Configuración Mikrotik con Triple VLAN Jazztel

A petición del amigo @pokoyo, abro este nuevo hilo para comentar mi caso.

Tengo una conexión Jazztel con VoIP e IPTV (proporcionado por Orange). Ahora mismo tengo un esquema como se muestra en la siguiente imagen:




Como veis casi todo lo que tengo montado es de la gama Ubiquiti Unifi. Para el tema del Wifi va genial pero para el tema de configuración de routing es un "coñazo" porque esta bastante capado (el sistema Unifi esta muy bien por la interfaz gráfica pero esta todo muy cerrado). Un claro ejemplo, es que solo me deja etiquetar en una sola VLAN en la interfaz WAN.

Dado que las VLANS ID que utiliza Jazztel son las siguientes:
  • Internet: ID 1074 Prioridad 0
  • Voz: ID 1074 Prioridad 0
  • Televisión: ID 838 Prioridad 4
La parte de datos y Voz (consiguiendo los datos SIP de métodos que están por el foro) he conseguido que funcione de forma perfecta, pero la televisión no ha habido manera.

Por este motivo, y algunos otros más, quiero cambiar el router Unifi USG-Pro-4 por un Mikrotik que me permita jugar más con la parte de routing. Compre hace poco en una oferta un Mikrotik RouterBoard 1100AHx4 Dude Edition con RouteOS.

La cuestión es con Mikrotik ando un poco más perdido y quiero reciclar la configuración que aparece en la primera página de este foro pero para Movistar:
NEW - Movistar Triple VLAN (Grupo Telefónica, España) [by @furny]
Configuración multi desco, multi-bridge, partiendo de la configuración base del quick set.


En mi caso tendríamos
Compañía: Jazztel-Orange
Conexión WAN: ONT Ubiquiti UFiber
Tipo de conexión WAN: DHCP Client
VLAN Internet: 1074
VLAN Teléfono: 1074
VLAN TV: 838

Me gustaría saber que tengo que modificar de la configuración y, en el caso de que alguien tenga un poco de más tiempo, pues si me podía explicar algunas partes de la configuración que me quedan dudosas, para poder aprender un poco más. Si hiciera falta, podría pagar por el tiempo que me eche una mano ya que entiendo que el tiempo es oro.

Un saludo y muchas gracias de antemano.
 
Última edición:
Vale, entiendo que partimos de un equipo con la configuración de fábrica, ¿correcto? Si puedes, pásame un export con un hide-sensitive y empezamos a trabajar sobre él. Lo primero será dar de alta las vlans de la WAN y obtener salida a internet. Si hasta ahí ya has llegado tú, dime.
Código:
/export hide-sensitive file=1100ah-cfg

Saludos!
 
Buenas Tardes

Perdón por la tardanza pero he estado trasteando un poco con el equipo para ver que podía hacer. Mi conclusión: "estoy mas perdido que antes". Por tanto, te voy a tener que pedir ayuda @pokoyo.

He actualizado el equipo con el paquete principal (los paquetes extras y el dude server aún no se como se instalan) y la configuración inicial que tengo es:

Código:
# jan/02/1970 00:02:29 by RouterOS 6.48.1
# software id = 0SBI-GQI0
#
# model = RouterBOARD 1100Dx4
# serial number = xxxxxxxxx
/interface bridge
add name=bridge1
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
set 12 default-vlan-id=0
set 13 default-vlan-id=0
set 14 default-vlan-id=0
set 15 default-vlan-id=0
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether6
add bridge=bridge1 interface=ether7
add bridge=bridge1 interface=ether8
add bridge=bridge1 interface=ether9
add bridge=bridge1 interface=ether10
add bridge=bridge1 interface=ether11
add bridge=bridge1 interface=ether12
add bridge=bridge1 interface=ether13
/interface list member
add interface=ether1 list=WAN
add interface=bridge1 list=LAN
/ip address
add address=192.168.88.1/24 interface=bridge1 network=192.168.88.0
/ip dhcp-client
add disabled=no interface=ether1

Tu me comentas por donde empiezo.

Muchas gracias de antemano.
 
Última edición:
Ese export no muestra configuración alguna. No resetees el equipo marcando la opción del “no default configuration”, y déjale cargar la configuración por defecto. Una vez la tengas, arrancamos desde ahí.

Saludos!
 
Buenas

Es la configuración que me ha dado por defecto, he reseteado y sin marcar la opción "no default configuration".
 
