Servidor samba publico

Question

Servidor samba publico

#163003# 25 oct 2020 13:47 *

*

Si, ya se que es peligroso y no tiene seguridad...
A parte de eso que ya se, tengo un problema con los ordenadores que estan conectados a traves de un router Vodafone, desde cualquie otro, hasta ahora, usando el comando \\ip_publica en cualquier ordenador windows accedo a la red, menos a los que tienen router vodafone, he abierto los puertos con DMZ y con ips estaticas pero no consigo conectar de forma directa con mi servidor, debo usar ftp, con la lentitud que demuestra y no es tan amigable de usar con el explorador de windows. Alguien sabe porqué solo con vodafone? He probado en muchos y variados.

9 respuestas

ap3188 04 nov 2020 10:19 Adicto **316** mensajes desde **jul 2020** · Answer 1 · 2020-11-04T08:19:10+00:00

masticatigres escribió:Si, ya se que es peligroso y no tiene seguridad...
A parte de eso que ya se, tengo un problema con los ordenadores que estan conectados a traves de un router Vodafone, desde cualquie otro, hasta ahora, usando el comando \\ip_publica en cualquier ordenador windows accedo a la red, menos a los que tienen router vodafone, he abierto los puertos con DMZ y con ips estaticas pero no consigo conectar de forma directa con mi servidor, debo usar ftp, con la lentitud que demuestra y no es tan amigable de usar con el explorador de windows. Alguien sabe porqué solo con vodafone? He probado en muchos y variados.

Servidor Público doméstico = ESTUPIDEZ

Answer 2 · 2020-11-04T14:06:37+00:00

ap3188 escribió:
masticatigres escribió:Si, ya se que es peligroso y no tiene seguridad...
A parte de eso que ya se, tengo un problema con los ordenadores que estan conectados a traves de un router Vodafone, desde cualquie otro, hasta ahora, usando el comando \\ip_publica en cualquier ordenador windows accedo a la red, menos a los que tienen router vodafone, he abierto los puertos con DMZ y con ips estaticas pero no consigo conectar de forma directa con mi servidor, debo usar ftp, con la lentitud que demuestra y no es tan amigable de usar con el explorador de windows. Alguien sabe porqué solo con vodafone? He probado en muchos y variados.

Servidor Público doméstico = ESTUPIDEZ

A parte de la gran aportación de @ap3188, que @masticatigres ya ha dicho que sabe de lo inseguro, igual no le funciona ni haciendo nats porque Vodafone puede que esté prestando servicio a través de CGNAT, y sus clientes que usan ese proveedor compartan ip pública con más gente.

Si he entendido bien, estás creando un servicio samba nateando routers vodafone. Creo que será el CGNAT. Llama a Vodafone y prueba a ver si te pueden sacar de esta red, y darte una ip que no compartas. El CGNAT lo usan mucho para las conexiones a internet móviles, pues la saturación es tanta, que tienen que recurir a esta tecnología porque se quedarían sin IP's v4.

Ya nos dices.

Answer 3 · 2020-11-04T23:04:15+00:00

Desde hace más de un año tengo funcionando un servidor doméstico (mejor dicho, varios servidores: de almacenamiento, de TV y multimedia, y de sincronización/salvaguarda de fotos de teléfonos móviles) en un cacharrito linux que consume 2 ó 3 watios y puede estar encendido 24 horas, pero nunca va a ser público y ni siquiera es accesible por direccionamiento directo desde internet porque está detrás de un CGNAT. A pesar de ello es accesible desde cualquier parte del mundo sin usar ninguna contraseña (evidentemente cada servicio tiene sus propias contraseñas de acceso), ni abrir puertos del router, ni usar DMZ, ni nada, y compatible con toda clase de routers, sólo se necesita tener un dispositivo (móvil, tablet, PC, TV Box, ...) con permiso de acceso a mi pequeña red virtual zerotier que gestiono yo mismo desde internet, que me permite acceder a todos los dispositivos de mi red doméstica, y usarlo como VPN para eludir las restricciones geográficas de los proveedores españoles cuando estoy en el extranjero.

