![[facepalm]](/images/smilies/facepalm.gif "facepalm")
), pero que hemos visto que ese puerto debe estar abierto porqué así los del programa, comprueban que tenemos la licencia pagada o en caso de querer consultar externamente, utilitza como un redireccionamiento dns hacia el ordenador (typo DynDNS)...(al instante)![[tomaaa]](/images/smilies/nuevos2/tomaa.gif "toma")
verdezito escribió:Sin ánimo de ofender al creador del hilo pero sí con cierta rabia hacia las prácticas de ciertas empresas de software....ADORO la "moda" (ya viene de un tiempo) de vender los programas a empresas para que luego estas se encuentren con que no saben ni cómo instalarlo en sus equipos, como ha sido el caso.
Qué menos que venderte junto con el programa el servicio de instalación no? Cada vez se trabaja menos, ahora te crean un programa genérico que te venden sin ni siquiera comprobar si va a correr en tus equipos.
PD: soy de sistemas, estas cosas me tocan la fibra sensible jajaja.
. Lo que denominan servicio "llave en mano", que viene a ser un eufemismo de " te cobro de más para asegurarte que te lo dejo andando y funcional", lo cual antes, como dices, venía de serie verdezito escribió:Sin ánimo de ofender al creador del hilo pero sí con cierta rabia hacia las prácticas de ciertas empresas de software....ADORO la "moda" (ya viene de un tiempo) de vender los programas a empresas para que luego estas se encuentren con que no saben ni cómo instalarlo en sus equipos, como ha sido el caso.
Qué menos que venderte junto con el programa el servicio de instalación no? Cada vez se trabaja menos, ahora te crean un programa genérico que te venden sin ni siquiera comprobar si va a correr en tus equipos.
PD: soy de sistemas, estas cosas me tocan la fibra sensible jajaja.
![[oki]](/images/smilies/net_thumbsup.gif "Ok!")
Dracot escribió:verdezito escribió:Sin ánimo de ofender al creador del hilo pero sí con cierta rabia hacia las prácticas de ciertas empresas de software....ADORO la "moda" (ya viene de un tiempo) de vender los programas a empresas para que luego estas se encuentren con que no saben ni cómo instalarlo en sus equipos, como ha sido el caso.
Qué menos que venderte junto con el programa el servicio de instalación no? Cada vez se trabaja menos, ahora te crean un programa genérico que te venden sin ni siquiera comprobar si va a correr en tus equipos.
PD: soy de sistemas, estas cosas me tocan la fibra sensible jajaja.
En mi experiencia, en el sector de grandes empresas, no es que se haya dejado de hacer....es que se cobra aparte
![[carcajad]](/images/smilies/nuevos/risa_ani2.gif "carcajada")
ap3188 escribió:lolololito escribió:... Existe alguna manera de engañar a ese WEBSERVER para que crea que el puerto 443 está abierto? Total, la APP de ANDROID y el PC van por la misma WIFI del router.
Una de las formas más sencillas de acceder remotamente a un dispositivo sin abrir puertos, ni hacer NAT, ni tocar la configuración de routers, y que funciona de maravilla, es con la red virtual Zerotier.
La configuración podría ser la siguiente:
(1) Creamos en la web ZeroTier una red virtual privada 10.10.10.0/24
(2) Instalamos el servicio ZeroTier en todos los dispositivos, los unimos a esta red virtual privada, y les asignamos una IP dentro de esta red desde la web ZeroTier
(3) Si dominamos ZeroTier podemos implementar rutas de acceso fácil, rápido y cómodo al servidor de esta red, establecer DNSs, configurar servicios multicast, broadcast e ipv6; si no sabemos hacer esto, entonces tampoco pasa nada porque también funcionará
(4) Si al WebServer le asignamos la IP privada 10.10.10.1, esta será la forma más simple de acceder al servidor sin conocer su IP pública
Nota.- En la actualidad la instalación del servicio ZeroTier en un máximo de cincuenta dispositivos es gratuita.
lolololito escribió:verdezito escribió:Sin ánimo de ofender al creador del hilo pero sí con cierta rabia hacia las prácticas de ciertas empresas de software....ADORO la "moda" (ya viene de un tiempo) de vender los programas a empresas para que luego estas se encuentren con que no saben ni cómo instalarlo en sus equipos, como ha sido el caso.
Qué menos que venderte junto con el programa el servicio de instalación no? Cada vez se trabaja menos, ahora te crean un programa genérico que te venden sin ni siquiera comprobar si va a correr en tus equipos.
PD: soy de sistemas, estas cosas me tocan la fibra sensible jajaja.
