Multipuesto

Aquí se va a explicar el proceso para gestionar los puertos del router cuando lo tengamos en multipuesto.

Cuando instalamos el router por primera vez, nos permite conectarlo de dos maneras:

El acceso a la página de configuración del router se realiza poniendo en el navegador la dirección IP 192.168.1.1 (instalación por defecto). Esta dirección, que es la dirección IP local (o privada) del router, es también la puerta de enlace de nuestra red.

El acceso al router y el proceso para abrir puertos se hace exactamente igual lo tengamos conectado por USB o por tarjeta de red.

Proceso para abrir puertos.

Algunas aplicaciones necesitan "abrir puertos" o "mapear puertos", como por ejemplo montar servidores web, ftp o el netmeeting, cuando tenemos el router en multipuesto.

El proceso consiste básicamente en decirle al router que esos puertos que usa la aplicación en cuestión, queremos que los use un ordenador determinado, por tanto, necesitaremos conocer la IP local o IP privada de ese PC.

Para averiguar la IP privada de nuestro PC tenemos que abrir una ventana de msdos (si tenemos Windows 98 ó me ponemos en  Inicio -> Ejecutar -> Command. Si es 2000 ó xp Inicio -> Ejecutar -> cmd) y a continuación ponemos el comando winipcfg en 98 o me y el comando ipconfig en 2000 o xp. El dato que aparezca en "dirección IP" será la dirección IP de nuestro ordenador.

Así que la cuestión es decir tal puerto (nº del puerto) lo usa tal ordenador (IP privada de ese PC).

Para abrir puertos en este router hay que seguir dos pasos:

Pantalla de mapeos de puertos.

Se encuentra en el menú Firewall -> NAT -> Port Range Mapping, y deberemos introducir en ella los siguientes datos:

El 99,99 % de las veces pondremos en Public Port From, Public Port to, Local Port From y Local Port to el mismo valor, (por ejemplo, en todos ellos ponemos el 4662 para abrir el 4662 TCP)

Ejemplo para envíos por DCC:

Ejemplo para rango de puertos:

Cuando terminemos el proceso, bien sea para uno o para varios puertos, iremos al menú de navegación Tools -> Save and Restart . Save primero y a continuación Restart. Esto es necesario para activar los puertos, pero podemos configurar varios y resetear una sola vez al final para activarlos todos.

Configuración del firewall.

El router viene con un estupendo firewall que sólo nos permite por defecto las cosas habituales...navegador, correo, conexión al messenger, pero nos impedirá casi todas las demás (las que usan otros puertos diferentes).

Este firewall está siempre activo, incluso en monopuesto, y su regla por defecto es deny all, por lo cual deberemos configurarlo para que nos permita la comunicación.

Tenemos dos posibilidades, una sencilla y menos segura y otra más complicada y más segura. Cada cual que elija la que le convenga.

Deshabilitar el firewall.

Sin comentarios.

Hay que añadir una regla en la pantalla de configuración del firewall, que se encuentra en: Firewall -> IP Filtering.

Las reglas (FW Action ID) 1, 2, 3 y 4 las pone el router por defecto. FW Action ID no es más que el número de orden en el que se añade una regla.

La regla 5 se ha añadido para permitir las comunicaciones por la interface ATM1, a todas las direcciones IP, para todos los puertos, en todos los protocolos en dirección salida.

Para añadir una regla como la anterior, pulsamos en Add y aparece la siguiente pantalla:

El campo precedence indica la prioridad de una regla sobre las demás. A menor "precedence", mayor prioridad.

Para modificar una regla tendremos que borrarla y volverla a introducir correctamente.

Configuración del firewall para puertos individuales.

Esta opción mantiene operativo el firewall del router, pero obliga a lo que podríamos llamar "doble mapeo", es decir, abrir puertos en Port Range Mapping y además abrirlos en el firewall. Vamos a explicar las reglas que hay que introducir para aplicaciones concretas.

Pero primero vamos a poner un ejemplo concreto de cómo hay que poner EXACTAMENTE la pantalla del firewall para abrir el puerto 4662.

Observar lo que pone en cada campo y ponerlo igual.

Especialmente importante es dejar en Source Port From el valor 0, dejando el campo To: EN BLANCO.

Las demás cosas no se tocan.

Configuración para servidores FTP Y WEB

El servidor ftp funciona con el puerto 21 TCP y el web con el 80 TCP. Vamos a activar ambos al mismo tiempo (aunque podemos activar uno u otro indistintamente). Haremos lo siguiente:

Es importante que el software de ambos servidores esté correctamente configurado, claro.

Recordamos que las reglas del firewall entran en acción inmediatamente, pero que para que actúe la apertura de puertos, hay que salvar y reiniciar.

