Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Router neutro Asus RT-AC68U con Adamo Internet


Manual de configuración con uno de los router neutros domésticos más potentes del mercado, un Asus RT-AC68U para conexión a internet con proveedor Adamo en modo bridge, pero también sirve para cualquier otro proveedor de internet, sea de ADSL o de Fibra óptica ( FTTH)  (Fiber to the Home).




¿Qué ocurre si queremos aprovechar una conexión rápida de fibra óptica? ¿Jugar online sin restricciones y con perfecta estabilidad? ¿Pasar archivos de varios GiB de un equipo a otro en tiempos razonables? En cualquiera de estos supuestos, el router que regalan los proveedores, suele quedarse corto.

Nuevo Router ONT en 2020

  • Genexis Pure-ED500 GNX (sin ONT integrada) + Zhone zNID GPON 2301 


  • ONT Zhone zNID GPON 2301




El funcionamiento es idéntico, el puerto 4 (LAN 4) es el bridged

GPON (Gigabit-capable Passive Optical Network)


Adamo proporciona dos modelos de routers ONT (Optical Network Terminal) de fibra óptica:
  • ZHone ZNID GPON 2516

  • Router ONT Zhone 2426 (concretamente ZNID-GPON-2426A-EU)


Manuales Oficiales Routers Adamo


Los dos son buenos routers, más que suficientes para un uso doméstico, con dos antenas de Wifi N, 4 puertos gigabit y un firmware cada vez más completo y completamente funcional.

El modelo Zhone GPON 2516 es más potente que el 2426, pero su firmware no permite ponerlo en modo bridge.

Ambos soportan hasta 2,5 Gbps de bajada y 1,25 Gbps de subida.

Simplemente hay que  conectar el cable de red en el puerto 4 para unirlo a la entrada WAN del router neutro para que el router  de Adamo quede configurado en modo bridge en este caso el Asus RT-AC68U, pero podría ser cualquier otro router neutro. A partir de ahora el router de Adamo, ONO o el que sea, es un simple "puente", no gestiona el Wifi, ni nada, es un módem, por dónde pasan los datos y nada más, no gestiona nada.

El Wifi y la red local son ahora asunto del router neutro. Los ordenadores que queramos conectar se conectan directamente a una de las cuatro entradas del router neutro (LAN) y no al router en modo bridge. A partir de ahora el router ONT de Adamo tampoco funcionará el Wifi y de repartir la señal de Wifi se encarga el router neutro.

La configuración también es válida para otro proveedor de internet, sea Movistar, ONO, etc.

Datos VLAN Adamo

Cómo configurar un router neutro y las VLAN para las diferentes operadoras de fibra (FTTH). Sin estas VLAN nuestro router neutro no tendrá conectividad a internet o dejarán de funcionarnos servicios como la televisión (IPTV) o el teléfono (VoIP).

VLAN quiere decir Virtual LAN es una manera de crear redes independientes dentro de una misma red. Ahora no vamos a explicarte exactamente qué consisten las VLAN pero sí debes saber que los proveedores de Internet (ISP) separan los datos de navegación de los de la telefonía y de la televisión con estas redes virtuales. Por eso si no las configuramos bien no podremos tener acceso a estos servicios.

Cada operadora o proveedor de Internet como Jazztel, Orange, Movistar o Vodafone utiliza unas VLAN distintas, por lo que deberemos conocerlas para poder configurarlas.

Para configurar una VLAN deberemos saber su identificador y su prioridad. El identificador se conoce como VID y estos son los identificadores con su correspondiente prioridad de las principales operadoras.


VLANS ONT ADAMO:

  • 603, Prioridad 1, VLAN PRINCIPAL, da la IP por DHCP.
  • 604, Prioridad 1, VLAN SECUNDARIA, usada en el puerto 4, en modo bridge, también la da por DHCP.
  • 605, Prioridad 1, VLAN (Contrato con IP Fija en modo bridged) Configuración manual con los datos proporcionados al contratarlo, la 604 deja de funcionar en este modo.
  • xxx, VLAN, Prioridad x (IP Fija en modo routed) aun desconocida.
  • 630, Prioridad 7, VLAN Telefonía SIP de Adamo. Da la IP por DHCP. Pool de Ip´s privadas en rango 172.16.0.0

Otros rotuers neutros  a tener en cuenta:

  • Netgear Nighthawk R7000
  • D-Link DIR-868L AC1750
  • TP-LINK Archer C9 AC1900
  • Buffalo WZR-1750DHP

En el RT-AC68U de ASUS todo es sobresaliente y especialmente su hardware. Cuenta con un procesador de doble núcleo (ARM) que consigue dar vida a un router donde todo es potencia y velocidad. Se acompaña de 128MB de memoria Flash, para una ROM muy elaborada, y de 256MB de RAM para una multitarea de calidad. Tiene el hardware de un NAS moderno de altas prestaciones.

