INSTRUCCIONES para el ROUTER 3COM 812 OCR

• Instrucciones para configurar el router 3COM 812 OfficeConnect en modo multipuesto (usando NAT) con una línea ADSL de IP estática de Wanadoo:

  1 - llevar al router al modo desconfigurado (sin configuración previa), para ello:

  • desconectar el router
  • colocar los 4 pines de la parte trasera en posición OFF
  • presionar el botón azul con el letrero RESET, situado entre los pines y el puerto serie (de Telnet)
  • conectar la corriente manteniendo pulsado el botón de RESET durante al menos 5 segundos
  • desconectar el router
  • volver a conectarlo de modo normal y dejarlo encendido

  2 - conectar el router al puerto serie del ordenador para poder acceder a él mediante Telnet

  3- arrancar un programa de Telnet (en windows podemos usar Hiperterminal, si no aparece en el menú Inicio, hay que agregarlo desde el CD de instalación).

  4 - configurar la conexión con estos parámetros:

  • puerto serie que corresponda (COM1 o COM2)
  • poner la velocidad en 9600, dejando lo demás por defecto
  • pulsar intro y, si aparece 3Com-DSL> en pantalla, estamos conectados.

  5 - los comandos se introducen mediante CLI (command line interface), teniendo en cuenta que ciertos datos nos los debe proporcionar nuestro proveedor de Internet, entre ellos los siguientes (las respuestas proporcionadas son válidas para Wanadoo, pueden diferir en otros casos):

  • dirección IP del router OfficeConnect para la LAN (al interior): puede ser 172.26.0.1
  • máscara de red del router para la LAN (al interior): 255.255.255.0
  • el router actúa como servidor DHCP: no
  • dirección IP desde la que se accede al servidor TFTP del router: 172.26.0.2
  • VPI (virtual path identifier): 8
  • VCI (virtual channel identifier): 32
  • PCR (peak cell rate): 0
  • encapsulado tipo RFC-1483
  • conseguir las direcciones IP usando DHCP: no
  • dirección IP del router para la WAN (al exterior): xxx.xxx.xxx.xxx (proporcionada por Wanadoo)
  • máscara de red del router para la WAN (al exterior): xxx.xxx.xxx.xxx (proporcionada por Wanadoo)
  • interfaz WAN numerada o sin numerar: numerada
  • dirección IP local para la conexión WAN: xxx.xxx.xxx.xxx (proporcionada por Wanadoo)
  • usar el router remoto que estamos configurando como pasarela por defecto: sí
  • ejecutar RIP (routing information protocol): no
  • IPX: no / bridge: no.

  6 - configurar la red en nuestro ordenador (siguiendo nuestro ejemplo):

  • dirección IP 172.26.0.2 (las demás máquinas irían así: 172.2.6.0.3, 172.26.0.4, etc.)
  • máscara de subred: 255.255.255.0
  • pasarela por defecto: 172.26.0.1 (dirección IP del router para la LAN)
  • DNS: 195.235.113.3 / 195.235.96.90 (las de Terra en este caso). Si no estamos satisfechos con el servicio que nos dan podemos usar otras. Las de Terra deberían traducir los nombres más rápidamente por estar en nuestra misma red, aunque hay quejas por retraso en el servicio. Todos los servidores DNS deberían tener la misma lista de nombres.

  7 - desactivar el cortafuegos de windows XP, ahora nuestro ordenador no es visible desde Internet, en cambio el router sí lo es, por lo que una de las primeras medidas que debemos tener en cuenta al terminar el proceso con éxito es cambiar la contraseña de acceso para la configuración del router.

  8 - arrancar el navegador de Internet y teclear una dirección web para comprobar si todo funciona bien.

  9 - para acceder a la configuración de router por navegador web (sin usar el servicio Telnet y el cable de puerto serie) tecleamos esta dirección: http://172.26.0.1 (la dirección IP del router para la LAN), desde esas páginas podemos revisar o modificar la configuración del router.
  El servidor web incorporado en el router usa bastantes Applets de Java, por lo que su carga es lenta y a veces solicita usuario y contraseña de nuevo, ponemos los mismos que al entrar en http://172.26.0.1.
  Redordad realizar el cambio de contraseña, entrando en la herramienta "login/password". Cualquier cambio debe ser refrendado pulsando "guardar configuración".

  10 - observad que todo el proceso puede realizarse sin necesidad de instalar o usar software adicional, simplemente con el programa de terminal (hiperterminal en windows) y un navegador web.

ANOTACIONES AL PROCEDIMIENTO

Cuando chequeamos el router pueden aparecer algunos puertos abiertos:

- el puerto 23 (TELNET) sale abierto en la configuración por defecto, para poder acceder al router en modo consola (no en modo navegador web) desde una dirección IP sin necesidad de usar el cable de puerto serie. Si la contraseña de acceso al router está personalizada y no es la original (adminttd, !root, etc.), es un puerto bastante seguro, pero en realidad no es necesario tenerlo abierto, siempre existe la posibilidad de conectar por consola con el cable serie, que tiene su propia configuración de seguridad y que se puede usar perfectamente sin contraseña de acceso, por lo que es recomendable cerrar este puerto en el router.

- el puerto 80 (HTTP) aparece abierto solamente si existe como tal en la configuración del propio router, para poder usar el servidor web personal, si no se sirven páginas a Internet es recomendable tenerlo cerrado.

- el puerto 69 (TFTP) sale abierto si en la configuración del router tecleamos el comando add tftp client 0.0.0.0 que crea un acceso al router por tftp desde cualquier IP.

- el puerto 139 (NETBIOS) se usa en las redes windows para compartir archivos e impresoras, debe estar cerrado al el exterior (Internet) pues sólo es necesario dentro de la LAN (salvo en ciertas redes, casi simpre de empresa, que lo necesiten abierto). Puede cerrarse desde consola mediante un filtro o activando en la configuración por navegador web la opción referida a "Proteger mis archivos e impresoras".

- podemos desactivar la password de consola (no nos pedirá password para acceder por el puerto de consola del router). Esto puede evitarnos el problema de no poder acceder al router si perdemos la password. Además, por el puerto consola solo puede acceder el propio usuario mediante un cable serie conectado a un ordenador de su red. Para desactivar la password de consola: set command login_required no

- si deseamos poner un filtro de seguridad que impida el acceso al router desde Internet por los puertos de TELNET, HTTP, TFTP y NetBios, desde una sesión de TELNET o Terminal (puerto serie) teclearemos los siguientes comandos para crear y activar dicho filtro, al que llamamos filtro_in :

3Com-DSL> capture text_file filtro_in
#filter
IP:
1 REJECT tcp-dst-port=23;
2 REJECT tcp-dst-port=80;
3 REJECT udp-dst-port=69;
4 REJECT tcp-dst-port=139;
[Control]+[d]
3Com-DSL> add filter filtro_in
3Com-DSL> set interface atm:1 input_filter filtro_in
3Com-DSL> save all

En este filtro, [Control] + [d] significa tener pulsada la tecla Control y, al mismo tiempo, pulsar la tecla d. Con esta secuencia de tecleo se envía el archivo filtro_in a la memoria flash del router.

- lo mismo puede realizarse desde la configuración por navegador web, entrando en "Setup filters" y eligiendo "Advanced IP setup".