Ayuda DIGI

La IP 10.192.x.y es una IP privada, y que probablemente sólo esté accesible desde la subred de DiGi

A ver si algún compi con la misma compañía te pued dar alguna pista de por donde pueda venir el problema.

En el router mikrotik, en el cliente dhcp, ¿le tienes marcada la opción del “use peer dns”?

Saludos!

Probando de nuevo y nada, todo sigue igual.
 
La razón por la que no ha despegado aún es la de siempre: “bah, si vamos sobrados de IPs públicas IPv4, total pa qué”, cómo le pasa a telefónica, y luego vienen los lloros, el CG-NAT y otras chapuzas, como las del grupo MasMóvil.
Totalmente de acuerdo, en este país funcionan la cosas..."estilo compadre".
Así nos va !!!

En cuanto se implemente globalmente IPv6, desaparecerán incluso las IPs dinámicas y los dDNS (estos más bien, se adaptarán).
Terminaremos teniendo una IP por cada aparato de la casa. A saber...

Saludos.
 
Totalmente de acuerdo, en este país funcionan la cosas..."estilo compadre".
Así nos va !!!

En cuanto se implemente globalmente IPv6, desaparecerán incluso las IPs dinámicas y los dDNS (estos más bien, se adaptarán).
Terminaremos teniendo una IP por cada aparato de la casa. A saber...

Saludos.
Correcto. De hecho, para cada cliente, tendría como poco un /64 para direccionar hosts, puesto que va definido asi, de los 128 bits de la dirección, 64 van para hosts. Y, normalmente, no te dan una IP /64, tal que solo tengas una subred, sino que te dan un /60, /58, /56 (así hasta un /48 que es el tope que te pueden dar) pudiendo direccionar así desde un par de subredes hasta 65,5K podrías manejar con un /48. Y, cada una de ellas, con un /64 para direccionar hosts. Vamos, una barbaridad.

La única pena que tengo es que ninguno de los dos operadores que tengo en casa contratados lo tenga ya funcionando, para andar probeteando.

Saludos!
 
Actualizo: creo que ya lo tengo funcionando. No me preguntéis como lo he hecho porque no lo sé. Hablé con stargate4you por privado y me dio un enlace a otro foro con otra configuración del Mikrotik, así que copié y pegué y de momento me funciona el teléfono en el router de digi. He guardado el archivo de configuración tal como lo tengo ahora para ponérselo al RB750GR3 que acabo de comprar y que me llega mañana. La parte 'mala' es que he cambiado mi rango de IP interna de DHCP, a lo mejor tiene algo que ver con que funcione ahora así que no me atrevo a cambiarlo a las que tenía yo, pero bueno, me puedo acostumbrar.

Voy a intentar toquetear cosas del ipv6 en el Mikrotik a ver si saco algo funcional y que no me de problemas como con el de digi, pero ya como extra y por pasar el rato, si no lo consigo no pasa nada, mientras lo importante funcione...

Gracias @pokoyo y @stargate4you por la ayuda!
 
@ferk
Lo único fue decirte que lo hicieras con Winbox mediante GUI en vez de por terminal, ya que yo recreé las instrucciones en un medio virtual.
Dejamos las instrucciones por si le sirven de guía a alguien.

Si puedes sube el fichero .rsc para ver las instrucciones. En una terminal > export hide-sensitive file=fichero.rsc

Saludos.

Fijo con router Digi conectado al Mikrotik con servidor PPPoE fake.

