# [Redes] Vigilar un router conectado a la red (Abierto)

## ZaPa

Hola a todos, como están? Un día  más, vengo a dar un poco la lata con mis inquietudes jeje, en este caso me gustaria saber si se podria hacer lo siguiente..veamos.

Si tengo 1 red LAN, en el rango 10.0.1.x por ejemplo, y a esa red, conecto un router, al cual, en la boca WAN, conecto un cable de dicha red en el rango 10.0.1.x y a la vez saco 4 cables LAN de este propio router y creo una nueva red (192.168.2.x).

Claro, desde la red 10.0.1.x yo no podria acceder a la red 192.168.2.x ni al mismo router, pero eso es lo que me gustaria saber. 

Ahi alguna forma de poder entrar a administrar (para vigilar) el router que hace el ruteo entre las 2 redes? Para ver que clientes wireless se conectan y que es lo que hace el tipo con ese router?

Me gustaria saber de que forma puedo vigilar dicho router, que esta dentro de mi red, pero a la vez, esta creando otra red externa a la mía.

Un saludo, espero que me haya explicado bien.

Muchisimas gracias.

----------

## Inodoro_Pereyra

El router de la 10.X corre linux?

De ser así, hay muchísimas formas de controlar el tráfico que pasa por el y filtrar el que se origine en el número de IP wan del router que hace NAT a 192.168.X:

netstat | un poco de filtrado con grep y paciencia.

iptraf

iftop

ntop

ettercap

tcpdump

cacti

trafshow

wireshark si el router tiene X instalado.

Y seguramente muchos mas que no conozco... No sé puntualmente que es lo que necesitas controlar.

Si el router que sirve a la red 10.X no corre linux, se puede poner una pc con linux en frente y dos interfaces de red en modo bridge y de nuevo, elegir algún programa de la lista.

Si la red 10.X está conectada a un hub de los que no tienen caché arp, bastará con poner en modo promiscuo la placa de red de cualquier pc en la red 10.X para recibir el tráfico. Si el switch es administrable, igualmente se podría hacer bonding entre el puerto conectado a la interface WAN del router que hace NAT a 192.168.X con otro puerto cualquiera del switch y recibir una copia de todo el tráfico desde otra pc.

Por último, algún ataque man-in-the-middle también te permitiría ver todo el tráfico de la red desde un pc cualquiera.

(A ver si algo de todo esto sirve)

Salud!

----------

## ZaPa

Hola Inodoro_pereyra.

Pero todo esto que me has indicado arriba, es en un supuesto que yo tenga acceso para meter mano al router que hac el enrutamiento de 10.0.10.x a 192.168.2.x...

Pero si no tengo acceso a ese router?

¿Que se puede hacer?

Un saludo.

----------

## Inodoro_Pereyra

No me has leído por completo supongo, por que cualquiera de esas aplicaciones sirve para monitorear todo el tráfico que pasa por la red, incluído el que origine tu segundo router, el que hace nat entre 192.168.X y 10.X, indistintamente de si está bajo tu control o no.

Es cuestión de filtrar el IP correspondiente y listo.

Salud!

----------

## ZaPa

Ya entiendo Inodoro_Pereyra, creia que decias de instalar alguna de esas aplicaciones en el router que hace el ruteo de la red 10.0.10.x a 192.168.2.x.

Pero claro...si ahi varios routers en la red, con el mismo segmento..es decir.. que si ahi 3/4 routers que hacen la conversión de 10.0.10.x a 192.168.2.x como identificaria el tráfico de cada uno? Por la dirección mac?

La cuestión es que quiero evitar que compartan la conexión por wireless con algun vecino, pero claro, no puedo poner filtro mac ya que eso limita mucho al propio usuario.

¿Entonces la única solución seria esa?

¿No podria obtener alguna acceso remoto al router de ningúna forma?

Un saludo.

----------

## ZaPa

Hola de nuevo.

