Ayuda con red en mikrotik

Hola, antes que nada gracias por la ayuda que podáis facilitarme, busco la mejor forma de montar la red que tengo en casa.

tengo el siguiente equipamiento y quería saber la mejor forma de configurar lo siguiente:

1 ont Huawei
1 router mikrotik rb4011
1 switch con gestionado.
1 router TPlink 841n
1 router mitrastar de O2.

La red actual la tengo como sigue:

Mitrastar de O2, con IP 192.168.11.1/24 enlazado al puerto 24 del switch.

El switch con IP 192.168.11.252/24 lo tengo montado con dos vlan, ya que en casa tengo dos redes totalmente independientes, porque comparto conexión con el vecino.

Mi red está actualmente en la 192.168.11.0/24, mientras que la del vecino está en la 192.168.21.0/24. El vecino está conectado a un puerto del switch en la otra vlan, con el 841n puesto en modo router y con una static IP de la red 192.168.11.0/24

Con esta configuración ambas redes están aisladas a través de las vlan del switch.

El nuevo planteamiento sería:

De la red se va el mitrastar y entran la ont y el router mikrotik y la red del 841n quiero gestionarla desde el mikrotik, quedando como punto de acceso/switch.

La pregunta, sería, como montar esta red de forma aislada de la manera más eficiente posible.

Las ideas que se me ocurren son:

Vlans en mikrotik, 1 puerto con una vlan al switch de 24 puertos que se quedaría solo pa mi red interna (quitaría las vlan del switch) y otra vlan para el vecino conectado al 841n. Tengo entendido que el mikrotik al ser un router no maneja tan bien las vlan así que no sé si sería lo mejor.

Otra idea sería dos redes (bridges) en el mikrotik con sus ips,dhcp servers,etc, una red al switch de 24 puertos y otra red al 841n. Y usa una regla filter para que no se comuniquen entre ellas.

He de decir que no tengo experiencia con el mikrotik, y que todo lo que he expuesto lo he deducido según todo lo que he mirado estos días antes de preguntar.

Probablemente hayan ideas mejores o quizá alguna de las expuestas sea la correcta. Decir que para mí el caso ideal es quita del switch de 24p las vlan y sacar directamente del mikrotik los dos cables físicos que irían a las dos subredes pero tampoco tengo ningún inconveniente si es la mejor opción seguir separando las redes a través del switch siempre y cuando la red de las dos vlan puedan ser gestionadas desde el mikrotik... Ips, dchp servers etc...

Lo dicho gracias de antemano X la ayuda y si necesitáis algún datos más, please, pedirlo sin problemas.
 
Vlans en mikrotik, 1 puerto con una vlan al switch de 24 puertos que se quedaría solo pa mi red interna (quitaría las vlan del switch) y otra vlan para el vecino conectado al 841n. Tengo entendido que el mikrotik al ser un router no maneja tan bien las vlan así que no sé si sería lo mejor.
Como que el mikrotik no maneja bien la VLAN, creo que es todo lo contrario, las maneja como a ti te de la gana, los que no manejan son los router domesticos, el mikrotik lo encuadrariamos en profesional.

Otra idea sería dos redes (bridges) en el mikrotik con sus ips,dhcp servers,etc, una red al switch de 24 puertos y otra red al 841n. Y usa una regla filter para que no se comuniquen entre ellas.
A la espera que llegue el maestro pokoyo creo que esa es la mejor opción, pero creo que para la VLAN del vecino solo tendrias que sacar el puerto correspondiente del bridge pirncipal, aunque yo solo soy padawan, hay que esperar al maestro :cool:

Un saludo. ;)
 
Lo que quieres se puede hacer de muchas maneras, incluso sin VLANs. Simplemente sacas un puerto del bridge principal del 4011, le pones un segmento propio, un DHCP Server, y una regla de firewall en forward que le impida llegar a cualquier otra cosa que no sea la WAN y andando. A ese puerto le conectas el cable que viene de casa del vecino y no necesitas complicarte más la vida.

Si me preguntas a mi cómo lo montaría, tiraría por una de estas dos opciones, obviando la más simple que te di antes:

a) quieres usar el switch: Olvídate de bridges en el mikrotik y pon un puerto como WAN y otro como puerto TRUNK para el switch, donde le mandes un par (o más) VLANs. A nivel de switch, tal y como lo venías haciendo, solo que el puerto que lo una al router ahora tendrás que tratarlo como trunk y etiquetar ambas vlans.

b) quieres prescindir del switch, porque no necesitas tanto aparaterío, y aprovechar las 10 bocas del 4011: sube el router a la v7 y monta bridge vlan filtering, que ahora es compatible con hardware offloading en esa versión y para ese equipo. Un único bridge y tantas VLANs como quieras (igual que el punto anterior), pero quitando el switch de la foto. Y ya decides tú qué comunicas y qué no en el router.

