Subsanar ñapa considerable

Buenas a todos.

Puesta en escena de la chapuza que alguien ha hecho:

En un edificio hay un videoportero con salida a Internet, con su propia red dentro del segmento 192.168.1.0/24, con un router propio en la 192.168.1.1 y dicho videoportero tiene su IP dentro de dicho rango (192.168.1.30). Cada vivienda accede al videoportero a través de la domótica de cada uno mediante una pantalla táctil o bien mediante una app en los dispositivos móviles de dicha vivienda.

Obviamente, lo suyo sería hacer las cosas bien implementando VLANs. Pero han dejado todo abierto de manera que todas las viviendas acceden con su red interna a la red del videoportero "a pelo". O sea, están con IP dinámica dentro del mismo rango de red. A tomar por saco privacidad, conflictos de IPs, que alguien asigne la IP del videoportero a algún dispositivo suyo, choques entre routers etc... En cada vivienda tienen también internet, y con toda probabilidad un router con la misma IP que el de la red del videoportero. Ya sé que en cualquier momento puede explotar todo y que lo suyo es que lo hagan bien, pero es un cristo hablar con los vecinos y con los distintos instaladores, por lo que he decidido tirar por la calle de enmedio para tener seguridad en mi red mientras se subsana de alguna manera.

Lo que se me ha ocurrido, que he probado "en seco", sin conectar al videoportero pero con equipos de prueba es lo siguiente y quería pediros opinión para ver si es una cosa muy burra o sería válida:

Tengo un RB3011 con un bridge para la LAN en el segmento 192.168.0.0/24 y el puerto ether10 para la conexión como cliente DHCP a mi router de Internet en la red 192.168.1.0/24. Sí, ya sé que es la misma red que el videoportero, pero no quiero cambiar ninguno de mis rangos.

Se me ha ocurrido poner en el rack del videoportero un hAP ac que tengo por ahí sin usar y configurar una VPN entre el ether1 del hAP y el ether9 de mi RB3011, el cual he sacado del bridge, y asignarles una ip a cada uno fuera del rango de las demás (192.168.50.1/30 y 192.168.50.2/30). Una vez establecido el túnel, le asigno a la VPN las IPs 10.20.20.1/30 y 10.20.20.2/30 respectivamente. En mi RB3011 (casa) hago una regla de firewall para que únicamente permita la entrada de tráfico VPN desde la MAC del ether1 del hAP ac, y que permita el paso únicamente al tráfico de esa VPN previamente marcado con mangle (podría poner algún filtro más, relativo a los puertos que se utilicen en la comunicación entre dispositivos pero eso ya lo haré cuando los tenga funcionando). Y creo dos tablas de enrutamiento, en el RB3011 le digo que todo lo que vaya a la 192.168.1.30 (la IP real del videoportero) lo tire por la 10.20.20.2 (la IP VPN del hAP ac en el rack comunitario) y en el hAP ac le creo la ruta inversa, que todo lo que vaya a la 192.168.0.0/24 (mi LAN) lo tire a la 10.20.20.1 (la IP VPN de mi RB3011).

He hecho una prueba poniendo un PC con la IP del videoportero y accediendo desde mi red a él por SMB, pudiendo acceder a los archivos y respondiendo al ping, por tanto el videoportero debería funcionar sin problemas desde mi red.

Al no ser un dispositivo que tenga que estar constantemente accediendo, no necesito crear VLANs ni dejar ese puerto dentro del bridge para nada, por eso se me ha ocurrido lo de la VPN con filtrado MAC.

¿Qué os parece la ñapa que he hecho para solventar el problema? Se admiten sugerencias ;)

Un saludo a todos y feliz 2022.
 
No acabo de entender el setup. Tenéis un video-portero conectado a internet (que dios os pille confesaos) con lo que parece ser una línea dedicada para ese chisme, y su propio router. Y vosotros accedéis a él, ¿cómo? No acabo de entender el tinglado. Si accedéis vía app por internet, no debería haber mayor problema.