Umm... me da que por lo que dice aquí, ese equipo está pensado para arrancar con la configuración desde cero, y no proveer ningún tipo de auto-configuración, al tratarse de un router de gama profesional. Me da que te vas a tener que currar la configuración tú a mano.

¿puedes entrar en la terminal y ver si tienes este comando disponible?
Código:
system default-configuration print

Sospecho que en tu caso el script es bastante más condensado que lo que te voy a mandar, que es el que viene por defecto en los routers domésticos:
1617962849231.png

Saludos!
 
Este es el script:

Código:
 system default-configuration print
            script: #| Welcome to RouterOS!
                    #|    1) Set a strong router password in the System > Users >
                    #|    2) Upgrade the software in the System > Packages menu
                    #|    3) Enable firewall on untrusted networks
                    #| --------------------------------------------------------->
                    #| LAN:
                    #|     IP on ether1:    192.168.88.1/24;
                    
                    :global defconfMode;
                    :log info "Starting defconf script";
                    #----------------------------------------------------------->
                    # Apply configuration.
                    # these commands are executed after installation or configur>
                    #----------------------------------------------------------->
                    :if ($action = "apply") do={
                      # wait for interfaces
                      :local count 0;
                      :while ([/interface ethernet find] = "") do={
                        :if ($count = 30) do={
                          :log warning "DefConf: Unable to find ethernet interfa>
                          /quit;
                        }
                        :delay 1s; :set count ($count +1);
                      };
                    /ip address add address=192.168.88.1/24 interface=ether1 com>
                    }
                    #----------------------------------------------------------->
                    # Revert configuration.
                    # these commands are executed if user requests to remove def>
                    #----------------------------------------------------------->
                    :if ($action = "revert") do={
                    /user set admin password=""
                     /system routerboard mode-button set enabled=no
                     /system routerboard mode-button set on-event=""
                     /system script remove [find comment~"defconf"]
                     /ip firewall filter remove [find comment~"defconf"]
                     /ip firewall nat remove [find comment~"defconf"]
                     /interface list member remove [find comment~"defconf"]
                     /interface detect-internet set detect-interface-list=none
                     /interface detect-internet set lan-interface-list=none
                     /interface detect-internet set wan-interface-list=none
                     /interface detect-internet set internet-interface-list=none
                     /interface list remove [find comment~"defconf"]
                     /tool mac-server set allowed-interface-list=all
                     /tool mac-server mac-winbox set allowed-interface-list=all
                     /ip neighbor discovery-settings set discover-interface-list>
                       :local o [/ip dhcp-server network find comment="defconf"]
                       :if ([:len $o] != 0) do={ /ip dhcp-server network remove >
                       :local o [/ip dhcp-server find name="defconf" !disabled]
                       :if ([:len $o] != 0) do={ /ip dhcp-server remove $o }
                       /ip pool {
                         :local o [find name="default-dhcp" ranges=192.168.88.10>
                         :if ([:len $o] != 0) do={ remove $o }
                       }
                       :local o [/ip dhcp-client find comment="defconf"]
                       :if ([:len $o] != 0) do={ /ip dhcp-client remove $o }
                     /ip dns {
                       set allow-remote-requests=no
                       :local o [static find comment="defconf"]
                       :if ([:len $o] != 0) do={ static remove $o }
                     }
                     /ip address {
                       :local o [find comment="defconf"]
                       :if ([:len $o] != 0) do={ remove $o }
                     }
                     :foreach iface in=[/interface ethernet find] do={
                       /interface ethernet set $iface name=[get $iface default-n>
                     }
                     /interface bridge port remove [find comment="defconf"]
                     /interface bridge remove [find comment="defconf"]
                     /interface bonding remove [find comment="defconf"]
                     /interface wireless cap set enabled=no interfaces="" caps-m>
                      /caps-man manager set enabled=no
                      /caps-man manager interface remove [find comment="defconf"]
                      /caps-man manager interface set [ find default=yes ] forbi>
                      /caps-man provisioning remove [find comment="defconf"]
                      /caps-man configuration remove [find comment="defconf"]
                    }
                    :log info Defconf_script_finished;
                    :set defconfMode;
                    
  caps-mode-script: #----------------------------------------------------------->
                    # Note: script will not execute at all (will throw a syntax >
                    #       dhcp or wireless-fp packages are not installed
                    #----------------------------------------------------------->
                    
                    #| CAP configuration
                    #|
                    #|   Wireless interfaces are set to be managed by CAPsMAN.
                    #|   All ethernet interfaces and CAPsMAN managed interfaces >
                    #|   DHCP client is set on bridge interface.
                    
