Manual Configuración DMZ

ADSL, CableMódem y
WiMAX

Octubre, 2009

Subdirección Reparaciones
 Procedimiento Soporte Servicio Banda Ancha
Configuración DMZ

1. ¿Que es una DMZ?

Una DMZ (Zona Desmilitarizada) es un segmento de red
en LAN al cual se tiene acceso desde Internet o la
Intranet a servicios que son públicos controlando el
acceso con PAT (Port Address Translation), el cual es
una extensión de NAT (Network Address Translation),
por ejemplo a un servidor para gestión de cámaras de
video, un servidor Web, servidor FTP, etc. La
configuración DMZ que se realiza en los CPEs de UNE
se conoce como un “DMZ host modo cliente”, pues se
define una regla que permite el acceso a un rango de
puertos desde Internet a un PC con una IP especifica
en la red LAN.
2. Configurar una DMZ
Para configurar una regla DMZ, se necesita acceder al
respectivo CPE vía Web o por línea de comandos (CLI)
y seguir el respectivo manual de configuración del
modem, actualmente se dispone de los siguientes tipos
de CPEs: Thomson (referencias: 510, 546, 780, 585,
DCW725), D-Link (DSL500B, DSL-522B) Allied-Telesyn-
AT-AR236E, Siemens-Gigaset SX762, Scientific
Atlanta-DPR2325 y Ambit U10C019.
Cada CPE tiene una interfaz Web que permite realizar la
configuración, en algunos es posible configurar la regla
DMZ por línea de comandos, los manuales se orientan a
una configuración vía Web.
El usuario debe informar la dirección IP del PC al cual se
le debe configurar la regla (Nota: para los clientes con
servicio de Cablemodem se debe tomar adicionalmente
la dirección MAC de la tarjeta de red).
2.1 CPEs Thomson Referencia 510, 546, 780, 585

Para configurar la DMZ en estos CPEs se manejan

dos opciones: vía Web o CLI, ambas con permisos
de Administrador.
UNE ha definido una política de acceso a los CPEs
xDSL, la cual establece:
Medellín: Bogotá:
User: admin User: admin
Password: ACP-XXXXX Password: Cpe04Epm

Nota: Aun para Medellín es posible encontrar CPEs cuya

configuración de administración en el password es un
nemotécnico de la posición en DSLAM, que se construye
con las siglas de central, shelf, slot y circuito, ejemplo:
Aquí el numero del Nodo corresponde al El Retiro, cuyo nemotécnico
es ere; La contraseña para este caso es: ere139
Esta configuración se puede realizar vía Web o Telnet

Vía WEB:
2.1.1 Ingresar a la configuración del CPE a través de la IP publica
2.1.1.a Click en “Toolbox”
2.1.1.b Click en el vinculo “game or application sharing”
2.1.1.c Click al vinculo “create a new game or application”
2.1.1.d En el cuadro de texto “Name” ingresamos la descripción DMZ
2.1.1.e Se selecciona la opción “manual entry of port maps”
2.1.1.f Click en “Next”
2.1.1.g A continuación se define los puertos que harán parte de la regla DMZ
se ingresa el rango 20 to 65500
2.1.1.h Click en “Add”
2.1.1.i
En este pantallazo se muestra ya la regla creada a continuación se da
click en el vinculo “assign a game or application to a local network
device”
2.1.1.j Se busca en la lista la nueva regla creada (DMZ)
2.1.1.k Una vez seleccionada la regla DMZ en el cuadro de texto
siguiente, se ingresa la IP requerida para la apertura de los
puertos
2.1.1.l Click en “Add”
2.1.1.m En la imagen se muestra la regla creada y asignada a la
dirección IP del equipo del cliente
Para editar la regla DMZ, se busca en “Game & Application Sharing”,
se da CLICK en “Configure”
Aquí dar Click en “Edit”
Se ingresa la nueva dirección IP y luego Click en “Apply”
Después del cambio de dirección IP queda como muestra la
imagen:
2.1.1.n Cambio de contraseña Modem Thomson –Speedtouch
Para aquellos casos que el modem entre sin solicitar contraseña o esta con
usuario: admin y clave: admin, se debe cambiar al esquema del ACP, dar
Click en “Toolbox” allí se despliega un menú y se selecciona la opción
“User Management”
Al dar click en “User Management” carga una nueva sección en donde
es posible cambiar la contraseña del usuario de gestión: admin
Dar Click en la en vinculo “Change my password” para que
despliegue la sección de cambio de password.
Aquí en esta sección se debe ingresar la contraseña del servicio que
debe ser el ACP asociado al servicio. Después de ingresar los datos dar
click en el botón “Change Password” para guardar los cambios.
2.1.1.o Vía TELNET:
4.1.1 Acceso a un agregador de servicios o una maquina con
Internet que permita salida Telnet.
4.1.2 login: admin, password: ACP o posición física del
DSLAM.
4.1.3 Una vez se ingresa a la línea de consola del CPE, se
ingresan los siguientes comandos:

service host add name=DMZ mode=client

service host rule add name=DMZ protocol=any portrange=20-65500
service host assign name=DMZ host=192.168.1.3(IP del cliente
service system modify name=HTTP state=enabled port=8089
firewall config state disabled
saveall

Nota: Si el DMZ fue creado vía Web, se debe ingresar vía Telnet y ejecutar
las tres ultimas líneas de comandos (resaltadas en rojo); de lo
contrario se perderá la gestión remota del CPE.
Después de obtener la dirección publica ingresar vía telnet al CPE
con su usuario y contraseña y aplicar los comandos para la
configuración de la DMZ, ver imágenes de ingreso al CPE.
Cuando se ingrese al CPE se pegan la lista de comandos para la
DMZ y el servicio ya queda configurado. Ver imagen.
2.2. CPEs D-Link (DSL500B, DSL522B)
Inicialmente se configura la gestión remota por el puerto
8089 vía Web y Telnet por el puerto 2323, antes de
configurar la regla DMZ:

Acceso Vía Web:

2.3.1. Ingresar al CPE a través de la IP pública
2.3.2. login: admin password: ACP o posición física en el
DSLAM
2.3.3. Click en “Advanced Setup”
2.3.4. Click en “NAT”
2.3.5. Click en “Virtual Servers”
2.3.6. Click en “Add”
2.3.7. En “Select a Service” selecciona “Web Server
(HTTP)”
2.3.8 En “Server IP address” se introduce la dirección IP
LAN del CPE

2.3.9 “External Port Start y External Port End” se ingresa

8089; en “Internal Port Start y Internal Port End”
se ingresa el puerto 80

2.3.10 En el mismo “Virtual Servers” se añaden los puertos

para la gestión por TELNET: “External Port Start y
External Port End” se ingresa 2323; en “Internal
Port Start y Internal Port End” se ingresa el puerto
23

2.3.11 Click en el botón “Save/Apply” para guardar los

cambios
Debe quedar como muestra la imagen, después dar
click en la sección “DMZ Host”
Configuración de la regla

Regla DMZ Host

2.3.12 Click en “NAT”
2.3.13 Click “DMZ Host”
2.3.14 En el cuadro de texto “DMZ Host IP Address” se
ingresa la dirección IP que necesite la apertura de
puertos
2.3.15 Click en el botón “Save/Apply” para guardar los
cambios
Cambio de contraseña Modem D-Link

