Lista de problemas | Pepephone - Raspberry

Buenas noches. A ver si cuento mi odisea, espero que no sea mucho tostón, si no pongo un TLDR debajo.

Tengo varias Raspberry y las uso normalmente para trastear (nada serio), he estado con euskaltel muchisimos años y nunca he tenido problemas para levantar, configurar y mantener varias Rpi (al mismo tiempo, por separado, en local y en abierto. Vease, servidores torrent 24/7 con deluge, apache2, nginx, teamspeak, exagear, ...) Eso si, no tengo casi nada de idea de redes, con curiosidad y apuntes he conseguido casi siempre lo que quería, pero ha sido cambiarme a pepephone para ahorrarme 20€ (la fibra solo, el movil lo tengo con ellos desde hace tiempo y super contento) y se ha ido todo al garete. ¿El problema? No soy capaz de exponer la Rpi, creo que tengo el puerto 80 y el 443 capadisimos no, lo siguiente. Llevo 3 semanas dandome de hostias contra la pared.

Router: Sagemcom Fast 5657
Firmware: SGDV10000043
Pestaña GPON.

Voy diciendo lo que he hecho después de configurar la Rpi: (Cuidado, hay enlaces con las pruebas/tests haz click libremente XD)

01. Abro la ip interna al mundo (DMZ). - No puedo entrar desde mi ip externa. Raro me huele ya.
02. Configuro el puerto 80 de la Rpi en mi router (Me salta un error de conflicto y me lo redirecciona al 8080)(desactivo DMZ) - Tampoco puedo entrar.
03. ¿Firewall? Rpi: Desactivado por defecto, Router: Low (Allow all). - WTF?
04. Busco información de pepephone y me salta el CG-Nat. - Hablo con ellos para desactivarlo. Repito los pasos anteriores sin éxito.
05. Busco el estado de los puertos y veo que el host funciona porque me dice que el puerto está abierto pero no puedo conectarme desde fuera. Osea que el servicio está escuchando pero no conecta. - Me empiezo a desesperar.
06. Aún así, cambio los puertos por defecto de apache2 y nginx (por seacaso) y compruebo puertos. - Nope. Mismos resultados que antes.
07. Sigo buscando información de pepephone, me encuentro por primera vez con el dichoso "Acceso remoto/TR-069".
08. Me entero de la cuenta "admin" del router para intentar desactivarlo, resulta que han actualizado el firmware y ahora tengo que crackear la pass con una herramienta.
09. Después de sacar la pass entro al acceso remoto y veo que esta restringido excepto desde una ip concreta. - Raro, puesto que todos los post que he visto tienen acceso a esto y yo no!
10. Reset de fabrica (con la fibra desconectada) para ver si no asigna esa ip. - Nope, está a nivel de software.
11. Después de 5 días intentando hablar con un técnico (puesto que te tienen que llamar, porque ni el SAT ni los "técnicos" a los que te redirigen tienen acceso de ese nivel supuestamente) insisto en que me desactiven el acceso remoto y despúes de hacerlo le digo que no me cierre la incidencia, que me llame en media hora a ver si lo he conseguido. - ¿Qué creeis? Nope. Le he pedido la clave GPON y literal me ha despachado a la velocidad de la luz, ni el tipico "puedo ayudarte en algo más?".
12. Llego a este foro. Despúes de pasarme media tarde leyendo post tras post tras post mientras me verifican la cuenta, me voy dando cuenta de que voy a tener que usar otro enfoque para solucionar esto...

Un par de apuntes...

El tracert no me saca nada, tiempo agotado.
Obviamente usando ips internas funciona todo a la perfección.
En la caja del router vienen datos sobre el id del GPON.
Incluso estando fuera del cg-nat y con el tr-069 desactivado siguen apareciendo los mensajes de "conflicto" cuando intento abrir el 80.
Tengo un miniswitch por ahí tirado d-link si no me equivoco. Servira de algo?
En el caso de que necesite claves y demás, como veis el que abra una incidencia de "no tengo internet" (desconectando la fibra del router) diciendo algo como "los vecinos instalaron esta mañana su fibra, puede que hayan roto la fibra mia?" para que venga el técnico me lo camele un poco y me las dé?
He leido un par de posts de @pokoyo pero no me ha quedado claro sobre si necesito comprar una ont o el router (usando mi router en modo bridge)(Siento la mención pero he estado toda la tarde leyendo tus post macho y se nota que entiendes :p)

Avisadme si necesitais mas datos.... me voy a dormir que son las 6am, me han activado la cuenta a las 4am ¿Qué idiota se queda hasta tan tarde?
(sarcasmo)

Os quiero.
 
