Acceso exterior, DDNS, DMZ y CG-NAT. Curso de redes desde 0 | Cap 7 |

Hola de nuevo NASeros. Ya estamos de
vuelta. Ya me conocéis yo soy @macjosan en twitter y
este es el canal de youtube del blog de NASeros. Hoy vamos con el séptimo vídeo
o el séptimo capítulo del curso de redes y vamos a explicar cómo configurar o qué
es lo que tenemos que tener en cuenta a la hora de realizar una conexión
exterior. Es decir, cuando nos queremos conectar desde fuera de nuestra casa o
desde fuera de nuestra oficina a nuestra oficina o a nuestra casa para acceder a
un ordenador o a un servicio es una pregunta muy recurrente es una pregunta
que suele recibir mucho tanto en los grupos de telegram como en o por correo
por el método que sea y es porque muchos de vosotros no lo tenéis claro no es
nada complicado y vamos a verlo en primer lugar como ya sabéis para
acceder a un equipo nos hace falta generar un paquete y en ese paquete lo
que hacemos es poner la ip de origen la ip de destino y luego el puerto de
origen y el puerto de destino es decir para nosotros conectarnos a un equipo
necesitamos saber el socket de destino el socket de ese equipo por lo cual
necesitaremos saber tanto su ip como su puerto vamos por partes vamos en primer
lugar por el por el puerto perdón por la ip como es lógico estamos hablando de
ipes públicas porque si estamos fuera de nuestra red y nos queremos conectar a
nuestra casa tenemos que saber la ip pública de nuestra casa eso cómo se hace
pues tú dirás muy sencillo yo antes de salir de casa me escribo en un papel o
configuró ya en el móvil o en la aplicación que vaya a utilizar configuró
la ip pública y ya está el problema está en que está ip pública como ya expliqué
va cambiando con el tiempo nuestra operadora nos lo va cambiando excepto
algunos casos que como ya dije hay gente que tiene una ip pública fija sin pagar,
tienen esa suerte, si quieres tener una ip pública fija
no te queda más remedio que pasar por caja y pagar tu operadora tendrá una ip
pública fija.

Pero como no es lo habitual que es lo que tenemos que hacer utilizar
una cosa que se llama DDNS o dynamic DNS o servicio de DNS dinámico en qué
consiste esto de una manera muy rápida es básicamente como un DNS pero para
un uso particular. Cuando nosotros nos queremos conectar a un servidor a un
sitio conocido a una página web como ya expliqué a través de un servicio de ns
tiene un listado donde tiene la equivalencia entre el nombre por ejemplo
www.naseros.com y google.com o amazon y su ip pública te conectas al dns te
devuelve el número de sipe pública y ya está pero nosotros en nuestra casa
tenemos que recurrir a un servicio que es parecido y que es un de dns que es un
servicio que muchos equipos lo traen de serie al comprarlo es un servicio que la
propia marca da por ejemplo lo router de gamas medias
ya lo suele lo suele llevar o también muchas marcas de nada son muchos tipos
de hardware que le haga falta una conexión desde el exterior como cámaras
ip y cosas así tienen este servicio y en qué consiste consiste básicamente en lo
mismo en tener en que esa empresa ese servicio tenga un listado de nuestro
nombre el dominio que nosotros hayamos elegido y nuestra ip pública en cada
momento hay muchos que son gratuitos como ya digo que vienen con la propia
marca del hardware que compras y luego hay otros como no-ip o dyndns que hay
muchos servicios de este estilo no son de pago y otros gratuitos no ip es
gratuito dyndns hasta hace unos años era gratuito y era el más conocido era
el más famoso y cómo funciona imaginad que nosotros nos damos de alta en dean
de ese punto o hereje daría igual de cualquier otro servicio de dns y nos
creamos un dominio que se llame mi casa a punto de en ese punto
cómo funcionaría este sistema nosotros en el router o en cualquier hardware
generalmente se suele hacer en el router porque el router suele tener está
siempre encendido las 24 horas del día lo que hacemos es decirle mira tú tienes
que conectarte a dyndns porque voy a utilizar un servicio de dyndns y tu dominio
tu nombre va a ser micasa.dyndns.org ¿que es lo que hace en este caso el router? El NAS o el equipo que fuera.

¿Qué es lo que hace? Se conecta cada cierto tiempo, ese tiempo se puede configurar cinco
minutos una hora media hora da igual el tiempo que sea imagínate lo configuramos
cada media hora lo que hace es cada media hora se conecta al servidor de dns
punto hereje y le dice la ip pública o mi ip pública de yo que soy un router mi
ip pública de micasa.dyndns.org es ésta: 212.15….la que
sea.