Dibújame el tema, a ver si así lo pillo.

Feliz año para ti también, un saludo!
 
No acabo de entender el setup. Tenéis un video-portero conectado a internet (que dios os pille confesaos) con lo que parece ser una línea dedicada para ese chisme, y su propio router. Y vosotros accedéis a él, ¿cómo? No acabo de entender el tinglado. Si accedéis vía app por internet, no debería haber mayor problema.

Dibújame el tema, a ver si así lo pillo.

Feliz año para ti también, un saludo!

Buenos días, ya sé que es infumable pero es lo que han puesto. El videoportero ha de tener salida a internet porque hay que poder acceder a él vía app como dices. Pero también hay viviendas que además necesitan acceder a él por medio de las pantallas táctiles de la domótica que hay en cada casa, y no siempre tienes el móvil a mano para poder ver quién llama o hay quien no tiene móvil (niños, ancianos). Entonces para eso se usan las pantallas táctiles.

El videoportero ha de estar en el mismo segmento de red que la domótica para que puedan entenderse.

Estoy tratando de convencer a los vecinos para que se hagan bien las cosas, de momento no lo consigo aunque espero que se solucione. La empresa que puso el videoportero tampoco respira. Así que necesito una solución provisional para poderme conectar desde mi red interna al cacharro. Como no quiero que nadie se pueda conectar a mi red, ni tampoco quiero cambiar mi configuración actual, lo que se me ha ocurrido y que me funciona como expliqué probando con un PC y poniendo los pertinentes filtros en el cortafuegos de cada MK, es montar un segundo router entre la red del videoportero y la mía e interconectarlo con mi red mediante una VPN para garantizarme que nadie pueda entrar a mi red simplemente cambiando un cablecito en el armario o mediante acceso directo al estar en la misma red física.

Y cuando se hagan bien las cosas lo quito y ya está.

En el esquema adjunto explico lo que quiero hacer (que ya tengo probado, falta bajar el hAP abajo y conectarlo) y la posible casuística ya que hay varios casos según cada uno:
Vivienda 1: Chupa Internet directamente de la red del videoportero. No tiene router propio.
Vivienda 2: Tiene router propio pero no está conectada a la red cableada del videoportero, accede a él por la app a través de Internet.
Vivienda n: Tiene router propio y está conectada a la red cableada del videoportero, accede a él por la app a través de Internet y por la pantalla táctil de domótica.

Obviamente, como dije, en cualquier momento puede dar un petardazo y dejar de funcionar por tema de colisiones entre routers y duplicidades de IPs, pero mientras se arregla quiero poder acceder al videoportero vía cable ya que no tengo nada que perder excepto un poco de rato en configurar el hAP que ya tengo y montarlo.

En un momento dado el problema más fácil es el de que alguien o el propio videoportero no salga a Internet si hay otro router con la misma IP, eso también me daría más argumentos para convencer al resto de montarlo en condiciones y mientras yo accedería por cable con esta ñapa.

Sólo quiero comentar mi idea por si os parece bien como medida temporal o me proponéis otra cosa.

Un saludo.
 

Adjuntos

  • chapuza.jpg
    chapuza.jpg
    77.8 KB · Visitas: 68
Buenos días, ya sé que es infumable pero es lo que han puesto. El videoportero ha de tener salida a internet porque hay que poder acceder a él vía app como dices. Pero también hay viviendas que además necesitan acceder a él por medio de las pantallas táctiles de la domótica que hay en cada casa, y no siempre tienes el móvil a mano para poder ver quién llama o hay quien no tiene móvil (niños, ancianos). Entonces para eso se usan las pantallas táctiles.
Vale, esas pantallas táctiles, ¿cómo se conectan con la subred del router del videoportero? ¿Van todas esas pantallas conectadas por cable a un switch, y este el videoportero? ¿Van por wifi al router del videoportero? ¿Van por wifi/cable al router de tu casa? Ahí es donde me sigo perdiendo.

