adrianlattes
Posts: 3
Joined: Tue Jan 05, 2016 11:15 pm

Acceso a través de internet

Tue Jan 26, 2016 8:04 pm

Hola,
Estoy intentando crear un acceso a través de internet a mi raspberry pi.
Ya he configurado la ip estática dentro de mi red (192.168.1.50), me he creado un usuario en no-ip.com y me he instalado la aplicación de no-ip.com en la raspberry (funcionando perfectamente).

Según tengo entendido el próximo paso es configurar los puertos desde el modem, haciendo que coincidan con la configuración de no-ip.
¿Me equivoco en algún punto o me salto algo? ¿Quizás configuro mal los puertos del modem?

Mi router es del siguiente modelo: Comtrend gigabit 802.11n (el que pone telefonica con la fibra optica)

Una captura de la configuración NAT del router (también he probado con el puerto 80):
Image
¿Es posible que tenga que ver con el firewall?
Muchas gracias!

alexandrogiles
Posts: 9
Joined: Tue Jan 26, 2016 6:11 am

Re: Acceso a través de internet

Wed Jan 27, 2016 7:11 am

Hola,

¿Qué tipo de acceso requieres? acceder a ella a través de SSH? o desde VNC o algúna aplicación para inciar sesión gráfica en tu RaspPi?

Si requieres SSH tienes que ir a la configuración de tu router en el área de port forwarding y agregar el puerto de inicio START PORT: 22 y asignarlo a END PORT 22 a la ip estática de tu RasPi:192.168.1.50

en http://portforward.com/english/routers/ ... rindex.htm puedes encontrar más información sobre como hacerlo en diferentes routers.

Una vez hecho eso se reiniciará el router y ahora tendrás que saber cual es tu Ip de salida: http://www.whatsmyip.org/ (hasta arriba te aparecerá tú IP) y ahora sí desde otra computadora conectada a otro internet puedes acceder a tu raspPi usando:

desde Putty: tuIPdesalida:22/ ejemplo: 188.198.155.2:22

y Ya podrás acceder a tu RasPi siempre que sepas tu IP externa al menos desde SSH que usa el puerto 22

hoopdreams
Posts: 313
Joined: Mon Mar 23, 2015 7:51 pm

Re: Acceso a través de internet

Wed Jan 27, 2016 8:16 am

Buenas,

Tengo que discrepar un poco. Utilizar el puerto 22 para SSH supone un peligro ya que es una "puerta conocida". Mejor utilizar otro puerto. Respecto a la IP externa, no la necesitas para nada. Desde tu red local puedes acceder con 192.168.1.X (siendo X en este caso, por lo que te he leído, 50). Para acceder desde otra red accedes gracias a no-ip.

Si miras la página de un usuario de este foro, Cefiro, tienes información sobre como acceder y asegurar todo: http://rpi.uroboros.es/sistema.html

Un saludo.
https://github.com/ikergarcia

User avatar
gunkan
Posts: 30
Joined: Thu Dec 17, 2015 7:17 am

Re: Acceso a través de internet

Wed Jan 27, 2016 12:00 pm

Hola Adrian, creo que lo estás haciendo casi todo bien:

Image

Este es un ejemplo de redirección del puerto 80 desde la red de internet a tu intranet.

No hace falta que pongas el interfaz eth0, con el ppp te vale.

Ahora, desde fuera pues usa http://x.x.x.x:8081 y deberías poder acceder.

Ya que haces eso, sería interesante instalar el ssh (cualquier puerto aleatorio de los libres, no en el 22). Yo lo tengo configurado con una clave privada que uso con Putty y no te pide contraseña, así que evito los ataques de fuerza bruta. La Raspberry no tiene por defecto mecanismos de seguridad y pueden atacarla fácilmente.

Por SSH, con Putty y usando Xming, puedes lanzar aplicaciones de escritorio desde el terminal.

También puedes encriptar el tráfico http a traves de https usando un certificado raiz de apache (que generas en tu servidor y no te cuesta un euro). Así, aunque te conectes en una ref wifi pública, no podrán "sniffarte" el login password o la cookie de autenticación.

La raspberry PI es el añadido perfecto para la fibra en casa. Tienes un servidor casero y nube personal a precio de risa. Hay empresas como CDMON donde puedes comprar un dominio por poco dinero y te dan acceso a una api que instalas en la Raspberry pi (un sh) y actualiza automáticamente la IP. Ahora puedes acceder desde cualquier sitio a tu servidor casero simplemente con tu nombre de dominio.

hoopdreams
Posts: 313
Joined: Mon Mar 23, 2015 7:51 pm

Re: Acceso a través de internet

Wed Jan 27, 2016 1:38 pm

Interesante tu post, gunkan. Estaba ya pensando en montarme mi propia nube y leerte creo que va a ser el salto. Por otro lado, lo de http -> https me interesa más.