Configuración para netmeeting

Los puertos que necesitamos para el netmeeting son: 389, 522, 1503, 1720, 1731 en TCP.

Además, hay que configurar el netmeeting así: Menú Herramientas -> Opciones (Pestaña general) -> Llamada avanzada -> Configuración de la puerta de enlace -> Activar la casilla y colocar la IP de la puerta de enlace (IP privada del router, en el caso del robotics, 192.168.1.1).

Apertura de rango de puertos para envíos por DCC

Ahora vamos a poner un ejemplo para abrir un rango de puertos que nos va a permitir enviar 10 archivos simultáneamente por DCC en IRC. Se ha permitido el rango 4500-4509. Habrá que configurar el mirc o programa equivalente también para ese rango de puertos.

Y con esto, hemos terminado.

Monopuesto

Configuraremos el router desde 0 para dejarlo en monopuesto.

Para ello pulsamos el botón de reset que tiene en la parte trasera, junto al botón de power (más que un botón es un agujerillo por el que introduciremos la punta de un clip, o algo así).

Deberemos tener la configuración de nuestra tarjeta de red en "obtener una dirección IP automáticamente". O bien tenerlo en una dirección estática con IP 192.168.1.xxx y máscara de subred 255.255.255.0.

El router, al reiniciarse después de pulsar el botón, toma la ip 192.168.1.1. Para acceder a él, introducimos esa ip en el navegador. Nos pedirá usuario y contraseña, al haber reseteado el router volverán a ser los que traía por defecto: root y 12345.

El primer paso es ir a SERVICE PROVIDE SETTINGS y borrar el PVC que aparece ahí. Para ello lo marcamos tal y como aparece en la figura de abajo y pulsamos Delete.

A continuación deberemos añadir un PVC, pero sólo a los efectos de que el campo esté relleno. Yo lo he puesto con una IP de 172.26.0.1. debe quedar de la siguiente manera:

En Wan IP address hay que poner eso: 172.26.0.1 (no está mal puesto), en principio esa IP no la vamos a usar para nada, y podría ser cualquier otra dentro de los rangos de IP's locales. Con esos números funciona, si ponéis otros no lo sé.

Donde pone WAN subnet mask ponemos el valor de máscara de subred que nos dice la carta ,en datos de configuración de la línea adsl, (normalmente debería ser 255.255.255.0 ó 255.255.255.192).

Lo que sí importa es que aparezca lo de VPI 8 VCI 32, el RFC1483 y el Encapsulation en LLC/SNAP.

NAPT y DHCP sin marcar.

Cuando hayamos introducido esos datos, pulsamos en Add.

Ahora nos debe aparecer abajo la nueva configuración del PVC de la siguiente manera: (en Subnet Mask la máscara pública).

Una vez introducidos los datos anteriores, vamos a la pantalla de NETWORK. Esto sí que es importante.

Introducimos en LAN IP Address el valor de la puerta de enlace remota (la puerta de enlace que nos pone en la carta) y como Subnet la máscara de subred (la de la carta otra vez, más vale que guardemos esa cartita en un lugar seguro).

Atención a este paso...

Al darle a apply nos aparecerá en siguiente mensaje:

Que significa que al darle a aceptar el router guardará cambios y reiniciará automáticamente. En ese momento perderemos la conexión con el router, puesto que le hemos cambiado la dirección ip de red local. La nueva dirección ip que tiene el router será precisamente la puerta de enlace remota. Y será la dirección IP que tendremos que poner en el navegador para acceder al router a partir de ahora.

Bien, no tenemos router. Hemos de hacer lo siguiente:  Vamos a propiedades del protocolo TCP/IP de la tarjeta de red o de la conexión del modem USB y modificamos la configuración de la siguiente manera (todos los datos que vamos a introducir ahora vienen en la carta que nos envió el proveedor):

Ejemplo:

Si a pesar de configurar  el router y la tarjeta de red de nuestro pc como se indica anteriormente nos resulta imposible volver a acceder al router o navegar, es que algo no está del todo correcto y hemos perdido la comunicación entre ambos. No pasa nada. Volvemos a empezar. Colocamos la tarjeta de red en "Obtener una dirección IP automáticamente" y volvemos a pulsar el botón de reset.

Si tras varios intentos resulta imposible, a lo mejor mañana tenemos más suerte. Dejamos la tarjeta en automático, pulsamos el botón por última vez y ejecutamos el programa de configuración del router para dejarlo como estaba en un principio.

Configuración del firewall

Si hemos seguido correctamente los pasos, tendremos el router en monopuesto y, en principio podremos navegar.

