[OT] Router Huawei HG532s de ORANGE cambia IP de origen.
295 views
Skip to first unread message
Ramses
Jul 10, 2014, 7:38:41 PM7/10/14
to aster...@googlegroups.com
Buenas a todos, esta es de las que les gusta a Raúl... ;-)
Tengo una cosa curiosa:
- Una instalación con el router ADSL del Asunto.
- Un Asterisk con su fail2ban instalado.
Me pongo a probar si funcionaba correctamente el fail2ban, intentando accesos incorrectos por SSH y al Asterisk, y observo que cuando me bloquea Asterisk o SSH, no sólo me lo hace para una IP, sino que ya no me permite accesos desde ninguna IP a la aplicación bloqueada...
Me pongo a investigar y veo en el server Asterisk que las conexiones SSH que tengo activas provienen desde una IP Pública que no es la mía, concretamente, desde la IP Pública del router de su propia red, es decir, cambia la IP Origen que realiza la petición / conexión, por la IP Pública del router ADSL de la LAN donde está instalado el Asterisk.
¿Se ha encontrado alguien con esta situación?
Es que no sé si será algo genérico de estos routers, si hay algún parámetro en el router que evite el cambio de la IP Pública Origen y no lo encuentro, o simplemente que sea de la implementación del NAT en ese firmware.
Saludos y gracias,
Ramses
Tengo una cosa curiosa:
- Una instalación con el router ADSL del Asunto.
- Un Asterisk con su fail2ban instalado.
Me pongo a probar si funcionaba correctamente el fail2ban, intentando accesos incorrectos por SSH y al Asterisk, y observo que cuando me bloquea Asterisk o SSH, no sólo me lo hace para una IP, sino que ya no me permite accesos desde ninguna IP a la aplicación bloqueada...
Me pongo a investigar y veo en el server Asterisk que las conexiones SSH que tengo activas provienen desde una IP Pública que no es la mía, concretamente, desde la IP Pública del router de su propia red, es decir, cambia la IP Origen que realiza la petición / conexión, por la IP Pública del router ADSL de la LAN donde está instalado el Asterisk.
¿Se ha encontrado alguien con esta situación?
Es que no sé si será algo genérico de estos routers, si hay algún parámetro en el router que evite el cambio de la IP Pública Origen y no lo encuentro, o simplemente que sea de la implementación del NAT en ese firmware.
Saludos y gracias,
Ramses
Ramses II
Jul 16, 2014, 5:12:44 AM7/16/14
to aster...@googlegroups.com
Hola a todos,
No me puedo creer que sólo me esté pasando esto a mí. ¿A nadie más le pasa o ha pasado?
Saludos y gracias,
Ramses
>-----Mensaje original-----
>De: aster...@googlegroups.com [mailto:aster...@googlegroups.com]
>En nombre de Ramses
>Enviado el: viernes, 11 de julio de 2014 1:38
>Para: aster...@googlegroups.com
>Asunto: [Asterisk-ES] [OT] Router Huawei HG532s de ORANGE cambia IP de
>origen.
>--
>Este email pertenece a la lista de Asterisk-ES (http://www.asterisk-es.org)
>Normas de la lista Asterisk-ES: http://comunidad.asterisk-
>es.org/index.php?title=Lista:normas-asterisk-es
>---
>Has recibido este mensaje porque estás suscrito al grupo "asterisk-es" de
>Grupos de Google.
>Para anular la suscripción a este grupo y dejar de recibir sus mensajes, envía
>un correo electrónico a asterisk-es...@googlegroups.com.
>Para publicar una entrada en este grupo, envía un correo electrónico a
>aster...@googlegroups.com.
>Visita este grupo en http://groups.google.com/group/asterisk-es.
>Para obtener más opciones, visita https://groups.google.com/d/optout.
No me puedo creer que sólo me esté pasando esto a mí. ¿A nadie más le pasa o ha pasado?
Saludos y gracias,
Ramses
>-----Mensaje original-----
>De: aster...@googlegroups.com [mailto:aster...@googlegroups.com]
>En nombre de Ramses
>Enviado el: viernes, 11 de julio de 2014 1:38
>Para: aster...@googlegroups.com
>Asunto: [Asterisk-ES] [OT] Router Huawei HG532s de ORANGE cambia IP de
>origen.