Veamos, tengo en mi pc corriendo wireshark (yo estoy dento de la 1º red 10.0.10.x).

Para ver el tráfico del router que hace el enlace entre (10.0.2.x y 192.168.2.x). Tendria que instalar si o si wireshark en el router de 10.0.2.x o vale en que algun cliente de esa red (como es mi laptop) corra wireshark?

¿Supongo que lo lógico será que tendré que instalarlo en el router principal,cierto?

¿De que forma podria limitar el máximo de clientes que pueda albergar el 2º router (el que hace el cambio de 10.0.10.x a 192.168.2.x)?

El caso es que inicio wireshark en mi portatil y visualizo un monton de peticiones arp, pero solamente eso.

Un saludo.

----------

## paynalton

Podrias tener acceso a cualquier equipo de otra red si cumples con las siguientes condiciones:

1 tener un router que enlace tu red con alguna otra

2 que ese router enrute correctamente los paquetes entre ambas redes y te de permisos de paso.

Y con el comando

```
route add -net 100.1.1.0 -m 255.255.255.0 -gw 192.168.1.47 -dev eth1
```

podrías llegar a la red 100.1.1.X si esta está enrutada por el router 192.168.1.47

Obviamente esto no sirve si el router no está dentro de tu red pues las políticas de seguridad te impiden usar routers externos.

Para el monitoreo, una vez que tengas el enrutamiento correcto y puedas llegar a tu red externa, podrías utilizar Nmap para hacer escaneos de todo el rango IP de esa red y ver cuantos equipos tienes conectados.

Igualmente podrías utilizar Nagios para mantener un monitoreo constante sobre las distintas redes que tengas a tu alcance.

Wireshark solo funciona con los paquetes dentro de tu misma red, pero puedes colocar una máquina conectada físicamente a todas las redes y usar whireshark para vigilarlas a todas, solo ten cuidado de no enrutar desde allí tus redes o tendrías una invasión de marcianos en tus routers.

----------

## ZaPa

Hola de nuevo y muchas gracias por sus respuestas.

Veamos.....

Con lo que dices de:

```

Obviamente esto no sirve si el router no está dentro de tu red pues las políticas de seguridad te impiden usar routers externos

```

¿Dentro de mi red? Claro que esta dentro de mi red. seria algo asi:

```

Conexion ----> Router P4 -----------SWITCH --------------ROUTER (192.168.2.X)

```

La situación sería esa, yo estoy conectado a la red mediante el switch pero claro esa, en otra boca LAN diferente.

Y despues viene el router que hace la unión de 10.0.2.x a 192.168.2.x, yo estoy dentor de la 10.0.2.x pero no dentro de la 192.168.2.x.

El router del que me gustaria tener el control sería del último, el cual esta configurado de la siguiente manera:

```

--------CONFIGURACIÓN WAN-----------

IP WAN: 10.0.2.3

Mascara: 255.255.255.0

Puerta enlace: 10.0.2.1

------CONFIUGRACIÓN LAN------------

IP LAN: 192.168.2.1

```

¿Se me entiende?

Aver si me pueden ayudar. 

Un saludo.

----------

## Inodoro_Pereyra

Bueno ahora que hay un poco mas de información se aclara bastante.

Instala wireshark o lo que mas te guste en tu router p4, vigila todo lo que se origine en el numero de IP 10.0.2.3 y listo.

Si es por vigilar desde el laptop ese, entonces necesitas atacar la red de alguna forma con lo que se conoce como man in the middle. El mas popular de estos ataques es por envenamiento de la caché ARP de la victima y el router. Ettercap puede hacer este tipo de ataques y unos 3 o 4 mas del mismo tipo, aun que no tan efectivos en algunos casos.

Evitar que se abusen de la conexión ya lo discutimos en este hilo.

http://es.wikipedia.org/wiki/Ataque_Man-in-the-middle

Salud!

----------

## ZaPa

Hola de nuevo y graicas por sus respuesta y su tiempo..