Pero tenemos que hacer más cosas para que nos funcionen las aplicaciones como la voz por el messenger, los envíos de archivos, los juegos, etc. TENDREMOS QUE CONFIGURAR EL FIREWALL....

Como seguramente sabréis, el router viene con un estupendo firewall que sólo nos permite por defecto las cosas habituales...navegador, correo, conexión al messenger, pero nos impedirá casi todas las demás (las que usan otros puertos diferentes).

Este firewall está siempre activo, incluso en monopuesto, y su regla por defecto es deny all, por lo cual deberemos configurarlo para permitir la comunicación. Podemos optar por dos opciones:

Supresión total del firewall

No hay nada que explicar con este título. Para conseguirlo, tendremos que añadir una regla (regla 4) en el apartado del firewall como la que aparece en la figura siguiente:

Las reglas 1, 2 y 3 las pone el router por defecto (no hay que tocarlas). La regla 4 es la que se ha añadido para permitir todas las comunicaciones por todas las interfaces, a todas las direcciones IP, para todos los puertos, en todos los protocolos en dirección salida.

Evidentemente, con esto, ELIMINAMOS TOTALMENTE el firewall del router, por tanto, si queremos algo de seguridad, lo mejor que podemos hacer es poner un firewall por software inmediatamente.

Para añadir una regla como la anterior, pulsamos en Add y aparece la siguiente pantalla, sólo tendremos que cambiar el valor del campo "direction" y ponerlo en OUT:

Y ya está. Las reglas del firewall el router las aplica nada más introducirlas, no hace falta reiniciarlo. Pero sí es necesario guardar los cambios para que no se pierdan al apagarlo. Para ello iremos al menú tools y Save.

Para modificar una regla una vez introducida, hay que borrarla y volverla a meter completa.

Configuración del firewall sólo para las aplicaciones

Es la opción más segura. Consiste en autorizar únicamente el paso a los puertos que nos interese en función de la aplicación que estemos usando. Todos los demás seguirán cerrados.

Vamos a explicar esta parte mediante ejemplos de configuración, para que sea más sencillo hacerlo.

Pero primero vamos a poner un ejemplo concreto de cómo hay que poner EXACTAMENTE la pantalla del firewall para abrir el puerto 4662.

Observar lo que pone en cada campo y ponerlo igual.

Especialmente importante es dejar en Source Port From el valor 0, dejando el campo To: EN BLANCO.

Las demás cosas no se tocan.

Para cuando abramos cualquier otro puerto individual, sólo tendremos que cambiar el nº de puerto, o si es UDP ponerlo.

Configuración para servidores web y FTP

El servidor FTP necesita abrir el puerto 21 TCP y el servidor web el 80 TCP. La configuración debe quedar como en la figura siguiente:

Las reglas 1, 2 y 3 las pone el router. La regla 4 es para el servidor FTP y la 5 para el servidor web.

"Precedence" significa la prioridad que tiene una regla del firewall sobre las demás. A menor "precedence" mayor prioridad.

"FW Action ID" no es más que el número de orden en el que se introduce una regla.

Configuración para netmeeting

Los puertos que necesitamos para el netmeeting son: 389, 522, 1503, 1720, 1731 en TCP.

Ahora vamos a poner un ejemplo para abrir un rango de puertos que nos va a permitir enviar 10 archivos simultáneamente por DCC en IRC. Se ha permitido el rango 4500-4509 (regla 4). Habrá que configurar el mirc o programa equivalente también para ese rango de puertos.

Aplicación desconocida

Se ha incluido en el ejemplo una aplicación de poco uso, no recuerdo el nombre. Usa al parecer los puertos 4661, 4662 en TCP y 4665 en UDP. Aquí sólo se han reflejado los dos primeros:

Si durante el proceso de configuración de alguna regla perdemos totalmente la comunicación con el router, tenemos dos opciones para recuperarla, la más sencilla se explicó antes y es usando el botón de reset.

También podremos entrar por el hyperterminal usando el cable de consola (cable que no viene con el pack).

En mi caso usé el cable de consola del 3com que tengo por aquí...y configurando el hyperterminal como aparece en el cuadro adjunto (com1), podremos acceder. Nos pedirá el mismo user y password que para acceder por web.

El programa de acceso por hyperterminal es de tipo menus.

Si el problema se debe a una regla del firewall que hayamos introducido mal, podemos ir al menú correspondiente de configuración del firewall y borrar la regla que hemos introducido mal.

En el peor de los casos, simplemente con decirle Restore and Reboot, el router recuperará los valores de fábrica y podremos volverlo a instalar con el programa de configuración. Para ello, como dijimos al principio, es conveniente configurar la tarjeta de red de nuestro PC en obtener una dirección IP automáticamente.