Última edición:
Qué router tienes? probablemente no puedas abrir esos puertos porque los tenga reservados el router para sí mismo. Al mismo tiempo, date cuenta de que son los puertos de navegación que vas a usar tú de manera local (80,443) para salir a internet, así que mucho ojo con secuestrar el tráfico de esos puertos, que te puedes quedar sin navegación de hacerlo mal.

Dime el modelo de router que tienes y si tienes a mano cualquier router neutro con soporte para vlans. Si tu router se puede poner en modo bridge, y tienes lo que te digo, sería cuestión de ponerlo en ese modo y olvidarte de ese router, y empezar a trabajar los puertos en tu router neutro.

Por otro lado, aviso a navegantes: lo que estás haciendo es una burrada. Exponer servicios de tu LAN a internet sin más seguridad perimetral ni más nada es una locura. Si tú llegas al servicio, cualquiera llega, y da por sentado de que van a intentar entrar. Si no tienes esos equipos en una DMZ y están en tu propia LAN, una vez consigan acceso a cualquiera de ellos, tendrán acceso al resto de dispositivos de tu red. Si además les facilitas la vida y usas puertos como el 80 (http), 443 (https), 22(ssh), etc, es sólo cuestión de tiempo que entren.

Mi recomendación: monta una VPN. Tú expones únicamente el servicio de VPN y, una vez conectado y dentro, ya accedes a lo que quieras. Para esto no hace falta ni tocar el router de pepephone, si ya estás fuera de CG-NAT: coge una de la raspberry pi's e instala wireguard en ella. Selecciona un puerto al azar por encima del 10.000 y lo abres en el router, con destino la Pi (puerto UDP). Configuras el cliente de wireguard allá donde lo quieras usar y realizas el acceso de esa manera, primero por VPN y, una vez dentro de tu LAN, accedes como accedes a esos equipos cuando estás en tu casa. Si necesitas un cable con esto, dime.

Saludos!
 
Qué router tienes? probablemente no puedas abrir esos puertos porque los tenga reservados el router para sí mismo. Al mismo tiempo, date cuenta de que son los puertos de navegación que vas a usar tú de manera local (80,443) para salir a internet, así que mucho ojo con secuestrar el tráfico de esos puertos, que te puedes quedar sin navegación de hacerlo mal.

Dime el modelo de router que tienes y si tienes a mano cualquier router neutro con soporte para vlans. Si tu router se puede poner en modo bridge, y tienes lo que te digo, sería cuestión de ponerlo en ese modo y olvidarte de ese router, y empezar a trabajar los puertos en tu router neutro.

Por otro lado, aviso a navegantes: lo que estás haciendo es una burrada. Exponer servicios de tu LAN a internet sin más seguridad perimetral ni más nada es una locura. Si tú llegas al servicio, cualquiera llega, y da por sentado de que van a intentar entrar. Si no tienes esos equipos en una DMZ y están en tu propia LAN, una vez consigan acceso a cualquiera de ellos, tendrán acceso al resto de dispositivos de tu red. Si además les facilitas la vida y usas puertos como el 80 (http), 443 (https), 22(ssh), etc, es sólo cuestión de tiempo que entren.

Mi recomendación: monta una VPN. Tú expones únicamente el servicio de VPN y, una vez conectado y dentro, ya accedes a lo que quieras. Para esto no hace falta ni tocar el router de pepephone, si ya estás fuera de CG-NAT: coge una de la raspberry pi's e instala wireguard en ella. Selecciona un puerto al azar por encima del 10.000 y lo abres en el router, con destino la Pi (puerto UDP). Configuras el cliente de wireguard allá donde lo quieras usar y realizas el acceso de esa manera, primero por VPN y, una vez dentro de tu LAN, accedes como accedes a esos equipos cuando estás en tu casa. Si necesitas un cable con esto, dime.

Saludos!
Como he dicho... se nota que entiendes XD Entiendo los peligros que conlleva abrir esos puertos. Voy a mirar información sobre wireguard, aún así, recomiendame algún router neutro baratito porque lo más probable es que me decante a poner el router en modo bridge. Si ya me han puesto trabas con esto vete tu a saber con qué más lo hacen. He actualizado el post con los datos del router.