Un comentario sobre lo de CDMON. Quizá no lo haya entendido pero, ¿qué diferencia hay con no-ip? Yo puedo acceder desde cualquier red con *.ddns.net, tanto por SSH como por VNC y sin pagar nada.

Por último comentar que en este tema se habló de asegurar SSH: viewtopic.php?f=76&t=110811

Aquí pongo un pequeño programa que hice en Python para analizar los logs: https://github.com/IkerGarcia/SSHlogger

Un saludo.
https://github.com/ikergarcia

User avatar
gunkan
Posts: 30
Joined: Thu Dec 17, 2015 7:17 am

Re: Acceso a través de internet

Wed Jan 27, 2016 2:46 pm

Me ha gustado mucho tu SSHLogger, felicidades. Lo cierto es que yo como uso la autenticación por claves admitidas en el .ssh/authorized_keys no me había planteado usarlo.

Atacar una raspberry es muy "sencillo", por eso es importante tener cuidado si la usamos como servidor casero. Pero si tenemos algo de cuidado no les merecerá la pena atacarnos. Este es uno de los problemas del Internet de las Cosas y trae de cabeza a mucha gente en todo el mundo. Pero el primer sistema de seguridad es el conocimiento y es una gozada tener una comunidad como esta.

Respecto a CDMON, lo decía para no depender de no-ip. Ya me pasó algo parecido con la antigua dyndns. Al principio todo gratis, y al final todo problemas. Te compras un dominio y ya lo tienes para los años que quieras. En mi caso tengo tantos servicios alojados -los cuales comparto- que me merece la pena.

hoopdreams
Posts: 313
Joined: Mon Mar 23, 2015 7:51 pm

Re: Acceso a través de internet

Sun Jan 31, 2016 4:57 pm

Se me había pasado esto.

Gracias por tu comentario gunkan, me alegra que te haya gustado. La autenticación por claves compartidas es mi asignatura pendiente, igual que asegurar VNC: ¿túnel SSH? Creo que es la solución pero la última vez algo debí hacer mal.

Lo de encriptar a través de https me interesa la verdad, he estado viendo unos cuantos tutoriales y a ver si pronto me pongo a ello. ¿Alguna sugerencia?

Lo de CDMON ahora lo entiendo, tras tu segundo comentario. Yo ahora mismo sólo lo uso para SSH cuando no estoy en casa y no necesito nada más que lo que me ofrece noip. De momento problemas ninguno, si los tengo me lo plantearé así que está bien conocer alternativas.

Un saludo.
https://github.com/ikergarcia

User avatar
gunkan
Posts: 30
Joined: Thu Dec 17, 2015 7:17 am

Re: Acceso a través de internet

Mon Feb 01, 2016 11:44 am

Para configurar HTTPS en apache2 yo usé este tutorial:

https://www.digitalocean.com/community/ ... r-debian-7

Lo tengo funcionando, así que si tienes cualquier problema te doy mi configuración.

La gracia es que no tenemos que pagar a un "tercero" por un certificado SSL. Creamos un certificado local y encriptamos el tráfico. La perdida de rendimiento por la encriptación es del 16%, pero merece la pena.

Cuando pagas a una entidad certificadora, lo que hace es que garantiza que tu IP y tu servidor son tuyos y tu eres quien dices ser. Un atacante podría poner una wifi gratuita, tu conectarte y al buscar facebook llevarte a un servidor falso donde introducirías tus datos. La entidad certificadora detectaría que ese servidor no es quien dice ser.

hoopdreams
Posts: 313
Joined: Mon Mar 23, 2015 7:51 pm

Re: Acceso a través de internet

Mon Feb 01, 2016 7:48 pm

Buenas,

Gracias por el tutorial, gunkan. Me he puesto hoy manos a la obra con varias cosas. El acceso SSH es por claves compartidas y tengo https en apache 2 funcionando.

Me he enfrentado a un par de problemas que he podido solucionar: importante si usas ufw añadir a allow los puertos 80 y 443.

Sin embargo, tengo un problema que no puedo solucionar. Entiendo que lo ideal es conectarme desde fuera a mi dirección xxxxx.ddns.net que me proporciona no-ip, sin embargo así no me funciona: ni http ni https. ¿Alguna sugerencia?

