MANUAL: FTTH Movistar/Jazztel con router neutro Mikrotik

Yo con que me saque el ancho de banda y el consumo de la CPU, me sobra. Lo que creo es que los intervalos de tiempo son de mínimo cinco minutos, y eso es lo que no me gusta, pero bueno, no voy a morir.
 
Buenas.

Quería cambiar de operador actualmente tengo Movistar fibra con la configuración de este hilo, quería pasarme a DIGI fibra con mi router mikrotik, que tan buen resultado me a dado, y gracias a la ayuda de todos y a malosa que he aprendido.

Voy aventurarme en la nueva configuración podríais darme algún consejo o recomendación ?.

Alguien tiene alguna configuración de DIGI con mikrotik.?

Gracias por adelantado
Un saludo.
 
Tengo el mikrotik configurado con movistar y tengo un monton de filter rules , que no se para que valen, como puedo saber para que es cada una y si puedo deshabilitarlas? Ver el adjunto 16082
Ahí hay habilitadas varias funciones habilitadas, que si ni siquiera sabes identificarlas....., seguro que puedes deshabilitarlas.
Pero cuidado con lo que deshabilitas que puedes quedarte sin acceder al router, o que dejen de funcionarte cosas.
El único modo es leer guias de Firewall de mikrotik, comprender como funcionan, y luego ya identificarlo.

Por ejemplo la 9 es por si usas túneles pptp, la 5 si usas túneles L2TP/IPSEC, la 8 es para aceptar conexiones al puerto winbox por defecto (que por cierto... yo, por seguridad lo cambiaría a otro). La 7 para acceso Telnet o http al router, o la 4 para aceptar/contestar pings desde el exterior.

Y en caso de dudas... mejor dejarlo como está
 
Buenas.

Quería cambiar de operador actualmente tengo Movistar fibra con la configuración de este hilo, quería pasarme a DIGI fibra con mi router mikrotik, que tan buen resultado me a dado, y gracias a la ayuda de todos y a malosa que he aprendido.

Voy aventurarme en la nueva configuración podríais darme algún consejo o recomendación ?.

Alguien tiene alguna configuración de DIGI con mikrotik.?

Gracias por adelantado
Un saludo.
Por otros hilos de este foro juraría que ya hay gente que ha conseguido configurar mikrotik en fibra Digi. Pero no debe de ser algo tan "sencillo" como meter una plantilla de Malosa y ya está. Si alguien supiese bien del tema... sería genial, porque yo también estoy deseando pasarme con ellos. A ver cuando me llega la cobertura....
 
Ahí hay habilitadas varias funciones habilitadas, que si ni siquiera sabes identificarlas....., seguro que puedes deshabilitarlas.
Pero cuidado con lo que deshabilitas que puedes quedarte sin acceder al router, o que dejen de funcionarte cosas.
El único modo es leer guias de Firewall de mikrotik, comprender como funcionan, y luego ya identificarlo.

Por ejemplo la 9 es por si usas túneles pptp, la 5 si usas túneles L2TP/IPSEC, la 8 es para aceptar conexiones al puerto winbox por defecto (que por cierto... yo, por seguridad lo cambiaría a otro). La 7 para acceso Telnet o http al router, o la 4 para aceptar/contestar pings desde el exterior.

Y en caso de dudas... mejor dejarlo como está
Muchas gracias, a ver si tengo tiempo y me lo miro
 
Hola a todos!!

Tengo un CCR1009 funcionando con la configuración de Malosa sin problemas desde hace años (Movistar TV, IPTV…)

Al actualizar la versión 6.43 (no recuerdo exactamente cuál) a la última “stable” 6.44.3 la IPTV deja de funcionar, los paquetes instalados son los correctos, etc, etc…

Sin tocar nada vuelvo a la versión “long term” 6.43.16 y todo OK de nuevo.

Por curiosidad he puesto la “stable” 6.44 y vuelve el problema

El changelog de la 6.44 es inacabable, pero por mucho que lo miro no veo nada relevante que pueda provocarlo.

La única diferencia que aparece cuando comparo los config es que en la 6.44 y 6.44.3 aparecen un par de líneas nuevas:

------
/ip ssh
set allow-none-crypto=yes
____

¿Alguna pista/idea? He rebuscado por la Red y no veo nada al respecto.