Para aquellos casos que el modem entre sin solicitar contraseña o esta
con usuario: admin y clave: admin, se debe cambiar al esquema del
ACP, dar click en la sección “Management”
Aquí dar click en la sección “Access Control”
En la sección “Access Control”, dar click en la opción “Passwords”
En esta sección dar click en la pestaña de “username” para seleccionar
el usuario que se le va cambiar la clave, para el caso es admin
Seleccionado el usuario admin hacer el cambio por el ACP asociado al
servicio y dar click en el botón “save/apply” para guardar los cambios.
2.4 CPEs Allied Telesyn AT-AR236E
2.4.1 Se ingresa a la gestión remota del CPE a través de
la IP publica de WAN
2.4.2 username: admin, password :ACP o posición; el
acceso por defecto del Telesyn es: login: manager,
password: friend
2.4.3 Click en “Advanced”
2.4.4 Se ubica el cursor sobre el vinculo LAN se
despliegan dos opciones, dar click en la segunda
opción: LAN Clients
2.4.5 En la opción “Select LAN Connection” se debe
elegir “LAN group 1”
2.4.6 A continuación en “Enter IP Address” se ingresa la
dirección IP del equipo del cliente al cual se le va a
activar la DMZ
2.4.7 Click en “Apply”
Ingresar la direccion IP a configurar el DMZ Host en el campo Enter IP
Address, dar click en Apply para reservar la IP.
Despues de reservar la IP queda como una direccion estatica en el CPE. Dar
entonces Click en la opcion Application del menu de la izquierda.
2.4.8 En el menú de la izquierda se debe ubicar el cursor sobre “Application”
una vez hecho esto se despliegan varias opciones. Se debe dar click sobre
“Port Forwarding”
2.4.9 En el siguiente pantallazo dar click sobre la opción
Custom Port Forwarding en la parte derecha de la pantalla
En esta sección se definen la reglas de port forwarding para dejar habilitada
la gestion por los puertos 8089(Web) y 2323(Telnet) antes de configurar el
DMZ Host.
Inicialmente se configura la regla para tener gestion via Web por el puerto 8089, se
ingresa la IP de la interface LAN del CPE para el caso es 192.168.1.1, en el campo
Destination IP Address en los campos Destination Port Start y Destination Por
End se asigna el puerto 8089 y como Destination Port Map el puerto 80, verificar
que este activa la opción Enable, luego dar click en el botón Apply
Para la sesion telnet se crea la regla correspondiente, donde en los campos
Destination Port Start y Destination Por End se asigna el puerto 2323 y como
Destination Port Map el puerto 23, verificar que este activa la opción Enable, luego
dar click en el botón Apply.
Finalizada la creacion de las reglas para la gestión dar click en el botón “Apply”
luego en “Save Settings” para guardar la configuración.
Ingresar por la IP publica al CPE puerto 8089, loguearse con los datos de
autenticacion. En el menu de la barra superior dar click en Advanced, luego
en Application y finalmente en Port Forwarding.
En la seccion Port Forwarding verificar que en campo LAN IP este
seleccionada la IP del PC del cliente para la DMZ, luego de esto dar click
en DMZ, para ingresar a la seccion de activacion de la regla.
En la sección de DMZ se debe verificar la IP ha configurar en el campo Select a LAN
IP Address, habilitar la opción Enable DMZ
2.4.10 Se selecciona la “WAN Connection”
2.4.11 Se elige “LAN group 1”
2.4.12 Se selecciona la dirección IP del equipo del cliente se activa la opcion Enable
DMZ
2.4.13 Click en “Apply” y Click en Save Settings para guardar la configuración.
2.5 CPEs Siemens Gigaset SX762 WLAN
Para ingresar al Siemens o Caja Mágica se debe
digitar en el navegador la dirección IP pública que toma y
acceder por el puerto 8080, por ejemplo:
http://200.116.237.49:8080 donde autentica de la
siguiente manera: Si el portafolio es un servicio de Banda
Ancha la clave es el ACP de ese contrato y si es un
servicio 3 Play la clave es el identificador de ese contrato.