#163003# 05 nov 2020 01:26 · Answer 4 · 2020-11-04T23:26:06+00:00

dj_ryu escribió:
ap3188 escribió:
masticatigres escribió:Si, ya se que es peligroso y no tiene seguridad...
A parte de eso que ya se, tengo un problema con los ordenadores que estan conectados a traves de un router Vodafone, desde cualquie otro, hasta ahora, usando el comando \\ip_publica en cualquier ordenador windows accedo a la red, menos a los que tienen router vodafone, he abierto los puertos con DMZ y con ips estaticas pero no consigo conectar de forma directa con mi servidor, debo usar ftp, con la lentitud que demuestra y no es tan amigable de usar con el explorador de windows. Alguien sabe porqué solo con vodafone? He probado en muchos y variados.

Servidor Público doméstico = ESTUPIDEZ

A parte de la gran aportación de @ap3188, que @masticatigres ya ha dicho que sabe de lo inseguro, igual no le funciona ni haciendo nats porque Vodafone puede que esté prestando servicio a través de CGNAT, y sus clientes que usan ese proveedor compartan ip pública con más gente.

Si he entendido bien, estás creando un servicio samba nateando routers vodafone. Creo que será el CGNAT. Llama a Vodafone y prueba a ver si te pueden sacar de esta red, y darte una ip que no compartas. El CGNAT lo usan mucho para las conexiones a internet móviles, pues la saturación es tanta, que tienen que recurir a esta tecnología porque se quedarían sin IP's v4.

Ya nos dices.

Mi router es de Orange y no tengo problemas con la salida, puedo conectar a algunos familiares sin ningún problema, el problema lo tengo con los que tienen router Vodafone, que no conectan. Incluso desde mi móvil con el programa CX explorer entro sin ningún problema.

@ap3188 Yo he configurado la red por VPN y es un cáncer de lento que va, tengo 600mb de subida y no llega ni a 1mb cuando se usa la VPN, he probado de todo y no soy capaz de hacerlo mas rápido. Si me das una idea para que se me puedan acceder como si fueran equipos en la misma red local de forma mas segura, estaré encantado de de escucharlo, pero la información no es tan sensible como para que me preocupe que este de forma publica, por ftp también va tremendamente lento, algo mejor pero similar y no se puede trabajar con los archivos con la misma agilidad que desde el explorador de Windows, ya que a mi familia y amigos no puedo estar enseñando a usar programas con un mínimo de tener que leer los mensajes que les sale en pantalla, es agotador.

Answer 5 · 2020-11-05T10:50:59+00:00

Si estas en un CG-NAT, ni VPN ni DDNS te va valer, para acceder a tu servidor, habla con la operadora para que te saque del CG-NAT.

Luego... todas las conexiones que hagas a tu servidor, asegurate que sean seguras y con una VPN (olvida las libres gratuitas que abundan en la red), montate un servidor VPN y usa un clinete, tipo OpenVPN.

Abre SOLO los puertos necesarios en el router, no metas en el DMZ el servidor, y si puedes no uses puertos estandar, aun asi con todo y con eso, andate con ojo, si puedes mirate alguna solucion IDS, tipo Pfsense o Firewalla.

Y desconfia de todo lo que no lleve candado, no use HTTPS, SSL

Answer 6 · 2020-11-05T11:46:55+00:00

AzagraMac escribió:Si estas en un CG-NAT, ni VPN ni DDNS te va valer, para acceder a tu servidor, habla con la operadora para que te saque del CG-NAT.

Luego... todas las conexiones que hagas a tu servidor, asegurate que sean seguras y con una VPN (olvida las libres gratuitas que abundan en la red), montate un servidor VPN y usa un clinete, tipo OpenVPN.

Abre SOLO los puertos necesarios en el router, no metas en el DMZ el servidor, y si puedes no uses puertos estandar, aun asi con todo y con eso, andate con ojo, si puedes mirate alguna solucion IDS, tipo Pfsense o Firewalla.

Y desconfia de todo lo que no lleve candado, no use HTTPS, SSL

No has leído nada de lo que he escrito más arriba. Yo uso servidores detrás de un CGNAT sin problema con la ayuda de la red virtual zerotier que se comporta como una VPN.

Mis servidores no tienen una IP pública de internet (esto mejora la seguridad frente a ataques) por lo que no necesito DDNS y son accesibles desde cualquier parte del mundo.