Inodoro_pereyra, haciedno como dices, lo único que veré es el tráfico que origina 10.0.2.3,cierto?

Pero no veré si ese tráfico es generado por 2/3/4/5 ordenadores dentro de esa red interna (192.168.2.x).

Lo que a mi me interesaria es no ver el tráfico, si no, de alguna forma , poder ver los pcs conectados a dicha red (192.168.2.x), pero desde mi red (10.0.2.x)..

¿Alguna idea?

Un saludo.

----------

## paynalton

 *ZaPa wrote:*   

> 
> 
> ¿Dentro de mi red? Claro que esta dentro de mi red. seria algo asi:
> 
> ```
> ...

 

Con el switch no deberias tener ningun problema pues ese simplemente reenvia paquetes. Si, como en tu diagrama, tu te encuentras en "conexion", deberías entonces agregar una ruta del tipo:

```
route add -net 10.0.2.0 netmask 255.255.255.0 gw 192.168.2.1 dev eth0
```

Además, deberías tener habilitado el enrutamiento de paquetes en P4 y una ruta del tipo:

```
route add -net 10.0.2.0 netmask 255.255.255.0 gw (el otro router) dev eth1
```

y tanto en P4 como en tu otro router deberías tener establecidas rutas para el regresoo de los paquetes.

Una vez que lo tengas manda pings desde tu máquina hasta cualquier máquina de la red a la que quieres acceder. Si recibes respuesta entonces solo necesitaras el Nmap o nagios para estar monitoreando esa red.

----------

## Inodoro_Pereyra

Tal y como dice paynalton funcionaría si no fuera que el segundo router no está bajo tu control (y no se trata de un pc corriendo linux, si no de un routercito de esos por hardware), cierto?

Si de alguna forma pudieras conseguir control sobre el segundo router y este no corre linux, todos los routers tienen la posibilidad de especificar rutas estáticas también. Solo sería cuestión de seguir las instrucciones de paynalton.

Ahora, si el problema es que un usuario te ha colgado un router de la red sin tu consentimiento y vende o regala un servicio por el que se le está cobrando un canon (y hay un contrato que especifica que no se puede), entonces podrías como ya se habló en el otro hilo, implementar ESFQ o connlimit (que al final no he probado), de forma de que solo puedan hacer uso pero no abuso. Que en caso de abuso se encuentren con un bloqueo que los deje sin servicio. Eso desalentará al dueño del router de seguir vendiendo o regalando un servicio ajeno.

Salud!

**Editado para cambiar donde había escrito paynation por paynalton  :Very Happy: 

----------

## ZaPa

Hola de nuevo.

Paynalton sobre lo que dices:

 *Quote:*   

> 
> 
> Con el switch no deberias tener ningun problema pues ese simplemente reenvia paquetes. Si, como en tu diagrama, tu te encuentras en "conexion", deberías entonces agregar una ruta del tipo
> 
> 

 

Mi situación no sería en Conexión, yo estaria como digo arriba conectado al switch al igual que el router al que quiero controlar, seria algo asi:

```

Conexion Internet ----> Router P4 -----------SWITCH --------------ROUTER (192.168.2.X)

                                              l

                                              l

                                             YO    

```

De todas formas, yo tengo acceso al router p4 como he comentado arriba y podria instalar cualquier aplicación, y si la solución es definir rutas estáticas en el 2º router tambien puedo hacer una visitilla al individuo que tiene el 2º router y definir una ruta estática.

Lo que pasa aqui es que, coloqué ese 2º router a un piso, el cual se van a conectar 2/3 portatiles, pero claro, lo que me gustaria hacer es poder entrar a dicho router para poder controlar que macs se conectan. 

Y otra cosa...

Si al final no consigo acceder a la otra RED (192.168.2.x) separada de 10.0.2.x por el segundo router.

Si  despues añado en otro sitio un router wifi para el uso interno de esa casa, la ip LAN tendria que ser diferente a 192.168.2.x? ¿o como seria?