1. En *Interfaces→VLAN→Add New* crea una nueva VLAN con VLAN ID 20 e interface, el puerto donde vayas a conectar el router (yo lo tenía conectado en el puerto ether5, separado del bridge de LAN).
Name: vlan_router_digi
VLAN ID: 20
Interface: ether5 (En este caso yo he puesto directamente Bridge para poderlo conectar a cualquier puerto)

2. En *IP→Pool→Add New* creamos un pool de direcciones para el servidor
Name: pool_pppoe_server
Addresses: 10.0.1.200-10.0.1.250

3. Crear servidor PPP, en *PPP→Profiles→Add new* creas un nuevo perfil
Name: pppoe_server_digi
Local Address: 10.0.1.1
Remote Address: pool_pppoe_server (el de antes)

4. *PPP→Secrets→Add new* vamos a añadir el user/passwd
Name: *******@digi (el usuario)
Password: ********* (la clave)
Service: PPPoE
Profile: pppoe_server_digi (el de antes)

5. Crear servidor final, *PPP→PPPoE Servers→Add New*
Service Name: servicio_router_digi
Interface: vlan_router_digi (el primero que creamos, seleccionar de la lista)
Default Profile: pppoe_server_digi (el último que hemos creado, seleccionar de la lista)
 
Aquí está.

He tenido que borrar algunas cosas, porque aún poniendo lo de hide-sensitive el nombre de PPPoE sigue saliendo y también he quitado un script que tengo para DuckDNS con su scheduler. Y un pequeño overclock que le puse de 600 a 650 mhz para ver hasta donde llegaba en velocidad (entre 850 y 900 mb en tests de velocidad), no está mal para un hardware tan viejo aunque por torrent las velocidades de descarga me parece que van algo más bajas que con el router de digi o esa sensación me da, lo achaco a que quizás con tantas conexiones no da para más a pesar de que el uso de CPU tampoco es tan alto.

Imagino que no es una config perfecta y a lo mejor tiene alguna cosa mal. He notado un cambio y es que desde mi propia red, wifi o cable, no puedo acceder a los puertos abiertos. Me explico: estoy minando con la GPU y tiene una interfaz web que suelo usar para ver temperaturas y tal, antes tenía un atajo en el móvil con la dirección de duckdns y el puerto y cargaba bien tanto desde mi red como por 4G desde fuera de casa. Ahora si estoy conectado al wifi no se abre, tengo que usar la dirección ip local (10.10.2.X) para poder verlo. Por 4G funciona ok. Seguramente sea algún parámetro que se pueda configurar en el firewall, tendré que investigarlo.
 
Imagino que no es una config perfecta y a lo mejor tiene alguna cosa mal. He notado un cambio y es que desde mi propia red, wifi o cable, no puedo acceder a los puertos abiertos. Me explico: estoy minando con la GPU y tiene una interfaz web que suelo usar para ver temperaturas y tal, antes tenía un atajo en el móvil con la dirección de duckdns y el puerto y cargaba bien tanto desde mi red como por 4G desde fuera de casa. Ahora si estoy conectado al wifi no se abre, tengo que usar la dirección ip local (10.10.2.X) para poder verlo. Por 4G funciona ok. Seguramente sea algún parámetro que se pueda configurar en el firewall, tendré que investigarlo.
Esto último lo solucionas implementando hairpin NAT. Lo tienes en los tips&tricks del sub de mikrotik.

Saludos!
 
Esto último lo solucionas implementando hairpin NAT. Lo tienes en los tips&tricks del sub de mikrotik.

Saludos!

Ya está funcionando. Te voy a tener que empezar a pagar, de tanta ayuda que he recibido. Gracias.

Voy a ir intentando aprender cosas del Mikrotik, que se pueden hacer mil cosas. Recuerdo que con Movistar te podías llevar las llamadas del fijo al móvil con alguna configuración, que no me interesa pero es curioso. Lo que pasa es que soy muy torpe con las redes.
 
Ya está funcionando. Te voy a tener que empezar a pagar, de tanta ayuda que he recibido. Gracias.

Voy a ir intentando aprender cosas del Mikrotik, que se pueden hacer mil cosas. Recuerdo que con Movistar te podías llevar las llamadas del fijo al móvil con alguna configuración, que no me interesa pero es curioso. Lo que pasa es que soy muy torpe con las redes.
Tienes por ahí en la firma un link al buymeacoffee si te empeñas, y me tomo una fresquita a tu salud. Pero insisto, que no es el propósito de esto.
Si quieres llevarte el fijo al móvil, con montar una vpn estas listo. Y tienes manuales para elegir del tema, échales un vistazo.