Características Técnicas:
  • Wireless: Dos BCM4360 (uno para cada banda).
  • CPU: Broadcom BCM4708A 800MHz ARM® Cortex™-A9 dual-core
  • RAM: 256MB
  • FLASH: 128MB
  • Switch: Broadcom BCM4708A Gigabit Ethernet


Es compatible con dd-wrt lo que permite que lo uses con la fibra óptica de Movistar sin tener que mantener su router.  Y también soporta TomatoUSB (Tomato Shibby) o Asuswrt-merlin (basado en Tomato)

Características Asus RT-AC68U  

Con una velocidad Dual-Band combinada de hasta 1900 Mbps, el ASUS RT-AC68U es el router Wi-Fi más rápido. La banda de 5 GHz 802.11ac trabaja a 1300 Mbps, mientras que la tecnología Broadcom® TurboQAM™ acelera la banda de 2,4 GHz hasta los 600 Mbps para dispositivos compatibles.

El procesador dual-core de este dispositivo elimina los bajones de rendimiento asociados a las redes saturadas, ofreciendo una reproducción de vídeo HD, juegos en línea y unas descargas con un rendimiento fluido y una latencia mínima aunque abuses de la red de tu hogar.







El RT-AC68U también incorpora dos puertos USB para conectar impresoras y módems 3G, y un puerto USB 3.0 con una velocidad de transmisión 10 veces superior al estándar USB 2.0.
ASUS AiCloud transforma tu red doméstica en una nube personal para reproducir contenidos en streaming y compartirlos con dispositivos como tu teléfono, PC y tableta. La sincronización de router a router facilita la posibilidad de sincronizar archivos muy pesados con otros routers compatibles desde un dispositivo de almacenamiento USB.

La interfaz ASUSWRT permite configurar, monitorizar y controlar tus aplicaciones en red en un mismo lugar. Esta interfaz también te permite configurar todos los dispositivos y clientes conectados, así como acceder a las actualizaciones mediante un clic. Además, podrás configurar tu router ASUS en tres simples pasos.


300 000 sesiones de datos para un excelente potencial multitarea

El soporte para hasta 300 000 sesiones de datos permite que este dispositivo garantice una capacidad 20 veces superior a otros routers domésticos.

Servidor VPN

Configura un servidor VPN para navegar y acceder a datos sin que importe donde estés. El cifrado MPPE asegura unas transmisiones de datos seguras y confidenciales.


Lo último en velocidad y versatilidad USB

USB 3.0 permite transmitir archivos hasta diez veces más rápido que USB 2.0. Los dos puertos USB facilitan un modo muy simple de compartir archivos multimedia y la conectividad 3G/4G, mientras que ASUS AiDisk permite el acceso remoto y la reproducción en streaming de los contenidos. Además, a diferencia de otros routers, ASUS ha separado los puertos USB para garantizar un acceso más holgado y cómodo a los puertos.