                    # bridge port name
                    :global brName  "bridgeLocal";
                    :global logPref "defconf:";
                    
                    
                    :global action;
                    
                    :log info $action
                    
                    :if ($action = "apply") do={
                    
                      # wait for ethernet interfaces
                      :local count 0;
                      :while ([/interface ethernet find] = "") do={
                        :if ($count = 30) do={
                          :log warning "DefConf: Unable to find ethernet interfa>
                          /quit;
                        }
                        :delay 1s; :set count ($count + 1);
                      }
                    
                      :local macSet 0;
                      :local tmpMac "";

                      :foreach k in=[/interface ethernet find] do={
                        # first ethernet is found; add bridge and set mac addres>
                        :if ($macSet = 0) do={
                          :set tmpMac [/interface ethernet get $k mac-address];
                          /interface bridge add name=$brName auto-mac=no admin-m>
                          :set macSet 1;
                        }
                        # add bridge ports
                        /interface bridge port add bridge=$brName interface=$k c>
                      }
                    
                      # try to add dhcp client on bridge interface (may fail if >
                      :do {
                        /ip dhcp-client add interface=$brName disabled=no commen>
                      } on-error={ :log warning "$logPref unable to add dhcp cli>
                    
                    
                      # try to configure caps (may fail if for example specified>
                      :local interfacesList "";
                      :local bFirst 1;
                    
                      # wait for wireless interfaces
                      :while ([/interface wireless find] = "") do={
                        :if ($count = 30) do={
                          :log warning "DefConf: Unable to find wireless interfa>
                          /quit;
                        }
                        :delay 1s; :set count ($count + 1);
                      }
                    
                      # delay just to make sure that all wireless interfaces are>
                      :delay 5s;
                      :foreach i in=[/interface wireless find] do={
                        if ($bFirst = 1) do={
                          :set interfacesList [/interface wireless get $i name];
                          :set bFirst 0;
                        } else={
                          :set interfacesList "$interfacesList,$[/interface wire>
                        }
                      }
                      :do {
                        /interface wireless cap
                          set enabled=yes interfaces=$interfacesList discovery-i>
                      } on-error={ :log warning "$logPref unable to configure ca>
                    
                    }
                    
                    :if ($action = "revert") do={
                      :do {
                        /interface wireless cap
                          set enabled=no interfaces="" discovery-interfaces="" b>
                      } on-error={ :log warning "$logPref unable to unset caps";}
                    
                      :local o [/ip dhcp-client find comment="defconf"]
                      :if ([:len $o] != 0) do={ /ip dhcp-client remove $o }
                    
                      /interface bridge port remove [find comment="defconf"]
                      /interface bridge remove [find comment="defconf"]
                                          
                    }
     custom-script:
 
Vale, no hay problema, se puede trabajar. Tienes como la mitad del trabajo hecho (listas de interfaces identificando ether1 como wan y el bridge como lan, el bridge principal creado con todos los puertos que no son ether1, la red LAN principal declarada, y el cliente dhcp sobre la WAN). Te faltaría el firewall completo (filtro y NAT), el servidor DHCP, DNS y poco más. Para todo esto vamos a ir usando la terminal. La puedes encontrar en el menú de la izquierda de winbox.

Yo, empezaría por crear un usuario propio con permisos "full" y cepillarme el usuario "admin", si quiera antes de conectar ese chisme a internet (ahora mismo no tienes ni firewall y van a tardar cero coma dos en detectarlo y atacarlo).

Código:
# cambia "yomismo" por tu nombre y "mySuperP4ssw0rd!" por tu contraseña fuerte favorita
/user add name=yomismo group=full password=mySuperP4ssw0rd!
/user remove admin

Una vez hecho eso, decide si quieres ir con la 192.168.88.1/24 como su segmento LAN por defecto. Si vas a tener, ahora o en un futuro, más equipos mikrotik, te sugiero que lo cambies, puesto que todos van a venir en ese segmento de red por defecto. Si lo quieres cambiar, editarías la entrada que ves en IP -> Address (menú de winbox). Sino, no pasa nada, es un segmento de red tan válido como cualquier otro.

Una vez hecho el paso anterior (bien cambiando o sin cambiar la IP), daríamos de alta el servidor DHCP. Para ello, es muy sencillo: vas a IP -> DHCP Server y en la primera pestaña de "DHCP" pulsas el botón "DHCP Setup". Escoges el bridge1 como interfaz a configurar con DHCP, y vas con el botón siguiente, siguiente hasta el final. Si todo ha ido bien, tendrás un servidor DHCP configurado para cualquier cosa que conectes a los puertos ether2-ether13, el cual te entregará una IP del segmento que hayas definido en IP -> Address.

