Ayuda con red en mikrotik

nemeek · 23 Noviembre 2021

Buenas, no se si me puedes exar una mano @pokoyo, la siguiente situacion me pasa tanto con configuracion propia como reseteado de fabrica y no sé muy bien por qué, a ver si puedes darme luz.

Sin filtros entre las redes, desde la red 192.168.12.0 puedo acceder a los equipos de la red 192.168.11.0 pero no al contrario (sí que puedo hacer ping), pero no me carga por ejemplo la interfaz web de un router que esta en la 192.168.12.2.

Para que me cargue la interfaz web estoy necesitando poner lo siguiente en el nat.

Y es que si no activo la regla numero 0, que hace masquerade a la interface out de la lan no me carga la web del router que esta en la 192.168.12.2.

Estas son las filter rules actuales:

Pero ni desactivando todas las filter rules funciona, parece que necesito poner esa regla en el NAT si o si. Recuerdo que la primera vez que configure llegaba sin problemas a la 192.168.12.2 pero ahora no esta siendo asi sin enmascarar la LAN.

pokoyo · 23 Noviembre 2021

Pásame el export completo. Lo mas probable es que te esté tirando una regla de input, o que tengas restringido el acceso web a un segmento concreto. Y, si me pitas “quienes” son esas subredes (principal, invitados, etc), mejor.

Saludos!

