Para que mi instalación pueda ponerse en contacto conmigo, necesito la ayuda de sensores online que vigilen constantemente si se produce alguna avería.

El ecosistema Tapo de TP-Link es excelente por su relación calidad-precio, especialmente sus sensores de inundación T300. Sin embargo, tiene un «talón de Aquiles» crítico: la falta de notificaciones por desconexión. Si el Hub H100 o el enchufe P100 se apagan, tu sistema de seguridad muere en silencio.

Aquí te explico cómo convertir tu Raspberry Pi en un vigilante activo que te avisará en segundos si algo falla.

El problema: El silencio de los dispositivos offline

Tanto si la centralita H100 (Hub) como el enchufe P100 que controla el cierre de agua, se avería, sufre un pico de tensión o alguien los desenchufa accidentalmente, el sistema se queda «ciego». El sensor de agua T300 no tiene a quién avisar y la orden de corte nunca se ejecuta.

Lo más preocupante es que la App de Tapo no envía notificaciones si un dispositivo se queda fuera de línea. Para darte cuenta del fallo, tendrías que entrar manualmente en la aplicación y revisar el estado de los iconos uno por uno. En una emergencia o durante unas vacaciones, esta falta de aviso proactivo es un fallo de seguridad inaceptable.

La solución: Un «Watchdog» con Raspberry Pi

Para eliminar este punto ciego, utilizaremos una Raspberry Pi como Watchdog (Perro Guardián). En lugar de esperar a que la App nos avise, la Pi interrogará constantemente a los dispositivos en la red local, si estos no responden, la Pi asume que el sistema está comprometido y dispara una alerta externa.

1. Prepara tu Telegram.

Aprovechando que tenemos telegram (si no lo tienes, ya estás tardando en instalarlo) vamos a utilizarlo para que nos lleguen los avisos de alerta de nuestro script. Para ello crearemos un bot, que será el encargado de gestionar los avisos provenientes de nuestra raspberry.

Crear tu Bot en Telegram (El Emisor)

Primero necesitamos crear la «entidad» que enviará los mensajes desde tu Raspberry Pi.

1. Abre Telegram y busca al usuario @BotFather.
2. Escribe /newbot y dale a enviar.
3. Te pedirá un Nombre para el bot (ejemplo: Vigilante Sótano).
4. Te pedirá un Username (debe terminar en _bot, ejemplo: mi_sotano_seguro_bot).
5. BotFather te responderá con un mensaje largo que contiene el API Token (algo parecido a 74839201:AAH-u7...). Copia y guarda este código, es la clave de acceso.

Obtener tu Chat ID (El Receptor)

Ahora necesitamos saber a qué cuenta de Telegram (la tuya) debe escribirle el bot.

1. Busca en Telegram el bot @userinfobot.
2. Escríbele un mensaje cualquiera (ej. «Hola»).
3. Te responderá con tu ID (un número de 9 o 10 dígitos). Guárdalo también.

2. Crea tu script

Abre tu terminal para crear el archivo con:

nano TapoGuard.py

Pega este código (asegúrate de poner tu Token, tu ID, la IP del H100 y la IP del P100):

import os
import time
import requests

# --- CONFIGURACIÓN ---
TOKEN = "Tu_TOKEN"
CHAT_ID = "TU_ID"

# Diccionario de dispositivos: "Nombre": "IP"
DISPOSITIVOS = {
    "Hub H100": "192.168.1.16",
    "Enchufe Válvula P110": "192.168.1.15"
}

REINTENTOS = 3
SEGUNDOS_ENTRE_CHEQUEOS = 60

# Diccionario para recordar el estado de cada uno (Todos empiezan como Online)
estados_caidos = {nombre: False for nombre in DISPOSITIVOS}

def enviar_telegram(mensaje):
    url = f"https://api.telegram.org/bot{TOKEN}/sendMessage"
    params = {"chat_id": CHAT_ID, "text": mensaje}
    try:
        requests.post(url, params=params, timeout=10)
    except Exception as e:
        print(f"Error de red: {e}")

def chequeo_ip(ip):
    # Lanza un ping. Devuelve True si responde.
    salida = os.system(f"ping -c 1 -W 1 {ip} > /dev/null 2>&1")
    return salida == 0

print("--- Vigilante Tapo Iniciado ---")

while True:
    for nombre, ip in DISPOSITIVOS.items():
        exito = False

        # Intentos de ping para evitar falsas alarmas
        for i in range(REINTENTOS):
            if chequeo_ip(ip):
                exito = True
                break
            time.sleep(1)