Y eso se lo anota dyndns.org Al cabo de media hora
vuelve a conectarse y le dice oye la ip pública no
y así sucesivamente hasta que una de las veces cuando cambia la ip pública le
dice oye que mi ip pública y ha cambiado que ahora micasa.dyndns.org es ésta otra, y ya está , tan sencillo como eso. Luego nosotros cuando
estamos fuera de casa cuando queremos conectarnos en la aplicación que vayamos
a utilizar para el servicio que habíamos de utilizar que es lo que hacemos en vez
de ponerle la ip pública lo que hacemos es ponerle el nombre del servicio donde
nos ponga ip o ip de destino le ponemos micasa.dyndns.org , es decir , le estamos indicando a la aplicación tienes
que ir a dyndns.org y preguntar qué es lo que hace el teléfono
o el equipo que sea se conecta dyndns.org le dice, oye,
micasa.dyndns.org que ip tiene.

Y le dice, la
ip es ésta, y lo que hace es ya genera el paquete poniendo esa ip pública tan
sencillo como eso como veis tiene muchísima analogía
un dns clásico el tema esconde en ese sí que tenemos que tener un dominio tenemos
que pagar tenemos que hacer un montón de cosas y esto es para un uso como más
particular por decirlo de alguna manera el único inconveniente que podemos tener
es que justo nosotros nos queramos conectar en el tiempo que ha cambiado la
ip y que en ese momento no haya refrescado con el servidor me voy a
explicar imaginad que nosotros lo hemos configurado que se conecte cada media
hora cada media hora le diga cuál es la ip y justo se conecta al índice leite y
a los cinco minutos cambia la ip que ocurre que hasta dentro de 25 minutos
nuestro router no se va a volver a conectar con dyndns.org en el
caso de que hayamos elegido ese servidor entonces nosotros desde nuestro móvil
nos queremos conectar a casa o desde otro ordenador y lo que nos va a ocurrir
es que nos va a dar la ip antigua y no nos podremos conectar
por eso pues bueno se suele poner un tiempo de 5 o 10 minutos
tampoco la ip pública cambia cada mucho tiempo tampoco es un cambio que se haga
cada diez minutos ni cada media hora pueden transcurrir horas o días hasta
que cambia la ip pública pero te puede ocurrir ese caso lo que te ocurriría
sería que hasta que no transcurriera el tiempo de actualización y refrescará la
la ip no podías acceder pero bueno es un caso que es raro y pero bueno que sepas
que te puede ocurrir en ese caso ya tenemos resuelto lo que es el tema de la
ip ya sabemos cómo localizar nuestro ordenador fuera de nuestra red ya
sabemos cómo localizar la ip pública que nos queda en un socket el puerto que
tenemos que hacer saber el puerto cuando nosotros tenemos por ejemplo en nuestra
casa un servidor con un puerto bien conocido es muy sencillo nosotros
tenemos en nuestra casa un servidor y por ejemplo un servidor web porque
tenemos en nuestra casa una web alojada en un servidor o en un ordenador donde
sea tenemos allí una página web a través de este servicio de dns podríamos
acceder a ese servidor y luego como ya sabemos que es una web iría través del
puerto 80 que nos queremos conectar a través de ftp del 21
qué problema tenemos que tenemos que indicarle al router que el servidor en
este caso un ftp está en un ordenador en concreto como se indica con lo que
vosotros comúnmente conocéis como abrir un puerto que es abrir un puerto es
decirle al router oye cuando te llegue un paquete que vaya buscando el servidor
ftp que se pase el servidor ftp está en el 21 y que está en la ip privada para
que haga el famoso nada que se explique en hace dos o tres vídeos está en el 192.168.1.25 donde esté el servidor.