nemeek · 23 Noviembre 2021

# nov/23/2021 08:50:19 by RouterOS 6.49.1
# software id = DAEX-MBQ9
#
# model = RB4011iGS+
# serial number = F0380FECEB12
/interface ethernet
set [ find default-name=ether1 ] comment=WAN
set [ find default-name=ether2 ] comment="Trunk 11"
set [ find default-name=ether3 ] disabled=yes
set [ find default-name=ether4 ] disabled=yes
set [ find default-name=ether5 ] disabled=yes
set [ find default-name=ether6 ] disabled=yes
set [ find default-name=ether7 ] disabled=yes
set [ find default-name=ether8 ] disabled=yes
set [ find default-name=ether9 ] disabled=yes
set [ find default-name=ether10 ] comment="Trunk 12" poe-out=off
set [ find default-name=sfp-sfpplus1 ] disabled=yes
/interface vlan
add interface=ether1 name=internet-vlan6 vlan-id=6
/interface pppoe-client
add add-default-route=yes disabled=no interface=internet-vlan6 name=\
internet-o2 user=adslppp@telefonicapa
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add name=WAN
add name=LAN
add name=LAN11
add name=LAN12
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add comment="Network 11 Pooling" name=dhcp_pool11 ranges=\
192.168.11.50-192.168.11.254
add comment="Network 12 Pooling" name=dhcp_pool12 ranges=\
192.168.12.50-192.168.12.254
/ip dhcp-server
add address-pool=dhcp_pool11 disabled=no interface=ether2 name=dhcp11
add address-pool=dhcp_pool12 disabled=no interface=ether10 name=dhcp12
/queue simple
add comment="Network 12 limit" max-limit=30M/30M name="Bandwidth limitation" \
target=192.168.12.0/24
/ip neighbor discovery-settings
set discover-interface-list=LAN11
/interface detect-internet
set detect-interface-list=all internet-interface-list=WAN lan-interface-list=\
LAN wan-interface-list=WAN
/interface list member
add interface=internet-o2 list=WAN
add interface=ether2 list=LAN
add interface=ether10 list=LAN
add interface=ether1 list=WAN
add interface=ether10 list=LAN12
add interface=ether2 list=LAN11
/ip address
add address=192.168.11.1/24 comment="Address Network 11" interface=ether2 \
network=192.168.11.0
add address=192.168.100.2/24 comment="Address for ONT connection" interface=\
ether1 network=192.168.100.0
add address=192.168.12.1/24 comment="Address Network 12" interface=ether10 \
network=192.168.12.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf disabled=no interface=ether1
/ip dhcp-server lease
add address=192.168.11.54 client-id=1:c4:41:1e:7c:de:26 mac-address=\
C4:41:1E:7CE:26 server=dhcp11
add address=192.168.11.52 client-id=1:c4:41:1e:7c:f4:f1 mac-address=\
C4:41:1E:7C:F4:F1 server=dhcp11
/ip dhcp-server network
add address=192.168.11.0/24 dns-server=192.168.11.1 gateway=192.168.11.1
add address=192.168.12.0/24 dns-server=1.1.1.2,1.0.0.2 gateway=192.168.12.1
/ip dns
set allow-remote-requests=yes cache-size=12288KiB servers=1.1.1.1,1.0.0.1
/ip firewall filter
add action=accept chain=input comment=\
"defconf: Accept establish, related, untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: Drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: Accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: Drop all not comming from LAN" \
in-interface-list=!LAN
add action=drop chain=input comment=\
"userconf: Drop all comming from network 12" in-interface-list=LAN12
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: Accept established, related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: Drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: Drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
add action=accept chain=forward comment="userconf: Accept ONT for Network 11" \
dst-address=192.168.100.1 src-address=192.168.11.0/24
add action=drop chain=forward comment="userconf: ONT blocked" dst-address=\
192.168.100.0/24
add action=drop chain=forward comment=\
"userconf: Drop all comming from !WAN (Network 12)" disabled=yes \
out-interface-list=!WAN src-address=192.168.12.0/24
add action=drop chain=forward comment=\
"userconf: Drop all comming from !WAN (Network 11)" disabled=yes \
out-interface-list=!WAN src-address=192.168.11.0/24
/ip firewall nat
add action=masquerade chain=srcnat comment="Connected between networks" \
disabled=yes out-interface-list=LAN
add action=masquerade chain=srcnat comment="Internet access" ipsec-policy=\
out,none out-interface-list=WAN
add action=dst-nat chain=dstnat comment=Synology dst-port=5000 \
in-interface-list=WAN protocol=tcp to-addresses=192.168.11.10 to-ports=\
5000
add action=dst-nat chain=dstnat comment=Vuplus dst-port=8090 \
in-interface-list=WAN protocol=tcp to-addresses=192.168.11.11 to-ports=\
8090
add action=dst-nat chain=dstnat comment="Vuplus tx. normal" dst-port=8001 \
in-interface-list=WAN protocol=tcp to-addresses=192.168.11.11 to-ports=\
8001
add action=dst-nat chain=dstnat comment="Vuplus tx. transcoding" dst-port=\
8002 in-interface-list=WAN protocol=tcp to-addresses=192.168.11.11 \
to-ports=8002
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-autodetect=no time-zone-name=Atlantic/Canary
/system identity
set name=RouterBoard
/system ntp client
set enabled=yes primary-ntp=150.214.94.10 secondary-ntp=150.214.94.5
/tool e-mail
set address=66.102.1.109 from=mikrotik@gmail.com port=587 start-tls=yes user=\
nemeek
/tool mac-server
set allowed-interface-list=LAN11
/tool mac-server mac-winbox
set allowed-interface-list=LAN11

Aqui esta, no se si necesitas algo mas o de otra forma, esta exportado con hide-sensitive.

Mi red principal es 192.168.11.0, la secundaria es 192.168.12.0

Desde 192.168.11.X no puedo acceder a http://192.168.12.2. (No puedo ni siquiera desactivando todas las filters rules, tengo que activar en nat al lan, para que llegue correctamente)

pokoyo · 23 Noviembre 2021

Lo que creo que te pasa es que te estás topando con el firewall/NAT del segundo router, que sospecho no está como AP, sino como router, ¿puede ser? Y esa NAT obviamente sólo te va a dejar pasar bajo dos condiciones: o que explícitamente aceptes ese tráfico en su firewall, o que el tráfico venga de su propia subred. Si por el contrario el equipo fuera un simple AP, sí que podrías llegar a él, tal y como lo tienes.

