Configuración de un Router doméstico

Lo primero que hay que saber es que los Routers se pueden configurar de varias formas y
que, dependiendo de la marca y modelo, cada router tendrá sus particularidades. Tampoco es
igual configurar un router doméstico o de oficina, también llamado SOHO (Small Office, Home
Office) que un router profesional para una LAN de mayor envergadura.

Primero vamos a ver cómo se pueden configurar esos routers domésticos, mostrando los
apartados y menús más comunes en todas las marcas comerciales.

Cómo acceder a la configuración web del router

La forma más sencilla de configurar un router es hacerlo a través del servidor web que se
incluye en el propio router. Se ofrece una interfaz accesible desde cualquier navegador web, de
manera que desde éste se puede configurar la mayor parte de los aspectos básicos del router.

1
 Para acceder al router desde el navegador debemos introducir en la línea superior la
dirección IP del router. La IP del router suele coincidir con la de la puerta de enlace. Para conocer
esta dirección IP podemos abrir el terminal de consola (ventana de comandos) y consultarla
mediante “ipconfig” o “ifconfig”.

Generalmente los routers vienen protegidos con contraseña para evitar que usuarios no
autorizados puedan acceder a ellos. Las más utilizadas, por defecto, por la mayoría de fabricantes
son: admin/admin, admin/password, admin/1234. Muchas veces se indican en la pegatina del
router y si no, puede consultarse en Internet.

Seguidamente aparecerá el entorno de configuración del servidor web del router, donde
suele haber un modo básico y otro avanzado. También es normal separar la configuración de la
LAN cableada de la configuración WIFI y otros servicios.

2
 Un servicio básico es el de consultar los dispositivos vinculados actualmente a la red:

Al seleccionar configuración avanzada, se va ofreciendo mayor información en cada

apartado. En el ejemplo del router de la figura se observan los datos más importantes, tanto del
propio router, como de la configuración cableada e inalámbrica.

3
Configuración de Internet

Aquí se puede configurar la IP del interface del router que se conecta a la WAN o a la MAN
de la compañía proveedora de Internet (ISP). Muchas veces este apartado no es accesible, ya que
la ISP no deja que cambiemos esta IP pública. De ese modo evita que usemos el router para otra
compañía. Al estar en modo dinámico, sí que es posible usar dicho router SOHO como router de
interior de nuestra LAN, o incluso configurarlo solamente como punto de acceso.

En la siguiente figura se observa cómo, para este modelo, sí es posible configurar la conexión
a la WAN, o si se quiere, usar esta configuración para la conexión a otro router.

Hay que decir que, en modelos como éste (cable-router), que son para conexión a una MAN
mediante cable coaxial, lo dicho no sería posible.

4
Configuración LAN

En este apartado se puede configurar la IP del router, de cara a los dispositivos de su red.
Esta IP será la que habrá que escribir como “puerta de enlace predeterminada” en los hosts
configurados en modo estático. La máscara de subred indicará el tamaño de la red. En algunos
modelos tampoco es posible cambiar esta IP, que viene por defecto y normalmente es la:
192.168.1.1 o la 192.168.0.1

5
 También observamos que es posible no usar el servidor DHCP. Todos los routers y puntos de
acceso disponen de un servidor DHCP. Este servidor se encarga de dar direcciones IP de forma
automática, en un rango especificado, a cada dispositivo que lo solicite dentro de la red. Para ello,
las tarjetas de red de los host deberán estar configuradas en modo automático o DHCP.

Cuando se configura en una tarjeta de red la IP en modo DHCP, se suele pedir que el servidor
DNS se obtenga también de forma automática. Tanto los puntos de acceso como los sistemas
operativos están configurados por defecto para obtener una IP dinámica.

Para usar estos routers como switch y punto de acceso se desmarcará el protocolo DHCP.

Es también posible realizar reservas de direcciones para dispositivos host determinados. En

este caso se añadirá una reserva y se asociará una IP estática a un dispositivo por medio de su
dirección física o MAC. En la siguiente figura puede verse, además, una tabla que muestra las IP’s
asignadas en el momento actual, de forma dinámica, junto con el nombre del dispositivo y su
MAC.

6
Configuración inalámbrica

En esta pantalla pueden configurarse los siguientes aspectos:

Red inalámbrica:

 Emisión de la SSID – Si se activa, será visible el nombre de la red WIFI para los dispositivos
en su alcance.
 Aislamiento inalámbrico – Si se activa, los clientes de la red WIFI sólo podrán acceder a
Internet, pero no a otros clientes inalámbricos del mismo SSID, ni a clientes Ethernet ni al
propio router. De igual forma, los otros clientes tampoco podrán acceder al cliente
inalámbrico.
 Nombre SSID, Canal y Modo – Puede escribirse el nombre de la WIFI deseado, la
velocidad máxima y el canal.