        # Lógica de notificaciones individualizada
        if not exito and not estados_caidos[nombre]:
            print(f"[{time.strftime('%H:%M:%S')}] ❌ {nombre} CAÍDO")
            enviar_telegram(f"⚠ ALERTA: El dispositivo '{nombre}' ({ip}) se ha caído de la red.")
            estados_caidos[nombre] = True

        elif exito and estados_caidos[nombre]:
            print(f"[{time.strftime('%H:%M:%S')}] ✅ {nombre} RECUPERADO")
            enviar_telegram(f"✅ OK: El dispositivo '{nombre}' ha vuelto a conectar.")
            estados_caidos[nombre] = False

    time.sleep(SEGUNDOS_ENTRE_CHEQUEOS)

Te aconsejo que pongas una IP fija a tus dispositivos, ya que si esta cambia, el script no funcionará.

Guarda los cambios con Ctrl + o y sal con Ctrl + x

Haz que tu archivo tenga permisos de ejecución.

chmod +x TapoGuard.py

Y pruébalo con:

python3 TapoGuard.py

Desconecta tu Hub del enchufe y observa que ocurre. ¿Te llegaron los mensajes? Ahora conéctalo y vuelve a mirar.

Si todo ha salido bien, tenemos al «cerebro» de la supervisión funcionando.

3. Crea un servicio del sistema (systemd)

Ahora, para que sea un sistema de seguridad permanente, necesitamos que se convierta en un servicio del sistema (un daemon).

De esta forma, si hay un apagón y la Pi se reinicia, el script se levantará solo sin que tengas que teclear nada.

Usa el editor de texto para crear un archivo de configuración en la carpeta del sistema:

sudo nano /etc/systemd/system/TapoGuard.service

Copia y pega este contenido dentro del archivo (ajustando la ruta a tu usuario):

[Unit]
Description=Vigilante del Hub Tapo H100
After=network.target

[Service]
# Asegúrate de que la ruta /home/tu_usuario/TapoGuard.py es la correcta
ExecStart=/usr/bin/python3 /home/tu_usuario/TapoGuard.py
Restart=always
RestartSec=10
User=raspberry

[Install]
WantedBy=multi-user.target

No olvides cambiar tu_usuario por el tuyo propio.

Para guardar Ctrl + o y salir con Ctrl + x

Activa el Servicio

Ahora dale las órdenes a la Raspberry Pi para que lo ponga en marcha:

1. Recarga el sistema para que reconozca el nuevo archivo: sudo systemctl daemon-reload
2. Activa el inicio automático al arrancar: sudo systemctl enable TapoGuard.service
3. Inicia el servicio ahora mismo: sudo systemctl start TapoGuard.service

¿Cómo compruebo que está «vivo»?

Puedes ver el estado de tu vigilante con este comando: sudo systemctl status TapoGuard.service

• Si sale en verde «active (running)», es que está patrullando la IP de tu Hub.
• Ya puedes cerrar la terminal, apagar tu ordenador e irte tranquilo: la Pi se encargará de avisar a tu Telegram si el Tapo H100 deja de responder.

Y si quieres ver los «logs» (lo que el script va imprimiendo):

journalctl -u TapoGuard.service -f

El otro día, visitando la web de meneame.net, ví un artículo sobre, «LaLiga recibe la peor noticia. Cloudflare ha reactivado ECH a lo grande y eso hace las webs imbloqueables«, y claro, me puse triste por Laliga y me fuí a llorar a un ricón.

La vuelta de ECH (Encrypted Client Hello) es una muy mala noticia para las operadoras, administración y entidades de gestión de derechos, ya que les hace inviable meter el hocico en el tráfico generado por los usuarios. A las operadoras les complica la gestión de los recursos de su red y al resto de entidades les deja sin posibilidad de hacer efectivas las órdenes de bloqueo, que en su mayoría están respaldadas por órganos judiciales.

DNS over HTTPS es una mejora importante en términos de privacidad ya que los gobiernos y/o ISP no podrán aplicar restricciones ni filtrar el contenido que visitan los ciudadanos. Por este motivo algunos gobiernos, como el británico, están haciendo todo lo posible para que no se adopte este protocolo.

A partir de aquí haz un minuto de silencio por tu operadora, entidad de gestión de derechos de autor, gobierno corrupto de tu país (sea cual se al tuyo) etc etc

Pi-hole.

Obviamente tendremos que tener instalado y configurado Pi-hole en nuestra Raspberry Pi.

Para configurar Pi-Hole puedes seguir las instrucciones que encontrarás en el siguiente enlace: Que hacer déspues de instalar pi-hole

Instalar y configurar DNS OVER HTTPS en Raspberry.

