La apertura, redirección o «mapeo» de puertos, port mapping o port fordwarding en inglés, es un procedimiento que permite acceder desde Internet a un equipo en tu red (llamémosle equipo objetivo) a través de un «canal» o puerto específico, con diversos fines: control remoto, ver cámaras de vigilancia (2) o poder jugar en línea con otros jugadores (por ejemplo, cuando estos no te encuentran en las partidas o solucionar desconexiones del juego). Este procedimiento incluso puede mejorar un poco la velocidad de tu experiencia en Internet.
La barrera que existe e «impide» el acceso a los equipos en tu red es tu router. Por lo tanto, la redirección de puertos es una configuración que se realiza allí. Como existen incontables modelos, intentaré hacer un tutorial lo más generalizado posible basado en mi router, el Huawei HG8546M, para que tengas una idea del procedimiento. Después puedes ir a portforward.com, donde seguramente encontrarás el procedimiento exacto para tu modelo de router o módem.
Datos de acceso al router
Lo primero que necesitarás son los datos de acceso a tu router, dirección IP, usuario y contraseña. Si tu proveedor de internet o tú no los cambiaste, seguramente te sirvan los valores de fábrica, que suelen estar en la etiqueta pegada en la parte posterior del equipo. En mi caso, esos datos son 192.168.100.1, root, adminHW.
Ahora, en el navegador web de cualquier equipo conectado al router por cable o inalámbricamente, deberás ingresar en la barra de direcciones la IP de tu router. Se desplegará una página, donde deberás ingresar el usuario y contraseña y hacer clic en «Login».
La IP predeterminada del router generalmente no se suele cambiar, así que cuando la ingreses en el navegador deberías ver una pantalla de inicio de sesión similar a la ilustración. Sin embargo, es posible que el usuario y contraseña por defecto resulten incorrectos. En ese caso es bastante probable que tu proveedor de Internet haya cambiado estos datos. Deberás contactar con ellos para que te informen al respecto.
IP Fija
Como la redirección de puertos consiste en crear un «túnel de conexión» desde Internet hacia el equipo objetivo dentro de tu red, este equipo deberá tener un identificador fijo: concretamente una dirección IP fija. Considerando que los routers suelen estar configurados para asignar IPs aleatorias a los equipos en la red (DHCP), antes de hacer el mapeo de puertos primero deberás asignar una IP fija a dicho equipo.
Igualmente, esta configuración varía de un modelo de router a otro. En mi caso, la opción de IP fija está bajo la ficha «LAN» (Local Area Network), DHCP Static IP Configuration. Tal y como se muestra en la ilustración arriba, solo tengo que hacer clic en «New» para añadir una nueva configuración. Deberás ingresar la dirección IP que quieres asignar al equipo objetivo, que será similar a la del router, excepto por la última cifra. Por ejemplo, en mi caso la IP de mi router es 192.168.100.1. La IP de mi equipo objetivo puede ser 192.168.100.2. Si ya existe otro equipo en la red con esta IP, puedo cambiar el 2 por cualquier otro número que esté entre 3 y 255.
Además de la IP también deberás ingresar la dirección MAC del equipo objetivo. Si se trata de un dispositivo Android, encontrar su MAC es fácil. Si es un PC Windows, pulsa las teclas Windows + R. En la ventana que aparece escribe cmd y presiona Enter. En la línea de comandos ingresa ipconfig /all. Tu MAC estará en la línea que dice «Dirección física». Si tienes varios «adaptadores de red» (por ejemplo, si hay máquinas virtuales instaladas) deberás fijarte en el adaptador que dice «Ethernet» o «Wireless».
Apertura de puertos
En la pantalla de configuración del router necesitarás buscar la opción de redirección de puertos. El nombre más común de este ajuste suele ser Port Mapping o Port Forwarding. En mi caso se llama Port Mapping Configuration, que se encuentra bajo la ficha «Forward Rules«.
En dicha pantalla, toca sobre la opción «Nuevo» para añadir una redirección de puerto. Deberás llenar varios campos, empezando por el Internal Host, que debe ser la IP fija que debiste asignar anteriormente al equipo objetivo. En Protocol deberás escoger TCP, UDP o ambos e ingresar el número de puerto o rango de puertos (deberás ingresar lo mismo tanto para el campo Puerto «Interno» como para Puerto «Externo»). Esto valores ya dependerán de lo que te indique el creador del programa o juego que exige la apertura de puertos. El resto de datos deberán quedar tal y como están, sean en blanco o por defecto.
Método alternativo
En la pantalla de configuración del router deberás buscar y activar la opción UPNP. En el caso de mi router, la opción se llama UPnP Configuration, bajo la ficha Network Application.
Luego ve al explorador de Windows (puedes abrir una carpeta cualquiera), en el panel de navegación izquierdo toca en la ficha «Red». Deberá aparecer tu router. Haz clic derecho sobre él, Propiedades, Configuración. Haz clic sobre «Agregar» y podrás Añadir una redirección de puerto de un modo similar al anterior. Presiona sobre «Aceptar» en todas las ventanas para dejar guardado el cambio.
Algunos usuarios han afirmado que con este método han logrado una exitosa redirección de puertos. Sin embargo, en mi caso he visto que esta configuración es temporal y desaparece tras reiniciar el router.
DMZ
Delimitarized Zone o Zona Desmilitarizada es una alternativa más fácil a la apertura de puertos, que nos da el mismo resultado. Consiste en exponer un equipo a Internet, de modo que tenga libre conexión, por cualquier puerto. Una vez que añades un equipo a la sección de DMZ en tu router, es como si quedara con todos los puertos abiertos. Es una forma fácil de saber si tus problemas de conexión realmente se deben a puertos cerrados, o si no sabes exactamente qué puertos abrir en un juego.