Es decir yo ahora mismo que no tengo acceso a esa 2º red (192.168.2.x) puedo poner en distintos sitios un router con una ip wan: 10.0.2.x y  la lan 192.168.2.1, pero claro, si consigo acceso a la red del 2º router (192.168.2.x) despues ya no podria repetirse ese rango en la red, ¿no? osea, en otro sitio no podria poner una ip lan 192.168.2.x tendria que variar?

¿Me entienden?

Un saludo.

PD: El 2º router es un router sin linux, un router hardware no es ningún pc corriendo linux.

Saludos.

----------

## paynalton

Bueno, pues así como lo mencionas es mucho más sencillo.

El router que te conecta a 192.168.2.x, para poder conectarse a la red en la que te encuentras debe estar recibiendo una dirección IP perteneciente  10.0.2.x.

Entonces solo debes establecer tu ruta: 

```
route add -net 192.168.2.0 netmask 255.255.255.0 gw 10.0.2.(la ip del router) dev eth0
```

y trata de hacer ping a cualquier equipo de aquella red.

Ojo, si ese router tiene firewall es posible que tengas que crear reglas de acceso para poder ver los equipos que hay detrás, especialmente quitar el enmascaramiento de IP y permitir el paso de paquetes ICMP.

Por lo demás, si logras que lleguen pings a esa red ya tienes el trabajo hecho.

Y en lo que te refieres a otras redes,hay mucha flexibilidad en lo que puedes hacer, pero lo mejor sería, si vas a tener como "red central" a 10.0.2.x, entonces las demás redes deberían ser diferentes entre sí (192.168.1.x,192.168.2.x,192.168.3.x...) para evitar tener que hacer enrutamientos extraños y no terminar con invasiones marcianas.

----------

## ZaPa

Hola y muchisimas gacias Paynalton por tu respuesta e interes.

 *Quote:*   

> 
> 
> El router que te conecta a 192.168.2.x, para poder conectarse a la red en la que te encuentras debe estar recibiendo una dirección IP perteneciente 10.0.2.x. 
> 
> 

 

Exácto el 2º router, tiene una IP WAN perteneciente a 10.0.2.3,  y la ip LAN es la 192.168.2.1. 

¿Esa ruta donde tendría que definirla? ¿En el laptop con el que yo me conecto? ¿o en el router principal p4?

Conoceis algún documento que este bien sobre ruteos estáticos, me estoy dando cuenta que tengo que ojear algo de documentación urgentemente.

Entonces sabiendo esto....

Cuando yo contrato  una linea de ADSL a un isp, él podría acceder a mi red interna,no? Porque si contrato una linea de cablemodem

Y instalo un router con ip WAN: 84.84.84.84

y una ip lan: 192.168.1.1

El isp podria acceder a mi red lan 192.168.1.1? Que el caso seria el mismo que el que estamos aqui tratando,no?

Un saludo.

----------

## paynalton

La ruta la tendrías que establecer en el equipo desde el que te estás conectando y los permisos en el router que te conecta a 192.168.2.x, en P4 no es necesario que hagas nada.

Y respondiendo a tu pregunta si, tu proveedor de adsl tiene capacidad de entrar a tu red si tu firewall no está protegiendola. Pero otras personas que contratan al mismo proveedor no pueden entrar ya que P4 se encuentra en la red de tu proveedor pero no en la red de ellos, por lo tanto no pueden establecer las rutas pertinentes (aunque existen otros trucos jejeje)

----------

## ZaPa

Hola de nuevo y gracias por tu respuesta de nuevo men  :Smile: .

Ya pero.. ¿los demás no podrian entrar a mi red? Si tienen el mismo isp contratado?

Si actualmente estamos haciendo lo mismo. Un Cliente de una red ( mi laptop ) quiere entrar a una red de otro cliente de la misma red. En este caso mi red actua como si fuera un isp.

¿No seria lo mismo?Si seria asi, si que podrian entrar los demás a mi red,¿cierto?