Si activamos DNS OVER HTTPS en un navegador, como por ejemplo Firefox o Chrome, únicamente tendremos DNS over HTTPS en el navegador, pero si queremos disponer de DNS sobre HTTPS en la totalidad de nuestras peticiones, recomiendo instalar el cliente DNS de Cloudflare en una Raspberry Pi. De este modo la Raspberry Pi actuará como cliente DNS de la totalidad de equipos que configuremos en nuestra red local.

Instalar el demonio Cloudflared en la Raspberry Pi

Cloudflared será el encargado de resolver la totalidad de peticiones DNS sobre HTTPS. El cliente está disponible para Windows, MacOS y Linux. En nuestro caso, será Linux y lo instalaremos en una Raspberry Pi del siguiente modo.

Ve a la web de desarrolladores de Cloudflare y elige el tipo de paquete y arquitectura que vas a usar en la instalación. Cloudflare Docs

Si no tienes claro que paquete usar y la arquitectura de tu Raspberry Pi, te recomiendo añadir el repositorio e instalar desde ahí, así la instalación escogerá el paquete adecuado para tu equipo.

Instalación desde repositorio

Aquí te dejo las instrucciones para Debian 12 Bookworm.

Cloudflare Package Repository

Abre una terminal y ve ejecutando las siguientes líneas.

Nota: En el primer apartado (# Add cloudflare gpg key) no veo necesario crear la carpeta keyrings y aplicarle los permisos 0755 ya que la carpeta ya está creada en el sistema y tiene esos mismos permisos. Compruébalo antes y si es así, empieza por donde dice curl – …… (te resalto en negrita las líneas que he usado yo)

Debian Bookworm

# Add cloudflare gpg key
sudo mkdir -p --mode=0755 /usr/share/keyrings
curl -fsSL https://pkg.cloudflare.com/cloudflare-main.gpg | sudo tee /usr/share/keyrings/cloudflare-main.gpg >/dev/null

# Add this repo to your apt repositories
echo 'deb [signed-by=/usr/share/keyrings/cloudflare-main.gpg] https://pkg.cloudflare.com/cloudflared bookworm main' | sudo tee /etc/apt/sources.list.d/cloudflared.list

# install cloudflared
sudo apt-get update && sudo apt-get install cloudflared

Una vez que está instalado sin errores, comprueba la versión que tienes instalada.

cloudflared -v

En mi caso el resultado obtenido ha sido el siguiente:

cloudflared version 2024.9.1 (built 2024-09-10-1730 UTC)

Crear un usuario para Cloudflared

Crearemos un usuario con nombre cloudflared. El usuario no tendrá partición home ni tendrá acceso a la Shell de Linux. Para ello ejecutaremos el siguiente comando en la terminal:

sudo useradd -s /usr/sbin/nologin -r -M cloudflared

Configurar el demonio Cloudflared DNS

El siguiente paso consistirá en generar el archivo de configuración de Cloudflared. Para ello ejecutamos el siguiente comando en la terminal:

sudo nano /etc/default/cloudflared

Una vez se abra el editor de textos nano pegaremos el siguiente código:

# Commandline args for cloudflared
CLOUDFLARED_OPTS=--port 5053 --upstream https://1.1.1.1/dns-query --upstream https://1.0.0.1/dns-query

Seguidamente tendremos que guardar los cambios realizados y cerrar el fichero. En el fichero de configuración hemos definido que tendremos un proxy local escuchando en el puerto 5053. Todas las peticiones DNS se dirigirán al puerto 5053 y serán resueltas por los servidores DNS de Cloudflare mediante protocolo DNS over HTTPS.

Finalmente cambiaremos de usuario y grupo al archivo binario y al archivo de configuración de Cloudflared. Para ello ejecutaremos los siguientes comandos en la terminal:

sudo chown cloudflared:cloudflared /etc/default/cloudflared

sudo chown cloudflared:cloudflared /usr/local/bin/cloudflared

Crear un servicio de Systemd para Cloudflare

Para gestionar el servicio Cloudflare deberemos crear un servicio de systemd. Para ello ejecutaremos el siguiente comando en la terminal:

sudo nano /lib/systemd/system/cloudflared.service

Cuando se abra el editor de texto nano pegaremos el siguiente código:

[Unit]
Description=cloudflared DNS over HTTPS proxy
After=syslog.target network-online.target

[Service]
Type=simple
User=cloudflared
EnvironmentFile=/etc/default/cloudflared
ExecStart=/usr/local/bin/cloudflared proxy-dns $CLOUDFLARED_OPTS
Restart=on-failure
RestartSec=10
KillMode=process

[Install]
WantedBy=multi-user.target

A continuación guardaremos los cambios y cerraremos el fichero.