Una vez que has configurado una IP fija a tu Play Station, consola o PC, solo debes añadir esa IP en la DMZ de tu router, opción que suele estar en la sección de WAN o de «Port Forwarding». Es así de sencillo.
La desventaja o lo malo de DMZ es que aquí sólo puedes añadir un equipo a la vez y al estar expuesto a Internet, es más vulnerable a ataques. Por esta razón, de preferencia es adecuado para consolas, no PCs. De todas maneras siempre será más recomendable abrir los puertos del modo indicado arriba y usar DMZ solo de forma temporal o para realizar pruebas.
Cómo comprobar si un puerto está abierto
Existen páginas online donde te dicen que solo debes ingresar el número de puerto para que te informe si está abierto o no. Sin embargo, esto no es suficiente. Para que la prueba sea exitosa, el equipo objetivo debe estar «escuchando» solicitudes por ese puerto. Si no es así, seguramente verás que el puerto está bloqueado, a pesar de haberlo abierto en el router.
Una forma simple de forzar a un PC Windows a escuchar en un puerto específico es el programa portable y ligero Port Listener, del desarrollador RJL Software. Lo ejecutas, ingresas el puerto en el que quieres que el programa escuche y presionas «Start». Es probable que salte una ventana del Firewall de Windows, la cual deberás «Aceptar» para dar permiso al programa a establecer enlace con el exterior.
Solo después de poner a escuchar a Port Listener, ingresa a cualquiera de las páginas online para probar puertos abiertos (yo suelo usar yougetsignal.com para puertos TCP e ipvoid.com o ipfingerprints.com para puertos UDP), ingresa el puerto que estás probando y pulsa en «Check». Deberías ver algo similar a la ilustración anterior: «Port 1234 is open on 123.123.123.123″
Mi puerto sigue cerrado
Antes explicar las causa de esto, primero debes estar completamente seguro que has redireccionado el puerto o puertos correctamente en tu router. Este tutorial quizá no es suficiente para ello, puesto que es bastante general, así que deberás revisar un tutorial correcto sobre cómo hacerlo en tu modelo de router en particular.
Firewall
Algunos dispositivos, como los PCs con Windows, incoporan una barrera propia o Firewall que se encarga de impedir conexiones entrantes no autorizadas desde Internet. Normalmente los programas y juegos que instalas deberían configurar reglas de autorización en el Firewall durante el proceso de su instalación, de modo que no impidan conexiones entrantes para funcionar correctamente. Sin embargo, si este no es el caso o no estás seguro, puedes desactivar temporalmente el Firewall y probar si así tienes una conexión exitosa por el puerto abierto. De ser así, después puedes volver a activarlo y crear manualmente la regla de acceso necesaria en el Firewall, de modo que no debas tenerlo desactivado por completo.
Doble NAT
La causa más probable de que los puertos que hayas abierto en el router aparezcan cerrados, a pesar de haberlos probado correctamente como indiqué arriba, es que te encuentras bajo un servicio de Internet de NAT Doble o NAT estricto (en Play Station suele aparece como NAT 3). Esto simplemente significa que no estás conectado directamente a Internet, sino que hay un segundo router antes («Second Router», en la ilustración). Es decir, aunque hayas abierto puertos en tu router, este segundo router estará funcionando como un «muro» adicional, razón por la que no te pueden ver desde Internet mediante el puerto que abriste.
Para saber si tienes un servicio de Internet con Doble NAT, deberás ir a la configuración de tu router y buscar una opción similar a «Información de WAN». Haces clic sobre la conexión a Internet que aparezca (si es el caso) y revisas que la dirección IP en el campo «IP Address» coincida con la dirección IP que te muestran páginas online cómo éstas. Si la IP no es la misma, entonces tienes una conexión de doble NAT. Si es la misma, entonces afortunadamente tienes un NAT simple o moderado (en Play Station se conoce como NAT 2) o IP pública, que mencionaré más adelante.
La solución al Doble NAT sería realizar un procedimiento similar a lo indicado, pero esta vez considerando los dos routers. Es decir, en el segundo router la redirección del puerto debería apuntar a la IP de tú router. Sin embargo, ese segundo router seguramente se encuentra bajo control de tu proveedor de Internet o ISP, razón por la que deberás arreglarte con su servicio técnico para que realicen este procedimiento. Lo recomendable sería enviar una solicitud por escrito a la gerencia del ISP, pidiendo que se te abran los puertos que requieres para la IP que tienes asignada. Deberás añadir un justificativo válido, como por ejemplo que eres un jugador competitivo de esports, que necesitas acceso a tus cámaras IP, etc. Es así como a mí me ayudaron y si tu ISP está dispuesto a ayudarte también debería poder hacerlo.
IP pública
La otra solución al NAT doble es solicitar una IP pública a tu proveedor de Internet. Este cambio convierte tu NAT doble en NAT simple o individual. Es decir, el segundo router que mencioné «desaparece», de modo que tu router se conecta directamente a Internet y ya no existen barreras de por medio que impidan «ver» o «escuchar» a través de los puertos redireccionados.
La desventaja de la IP pública es que suele tener un costo mensual adicional al que ya pagas por el servicio de Internet. Por ejemplo, en Ecuador algunos ISP cobran 5 y otros 10 dólares. Este es un precio relativamente bueno en comparación con otros ISP que solo te asignan una IP pública si es que adquieres un plan corporativo, que suele costar el doble o triple que un plan doméstico.
Referencias: Wikipedia, Ubisoft, Netgear
Cómo saber quién está conectado a mi WiFi