Nota importante: mikrotik maneja perfectamente las VLANs, pero lo que tienes no es un chisme L2, sino L3, así que no esperes que las maneje como tu swtich. Es decir, aunque en L2 dos vlans jamás estarán comunicadas, como es un router, sí que lo van a estar, y necesitas prohibir esa comunicación expresamente vía firewall. Recuerda que, en mikrotik, todas las subredes que montes en el mismo router (vale también para el primer caso donde no hay vlans), están por defecto comunicadas entre sí, por muy "VLANs" que sean.

Saludos!
 
Gracias!. Finalmente he optado por separar las redes mediante una regla del firewall.

Keep simple.

Ahora mismo tengo dos redes, dos dchp server, y la regla que me separa ambas redes. Pero tengo una duda con esta regla, veo que poniendo simplemente la regla de drop packages entre el bridge1 y el bridge2 es suficiente para que las redes esten aisladas. Pensé que era necesario poner la regla entre el bridge2 y el bridge1 tb, pero veo que no lo es.

Es decir:

1637143265756.png


No necesito la regla a la inversa, o me estoy equivocando en algo? Con esta regla (action, drop), el bridge eli no estaria viendo el bridge casa ni viceversa.


Otra cosa, he leido por ahi el tema de activar el hardware offloading. Parece que se lo he activado y me esta funcionando, pero solo en un bridge, y no sé por qué :S

1637144276238.png


1637144296985.png


Los puertos 9 y 10, no tienen la H activada, que pertenecen al bridgeEli.

Otra cosa :D

Se que hay un tip de como ver tu ONT, pero a mi no me va:

El caso es que la ONT la tengo en el mismo segmento de red que la red principal (192.168.11.0/24, mas concretamente en 192.168.11.2/24).
 

Adjuntos

  • 1637144253732.png
    1637144253732.png
    26.1 KB · Visitas: 73
Última edición:
Gracias!. Finalmente he optado por separar las redes mediante una regla del firewall.

Keep simple.
Buena decisión. Tiempo tienes de montar algo más complejo con VLANs.

Ahora mismo tengo dos redes, dos dchp server, y la regla que me separa ambas redes. Pero tengo una duda con esta regla, veo que poniendo simplemente la regla de drop packages entre el bridge1 y el bridge2 es suficiente para que las redes esten aisladas. Pensé que era necesario poner la regla entre el bridge2 y el bridge1 tb, pero veo que no lo es.
Umm... ya no vas tan bién. ¿Para qué un segundo bridge? ¿Necesita tu vecino/a más de un puerto? Sino, ese segundo bridge sobra, y ahora verás porqué...

No necesito la regla a la inversa, o me estoy equivocando en algo? Con esta regla (action, drop), el bridge eli no estaria viendo el bridge casa ni viceversa.
Ojo con las reglas de firewall a nivel interface, que en cuanto empiezas a jugar con ellas te das cuenta de que no funcionan como esperas. Si puedes, usa siempre IP's en lugar de interfaces. Ahora después te pongo un ejemplo.

Otra cosa, he leido por ahi el tema de activar el hardware offloading. Parece que se lo he activado y me esta funcionando, pero solo en un bridge, y no sé por qué :S
Este es el principal problema de usar dos bridges. Sólo el primero va a tener línea directa con el switch chip (hardware offloading). El segundo y sucesivos, no lo tienen. Es así y no se puede hacer nada para solventarlo. De hecho, ni te molestes en poner el protocol-mode=none en el segundo, porque de ninguna manera vas a tener hardware offloading y estás prescindiendo de una característica muy importante para prevenir bucles.