Seguidamente ejecutaremos el siguiente comando para que Cloudflare se inicie de forma automática cada vez reiniciemos la Raspberry Pi.

sudo systemctl enable cloudflared

Finalmente arrancaremos el servicio ejecutando el siguiente comando en la terminal:

sudo systemctl start cloudflared

Para comprobar que el servicio se haya levantado de forma correcta puedes ejecutar el siguiente comando:

sudo systemctl status cloudflared

Verificar que Cloudflare está funcionando correctamente

Para comprobar que Cloudflare funciona de forma adecuada ejecutaremos el siguiente comando en la terminal:

dig @127.0.0.1 -p 5053 google.com

Si obtienes un resultado parecido al siguiente, puedes estar seguro que todo lo realizado hasta el momento funciona correctamente.

Configurar Pi-Hole para que pueda usar DNS over HTTPS

Para que Pi-hole pueda utilizar el cliente DNS over HTTPS de Cloudflare deberemos realizar lo siguiente:

1. Accedemos al panel de administración de Pi-hole.
2. Clicamos en la Opción Settings.
3. A continuación clicamos en la pestaña DNS.
4. Destildamos absolutamente todos los DNS que tengamos activados.
5. Tildamos el campo Custom 1 (IPv4) y en el mismo campo pegamos 127.0.0.1#5053

Finalmente presionamos en el botón SAVE para que se hagan efectivos los cambios.

CONCLUSIONES Y FUNCIONAMIENTO

Para ver si todo está correcto entra en esta página de cloudflare.

https://www.cloudflare.com/es-es/ssl/encrypted-sni/#results

Te llevará a la web de comprobación de resultados

Pincha sobre Comprobar mi navegador y el resultado tiene que dar como la siguiente imagen.

Los cuatro apartados DNS seguro, DNSSEC, TLS 1.3 y Secure SNI están marcados como favorables.

El funcionamiento de DNS over HTTPS supone una mejora importante en términos de seguridad ya que la totalidad de peticiones DNS están cifradas, por lo que nadie, excepto Cloudflare, tendrá acceso a tu historial de navegación. Y ahora dirás, -¡claro, es que Cloudflare si puede ver mis datos de navegación!- a lo que yo te responderé -¡claro y antes esto era el coño de la Bernarda, en el que cualquiera ( tu operadora, gobierno, entidades de gestión etc) si podían verlos!-

Cloudflare promete que no guardará ningún historial durante más de 24 horas y que no asociará la dirección IP a un origen. A pesar de esto, todo el mundo sabe que del dicho al hecho, hay un buen trecho. Fíjate en Telegram, que tampoco iba a ceder nuestros datos, y cuando a Pável Dúrov (El multimillonario que afirma no poseer propiedades de lujo, aviones o yates) pero que le gusta viajar más que a un tonto un lápiz, a visto que se quedaba en tierra ……………. ¡a cantado la traviata!

Misceláneas

Este documento se ha realizado a través de los siguientes articulos

https://www.flopy.es/dns-sobre-https-doh/

https://geekland.eu/dns-over-https-doh-pi-hole/

Te recomiendo estos articulos

https://bandaancha.eu/articulos/laliga-recibe-peor-noticia-cloudflare-11098

https://bandaancha.eu/articulos/como-activar-ech-chrome-acceder-webs-10689

Xfce es un entorno de escritorio ligero para sistemas tipo UNIX. Su objetivo es ser rápido y usar pocos recursos del sistema, sin dejar de ser visualmente atractivo y fácil de usar.

Según la arquitectura que hayas elegido, amd64, arm64, armf,etc, Xfec puede venir ligero de más, tan ligero que no reconoce los equipos que están en nuestra red. Supongo que el responsable de la distribución no instala algunos plugins para aligerar el escritorio.

Cuando abres Thunar veras que no aparecen las unidades de red

Si entras en Preferencias del gestor de archivos Thunar, Opciones avanzadas, ya vemos el problema. Faltan dependencias, GVfs no está disponible.

Para ver que complementos nos hacen falta, hacemos un apt show a Thunar con el siguiente comando:

apt show thunar

Nos fijamos en los paquete recomendados y en los sugeridos porque los vamos a instalar.