En la banda de 2.4 GHz, puede seleccionarse un canal entre 01 y 13 o dejarlo en “Auto”.

Para un mejor funcionamiento de la red, es conveniente comprobar los canales usados por las
redes cercanas y seleccionar uno que no esté demasiado saturado. Una de las aplicaciones para
teléfono móvil más usadas es “Wifi Analyzer”

7
 Cada vez más routers modernos cuentan con la opción “bi-banda”, de modo que emiten,

tanto en la banda de 2.4 GHz como en la banda de 5 GHZ. Esto permite obtener velocidades

mucho más altas a través de la red inalámbrica, aunque tanto el router como los dispositivos

deben ser compatibles con ella.

Normalmente, la gran mayoría de ordenadores, muchos smartphones y todo tipo de

dispositivos funcionan a través de la red de 2.4 GHz, por lo que esta red de 5 GHz, además de

ofrecernos mucha más velocidad, está más libre y las interferencias son menores. La red de 5 GHz
cuenta con un amplio número de canales, por lo que podemos utilizar la herramienta Wi-Fi

Analyzer para ver la saturación de cada uno de ellos y elegir así el que mejor se adapte a nuestra

conexión.

Opciones de seguridad inalámbrica:

De entre las distintas opciones de seguridad WIFI, lo normal es seleccionar el protocolo de

encriptación más robusto, el WPA2-PSK (AES), que soporta claves de hasta 63 caracteres
alfanuméricos o la combinación WPA-PSK (TKIP) + WPA2-PSK (AES)

8
Red de invitados

La red de invitados se usa normalmente para dar servicio inalámbrico sin necesidad de
conocer la contraseña. Puede seleccionarse, el hacer la SSID visible, el aislamiento inalámbrico, el
nombre específico para esta red y los diferentes modos de encriptación.

Configuración WAN

En esta pantalla se puede configurar los siguientes aspectos:

 Servidor DMZ predeterminado – Al seleccionar el servidor desmilitarizado (DMZ)

predeterminado se puede hacer que un ordenador, o servidor disponible a través de
Internet, proporcione servicios no especificados. Esta opción supone un posible riesgo de
seguridad, por lo que sólo debe usarse en caso necesario. Si no se asigna un servidor DMZ
predeterminado, el router rechaza todas las solicitudes de servicio entrantes no
especificadas. El efecto de activar DMZ es similar a tener todos los puertos abiertos sin
restricciones por parte del firewall.

Esta configuración es recomendable, por ejemplo, para videoconsolas ya que estas

generalmente no corren riesgo de ser víctimas de un malware ni de ataques informáticos,
pero no debemos configurar la IP de un ordenador en la DMZ ya que estaría
completamente expuesto a las amenazas de Internet.

9
  Responder a ping en el puerto de Internet – Al seleccionar esta casilla el router
responderá a los “ping” procedentes de Internet. Esta opción puede utilizarse como
herramienta de diagnóstico. Al igual que el servidor DMZ, puede suponer un riesgo de
seguridad, por lo que no se recomienda activar estas casillas.

 Tamaño de la MTU – El valor de la MTU (Unidad Máxima de Transmisión) es el máximo

tamaño de los datagramas. En la mayor parte de las redes Ethernet es de 1500 bytes y de
1492 bytes para las conexiones PPPoE (Point to Point over Ethernet).

Seguridad

Bloquear sitios:
Si deseamos restringir el acceso a determinados sitios de Internet, podemos activar el filtro
de contenido. Hay dos métodos para ello:

 Bloquear el acceso a determinados dominios (por ejemplo, www.badstuff.com/XXX)

 Bloquear sitios que contengan determinadas palabras
(por ejemplo, palabras malsonantes o material sexual explícito).

Si el usuario trata de acceder a un sitio bloqueado, aparecerá el siguiente mensaje:

bloqueado por NETGEAR. Eligiendo “siempre” o “nunca” se activa o desactiva el bloqueo. Además
se puede permitir que un ordenador disponga de acceso a Internet sin restricciones: será la
dirección IP de confianza.

10
Bloquear servicios:

La opción de bloquear servicios permite bloquear el acceso a determinados usuarios de la

red en función de sus direcciones IP y según determinados criterios, como el tipo de protocolo, el
servicio de conexión o el puerto a usar. Por ejemplo, se puede evitar el uso de la navegación web
“http” por parte de todos los equipos, por un rango de IP’s o únicamente por un equipo concreto.

