Como de costumbre, cuando cuento aquí algo es porque me he visto en la necesidad de sacarme las castañas del fuego, y si creo que puede ser mínimamente interesante explicar cómo lo solucioné, así lo hago.
En este caso, al cambiar la conexión de casa del FTTH de Movistar al de Vodafone (300 Mbps simétricos en ambos casos) me he encontrado con el problema de que el router no dejaba mapear el puerto 443, algo necesario para que tú puedas estar leyendo esto ahora mismo 😉
Vale, sí, podría mostrarlo por HTTP, pero Google hace tiempo que penaliza a las webs que no usan HTTPS, por lo que sería dar un paso atrás. Que si bien es cierto que esta web no me da de comer, me fastidiaría perder la poca visibilidad que tiene actualmente.
Y bien, ¿cuál es el problema? Pues que este router, cuando intentas mapear el puerto 443, te dice que está reservado, y que utilices otro.
Para solucionarlo hay que conseguir la contraseña del usuario admin, que permite toquitear bastantes más parámetros que el usuario vodafone proporcionado en la pegatina que trae en la parte inferior del router. ¿Cómo? Pues restaurando el router a los valores de fábrica para poder usar la contraseña original, usando la función modo espejo que incluye el router, y usando un sniffer para ver el tráfico entre el ONT y el router.
Las instrucciones que voy a dar están basadas en una publicación del usuario AL-BAR en BandaAncha, y de todos los comentarios que he leído en ese y otros sitios.
Lógicamente eres libre de poner en práctica todo esto, pero siempre bajo tu propia responsabilidad.
- Descarga e instala Wireshark.
- Apaga el ONT.
- Entra en la configuración del router con el usuario vodafone y la contraseña que aparece en la pegatina en la base de este.
- Activa arriba del todo el Modo Experto, y luego en la solapa Configuración, apartado Configuración, dale al botón de Reset en la parte de Restablecer los valores de fábrica.
- Conecta un cable de red entre tu equipo y el router, y configura manualmente el protocolo TCP/IP de tu ethernet con los siguientes parámetros:
Dirección IP: 192.168.0.2
Máscara de subred: 255.255.255.0 - Accede con tu navegador preferido a http://192.168.0.1, usuario admin, contraseña VF-ESVodafone-H-500-s.
- Haz click en la solapa Status & Support, apartado Port Mirroring, escribe en la casilla Command -i ppp1, y pulsa el botón Start.
Saldrá un aviso para que no olvides desactivarlo, pulsamos Ok y continuamos. - Abre Wireshark en tu equipo, escoge la interfaz Ethernet para que empiece a capturar, en la barra de filtro escribe http y pulsa intro.
- Enciende el ONT y verás como Wireshark comienza a mostrar paquetes. Déjalo funcionando un minutito y para la captura en Wireshark.
- Pulsa CTRL+F para buscar, selecciona Packet details, y escribe LoginAccount.1.Password. Si todo ha ido bien verás que te lleva a un paquete con mucha información (contraseñas de acceso al router, datos de conexión WAN, host, puerto y datos de acceso para la telefonía IP…) en formato xml. La clave que te aparezca en LoginAccount.1.Password es la del usuario admin.
- Vuelve a acceder con el navegador que quieras a http://192.168.0.1 con el usuario admin y la clave que acabamos de conseguir.
- Vuelve a la solapa Status & Support, apartado Port Mirroring, y pulsa el botón Stop para dejar de replicar el tráfico entre el ONT y el router.
- En la solapa Settings, Access control, habilita (allow) el SSH para LAN.
- Posteriormente, usando Putty accede al router por ssh con el usuario admin y la contraseña correspondiente.
- Escribe los siguientes comandos para acceder al modo configuración y agregar el mapeo del puerto 443 al host 192.168.0.5, aplicar, y guardar:
config add port mapping https tcp 443 : 443 443 : 443 192.168.0.5 apply save
- Con esto ya deberías de tener el HTTPS funcionando. Siéntete libre para rebuscar y cambiar todo lo que quieras (desactivar TR069, modificar ACLs, etc.)
¿Te ha parecido interesante? ¡Compártelo! -->
Me habéis salvado la vida, muchas gracias.
Tras mirar y buscar por todos los sitios, nadie dice nada sobre el tema de la apertura de puertos y desde que como tu cambié de Movistar a Vodafone todo han sido y son problemas, cada día me arrepiento más.
Sigo en un contencioso desde el mismo día que cambié por la pobre velocidad, no me dan lo contratado (300 simétricos) cuando no han cambiado nada más que el router y la ONT.
Me alegro de que esta información te haya sido de utilidad.
Respecto al tema de velocidad, yo también he notado que en algunos casos (dependiendo del host al que esté conectando) es inferior a la que obtenía con Movistar, pero es que se están pasando cuatro pueblos con los constantes aumentos de precio… En P2P (sobre todo Torrent, que es lo que más uso) al abrir conexiones simultaneas a distintos hosts la velocidad es buena (superando los 30 MB/s).
Un saludo.
Hola. Muchas gracias por la información.