Un saludo.

----------

## paynalton

No, otros no pueden entrar a tu red a menos que se encuentren dentro de la red de tu ISP, aunque tengan contratado el mismo ISP.

Simplemente intenta hacerlo tu, establece un enrutamiento desde tu laptop usando como gateway un router que no pertenezca a tu red, simplemente obtendrás un error.

Justo como estas ahora, solo puedes establecer rutas usando como gateway P4, tu otro router o cualquier equipo dentro de 10.0.2.x, puesto que son tus únicas salidas posibles a otras redes.

Lo mismo sucede para otras personas en cualquier red. Por ejemplo tu ISP podría establecer una ruta desde sus servidores hasta P4 y acceder a 10.0.2.x, pero sería incapaz de entrar a 192.168.2.x a menos, claro, que tu le autorices y enrutes sus paquetes desde p4.

Incluso si alguien, desde 192.168.2.x coloca un router y una subred detras de él con mil equipos, tu no podrías acceder desde 10.0.2.x a menos que establezcas las rutas y permisos apropiados.

En el caso de corporaciones que necesitan unir dos redes desde diferentes partes del mundo, lo que se hace es crear un tunel que conecta dos equipos conectados ambos a internet. Esos equipos crean un tunel entre ellos y funcionan como gateway para sus respectivas redes a fin de poder pasar paquetes de un lado a otro del mundo.

----------

## ZaPa

Hola de nuevo y muchas gracias paynalton por tu tiempo de verdad.

Pero tu dices que:

 *Quote:*   

> 
> 
> No, otros no pueden entrar a tu red a menos que se encuentren dentro de la red de tu ISP, aunque tengan contratado el mismo ISP.
> 
> 

 

Si tienen contratado mi isp se supone que estan dentro de la red del mismo isp,no?

Por ejemplo cualquier empresa de cable a nivel local.....

Dicha empresa de cable tendrá separada diferentes redes para diferentes puntos de la ciudad,cierto?

Si contrato una linea adsl con ese operador de cable local, y mi vecino también la contrata, él tiene el mismo isp y esta dentro de la misma red de mi isp,¿cierto?

¿Tendría acceso a mi red?¿A toda la red o solamente hasta el primer gateway mio? en este caso el servidor P4.

¿Te refieres a eso a estar dentro de la misma red de isp?[/code]

Un saludo.

----------

## paynalton

Los diferentes clientes de un ISP determinado se mantienen en subredes independientes.

la configuración de la red de un ISP no es muy distinta de la que ellos tienen. Ellos tienen tambien un router P4 que los conecta a internet, y dentro de su propia red tienen routers (los modems que entregan a cada cliente) que los enlazan a las distintas subredes de sus clientes, es decir, cada cliente es una subred independiente unida a internet por medio de la red del ISP.

De esa manera el ISP mantiene control absoluto sobre el acceso a internet y los diferentes clientes no pueden comerse entre sí. Además de que también cada cliente, dentro de su propia subred, puede mantener el rango de IP que desee sin que esto altere a los demás clientes al provocar invasiones marcianas.

----------

## Inodoro_Pereyra

Subred.

Te falta entender ese concepto me parece zapa. Dos subredes distintas no pueden conectarse entre si sin un router de por medio.

Salud!

----------

## ZaPa

Hola de nuevo y gracias Inodoro_Pereyra y Paynalton por vuestras molestias, de verdad, muchisimas gracias.

En redes como veis, voy muy pero que muy verde.

Si sé lo que es una subred y sé que 2 subredes no pueden ser unidas mediante un router.

Pero entonces, ¿un isp utiliza subredes para cada cliente? ¿Separa todo su rango de ips en montones de subredes? ¿o como lo hacen?.

Perdonar mi ignorancia en redes pero aveces me hago un verdadero lio pero intento ir aprendiendo un poco más.

Un saludo.