Hola, gracias por tu aporte...no me ofende no........y el concepto no es que no sepa instalar el WEBSERVER (que es fácil), o abrir un puerto (que también es fácil)...sino que no entiendo porqué debo abrir un puerto para utilizar un servidor web para uso local......e intentar averiguar si existe algún método que funcione sin necesidad de hacerlo, o en cuyo caso en un router 4G.Dracot escribió:verdezito escribió:Sin ánimo de ofender al creador del hilo pero sí con cierta rabia hacia las prácticas de ciertas empresas de software....ADORO la "moda" (ya viene de un tiempo) de vender los programas a empresas para que luego estas se encuentren con que no saben ni cómo instalarlo en sus equipos, como ha sido el caso.
Qué menos que venderte junto con el programa el servicio de instalación no? Cada vez se trabaja menos, ahora te crean un programa genérico que te venden sin ni siquiera comprobar si va a correr en tus equipos.
PD: soy de sistemas, estas cosas me tocan la fibra sensible jajaja.
En mi experiencia, en el sector de grandes empresas, no es que se haya dejado de hacer....es que se cobra aparte
Supongo que la competencia hace que se hagan reducciones en precios y servicios (esta peña te cobra 1€ por minuto por llamada telefónica) y que son unos pedazos de bordes que alucinasap3188 escribió:lolololito escribió:... Existe alguna manera de engañar a ese WEBSERVER para que crea que el puerto 443 está abierto? Total, la APP de ANDROID y el PC van por la misma WIFI del router.
Una de las formas más sencillas de acceder remotamente a un dispositivo sin abrir puertos, ni hacer NAT, ni tocar la configuración de routers, y que funciona de maravilla, es con la red virtual Zerotier.
La configuración podría ser la siguiente:
(1) Creamos en la web ZeroTier una red virtual privada 10.10.10.0/24
(2) Instalamos el servicio ZeroTier en todos los dispositivos, los unimos a esta red virtual privada, y les asignamos una IP dentro de esta red desde la web ZeroTier
(3) Si dominamos ZeroTier podemos implementar rutas de acceso fácil, rápido y cómodo al servidor de esta red, establecer DNSs, configurar servicios multicast, broadcast e ipv6; si no sabemos hacer esto, entonces tampoco pasa nada porque también funcionará
(4) Si al WebServer le asignamos la IP privada 10.10.10.1, esta será la forma más simple de acceder al servidor sin conocer su IP pública
Nota.- En la actualidad la instalación del servicio ZeroTier en un máximo de cincuenta dispositivos es gratuita.
Gracias! Hace tiempo que lo tengo en mi lista para probarlo......(actualmente para hacer eso utilizo el HAMACHI que hace lo mismo) o OPENVPN....pero ví esta alternativa y lo puse en mis marcadores para ojear....pero viendo que me lo has "refrescado" lo probaré...)
Supongo que la única opción que me quedará para "proteger" el puerto 443 (sin necesidad de poner un FIREWALL físico/perimetral) , teniendo en cuenta que el FIREWALL de ESET lleva protección IDS, es introducir las ips de todos los paises con subredes, y que solo permita las de España, no?
Dracot escribió:lolololito escribió:verdezito escribió:Sin ánimo de ofender al creador del hilo pero sí con cierta rabia hacia las prácticas de ciertas empresas de software....ADORO la "moda" (ya viene de un tiempo) de vender los programas a empresas para que luego estas se encuentren con que no saben ni cómo instalarlo en sus equipos, como ha sido el caso.
Qué menos que venderte junto con el programa el servicio de instalación no? Cada vez se trabaja menos, ahora te crean un programa genérico que te venden sin ni siquiera comprobar si va a correr en tus equipos.
PD: soy de sistemas, estas cosas me tocan la fibra sensible jajaja.
Hola, gracias por tu aporte...no me ofende no........y el concepto no es que no sepa instalar el WEBSERVER (que es fácil), o abrir un puerto (que también es fácil)...sino que no entiendo porqué debo abrir un puerto para utilizar un servidor web para uso local......e intentar averiguar si existe algún método que funcione sin necesidad de hacerlo, o en cuyo caso en un router 4G.Dracot escribió:En mi experiencia, en el sector de grandes empresas, no es que se haya dejado de hacer....es que se cobra aparte
Supongo que la competencia hace que se hagan reducciones en precios y servicios (esta peña te cobra 1€ por minuto por llamada telefónica) y que son unos pedazos de bordes que alucinasap3188 escribió:
Una de las formas más sencillas de acceder remotamente a un dispositivo sin abrir puertos, ni hacer NAT, ni tocar la configuración de routers, y que funciona de maravilla, es con la red virtual Zerotier.