Saludos!
 
Tienes por ahí en la firma un link al buymeacoffee si te empeñas, y me tomo una fresquita a tu salud. Pero insisto, que no es el propósito de esto.
Si quieres llevarte el fijo al móvil, con montar una vpn estas listo. Y tienes manuales para elegir del tema, échales un vistazo.

Saludos!

Pues ahí te va un café.

He probado a poner las ipv6 en el Mikrotik según el manual que hay en el foro y en el móvil da 10/10 el test, pero vuelve a ir lento/no cargar. Supongo que habrá algún tipo de incompatibilidad con mis móviles o algo, así que por el momento me desentiendo del ipv6.

Y me ha llegado hace unos momentos el RB750GR3, es ultraenano, luego cuando acaben las motos probaré con él a ver como funciona, seguro que algún problema de configuración me encuentro :ROFLMAO:
 
Pregunta sin miedo, que tengo la tarde tranquila.

Saludos, y gracias por el café/birra!
 
De momento va todo 'bien', en principio. No me sirvió el backup del otro Mikrotik, me dejaba el nuevo con cosas raras como el ether1 llamándose ether6 y lo del hairpin nat sin funcionar. Al final lo he vuelto a hacer todo de 0. La CPU al 30% de uso pasando test de velocidad a 1gbit, la otra se ponía al 100% así que ahí ya tengo ganancia.

Me gustaría volver a probar lo del ipv6 pero no entiendo porqué no se lleva bien con mis móviles, tampoco se si es cuestión de marca porque todos son Xiaomi, quizás algo de MIUI está mal o yo que sé. O las DNS de ipv6, no lo sé. Lo mismo me pongo luego.

edito para no volver a postear: ipv6 funcionando creo que correctamente. Usé la guía del foro y me daba algún problema, cambié las DNS, estuve tocando, dejé el firewall ipv6 por defecto de Mikrotik y ahora parece que todo va perfecto. Cruzo los dedos pero creo que he dado con la tecla.
 
Última edición:
@ferk
Lo único fue decirte que lo hicieras con Winbox mediante GUI en vez de por terminal, ya que yo recreé las instrucciones en un medio virtual.
Dejamos las instrucciones por si le sirven de guía a alguien.

Si puedes sube el fichero .rsc para ver las instrucciones. En una terminal > export hide-sensitive file=fichero.rsc

Saludos.

Fijo con router Digi conectado al Mikrotik con servidor PPPoE fake.
Buenas tardes,

Tengo un Mikrotik RB4011 como router principal y estoy intentando reutilizar el de Digi (ZTE H298Q) como AP pero como viene tan capado (no puedo modificar la Config WAN) me han recomendado que instale en el Mikrotik un servidor PPPoE "fake" en un puerto ethernet para engañar al router Digi y así poder usarlo como AP.

Pues bien, he seguido las recomendaciones de @stargate4you en este hilo y así ha quedado mi configuración:

Bash:
/interface vlan
add interface=ether1-wan name=vlan20 vlan-id=20
add interface=ether3-ap-despacho name=vlan_router_digi vlan-id=20

/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
add name=pool-vpn ranges=192.168.68.10-192.168.68.254
add name=pool_pppoe_server ranges=10.0.1.200-10.0.1.250

/ppp profile
add local-address=10.0.1.1 name=pppoe_server_digi remote-address=\
    pool_pppoe_server

/ppp secret
add name=XXXXXXXXX@digi password=AXXXXXXU profile=pppoe_server_digi service=\
    pppoe

/interface pppoe-server server
add default-profile=pppoe_server_digi disabled=no interface=vlan_router_digi \
    service-name=servicio_router_digi

/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
add address=192.168.68.1/24 comment=vpn-loopback interface=bridge-vpn \
    network=192.168.68.0
add address=192.168.78.2/24 interface=ether3-ap-despacho network=192.168.78.0

