Hace mas o menos una semana que tengo un router zyxel y desde que estuvo en mis manos no tuve mas que problemas con el tema que vosotros decis nat.
Nada mas llegarme con la firmware de telefonicaq lo primero que hice fue ponerle la oficial de Zyxel y los problemas seguian apareciendo, empece a leer un monton de foros viendo como a mucha gente se le caia la conexion o que no le funcionaban bien los P2P, me harte de ver gente aconsejar a la gente que escribiesen ciertos comandos de dudosa seguridad para las conexiones y me he hartado de ver tutoriales que estan mal desarrollados o que son erroneos.
Para mi alegria y la vuestra encontre la manera de que la conexion funcione a la perfeccion tanto con wifi como con la lan......la cosa es muy sencilla.
En multitud de tutoriales de este tipo de paginas webs os dicen que en las opciones de NAT en el router lo pongais como SUA Only.....CRASSO ERROR. Os aconsejo que hagais la prueba....poned el NAT en Full Feature y luego mapeais las IP de vuestra LAN tanto si teneis una sola IP de vuestro ordenador como si teneis tambien la de wifi o alguna otra red en casa.
Os explico como hacerlo.
UNA SOLA IP (1 solo ordenador con el router)
Activais en NAT full feature
En la pestaña de ADDRES MAPPING creais una nueva entrada con las siguientes opciones:
Type: One to One (asi mapeais la IP de vuestro ISP con la IP de red de vuestro ordenador, recordad, esto es solo para una ip)
Local Start IP: aqui poneis la IP de vuestra tarjeta de red interna del ordenador
Local End IP: aqui poneis la misma IP que en la opcion anterior..en el caso de que tengais mas ips podriais poner un rango de ips entre la anterior opcion y esta.
Global Start IP: aqui lo dejais en 0.0.0.0 si teneis una ip dinamica asignada por vuestro ISP o especificais la IP si esta es estatica cambiando los ceros por la direccion correspondiente. Esto se refiere a lo que se llama WAN IP.
Global End IP: Aqui lo dejais como N/A ya que no creo que muchos de vosotros tengais varias conexiones de adsl en cuestras casas...esto lo podrian cambiar empresas o personas que tengan varias conexiones que tengan distintos VCIs y VPIs lo que significa que podrian usar el router con varias conexiones a la vez y creo que de manera simultanea sin que el router se resiente.
Server Mapping Set: Esto solo lo podreis editar si en el tipo de mapeo (Type seleccionais server, por si quereis abrir algun puerto en vuestros routers para emule, azureus, videoconferencia etc....
VARIAS IPS (varios ordenadores, telefonos, impresoras, camaras o varias ips asignadas a WIFI y el router)
Mas o menos las opciones son parecidas pero con alguna diferencia.
Type:Many to One Esta opcion significa que queremos mapear varias IPs de LAN a una sola IP WAN, ya que de otra manera el router no funcionaria correctamente. Algunos podrian llegar a pensar que al tener varias ips lo que tienen que hacer es mapear cada una en modo One to One....no funciona ya que el tipo de mapeo lo dice todo... y si creais mas de un mapeo One to One el router se encontraria que mapea dos direcciones LAN en al misma posicion y por lo tanto la conexion LAN no funcionara. Para evitar esto esta la opcion Many to One.
No creo que se puedan combinar distintos tipos de mapeos en una misma conexion a no ser que se especifiquen distintas Subnets o distintas WAN IPs..pero esto ya es mas complicado (no mucho no creias) y no es lo que nos interesa.
Local Start IP: Aqui podeis hacerlo de dos maneras, o mapeais cada IP de manera individual como yo lo hago, o podeis poner un rango de IPs especifico con esta opcion y la siguiente. Personalmente no he porbado el poner un rango, ya que solo utilizo dos LAN IPS, la del ordenador y la IP de la conexion WIFI.
Local End IP : Aqui si habeis decidio mapear individualmente cada ip pues poneis la misma que en la opcion anterior, en caso de que querais mapear un rango de IPS por ejemplo desde la ip 10.10.10.1 hasta la 10.10.10.200 en la anterior opcion poneis la primera y en esta la segunda.