Vale, dicho esto, imagínate que tu veciono/a sólo necesita un puerto. Vamos a simplificar esto al máximo y trabajar con un único bridge. Simplemente sacaremos ese puerto del bridge principal y lo direccionaremos directamente, y de manera independiente de los otros. Vendría a ser algo así:

Sacamos el puerto 10 del bridge principal.
Código:
/interface bridge port remove [find where interface=ether10]

Le damos un direccionamiento al puerto, por ejemplo la subred 192.168.99.0/24 (pon la que más rabia te dé, que no sea la que tú usas, y /24)
Código:
/ip address
add interface=ether10 address=192.168.99.0/24

Corre un wizard para crear el dhcp sobre esa nueva interfaz, y te creará el servidor, la red y el pool todo de un golpe. Simplemente, responde a las preguntas... Asegúrate de darle un DNS público en lugar de la IP de tu propio router (esta subred no formará parte de la lista LAN, y no tendrá acceso al propio router en el chain de input, para usar su DNS)
Código:
/ip dhcp-server setup

Mete una única regla de firewall que haga que esa subred únicamente tenga acceso a internet (la regla dice: tira todo lo que venga de la subred del vecino/a y que no vaya con destino internet)
Código:
/ip firewall filter
add action=drop chain=forward comment="la vecina solo accede a internet" \
out-interface-list=!WAN src-address=192.168.99.0/24

Y listo, no necesitas más para el setup que estás manejando. Si ves que se chupa todo internet, le podríamos meter también una cola y controlar el ancho de banda. Aunque con las conexiones que tenemos hoy en día, es difícil que eso pase.

Como ves, no necesitas para nada un segundo bridge. Si quieres además ganar R-STP en tu bridge principal y poder usar bridge-vlan-filtering con hardware offloading al mismo tiempo, sube el requipo a la release candidate de la RouterOS v7.

Saludos!
 
El segundo bridge, lo necesito para tener dos puertos en su red, una interfaz la conecto a su switch como trunk y la otra interfaz la necesito para conectarme a su red en caso de que tenga algun problema poder solventarlo, de cualquier forma esta segunda interfaz la tengo deshabilitada cuando no la estoy usando.
 
Por cierto, en el hilo (tips), el tip de ver una ONT que esta en otro rango, estuve investigando y me parece que tal cual está no funciona, yo he tenido que agregar ademas una regla de enmascaramiento para que salte de red ya que desde el mikrotik agregando la address hacia ping, pero desde los equipos no se enteraba que la ont estaba ahi.

1637176547056.png


Tanto el src. address como el dst. address serian opcionales y la accion seria masquerade. Con esto y los pasos de ese hilo si me accede perfectamente a la ONT detras del mikrotik desde los equipos del network 192.168.11.0/24
 
Por cierto, en el hilo (tips), el tip de ver una ONT que esta en otro rango, estuve investigando y me parece que tal cual está no funciona, yo he tenido que agregar ademas una regla de enmascaramiento para que salte de red ya que desde el mikrotik agregando la address hacia ping, pero desde los equipos no se enteraba que la ont estaba ahi.

Ver el adjunto 88281

Tanto el src. address como el dst. address serian opcionales y la accion seria masquerade. Con esto y los pasos de ese hilo si me accede perfectamente a la ONT detras del mikrotik desde los equipos del network 192.168.11.0/24
Los manuales están todos probados por mi mismo. Eso sí, están basados en la configuración por defecto. Lo más seguro es que no tengas ether1 en la lista WAN, razón por la que no te funcione ese truco.

Saludos!
 
Gracias por la ayuda!

De todos modos, en principio salvo que lo haya hecho mal, parece que si la tengo

1637184737467.png
 
Y el PPPoE? No me encaja; tienes la configuración por defecto? Deberías tener un masquerade de la lista WAN y, si en las direcciones tienes una del segmento de admin de la ONT, deberías llegar a ella.

Saludos!
 
Ouhhh! ese era el problema, el masquerade lo tenia a al ppoe directamente y no a la lista, por eso iban por separado! :O

No, lo hice yo todo desde cero con el objetivo de aprender :)

Gracias, ahora si va asi, metere un filtro mas con el objetivo que el vecino no se acerque a la config del ont.

Thanks!
 
Última edición:
Ouhhh! ese era el problema, el masquerade lo tenia a al ppoe directamente y no a la lista, por eso iban por separado! :O

No, lo hice yo todo desde cero con el objetivo de aprender :)

Gracias, ahora si va asi, metere un filtro mas con el objetivo que el vecino no se acerque a la config del ont.

Thanks!
Simplemente especifica el rango del src-address y listo. Y, si quieres un consejo, ahora que sabes algo más y has aprendido, resetea y parte de una configuración por defecto, así te aseguras de que no se te quedó nada en el tintero.

Saludos!
 
Consejo captado. Gracias!

Por cierto, ahora mismo tengo el rb4011 con una ONT de huawei (EG8120L, la VOIP la gestiona la ONT). Estaba pensando que si era mejor como equipo bridge usar el HGU o por el contrario dejar el de HUAWEI.

Que me recomiendan? O realmente es indiferente?
 
Consejo captado. Gracias!