El videoportero ha de estar en el mismo segmento de red que la domótica para que puedan entenderse.
Eso no es del todo cierto, pero sí, veo por dónde vas.

Vivienda 1: Chupa Internet directamente de la red del videoportero. No tiene router propio.
Vecino chupóptero. Usa el internet vecinal. ¿cómo llega la conexión a vuestra casa? Además del videoportero (que conectará por cable/wifi a la red vecinal), ¿cómo aprovecháis vosotros el internet de esa red? ¿Llega un cable de red a cada vivienda?

Vivienda 2: Tiene router propio pero no está conectada a la red cableada del videoportero, accede a él por la app a través de Internet.
OK, este no tiene problema alguno. Lo podemos obviar.

Vivienda n: Tiene router propio y está conectada a la red cableada del videoportero, accede a él por la app a través de Internet y por la pantalla táctil de domótica.
Este, idealmente, debería ser un tipo vivienda2. Es decir, que el chisme que tenéis en casa (la pantalla táctil) se conecte a vuestro router y encuentre el videoportero vía internet. Pero, si no está así, ¿cómo narices lo tenéis interconectado? Porque, entiendo que la pantalla, una de dos, o va conectada a vuestro router o al comunitario, pero ¿a los dos? No me diga que tenéis un switch y n routers con el mismo segmento de red conectados a él!

Si me puedes poner más en detalle cómo se interconectan los cacharros, centrándonos en la vivienda "n", te lo agradezco. Saber qué va cableado, a dónde y si algo va wifi o tiene opción de ir de esa manera (si el panel de control del videoportero se puede enganchar a internet de tu casa y tener acceso al videoportero por ese canal, aunque más inseguro, ya lo tendrías solucionado)


Aparte de todo esto, te doy unos consejos:
El sistema de videoportero, idealmente, debería ir en un sistema cerrado, sin conexión internet.
Si lo anterior no es posible, por el tema de las apps móvil, ese chisme debería ir como si fuera una DMZ, es decir, que si se compromete algo, que sea únicamente ese equipo, y no el resto de chismes que se conecten a él. Idealmente, iría en una VLAN aparte, separado del tráfico que puedan generar los clientes del tipo "vivienda1"
La conexión "vecinal" la podéis aprovechar todos como failover, si lo montáis bien. Con cualquier mikrotik sencillito, tipo un hEX, lo tienes.

Yo lo montaría algo así. Si a las viviendas sólo llega un cable, y en ellas hay un pequeño switch, montaría la red del videoportero con una VLAN taggeada (si el chisme lo permite) y la del internet de respaldo en modo acceso, en un modo híbrido. Si llegan dos cables, tal y como está el dibujo.


movida-vecinal.drawio.png



Y, si me aprietas, montaría una VLAN por cada vecino, tal que el tráfico de cada vecino vaya encapsulado, y os la entregaría en modo acceso ya en cada casa. A esa red podéis conectar tanto la pantalla del videoportero, que llegaría a su destino sin problema, como la conexión de failover, para que que no tenga o la quiera aprovechar como backup. Pero ese setup es algo más complejo. Para simplemente apañarlo, con lo de arriba vas sobrado.

Aclárame sobre todo porfa qué cables llegan a cada vivienda y cómo se conecta el visor del videoportero con el viedeoportero en sí.

Saludos!
 
Hola, disculpa la demora pero no me ha sido posible contestar antes.

Finalmente he conseguido hacer entrar en razón a los vecinos y van a llamar a alguien que lo deje en condiciones. Yo no quiero meterme porque luego me estarían dando por saco y paso.

Efectivamente, como decía yo en un principio y apuntaste tú también, lo suyo sería una VLAN por vecino.

