MANUAL: FTTH Movistar/Jazztel con router neutro Mikrotik

Yo con que me saque el ancho de banda y el consumo de la CPU, me sobra. Lo que creo es que los intervalos de tiempo son de mínimo cinco minutos, y eso es lo que no me gusta, pero bueno, no voy a morir.
 
Buenas.

Quería cambiar de operador actualmente tengo Movistar fibra con la configuración de este hilo, quería pasarme a DIGI fibra con mi router mikrotik, que tan buen resultado me a dado, y gracias a la ayuda de todos y a malosa que he aprendido.

Voy aventurarme en la nueva configuración podríais darme algún consejo o recomendación ?.

Alguien tiene alguna configuración de DIGI con mikrotik.?

Gracias por adelantado
Un saludo.
 
Tengo el mikrotik configurado con movistar y tengo un monton de filter rules , que no se para que valen, como puedo saber para que es cada una y si puedo deshabilitarlas? Ver el adjunto 16082
Ahí hay habilitadas varias funciones habilitadas, que si ni siquiera sabes identificarlas....., seguro que puedes deshabilitarlas.
Pero cuidado con lo que deshabilitas que puedes quedarte sin acceder al router, o que dejen de funcionarte cosas.
El único modo es leer guias de Firewall de mikrotik, comprender como funcionan, y luego ya identificarlo.

Por ejemplo la 9 es por si usas túneles pptp, la 5 si usas túneles L2TP/IPSEC, la 8 es para aceptar conexiones al puerto winbox por defecto (que por cierto... yo, por seguridad lo cambiaría a otro). La 7 para acceso Telnet o http al router, o la 4 para aceptar/contestar pings desde el exterior.

Y en caso de dudas... mejor dejarlo como está
 
Buenas.

Quería cambiar de operador actualmente tengo Movistar fibra con la configuración de este hilo, quería pasarme a DIGI fibra con mi router mikrotik, que tan buen resultado me a dado, y gracias a la ayuda de todos y a malosa que he aprendido.

Voy aventurarme en la nueva configuración podríais darme algún consejo o recomendación ?.

Alguien tiene alguna configuración de DIGI con mikrotik.?

Gracias por adelantado
Un saludo.
Por otros hilos de este foro juraría que ya hay gente que ha conseguido configurar mikrotik en fibra Digi. Pero no debe de ser algo tan "sencillo" como meter una plantilla de Malosa y ya está. Si alguien supiese bien del tema... sería genial, porque yo también estoy deseando pasarme con ellos. A ver cuando me llega la cobertura....
 
Ahí hay habilitadas varias funciones habilitadas, que si ni siquiera sabes identificarlas....., seguro que puedes deshabilitarlas.
Pero cuidado con lo que deshabilitas que puedes quedarte sin acceder al router, o que dejen de funcionarte cosas.
El único modo es leer guias de Firewall de mikrotik, comprender como funcionan, y luego ya identificarlo.

Por ejemplo la 9 es por si usas túneles pptp, la 5 si usas túneles L2TP/IPSEC, la 8 es para aceptar conexiones al puerto winbox por defecto (que por cierto... yo, por seguridad lo cambiaría a otro). La 7 para acceso Telnet o http al router, o la 4 para aceptar/contestar pings desde el exterior.

Y en caso de dudas... mejor dejarlo como está
Muchas gracias, a ver si tengo tiempo y me lo miro
 
Hola a todos!!

Tengo un CCR1009 funcionando con la configuración de Malosa sin problemas desde hace años (Movistar TV, IPTV…)

Al actualizar la versión 6.43 (no recuerdo exactamente cuál) a la última “stable” 6.44.3 la IPTV deja de funcionar, los paquetes instalados son los correctos, etc, etc…

Sin tocar nada vuelvo a la versión “long term” 6.43.16 y todo OK de nuevo.

Por curiosidad he puesto la “stable” 6.44 y vuelve el problema

El changelog de la 6.44 es inacabable, pero por mucho que lo miro no veo nada relevante que pueda provocarlo.