/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="allow ipsec" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input protocol=ipsec-esp
# Acceso desde LAN de router Branch
add action=accept chain=input comment="allow access to router HQ" \
    ipsec-policy=in,ipsec src-address=192.168.2.0/24
# Acceso desde ONT lado Branch
add action=accept chain=input comment="allow access to router HQ" \
    ipsec-policy=in,ipsec src-address=192.168.100.0/24
# Acceso desde Túnel
add action=accept chain=input comment="allow access to router HQ" \
    src-address=192.168.68.0/24
# Acceso al router Digi como AP conectado al puerto 3 del MK (no funciona esta regla)
add action=accept chain=input comment="allow access to router HQ" \
    src-address=192.168.78.0/24
add action=accept chain=input comment=\
    "Allow decrypted IpSec traffic from Playa to router HQ" ipsec-policy=\
    in,ipsec
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN

/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=\
    192.168.88.0/24 src-address=192.168.88.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat comment=NAS-Open-80 dst-address-list=\
    public-ip dst-port=80 protocol=tcp to-addresses=192.168.88.247 to-ports=\
    80
add action=dst-nat chain=dstnat comment="Wireguard NAS" dst-address-list=\
    public-ip dst-port=XXXXX protocol=udp to-addresses=192.168.88.216

/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.88.0/24,192.168.2.0/24,192.168.78.0/24 port=XXXX
set ssh address=192.168.88.0/24,192.168.2.0/24,192.168.78.0/24
set api disabled=yes
set winbox address=\
    192.168.88.0/24,192.168.2.0/24,192.168.68.0/24,192.168.78.0/24 port=XXXX
set api-ssl disabled=yes

/ipv6 address
add address=::1 from-pool=pool6 interface=bridge

/ipv6 dhcp-client
add add-default-route=yes interface=pppoe-out1 pool-name=pool6 rapid-commit=\
    no request=prefix script=":delay 5s;\r\
    \n/ipv6 address remove [find advertise=yes]\r\
    \n/ipv6 address add interface=bridge address=::1/64 from-pool=pool6 advert\
    ise=yes" use-peer-dns=no

/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
add address=::224.0.0.0/100 comment="defconf: other" list=bad_ipv6
add address=::127.0.0.0/104 comment="defconf: other" list=bad_ipv6
add address=::/104 comment="defconf: other" list=bad_ipv6
add address=::255.0.0.0/104 comment="defconf: other" list=bad_ipv6

/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN

/ipv6 nd
set [ find default=yes ] disabled=yes
add interface=bridge

En el puerto 3 del RB4011 etiquetado como "ether3-ap-despacho" lo he sacado del Bridge LAN y he creado sobre él un servidor PPPoE "fake" y he conectado el puerto WAN del router de DIGI.

- La IP LAN del router DIGI es 192.168.78.1
- Pool de DHCP: 192.168.78.10-192.168.78.254
- DNS: 192.168.88.216 (Pi-hole) y 192.168.88.1 (RB4011)

Resultado:

- Conexión PPPoE OK (todos los Leds en "verde") el router Digi se ha conectado vía PPPoE correctamente y los hosts conectados a éste están navegando.
qDGfElNKET.png


Captura con el router Digi conectado directo a ONT:

1631544025711.png


Problemas encontrados:

1. Desde LAN de 192.168.78.0 ping OK a 192.168.88.0 pero no al revés. (Lo normal es que los host de ambas redes puedan compartirlo todo como si estuvieran en el mismo bridge)

2. Desde LAN de 192.168.78.0 aunque ping OK, no es posible entrar a Winbox de 192.168.88.1 (RB4011)

3. La IPv6 no se transfiere desde RB4011 al Router Digi, tengo IPv4 pero no IPv6.

Las reglas de firewall no las controlo bien aún y a veces me lío. ¿Me podéis echar un cable para afinar esto?
Gracias de antemano!

S@lu2.
 