En la siguiente figura se muestra la tabla de posibles servicios a restringir. Se pueden añadir

o suprimir restricciones según necesidades.

11
Correo electrónico:

Los registros del router contienen listas con las URL visitadas. Es posible programar avisos
por correo electrónico, según los parámetros configurados en este formulario. Los avisos por
correo pueden hacerse semanalmente, diariamente y especificar la hora de envío. En todo caso,
siempre se puede acceder manualmente a los registros en la página Logs (Registros).

12
Administración

En este apartado puede comprobarse el estado del router, los registros, una lista de eventos,
o los dispositivos vinculados.

También se puede guardar o restaurar la configuración actual del router o cambiar la

contraseña.

13
Filtrado MAC

Algunos modelos permiten configurar un “Filtrado MAC”. El router analiza todas las
direcciones MAC de los dispositivos que intentan conectarse al punto de acceso y permite o
bloquea el acceso según la configuración.

Si se dispone de esta función se puede configurar una “lista blanca” de direcciones MAC
permitidas (Allow) o una “lista negra” de direcciones MAC no permitidas (Deny):

Hay que decir que aunque la dirección MAC de un dispositivo debería ser única e inalterable,
esto no es así. Existen numerosas aplicaciones para cambiar la MAC, por lo que el método anterior
no es infalible. Es más conveniente usar un protocolo de encriptación robusto, como el WPA2-PSK
(AES) y una contraseña compleja.

En el router que estamos analizando puede configurarse una lista blanca, como se ve en el
siguiente apartado.

14
Configuración inalámbrica avanzada

Advertencia: El router inalámbrico ya está configurado con los parámetros óptimos. No se

recomienda modificarlos a menos que así lo indique el servicio de asistencia de NETGEAR, ya que
una configuración incorrecta puede producir un mal funcionamiento del router.

Configuración inalámbrica del router:

Desde aquí puede activarse y desactivarse la función de punto de acceso inalámbrico del
router. También puede reducirse la potencia de emisión, para reducir el alcance de la red WIFI,
aunque lo normal es dejarla al 100%.

El umbral de fragmentación CTS/RTS y el modo de preámbulo sirven para realizar pruebas

inalámbricas y aplicar parámetros avanzados, por lo que no se recomienda modificarlas.

Lista de acceso por tarjeta inalámbrica:

Desde este apartado se puede restringir el acceso a la red inalámbrica para que sólo puedan
conectarse equipos específicos en función de sus direcciones MAC (lista blanca). De forma
predeterminada, todos los dispositivos inalámbricos que conozcan la contraseña, si está
habilitada, podrán acceder a la red inalámbrica. Si se habilita esta lista, sólo podrán acceder los
dispositivos incluidos.

15
 Desde aquí también pueden consultarse los puntos de acceso a redes cercanas y algunos
parámetros de los mismos, como su nivel de seguridad, la versión del protocolo, el nivel de señal
en este lugar, el canal usado y el BSSID, que es el nombre de identificación de los paquetes de la
red inalámbrica.

16
Servicios

Desde esta página se pueden activar o desactivar algunos servicios o características del
gateway, como el Firewall, la capacidad de reenviar tráfico tipo IPSec y PPTP (protocolos para
enrutar los datos hasta el servidor de red privada virtual VPN), la capacidad de pasar multicast (a
varios destinatarios seleccionados), la detección y capacidad de responder a escaneos de puertos
desde Internet o la capacidad de bloquear dispositivos maliciosos (detección de IP Flood).

También se pueden activar ciertos filtros, como el Proxy, las Cookies, scripts Java, ventanas
emergentes y paquetes fragmentados.

Reenvío y Activación de puertos

Abrir los puertos del router es una de las acciones más solicitadas por los usuarios. Los
puertos se abren para establecer conexiones entre diferentes aplicaciones y sus correspondientes
servidores remotos. Por ejemplo, un cliente torrent para poder realizar descargas o un juego
online para poder conectarse con su servidor y conseguir interactuar entre diferentes usuarios.

Cada aplicación suele utilizar un puerto único comprendido entre 0 y 65535, aunque los
primeros 1024 están reservados para aplicaciones elementales y no deben utilizarse para otras
aplicaciones. Por ejemplo, HTTP usa el puerto 80, HTTPS el 443, FTP el 21, SSH el 22, etc.

La forma correcta es abrir en el router los puertos que ciertas aplicaciones concretas van a
usar y vincularlos a las direcciones IP de los dispositivos que van a usarlas.
17
 En el router que estamos estudiando se puede seleccionar: Reenvío o Activación de puertos.