No obstante, te digo cómo dejaría yo tu lista de interfaces, firewall y nat, para dejarlo fino para la configuración que estás buscando:

Listas: yo borraría las listas LAN11 y LAN12. LAN = tu red, todo lo demás, no es LAN. De esa manera, te evitas duplicidad en las reglas de input, puesto que vas a tirar todo lo que no sea tu LAN (la LAN del vecino ya no llegaría al MikroTik.
Es decir, yo lo dejaría así:

Código:

/interface list
add name=WAN
add name=LAN

/interface list member
add interface=internet-o2 list=WAN
add interface=ether2 list=LAN

Firewall: como ya no tienes LAN12, simplificas el firewall. Si quieres usar colas de prioridad, no puedes habilitar fasttrack (o una cosa o la otra, entre sí son incompatibles). Considerando que sí vas a querer limitar el ancho de banda del vecino, yo lo dejaría tal que así, eliminando de la ecuación LAN12. Te queda prácticamente el firewall por defecto, con una regla adicional que limita la conectividad de la subred .12, dejándola únicamente con salida a internet.

Código:

/ip firewall filter
add action=accept chain=input comment=\
"defconf: Accept establish, related, untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: Drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: Accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: Drop all not comming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related disabled=yes
add action=accept chain=forward comment=\
"defconf: Accept established, related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: Drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: Drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
add action=drop chain=forward comment=\
"userconf: Neighbor can only access internet" \
out-interface-list=!WAN src-address=192.168.12.0/24

NAT: Aquí es donde viene gran parte de la miga del asunto. Tienes que considerar dos accesos extraordinarios: el acceso de tu subred a la del router del vecino (pensando en que lo mantengas como lo tienes y no sea un AP, si es un mero AP no haría falta) y el acceso a la ONT. Para estas dos, se pueden crear reglas de src-nat concretas, en lugar de tirar de masquerade. También me replantearía la apertura de puertos, pasando a montar una VPN en lugar de abrir puertos, en la medida de lo posible.
Respetando el tema de puertos que tienes abiertos, y metiendo los dos casos extraordinarios, quedaría así:

Código:

/ip firewall nat
add action=masquerade chain=srcnat comment="masq. WAN - Internet Access" ipsec-policy=\
    out,none out-interface-list=WAN
add action=src-nat chain=srcnat comment="My network can access ONT" \
    src-address=192.168.11.0/24 dst-address=192.168.100.1 to-addresses=192.168.100.2
add action=src-nat chain=srcnat comment="My network can access neighbor's router" \
    src-address=192.168.11.0/24 dst-address=192.168.12.2 to-addresses=192.168.12.1
add action=dst-nat chain=dstnat comment=Synology dst-port=5000 \
    in-interface-list=WAN protocol=tcp to-addresses=192.168.11.10 to-ports=5000
add action=dst-nat chain=dstnat comment=Vuplus dst-port=8090 \
    in-interface-list=WAN protocol=tcp to-addresses=192.168.11.11 to-ports=8090
add action=dst-nat chain=dstnat comment="Vuplus tx. normal" dst-port=8001 \
    in-interface-list=WAN protocol=tcp to-addresses=192.168.11.11 to-ports=8001
add action=dst-nat chain=dstnat comment="Vuplus tx. transcoding" dst-port=8002 \
    in-interface-list=WAN protocol=tcp to-addresses=192.168.11.11 to-ports=8002

Te quedaría por quitar las referencias a LAN11 en el resto de tu configuración, y apuntar simplemente a la lista por defecto LAN.

Saludos!

nemeek · 23 Noviembre 2021

Buah, muchas gracias @pokoyo !!

Efectivamente, he comprobado que poniendo otro dispositvo en la red 12, si me deja pasar y puedo entrar a su configuracion, parece algo del router que esta en la red del vecino, aunque ahora mismo no esta en modo router, el cable entra a una de las LAN, no a la WAN, y esta configurado con una ip del segmento del vecino, actuando como switch + AP, seguramente habré activado algo que hace que no me deje pasar desde la red 11.