Por cierto, ahora mismo tengo el rb4011 con una ONT de huawei (EG8120L, la VOIP la gestiona la ONT). Estaba pensando que si era mejor como equipo bridge usar el HGU o por el contrario dejar el de HUAWEI.

Que me recomiendan? O realmente es indiferente?
La ONT. Cada chisme, para lo que fue diseñado.

Saludos!
 
Buena decisión. Tiempo tienes de montar algo más complejo con VLANs.


Umm... ya no vas tan bién. ¿Para qué un segundo bridge? ¿Necesita tu vecino/a más de un puerto? Sino, ese segundo bridge sobra, y ahora verás porqué...


Ojo con las reglas de firewall a nivel interface, que en cuanto empiezas a jugar con ellas te das cuenta de que no funcionan como esperas. Si puedes, usa siempre IP's en lugar de interfaces. Ahora después te pongo un ejemplo.


Este es el principal problema de usar dos bridges. Sólo el primero va a tener línea directa con el switch chip (hardware offloading). El segundo y sucesivos, no lo tienen. Es así y no se puede hacer nada para solventarlo. De hecho, ni te molestes en poner el protocol-mode=none en el segundo, porque de ninguna manera vas a tener hardware offloading y estás prescindiendo de una característica muy importante para prevenir bucles.

Vale, dicho esto, imagínate que tu veciono/a sólo necesita un puerto. Vamos a simplificar esto al máximo y trabajar con un único bridge. Simplemente sacaremos ese puerto del bridge principal y lo direccionaremos directamente, y de manera independiente de los otros. Vendría a ser algo así:

Sacamos el puerto 10 del bridge principal.
Código:
/interface bridge port remove [find where interface=ether10]

Le damos un direccionamiento al puerto, por ejemplo la subred 192.168.99.0/24 (pon la que más rabia te dé, que no sea la que tú usas, y /24)
Código:
/ip address
add interface=ether10 address=192.168.99.0/24

Corre un wizard para crear el dhcp sobre esa nueva interfaz, y te creará el servidor, la red y el pool todo de un golpe. Simplemente, responde a las preguntas... Asegúrate de darle un DNS público en lugar de la IP de tu propio router (esta subred no formará parte de la lista LAN, y no tendrá acceso al propio router en el chain de input, para usar su DNS)
Código:
/ip dhcp-server setup

Mete una única regla de firewall que haga que esa subred únicamente tenga acceso a internet (la regla dice: tira todo lo que venga de la subred del vecino/a y que no vaya con destino internet)
Código:
/ip firewall filter
add action=drop chain=forward comment="la vecina solo accede a internet" \
out-interface-list=!WAN src-address=192.168.99.0/24

Y listo, no necesitas más para el setup que estás manejando. Si ves que se chupa todo internet, le podríamos meter también una cola y controlar el ancho de banda. Aunque con las conexiones que tenemos hoy en día, es difícil que eso pase.

Como ves, no necesitas para nada un segundo bridge. Si quieres además ganar R-STP en tu bridge principal y poder usar bridge-vlan-filtering con hardware offloading al mismo tiempo, sube el requipo a la release candidate de la RouterOS v7.

Saludos!

Estaba dandole vueltas a esto que me dices de tener un solo bridge. Soy un medio ignorante de estos, cual seria la ventaja de tener un solo bridge aqui? Porque en el bridge principal (configurado como puertos del 2 al 8 ) si que estoy teniendo hw offload, en el bridge secundario no.

Te refieres a que si solo dejo un bridge, supongamos puertos del 2 al 9, y dejo un solo puerto para el vecino (el 10), tendré HW offload en el bridge principal y tambien para el puerto 10 del vecino?

Y es que en realidad, yo solo necesito dos puertos actuando en el RB4011, un trunk a mi switch de 24 puertos y un trunk a casa del vecino. Entiendo entonces que incluso me podria deshacer de cualquier bridge en el RB4011 porque en realidad solo voy a tener dos puertos activos. y que si no tengo bridges en el RB4011, los puertos por separados si funcionarian en HW offloading o como es el tema?

O quizá me estoy perdiendo algo. Gracias por la explicacion que puedas darme. Un saludo
 
Última edición:
En tu caso, si es como tú dices, no necesitas para nada el bridge. Saca los dos puertos que vayas a usar, crea las vlans correspondientes sobre dichos puertos, y andando.

Un bridge es una asociación lógica de interfaces, dentro de un router mikrotik. Una especie de switch dinámico. El hardware offloading es la característica que permite que esas interfaces hablen entre sí a velocidad “cable” (wire speed), es decir, sin llegar a usa la cpu del router, usando en su lugar el switch chip. Es decir, le quitas (offload) el trabajo a la cpu, usando el resto del (hardware) equipo.