La configuración podría ser la siguiente:
(1) Creamos en la web ZeroTier una red virtual privada 10.10.10.0/24
(2) Instalamos el servicio ZeroTier en todos los dispositivos, los unimos a esta red virtual privada, y les asignamos una IP dentro de esta red desde la web ZeroTier
(3) Si dominamos ZeroTier podemos implementar rutas de acceso fácil, rápido y cómodo al servidor de esta red, establecer DNSs, configurar servicios multicast, broadcast e ipv6; si no sabemos hacer esto, entonces tampoco pasa nada porque también funcionará
(4) Si al WebServer le asignamos la IP privada 10.10.10.1, esta será la forma más simple de acceder al servidor sin conocer su IP pública
Nota.- En la actualidad la instalación del servicio ZeroTier en un máximo de cincuenta dispositivos es gratuita.
Gracias! Hace tiempo que lo tengo en mi lista para probarlo......(actualmente para hacer eso utilizo el HAMACHI que hace lo mismo) o OPENVPN....pero ví esta alternativa y lo puse en mis marcadores para ojear....pero viendo que me lo has "refrescado" lo probaré...)
Supongo que la única opción que me quedará para "proteger" el puerto 443 (sin necesidad de poner un FIREWALL físico/perimetral) , teniendo en cuenta que el FIREWALL de ESET lleva protección IDS, es introducir las ips de todos los paises con subredes, y que solo permita las de España, no?
La opción de zerotier no cumple los requisitos que establecias post atrás. Ni el proveedor del software va a poder conectar al servidor, ni va a evitar que los móviles tengan que entrar primero a la red privada. Simplemente entrarían a la red zerotier en vez de a la VPN. En resumen, aunque zerotier, o cualquier SDN, tiene ventajas sobre una VPN, a efectos de tu problemática es exactamente lo mismo usar SDN que VPN salvo en la parte de hacer reglas NAT explícitas en el router.
Aparte de que como ya comenté en otro hilo en el que salió el tema, toda comunicación desde el exterior "abre" puertos. Cierto es que una SDN como zerotier no va a abrir los típicos que se atacan, ni los abre de forma explícita porque lo hace mediante NAT punch hole, lo cual es mucho más seguro que la apertura explícita o por UPNP, porque permitirá los paquetes entrantes en base al destino del saliente, así que un ataque tendría que llevar asociada suplantación de IP que ya no es tan sencilla en internet. Sólo lo digo por dejar claro que quien crea que en una red así no hay puertos de internet mapeados a máquinas locales, se engaña.
En cuanto a lo de los rangos de IP de España.......el problema es que esa lista no es estática. Con la escasez de IPv4, los ISP cada 2x3 compran rangos de IP pública de un sitio a otro. Hacer eso conllevaria tener que andar actualizando esa lista. Otra cosa sería tener un firewall que pueda hacer listas de accesos por geografía de la IP consulta do a algún servicio que la geolocalice.
Y lo de las SDN también tienes razón, no me soluciona el tema (aunque me gusta saber que existe ![[jaja]](/images/smilies/nuevos2/otrasonrisa.gif "otra sonrisa")
) Sabes de algún FIREWALL por hardware o software que haga lo de la consulta de listas actualizadas ? el problema es el presupuesto (que nos tienen muy collados ) Quizá PFSENSE lo permita? y si lo instalo virtualizado y configurado en la misma máquina, ahorro en costes (e invierto sólo en tiempo) lolololito escribió:Dracot escribió:lolololito escribió:
Hola, gracias por tu aporte...no me ofende no........y el concepto no es que no sepa instalar el WEBSERVER (que es fácil), o abrir un puerto (que también es fácil)...sino que no entiendo porqué debo abrir un puerto para utilizar un servidor web para uso local......e intentar averiguar si existe algún método que funcione sin necesidad de hacerlo, o en cuyo caso en un router 4G.
Supongo que la competencia hace que se hagan reducciones en precios y servicios (esta peña te cobra 1€ por minuto por llamada telefónica) y que son unos pedazos de bordes que alucinas
Gracias! Hace tiempo que lo tengo en mi lista para probarlo......(actualmente para hacer eso utilizo el HAMACHI que hace lo mismo) o OPENVPN....pero ví esta alternativa y lo puse en mis marcadores para ojear....pero viendo que me lo has "refrescado" lo probaré...)
Supongo que la única opción que me quedará para "proteger" el puerto 443 (sin necesidad de poner un FIREWALL físico/perimetral) , teniendo en cuenta que el FIREWALL de ESET lleva protección IDS, es introducir las ips de todos los paises con subredes, y que solo permita las de España, no?
La opción de zerotier no cumple los requisitos que establecias post atrás. Ni el proveedor del software va a poder conectar al servidor, ni va a evitar que los móviles tengan que entrar primero a la red privada. Simplemente entrarían a la red zerotier en vez de a la VPN. En resumen, aunque zerotier, o cualquier SDN, tiene ventajas sobre una VPN, a efectos de tu problemática es exactamente lo mismo usar SDN que VPN salvo en la parte de hacer reglas NAT explícitas en el router.