Global Start IP: Aqui lo mismo que con una sola WAN IP, la dejais en 0.0.0.0 si teneis IP DINAMICA de vuestro ISP o la especificais si es que teneis IP ESTATICA.
Server Mapping Set: Lo dicho..si quereis abrir un puerto, pero solo si en el tipo de mapeo lo seleccionais en SERVER.
Esto os aseguro que funciona sin problema alguno, es mas, ni siquiera tendreis necesidad de utilizar el Bandwidth MGMT...comprobadlo...ni siqueira con el P2P dejara de funcionar.
Un detalle muy importante sobre el porque mapear las ips individualmente y que puede confundir a muchos...Max NAT/Firewall Session Per User...esto hay que entenderlo de la siguiente manera, al crear los distintos mapeos se crea una tabla NAT por cada mapeo, por eso esta forma de configurarlo que os comento es la correcta. Creo que este router tiene un maximo de NAT conjunto de 5000 asi que si asignais 1000 en esta opcion por cada ip que mapeeis...haceros a la idea, lo ideal para que vaya fluido es que no asigneis mas de 5 IPs con un Max NAT/Firewall Session per User de 1000 aunque creo que se podrian mapear mas IPS ajustando timeouts de TCP y UDP y no utilizando P2P en todas las IPS.
Bueno esto es la buena noticia, ahora os dare unos consejos para que asegureis de manera correcta vuestros routers y ordenadores.
Lo mejor para estar seguros de que vuestra conexion esta mas o menos segura es cerrar todo, esto es el activar la opcion DROP en cada una de las cuatro opciones que aparecen en el Firewall.
Si, asi es, tanto en LAN to WAN como en LAN to LAN (por el tema del wifi y la inseguridad que puede provocar), de esta manera cerrais todo y solo abris lo que utiliceis.
Luego en la RULES(reglas) abris los puertos que necesiteis.
Os explico con mas detalle. Ya que hemos cerrado todo no sale ni entra paquete de red alguno por el router, asi que vamos a configurarlo de manera correcta para que podais usar vuestras conexiones de manera bastante segura.
Lo primero que teneis que hacer es dar salida a los paquetes de red desde vuestra LAN hacia internet para que podais ver paginas webs, comprobar vuestras cuentas de correo, FTP etc....
Es muy importante indicar que una vez que dais salida a estos paquetes no hace falta abrir la entrada de los mismos ya que el router guarda una tabla de los paquetes que han salido con la direccion y puerto a la que se han enviado y espera la respuesta permitiendo que estos entren sin que se especifique de manera explicita.
Como ya he dicho si seleccionais DROP en estas 4 direcciones denegais todas las direcciones hacia dentro y hacia afuera teneis que especificar que es lo que vais a permitir que salga.
Es recomendable seleccionar DROP y no REJECT para que el router no genere paquetes de respuesta indicando que no estan accesibles los puertos o las rutas y asi liberar al router de esa tarea, deniega la entrada de los paquetes de manera silenciosa.
En las RULES del Firewall del router aparecen 4 direcciones de paquetes.
WAN to LAN
Paquetes que son enrutados desde el router y que provienen de Internet hacia la IP de nuestros ordendores o WIFI
LAN to WAN
Paquetes que van hacia internet desde vuestros ordenadores y conexiones WIFI
WAN to WAN /Router
Paquetes enviados entre internet y vuestro router...ojo!! solo la direccion WAN asignada por vuestro ISP, aqui viene activado por defecto el BOOTP y el IKE,lo podris desactivar sin problemas a no ser que utiliceis VPNs u otros protocolos que utilicen el IKE y enrutado a traves de internet de manera privada
LAN to LAN /Router
Paquetes que van desde y hacia las IPs de los ordenadores, las IPs de WIFi y la IP del router
Para que vuestra red trabaje de manera segura teneis que crear reglas en LAN to LAN y en LAN to WAN.
En LAN to WAN creais una regla y seleccionais como Source IP vuestra IP o un rango de IPs o varias IPs de la LAN, como destino, para ser generico poneis en Destination IP=Any, en Service poneis icmp, http, dns, ftp, correo etc...lo que querais usar y en Action=Permit.