Especificaciones:
  • Estándar de red IEEE 802.11a, IEEE 802.11b, IEEE 802.11g, IEEE 802.11n, IEEE 802.11ac, IPv4, IPv6
  • Segmento de producto AC1900 Rendimiento AC definitivo: 600+1300Mbps
  • velocidad de transferencia
    • 802.11a : 6,9,12,18,24,36,48,54Mbps
    • 802.11b : 1, 2, 5.5, 11Mbps
    • 802.11g : 6,9,12,18,24,36,48,54Mbps
    • 802.11n: hasta 600Mbps
    • 802.11ac: up to 1300Mbps
  • Antena Externa antena x 3
  • Frecuencia de funcionamiento 2.4 GHz / 5 GHz
  • Cifrado 64-bit WEP, 128-bit WEP, WPA2-PSK, WPA-PSK, WPA-Enterprise , WPA2-Enterprise , WPS compatible
  • Firewall y control de acceso
    • Cortafuegos: SPI intrusion detection, protección DoS
    • Control de acceso: control parental, filtrado de servicios de red, filtrado de URL, filtrado de puertos
  • Gestión UPnP, IGMP v1/v2/v3, DNS Proxy, DHCP, NTP Client, DDNS, Port Triger, Universal Repeater, System Event Log
  • Soporte VPN
    • PSec Pass-Throuth
    • PPTP Pass-Through
    • L2TP Pass-Through
    • PPTP server
  • Tipo de conexión WAN
    • Tipo de conexión a internet: IP automática, IP estática, PPPoE (compatible MPPE), PPTP, L2TP
    • Compatible con WAN Bridge
    • Compatible con Multicast Proxy
    • Multicast Rate Setting support
  • Utilidades
    • Download master
    • - compatible co BT, NZB, HTTP, ED2K
    • - compatible con cifrado, DHT, PEX y magnet link
    • - control del ancho de banda de las subidas y descargas
    • - descargas programadas
    • Media server:
    • - Imagen: JPEG
    • - Audio: mp3, wma, wav, pcm, mp4, lpcm, ogg
    • - Video: asf, avi, divx, mpeg, mpg, ts, vob, wmv, mkv, mov
    • QoS:
    • - WMM
    • - Reglas personalizadas por el usuario para IP/MAC/puertos. Gestión del ancho de banda de subidas y descargas.
    • - ACK/SYN/FIN/RST/ICMP con máxima prioridad.
    • Red de invitados
    • - 3x Red de invitados a 2.4GHz, 3x Red de invitados a 5GHz.
    • Servidor de impresión: compatible con imprsoras multifunción (solo Windows), compatible con protocolo LPR
    • Servidor de archivos: servidor Samba y FTP con gestión de cuentas
    • Servidor PPTP VPN
    • Mapa de red
    • Monitor de tráfico
  • Puertos
    • 4 x RJ45 para 10/100/1000/Gigabits BaseT para LAN, 1 x RJ45 para 10/100/1000/Gigabits BaseT para WAN
    • USB 2.0 x 1
    • USB 3.0 x 1
  • Botón Botón WPS, Botón reset, Botón de encendido, Botón inalámbrica on/off
  • LED Indicador
    • PWR x 1
    • AIR x 2
    • LAN x 4
    • WAN x 1
    • USB x 2
  • Fuente de alimentación
    • Entrada AC: 110V~240V(50~60Hz)
    • Salida DC: 19 V con máx. 1.75 A





Configuración Asus RT-AC68U 



El router neutro Asus RT-AC68U es uno de los routers wifi domésticos más rápidos que existen, por, no decir que es el más rápido que existe, pero tiene otras características.


Incluye una interfaz gráfica (GUI) para acceder vía el navegador llamada "ASUS Wireless Router" Asuswr que permite configurar todos los parámetros del router.

Otra de las opciones interesantes es que tiene un botón para apagar las luces (led) del dispositivo.

Permite entre otras opciones:

  • Wifi 2.4GHz o 5GHz (WPS, WPA/WPA2 Personal/WPA Auto-Personal y WPA/WPA2 Enterprise/WPA Auto-Enterprise, Radius,
  • Modo router neutro, modo repetidor (bridge) AP, WDS (Wireless Distribution System)
  • Crear una red para invitados (guest network)
  • QoS (Quality of Service)
  • Conectar dispositivos USB (Discos duros multimedia, impresoras, etc)
  • Monitorizar Tráfico
  • Control Parental (URL Fitler, Keyword filter, Network Service filter)
  • AiDisk y AiCloud
  • IPTV (IPTV, VoIP, multicasting, and UDP)
  • Media Server
  • Samba y FTP Server
  • Conectar 3G/4G módem USB
  • DDNS (Dynamic DNS)
  • 4 puertos LAN gigabit y 1 puerto WAN (gigabit)
  • Soporta NAT, UPnP
  • VPN (Virtual Private Network) (PPTP Passthrough, L2TP Passthrough, IPsec Passthrough and RTSP Passthrough)
  • IPv6
  • Firewall (Enable DoS protection (Denial of Service)
  • Servidor de impresión
  • Dual WAN (Modos FailOver y Load Balance (Balanceo de carga) con ratio ajustable 1:1, 2:1, 3:1, etc)

Dual Wan

Existen dos tipos (modos) de Dual WAN

  • Modo FailOver
  • Modo Load Balance (Load Balancing)
Es importante tener en cuenta que Multiwan no funcionará si las conexiones WAN están en la misma subred y comparten la misma puerta de enlace predeterminada (gateway)

Los dos modos necesitan ser configuradorados correctamente para funcionar:

  • Primary WAN (conectado al puerto WAN) aka ISP1
  • Secondary WAN  (por ejemplo una línea ADSL conectada a uno de los 4 puerto LAN  o conectar módem 3G/4G a un puerto USB) aka ISP2
El modo Fail-Over (Fail-Backup)  proporciona un respaldo de conectividad a Internet. Si la conexión a Internet primaria falla, la segunda conexión toma el control de la red de forma automática.Utiliza Watchdog para monitorizar con un ping la interfaz WAN por si cae (configurable target, interval, delay y fail count)

Para que funcione el modo Load Balance (Balanceo de Carga) es necesario añadir reglas de ruteo (routing rules). Por ejemplo crear dos subredes:

192.168.10.0 --> Primary WAN (ISP1)
192.168.20.0 --> Secondary WAN (ISP2)

Abrir puertos con el rotuer neutro

Hay tres opciones disponibles para abrir puertos con el router neutro:
  • Port trigger (para abrir un puerto de forma esporadica, por ejemplo para jugar a un juego)
  • Port forwarding (para abrir un puerto o rango de puertos de forma permanente)
  • DMZ (para que todos los puertos vayan a una ip local en concreto)

 

QoS (Administrar el ancho de banda, Calidad de Servicio)

Permite dar prioridad en función de:
  • Puerto (port) (o rango de puertos)
  • IP (o rango de ip's)
  • MAC
  • Asignar un mínimo ancho de banda (Minimum Reserved Bandwidth)
  • Asignar un límite de ancho de banda (Maximum Bandwidth Limit)

Hay dos tipos QoS para que los usuarios puedan elegir:

Tipo adaptativo y tipo tradicional. El usuario tiene que pedir a su ISP para saber la subida y bajada del ancho de banda de router o un enlace a un sitio web rapido para comprobar el ancho de banda y, a continuacion complete el valor del campo antes de usar  smart QoS.

1. Tipo adaptativo:

En tipo adaptativo ,el router permite al usuario ajustar las aplicaciones en categoria de prioridad. La prioridad es mostrada por defecto y el usuario puede cambiar la prioridad en funcion del escenario de red  con arrastrar y soltar.

2.  Tipo tradicional:

Tipo tradicional adopta la regla de QoS predeterminada para conjunto de juegos en línea y navegar por la red como la más alta prioridad y no se ven influidos por las aplicaciones P2P (aplicaciones peer-to-peer como BitTorrent). Si usted no tiene requisitos avanzadas de QoS, no hay necesidad de cambiar cualquier configuración.

Hardware Acceleration > NAT Acceleration

Yendo un poco más profundo en la implementación de NAT, el router cuenta con dos niveles de HW Acceletarion (aceleración por hardware). Estos pueden ser manejados dentro de la ASUS firmware WRT. Están bajo la opción de LAN->Switch Control

Aceleración NAT y se refieren como dos niveles:  nivel 1 CTF o nivel 2 CTF  Entonces, ¿qué significan estas opciones o lo que hacen?


  • CTF (Cut Through Forwarding) es una técnica de optimización de software para acelerar NAT.
  • FA (Flow Accelerator) es un mecanismo de aceleración de hardware para acelerar NAT por cable DHCP  y conexiones, direcciones IP estáticas.
  • Nivel 1 CTF = CTF
  • Nivel 2 CTF = FA + CTF

Detalles de implementación condicionales para la aceleración de NAT se indican a continuación.
  • Habilitación de adaptación QoS desactivará FA.
  • Habilitación de QoS tradicionales desactivará tanto FA + CTF.


  • No HW o NAT Acceleration = Traditional QoS
  • Level 1 (CTF) = Adaptive QoS Only
  • Level 2 (CTF + FA) = No QoS Allowed


Otra de las mejoras del firmware 2015 es que permite la utilización de una nueva aplicación de QoS avanzadas para ser usado en conjunción con CTF. Históricamente este no ha sido el caso, ya que los usuarios tenían que elegir  entre la calidad de servicio o la aceleración NAT. Ahora los usuarios pueden beneficiarse de ambas cosas a la vez.

 Activar Jumbo Frames

Enable Jumbo frame (Switch control) --> MTU

Standard MTU 1500

Jumbo frames sólo están disponibles en las redes gigabit.
 
En una red el tamaño de esos paquetes se llama “frame” y su tamaño lo determina el MTU ( Maximum Transmission Unit o Unidad Máxima de Transmisión). Teóricamente cuanto mayor sea el tamaño de los frames mayor será la velocidad de transmisión, pero hay que tener en cuanta diversos factores que pueden hacer que la teoría y la práctica no converjan en el mismo punto.
 