La única diferencia que aparece cuando comparo los config es que en la 6.44 y 6.44.3 aparecen un par de líneas nuevas:

------
/ip ssh
set allow-none-crypto=yes
____

¿Alguna pista/idea? He rebuscado por la Red y no veo nada al respecto.

Saludos y Gracias por adelantado
 
Solucionado!! Me respondo a mí mismo:

Después de darle mil vueltas al asunto descubrí que tenía una antigua regla en Switch (heredara de un trasto anterior) de cuando antes del FastTrack.

Al deshabilitarla (en la versión 6.44.3) todo volvió a la normalidad, ahora la gracia seria saber qué es lo que cambió de la 6.43 a la 6.44 para que dejara de funcionar la IPTV en los ordenadores…. ¿?¿?

Saludos
 
He conseguido poner en marcha un rb4011 con tv de movistar.

Me quedan solo las dudas del test de velocidad. Tengo 600Mb simetricos contratados pero solo en el test de velocidad de movistar saco los 600Mb. Si utilizo otros como por ejemplo http://www.dslreports.com/speedtest no paso de 350/400Mb de bajada. Hoy he probado tambien Fast.com y en este me da mas puntuación. ¿como debo medir la subida/bajada?

Sl2
 
Última edición:
He conseguido poner en marcha un rb4011 con tv de movistar.

Me quedan solo las dudas del test de velocidad. Tengo 600Mb simetricos contratados pero solo en el test de velocidad de movistar saco los 600Mb. Si utilizo otros como por ejemplo http://www.dslreports.com/speedtest no paso de 350/400Mb de bajada. Hoy he probado tambien Fast.com y en este me da mas puntuación. ¿como debo medir la subida/bajada?

Sl2
No te marees con los test. Si en alguno de ellos alcanzas los 600 mbps, eso quiere decir que tienes ese ancho de banda. Para cada test, depende de el tráfico existente y de muchos otros parámetros por lo que será dificil que te den resultado óptimos.
 
No te marees con los test. Si en alguno de ellos alcanzas los 600 mbps, eso quiere decir que tienes ese ancho de banda. Para cada test, depende de el tráfico existente y de muchos otros parámetros por lo que será dificil que te den resultado óptimos.
Ok,gracias, es verdad ya me han comentado que depende de varios factores como la cantidad de vecinos que están conectados, etc...
 
Hola, a ver si alguien me puede ayudar. Llevo un tiempo intentando tener un firewall minimamente decente pero cuanto mas leo mas veo que esto no es sencillo.

Por ahora no me he metido con vpn y lo tengo solo con estas reglas básicas:

Código:
 0    ;;; aceptar ICMP
      chain=input action=accept protocol=icmp log=yes log-prefix=""

 1    ;;; aceptar Conexiones_Establecidas
      chain=input action=accept connection-state=established log=no log-prefix=""

 2    ;;; aceptar Conexiones_Relacionadas
      chain=input action=accept connection-state=related log=no log-prefix=""

 3    ;;; denegar Todo_lo_demas
      chain=input action=drop in-interface=pppoe-out1 log=yes log-prefix="PPPOE dropped "

 4    ;;; aceptar Conexiones_Establecidas
      chain=forward action=accept connection-state=established log=no log-prefix=""

 5    ;;; aceptar Conexiones_Relacionadas
      chain=forward action=accept connection-state=related log=no log-prefix=""

 6    ;;; denegar_Conexiones_No_Validas
      chain=forward action=drop connection-state=invalid log=no log-prefix=""
En Bridge>Settings: hay una opción que es "usar ip firewall", que a su vez incluye uno para vlan y otro para PPPOE.