>Este email pertenece a la lista de Asterisk-ES (http://www.asterisk-es.org)
>Normas de la lista Asterisk-ES: http://comunidad.asterisk-
>es.org/index.php?title=Lista:normas-asterisk-es
>---
>Has recibido este mensaje porque estás suscrito al grupo "asterisk-es" de
>Grupos de Google.
>Para anular la suscripción a este grupo y dejar de recibir sus mensajes, envía
>un correo electrónico a asterisk-es...@googlegroups.com.
>Para publicar una entrada en este grupo, envía un correo electrónico a
>aster...@googlegroups.com.
>Visita este grupo en http://groups.google.com/group/asterisk-es.
>Para obtener más opciones, visita https://groups.google.com/d/optout.
Sir Brain Colward
Jul 16, 2014, 5:45:47 AM7/16/14
to aster...@googlegroups.com
Personalmente no, sorry.
Normas de la lista Asterisk-ES: http://comunidad.asterisk-es.org/index.php?title=Lista:normas-asterisk-es
Emiliano Vazquez
Jul 16, 2014, 6:51:26 AM7/16/14
to aster...@googlegroups.com
El 16/07/14 06:12, Ramses II escribió:
rara, te saca productos como el MT880 y MT882 y después sale con el
HG108 que se tilda si lo miras con los dos ojos. Para mí que esta
empresa contrata personal temporario y así es como le salen las cosas!
Saludos.
--
Emiliano Vazquez | PcCentro Informatica & CCTV
Office: +54 (11) 4635-3218 y Rotativas
Movil: 011-15-6253-7165
Mail: emilian...@gmail.com
Web: http://www.pccentro.com.ar
> Hola a todos,
>
> No me puedo creer que sólo me esté pasando esto a mí. ¿A nadie más le pasa o ha pasado?
>
>
> Saludos y gracias,
>
> Ramses
Ramses, no hay posibilidad de cambiar el equipo? Huawei es una empresa
>
> No me puedo creer que sólo me esté pasando esto a mí. ¿A nadie más le pasa o ha pasado?
>
>
> Saludos y gracias,
>
> Ramses
rara, te saca productos como el MT880 y MT882 y después sale con el
HG108 que se tilda si lo miras con los dos ojos. Para mí que esta
empresa contrata personal temporario y así es como le salen las cosas!
Saludos.
--
Emiliano Vazquez | PcCentro Informatica & CCTV
Office: +54 (11) 4635-3218 y Rotativas
Movil: 011-15-6253-7165
Mail: emilian...@gmail.com
Web: http://www.pccentro.com.ar
Raúl Alexis Betancor Santana
Jul 16, 2014, 9:12:07 AM7/16/14
to aster...@googlegroups.com
On Wed, Jul 16, 2014 at 11:12:29AM +0200, Ramses II wrote:
> Hola a todos,
>
> No me puedo creer que sólo me esté pasando esto a mí. ¿A nadie más le pasa o ha pasado?
Jejeje ... se me pasó el correo.
> Hola a todos,
>
> No me puedo creer que sólo me esté pasando esto a mí. ¿A nadie más le pasa o ha pasado?
Bien ... ese comportamiento que comentas, una especie de 'SNAT' de los
Huawei, es 'su comportamiento habitual' para hacer NAT hacia
'adentro', lo puedes comprobar, cualquier conexión de cualquier
servicio, verás lo mismo.
Lo cual es una putada a nivel de FW en el equipo interno.
Huawei es una marca 'rara' ... no hay consistencia en la calidad y los
interfaces de los equipos que comercializa, por lo menos en las gamas
bajas.
He visto un 'mismo' modelo de router, con dos implementaciones
completamente diferentes de las firmware y no me refiero a
'personalizaciones' para un operador concreto.
Tienen pinta de ir 'fagocitado' pequeñas empresas de TI e
incorporandolas, cuando se trata de alguna tecnología que quieren
incorporar a su portfolio.
La única opción, es pasar el router de 'monopuesto' o sustituirlo por
otro.
Saludos
Ramses
Jul 16, 2014, 12:54:38 PM7/16/14
to aster...@googlegroups.com
Raúl, buenas tardes, ya me extrañaba a mi que no hubieras contestado... ;-)
Sí, sí, es con cualquier servicio, he puesto esos como ejemplo...
Lo raro es que tengo muchos Huawei HG556a, creo que son los que monta Vodafone, y no tienen ese comportamiento...