 
 
El tamaño estándar de MTU es de 1500 bytes y cuando sobrepasamos este tamaño se denomina “Jumbo Frame”. Tenemos diferentes tamaños de Jumo Frame que pueden llegar hasta los 12.000 bytes, pero lo más habitual es llegar hasta un máximo de 9000 bytes por paquete o frame. 

Si tenemos un entorno en el que se envían muchos paquetes grandes y durante largos periodos de tiempo, es conveniente usar Jumbo Frame.  Ejemplos para esto serían copias de seguridad de bases de datos, edición de vídeo o de fotografía, …
 
Es muy importante tener en cuenta que antes de configurar una red para trabajar con Jumbo Frames todos los elementos implicados (ordenadores, swtiches, routers, NAS, etc) deben ser configurados con el mismo tamaño de frame  o la red podría volverse inestable.  Nos referimos sólo a elementos de una red Gigabit, esto no afectaría a la red wireless.

Y configurar la tarjeta de red para soportar jumbo frame de 9KB de MTU:


Habilitar Firewall

 Tenemos la opción de activar el firewall en el Router vía el navegador:

  • Habilitar Firewall 
  • Habilitar protección DoS
Estas dos opciones lo único que hace es añadir entradas al iptables:

Con el Firewall deshabilitado:
admin@RT-AC68U:/tmp/home/root# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTA                      BLISHED
logdrop    all  --  anywhere             anywhere
logdrop    all  --  anywhere             anywhere             state INVALID
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere             ctstate DNAT

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain FUPNP (0 references)
target     prot opt source               destination
ACCEPT     udp  --  anywhere             192.168.0.219        udp dpt:38206
ACCEPT     tcp  --  anywhere             192.168.0.219        tcp dpt:38206

Chain PControls (0 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere

Chain logaccept (0 references)
target     prot opt source               destination
LOG        all  --  anywhere             anywhere             state NEW LOG leve                      l warning tcp-sequence tcp-options ip-options prefix "ACCEPT "
ACCEPT     all  --  anywhere             anywhere

Chain logdrop (2 references)
target     prot opt source               destination
LOG        all  --  anywhere             anywhere             state NEW LOG leve                      l warning tcp-sequence tcp-options ip-options prefix "DROP "
DROP       all  --  anywhere             anywhere
admin@RT-AC68U:/tmp/home/root# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
logdrop    all  --  anywhere             anywhere
logdrop    all  --  anywhere             anywhere             state INVALID
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere             ctstate DNAT

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain FUPNP (0 references)
target     prot opt source               destination
ACCEPT     udp  --  anywhere             192.168.0.219        udp dpt:38206
ACCEPT     tcp  --  anywhere             192.168.0.219        tcp dpt:38206

Chain PControls (0 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere

Chain logaccept (0 references)
target     prot opt source               destination
LOG        all  --  anywhere             anywhere             state NEW LOG level warning tcp-sequence tcp-options ip-options prefix "ACCEPT "
ACCEPT     all  --  anywhere             anywhere

Chain logdrop (2 references)
target     prot opt source               destination
LOG        all  --  anywhere             anywhere             state NEW LOG level warning tcp-sequence tcp-options ip-options prefix "DROP "
DROP       all  --  anywhere             anywhere


Con el Firewall (Cortafuegos) Habilitado (añade reglas)

admin@RT-AC68U:/tmp/home/root# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
logdrop    all  --  anywhere             anywhere             state INVALID
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere             state NEW
ACCEPT     all  --  anywhere             anywhere             state NEW
ACCEPT     udp  --  anywhere             anywhere             udp spt:bootps dpt:bootpc
ACCEPT     icmp --  anywhere             anywhere
logdrop    all  --  anywhere             anywhere

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
logdrop    all  --  anywhere             anywhere
logdrop    all  --  anywhere             anywhere             state INVALID
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere             ctstate DNAT

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain FUPNP (0 references)
target     prot opt source               destination

Chain PControls (0 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere

Chain logaccept (0 references)
target     prot opt source               destination
LOG        all  --  anywhere             anywhere             state NEW LOG level warning tcp-sequence tcp-options ip-options prefix "ACCEPT "
ACCEPT     all  --  anywhere             anywhere

Chain logdrop (4 references)
target     prot opt source               destination
LOG        all  --  anywhere             anywhere             state NEW LOG level warning tcp-sequence tcp-options ip-options prefix "DROP "
DROP       all  --  anywhere             anywhere