Efectivamente, todo se puede simplificar, voy a hacerlo como dices. (En cuanto al tema de puertos, efectivamente, montaré un openvpn/wireguard en cuanto me llegue la raspberry pi)

Como nota, yo noto una sustancial mejoria si dejo el fasttrack habilitado (en cuanto a consumo de cpu), si lo dejo habilitado haciando un test de velocidad en fast.com la cpu no sube del 5%, mientras que si se lo deshabilito la cpu se queda entorno al 15-16%

Se me ocurrio una cosa, y es solo habilitar el fasttrack en la red principal (la que no esta limitada):

De esta forma, esta limitando la red del vecino (sin fasttrack) y la mia esta usando fasttrack. Lo he comprobado y funcionan ambas cosas a la vez, dejando el consumo de la cpu cuando hacemos el test de velocidad en la red 11 al 5% y limitando el ancho de banda en la red 12.

Asi que para lo que busco, entiendo que es la mejor solucion

, no se si ves algun inconveniente en aplicarlo de esta forma?

Muchas gracias!

pokoyo · 23 Noviembre 2021

nemeek dijo:
Efectivamente, he comprobado que poniendo otro dispositvo en la red 12, si me deja pasar y puedo entrar a su configuracion, parece algo del router que esta en la red del vecino, aunque ahora mismo no esta en modo router, el cable entra a una de las LAN, no a la WAN, y esta configurado con una ip del segmento del vecino, actuando como switch + AP, seguramente habré activado algo que hace que no me deje pasar desde la red 11.

Ese equipo, hasta donde yo sé, se puede poner en modo AP usando su puerto WAN. Hazlo así, verás como funciona, y te quitas la regla específica de src-nat que le atañe.

nemeek dijo:
Efectivamente, todo se puede simplificar, voy a hacerlo como dices. (En cuanto al tema de puertos, efectivamente, montaré un openvpn/wireguard en cuanto me llegue la raspberry pi)

Puedes montar WireGuard en el propio MikroTik, si lo subes a la V7.

nemeek dijo:
Como nota, yo noto una sustancial mejoria si dejo el fasttrack habilitado (en cuanto a consumo de cpu), si lo dejo habilitado haciando un test de velocidad en fast.com la cpu no sube del 5%, mientras que si se lo deshabilito la cpu se queda entorno al 15-16%

Se me ocurrio una cosa, y es solo habilitar el fasttrack en la red principal (la que no esta limitada):

De esta forma, esta limitando la red del vecino (sin fasttrack) y la mia esta usando fasttrack. Lo he comprobado y funcionan ambas cosas a la vez, dejando el consumo de la cpu cuando hacemos el test de velocidad en la red 11 al 5% y limitando el ancho de banda en la red 12.

Correcto. Así sí lo puedes usar. Te paso otro ejemplo que he visto en los foros de mikrotik que dicen que es incluso más correcto, para que funcione en ambos sentidos: aceptando el tráfico con destino esa subred antes de la regla de fasttrack, para que el tráfico pase por las colas. El firewall te quedaría así:

Código:

/ip firewall filter
add action=accept chain=input comment=\
"defconf: Accept establish, related, untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: Drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: Accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: Drop all not comming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add chain=forward action=accept src-address=192.168.12.0/24 \
comment= "bypass fasttrack upload" connection-state=established,related
add chain=forward action=accept dst-address=192.168.12.0/24 \
comment= "bypass fasttrack download" connection-state=established,related
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: Accept established, related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: Drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: Drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
add action=drop chain=forward comment=\
"userconf: Neighbor can only access internet" \
out-interface-list=!WAN src-address=192.168.12.0/24

Prueba con ambas a ver qué te da mejor resultado.

Saludos!

nemeek · 23 Noviembre 2021

Si, habia visto esta forma en el foro de mikrotik, pero a mi no me funciono, la he vuelto a probar por si me habia equivocado en algo y a mi por lo menos no me da resultado, hay fasttrack pero no hay cola.