El videoportero ha de salir a Internet ya que no solamente lo puedes ver desde tu casa, sino si estás fuera de ella también a través de la app (viene el butano, el cartero, etc...).

Las pantallas táctiles van conectadas a un switch interno de cada vivienda y éste luego ha de conectarse vía cable al switch del videoportero. En esas pantallas se controla la domótica y muestra la imagen del videoportero.

Llega un cable de red del switch de cada vivienda al switch del videoportero, como puse en el esquema (se supone que la LAN de cada vivienda tiene switch aunque no lo pintara).

Y sí, cada vivienda tipo "n" tiene su propio router que está en el mismo rango y la misma IP que el router del videoportero por tanto hay hostias como puedes imaginar. Y por ende todos los que conectan por cable comparten red. Por eso quería yo tener algo para tener seguridad mientras se aclaraba la cosa, y de ahí lo de hacerme esa interconexión mediante VPN poniendo yo un MK provisional, para poder acceder al cacharro y que no accedan a mi red.

Claro ejemplo de no coordinación entre empresas y "montar y salir corriendo".

Gracias por tu sugerencia y tu tiempo :).
 
Las pantallas táctiles van conectadas a un switch interno de cada vivienda y éste luego ha de conectarse vía cable al switch del videoportero. En esas pantallas se controla la domótica y muestra la imagen del videoportero.
Claro, ahora entiendo el problema. Y a ese switch no sólo va el videoportero conectado, sino el resto de tomas de ethernet de la casa. Y ya tienes el lío montado, vengo yo con el router de mi compañía, pincho en él, y tenemos la fiesta montada. ¿Es así? Si es eso, ese setup es una vergüenza, y el que lo ha montado un incompetente.

La opción más sencilla es que empalméis el cable que viene del router común directo al cable que va a la pantalla del videoportero, y saquéis del switch que hay en cada casa la conexión de ese chisme. Ese chisme quedaría enganchado al router vecinal y fuera de tu conexión.

La segunda opción es que tengáis en el videportero y en casa switches que soporte VLANs (no será el caso y tendréis el más barato que encontrasen en su día): se monta un trunk entre el switch que está abajo (o arriba) en el videoportero y cada uno de los switches de vuestras casas y ese servicio va encapsulado en L2. De esa manera puedes aprovechar el resto de puertos del switch para tu casa y que ni se enteren de que por esos dos puertos hay un intruso que no pertenece a tu LAN. Eso sí, perderíais la posibilidad de que la video pantalla del videoportero que tenéis en casa vaya conectada a vuestra domótica. Sería algo así:

movida-vecinal-2.png


La tercera opción y que más me gusta, es que en cada vivienda haya un mikrotik sencillito, tipo un hEX, en lugar de un switch. De esa manera ya tienes todo lo que necesitas: puedes recibir el servicio del videoportero como si de una WAN se tratase, y. montar una ruta estática que diga que la pantalla del videoportero sale por el puerto 1, conectado a la red vecinal, mientras que todo lo demás de tu casa sale por el 2, conectado a tu router. Así lo tendrías todo: posibilidad de integrar la pantalla del videoportero en la red de tu casa y, al mismo tiempo, independencia del otro segmento de red, con su correspondiente segmentación. Te evitas el tema de las VLANs y lo único que habría que cambiar es el segmento de red del router vecinal, para evitar uno de los comunes. Inversión por vecino: unos 100€, considerando el costo del equipo (50-60€) y lo que os quiera cobrar el que los monte por dejarlo bien configurado. Y, por si fuera poco, montas un failover sin querer.

Esta tercera opción la puedes hacer tú mismo desde ya, sustituyendo el switch de marras por el equipo que te digo, o llevando la toma que viene del router vecinal al mikrotik que ya tienes. Si te surge alguna duda dime, que es un setup de lo más sencillo (amén del cableado)

Saludos!
 