Con protección DoS habilitada (añade una regla a iptables con limit 1/s y limit-burst 5)

admin@RT-AC68U:/tmp/home/root# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
logdrop    all  --  anywhere             anywhere             state INVALID
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere             state NEW
ACCEPT     all  --  anywhere             anywhere             state NEW
ACCEPT     udp  --  anywhere             anywhere             udp spt:bootps dpt:bootpc
ACCEPT     icmp --  anywhere             anywhere
logdrop    all  --  anywhere             anywhere

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
logdrop    all  --  anywhere             anywhere
logdrop    all  --  anywhere             anywhere             state INVALID
ACCEPT     all  --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere             tcpflags: FIN,SYN,RST,ACK/SYN limit: avg 1/sec burst 5
ACCEPT     tcp  --  anywhere             anywhere             tcpflags: FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5
ACCEPT     icmp --  anywhere             anywhere             icmp echo-request limit: avg 1/sec burst 5
ACCEPT     all  --  anywhere             anywhere             ctstate DNAT

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain FUPNP (0 references)
target     prot opt source               destination

Chain PControls (0 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere

Chain logaccept (0 references)
target     prot opt source               destination
LOG        all  --  anywhere             anywhere             state NEW LOG level warning tcp-sequence tcp-options ip-options prefix "ACCEPT "
ACCEPT     all  --  anywhere             anywhere

Chain logdrop (4 references)
target     prot opt source               destination
LOG        all  --  anywhere             anywhere             state NEW LOG level warning tcp-sequence tcp-options ip-options prefix "DROP "
DROP       all  --  anywhere             anywhere
La opción que dice:

  • Respond Ping Request from wan
Lo único que hace es cambiar la regla:

ACCEPT     icmp --  anywhere             anywhere

por

DROP     icmp --  anywhere             anywhere

Bloquear una IP en el firewall del router mediante iptables


Añadir:
iptables -I INPUT -s 181.167.205.74 -j DROP

Comprobar regla:

ehn@RT-AC68U-8600:/tmp/home/root# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
DROP       all  --  74-205-167-181.fibertel.com.ar  anywhere

Borrar

 iptables -D INPUT -s 181.167.205.74 -j DROP

Parámetros por defecto de  /proc/sys/net/ipv4/netfilter/


0 deshabilitado
1 habilitado

admin@RT-AC68U:/tmp# cat /proc/sys/net/core/warnings
1
admin@RT-AC68U:/tmp# cat /proc/sys/net/ipv4/netfilter/ip_conntrack_log_invalid
0
admin@RT-AC68U:/tmp# cat /proc/sys/net/ipv4/netfilter/ip_conntrack_checksum
1
admin@RT-AC68U:/tmp# cat /proc/sys/net/ipv4/netfilter/ip_conntrack_buckets
4096
admin@RT-AC68U:/tmp# cat /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout
30
admin@RT-AC68U:/tmp# cat /proc/sys/net/ipv4/conf/all/log_martians
0
admin@RT-AC68U:/tmp# cat /proc/sys/net/ipv4/netfilter/ip_conntrack_generic_timeout
600
admin@RT-AC68U:/tmp# cat /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established
432000
admin@RT-AC68U:/tmp#  cat /proc/sys/net/ipv4/netfilter/ip_conntrack_max
300000


 Telnet o SSH al Router

Podemos administrar el router vía telnet activando primero la opción en:

  • Administración --> Sistema --> "Enable Telnet" (Habilitar Telnet)
Con el nuevo firmware ahora también permite habilitar SSH (sshd con DropBear) e importar Keys (para autenticarse mediante contraseña o mediante keys con llave pública y privada).

O vía navegador con la url:

http://192.168.0.1/Main_AdmStatus_Content.asp

Telnet 192.168.0.1

RT-AC68U login: admin
Password:
 Con los mismos credenciales que para entrar vía web con AsusWRT

Aquí podemos hacer uso de prácticamente todos los comandos de Linux gracias a BusyBox.