Después de conectar a mi red virtual zerotier, privada, segura y gratuita, desde cualquier parte del mundo, la dirección de mi servidor en casa está en 10.10.100.10, y la dirección de mi PC de escritorio en casa está en 192.168.100.10. Evidentemente todas las direcciones IP son configurables.

Mi red virtual está configurada como 10.10.100.0/24
y mi red doméstica como 192.168.100.0/24
para pasar de una red a otra sólo hay que configurar una sencilla pasarela, con iptables, en el servidor (algo parecido a lo que hace el servidor OpenVPN, que es incompatible con CGNAT).

Dracot 05 nov 2020 16:20 MegaAdicto!!! **1.334** mensajes desde **abr 2018** · Answer 7 · 2020-11-05T14:20:26+00:00

ap3188 escribió:
AzagraMac escribió:Si estas en un CG-NAT, ni VPN ni DDNS te va valer, para acceder a tu servidor, habla con la operadora para que te saque del CG-NAT.

Luego... todas las conexiones que hagas a tu servidor, asegurate que sean seguras y con una VPN (olvida las libres gratuitas que abundan en la red), montate un servidor VPN y usa un clinete, tipo OpenVPN.

Abre SOLO los puertos necesarios en el router, no metas en el DMZ el servidor, y si puedes no uses puertos estandar, aun asi con todo y con eso, andate con ojo, si puedes mirate alguna solucion IDS, tipo Pfsense o Firewalla.

Y desconfia de todo lo que no lleve candado, no use HTTPS, SSL

No has leído nada de lo que he escrito más arriba. Yo uso servidores detrás de un CGNAT sin problema con la ayuda de la red virtual zerotier que se comporta como una VPN.

Mis servidores no tienen una IP pública de internet (esto mejora la seguridad frente a ataques) por lo que no necesito DDNS y son accesibles desde cualquier parte del mundo.

Después de conectar a mi red virtual zerotier, privada, segura y gratuita, desde cualquier parte del mundo, la dirección de mi servidor en casa está en 10.10.100.10, y la dirección de mi PC de escritorio en casa está en 192.168.100.10. Evidentemente todas las direcciones IP son configurables.

Mi red virtual está configurada como 10.10.100.0/24
y mi red doméstica como 192.168.100.0/24
para pasar de una red a otra sólo hay que configurar una sencilla pasarela, con iptables, en el servidor (algo parecido a lo que hace el servidor OpenVPN, que es incompatible con CGNAT).

Zerotier es una gran solución para ciertas cosas, pero:
- no es la panacea, que parece como si zerotier = miraquecracksoy, nozerotier= jjajajaperoquetontoeres

- es una solución sdn orientada a crear una red virtual entre ciertos puntos. No siempre se quiere eso, uno puede querer proporcionar un servicio de server puntual a terceros, sin emparejar cliente y servidor en la misma lan

- para un acceso público puntual, es matar moscas a cañonazos

- requiere software específico, no es un protocolo implementado de forma nativa por casi cualquier OS como si lo son samba, ftp, SSH, etc

Y mucho más que podría decir. Y al margen de todo.......el OP hace una pregunta muy acotada y específica, y avisando desde el primer post que es consciente de la burrada que implica a nivel seguridad. "Venderle" zerotier es como venir preguntando la hora y responderle que parece que va a llover.

Sin acritud, pero es mi humilde opinión

Answer 8 · 2020-11-05T17:53:39+00:00

Dracot escribió:Zerotier es una gran solución para ciertas cosas, pero:
- no es la panacea, que parece como si zerotier = miraquecracksoy, nozerotier= jjajajaperoquetontoeres

- es una solución sdn orientada a crear una red virtual entre ciertos puntos. No siempre se quiere eso, uno puede querer proporcionar un servicio de server puntual a terceros, sin emparejar cliente y servidor en la misma lan

- para un acceso público puntual, es matar moscas a cañonazos

- requiere software específico, no es un protocolo implementado de forma nativa por casi cualquier OS como si lo son samba, ftp, SSH, etc

Y mucho más que podría decir. Y al margen de todo.......el OP hace una pregunta muy acotada y específica, y avisando desde el primer post que es consciente de la burrada que implica a nivel seguridad. "Venderle" zerotier es como venir preguntando la hora y responderle que parece que va a llover.