A mí me interesaría poder poner ese router en modo bridge. ¿Sabes si entrando como admin se podría poner en modo bridge?
Gracias por adelantado.
Hola Pedro.
Hasta donde yo sé el firmware de este router no tiene esa opción, pero tal vez una alternativa que te pueda valer sería poner en DMZ la IP que te interese.
Un saludo.
Muchisimas gracias, sólo por si a alguien más le pasa. En mi caso al conectarme por ssh desde el terminal de mac, me decía «too many authentication failures for user admin». Lo he solventado haciendo:
ssh -o PubkeyAuthentication=no admin@192.168.1.1
Un saludo
Excelente..! Vi en los foros de vodafone que había que pedirles a ellos que abrieran el 443, pero lo intenté dos veces con uno de soporte técnico y tampoco pudieron. Lo que sí conseguí de ellos fue la clave del usuario admin, me dijeron que como soy el titular me lo daban sin problemas. Así que la parte de wireshark que pones me lo he ahorrado :P, yo empecé en el punto 13..! Muchas gracias por tu aporte..!
¡Gran ayuda todo este articulo!
Trasteando con el router este, veo que el puerto 445 esta abierto a internet. Y en cuanto conecto un pendrive y abilito compartición Samba empiezo a tener conexiones desde todo el mundo. Las veo en el Event Log. Posiblemente sean solo peticiones de enumeraciones de servicios o así porque el pendrive que comparto esta con contraseña. De todas formas no me deja tranquilo. Y haciendo pruebas desde otra red de internet con el usuario y contraseña correcto accedo con todos los derechos al recurso de red samba.
Lo que quisiera sería lo contrario a lo que tu has hecho: en vez de abrir el 443, cerrar el 445. ¿Es posible?
Muchas gracias por adelantado.
Supongo que por línea de comandos sí que se podrá bloquear. Ahora mismo no tengo acceso a mi router y no te lo puedo confirmar, pero debería haber forma de hacerlo.
Hey, gracias por el tutorial.
¿Alquien tiene una pista de como abrir el protocolo 41 completamente? Para poner un tunel ipV6. Cuando reinicio el router el ping6 desde mi laptop a ipv6.google.com, tuneleado por hurricane, funciona durante cinco o diez segundos, a veces un poco mas, mientras se esta terminando el proceso de registrar el SIP etc, y luego se cierra.
Por cierto lo que si funciona es abrir el ping mediante
«set acl service icmp wan active» 🙂
He encontrado un hack del Vodafone H500-s que puede ser de interes a los que tengan problemas con tuneles etc. Tengo una maquina colgada via DMZ y he intentado establecer un tunel de proto 41, como ya he dicho en algun comentario anterior. No me funcionaba, hasta que me fui a la utilidad de diagnostico y active el Tracing Tool. ¡Sorpresa, mientras esta volcando un pcap todo funciona correctamente! En cuanto paras el Tracing, activa alguna mierda interna y deja de funcionar.
Lo gracioso es que no hace falta hacer la captura en una WAN que tenga trafico. Asi que si tienes fibra NEBA puedes activar la captura en la WAN de la fibra vodafone, y supongo que lo mismo en el caso contrario. Y hala, ya tenemos tunel.
Lo que desconozco es si hay algun comando desde la shell que permita conmutar entre estos dos modos de trabajo.
Buenas , lo de restaurar los valores de fábrica no me funciona. hay aún metodo especial. He probado:
– Por web como indicas
– Varias combinaciones de los botones power y reset de la parte posterior del router.
Resultado:
En ambos caso se reinicia pero solo puedo acceder con el suario Lowi
Nota:
Por supuesto que tengo desconectada la ONT desde antes de iniciar el reset.
Prueba a reiniciarlo y entrar con usuario admin y clave l033i-h500s.
Si ha cambiado la versión de firmware respecto a cuando publiqué esta entrada es posible que algún paso sea distinto, o ya no funcione.
Échale un ojo a los comentarios en BandaAncha, que parece que intentan hacer lo mismo que tú:
https://bandaancha.eu/foros/cambiar-router-lowi-h-500-s-otro-1729084
Un saludo.
Tengo este router pero de la compañia lowi y no hay forma de que me redirijan el maldito puerto 443. Alguien que tenga lowi lo ha conseguido con el procedimiento que aqui indican? porque no me deja habilitar el ssh para conectar, alguien sabe como hacerlo?
Hola,
Gracias por la info, he sido de mucha ayuda! LLego a todos los pasos bien, pero a la hora de capturar el tráfico http con el wireshark no hay apenas paquetes… y el de la autenticación tampoco. Alguna idea de que puede ser o si tiene solución?
Un saludo
Buenos días.
Desde 2017 no he vuelto a intentar hacer este procedimiento, pero no recuerdo que me pasase nada similar.