Nos quedaría la parte del firewall. Puedes hacerlo de dos formas. O vas metiendo línea a línea los comandos del siguiente script, o lo guardas en un fichero llamado "firewall.rsc" lo subes a la carpeta files (con arrastrar el fichero a winbox ya lo sube) y desde terminal haces import firewall.rsc
Código:
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN

Una vez establecido el firewall, procedemos habilitar el servidor DNS del propio router, tal que sea capaz de resolver peticiones de resolución de nombres (puedes usar los DNS que más te gusten, yo uso cloudflare, por ejemplo)
Código:
/ip dns
set allow-remote-requests=yes servers=1.1.1.2,1.0.0.2

Y, por último, nos quedan cuatro pijadas. Darle un nombre al equipo, una localización, y restringir a la lista LAN el acceso a ciertas características del mismo (no queremos que nadie que entre vía WAN se conecte al chisme)
Código:
/system identity
set name=TheBeast
/system clock
set time-zone-name=Europe/Madrid
/ip neighbor discovery-settings
set discover-interface-list=LAN
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Una vez esto, podrías conectar tu router por ether1 a un router que ya tengas funcionando y ver si cualquier chisme conectado a los puertos ether2-ether13 cogen una dirección IP del rango de la LAN y navegan. Si hasta aquí hemos llegado bien, vamos por buen camino. Me vuelves a pasar un export con la configuración tal y como la tengas en ese momento y seguimos.

Saludos!
 
Buenas

Antes de seguir configurando me gustaría "entender" que es lo que tengo configurado por defecto en estos momentos. Disculpa las molestias, pero no solo quiero que esto funcione sino entender cada paso que estoy haciendo para cuando vuelva a ocurrir otra cosa pueda ir recurriendo a cosas que he comprendido.

Te comento por partes y @pokoyo que me corriga las cosas que vea que no estan bien definidas:


Código:
/interface bridge
add name=bridge1
Esta primera parte de código CREA un bridge, es decir: "dispositivo de interconexión de redes de computadoras que opera en la capa 2 (nivel de enlace de datos) del modelo OSI". Es decir, creamos un "bus" con los puertos que añadamos posteriormente.

Código:
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
set 12 default-vlan-id=0
set 13 default-vlan-id=0
set 14 default-vlan-id=0
set 15 default-vlan-id=0
Esta parte tengo mis dudas, estamos asignando los puertos a una VLAN-ID por defecto, pero no he consguido eliminar esta parte de la configuración de ninguna forma. La he querido eliminar porque no la he visto en otras configuraciones que he visto. He leido algo sobre el tema con el mismo problema en https://forum.mikrotik.com/viewtopic.php?t=149190
Esta parte me podría echar una mano @pokoyo para entenderlo.

Código:
/interface list
add name=WAN
add name=LAN
Esta parte supongo que le estamos dando nombre a las interfaces simplemente, aunque no estoy muy seguro tampoco. ¿Puede ser ya a nivel 3?

Código:
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
Esta parte creo que es algo relacionado con el wifi, aunque me gustaria eliminarlo porque no voy a usar Wifi en esta parte, ¿se puede?

Código:
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether6
add bridge=bridge1 interface=ether7
add bridge=bridge1 interface=ether8
add bridge=bridge1 interface=ether9
add bridge=bridge1 interface=ether10
add bridge=bridge1 interface=ether11
add bridge=bridge1 interface=ether12
add bridge=bridge1 interface=ether13
Aquí estamos añadiendo los puertos al bridge 1 creado. ¿estamos metiendo todos los puertos excepto el ether1, es correcto?

Código:
/interface list member
add interface=ether1 list=WAN
add interface=bridge1 list=LAN
Aquí estamos añadiendo a nivel 3 el ether 1 a WAN y el bridge1 al LAN ¿correcto?-

Código:
/ip address
add address=192.168.88.1/24 interface=bridge1 network=192.168.88.0
Le estamos dando IP al router.

Código:
/ip dhcp-client
add disabled=no interface=ether1
Activamos el DHCP client en la interfaz WAN.
 