De esa manera cuando le llegue un paquete
al router que le diga quiero acceder a un servidor ftp y le diga está en el
puerto de 21 nosotros le diremos el puerto 21 está en este ordenador en
concreto en este servidor en concreto que llega un paquete para plex le
tenemos que decir mira place está en el puerto 32.400 y está en este
ordenador que tiene esta ip privada eso es abrir un puerto como ya expliqué en
el vídeo anterior esa es el motivo por el que no podemos tener dos ordenadores
con el mismo puerto abierto no podemos tener dos ordenadores que tengan dos
servidores ftp los dos en el puerto 21 uno tendrá que estar en el 21 y otro en
otro no podemos tener dos servidores de correo o dos servidores web o dos lo que
sea dentro del mismo con el mismo puerto porque no puede haber dos ips privadas
que tengan el mismo puerto porque aunque sean dos privadas a la hora de salir
hacia afuera van a tener iphes públicas que es la misma van a compartir la ip
pública ese es el motivo si nosotros tenemos los dos equipos dentro de
nuestra propia red local sí que pueden compartir el mismo puerto aunque tengan
los dos servidores el puerto 21 da igual porque cuando estamos hablando de una
conexión dentro de una lan la conexión ya se hace de otra manera ya tiene que
ver más con lo que se llaman las mac address en algunas direcciones de la
tarjeta de red también hay tiene mucho que ver la ip
porque la ip privada de cada ordenador sí que va a ser distinto porque no
pueden tener la misma ip privada los dos ordenadores pero cuando queremos acceder
desde el exterior sí que tienen que tener puertos distintos eso es lo que
quiero que tengáis muy claro entonces qué es lo que tenemos que hacer cuando
nosotros nos queremos conectar desde fuera de nuestra red a nuestra red para
acceder a lo que sea a un servidor vpn ahora que está muy de moda las famosas
conexiones vpn es para poder trabajar desde fuera de la oficina y podernos
conectar cuando el servidor lo tenemos instalado dentro de nuestra oficina o
dentro de nuestra casa que lo que tenemos que hacer configurar un servicio
de dns y abrir el puerto en el router eso es lo que hay que hacer es lo único
que hay que hacer sin repetir puertos y ya está tan sencillo como eso
otra cosa que se me plantea muchas veces el famoso de DMZ.

¿ Qué es un DMZ?
meseta quiere decir zona desmilitarizada un de DMZ es decirle al router , mira,
cuando te llegue un paquete y no sepas para quién es
sea lo que sea en diesel o siempre a esta ip eso es activar un de DMZ,
de DMZ se activa contra, se dice contra contra una ip privada contra un
equipo en concreto no puedes tener un de DMZ hacia dos equipos. Tiene que ser
un de meseta hacia un equipo que conseguimos con eso muy sencillo no
tenemos que abrir ningún puerto que le llega a una petición a Plex si el
router no sabe para dónde va dice a mí me han dicho que esto sólo envié siempre
por ejemplo a la 192 168.1.15 que ayer donde está el servidor donde está
el nas y yo se lo envió a allí que llega un ftp me envió allí que llega una
petición para una web lo envió allí todo lo envió allí por lo cual siempre va a
funcionar cuando tenemos problemas de acceso desde el exterior una manera es
activar el DMZ a ver que no tenemos ningún problema
para ver que todos los paquetes llegan desde el exterior al equipo que queremos
que llegue porque el dmc está todo lo va a enviar allí entonces dirás genial
fácil yo cuando tenga un equipo al que quiera que le envíen todo le envío todo
por DMZ y ya está el problema es que tiene un DMZ activado es tener las
puertas abiertas de par en par es decir cada vez que le llegue algo al router
todo lo va a enviar a ese equipo y eso es muy muy inseguro porque muy sencillo
en internet existen infinidad de bots de máquinas que lo que hacen es escanear
todas las ips públicas que existen en el mundo porque aunque os parezca que hay
muchas no hay tantas y en cuestión de un día son capaces de escanear todas las
ips claro hay muchas ips y muchos puertos pero qué es lo que hacen
escanean los puertos más importantes los puertos bien conocidos ahora que ya
sabéis que es un puerto bien conocido que es lo que hacen escanean todas ips
por ejemplo para el ssh o escanean todas las ips para el ftp que es el 21
escanean todas las ips para una web o para un servicio crítico si tú tienes el
DMZ está activado lo que va a ocurrir es que el router le va a dejar pasar es
decir aunque sea alguien que no conocemos de nada que no lleva intención
de conectarse al equipo va a intentar tomar el control de ese equipo y al
router le va a llegar una petición le va a llegar un paquete y él dirá bueno como
a mí me han dicho que todo lo que me llegue lo envío a este equipo se lo
envío eso es muy habitual en los tutoriales de los videojuegos del gaming
para gente que tiene problemas con un ordenador que tiene problemas con una
playstation un xbox que tiene que andar abriendo puertos lo más normal es que si
veis un tutorial sobre todo enfocado a chavales jóvenes adolescentes le digan o
no tú ves al router busca una cosa que se llama DMZ y pones ahí la ip de tu
playstation, de tu ordenador y ya está.