Muchisimas gracias.
 
Como he dicho... se nota que entiendes XD Entiendo los peligros que conlleva abrir esos puertos. Voy a mirar información sobre wireguard, aún así, recomiendame algún router neutro baratito porque lo más probable es que me decante a poner el router en modo bridge. Si ya me han puesto trabas con esto vete tu a saber con qué más lo hacen. He actualizado el post con los datos del router.

Muchisimas gracias.
Como veo que te gusta enredar, te recomiendo un mikrotik. Son algo complejos de manejar y la interfaz parece sacada de un windows 3.11 de los 90, pero son la hostia en cuanto a funcionalidades y estabilidad. Un hAP ac2 o ac3 te podría venir bien. Y si piensas en montar AP por separado y solo quieres un router de cable doméstico, el hEX (RB750gr3) o el hEX-S (RB760iGS).

Ese router se puede poner en modo bridge, usando la pestaña que tienes a la izquierda de la de los datos del GPON que muestras en tu enlace. ¿No tendrás la coña de que te muestre el PLOAM password en claro, como le pasaba a las primeras versiones del 5655v2, ¿no?

Saludos!
 
Última edición:
Como veo que te gusta enredar, te recomiendo un mikrotik. Son algo complejos de manejar y la interfaz parece sacada de un windows 3.11 de los 90, pero son la hostia en cuanto a funcionalidades y estabilidad. Un hAP ac2 o ac3 te podría venir bien. Y si piensas en montar AP por separado y solo quieres un router de cable doméstico, el hEX (RB750gr3) o el hEX-S (RB760iGS).

Ese router se puede poner en modo bridge, usando la pestaña que tienes a la izquierda de la de los datos del GPON que muestras en tu enlace. ¿No tendrás la coña de que te muestre el PLOAM password en claro, como le pasaba a las primeras versiones del 5655v2, ¿no?

Saludos!
No caerá esa breva.... esta vacio, los asteriscos son un placeholder.

Necesito que tenga wifi así que me tiraré a por uno de los mikrotick, seguramente el ac3. Ya he leido que son estables pero que no tienen demasiada calidad de wifi, aunque a mi no me importa demasiado porque resulta que la fibra llega hasta el centro del piso, así que llega la señal a todos los lados.

¿A parte de poner el router de pepe en bridge, que más necesito hacer? Me dejas una pequeña guía? :p Muchisimas gracias por tu ayuda!
 
Date una vuelta por el sub de mikrotik, que tienes donde entretenerte. Te recomiendo empieces por el manual de primeros pasos y luego el de las configuraciones básicas de los ISPs, que allí podrás ver la configuración de Pepephone, partiendo de una configuración de quick set. Y luego ya, pues lo que se te plante, tienes donde elegir y entretenerte leyendo.

Saludos!
 
Buenas, no se si ya lo has solucionado, he leído tu post e igual me he dejado algún detalle.

Aunque sea obvio, por si acaso lo comento, has comprobado realmente que tienes el cgnat desactivado? Es decir, la IP que te pone en la WAN del router es la misma que la que te devuelve la típica web de "cualesmiip".

Luego abre un puerto en el PC, por ejemplo con el Filezilla o mejor con HFS (un pequeño servidor web de ficheros). Igual en la raspi tienes algún problema de enrutamiento, alguna máscara de red mal puesta, etc. El linux es más delicadito para eso.

Para poder usar el puerto 80 y 443, tienes que cambiar el puerto de "Management" del router y poner por ejemplo 8080 y 8443. De esta forma dejas libres esos puertos y los puedes natear hacia la rasp, aunque yo siempre prefiero dejar esos puertos y yo usar otros para mis movidas.

Otra opción es que te pilles un F680 baratito en Wallapop, le metas la clave gpon y a funcionar.

Me ha pasado una vez, me encontré un router 4G que no te permitía la opción de mapear puertos hacia dentro, una putada.
 
Hola Zaragan: tengo tu mismo router y varias Raspberrys. A condición de que te cerciores que te hayan sacado del CG-NAT, no necesitas nada más para lo que tu quieres. Saludos. (PD: a mi me costó varias llamadas que me sacaran efectivamente del CG-NAT)
 
Arriba