Si quieres usar tu router móvil para acceder remotamente a máquinas (PCs industriales, autómatas, cámaras IP, videograbadores, etc) conectados a su LAN debes saber que no es tan sencillo.
Habitualmente esto suele hacerse a través del mecanismo de PAT o port- forwarding mapeando diferentes puertos TCP/UDP sobre la IP WAN del router a los diferentes equipos y aplicaciones a conectar. Sin embargo, para ello necesitamos dos cosas:
- que la IP WAN del router que nos asigna el operador móvil sea pública y por tanto visible desde Internet
- que la IP WAN del router permita las conexiones entrantes y sea ‘nateable’, es decir, que admita el mapeo de puertos según lo descrito anteriormente
En el post ¿ Cómo puedo saber si mi router tiene una IP pública y accesible desde Internet ? te explicamos cómo averiguar si tu IP cumple los requisitos anteriores. Ya te avanzamos que en la fecha de publicación de este post y debido al crecimiento exponencial de equipos conectados a Internet a través de los operadores móviles muy pocos operadores ofrecen, sin contratación y pago adicional, una IP accesible desde Internet.
Tan sólo Movistar, configurando adecuadamente el APN y método de autenticación puede llegarnos a ofrecer una IP pública y dinámica que podemos usar a través del cliente DynDNS del router para poder acceder a él a través de un nombre de dominio particular. También algunos operadores virtuales especializados en conexiones M2M ofrecen una IP fija a un precio inferior pero normalmente a costa de un precio mucho mayor para el tráfico de datos. Finalmente algunos operadores no ofrecen una IP pública en el router pero sí un número limitado de reglas NAT sobre una IP pública de un servidor propio para acceder remotamente al router.
Por otro lado, las IP fijas suelen tener un mayor número de ataques e intentos de denegación de servicio aunque todos los routers Teltonika disponen de un completo firewall capaz de mitigar la mayor parte de ataques. En nuestro post Recomendaciones de seguridad para tu router Teltonika te indicamos cómo aumentar la protección de tu router ante posibles ataques y amenazas.
Llegado a este punto tenemos tres alternativas para poder acceder a nuestro router.
- contratar un servicio VPN a través del operador móvil
- utilizar el servicio cloud RMS
- crear una VPN con el router
Servicio VPN a través del operador móvil
Sin duda éste es el método más sencillo. Normalmente el operador nos asigna un APN privado para nuestra red y nuestras SIM pasan a tener un direccionamiento privado dentro de nuestra VPN. En el router únicamente tendremos que configurar el APN privado y ya podremos acceder remotamente al router a través de la IP de la VPN privada y a los equipos detrás de él a través de reglas de port-forwarding sobre esta IP.
Sin embargo, no todo son ventajas. Este servicio se suele proporcionar para un número mínimo de tarjetas SIM que eso sí, normalmente pueden compartir a nivel global un volumen de datos mensual dentro del contrato. En muchas ocasiones el servicio también va ligado a la contratación de un servicio de banda ancha (ADSL o FTTH) asociado a la misma VPN.
Para acceder remotamente a los routers tendremos que o bien acceder desde otro router móvil con una SIM de la misma VPN o bien detrás de nuestro router de banda ancha que también estará conectado a dicha VPN. El acceso desde cualquier otro terminal necesitaría de un software cliente de VPN que el operador deberá proporcionarnos con la debida parametrización.
Lógicamente este método nos fuerza a usar el mismo operador en todos nuestros router sin posibilidad de mezclar diferentes operadores
Servicio RMS de Teltonika
El servicio RMS de Teltonika es un servicio cloud que permite el acceso remoto a todos sus routers y gateways aunque no dispongan de IP accesible. ¿Cómo funciona entonces? Porque el router establece una conexión saliente con el servidor RMS y a partir de esta conexión el propio servicio nos conecta ya con el router.
RMS es un servicio basado en web que puede accederse desde cualquier lugar con un simple navegador. Además permite el acceso únicamente HTTP/HTTPS a direcciones IP en la LAN del router. Para ello, RMS genera links temporales que permiten el acceso a servidores web de equipos detrás del router. Remarco la palabra temporales porque esta herramienta está pensada para que un operador pueda acceder al servidor web de un equipo en un momento determinado. No está pensada para crear un acceso permanente que podamos crear para que nuestro cliente pueda monitorizar su instalación cuando quiera. Asimismo, sólo permite tráfico HTTP/HTTPS sin limitación de puerto TCP/UDP pero no permite otros tráficos como Modbus TCP, VNC, FTP, TFPT, etc.
El acceso remoto por RMS no está basado en port forwarding y por tanto no tendremos que crear ninguna regla en el router.
El servicio RMS es un servicio de pago cuyo coste se sitúa alrededor de 2,00 EUR/mes por router monitorizado. Si quieres más información puedes verla aquí
Crear una VPN con nuestro router
Es la opción más compleja aunque nos permite acceder a los equipos detrás del router o bien a través de port-forwarding sobre la IP del túnel en el router o bien directamente a través de la IP directa del dispositivo sin traslación de puertos lo que facilita su uso con cualquier tipo de aplicación incluidas SFTP y otras que no funcionan correctamente sobre PAT.
El problema es que el router debe funcionar como cliente VPN y por tanto debe conectarse a un servidor VPN que deberemos montar o contratar. Para acceder remotamente al router lo podremos hacer desde el propio servidor VPN o bien desde otro cliente VPN (ordenador, teléfono móvil, router o similar) habilitando la comunicación entre clientes.
Los routers Teltonika soportan múltiples protocolos VPN tales como OpenVPN, PPTP, L2TP, IPSec, GRE… El que aconsejamos utilizar es OpenVPN porque es relativamente fácil de configurar, seguro, permite crear redes de Nivel 2 (TAP) y Nivel 3 (TUN) y dispone de software cliente para Windows, Linux, Android y IOS.
En nuestro blog hemos publicado varios artículos sobre cómo montar una VPN con OpenVPN y routers Teltonika. Sin embargo y para facilitar la tarea a nuestros cliente hemos lanzado un servicio VPN de pago con dos modalidades VPN-Lite para pocos dispositivos y VPN-Dedicado para un mayor número de dispositivos donde os podemos suministrar un fichero ovpn para cargar en el router y en un PC o teléfono móvil y poder acceder remotamente a vuestro router.