La activación de puertos es una función avanzada que puede utilizarse para videojuegos,
chats y otras aplicaciones que usan la conexión a Internet. El reenvío de puertos se puede utilizar
para fines similares, pero es una función estática y tiene algunas limitaciones.

Reenvío de puertos, añadir servicio

Activación de puertos, añadir servicio

18
Activación de puertos:

La activación de un puerto de entrada abre temporalmente dicho puerto y no requiere que

el servidor de Internet realice un seguimiento de la dirección IP, de modo que si ésta cambia
mediante DHCP no tendrá consecuencias. Esta función controla también el tráfico de salida.
Cuando el router detecta tráfico de datos en el puerto de salida indicado, recuerda la dirección IP
del ordenador que envió esos datos y activa el puerto de entrada. El tráfico de entrada por el
puerto activado se reenviará al ordenador que lo activado.

Desde aquí también puede indicarse que ciertos servidores o equipos locales estén
disponibles desde Internet, para ser usados por servicios como FTP o HTTP.

Reenvío de puertos:

El reenvío de puertos está diseñado para FTP, un servidor web u otros servicios típicos de
servidor. Al activar el reenvío de puertos, las solicitudes procedentes de Internet se transfieren al
servidor correspondiente.

Asignación de puertos y configuración de servicios:

Es posible asignar hasta 20 puertos para juegos, aplicaciones o servicios de Internet. Si en las
listas de nombres de servicios no aparece el nombre buscado puede consultarse al desarrollador
del software para saber el número de puertos que usa.

Si se desea ofrecer un servicio por Internet habrá que indicar la dirección IP del ordenador
que proporcionará dicho servicio. El servicio más común es el de servidor web (HTTP) o el de
servidor de transferencia de archivos (FTP). Puede usarse un único ordenador o servidor para más
de un tipo de servicio.

19
DNS Dinámica

El servidor DDNS (Dynamic Domain Name Server) se suele usar para conectarse desde fuera
de la red a los ordenadores o recursos situados dentro de nuestra LAN. Este servicio permite que
nuestra dirección IP, aunque sea dinámica, esté siempre actualizada y vinculada a un dominio, que
se usará para realizar dicha conexión. Es importante que la IP de enlace a la WAN sea pública, ya
que si es privada pueden producirse problemas.

El servicio de DNS dinámico ofrece una base de datos pública que permite almacenar y
recuperar información, como direcciones de correo electrónico, nombres de host y direcciones IP.
Para utilizar un servicio DDNS, es necesario registrarse. Con el registro se proporciona una
contraseña. En la pantalla de configuración del router se indicará el nombre de host,
proporcionado por el proveedor del servicio, el nombre de usuario y la contraseña.

Existen numerosos servidores DDNS gratuitos, como DuckDNS, Con-IP, DNS Exit o FreeDNS.

20
Conexión

Desde esta página de Conexión se puede seguir el proceso de inicialización del gateway y
obtener los detalles de los canales de bajada y subida (Downstream y Upstream).

UPnP

Este servidor es el encargado de que las comunicaciones se lleven a cabo correctamente, sin
tener que preocuparse de los puertos. Será este servidor UPnP (Universal Plug-and-Play) el
encargado de redirigir el tráfico, abriendo las conexiones cuando sea necesario y cerrándolas
cuando ya no se necesiten. Este servidor está activado por defecto.

21
 Para que las conexiones UPnP funcionen correctamente el programa que intenta acceder a
la red también debe ser compatible con esta tecnología. Los dispositivos UPnP pueden detectar
automáticamente otros dispositivos UPnP presentes en la red.

La tabla de puertos UPnP muestra la dirección IP de cada uno de los dispositivos UPnP que
están accediendo actualmente al router, así como los puertos (internos y externos) que han
abierto dichos dispositivos. Además, esta tabla muestra el tipo de puerto abierto y si está activo
para cada dirección IP.

NAT

Desde aquí es posible activar o desactivar el protocolo NAT (Network Address Translation).

NAT hace posible que varios host, situados dentro de una LAN y por tanto invisibles fuera de
ella, sean capaces de realizar peticiones y por tanto recibir información del exterior de forma
individualizada. En este caso es el router quien hace de intermediario y realiza las peticiones en su
nombre (IP pública) y devuelve la información recibida a aquel host que la pidió. Recordando el
puerto y la IP interna.

Del mismo modo, hace posible que desde el exterior se pueda acceder a un servicio de la
LAN, es decir a un puerto de un host concreto. Por ejemplo asociará el acceso a un servicio web,
típico puerto TCP 80, al host que aloja esa página.

22