Por otro lado, cuando lo tenga funcionando (confío :lol:) ¿cómo le saco provecho por ejemplo si me conecto a una red pública y quiero evitar problemas?

El próximo objetivo es VNC mediante túnel SSH, que la otra vez no me funciono.

Edito: cuestión de puertos, seguro. Luego pruebo desde casa.

Un saludo.
https://github.com/ikergarcia

User avatar
gunkan
Posts: 30
Joined: Thu Dec 17, 2015 7:17 am

Re: Acceso a través de internet

Tue Feb 02, 2016 2:33 pm

Code: Select all

Entiendo que lo ideal es conectarme desde fuera a mi dirección xxxxx.ddns.net que me proporciona no-ip, sin embargo así no me funciona: ni http ni https. ¿Alguna sugerencia?
¿Y si usas la IP directa te funciona?

raspdroid
Posts: 1627
Joined: Thu Nov 06, 2014 9:15 am
Location: Gran Canaria :: España

Re: Acceso a través de internet

Tue Feb 02, 2016 3:49 pm

Me da que no hay otra que un certificado autofirmado sino piensas comprar uno de una entidad certificadora de confianza.

También tienes que añadir reglas en el OS no solo en el router, en el router abre los puertos que necesites apuntando al host que vas a usar que en este caso es la Raspberry Pi supongo.

UFW debe funcionar en Raspbian, si estás usando Raspbian claro.

Saludos

raspdroid
Posts: 1627
Joined: Thu Nov 06, 2014 9:15 am
Location: Gran Canaria :: España

Re: Acceso a través de internet

Tue Feb 02, 2016 4:18 pm

También puedes encriptar el tráfico http a traves de https usando un certificado raiz de apache (que generas en tu servidor y no te cuesta un euro). Así, aunque te conectes en una ref wifi pública, no podrán "sniffarte" el login password o la cookie de autenticación.
En teoría, porque se puede hacer un MiTM con SSLsplit para SSL/TLS y de nada vale.

Cefiro
Posts: 127
Joined: Tue Feb 26, 2013 4:14 pm

Re: Acceso a través de internet

Tue Feb 02, 2016 4:28 pm

hoopdreams wrote:Por otro lado, cuando lo tenga funcionando (confío :lol:) ¿cómo le saco provecho por ejemplo si me conecto a una red pública y quiero evitar problemas?
Creando un servidor VPN. Así: http://www.rpi.uroboros.es/servers.html#5

------
Saludos
Mi web sobre la RasPi: http://www.rpi.uroboros.es

hoopdreams
Posts: 313
Joined: Mon Mar 23, 2015 7:51 pm

Re: Acceso a través de internet

Tue Feb 02, 2016 4:39 pm

gunkan wrote:

Code: Select all

Entiendo que lo ideal es conectarme desde fuera a mi dirección xxxxx.ddns.net que me proporciona no-ip, sin embargo así no me funciona: ni http ni https. ¿Alguna sugerencia?
¿Y si usas la IP directa te funciona?
No sé si has leído el edit, pero era porque no había abierto los puertos en el router. Hecho y funciona.
raspdroid wrote:Me da que no hay otra que un certificado autofirmado sino piensas comprar uno de una entidad certificadora de confianza.

También tienes que añadir reglas en el OS no solo en el router, en el router abre los puertos que necesites apuntando al host que vas a usar que en este caso es la Raspberry Pi supongo.

UFW debe funcionar en Raspbian, si estás usando Raspbian claro.

Saludos
Me habían pasado los dos problemas, no añadir la regla a UFW (que ya lo tenía funcionando) por lo que no podía acceder desde la red local y no abrir los puertos, por lo que no podía acceder desde fuera.
Cefiro wrote:
hoopdreams wrote:Por otro lado, cuando lo tenga funcionando (confío :lol:) ¿cómo le saco provecho por ejemplo si me conecto a una red pública y quiero evitar problemas?
Creando un servidor VPN. Así: http://www.rpi.uroboros.es/servers.html#5

------
Saludos
Mi web sobre la RasPi: http://www.rpi.uroboros.es

Había estado mirando tu página el otro día, suelo estar atento por las novedades que hay de vez en cuando. Me lo miro, gracias.

Un saludo.
https://github.com/ikergarcia

raspdroid
Posts: 1627
Joined: Thu Nov 06, 2014 9:15 am
Location: Gran Canaria :: España

Re: Acceso a través de internet

Tue Feb 02, 2016 7:08 pm

Por cierto CDMON no está mal. Llevo algunos años trabajando con ellos y sin problemas hasta el momento.

Return to “Español”