Adjuntos

  • qDGfElNKET.png
    qDGfElNKET.png
    111.6 KB · Visitas: 41
Última edición:
1. Desde LAN de 192.168.78.0 ping OK a 192.168.88.0 pero no al revés. (Lo normal es que los host de ambas redes puedan compartirlo todo como si estuvieran en el mismo bridge)
No, lo normal es justo lo que te pasa, porque tienes un NAT de por medio. Si en lugar de PPPoE hubieras puesto ese equipo en bridge, como un switch, en ese caso sí que se verían entre sí. No obstante, prueba a meter una ruta estática en el mikrotik, diciéndole que a la subre 192.168.78.0/24 se llega por la interfaz del pppoe, a ver si así comunicas ambas redes.

2. Desde LAN de 192.168.78.0 aunque ping OK, no es posible entrar a Winbox de 192.168.88.1 (RB4011)
Lógico, porque tienes una regla en el firewall que dice "Drop all not coming from LAN", que impide esa comunicación. Si lo necesitas, abre ese tráfico, de esa subred concreta, en input, y la pones delante de esa regla.

3. La IPv6 no se transfiere desde RB4011 al Router Digi, tengo IPv4 pero no IPv6.
Ahí me pierdo. Sospecho que algo más tendrás que configurar en el servidor PPPoE para propagar la IPv6, pero no te puedo decir, porque no lo he hecho antes.

Saludos!
 
Buenas tardes,

Tengo un Mikrotik RB4011 como router principal y estoy intentando reutilizar el de Digi (ZTE H298Q) como AP pero como viene tan capado (no puedo modificar la Config WAN) me han recomendado que instale en el Mikrotik un servidor PPPoE "fake" en un puerto ethernet para engañar al router Digi y así poder usarlo como AP.

Pues bien, he seguido las recomendaciones de @stargate4you en este hilo y así ha quedado mi configuración:

Bash:
/interface vlan
add interface=ether1-wan name=vlan20 vlan-id=20
add interface=ether3-ap-despacho name=vlan_router_digi vlan-id=20

/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
add name=pool-vpn ranges=192.168.68.10-192.168.68.254
add name=pool_pppoe_server ranges=10.0.1.200-10.0.1.250

/ppp profile
add local-address=10.0.1.1 name=pppoe_server_digi remote-address=\
    pool_pppoe_server

/ppp secret
add name=XXXXXXXXX@digi password=AXXXXXXU profile=pppoe_server_digi service=\
    pppoe

/interface pppoe-server server
add default-profile=pppoe_server_digi disabled=no interface=vlan_router_digi \
    service-name=servicio_router_digi

/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
add address=192.168.68.1/24 comment=vpn-loopback interface=bridge-vpn \
    network=192.168.68.0
add address=192.168.78.2/24 interface=ether3-ap-despacho network=192.168.78.0

/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="allow ipsec" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input protocol=ipsec-esp
# Acceso desde LAN de router Branch
add action=accept chain=input comment="allow access to router HQ" \
    ipsec-policy=in,ipsec src-address=192.168.2.0/24
# Acceso desde ONT lado Branch
add action=accept chain=input comment="allow access to router HQ" \
    ipsec-policy=in,ipsec src-address=192.168.100.0/24
# Acceso desde Túnel
add action=accept chain=input comment="allow access to router HQ" \
    src-address=192.168.68.0/24
# Acceso al router Digi como AP conectado al puerto 3 del MK (no funciona esta regla)
add action=accept chain=input comment="allow access to router HQ" \
    src-address=192.168.78.0/24
add action=accept chain=input comment=\
    "Allow decrypted IpSec traffic from Playa to router HQ" ipsec-policy=\
    in,ipsec
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN

/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=\
    192.168.88.0/24 src-address=192.168.88.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat comment=NAS-Open-80 dst-address-list=\
    public-ip dst-port=80 protocol=tcp to-addresses=192.168.88.247 to-ports=\
    80
add action=dst-nat chain=dstnat comment="Wireguard NAS" dst-address-list=\
    public-ip dst-port=XXXXX protocol=udp to-addresses=192.168.88.216