Hay ciertas características en un bridge que hace que pierda el hardware offloading, como el igmp-snooping o el manejo de vlans a nivel de bridge (como si no tuvieras un switch aparte y quisieras manejar las vlans dentro de ese switch lógico llamado bridge), y que solo equipos más caros soportan (pensados para empresas y/o operadores).
Afortunadamente la nueva versión de software corrige algunas de esas carencias, como está del bridge vlan filtering, que ya es compatible con hardware offloading en muchos equipos en la v7 de RouterOS. Si te animas a probarlo, mírate el manual que hay al respecto y sube el 4011 a la v7 sin miedo, que el mío lleva a días con ello sin problema.

Saludos!
 
Vale, ahora supongamos que solo voy a usar dos puertos, es necesario crear las vlan como propones arriba. Lo tengo ahora mismo con filtros drop entre los dos Broadcast para separar, o es mejor hacerlo con dos vlan diferentes, una por puerto.

Es que este equipo tiene mil posibilidades, gracias a Dios :)

Gracias compi
 
Vale, ahora supongamos que solo voy a usar dos puertos, es necesario crear las vlan como propones arriba. Lo tengo ahora mismo con filtros drop entre los dos Broadcast para separar, o es mejor hacerlo con dos vlan diferentes, una por puerto.

Es que este equipo tiene mil posibilidades, gracias a Dios :)

Gracias compi
Para gustos colores. Si acabas migrando a la v7, yo probaría el vlan filtering, aunque sólo sea por culturilla y porque veas cómo funciona (las vlans van taggeadas sobre el propio bridge, en lugar de ir sobre una interfaz física concreta, y no añades las interfaces vlan al bridge, sino que las etiquetas en los puertos que van en modo acceso).

Aunque, viendo tu setup, que reitero me quito el sombrero, poco o nada lo vas a aprovechar, al menos a día de hoy. La configuración más simple que puedes hacer es taggear el puerto que conecte con tu switch con todas las vlans (trunk) que manejes en tu red, y montar una subred dedicada para tu vecino, sin vlan, directamente sobre el puerto que te conecte con él. Y, sobre esa subred, una regla muy simple que impida que esa subred acceda a nada que no sea la lista WAN (internet) en forward, y andando. Creo que ya vimos un ejemplo del tema, pero dime si necesitas ayuda con ello, es realmente simple.

Saludos!
 
Última edición:
Si más que nada ahora cuanto más dudas resuelvo en el hilo, más dudas aparecen... Jajaj

A ver, hay algo que no entiendo, por defecto, sin tocar nada y sin hacer ningún Bridge, entiendo que el mikrotik por defecto tiene una especie de Bridge interno porque todos los puertos están comunicados entre sí, o eso me lo parece ya que necesito de reglas para que ambas redes no se vean.

Imagino que esto es así porque cuando trabajas con bridges son como switchs virtuales y por eso pasan por la CPU del router mientras que si no hacen esos bridges trabajan como un switch por hardware y lo que permite el offload es trabajar por hardware cuando configuras un switch virtual. Es solo lo que intuyo pero no sé si es así.

Por otro lado, lo de las reglas y como montarlas me queda claro, al menos de la forma más simple, ahora mismo lo tengo así, pero me gustaría saber si a nivel de router, y suponiendo que eth1 sea la wan, eth2 mi equipo y eth10 un segundo equipo, como si fueran puertos de acceso y solo usando el rb4011, como es la forma de usando vlans, que los dos equipos tengan internet pero que no se vean entre ellos.

Por cultura general, me interesa saber cómo utilizando el rb4011 separar los dos puertos en redes diferentes a través de vlans y estando en la V6 del firmware. (Sin bridges ni nada)

Gracias por la ayuda, el objetivo es aprender ya que la red tal cual está funciona sin problemas con los consejos que me diste anteriormente.
 
Última edición:
Buenas @pokoyo, me he decidido a seguir tu consejo y parti de una configuración por defecto. La verdad que me ha agregado un monton de cosas que no tenia al principio. La pregunta es:

Todos los filtros, mange y tal que me ha creado en el firewall son necesarios?

1637514711019.png


1637514727555.png


No tengo muy claro si voy a necesitar los passthrough del mangle, ni se muy bien para que se usan. Los filter rules, a excepcion del primero y el fasttrack connection si me quedan mas o menos claros...

No se si me puedes orientar que necesito y que no desde una configuracion por defecto.
 
Arriba