Sin acritud, pero es mi humilde opinión

No se trata de ser crack o no ser crack, zerotier está infravalorado y lo normal es que se conozca poco y mal, incluso entre los supuestos gurús de la informática que no es mi caso. Esta infravaloración por parte de los gurús hace que los usuarios en general no lo conozcan.

Hay usuarios que simplemente lo que pretenden es entrar desde internet a su red doméstica para hacer cosas, y para eso se inventó OpenVPN y el más moderno WireGuard. Si en estos servidores damos acceso a un amigo éste tendrá acceso completo a nuestra red doméstica lo cual no siempre es lo mejor porque los amigos pueden dejar de serlo. Mientras que OpenVPN o WireGuard están orientados al acceso a redes privadas, zerotier está orientado al acceso a dispositivos (servidores) y la configuración por defecto nunca comprometerá la seguridad de acceso a toda nuestra red privada, si juntamos además que, al contrario que OpenVPN/WireGuard no es preciso aprender nada especial para configurar una red virtual zerotier básica, y que funciona casi en cualquier red privada, incluso detrás de un CGNAT, sin necesidad de IP pública ni de DDNS, entonces ya tenemos ventajas.

Otra ventaja adicional de zerotier es que al ser una red privada virtual está deslocalizada, y podemos tener los dispositivos en red, uno en casa, otro en casa de nuestro socio, otro en la casa de la playa y el cuarto en Katmandú, y compartir entre todos ellos lo que queramos, algo que OpenVPN/WireGuard no pueden hacer.

Answer 9 · 2020-11-05T18:10:31+00:00

Por supuesto.....y por eso inicio mi mensaje diciendo que para muchos escenarios, tiene muchas ventajas. Hace muchas cosas muy bien.

Pero es para lo que es. Si quiero levantar un servicio X en un servidor Z, jamás levantaría toda una sdn o toda una VPN para ello. Supongo que es deformación profesional pero me parece, como decía, matar moscas a cañonazos.

Aparte, supongo que sabes cómo funciona eso de que conecte a través de NAT o cg-nat ¿Verdad? Lo hará (supongo, porque es lo típico en sdn y porque no se me ocurre otra forma posible) por hole punching, aprovechando como entrada los puertos que el nat de navegación abre en salida. Eso no es malo de por sí (salvo que uses nat simétrico, que directamente no funcionaría, pero en España no me suena ISP que lo use), pero no es conveniente confiar la seguridad de un entorno de red a ello. El nat da seguridad, pero "de rebote", no porque sea un protocolo diseñado para seguridad. Por ello las medidas de securizacion deben ir por otro lado. Si por ejemplo hago sniffer de la parte pública de tu red y veo el puerto origen e IP destino de un paquete saliente, puedo aprovechar ese hole para construir un paquete IP que va a llegar a tu servidor, igual que le llegan los de los extremos legítimos del resto de la sdn. Da igual que el servidor no tenga una IP pública asignada, voy a llegar igual.

Pero vamos, que es solo un ejemplo, zerotier me parece una pasada de servicio la verdad, pone al alcance de cualquiera cosas que aún hoy muchas empresas grandes no tienen bien implementadas. Solo matizo que no todo en él es megaguay, ni creo que se ajuste a lo que el OP pretende hacer.

Por cierto,

ap3188 escribió:
Otra ventaja adicional de zerotier es que al ser una red privada virtual está deslocalizada, y podemos tener los dispositivos en red, uno en casa, otro en casa de nuestro socio, otro en la casa de la playa y el cuarto en Katmandú, y compartir entre todos ellos lo que queramos, algo que OpenVPN/WireGuard no pueden hacer.

Claro que en cualquier VPN como OpenVPN puedes compartir lo que quieras entre quien quieras estén donde estén. Todo miembro de la VPN va a verse directamente a nivel IP, y si usas túneles de tipo TAP para encapsular las tramas, se van a ver en capa 2, por ethernet, tal cual como si estuvieran conectados al mismo switch. La única diferencia es que dependen de conectar a un servidor central de la VPN, en lugar de establecer entre ellos túneles directos como en sdn. Aún así, en la sdn dependen de la visión contra en controlador (o "nube" de controladores, por eso es deslocalizado) que tiene que decir a cada miembro como establecer los túneles contra los demás, por lo que se sigue sin tener total independencia.