De momento dejaré la que puse que parece que va bien. Gracias por la ayuda!

PD: estuve mirando el router y no veo la opcion de ponerlo en modo AP a traves del puerto WAN. Pero bueno, mal menor, en caso de que quiera gestionar algo, le hago un masquerade momentaneo y luego se lo quito. Seguire investigando a ver si doy con la clave de por qué el router no responde, pero ahora mismo le desactive todo, firewall, le deje los accesos, etc.. y sigue sin responder.. ni siquiera al ping.

Y es curioso porque si hago un ping desde la consola del mikrotik si responde, pero si lo hago desde mi equipo no lo hace.

pokoyo · 23 Noviembre 2021

Mírate de nuevo el export que lo he actualizado. En el foro de MikroTIk sólo estaban considerando un sentido del tráfico, ahí van ambos, con dos reglas, ambas a poner justo delante de la de fasttrack

Código:

add chain=forward action=accept src-address=192.168.12.0/24 \
comment= "bypass fasttrack upload" connection-state=established,related
add chain=forward action=accept dst-address=192.168.12.0/24 \
comment= "bypass fasttrack download" connection-state=established,related

Así, debería funcionarte tanto en subida como en bajada.

Saludos!

nemeek · 23 Noviembre 2021

Efectivamente, de esta forma funciona en ambos sentidos.

Lo unico es que hay que agregar a las reglas que sea por el out WAN, porque sino siempre aceptaria y nunca estaria llegando a la regla que dropea en caso de !WAN

Thanks! La red ha quedado way. Gracias por tu tiempo @pokoyo!!

pokoyo · 23 Noviembre 2021

nemeek dijo:
Efectivamente, de esta forma funciona en ambos sentidos.

Lo unico es que hay que agregar a las reglas que sea por el out WAN, porque sino siempre aceptaria y nunca estaria llegando a la regla que dropea en caso de !WAN

Thanks! La red ha quedado way. Gracias por tu tiempo @pokoyo!!

De nada majete, a mandar!

Saludos!

nemeek · 25 Noviembre 2021

Buenos días, quiero avanzar con el tema de la red, poniendo un AP para invitados en el puerto nueve del switch principal (este puerto estaria aislado mediante vlan), el switch de 24 puertos que tengo, tiene protocolo 802.1q. Podria hacerlo igual que lo he hecho con la red 192.168.12.1 y sacar un puerto exclusivo del router, con su network, su dhcp y todo eso, pero la idea es también poner en practica el tema de la vlan, entre mikrotik y switch.

Así un poco, el tema entiendo que seria:

Mikrotik con puerto ether2 (LAN), que es el actual puerto de comunicaciones (trunk) para la red principal y que comunica con el switch de 24p. Entiendo que las acciones a hacer en el mikrotik son:

- Crear dos vlan en el puerto ether2, por ejemplo VLAN50, VLAN60, con sus respectivos ids. Crear dos addresses nuevas, una para la red principal que pasara de estar en 192.168.11.0 a 192.168.50.0 a través de la interface vlan50 y una address secundaria para el router de invitados 192.168.60.0 a través de la interfaz vlan60.

- Crear sus respectivos dhcp hacia las vlan. De este modo, estaremos "emitiendo" por el puerto ether2 hacia el switch las 2 vlan, con sus respectivas addresses y sus dchp.

En la configuracion del switch (donde mas dudas tengo), el puerto 24 que es el trunk, el que esta conectado al mikrotik, lo pongo junto con el resto de puertos menos el 9, en la VLAN50 (24 seria tagged y el resto untagged) y le pongo pvid 50 a todos los puertos menos al 24. Lo mismo haria con la segunda VLAN, pongo el 24 tagged y el puerto 9 untagged y al puerto 9 le pongo pvid 60.

Entiendo que esto, para las pruebas, cualquier usuario que se conecte a la wifi del AP del puerto 9, me daria ip 192.168.60.x y cuando lo enchufe al resto de puertos me daría ip del rango 192.168.50.x.