Con esta simple regla ya podreis navegar por la red y no podran entrar en vuestro router o vuestra conexion de manera facil ya que todo esta cerrado exceptuando lo que hemos permitido entrar porque nosotros hemos abierto la puerta. No nos ha echo falta el crear reglas en WAN to LAN para los mismo servicios o puertos porque el router ya sabia que habian salido esos paquetes y esperaba una respuesta.
Para que podias acceder al router desde vuestros ordenadores o las distintas ips de WIFI ya sean telefonos, routers, portatiles etc teneis que crear otra regla de Firewall en la direccion LAN to LAN ya que de otro modo no podriais ni acceder a la configuracion del router o comunicaros con las demas IPs de vuestra red intranet y tendriais que resetear el router a los valores de fabrica presionando durante unos 15 segundos el botocito de reset y volver a empezar desde el principio.
En esta regla es lo mismo que en las otras pero tened cuidado, si usais una red WIFI con WEP que es facil de ser vulnerada o WPA con una contraseña corta, todo lo que permitais en LAN to LAN tambien es aplicable al WIFI, ya que la direccion LAN to LAN incluye el WIFI to LAN por asi decirlo para que lo entendais y de la misma manera el LAN to WAN incluye el WIFI to WAN (este WIFI to LAN no aparece en el router, lo indico aqui para que lo entendais en los terminos expuestos en la configuracion).
En esta regla el Source IP es vuestras ips de la LAN incluyendo las de WIFI y en Detination IP tambien poneis las mismas IPs o rangos, los servicios que querais usar y permitis en Action.
Para poder usar los programas de P2P ni siquiera teneis que abrir puertos, creedme, aunque es cuestion de cada uno, el echo de no tener puertos abiertos en el router no significa que no compartais, el nat se encarga de que la comparticion exista y estais mucho mas seguros.
Si quereis usar programas P2P solo teneis que añadir en la regla creada en LAN to WAN un servicio creado por vosotros que contenga un rango de puertos mas o menos seguros..1030-65535, asi podreis crear conexiones hacia cualquiera de esos puertos desde la LAN con el añadido de que si no habies creado la conexion antes no podran conectarse a nuestra LAN o al cliente de P2P. ¿ que alguien utiliza su conexion de P2P usando un puerto que suele ser usado por algun servicio de windows o linux, con puertos por encima de los 1030 de la regla antes creada y creeis que pueden perjudicar vuestra conexion u ordenador de alguna manera, o simplemente que sois paranoicos? pues creais una regla en WAN to LAN denegando la entrada de esos paquetes hacia cualquier IP, y con el servicio o puerto que querais denegar la entrada en Action con un DROP o REJECT segun os interese, y tan tranquilos.
Personalmente es cuestion de gustos o preferencias, que no os vengan diciendo que sois unos leechers porque no abris puertos, compartis igual o mas que los demas, ya que habitualmente los que tienen puertos abiertos para los P2P les suele entrar mucha "mierda" y al final estos no leechers se convierten en leecheados.
Evidentemente hay gente que sabe configurar sus conexiones de manera correcta y que no les importa abrir esos puertos, pero estos son la minoria, y la mayoria, que sois los que habeis encontrado en este pequeño post de ayuda la solucion a vuestros problemas, os recomiendo que utiliceis los P2P (al menos los torrents) sin abrir puertos en el router y usando el NAT como he indicado. Para el Emule es bastante probable que si quereis tener una buena velocidad de bajada abrais algunos puertos ....quizas por eso no utilizo este
Puede que me haya equivocado en algun dato o detalle, si es asi, comentadlo.
Y esto es todo, mas o menos teneis una idea de como funciona vuestro router y como funciona la conexion a traves del mismo.
Estoy seguro que con las indicaciones que os he dado sobre el NAT alguno encontrara la solucion a sus problemas.
No soy un experto de redes, y no suelo postear en foros, asi que no espereis respuestas directas mias, probad entre vosotros.
Ni siquiera quiero que se me den las gracias por este post si es que os ha valido de algo, a mi lo que me interesa es que esteis mas o menos seguros y que los que solo postean para confundir a la gente se muerdan la lengua o se den cabezazos contra una esquina.