Aparte de que como ya comenté en otro hilo en el que salió el tema, toda comunicación desde el exterior "abre" puertos. Cierto es que una SDN como zerotier no va a abrir los típicos que se atacan, ni los abre de forma explícita porque lo hace mediante NAT punch hole, lo cual es mucho más seguro que la apertura explícita o por UPNP, porque permitirá los paquetes entrantes en base al destino del saliente, así que un ataque tendría que llevar asociada suplantación de IP que ya no es tan sencilla en internet. Sólo lo digo por dejar claro que quien crea que en una red así no hay puertos de internet mapeados a máquinas locales, se engaña.
En cuanto a lo de los rangos de IP de España.......el problema es que esa lista no es estática. Con la escasez de IPv4, los ISP cada 2x3 compran rangos de IP pública de un sitio a otro. Hacer eso conllevaria tener que andar actualizando esa lista. Otra cosa sería tener un firewall que pueda hacer listas de accesos por geografía de la IP consulta do a algún servicio que la geolocalice.
Buenos días, tienes razón (y gracias por tu dedicación) ....y lo de las IPs a nivel mundial me lo estuve mirando ayer y lo que tú dices....
El antivirus en la propia máquina ya bloquea todos los intentos (pero me molesta ver que en 24 horas ha habido 11 intentos (y todos del mismo rango IP...192.241.x.x, que según internet pertenece a la operadora americana DIGITALOCEAN LLC), aunque quizá originalmente no sea desde ahí...
alextgd escribió:Dracot escribió:alextgd escribió:Para el nivel 3 LAN no existe el concepto de puerto, eso va en capa de transporte TCP si no recuerdo mal. Saludos
Toda comunicación "útil" entre dos equipos usa el concepto de puerto, la capa 4. Porque todo va sobre TCP o UDP. La única excepción a esto (sin meternos en cosas raras de comunicaciones industriales, o en protocolos muy antiguos, donde habría más excepciones) sería el ICMP (ping y alguna cosilla más) o protocolos puros de capa 2 (como WoL o DHCP).
Lo que no existe en LAN es el concepto de hacer NAT en el router, no pasas por las reglas de NAT que hayas configurado. Pero si desde tu PC accedes en la misma LAN a otro, por supuesto que usas la capa 4 ....y la 5, 6 y 7. Si accedes en LAN desde un PC a un webserver https, estás lanzando un paquete TCP por puerto 443, por muy en LAN que estés
Sí, que me explicao como el culo, quería decir que para acceder a un puerto443 en local no hay que abrir nada, o está escuchando o no. Y si está escuchando, y ademas en uso, puede que permita mas conexiones o puede que no. Saludos
![[beer]](/images/smilies/nuevos2/brindando.gif "brindis")
Dracot escribió:ap3188 escribió:Por aquí leo demasiada teoría que no sirve para solucionar el problema de acceso a un dispositivo conectado en red móvil. Repito, la solución es ZeroTier que además es muy flexible y permite conectar el WebServer a tantas redes virtuales como empresas de gestión y mantenimiento lo necesiten, sin compremeter la seguridad de las demás. Obviamente el administrador de la redes debe ser único. Además ZeroTier dispone de implementaciones para casi cualquier sistema operativo: Android, Windows, MacOS, Linux, ..., yo en particular, soy adicto a los servicios docker zerotier para x86_64 y armv7. Mi opinión sobre ZeroTier es que es la red VPN más fiable que conozco y la uso habitualmente de forma conjunta con WireGuard porque es la más rápida. OpenVPN también la uso pero muy poco debido a su lentitud. ZeroTier me ha salvado muchas veces de perder el control de dispositivos remotos desatendidos que habitualmente configuro con SSH/SFTP y VNC.
Que sí, para tú caso de uso zerotier será la séptima maravilla, pero si te paras a leer los requisitos del OP, no cumple lo que necesita. Que sea una conexión móvil no afecta porque ya le funciona, no pasa por cg-nat, solo quiere añadir securizacion. Pero su jefa no quiere tener que incluir el dispositivo móvil en ninguna red virtual, sdn ni similar. Si ese requisito no existiera, él mismo ha dicho que ya tiene una VPN a la que podrían conectar.
En cuanto a lo que teoricemos aparte, mientras ni el OP ni moderación nos acuse o sancione por off-topic, para eso está el foro, para que nazca el debate y aprendamos unos de otros. Si te molesta o aburre metenos a ignorados. Yo igual me lo planteo para no tener que leer "zerotier" cada vez que alguien pregunta lo que sea sobre redes, que parece que vayas a comisión.
)........ , qué mareo) 