PostHeaderIcon Listado comandos para GNU/Linux

admin@RT-AC6(U:/# ls /bin
ash          dmesg        kill         nice         sdparm       usleep
busybox      eapd         ln           nvram        sed          vi
cat          echo         login        pidof        sh           watch
chmod        ecmh         ls           ping         sleep        wps_monitor
chown        egrep        mkdir        ping6        sync         zcat
comgt        fgrep        mknod        ps           tar
cp           fsync        more         pwd          touch
date         grep         mount        rm           true
dd           gunzip       mv           rmdir        umount
df           gzip         netstat      rstats       uname

admin@RT-AC68U:/tmp/home/root# cat /tmp/
/tmp/Beceem_firmware/     /tmp/nat_rules            /tmp/syscmd.log
/tmp/avahi/               /tmp/nat_rules_eth0_eth0  /tmp/syslog.log
/tmp/detect_wrong.log     /tmp/notify/              /tmp/udhcpc
/tmp/dhcp6c               /tmp/ppp/                 /tmp/udhcpc0.expires
/tmp/etc/                 /tmp/redirect_rules       /tmp/var/
/tmp/filter.default       /tmp/resolv.conf          /tmp/webs_upgrade.log
/tmp/filter_rules         /tmp/resolv.dnsmasq       /tmp/wpa_cli
/tmp/home/                /tmp/settings             /tmp/zcip
/tmp/mnt/                 /tmp/share/
Logs

Active Connections log:
/tmp/syscmd.log

System log(s):
/tmp/syslog.log
/jffs/syslog.log

USB log:
/tmp/usb.log

Con el comando sysinfo podremos ver:

  • kernel (uname -a)
  • nvram
  • interfaces (ifconfig) eth0, br,
  • Tablas de ruteo (route)
  • reglas iptables ( iptables -L, iptables -t nat -L -n)
  • conexiones (netstat)
  • sistemas de ficheros (df)
  • Puntos de montaje
  • swap
  • Dispostivos SCSI
  • Dispostivos USB
  • Información cpu (cat /proc/cpuinfo)
  • Memoria (mem)
  • Versión Wireless
  • Módulos cargados
  • procesos (ps)
  • dmesg

 admin@RT-AC68U:/tmp/home/root#  sysinfo|more


ASUSWRT RT-AC68U_3.0.0.4 Tue Jul 15 09:23:33 UTC 2014
Linux version 2.6.36.4brcmarm (gitserv_asus@wireless-pub1) (gcc version 4.5.3 (uildroot 2012.02) ) #1 SMP PREEMPT Tue Jul 15 17:34:10 CST 2014

NVRAM
size: 37790 bytes (27746 left)
admin@RT-AC68U:/tmp/home/root# ls /rom
Beceem_firmware                  libsigc++_2.2.3-1_arm.ipk
asus_base_apps_arm.tgz           libxml2_2.7.8-1_arm.ipk
asuslighttpd_3.1.0.71_arm.ipk    ncurses_5.7-3_arm.ipk
dlna                             openssl_0.9.8v-2_arm.ipk
downloadmaster_3.1.0.78_arm.ipk  optware.asus
easy-rsa                         optware.mbwe-bluering
etc                              pcre_8.31-1_arm.ipk
expat_2.0.1-1_arm.ipk            readline_6.1-2_arm.ipk
libcurl_7.24.0-1_arm.ipk         spawn-fcgi_1.6.3-1_arm.ipk
libevent_2.0.20-1_arm.ipk        wxbase_2.8.12-1_arm.ipk
libpar2_0.2-5_arm.ipk            zlib_1.2.5-1_arm.ipk
admin@RT-AC68U:/tmp/home/root#

Novedades en el Firmware de Asus (2015)

Recordemos que también podemos usar el firmware de terceros como el popular Asuswrt-Merlin (basado en Tomato-RT/Tomato-USB.


  • Asus Original --> simple pero efectivo
  • Asuswrt-Merlin --> Rendimiento (performance) con estabilidad
  • Tomato --> mix entre rendimiento, nuevas características y estabilidad.
  • DD-WRT --> nuevas características pero menos estable.

Recordemos que tanto Tomato como DD-WRT no soportan HW Acceleration pero si soportan creación VLAN's.

El cambio más visible es la adición de AiProtect y QoS adaptativo. Ambos son impulsados por un motor de DPI (Deep Packet Inspection) proporcionado por Trend Micro. Este motor permite analizar el tráfico  en el nivel más bajo, basado en el contenido real, no sólo por el IP y puertos utilizados. Eso significa, si habilita QoS adaptativos, usted no tendrá que empezar a configurar reglas.

Las dos principales novedades del 2015 del firrmware stock (Asuswrt) del Asus RT-AC68U son:


  • AiProtection
  • Adaptive QoS

Adaptive QoS

Otra cosa interesante a tener en cuenta: el Adaptative QoS es ahora compatible con aceleración de hardware. Eso significa que puedes mantener la aceleración de hardware activada (aunque sólo el nivel 1 es compatible), mientras tienes QoS habilitado. Esto se puede confirmar con pruebas con iperf entre LAN y WAN dan un resultado de  rendimiento de 750 Mbps. Por lo tanto, eso significa que con QoS se puede utilizar incluso con banda ancha de alta velocidad.