.|... ...|.
Nada mas llegarme con la firmware de telefonicaq lo primero que hice fue ponerle la oficial de Zyxel y los problemas seguian apareciendo, empece a leer un monton de foros viendo como a mucha gente se le caia la conexion o que no le funcionaban bien los P2P, me harte de ver gente aconsejar a la gente que escribiesen ciertos comandos de dudosa seguridad para las conexiones y me he hartado de ver tutoriales que estan mal desarrollados o que son erroneos.
Para mi alegria y la vuestra encontre la manera de que la conexion funcione a la perfeccion tanto con wifi como con la lan......la cosa es muy sencilla.
En multitud de tutoriales de este tipo de paginas webs os dicen que en las opciones de NAT en el router lo pongais como SUA Only.....CRASSO ERROR. Os aconsejo que hagais la prueba....poned el NAT en Full Feature y luego mapeais las IP de vuestra LAN tanto si teneis una sola IP de vuestro ordenador como si teneis tambien la de wifi o alguna otra red en casa.
Os explico como hacerlo.
UNA SOLA IP (1 solo ordenador con el router)
Activais en NAT full feature
En la pestaña de ADDRES MAPPING creais una nueva entrada con las siguientes opciones:
Type: One to One (asi mapeais la IP de vuestro ISP con la IP de red de vuestro ordenador, recordad, esto es solo para una ip)
Local Start IP: aqui poneis la IP de vuestra tarjeta de red interna del ordenador
Local End IP: aqui poneis la misma IP que en la opcion anterior..en el caso de que tengais mas ips podriais poner un rango de ips entre la anterior opcion y esta.
Global Start IP: aqui lo dejais en 0.0.0.0 si teneis una ip dinamica asignada por vuestro ISP o especificais la IP si esta es estatica cambiando los ceros por la direccion correspondiente. Esto se refiere a lo que se llama WAN IP.
Global End IP: Aqui lo dejais como N/A ya que no creo que muchos de vosotros tengais varias conexiones de adsl en cuestras casas...esto lo podrian cambiar empresas o personas que tengan varias conexiones que tengan distintos VCIs y VPIs lo que significa que podrian usar el router con varias conexiones a la vez y creo que de manera simultanea sin que el router se resiente.
Server Mapping Set: Esto solo lo podreis editar si en el tipo de mapeo (Type seleccionais server, por si quereis abrir algun puerto en vuestros routers para emule, azureus, videoconferencia etc....
VARIAS IPS (varios ordenadores, telefonos, impresoras, camaras o varias ips asignadas a WIFI y el router)
Mas o menos las opciones son parecidas pero con alguna diferencia.
Type:Many to One Esta opcion significa que queremos mapear varias IPs de LAN a una sola IP WAN, ya que de otra manera el router no funcionaria correctamente. Algunos podrian llegar a pensar que al tener varias ips lo que tienen que hacer es mapear cada una en modo One to One....no funciona ya que el tipo de mapeo lo dice todo... y si creais mas de un mapeo One to One el router se encontraria que mapea dos direcciones LAN en al misma posicion y por lo tanto la conexion LAN no funcionara. Para evitar esto esta la opcion Many to One.
No creo que se puedan combinar distintos tipos de mapeos en una misma conexion a no ser que se especifiquen distintas Subnets o distintas WAN IPs..pero esto ya es mas complicado (no mucho no creias) y no es lo que nos interesa.
Local Start IP: Aqui podeis hacerlo de dos maneras, o mapeais cada IP de manera individual como yo lo hago, o podeis poner un rango de IPs especifico con esta opcion y la siguiente. Personalmente no he porbado el poner un rango, ya que solo utilizo dos LAN IPS, la del ordenador y la IP de la conexion WIFI.
Local End IP : Aqui si habeis decidio mapear individualmente cada ip pues poneis la misma que en la opcion anterior, en caso de que querais mapear un rango de IPS por ejemplo desde la ip 10.10.10.1 hasta la 10.10.10.200 en la anterior opcion poneis la primera y en esta la segunda.