Recommends: default-dbus-session-bus | dbus-session-bus, gvfs, policykit-1-gnome | polkit-1-auth-agent, thunar-volman, tumbler, udisks2, xdg-user-dirs, libxfce4panel-2.0-4 (>= 4.13.0)

Suggests: thunar-archive-plugin, thunar-media-tags-plugin, gvfs-backends

Instalamos los paquetes recomendados.

sudo apt install default-dbus-session-bus gvfs policykit-1-gnome thunar-volman tumbler udisks2 xdg-user-dirs libxfce4panel-2.0-4

Instala los paquete sugeridos:

sudo apt install thunar-archive-plugin thunar-media-tags-plugin gvfs-backends

Reinicia la máquina y abre el gestor de archivos Thunar

Ahora tenemos a la vista la opción de «Red» y su carpeta «Navegar por la red«

Ruta estática con 2 router Asus

Si tienes dos enrutadores ASUS con diferentes subredes, puedes conectarlos entre ellos a través de una conexión cableada, como se muestra en la imagen a continuación.

Creando una ruta estática haremos que se vean entre sí, (por ejemplo, la computadora A verá a la computadora B y viceversa)

Los equipos que estén en el Router 2 serán inalcanzables desde internet, esto es útil cuando tienes equipos sensibles como un NAS, Camarás IP y no quieres que estén en primera línea, haciéndolos invisibles desde Internet. Tampoco podrás abrir puertos, no uses aMule ni tampoco otro programa que necesite tener los puertos abiertos.

Preparación

Comprueba las direcciones IP LAN de ambos enrutadores ASUS.

Configuración IP en ambos enrutadores.

Haz esto en ambos enrutadores, ve a [ LAN ] > [ Dirección IP LAN ] > escribe la IP que desees en [ Dirección IP ] cuando acabes pulsa en [Aplicar ].

La subred del primer enrutador será 192.168.1.1

La subred del segundo enrutador será 192.168.2.1

Conexión del Cableado.

Conecta cualquier puerto LAN (amarillo) del primer enrutador ASUS al puerto WAN (azul) del segundo enrutador ASUS.

Diagrama

Configuración del router 1

El router 1 será donde se configure la ruta estática.

Accede al router 1 a través de tu navegador, escribiendo la siguiente dirección 192.168.1.1

Ingresa tu nombre de usuario y contraseña y haz clic en Iniciar sesión.

Ve a [LAN] > [Ruta]

En configuración básica, selecciona [Si] en Habilitar rutas estáticas.

Añade la información del router 2 en la Lista de rutas estáticas. (Límite máximo: 32)

Dirección IP de red/host: Escribe la subred del segundo enrutador 192.168.2.0

Máscara de red: Ingresa el valor predeterminado 255.255.255.0

Puerta de enlace: Ingresa 192.168.1.200 (que es la IP que asigna el router 1 al router 2)

Métrica: Escribe 1, que se refiere al orden de las reglas de enrutamiento

Interfaz: el valor predeterminado es LAN, que representa la interfaz de red que debe seguir esta regla de enrutamiento.

Haz clic en el botón Agregar

Haz clic en [Aplicar] para terminar con la configuración del primer router.

Información adicional:
IP de red/host: cambia la IP de LAN 192.168.2.1 del segundo enrutador ASUS a 192.168.2.0 para que los dispositivos (como teléfonos móviles y computadoras) conectados al segundo enrutador ASUS puedan compartir información en diferentes subredes.
Puerta de enlace: ingresa la IP de WAN asignada por el primer enrutador ASUS al segundo enrutador ASUS en este campo.

Configuración del router 2.

Estos son los pasos para configurar el segundo enrutador (desactivar el firewall)

(1) Inicia sesión en el segundo enrutador, primero y ve a [ Firewall ] > [ General ] > selecciona [ No ] en Habilitar firewall para deshabilitarlo.

(2) Haga clic en [ Aplicar ] para finalizar la configuración en el segundo enrutador ASUS.

Eso es todo, tan solo queda comprobar que los equipos de las subredes pueden verse entre sí.

¿Cómo saber si los equipos se ven?

Para saber si los equipos de ambas subredes se ven, lo mejor es hacer un PING

Estando conectado en un equipo de la subred 2, con el rango de IP 192.168.2.X, voy a hacer un PING a un equipo la subred 1, con el rango 192.168.1.X

Y ahora lo hacemos al revés, estando conectados en un equipo de la subred 1, con el rango de IP 192.168.1.X, voy a hacer un PING a un equipo la subred 2, con el rango 192.168.2.X

En ambos casos, los PING enviados a los equipos, llegan a su destino.

Fuente: https://www.asus.com/support/faq/1011706/#faq