Translate

miércoles, 9 de enero de 2019

Tener NAT Loopback si la compañía no nos lo habilita gracias a dd-wrt

Hola,

Hoy os traemos una incidencia que esta pasando muy a menudo en todas las operadoras (Movistar, Vodafone, Orange, etc...) cada vez mas se está bloqueando el uso de NAT Loopback.

¿Que es NAT Loopback? Pues es una característica del router de la compañía que permite acceder a los equipos de la LAN como si les llamásemos desde la WAN. Lo explico mejor por si acaso...

Tenemos un servidor web en nuestra casa, o camaras IP, o escritorio remoto, o algun otro servicio que servimos al exterior bajo el dominio micasa.dyndns.es (o cualquier otro dominio) y desde el 4g de nuestro móvil o desde cualquier ADSL del mundo se accede sin problema. Pero desde nuestra red interna no podemos llamar a micasa.dyndns.es tenemos que hacerlo por la IP interna del servidor, 192.168.1.20, esto puede llegar  a ser bastante molesto y queremos hacer la llamada como micasa.dyndns.es
Para todo eso necesitaríamos que nuestro router aceptase NAT loopback.

Si el router de la compañía hace NAT loopback perfecto! utilizadlo y a funcionar...

Pero si vuestra compañía no lo permite...

Hay dispositivos que permiten agregarle un NAT Looback a vuestra red como el Firewall SonicWall NSA220, colocándolo justo después del router de la compañía os permite hacer el loopback aunque la propia compañía no tenga la posibilidad de hacer loopback o la tenga capada.
Pero si no tenemos un dispositivo tan caro hay soluciones mas económicas... como un router con dd-wrt

Si el router de nuestra compañía no lo acepta o nos lo tienen capado y no tenemos un buen firewall como los que hemos comentado, vamos a tener que utilizar un router neutro con el firmware dd-wrt.

Así que el truquillo que os traemos hoy es imitar el funcionamiento del NAT Looback en esas situaciones donde la compañía no nos deja utilizarlo. Para ello vamos a colocar un router neutro con DD-WRT entre nuestros equipos de red, servidor web, etc... y el router de la compañía. De la sig forma:


Tenemos el router de la derecha que es el de la compañia y de ese router conectamos al router neutro nuestro con dd-wrt.
En la config básica del router tendremos que fijar unas IP del lado WAN del dd-wrt que concuerden con las IP que nos da el router de la compañia. En nuestro ejemplo el router de la compañia es el 172.17.0.1 y la wan de nuestro dd-wrt es la 172.17.0.2

En otros modelos de dd-wrt podrias encontrarte esta ventana similar: https://drive.google.com/open?id=1DDqyysy7432kTFyjhgqHmFW4N009eXID

NOTA: Si no ponéis las DNS fijadas y las dejáis todo a 0.0.0.0 dará como DNS la IP del router de la compañía. Si el router de la compañía es servidor DNS (Que si que son casi todos) también sirve.


Y en la parte LAN del dd-wrt 172.16.0.1 es decir configurarlo así. Ojo con el DNS Local poned 0.0.0.0


En otros modelos de dd-wrt podrias encontrarte esta ventana similar: https://drive.google.com/open?id=1QUBDLJGmfGYuMD7oGVwEOkD_zYg9x_R-



Debemos activar estas opciones para hacer un enrutado interno simulando NAT Loopback:


En nuestro router dd-wrt vamos a configurar el DHCP de forma estática según las macs de nuestra red así no hace falta ir equipo a equipo poniéndosela fija, desde el propio router controlaremos que siempre se le dé la adecuada.

En esta lista añadiremos el equipo por ejemplo con la MAC 12:12:12:12:12:12 con el nombre micasa y la IP la 172.17.0.2 (La IP de la WAN de nuestro router DD-WRT.)

Y configurar asi el resto de opciones del DNS:

En otros modelos de dd-wrt podrias encontrarte esta ventana similar: https://drive.google.com/open?id=1Apq8oEPF2IHJcn7zrnqOv2AfCVYlZGr8


Una vez realizada esta configuración podremos acceder a nuestros equipos desde la red interna llamándo a micasa.dyndns.es
Lo que ocurre es que nuestro dd-wrt actuando de DNS le dirá a cualquier equipo de la red que esa dirección es la 172.17.0.2, es decir la de la WAN del dd-wrt, y así esa petición llegará a la WAN y esta se reenviará según el redireccionado de puertos a uno u otro equipo de la LAN local.

Esto desde red interna ya nos serviría y también desde la externa.


No hay comentarios:

Publicar un comentario