Global Start IP: Aqui lo mismo que con una sola WAN IP, la dejais en 0.0.0.0 si teneis IP DINAMICA de vuestro ISP o la especificais si es que teneis IP ESTATICA.
Server Mapping Set: Lo dicho..si quereis abrir un puerto, pero solo si en el tipo de mapeo lo seleccionais en SERVER.
Esto os aseguro que funciona sin problema alguno, es mas, ni siquiera tendreis necesidad de utilizar el Bandwidth MGMT...comprobadlo...ni siqueira con el P2P dejara de funcionar.
Un detalle muy importante sobre el porque mapear las ips individualmente y que puede confundir a muchos...Max NAT/Firewall Session Per User...esto hay que entenderlo de la siguiente manera, al crear los distintos mapeos se crea una tabla NAT por cada mapeo, por eso esta forma de configurarlo que os comento es la correcta. Creo que este router tiene un maximo de NAT conjunto de 5000 asi que si asignais 1000 en esta opcion por cada ip que mapeeis...haceros a la idea, lo ideal para que vaya fluido es que no asigneis mas de 5 IPs con un Max NAT/Firewall Session per User de 1000 aunque creo que se podrian mapear mas IPS ajustando timeouts de TCP y UDP y no utilizando P2P en todas las IPS.
Bueno esto es la buena noticia, ahora os dare unos consejos para que asegureis de manera correcta vuestros routers y ordenadores.
Lo mejor para estar seguros de que vuestra conexion esta mas o menos segura es cerrar todo, esto es el activar la opcion DROP en cada una de las cuatro opciones que aparecen en el Firewall.
Si, asi es, tanto en LAN to WAN como en LAN to LAN (por el tema del wifi y la inseguridad que puede provocar), de esta manera cerrais todo y solo abris lo que utiliceis.
Luego en la RULES(reglas) abris los puertos que necesiteis.
Os explico con mas detalle. Ya que hemos cerrado todo no sale ni entra paquete de red alguno por el router, asi que vamos a configurarlo de manera correcta para que podais usar vuestras conexiones de manera bastante segura.
Lo primero que teneis que hacer es dar salida a los paquetes de red desde vuestra LAN hacia internet para que podais ver paginas webs, comprobar vuestras cuentas de correo, FTP etc....
Es muy importante indicar que una vez que dais salida a estos paquetes no hace falta abrir la entrada de los mismos ya que el router guarda una tabla de los paquetes que han salido con la direccion y puerto a la que se han enviado y espera la respuesta permitiendo que estos entren sin que se especifique de manera explicita.
Como ya he dicho si seleccionais DROP en estas 4 direcciones denegais todas las direcciones hacia dentro y hacia afuera teneis que especificar que es lo que vais a permitir que salga.
Es recomendable seleccionar DROP y no REJECT para que el router no genere paquetes de respuesta indicando que no estan accesibles los puertos o las rutas y asi liberar al router de esa tarea, deniega la entrada de los paquetes de manera silenciosa.
En las RULES del Firewall del router aparecen 4 direcciones de paquetes.
WAN to LAN
Paquetes que son enrutados desde el router y que provienen de Internet hacia la IP de nuestros ordendores o WIFI
LAN to WAN
Paquetes que van hacia internet desde vuestros ordenadores y conexiones WIFI
WAN to WAN /Router
Paquetes enviados entre internet y vuestro router...ojo!! solo la direccion WAN asignada por vuestro ISP, aqui viene activado por defecto el BOOTP y el IKE,lo podris desactivar sin problemas a no ser que utiliceis VPNs u otros protocolos que utilicen el IKE y enrutado a traves de internet de manera privada
LAN to LAN /Router
Paquetes que van desde y hacia las IPs de los ordenadores, las IPs de WIFi y la IP del router
Para que vuestra red trabaje de manera segura teneis que crear reglas en LAN to LAN y en LAN to WAN.
En LAN to WAN creais una regla y seleccionais como Source IP vuestra IP o un rango de IPs o varias IPs de la LAN, como destino, para ser generico poneis en Destination IP=Any, en Service poneis icmp, http, dns, ftp, correo etc...lo que querais usar y en Action=Permit.
