En esta guía veremos cómo instalar y configurar un firewall propio en entornos con Movistar Fusión Empresas (MFE) cuando el operador entrega un Router Teldat Connect 104KF como equipo principal. El objetivo es integrar tu firewall detrás del Teldat utilizando una DMZ, con el fin de recuperar el control de la red (port forwarding, VPN, reglas de firewall, etc.).
Movistar puede suministrar diferentes modelos en función del contrato o la tecnología de acceso, pero esta guía está basada en despliegues reales utilizando el Teldat Connect 104KF, uno de los más habituales.
Movistar Fusión Empresas es un servicio orientado a empresas que combina telefonía IP e Internet (voz y datos). Puede ser suficiente en redes simples, pero en entornos donde se requiere segmentación, seguridad avanzada, VLANs, routing personalizado o simplemente usar tu propio hardware, suelen aparecer limitaciones: hardware cerrado, configuraciones poco accesibles y documentación mínima.
En esta guía aprenderás a integrar tu propio firewall sin perder servicios operativos, manteniendo la compatibilidad con los servicios de Movistar y recuperando el control total de tu red corporativa.
Pasaremos de que movistar gestione la voz y datos…
A que solo gestione la parte de voz y nosotros nos encargaremos de los datos, instalando nuestro firewall.
Actualmente, y según múltiples consultas realizadas al soporte de Movistar, no es posible retirar su Router ni su Switch: deben permanecer instalados y el operador no proporciona más información para sustituirlos. Por ello, esta es la solución más efectiva que he implementado en diferentes proyectos.
Si conoces alguna alternativa para eliminar completamente el router y el switch de Movistar, ¡estaré encantado de que la compartas en los comentarios!
He creado esta guía tanto para documentarme yo mismo, como para ayudar a otros técnicos que se enfrenten al mismo escenario
Tabla de contenidos
Hardware utilizado en este escenario
Aunque puedes instalar prácticamente cualquier firewall, en este escenario he utilizado un Secure Gateway SG2505P de Aruba Instant On. En otras ocasiones he implementado también pfSense en la misma topología con buenos resultados, por lo que es perfectamente válido como alternativa
Hardware que utiliza Movistar
Movistar Fusión Empresas puede desplegar distintos routers, ONT y switches, pero en este caso nos centramos en un escenario concreto: un Router Teldat Connect 104KF, que normalmente se acompaña de una ONT Huawei HG8240H. Con otros modelos de hardware, la configuración y los pasos pueden variar, habrá que consultarlo con Movistar
Esquema de Red de Movistar
Este es el esquema de red original de Movistar:
- La fibra llega a la ONT Huawei HG8240H
- De la ONT sale un cable ethernet (ETH1) a la WAN del router Teldat Connect 104KF.
- Al Router se conecta un cable ethernet (ETH1) y se conecta al Switch de Movistar, este puede ser ver múltiples marcas (Alcatel, Huawei, etc). Aqui se conecta tanto los PCs como los teléfonos de Movistar.
Instalar nuestro Firewall con Movistar Fusión Empresa
La DMZ debe solicitarse directamente a Movistar, ya que no puede habilitarse desde el panel del cliente.
Mi recomendación es contactar con soporte el día anterior y agendar una cita para que la activación se realice al día siguiente a una hora concreta. De esta forma podrás trabajar junto al soporte de Movistar durante la configuración y, si surge algún problema, tendrás asistencia inmediata. Esta metodología la he seguido en mis despliegues y ha funcionado sin inconvenientes.
Cuando Movistar activa la DMZ, todo el tráfico entrante se redirige hacia el firewall que instalamos nosotros. Los parámetros que debemos configurar en la interfaz WAN del firewall son los siguientes (según confirmación de Movistar para el Teldat Connect 104KF):
- IP pública del firewall: 217.124.116.61
- Máscara: 255.255.255.248 (/29)
- Gateway: 217.124.116.57
En cuanto a la conexión física, el firewall se conecta directamente al puerto ETH4 del Teldat, que es el destinado a la DMZ. Esto también viene documentado en el manual interno de Movistar Fusión Empresas
Con esta configuración:
- Movistar sigue gestionando la parte de voz y la conectividad del Teldat.
- Todo el tráfico de datos pasa a tu firewall, donde puedes gestionar routing, NAT, port forwarding, VPN y reglas de seguridad sin restricciones.
De este modo, tu firewall queda como el equipo principal de datos, mientras Movistar mantiene su servicio de voz operativo.
De esta forma nos despedimos, espero que les haya gustado el post y nos vemos en la siguiente publicación.
En resumen, colocar tu firewall detrás del Teldat Connect 104KF mediante DMZ te permite recuperar el control total de tu red. Podrás gestionar VPN, port forwarding, reglas de firewall y VLANs según tus necesidades. Esta configuración mantiene los servicios de Movistar activos, pero con mayor seguridad y flexibilidad. Recuerda documentar y auditar la configuración regularmente. Así lograrás una red corporativa más profesional y robusta.