Nota: En caso de que ninguna de estas dos claves

funcione, se sugiere probar con la clave de fábrica la cual
es d3c0ntr0l
Click en Aceptar
Al ingresar, hay cinco opciones o pestañas las cuales dan la
posibilidad de modificar y chequear el estado y la configuración
básica del cpe como tal, esas pestañas son: Inicio, Asistente de
configuración, Asistente de configuración de seguridad,
Configuración avanzada y Estado.
En la pestaña “Configuración Avanzada” se encuentran
varias opciones donde se pueden configurar algunos
servicios como la interfaz inalámbrica, DMZ y demás.
En la opción Internet, se debe verificar que esté habilitada
para que detecte el enlace automáticamente ya que de lo
contrario, estaría funcionando por Tipo de Conexión,
generando una marcación que en este caso no funciona.
 Dentro del menú que despliega, click en la opción NAT, donde se
encuentran las opciones para activar puertos, redireccionar Puertos
y el Host Expuesto (DMZ). En la opción Host Expuesto la cual
cumple la función de habilitar un DMZ a una IP específica.
Se registra la dirección IP, el comentario ( DMZ), activar la regla y
click en “Añadir”, luego click en el botón “Aceptar” y la regla
queda guardada y activada.
Para verificar la regla creada dar click en “NAT”, luego en “Host expuesto”
Aquí se visualiza la regla creada, para cambiar la dirección IP se edita
el ultimo octeto y click en “Aceptar”, para eliminar la regla dar click en el
botón “Eliminar”
Lo que en los otros puertos se conoce como Port
Triggering, aquí figura como Activación de puertos; donde
se habilitan puertos o rango de puertos según la necesidad
del usuario.
La opción de Redirección de puertos la cual
Se conoce también como Forwarding, la cual permite
habilitar un puerto o un rango de puertos lógicos y
redireccionarlos a una dirección IP válida específica dentro
del rango que tiene el CPE.
Cambiar el puerto de gestión remota sobre el Gigaset
SX762

- Click en “Configuración Avanzada”

- Click en “Administración”
- Click en “Administración del Sistema”
- En el campo de puerto cambiar del 8080 al 8089
- Click en “Aceptar” para guardar configuración
2.6 CPEs AMBIT U10C019 Wi-Fi
Para ingresar a la gestión de este CPE se requiere obtener la MAC
del Cablemódem y con esta consultar la dirección IP de gestión del
CPE desde el portal:
http://brookesia.une.net.co/cgibin/helpdesk/chequeocablemodem.cgi
Para Ingresar a este módem se tiene:
User: admin
Password: cableroot

El CPE permite configurar parámetros como Wireless, DMZ, Static

Lease, Forwarding y Port Triggering los cuales son los servicios
más solicitados por los clientes. Cómo se sabe, el DMZ permite
tener acceso y/o gestión sobre los 65536 puertos lógicos a una
dirección IP específica; es el más solicitado por el cliente para tener
acceso a sus juegos en línea, sus programas P2P, para tener
acceso a VPN’s. Para configurar un DMZ en un CPE Ambit se debe
ingresar a la pestaña “Gateway” en la opción DMZ Host donde el
CPE por defecto ya tiene definido que el direccionamiento es
192.168.0.X, solo basta con agregar el último octeto de la dirección
que nos indica el cliente para activar el DMZ.
Dar click en “Login” para ingresar al modem, el cual le solicita
usuario y contraseña
En la ventana de dialogo, ingresar usuario: admin
Contraseña: cableroot y click en el botón “Aceptar”
Dar click en vinculo del menú “GATEWAY” para ingresar a la
sección de configuración de la DMZ.
Para configurar la DMZ dar click en “DMZ Host”
En la sección DMZ Host se debe ingresar el ultimo octeto de la
dirección IP del PC indicada por el cliente y dar click en el botón
“Apply”
En algunos Cable Modems es posible fijar la dirección IP, para que el CPE
siempre asigne la misma dirección al PC, esto se logra asociando la MAC
a la IP configurada en la DMZ, para ello después de aplicar la regla con
“Apply” dar click en “TOOLS”
Al dar click en la sección “Client List” se accede a la
visualización de PCs conectados por puerto ethernet.
En la sección “TOOLS” se puede ver le PC conectado y si coincide
con el PC del usuario a que se le configuro la DMZ, copiar la MAC,
dar click en la opción “GATEWAY”
En la esta sección dar click en “Static Lease” donde es posible
registrar las MACs de los PCs con la respectiva dirección que
le quedara fija.
En esta sección registrar la MAC del PC, la IP asignada habilitar la
opción “Enabled” y finalmente dar click en el botón “Apply” para
guardar los cambios.
El Forwarding permite habilitar un puerto o un rango
de puertos lógicos y redireccionarlos a una dirección IP
válida específica dentro del rango que tiene el CPE. Aquí
se agrega la IP privada a la cual se van a redireccionar
los puertos, el puerto interno al que quiere que le lleguen
las peticiones y el puerto o rango de puertos que necesita
tener abiertos con su respectivo protocolo ya sea UDP,
TCP o ambos.
Port Triggering el cual nos permite habilitar un rango de
puertos que el cliente necesite en su momento con su
respectivo protocolo (UDP o TCP).
2.7 Thomson DCW725 WiFi
Para ingresar al CPE Thomson debemos ingresar por la IP interna
o de gestión cargándola en el navegador (Ej:10.136.214.185) y
autenticando con el usuario y contraseña correspondiente que para
el Equipo Thomson es: Usuario: (en blanco), clave: admin
Este CPE también permite configurar DMZ, Port Forwarding y Port
Triggering. Se ubica la pestaña “Advanced” y allí están las
opciones requeridas para cada configuración DMZ Host.
Dar click en la opción “DMZ Host”
En esta sección se debe ingresar el ultimo octeto de la dirección
del PC del usuario y luego dar click en el botón “Apply”
Después de dar click en “Apply” la regla queda creada y activada.
2.8 Scientific Atlanta DPR2325 WiFi
Este equipo WiFi posee una particularidad. Su gestión
remota no carga a través de su IP privada si no a través de
su IP pública.
La característica de este Cablemódem WiFi (4LAN + WIFI)
es:

• Por la IP privada: se gestiona la parte del Cablemódem

(system, señal).
• Por la IP pública con puerto 8080: se gestiona la parte
de funciones de red avanzadas. (se deshabilitan las de
sistema y señal).
Una vez ingresando la IP publica del Cable Modem en el
Web browser por el puerto 8080, se ingresa
usuario: admin
password: W2402
Al darle click en la Pestaña Setup, sale la ventana emergente donde solicita
usuario y contraseña. Usuario: admin y contraseña: W2402
Para configurar la DMZ en este CPE se da click en el vinculo “DMZ Host” en la sección
Advanced Settings
 En esta sección se digita el ultimo octeto de la dirección IP del PC

Después de ingresar la IP dar click en el botón “Apply” para activar y guardar

Para fijar la dirección IP, en la sección Basic Settings dar click en:
“Fixed CPE IP Assignment”
Registrar la MAC del PC, la dirección IP a fijar (DMZ) y dar click en
el botón “Add Static IP”
Después de agregada a la lista, queda como muestra la imagen, si
se desea borrar, la IP reservada, seleccionarla y dar click en el
botón “Remove Static IP”
2.9 Gigaset SE461 WiMAX
2.9.1 Para la configuración de la DMZ en este CPE, se
debe ingresar por Web browser por la IP privada de
Gestión y click en “Login”
2.9.2 Ingresa usuario: admin, password:L#1rW&dL(edO5a
2.9.3 Cuando aparezca la interfaz de configuración, en
El menú de se ingresa a la sección Network Configuration dar click en la
opción “Basic” y después en “NAPT”. Por defecto la DMZ está
configurada a la IP 192.168.2.150, pero se puede cambiar la IP que
requiera el cliente, dar click en “Save Changes” y “Logout”.
 Conclusiones

1. Los CPEs con configuración de DMZ sobre tecnologia acceso XDSL, deben quedar con
gestión, cambiando donde aplique la contraseña a el ACP-XXXX (Clientes de Medellin).
Para el caso de Bogota la contraseña de acceso debe ser Cpe04Epm

2. Los clientes con acceso XDSL, deben configurar la dirección IP fija en su tarjeta de red.

3. Para los clientes con acceso HFC, existe la posibilidad en algunos modems de fijar la
dirección IP de la DMZ, asociando esta IP a la MAC del PC del cliente.

4. Todos los casos que sean escalados deben estar debidamente documentados.
5. Verificar que el usuario no tenga habilitado algun software de seguridad que al hacer
pruebas con ping o de conexión vía Web no permita la conexión al PC con la dirección
IP de la DMZ.
6. Es posible encontrar equipos sobre tecnologia XDSL, con gestion por la ip publica en
puertos 8080, 8081 y 8181 ( http//:ip_publica:puerto), se debe estandarizar la gestion
por el puerto 8089