Saludos y Gracias por adelantado
 
Solucionado!! Me respondo a mí mismo:

Después de darle mil vueltas al asunto descubrí que tenía una antigua regla en Switch (heredara de un trasto anterior) de cuando antes del FastTrack.

Al deshabilitarla (en la versión 6.44.3) todo volvió a la normalidad, ahora la gracia seria saber qué es lo que cambió de la 6.43 a la 6.44 para que dejara de funcionar la IPTV en los ordenadores…. ¿?¿?

Saludos
 
He conseguido poner en marcha un rb4011 con tv de movistar.

Me quedan solo las dudas del test de velocidad. Tengo 600Mb simetricos contratados pero solo en el test de velocidad de movistar saco los 600Mb. Si utilizo otros como por ejemplo http://www.dslreports.com/speedtest no paso de 350/400Mb de bajada. Hoy he probado tambien Fast.com y en este me da mas puntuación. ¿como debo medir la subida/bajada?

Sl2
 
Última edición:
He conseguido poner en marcha un rb4011 con tv de movistar.

Me quedan solo las dudas del test de velocidad. Tengo 600Mb simetricos contratados pero solo en el test de velocidad de movistar saco los 600Mb. Si utilizo otros como por ejemplo http://www.dslreports.com/speedtest no paso de 350/400Mb de bajada. Hoy he probado tambien Fast.com y en este me da mas puntuación. ¿como debo medir la subida/bajada?

Sl2
No te marees con los test. Si en alguno de ellos alcanzas los 600 mbps, eso quiere decir que tienes ese ancho de banda. Para cada test, depende de el tráfico existente y de muchos otros parámetros por lo que será dificil que te den resultado óptimos.
 
No te marees con los test. Si en alguno de ellos alcanzas los 600 mbps, eso quiere decir que tienes ese ancho de banda. Para cada test, depende de el tráfico existente y de muchos otros parámetros por lo que será dificil que te den resultado óptimos.
Ok,gracias, es verdad ya me han comentado que depende de varios factores como la cantidad de vecinos que están conectados, etc...
 
Hola, a ver si alguien me puede ayudar. Llevo un tiempo intentando tener un firewall minimamente decente pero cuanto mas leo mas veo que esto no es sencillo.

Por ahora no me he metido con vpn y lo tengo solo con estas reglas básicas:

Código:
 0    ;;; aceptar ICMP
      chain=input action=accept protocol=icmp log=yes log-prefix=""

 1    ;;; aceptar Conexiones_Establecidas
      chain=input action=accept connection-state=established log=no log-prefix=""

 2    ;;; aceptar Conexiones_Relacionadas
      chain=input action=accept connection-state=related log=no log-prefix=""

 3    ;;; denegar Todo_lo_demas
      chain=input action=drop in-interface=pppoe-out1 log=yes log-prefix="PPPOE dropped "

 4    ;;; aceptar Conexiones_Establecidas
      chain=forward action=accept connection-state=established log=no log-prefix=""

 5    ;;; aceptar Conexiones_Relacionadas
      chain=forward action=accept connection-state=related log=no log-prefix=""

 6    ;;; denegar_Conexiones_No_Validas
      chain=forward action=drop connection-state=invalid log=no log-prefix=""
En Bridge>Settings: hay una opción que es "usar ip firewall", que a su vez incluye uno para vlan y otro para PPPOE.

Hace unos días active que la regla 3 del firewall registrase los logs. Y me he quedado sorprendido de la cantidad de paquetes rechazados que hay. Por ejemplo:

Código:
20:51:24 firewall,info PPPOE dropped  input: in:pppoe-out1 out:(unknown 0), proto TCP (SYN), 185.254.122.116:41751->mi ip publica, len 44
20:51:32 firewall,info PPPOE dropped  input: in:pppoe-out1 out:(unknown 0), proto TCP (SYN), 185.254.122.11:42206->mi ip publica, len 44
20:51:45 firewall,info PPPOE dropped  input: in:pppoe-out1 out:(unknown 0), proto TCP (SYN), 185.254.122.11:42206->mi ip publica, len 44
20:51:49 firewall,info input: in:pppoe-out1 out:(unknown 0), src-mac xxx, proto ICMP (type 8, code 0), 3.112.14.218->mi ip publica, len 84
20:51:52 firewall,info PPPOE dropped  input: in:pppoe-out1 out:(unknown 0), src-mac xxx, proto TCP (RST), 125.209.222.231:443->mi ip publica, len 40
20:51:53 firewall,info PPPOE dropped  input: in:pppoe-out1 out:(unknown 0), src-mac xxx, proto TCP (RST), 209.197.3.85:443->mi ip publica, len 40
20:51:55 firewall,info PPPOE dropped  input: in:pppoe-out1 out:(unknown 0), proto TCP (SYN), 185.254.122.22:42088->mi ip publica, len 44
20:52:00 firewall,info PPPOE dropped  input: in:pppoe-out1 out:(unknown 0), proto TCP (SYN), 185.176.27.242:51999->mi ip publica, len 44
20:52:02 firewall,info PPPOE dropped  input: in:pppoe-out1 out:(unknown 0), proto TCP (SYN), 118.123.15.237:45296->mi ip publica, len 44
20:52:13 firewall,info input: in:pppoe-out1 out:(unknown 0), src-mac xxx, proto ICMP (type 8, code 0), 13.231.192.230->mi ip publica, len 84
20:52:14 firewall,info PPPOE dropped  input: in:pppoe-out1 out:(unknown 0), proto TCP (SYN), 185.176.27.242:51999->mi ip publica, len 44
20:52:19 firewall,info PPPOE dropped  input: in:pppoe-out1 out:(unknown 0), src-mac xxx, proto UDP, 185.53.88.35:5063->mi ip publica, len 438
20:52:22 firewall,info PPPOE dropped  input: in:pppoe-out1 out:(unknown 0), proto TCP (SYN), 185.254.122.22:42088->mi ip publica, len 44
20:52:23 firewall,info PPPOE dropped  input: in:pppoe-out1 out:(unknown 0), src-mac xxx, proto TCP (RST), 52.218.160.26:443->mi ip publica, len 40
20:52:24 firewall,info PPPOE dropped  input: in:pppoe-out1 out:(unknown 0), proto TCP (SYN), 185.254.122.11:42206->mi ip publica, len 44
20:52:27 firewall,info PPPOE dropped  input: in:pppoe-out1 out:(unknown 0), proto TCP (SYN), 193.32.161.12:57489->mi ip publica, len 44
20:52:31 firewall,info PPPOE dropped  input: in:pppoe-out1 out:(unknown 0), proto TCP (SYN), 120.52.152.17:58914->mi ip publica, len 44
He comprobado alguna (en paginas como https://www.abuseipdb.com ) y si parecen ser sospechosas. La misma IP en varios casos está repitiendo la llamada a puertos diferentes de forma sistemática.

Primera pregunta es si debo tener en Bridge>Settings>Firewall éste activado o no. La verdad que he probado a desactivarlo y sigue igual que activado.

Otra duda que me queda es si respecto a las reglas básicas del fw hay alguna que debo añadir.

Asjunto tambien la NAT:

Código:
 0    chain=srcnat action=masquerade out-interface=pppoe-out1 log=no log-prefix=""

 1    chain=srcnat action=masquerade out-interface=ether1-gateway log=no log-prefix=""

 2    chain=srcnat action=masquerade out-interface=vlan3 log=no log-prefix=""

 3    ;;; IPTV
      chain=srcnat action=masquerade out-interface=vlan2 log=no log-prefix=""

 4    ;;; VOD
      chain=dstnat action=dst-nat to-addresses=192.168.1.200 protocol=udp dst-address=XXX dst-address-type=local in-interface=vlan2 log=no log-prefix=""
Un saludo.
 
Alguien ha conseguido poner el NAT Loopback (Hairpin NAT) con el Mikrotik? No hay manera en mi caso :oops:
Sí, dime qué necesitas. Para un caso común:
Chain = srcnat
Src Address = Dirección de tu red, normalmente algo como 192.168.1.0/24
Dst Adrress = Dirección IP, dentro del rango anterior, a la que quieres hacer el hairpin nat. Ejemplo 192.168.1.5
Protocol = 6 (tcp)
Dst. Port = Puertos que quieres abrir para el hairpin nat. ejemplo, 5000. Si son más de uno, separados por comas.
Out. Interface = Interface por la que vas a llegar a esa red. Normalmente, un bridge que agrupe las interfaces físicas de tu lan. Ejemplo, bridge-lan (agrupando a ether2, ether3, ether4, ether5... para un router donde ether1 es tu wan y todas las demás bocas son tu lan).
Action = masquerade.