Con esta simple regla ya podreis navegar por la red y no podran entrar en vuestro router o vuestra conexion de manera facil ya que todo esta cerrado exceptuando lo que hemos permitido entrar porque nosotros hemos abierto la puerta. No nos ha echo falta el crear reglas en WAN to LAN para los mismo servicios o puertos porque el router ya sabia que habian salido esos paquetes y esperaba una respuesta.
Para que podias acceder al router desde vuestros ordenadores o las distintas ips de WIFI ya sean telefonos, routers, portatiles etc teneis que crear otra regla de Firewall en la direccion LAN to LAN ya que de otro modo no podriais ni acceder a la configuracion del router o comunicaros con las demas IPs de vuestra red intranet y tendriais que resetear el router a los valores de fabrica presionando durante unos 15 segundos el botocito de reset y volver a empezar desde el principio.
En esta regla es lo mismo que en las otras pero tened cuidado, si usais una red WIFI con WEP que es facil de ser vulnerada o WPA con una contraseña corta, todo lo que permitais en LAN to LAN tambien es aplicable al WIFI, ya que la direccion LAN to LAN incluye el WIFI to LAN por asi decirlo para que lo entendais y de la misma manera el LAN to WAN incluye el WIFI to WAN (este WIFI to LAN no aparece en el router, lo indico aqui para que lo entendais en los terminos expuestos en la configuracion).
En esta regla el Source IP es vuestras ips de la LAN incluyendo las de WIFI y en Detination IP tambien poneis las mismas IPs o rangos, los servicios que querais usar y permitis en Action.
Para poder usar los programas de P2P ni siquiera teneis que abrir puertos, creedme, aunque es cuestion de cada uno, el echo de no tener puertos abiertos en el router no significa que no compartais, el nat se encarga de que la comparticion exista y estais mucho mas seguros.
Si quereis usar programas P2P solo teneis que añadir en la regla creada en LAN to WAN un servicio creado por vosotros que contenga un rango de puertos mas o menos seguros..1030-65535, asi podreis crear conexiones hacia cualquiera de esos puertos desde la LAN con el añadido de que si no habies creado la conexion antes no podran conectarse a nuestra LAN o al cliente de P2P. ¿ que alguien utiliza su conexion de P2P usando un puerto que suele ser usado por algun servicio de windows o linux, con puertos por encima de los 1030 de la regla antes creada y creeis que pueden perjudicar vuestra conexion u ordenador de alguna manera, o simplemente que sois paranoicos? pues creais una regla en WAN to LAN denegando la entrada de esos paquetes hacia cualquier IP, y con el servicio o puerto que querais denegar la entrada en Action con un DROP o REJECT segun os interese, y tan tranquilos.
Personalmente es cuestion de gustos o preferencias, que no os vengan diciendo que sois unos leechers porque no abris puertos, compartis igual o mas que los demas, ya que habitualmente los que tienen puertos abiertos para los P2P les suele entrar mucha "mierda" y al final estos no leechers se convierten en leecheados.
Evidentemente hay gente que sabe configurar sus conexiones de manera correcta y que no les importa abrir esos puertos, pero estos son la minoria, y la mayoria, que sois los que habeis encontrado en este pequeño post de ayuda la solucion a vuestros problemas, os recomiendo que utiliceis los P2P (al menos los torrents) sin abrir puertos en el router y usando el NAT como he indicado. Para el Emule es bastante probable que si quereis tener una buena velocidad de bajada abrais algunos puertos ....quizas por eso no utilizo este
Puede que me haya equivocado en algun dato o detalle, si es asi, comentadlo.
Y esto es todo, mas o menos teneis una idea de como funciona vuestro router y como funciona la conexion a traves del mismo.
Estoy seguro que con las indicaciones que os he dado sobre el NAT alguno encontrara la solucion a sus problemas.
No soy un experto de redes, y no suelo postear en foros, asi que no espereis respuestas directas mias, probad entre vosotros.
Ni siquiera quiero que se me den las gracias por este post si es que os ha valido de algo, a mi lo que me interesa es que esteis mas o menos seguros y que los que solo postean para confundir a la gente se muerdan la lengua o se den cabezazos contra una esquina.
.|... ...|.