Hace unos días active que la regla 3 del firewall registrase los logs. Y me he quedado sorprendido de la cantidad de paquetes rechazados que hay. Por ejemplo:

Código:
20:51:24 firewall,info PPPOE dropped  input: in:pppoe-out1 out:(unknown 0), proto TCP (SYN), 185.254.122.116:41751->mi ip publica, len 44
20:51:32 firewall,info PPPOE dropped  input: in:pppoe-out1 out:(unknown 0), proto TCP (SYN), 185.254.122.11:42206->mi ip publica, len 44
20:51:45 firewall,info PPPOE dropped  input: in:pppoe-out1 out:(unknown 0), proto TCP (SYN), 185.254.122.11:42206->mi ip publica, len 44
20:51:49 firewall,info input: in:pppoe-out1 out:(unknown 0), src-mac xxx, proto ICMP (type 8, code 0), 3.112.14.218->mi ip publica, len 84
20:51:52 firewall,info PPPOE dropped  input: in:pppoe-out1 out:(unknown 0), src-mac xxx, proto TCP (RST), 125.209.222.231:443->mi ip publica, len 40
20:51:53 firewall,info PPPOE dropped  input: in:pppoe-out1 out:(unknown 0), src-mac xxx, proto TCP (RST), 209.197.3.85:443->mi ip publica, len 40
20:51:55 firewall,info PPPOE dropped  input: in:pppoe-out1 out:(unknown 0), proto TCP (SYN), 185.254.122.22:42088->mi ip publica, len 44
20:52:00 firewall,info PPPOE dropped  input: in:pppoe-out1 out:(unknown 0), proto TCP (SYN), 185.176.27.242:51999->mi ip publica, len 44
20:52:02 firewall,info PPPOE dropped  input: in:pppoe-out1 out:(unknown 0), proto TCP (SYN), 118.123.15.237:45296->mi ip publica, len 44
20:52:13 firewall,info input: in:pppoe-out1 out:(unknown 0), src-mac xxx, proto ICMP (type 8, code 0), 13.231.192.230->mi ip publica, len 84
20:52:14 firewall,info PPPOE dropped  input: in:pppoe-out1 out:(unknown 0), proto TCP (SYN), 185.176.27.242:51999->mi ip publica, len 44
20:52:19 firewall,info PPPOE dropped  input: in:pppoe-out1 out:(unknown 0), src-mac xxx, proto UDP, 185.53.88.35:5063->mi ip publica, len 438
20:52:22 firewall,info PPPOE dropped  input: in:pppoe-out1 out:(unknown 0), proto TCP (SYN), 185.254.122.22:42088->mi ip publica, len 44
20:52:23 firewall,info PPPOE dropped  input: in:pppoe-out1 out:(unknown 0), src-mac xxx, proto TCP (RST), 52.218.160.26:443->mi ip publica, len 40
20:52:24 firewall,info PPPOE dropped  input: in:pppoe-out1 out:(unknown 0), proto TCP (SYN), 185.254.122.11:42206->mi ip publica, len 44
20:52:27 firewall,info PPPOE dropped  input: in:pppoe-out1 out:(unknown 0), proto TCP (SYN), 193.32.161.12:57489->mi ip publica, len 44
20:52:31 firewall,info PPPOE dropped  input: in:pppoe-out1 out:(unknown 0), proto TCP (SYN), 120.52.152.17:58914->mi ip publica, len 44
He comprobado alguna (en paginas como https://www.abuseipdb.com ) y si parecen ser sospechosas. La misma IP en varios casos está repitiendo la llamada a puertos diferentes de forma sistemática.

Primera pregunta es si debo tener en Bridge>Settings>Firewall éste activado o no. La verdad que he probado a desactivarlo y sigue igual que activado.

Otra duda que me queda es si respecto a las reglas básicas del fw hay alguna que debo añadir.

Asjunto tambien la NAT:

Código:
 0    chain=srcnat action=masquerade out-interface=pppoe-out1 log=no log-prefix=""

 1    chain=srcnat action=masquerade out-interface=ether1-gateway log=no log-prefix=""

 2    chain=srcnat action=masquerade out-interface=vlan3 log=no log-prefix=""

 3    ;;; IPTV
      chain=srcnat action=masquerade out-interface=vlan2 log=no log-prefix=""

 4    ;;; VOD
      chain=dstnat action=dst-nat to-addresses=192.168.1.200 protocol=udp dst-address=XXX dst-address-type=local in-interface=vlan2 log=no log-prefix=""
Un saludo.
 
Arriba