mejor es asignarle una IP fija a nuestro dispositivo.

  • Si ya la tiene nos vamos al paso 4.
  • Podemos configurar el servidor DHCP del router para que la IP asignada no caduque o le asignamos el mayor tiempo posible de tiempo activa.
  • Reservar en el servidor DHCP una IP determinada, esto se hace en función de la MAC de nuestra conexión de red, si la IP asignada es diferente a la que tenemos, apagamos y encendemos el router.
  • Configuramos la IP fija directamente, recomendable que esté fuera del rango del servidor DHCP para que no dupliquemos direcciones.
4. Configurar la NAT, Port Forwarding, ...

Nos suelen pedir, el orden puede variar:

  • El tipo de servicio o protocolo a utilizar, puede ser udp, tcp o ambos, ante la duda pondremos ambos, nos lo debería indicar el programa.
  • La dirección IP interna (LAN host), será la de nuestro dispositivo, PC, consola, ..., puede que nos ofrezca una lista de dispositivos y así solo tengamos que escoger el nuestro, automáticamente pondrá la IP que tenga asignada.
  • El puerto o rango de puertos a usar, si es el mismo lo pondremos como inicio y fin, nos puede preguntar de forma separada cual es el puerto interno (LAN port) y el externo (WAN port), normalmente siempre es el mismo, los necesarios serán indicados por el programa.

5. Notas adicionales

Ten en cuenta que si usas Windows también debes permitir el paso a través de su cortafuegos, no debería darte problema ya que por defecto está en modo aprendizaje, pregunta si se permite o no el tráfico cuando detecta una nueva conexión.

¿Por qué la NAT?, porque hace tiempo que se agotaron las IP públicas o disponibles en Internet, por otra parte el proveedor debe pagar por cada IP pública y con la NAT con una sola IP pública puede dar acceso a numerosos dispositivos, motivos por lo que algunos proveedores utilizan CG-NAT.

¿Puedo redireccionar los mismos puertos a dos dispositivos?, no al mismo tiempo. sí se puede hacer con UPnP o NAT que tenga Port Triggering.

¿Por qué no debo usar DMZ?, porque el dispositivo que se configure quedará expuesto a cualquier ataque desde Internet, si no está bien protegido un hacker podría utilizar un error o vulnerabilidad no conocida para tener acceso al mismo y a la red interna.

Los puertos necesarios son sólo los de acceso desde el exterior hacia el dispositivo correspondiente, normalmente entre el 1024 y el 49151 que corresponden al rango de puertos registrados, no debe ser necesario configurar en el router los puertos salientes, por ejemplo el 80 (http) o el 443 (https), normalmente cualquier puerto por debajo del 1024 que se denominan bien conocidos (Well Known Ports).

Espero que te haya servidor de ayuda. Si encuentras enlaces mejores por favor dímelo. Si algo no lo entiendes también, trataré de mejorar la explicación.

No hay comentarios:

Publicar un comentario