Se puede ver una demo de Asus en:


 La simple operación de arrastrar y soltar permite establecer prioridades para el dispositivo. El usuario puede arrastrar y soltar la etiqueta de prioridad en el icono del dispositivo para asignar un nivel de prioridad. Haga clic en el nivel que se desea establecer para el dispositivo y arrástrelo hasta el dispositivo.


  • Highest
  • High
  • Medium
  • Low
  • Lowest


** Es necesario que haga clic en el botón "Aplicar" después de establecer la configuración de prioridad para hacer valer la prioridad configurada.



Si al usuario le gustaría ver cada ancho de banda usado por las aplicaciones para cada dispositivo , habilitar la función "análisis Apps" (** Si las aplicaciones utilizan el cifrado SSL, es difícil de ser identificado y el tráfico se clasificarán para uso general.)

QoS Tradicional



QoS Adaptativo



Datos VLAN otras operadoras

Identificadores VLAN operadores FTTH

Identificadores VLAN para configurar un router neutro para fibra óptica de Movistar, Orange, Jazztel, Vodafone, entre otros ISP.

Estos son los ID de las VLAN 802.1Q de los operadores de FTTH en España:

Proveedor Datos (Internet) Voz (VoIP) Televisión (IPTV)
VLAN Prioridad VLAN Prioridad VLAN Prioridad
Adamo 603/604 1 630 7 -- --
Jazztel 1074 0 -- -- 838 4
MÁSMÓVIL 20 0 -- -- -- --
Movistar 6 1 3 4 2 4
Orange 832 0 -- -- 838 4
Virgin 10 0 -- -- 50 --
Vodafone 100 0 -- -- 105 4
  • Movistar:
    • Internet: PPPoE con usuario «adslppp@telefonicanetpa» y clave «adslppp». Utiliza VLAN ID 6.
    • TV: IP estática extraída del router de Movistar. Utiliza la VLAN ID 2.
    • Teléfono: DHCP, utiliza la VLAN ID 3.
    • ASUS tiene la triple VLAN de Movistar FTTH.
  • Vodafone:
    • Internet: DHCP con VLAN ID 100.
  • Orange:
    • Internet: DHCP con VLAN ID 832.
  • Jazztel:
    • Internet: DHCP con VLAN ID 1074.
  • Grupo MasMovil:
    • Internet: DHCP con VLAN ID 20.
  • Adamo:
    • Internet: DHCP con VLAN ID 604 en el puerto 4 del router de Adamo.
  • Digi:
    • Internet: DHCP con VLAN ID 24.

Configuración de VLAN en Movistar FTTH

  • Datos (puerto 1 y 2):  VID 6 y prioridad 1
  • Voz (VoIP puerto 3): VID 3 y prioridad 5
  • Televisión (IPTV puerto 4): VID 2 y prioridad 4

Configuración de VLAN en Jazztel FTTH

  • Datos (puerto 1 y 2):  VID 1074y prioridad 0
  • Voz (VoIP puerto 3): VID 1074 y prioridad 0
  • Televisión (IPTV puerto 4): VID 1074 y prioridad 0

Configuración de VLAN en Orange FTTH

  • Datos (puerto 1 y 2):  VID 832 y prioridad 0
  • Voz (VoIP puerto 3): VID 832 y prioridad 0
  • Televisión (IPTV puerto 4): VID 832 y prioridad 0

Configuración de VLAN en Vodafone FTTH

  • Datos (puerto 1 y 2):  VID 100 y prioridad 0
  • Voz (VoIP puerto 3): VID 100 y prioridad 0
  • Televisión (IPTV puerto 4): VID 105 y prioridad 4

5 comentarios :

jorge merayo alonso tankeoma dijo...

perdon mi correo por si alguien me quisiera ayudar tankeoma@gmail.com

jorge merayo alonso tankeoma dijo...

perdon mi correo por si alguien me quisiera ayudar tankeoma@gmail.com

jorge merayo alonso tankeoma dijo...

tengo un problema que no consigo resolver alguien que me pueda ayudar
Router ONT Zhone 2426 y Asus RT-AC68U tengo un techo en modo upload que no pasa de 12MB ya no se que mirar ayuda por favor conexion por test 850/195

MASAkReZ dijo...

Tío, Gracias, un post increible.

Unknown dijo...

y si pones como poner en modo bridge a Zhone seria ideal... no hay nada en internet de esa marca....

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.