Con eso tienes acceso al puerto 5000 de tu ip interna 192.168.1.5, incluso accediendo con un nombre de dominio externo, usado desde tu propia red.
 
Hola, a ver si alguien me puede ayudar. Llevo un tiempo intentando tener un firewall minimamente decente pero cuanto mas leo mas veo que esto no es sencillo.

Por ahora no me he metido con vpn y lo tengo solo con estas reglas básicas:

Código:
0    ;;; aceptar ICMP
      chain=input action=accept protocol=icmp log=yes log-prefix=""

1    ;;; aceptar Conexiones_Establecidas
      chain=input action=accept connection-state=established log=no log-prefix=""

2    ;;; aceptar Conexiones_Relacionadas
      chain=input action=accept connection-state=related log=no log-prefix=""

3    ;;; denegar Todo_lo_demas
      chain=input action=drop in-interface=pppoe-out1 log=yes log-prefix="PPPOE dropped "

4    ;;; aceptar Conexiones_Establecidas
      chain=forward action=accept connection-state=established log=no log-prefix=""

5    ;;; aceptar Conexiones_Relacionadas
      chain=forward action=accept connection-state=related log=no log-prefix=""

6    ;;; denegar_Conexiones_No_Validas
      chain=forward action=drop connection-state=invalid log=no log-prefix=""
En Bridge>Settings: hay una opción que es "usar ip firewall", que a su vez incluye uno para vlan y otro para PPPOE.

Hace unos días active que la regla 3 del firewall registrase los logs. Y me he quedado sorprendido de la cantidad de paquetes rechazados que hay. Por ejemplo:

Código:
20:51:24 firewall,info PPPOE dropped  input: in:pppoe-out1 out:(unknown 0), proto TCP (SYN), 185.254.122.116:41751->mi ip publica, len 44
20:51:32 firewall,info PPPOE dropped  input: in:pppoe-out1 out:(unknown 0), proto TCP (SYN), 185.254.122.11:42206->mi ip publica, len 44
20:51:45 firewall,info PPPOE dropped  input: in:pppoe-out1 out:(unknown 0), proto TCP (SYN), 185.254.122.11:42206->mi ip publica, len 44
20:51:49 firewall,info input: in:pppoe-out1 out:(unknown 0), src-mac xxx, proto ICMP (type 8, code 0), 3.112.14.218->mi ip publica, len 84
20:51:52 firewall,info PPPOE dropped  input: in:pppoe-out1 out:(unknown 0), src-mac xxx, proto TCP (RST), 125.209.222.231:443->mi ip publica, len 40
20:51:53 firewall,info PPPOE dropped  input: in:pppoe-out1 out:(unknown 0), src-mac xxx, proto TCP (RST), 209.197.3.85:443->mi ip publica, len 40
20:51:55 firewall,info PPPOE dropped  input: in:pppoe-out1 out:(unknown 0), proto TCP (SYN), 185.254.122.22:42088->mi ip publica, len 44
20:52:00 firewall,info PPPOE dropped  input: in:pppoe-out1 out:(unknown 0), proto TCP (SYN), 185.176.27.242:51999->mi ip publica, len 44
20:52:02 firewall,info PPPOE dropped  input: in:pppoe-out1 out:(unknown 0), proto TCP (SYN), 118.123.15.237:45296->mi ip publica, len 44
20:52:13 firewall,info input: in:pppoe-out1 out:(unknown 0), src-mac xxx, proto ICMP (type 8, code 0), 13.231.192.230->mi ip publica, len 84
20:52:14 firewall,info PPPOE dropped  input: in:pppoe-out1 out:(unknown 0), proto TCP (SYN), 185.176.27.242:51999->mi ip publica, len 44
20:52:19 firewall,info PPPOE dropped  input: in:pppoe-out1 out:(unknown 0), src-mac xxx, proto UDP, 185.53.88.35:5063->mi ip publica, len 438
20:52:22 firewall,info PPPOE dropped  input: in:pppoe-out1 out:(unknown 0), proto TCP (SYN), 185.254.122.22:42088->mi ip publica, len 44
20:52:23 firewall,info PPPOE dropped  input: in:pppoe-out1 out:(unknown 0), src-mac xxx, proto TCP (RST), 52.218.160.26:443->mi ip publica, len 40
20:52:24 firewall,info PPPOE dropped  input: in:pppoe-out1 out:(unknown 0), proto TCP (SYN), 185.254.122.11:42206->mi ip publica, len 44
20:52:27 firewall,info PPPOE dropped  input: in:pppoe-out1 out:(unknown 0), proto TCP (SYN), 193.32.161.12:57489->mi ip publica, len 44
20:52:31 firewall,info PPPOE dropped  input: in:pppoe-out1 out:(unknown 0), proto TCP (SYN), 120.52.152.17:58914->mi ip publica, len 44
He comprobado alguna (en paginas como https://www.abuseipdb.com ) y si parecen ser sospechosas. La misma IP en varios casos está repitiendo la llamada a puertos diferentes de forma sistemática.