Muchas gracias Pokoyo por el enorme curro que te pegas intentando ayudar a los demás, son muchas horas de análisis, gráficos, revisar configuraciones, deshacer entuertos ajenos etc.
 
Muchas gracias Pokoyo por el enorme curro que te pegas intentando ayudar a los demás, son muchas horas de análisis, gráficos, revisar configuraciones, deshacer entuertos ajenos etc.
De nada majete. Me gusta mucho este mundillo y el tema docente es algo que echaba mucho de menos cuando buscaba información sobre cómo hacer cosas en la marca. Hay mucha info suelta y poco organizada y nada verificada (cada uno tira por donde puede), así que decidí echarle “un rato” y estructurar algo que pudiera solventar los problemas más comunes de un usuario doméstico que se enfrenta la primera vez con la configuración de un chisme de la marca. Y una cosa lleva a la otra, y aquí estamos, haciendo comunidad.

Me alegro de haber plantado la semillita, para hacer que esto crezca.

Saludos!
 
Claro, ahora entiendo el problema. Y a ese switch no sólo va el videoportero conectado, sino el resto de tomas de ethernet de la casa. Y ya tienes el lío montado, vengo yo con el router de mi compañía, pincho en él, y tenemos la fiesta montada. ¿Es así? Si es eso, ese setup es una vergüenza, y el que lo ha montado un incompetente.

La opción más sencilla es que empalméis el cable que viene del router común directo al cable que va a la pantalla del videoportero, y saquéis del switch que hay en cada casa la conexión de ese chisme. Ese chisme quedaría enganchado al router vecinal y fuera de tu conexión.

La segunda opción es que tengáis en el videportero y en casa switches que soporte VLANs (no será el caso y tendréis el más barato que encontrasen en su día): se monta un trunk entre el switch que está abajo (o arriba) en el videoportero y cada uno de los switches de vuestras casas y ese servicio va encapsulado en L2. De esa manera puedes aprovechar el resto de puertos del switch para tu casa y que ni se enteren de que por esos dos puertos hay un intruso que no pertenece a tu LAN. Eso sí, perderíais la posibilidad de que la video pantalla del videoportero que tenéis en casa vaya conectada a vuestra domótica. Sería algo así:

Ver el adjunto 90852

La tercera opción y que más me gusta, es que en cada vivienda haya un mikrotik sencillito, tipo un hEX, en lugar de un switch. De esa manera ya tienes todo lo que necesitas: puedes recibir el servicio del videoportero como si de una WAN se tratase, y. montar una ruta estática que diga que la pantalla del videoportero sale por el puerto 1, conectado a la red vecinal, mientras que todo lo demás de tu casa sale por el 2, conectado a tu router. Así lo tendrías todo: posibilidad de integrar la pantalla del videoportero en la red de tu casa y, al mismo tiempo, independencia del otro segmento de red, con su correspondiente segmentación. Te evitas el tema de las VLANs y lo único que habría que cambiar es el segmento de red del router vecinal, para evitar uno de los comunes. Inversión por vecino: unos 100€, considerando el costo del equipo (50-60€) y lo que os quiera cobrar el que los monte por dejarlo bien configurado. Y, por si fuera poco, montas un failover sin querer.

Esta tercera opción la puedes hacer tú mismo desde ya, sustituyendo el switch de marras por el equipo que te digo, o llevando la toma que viene del router vecinal al mikrotik que ya tienes. Si te surge alguna duda dime, que es un setup de lo más sencillo (amén del cableado)

Saludos!
Te añado una cuarta con tu permiso pokoyo, ya que veo que pueden utilizar el internet comunitario y no le hace falta contratar su propia fibra.
Colocar un mikrotik con salida por la wan de la comunidad pero el mk le genera la red que el indica 192.168.0.x, así el tiene su red interna y desde la 192.168.1.x no tienen acceso pero el si tiene acceso a las dos.

Saludos
 
Arriba