Funcionar funciona así porque todos los
puertos están abiertos y todo el tráfico sólo va a enviar ese equipo pero le va
a enviar todo el tráfico lícito y todo el tráfico ilícito
cuando al router le llega una petición por ejemplo para el puerto ssh si
nosotros no tenemos el puerto de la ssh abierto para un equipo lo que va a
ocurrir es que no le va a dejar pasar eso es un firewall el famoso cortafuegos
el firewall le llega una petición y dice yo quiero ir al puerto 80 o quiero ir al
puerto a 21 al puerto que sea al 22 pero el router si no le han dicho
previamente a dónde está esa ip privada donde qué equipo tiene esa ip lo que va
a decir es tú no pasas no te dejo pasar porque tú no sabes a dónde vas
podemos entender esto con la analogía core decía siempre de una casa imaginad
que el router es el portero de una finca que ocurre que en una finca al portero
le dicen mira en la casa número 10 vive la familia ftp en la casa número 8 vive
bueno en este caso sería en la casa número 21 vive la familia ftp en la casa
32.400 vive la familia plex, en la casa 80 vive la familia servidor web, entonces
cuando llega alguien al router y le quiere pasar a la urbanización le dice
el portero usted a dónde va y le dice yo voy al ftp yo voy a la casa 21 que se
llama ftp y le deja pasar porque sabe a dónde va a otra persona le dice usted a
dónde va yo voy a la casa servidor web que está en que me han dicho que es la
casa 80 y como sabe la dirección le deja pasar qué ocurre si nosotros activamos
el de mz lo que estamos diciéndoles mira cuando te llegue cualquier persona
envíalo a una casa en concreto a una casa de la urbanización porque a lo
mejor en esa casa pues estamos dando una fiesta y queremos que todo el mundo que
llega pueda acceder que ocurre que habrá gente que sí que estará invitada habrá
gente que sí qué la fiesta y el portero le dejara pasar
pero lo mejor habrá gente que serán delincuentes que verán la puerta abierta
y entrarán y el portero como le han dicho que todo el que quiera entrar que
le deje entrar y además que le indique que tiene que ir a la casa donde es la
fiesta pues va a ir esos maleantes por decirlo de alguna manera y van a acceder
a la casa tranquilamente hace tener una la casa y ahora lo que quieran hacer en
esa casa porque están sin control es un ejemplo muy tonto pero es una manera
para que entendáis el peligro de tener un de meseta activado entonces mi
consejo es que los de macetas no los activen nunca
más adelante haré unos vídeos donde sí que activaremos un DMZ donde sí que
haremos un DMZ de un router hacia otro router pero es porque en ese caso
el DMZ deja pasar todo el tráfico lo envía a otro router pero ese otro
router es el que realmente va a poner los filtros y va a poner el cortafuegos
y va a decir quién pasa y quién no pasa en este caso sería como si tuviéramos
dos porteros un primer portero deja pasar a todo el mundo pero luego ya hay
un segundo portero que si no sabes a qué dirección vas no te deja pasar es un
caso muy especial de un DMZ pero lo normal para uso doméstico para la
gente o el perfil de gente que estáis viendo este vídeo que no tenéis ese tipo
de configuraciones de proxy de otras cosas que se suelen utilizar con los
DMZ lo habitual es que no lo tengáis activado porque es inseguro.

Vais a ver
que todo os va a funcionar cuando activas esta zona desmilitarizada vais a ver que
cuando activista el DMZ os va a funcionar muy bien a playstation o el
ordenador porque todo lo que queréis que os llegaron va a llegar al ordenador
pero que sepáis que os va a llegar lo bueno
entonces bueno es una cosa que tienes que tener en cuenta y básicamente un de
DMZ es eso es todo el tráfico que llega al router todo ese tráfico que
llega una red que lo envía a un equipo en concreto independientemente del
tráfico que sea independientemente del origen e independientemente de lo que
sea todo va a parar ahí y luego ya ese equipo ya se arreglará con el tráfico
que le llega entonces bueno eso lo que tienes que tener en cuenta.