La verdad, el HG556a lo he estado trasteando, incluso con el firmware modificado para el Operador, pero con el acceso del usuario "admin", y, para ser el que regalan, tiene bastante potencial y se pueden hacer muchas cositas... La pena es que, para no perder el soporte, y después de mucho pelear, sólo consigues que te den la clave del usuario "vodafone", y ese es muy limitado, tanto, que no siquiera te puedes descargar la configuración...
Claro, ahí está la putada, que si tu en el Fail2Ban, por ejemplo, le tienes puesto que ignore tu IP Pública para que no te banee, ante cualquier error en pruebas y esas cosas raras que nos suele pasar, muchas veces en producción..., y hay algún intento de acceso maligno, por ejemplo, al puerto SSH, como llega con IP Origen la IP Pública de su propio router, pues la bloquea y santas pascuas... Si a continuación intentas tú hacer una conexión SSH, como llegas con la misma IP Pública, pues ¡¡¡SORPREEEESAAAA!!!, te rechaza porque ya estás baneado...
Claro, alguno dirá "pues excluye la IP Pública del router el el F2B"... Para eso apago el F2B, obvio, ¿no?.
La historia está en sí alguien está usando ese mismo router con ese Operador y con un comportamiento distinto, para ver si es por versión de firmware o si puede ser configurable por algún parámetro en el router...
Raúl, ¿pasar el router de monopuesto o a monopuesto?.
Saludos,
Ramses
Enviado desde mi Móvil
> Normas de la lista Asterisk-ES: http://comunidad.asterisk-es.org/index.php?title=Lista:normas-asterisk-es
Sí, sí, es con cualquier servicio, he puesto esos como ejemplo...
Lo raro es que tengo muchos Huawei HG556a, creo que son los que monta Vodafone, y no tienen ese comportamiento...
La verdad, el HG556a lo he estado trasteando, incluso con el firmware modificado para el Operador, pero con el acceso del usuario "admin", y, para ser el que regalan, tiene bastante potencial y se pueden hacer muchas cositas... La pena es que, para no perder el soporte, y después de mucho pelear, sólo consigues que te den la clave del usuario "vodafone", y ese es muy limitado, tanto, que no siquiera te puedes descargar la configuración...
Claro, ahí está la putada, que si tu en el Fail2Ban, por ejemplo, le tienes puesto que ignore tu IP Pública para que no te banee, ante cualquier error en pruebas y esas cosas raras que nos suele pasar, muchas veces en producción..., y hay algún intento de acceso maligno, por ejemplo, al puerto SSH, como llega con IP Origen la IP Pública de su propio router, pues la bloquea y santas pascuas... Si a continuación intentas tú hacer una conexión SSH, como llegas con la misma IP Pública, pues ¡¡¡SORPREEEESAAAA!!!, te rechaza porque ya estás baneado...
Claro, alguno dirá "pues excluye la IP Pública del router el el F2B"... Para eso apago el F2B, obvio, ¿no?.
La historia está en sí alguien está usando ese mismo router con ese Operador y con un comportamiento distinto, para ver si es por versión de firmware o si puede ser configurable por algún parámetro en el router...
Raúl, ¿pasar el router de monopuesto o a monopuesto?.
Saludos,
Ramses
Enviado desde mi Móvil
Raúl Alexis Betancor Santana
Jul 17, 2014, 3:14:36 AM7/17/14
to aster...@googlegroups.com
On Wed, Jul 16, 2014 at 06:49:27PM +0200, Ramses wrote:
> La historia está en sí alguien está usando ese mismo router con ese Operador y con un comportamiento distinto, para ver si es por versión de firmware o si puede ser configurable por algún parámetro en el router...
No para instalaciones de VoIP, pero si en un par se sitios con IPSec y
> La historia está en sí alguien está usando ese mismo router con ese Operador y con un comportamiento distinto, para ver si es por versión de firmware o si puede ser configurable por algún parámetro en el router...
te aseguro que es un dolor de muelas de router.
> Raúl, ¿pasar el router de monopuesto o a monopuesto?.
embeded por dentro) ... y podías meter tus propias reglas de iptables
y que las grabara ... pero hace muchoooooooooooo que nos los toco, si
encuentro el enlace te lo envío.
Saludos
Reply all
Reply to author
Forward
0 new messages