----------

## paynalton

El ISP no crea precisamente las subredes ni reparte rangos de IP.

el ISP tiene su rango de IP específico y, al contratar con él, te entrega una IP única (ya sea fija o aleatoria) que estará ligada al modem o router que entrega al cliente.

De esa manera el ISP tiene solo una red hecha de sus servidores y tantos modems como clientes tenga.

Ese modem tiene entonces dos IP, una externa que es la que le conecta a la red del ISP y otra interna, que es la que le conecta con las computadoras del cliente, es decir, en una subred creada por el cliente mismo.

La mayoría de los modems traen consigo un servidor DHCP, un DNS, Firewall y demás servicios.

De esa manera el modem puede crear su propia subred con tan solo conectar una o más computadoras a él. Las IP que entrega ese modem solo las entrega por el lado del cliente, ya que la IP externa es proporcionada por el ISP.

Incluso puedes deshabilitar todos los servicios del modem y delegarlo a tus propios servidores, pero siempre, por lo menos, debes usar tu modem como Gateway para poder conectar tus equipos a la red de tu ISP y, por tanto, a internet.

En resumen, tu ISP no necesita entregar una IP por cada computadora que tengan sus clientes, sino una IP por cada modem y estos, por su parte, manejaran IPs locales dentro de la subred de sus clientes.

----------

## ZaPa

Hola paynalton.

Si claro, sé que los isp manejan solamente una ip para cada cliente, sería la ip WAN de cada cliente, y ese router del cliente, tendrá, la IP WAN dentro de la red del isp y aparte la red LAN de casa del cliente donde alojará todas sus máquinas.

Si, esta claro que el isp no va a tener una ip por cada máquina que tenga el cliente, solamente tendrá una ip wan. Y despues con un router como he dicho anteriormente, el cliente creará el rango interno que preferia para su red interna.

Eso es lo que he tratado a lo largo de este post, un cliente tiene  conectado a mi red un router en su casa con la ip wan 10.0.2.3 como he dicho anteriormente. Y ese cliente  tiene un rango creado (192.168.2.x) y lo que me gustaria es acceder a ese rango (192.168.2.x) desde dentro de mi red (10.0.2.x). 

Entonces.... lo que yo intento es acceder a la red 192.168.2.x desde 10.0.2.x pero claro, la red 192.168.2.x y 10.0.2.x están enlazadas por un router que enlaza la interfáz wan (10.0.2.x) con la LAN (192.168.2.x). Dicho cliente solo tiene una ip dentro de mi red (10.0.2.x). (192.168.2.x) ya es propiedad suya.

Me he vuelto a reexplicar porque no se si me habian entendio mal o me lo parece a mí.

No he podido acceder a dicha red (192.168.2.x) creando la ruta que me habias comentado.

Un saludo.

----------

## Inodoro_Pereyra

Creando "la" ruta? Deberían haber sido "las" rutas Zapa.

Como te dijo paynalton mas arriba, dos rutas estáticas, una en tu pc y una en el router que hace NAT entre 10.X y 192.168.2.X.

Y ya que viene al caso, no todos los routers de los ISP hacen NAT. Tengo un proveedor de cablemodem que me da un número de IP público por cada pc interna de la red por ejemplo, le pago por dos hosts, así que con un solo modem/router tengo dos números de IP "WAN" para hacer lo que quiera.

Yo al menos, creo haber entendido perfectamente. Todo lo que necesitas son las dos entradas en las tablas de ruteo.

Salud!

----------

## ZaPa

Hola de nuevo y gracias por sus respuestas  y molestias prestadas con mis dudas.

Ok, pues, mañana iré al lugar donde esta el 2º router (el que hace NAT entre 10.0.2.x y 192.168.2.x) y miraré para crear la 2º ruta y aver si funciona, ya os cuento.

¿Saben algun documento que este bien sobre ruteos estáticos y demás? me gustaria repasar este tema ya que, veo que si o sí necesito repasarmelo.

Un saludo.

----------