Y luego otro
problema que podemos encontrarnos en cuanto al acceso exterior es el famoso
CG-NAT. CG-NAT es Carrier -Grade NAT Esa es la abreviatura bueno la abreviatura
eso es el la descripción de un CG-NAT y qué quiere decir esto esto quiere decir
que el router como ya os acabo de explicar cuando queremos acceder a un
equipo tenemos que ir al router y abrir un puerto indicarle qué equipo y qué
aplicación en concreto va a tener ese servicio para cuando le llegó un paquete
el problema que tenemos en un cesena es que el router por decirlo de alguna
manera no lo tenemos nosotros tienen nuestra operadora tú dirás bueno
pero yo sí que tengo un router yo tengo un CG-NAT y sí que tengo un router en mi
mi casa la operadora ha venido y me ha puesto un router si te ha puesto un
router pero no te deja la opción de abrir puertos porque los puertos lo que
hace es abrirlos el router general que está como si dijéramos en la centralita
de la operadora por qué ocurre esto pues muy sencillo el cg-nat como ya os he
explicado es porque nosotros tenemos bastantes más equipos en el mundo que ip
es públicas las ips públicas se han agotado es una manera de con una ip
pública tener muchos abonados sería la analogía para decir que nosotros en un
router tenemos un router y muchos equipos conectados que son las ips
privadas sería que en este caso la sip es privada sin vosotros sería vuestra
red sería vuestra casa tendríamos un router que sería el de la operadora y
cada una de las ips privadas sería un abonado entonces cuando le llega
un paquete al router lo envía a uno de esos abonados a una de esos routers que
tienes cada uno en vuestra casa pero qué ocurre que para que de verdad os llegue
el paquete al servicio que vosotros queréis tenéis que abrir un puerto en el
router tendríais que ir al router de vuestra operadora para decirle oye si te
llega un paquete para el ftp para el 21 que sepas que es para este equipo en
concreto pero no se lo puedes indicar porque no tenéis acceso
es el router de la operadora es un problema porque cuando vosotros lo que
hacéis es una navegación sencilla cuando hacéis un uso normal de internet ver
netflix ver HBO leer el correo visitar páginas web es decir un uso que hace el
95% de la gente no tiene ningún problema el problema está cuando vosotros queréis
tener dentro de nuestra red queréis tener un servidor cris tener un equipo
que tenga un socket predeterminado que el socket es la ip pública que es así
que la vais a tener pero lo que no vas a tener es un puerto predeterminado que
podéis abrir en el router no vais a poder generar ese socket por lo cual no
os van a poder localizar desde el exterior además teniendo en cuenta que
en un cesena la ip pública muestra ya no solo para vosotros la ip pública la
vamos a compartir con todos los abonados que están detrás del CG-NAT es decir la
ip pública que tienes tú la van a tener a lo mejor 50 abonados más, 50 clientes
más de esa operadora.

Entonces cuando tenemos un cesena es un problema muy
grave porque nosotros no podemos abrir puertos para una playstation no podemos
abrir puertos para un todo no podemos abrir puertos que es el caso
que me está llegando últimamente para gente que no puede abrir puertos para
tener un servidor en su oficina un servidor para una vpn o no podemos tener
un servidor ftp o cualquier otro servicio hay operadoras que cuando
tienen un CG-NAT a través de… Les llamas y te sacan el senado es decir te dan una
ip pública solo para ti ya no la tienes que compartir con el resto de los
abonados y hay otras operadoras que lo que hacen es cobrarte un suplemento te
cobran un euro y medio no sé exactamente cuánto cobran no sé cuánto es un euro y
medio al mes o dos o tres euros al mes y te sacan del CG-NAT y te dan una ip
pública solo para ti pero por desgracia hay algunas operadoras que no hay manera
tiene un CG-NAT y no te sacan de ahí porque no lo pueden hacer, bueno,
realmente es porque no lo quieren hacer porque seguramente es porque tienen muy
pocas ips públicas disponibles tiene un rango muy corto y no son capaces de dar
y pes públicas distintas a cada abonado eso es el CG-NAT de todos modos lo voy a
dejar aquí un enlace porque ya en su día hice un vídeo y un podcast específico
sobre el CG-NAT lo explique más en profundidad para los que queréis
profundizar más en lo que el CG-NAT tenéis un porqué hay un vídeo exclusivo
sólo de eso es más largo está mejor explicado
pero bueno para que de momento tengamos una idea de que es un CG-NAT y los
problemas que os podéis encontrar para acceder desde el exterior de vuestra red
con esto que os acabo de explicar yo creo que más o menos lo podéis entender.
Esto ha sido todo como ya sabéis si quieres más información podéis ir a
www.naseros.com ahí está todo centralizado los vídeos, los podcast los
dos grupos de telegram.

Recordad que tenía otros grupos de telegram como
siempre digo si os ha gustado el vídeo dale un like compartirlo con gente que
creas que esto le puede interesar y nos vemos en la próxima
un saludo adiós bye bye.