Revisa el paso 7, que tengas correctamente escrito el comando. Además veo en la captura que pone LAN1. ¿Tienes el cable conectado a ese puerto?
hola, yo he conseguido acceder por ssh como indicabas, pero mi problema es que estoy intentando acceder a un servidor home assistant que tengo y es imposible. Tengo que redirigir el 8123. Lo he realizado por la aplicacion web con el user normal, con el admin y por ssh, pero nada. No se que pasa. El servidor lo he tenido funcionando a modo de prueba en casa y va sin problemas.
No tengo acceso ya a este modelo de router para poder guiarte.
En cualquier caso se me ocurre que, por la razón que sea, tu ISP haya bloqueado el acceso a ese puerto. Prueba a usar otro puerto externamente, y que apunte al 8123 de la IP interna que corresponda.
Un saludo y suerte.
Gracias por responder.
Resulta que después de mucho investigar parece que estos router tienen un problema, posiblemente de firmware, en los puertos LAN , que hace que no gestionen correctamente. Se soluciona poniendo un Switch corriente entre el equipo y uno de los puertos LAN del router ó , como he hecho yo, conectándolo por WIFI.
Ahora estoy intentando conectarme al Router para acceder a la configuración desde casa, pero no lo consigo. Imagino que tengo que habilitar el acceso HTTP en la WAN y no solo en la LAN como lo tiene de serie.
Un saludo.
Hola, yo he conseguido acceder por SSH, con password Admin.
– He agregado el puerto por SSH.
-Desactivado el firewall.
-Agregado una DDNS no ip.
-Activado DMZ.
Pero sigue sin funcionar la redireccion del puerto. desde canyouseeme.org me dice que el puerto en el router esta escuchando, pero no redirecciona a mi servidor web.
Tengo un router neutro con el cual me va sin problemas.
Pero con el H500-s imposible
¿Alguien tiene alguna idea?
Saludos
Buenas noches.
Tengo el Sercom H 500 S de vodafone y tengo la clave admin, pero me surge este problema cuando intento mapear el 443 tal y como pone el comando de SSH.
add port mapping https tcp 443 : 443 443 : 443 192.168.0.5
Lofgicamente meto mi IP, pero me sale esto %Unknown command.
Que hago mal y gracias
Creo que únicamente te falta ejecutar el comando config para entrar en el modo de configuración.
Después de eso, si tecleas un ? verás que te aparece, entre los comandos disponibles, add.
Un saludo.
Hola es cierto y ahora me sale esto.
IP is invalid,
Y lo he probado muchas veces, creo que es algo del ejecutor del comando.
Gracias
¿Puede que la IP a la que estés apuntando ese puerto no esté en la misma subred que el router?
Hola, estoy intentando redirigir el puerto 445 (Samba) a un servidor NAS en mi red interna para poder acceder desde fuera. Sin embargo cuando redirijo el puerto a la IP interna no consigo acceder desde fuera. El caso es que desde un router Jazztel abriendo el puerto 445 consigo entrar sin problema al NAS desde fuera via Samba. Mi pregunta es, ¿hay alguna restricción de puertos aunque estén redirigidos en el servidor de Vodafone? Gracias
Hola Caberod. En las redes HFC («cable») sí que tenían ciertos puertos restringidos, al menos hace unos años, y aunque tú los abrieses en tu router no había forma de acceder a ellos desde Internet. En las redes FTTH («fibra») actuales yo no he notado ningún bloqueo, ni en Movistar que tuve hace unos años, ni en Vodafone que tengo ahora. Puedes probar a llamarles por teléfono o mandarles algún tweet (@vodafone_es), y si tienes suerte te lo abrirán. Un saludo.
Hola , cuando lo intento hacer pongo el comando indicado y la ip de mi router y me indica IP is invalid.
a qué se debe?
y desde el interface web me indica lo siguiente : This port mapping rule is invalid due to a change to the LAN subnet.
Por el error que indicas, posiblemente el problema está en que has cambiado la IP y/o máscara de red del router.
Revisa que la IP que estás poniendo pertenece a la misma red en la que está configurado el router (Settings, LAN).
Un saludo.
Hola, el primer problema que veo es que en el Control de Acceso del router el servicio ssh está desconectado y aunque le pongo permitir en LAN sigue sin activarse y por tanto sin dar acceso por ssh incluso depués de reiniciar ¿alguna idea de como activar el servicio ssh? (telnet tampoco funciona).
El mensaje de error es el siguiente:
ssh: connect to host 192.168.0.1 port 22: Resource temporarily unavailable
Tal vez en algún firmware distinto (¿de otro ISP?) venga capado para que sólo sea accesible desde las IPs del proveedor, o esté el servicio en otro puerto.
Acabo de probarlo en uno con el firmware Vodafone-H-500-s-v3.5.09 y he podido activarlo y acceder sin problema.
Lamento no poder ayudarte más con este problema.
Hola, tengo este router ya que tengo fibra con finetwork y me la instala vodafone, estoy intentando abrir el puerto 3139 y no lo consigo he visto que mi firmware es el 3.4 ¿como puedo cambiarlo a la nueva version para ver si asi soy capaz?
Hola Iván. En la web de OpenWRT tienes un listado de los firmwares oficiales, y en BandaAncha también han publicado varios enlaces.