Primera pregunta es si debo tener en Bridge>Settings>Firewall éste activado o no. La verdad que he probado a desactivarlo y sigue igual que activado.

Otra duda que me queda es si respecto a las reglas básicas del fw hay alguna que debo añadir.

Asjunto tambien la NAT:

Código:
 0    chain=srcnat action=masquerade out-interface=pppoe-out1 log=no log-prefix=""

1    chain=srcnat action=masquerade out-interface=ether1-gateway log=no log-prefix=""

2    chain=srcnat action=masquerade out-interface=vlan3 log=no log-prefix=""

3    ;;; IPTV
      chain=srcnat action=masquerade out-interface=vlan2 log=no log-prefix=""

4    ;;; VOD
      chain=dstnat action=dst-nat to-addresses=192.168.1.200 protocol=udp dst-address=XXX dst-address-type=local in-interface=vlan2 log=no log-prefix=""
Un saludo.
Hola!

¿Has probado a dejar el firewall, tal y como lo monta el mikrotik recién reseteado? La configuración base es bastante buena en las últimas versiones de firmware y, a no ser que sea para una empresa o algo muy grande, más que suficiente para un usuario domestico o pequeña empresa. La opción de firewall dentro del Bridge>Settings es para otro tema, yo no la marcaría a priori, a no ser que trabajes con filtrado de paquetes en colas de prioridad (ver más aquí: https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#Bridge_Settings)

Con respecto al log del firewall... es normal. Hay miles de bots que van a tratar de acceder a tu equipo, razón por la cual siempre has de tener el firewall activado y el firmware del mikrotik actualizado. No me preocuparía en loguear esas peticiones, precisamente el firewall está para eso, para pararlas.

Te paso un pantallazo del que tengo en casa, como te digo, está prácticamente con la configuración de serie. Si no tienes VPN montada en el mikrotik, puedes obviar las reglas 2, 7 y 8 (pero deja las demás en ese orden):

firewall mikortik.png


Con respecto al NAT, idem, configuración básica de mikrotik (masquerade sobre la interfaz WAN) + las entradas que necesites para abrir los puertos que quieres exponer para afuera (cuantos menos, mejor)

Dime si necesitas algo más, soy fan de los chismes.
 
Buenas!

Tengo el Mikrotik desde hace varios años y estoy muy contento. En su día configuré la VPN (PPTP) siguiendo las indicaciones del primer post y ha funcionado correctamente hasta ahora. Sin embargo, de repente los 2 ordenadores conectados a la VPN no pueden acceder a los ordenadores en LAN.

No he modificado nada de la configuración del router, así que ando bastante perdido.

¿Podrías echarme un cable a ver dónde está el fallo?

Gracias!
Un saludo
 
Buenas!

Tengo el Mikrotik desde hace varios años y estoy muy contento. En su día configuré la VPN (PPTP) siguiendo las indicaciones del primer post y ha funcionado correctamente hasta ahora. Sin embargo, de repente los 2 ordenadores conectados a la VPN no pueden acceder a los ordenadores en LAN.

No he modificado nada de la configuración del router, así que ando bastante perdido.

¿Podrías echarme un cable a ver dónde está el fallo?

Gracias!
Un saludo
Claro, sin problema. ¿Te importaría abrir el tema en otro hilo, así no ensuciamos este? Mándame un mensaje con el nuevo hilo y te echo una mano con ello.

Saludos!
 
Arriba