/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.88.0/24,192.168.2.0/24,192.168.78.0/24 port=XXXX
set ssh address=192.168.88.0/24,192.168.2.0/24,192.168.78.0/24
set api disabled=yes
set winbox address=\
    192.168.88.0/24,192.168.2.0/24,192.168.68.0/24,192.168.78.0/24 port=XXXX
set api-ssl disabled=yes

/ipv6 address
add address=::1 from-pool=pool6 interface=bridge

/ipv6 dhcp-client
add add-default-route=yes interface=pppoe-out1 pool-name=pool6 rapid-commit=\
    no request=prefix script=":delay 5s;\r\
    \n/ipv6 address remove [find advertise=yes]\r\
    \n/ipv6 address add interface=bridge address=::1/64 from-pool=pool6 advert\
    ise=yes" use-peer-dns=no

/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
add address=::224.0.0.0/100 comment="defconf: other" list=bad_ipv6
add address=::127.0.0.0/104 comment="defconf: other" list=bad_ipv6
add address=::/104 comment="defconf: other" list=bad_ipv6
add address=::255.0.0.0/104 comment="defconf: other" list=bad_ipv6

/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN

/ipv6 nd
set [ find default=yes ] disabled=yes
add interface=bridge

En el puerto 3 del RB4011 etiquetado como "ether3-ap-despacho" lo he sacado del Bridge LAN y he creado sobre él un servidor PPPoE "fake" y he conectado el puerto WAN del router de DIGI.

- La IP LAN del router DIGI es 192.168.78.1
- Pool de DHCP: 192.168.78.10-192.168.78.254
- DNS: 192.168.88.216 (Pi-hole) y 192.168.88.1 (RB4011)

Resultado:

- Conexión PPPoE OK (todos los Leds en "verde") el router Digi se ha conectado vía PPPoE correctamente y los hosts conectados a éste están navegando.
Ver el adjunto 86277

Captura con el router Digi conectado directo a ONT:

Ver el adjunto 86283

Problemas encontrados:

1. Desde LAN de 192.168.78.0 ping OK a 192.168.88.0 pero no al revés. (Lo normal es que los host de ambas redes puedan compartirlo todo como si estuvieran en el mismo bridge)

2. Desde LAN de 192.168.78.0 aunque ping OK, no es posible entrar a Winbox de 192.168.88.1 (RB4011)

3. La IPv6 no se transfiere desde RB4011 al Router Digi, tengo IPv4 pero no IPv6.

Las reglas de firewall no las controlo bien aún y a veces me lío. ¿Me podéis echar un cable para afinar esto?
Gracias de antemano!

S@lu2.
Ahora mismo no puedo mirar mucho, porque yo no accedo al router de DIGI salvo si le activo el wifi y me conecto desde el móvil, seguro que hay alguna manera de acceder mediante la red pero yo no recuerdo ya si le cambié la IP, y si lo hice, a cuál. El router de DIGI lo tengo de espantapájaros, no tengo nada conectado ahí más que el teléfono.

Creo recordar que yo sí tenía IPv6 en el de DIGI, pero no pongo la mano en el fuego por lo dicho arriba. Cuando pueda le echo un ojo.

Respecto a la configuración, creo que la subí unos cuantos posts más arriba, no sé si he hecho algún cambio desde entonces. A ver si mañana tengo algo de tiempo y saco la config de ahora y te digo lo del router de DIGI. De todas maneras tampoco te fíes mucho de mi, que en estas cosas soy un poco nulo, además IPv6 no me termina de convencer, he tenido algún fallito que otro, normalmente reiniciando el router se soluciona pero no es práctico ni es solución, es una chapuza con todas las letras.
 
Al final el router ZTE H298Q lo quité como AP, no conseguí que fuera fino del todo. Al estar capada la clave de "admin" no se deja tocar mucho.

S@lu2.
 
Arriba