Entiendo que, al tener el router de por medio, seria capaz de ir de una red a otra y que necesitaria una regla igualmente en el firewall para que ambas redes no se vean ya que no me interesa que los invitados accedan a los equipos de la red principal en la vlan50. Sin embargo, si quito el router de la red (o imaginemos que no hay router que haga nat), las redes deberian estar aisladas y no se deberian verse ya que a nivel 2, estan separadas por 802.1q

Como nota decir que esto lo estoy haciendo asi para probar el tema de las vlan y su comportamientro entre el mikrotik y el switch. Sabiendo esto

¿Es mi planteamiento correcto?

pokoyo · 25 Noviembre 2021

Sí, tu planteamiento es correcto, aunque lo puedes implementar incluso más sencillo. Dado que ahora el puerto 2 lleva tráfico untagged de la vlan por defecto (ID=1) es tan sencillo como que crees únicamente la nueva vlan y el nuevo direccionamiento para ella, así como la regla de firewall pertinente para esa subred. En el mikrotik, simplemente taggea el puerto2 con esa VLAN y pasará a ser un puerto híbrido (mandará la actual untagged y la nueva vlan tagged). En el switch es donde tengo más dudas de si te va a dejar hacer el setup, aunque normalmente sí que te dejan: igualmente, taggearía el tráfico en el puerto que conecte con el mikrotik y mandas esa misma vlan untagged para el puerto de acceso donde iría el AP.

Saludos!

nemeek · 25 Noviembre 2021

Tienes razon, se podria simplificar usando solo 1 vlan, y dejando el trafico normal por ether2 de la red principal en la vlan por defecto. Probaré a ver si asi me sirve.

Gracias!

nemeek · 25 Noviembre 2021

Buenas @pokoyo

Funciona a la perfeccion de esa forma, VLAN50 por el mismo puerto trunk. Targear el trunk en el switch, separar el puerto 9 mediante 802.1q. Agrego regla en el firewall para dropear todo lo que venga de esa red a lo que no sea la WAN y caminando.

Cuando conecto el pc al puerto 9, se aplican las reglas de direccionamiento, dhcp, etc.. desde el mikrotik y cuando intento alcanzar la subred principal, no lo hace en capa 2, sino que va al router a intentar hacer NAT, pero como puse la regla, no llega a la red principal.

Lo bueno de hacerlo asi es que desde el switch puedo directamente limitar la velocidad del puerto y no tengo que usar queues para esa vlan/red. El manejo de las vlan es muy potente

PD: Quiza incluso cambie la red del vecino para pasarla tb por VLAN, aunque como premisa queria que el switch de 24 quedara solo para mi red (la red de invitados forma parte de mi red), asi que no se

. La ventaja de esto es que hay donde elegir.

Thanks de nuevo

pokoyo · 25 Noviembre 2021

nemeek dijo:
Buenas @pokoyo

Funciona a la perfeccion de esa forma, VLAN50 por el mismo puerto trunk. Targear el trunk en el switch, separar el puerto 9 mediante 802.1q. Agrego regla en el firewall para dropear todo lo que venga de esa red a lo que no sea la WAN y caminando.

Cuando conecto el pc al puerto 9, se aplican las reglas de direccionamiento, dhcp, etc.. desde el mikrotik y cuando intento alcanzar la subred principal, no lo hace en capa 2, sino que va al router a intentar hacer NAT, pero como puse la regla, no llega a la red principal.

Lo bueno de hacerlo asi es que desde el switch puedo directamente limitar la velocidad del puerto y no tengo que usar queues para esa vlan/red. El manejo de las vlan es muy potente

PD: Quiza incluso cambie la red del vecino para pasarla tb por VLAN, aunque como premisa queria que el switch de 24 quedara solo para mi red (la red de invitados forma parte de mi red), asi que no se . La ventaja de esto es que hay donde elegir.

Thanks de nuevo

Léete el manual de bridge-vlan-filtering, y si quieres le das otra vuelta de tuerca, metiendo en la ecuación el propio bridge del router.

Saludos!

nemeek · 25 Noviembre 2021

Pues sí, tendré que probarlo en cuanto pase a la 7.

Otra dudilla que se me genera en cuanto a la red de invitados, voy a dropear todo su trafico menos el 53 para dns (tdp/udp) y los puertos de mail y navegacion "seguros".

Se te ocurre que me falte algun puerto que sea vital para que una red de invitados funcione medianamente bien. Basicamente quien entre en esta red estará haciendo cosas muy basicas y no será necesario nada más, pero no se si se me olvida algun puerto especifico que se utilice para alguna app concreta tipo whatsapp o algo asi.

pokoyo · 25 Noviembre 2021

nemeek dijo:
Pues sí, tendré que probarlo en cuanto pase a la 7.

Otra dudilla que se me genera en cuanto a la red de invitados, voy a dropear todo su trafico menos el 53 para dns (tdp/udp) y los puertos de mail y navegacion "seguros".

Ver el adjunto 88599

Se te ocurre que me falte algun puerto que sea vital para que una red de invitados funcione medianamente bien. Basicamente quien entre en esta red estará haciendo cosas muy basicas y no será necesario nada más, pero no se si se me olvida algun puerto especifico que se utilice para alguna app concreta tipo whatsapp o algo asi.

No sabría decirte, pero yo no me complicaría tanto. Con que esa subred no tenga acceso a tus recursos, para mi sería suficiente. A servicios de internet, que acceda a los que quiera.

Saludos!

nemeek · 29 Noviembre 2021

Buenas,

continuo leyendo por el foro cosas y me surgen mas dudas.

Respecto a la MTU (estando en O2), cual deberia poner? (1492, 1500, si no pongo nada ni relleno pilla 1480 por defecto), pero la verdad es que yo he probado de todo, incluyo poniendo 1600 (que pilla 1500 de maximo), o dejandolo en 1480, incluso bajandolo a 1430 y yo no noto diferencias aparentes..., se que la configuracion que ponen por defecto me parece que es 1492 en el hilo de configuraciones por defecto para O2, pero realmente he visto en otros lados que se puede poner 1500...

He visto por internet que se puede saber el maximo haciendo:

ping www.yahoo.com -f -l 1464

Yo si pongo mayor a 1464, parece que la respuesta es que se necesita fragmentar. (Ahora mismo en la config del pppoe tengo puesto 1492)

¿Cual es la diferencia, cual deberia aplicar?

Thanks!

pokoyo · 29 Noviembre 2021

1492 es el máximo MTU que puede manejar una conexión PPPoE como tamaño máximo de datos útiles, ya que el propio protocolo se zampa 8 bytes.

El mikrotik, por prevención, lo baja aún más, pero normalmente en nuestras conexiones lo podemos ajustar a 1492bytes, como tamaño máximo.

Saludos!

Ayuda con red en mikrotik

nemeek

Usuari@ ADSLzone

pokoyo

Moderador ADSLZone - Mikrotik ★★★★★

nemeek

Usuari@ ADSLzone

pokoyo

Moderador ADSLZone - Mikrotik ★★★★★

nemeek

Usuari@ ADSLzone

pokoyo

Moderador ADSLZone - Mikrotik ★★★★★

nemeek

Usuari@ ADSLzone

pokoyo

Moderador ADSLZone - Mikrotik ★★★★★

nemeek

Usuari@ ADSLzone

pokoyo

Moderador ADSLZone - Mikrotik ★★★★★

nemeek

Usuari@ ADSLzone

pokoyo

Moderador ADSLZone - Mikrotik ★★★★★

nemeek

Usuari@ ADSLzone

nemeek

Usuari@ ADSLzone

pokoyo

Moderador ADSLZone - Mikrotik ★★★★★

nemeek

Usuari@ ADSLzone

pokoyo

Moderador ADSLZone - Mikrotik ★★★★★

nemeek

Usuari@ ADSLzone

pokoyo

Moderador ADSLZone - Mikrotik ★★★★★

Similar threads