Te recomiendo que leas la wiki, bien sea la nueva (formato confluence, aún incompleta) o la vieja (formato wiki), porque prácticamente todas tus dudas saldrán resueltas de ahí. Si sigues con dudas, youtube es tu amigo. Hay gente realmente buena explicando con todo lujo de detalles configuraciones sobre estos chismes. Como veo que estás empezando literalmente de cero, te recomiendo este usuario: https://www.youtube.com/c/TKSJa/featured

Esta primera parte de código CREA un bridge, es decir: "dispositivo de interconexión de redes de computadoras que opera en la capa 2 (nivel de enlace de datos) del modelo OSI". Es decir, creamos un "bus" con los puertos que añadamos posteriormente.
Un bridge es una interfac lógica, que comunica (puentea) dos o más interfaces físicas o lógicas. Valen para muchas cosas, pero se suelen usar para agrupar interfaces que quieres que se comporten igual. O para crear switches lógicos dentro del mismo switch físico, donde cada uno trabaje de forma independiente al otro. También los verás usados para crear interfaces de loopback, ya que puedes crear un bridge, darle una IP, y siempre podrías acceder al equipo usando esa IP de administración. Si en tu setup sólo vas a usar un puerto del router para engancharlo al switch, el bridge te sobraría. No obstante, como es un elemento que vas a ver en muchas configuraciones, te recomiendo que lo dejes. Así mismo, cuando creas un bridge, la configuración por defecto usar el protocolo de spanning tree R-STP para la protección anti-bucles. Si tu topología de red no es muy compleja (siendo un domicilio particular no lo será), puedes deshabilitar esa función, puesto que en ese modelo de router causa que no pueda trabajar con Hardware Offloading, haciendo pasar el tráfico del bridge por la CPU, en lugar de manejarlo a velocidad cable (wire-speed) directamente desde el switch. Para ello, simplemente editas el bridge y, en la pestaña de STP, seleccionas "none" como Protocol Mode. Una vez hecho, verás que en la pestaña Ports los puertos aparecen con una "H" delante de ellos, en la primera columna, indicando que ahora sí, están comunicados con el switch de manera directa, y que todo el tráfico que venga de los equipos conectados al bridge (de los puertos que lo componen), no pase por la CPU y se mueva a nivel switch.

Esta parte tengo mis dudas, estamos asignando los puertos a una VLAN-ID por defecto, pero no he consguido eliminar esta parte de la configuración de ninguna forma. La he querido eliminar porque no la he visto en otras configuraciones que he visto. He leido algo sobre el tema con el mismo problema en https://forum.mikrotik.com/viewtopic.php?t=149190
Esta parte me podría echar una mano @pokoyo para entenderlo.
Te lo contesta sindy en ese mismo hilo que mencionas. Es una configuración por defecto, y viene así en todos los equipos con más de un switch, para que todo el tráfico se considere untagged. Sospecho que lo hacen así para que sea compatible con todos los modelos de switches/cpu's, porque pro lo visto la Atheros sólo acepta ese valor (mas info https://help.mikrotik.com/docs/display/ROS/Switch+Chip+Features). No obstante, como es una configuración por defecto, no le des más vueltas y déjala como te la has encontrado.

Esta parte supongo que le estamos dando nombre a las interfaces simplemente, aunque no estoy muy seguro tampoco. ¿Puede ser ya a nivel 3?
No, nada de nivel 3, estás creando dos listas. Las listas son una manera fácil de agrupar interfaces, tal que las reglas de firewall sean mucho más sencillas y genéricas. El firewall, en lugar de usar interfaces, verás que está basado en el tráfico que manejan las listas, de tal manera que, si mañana cambias tu tipo de conexión WAN (la proveedor), el firewall no lo toques, y lo único que tengas que modificar sea el contenido de la lista. En este paso sólo las creas, y le das un nombre.

Esta parte creo que es algo relacionado con el wifi, aunque me gustaria eliminarlo porque no voy a usar Wifi en esta parte, ¿se puede?
Es configuración por defecto que viene en todos los mikrotik. No se puede quitar, aunque no tengas wireless, siempre tienes un perfil por defecto de seguridad.

Aquí estamos añadiendo los puertos al bridge 1 creado. ¿estamos metiendo todos los puertos excepto el ether1, es correcto?
Correcto. Como te comenté antes, en tu caso y si sólo va a usar un puerto para conectarlo a un switch, ni necesitas bridge, ni necesitas meter los puertos en él. Pero, de esta manera, consigues que todos los puertos del 2 al 13 se comporten como si formaran parte del mismo switch, y daría igual qué puerto enganches a tu otro switch. El puerto 1 por defecto no se mete, puesto que es el que se considera que vas a usar para el WAN, aunque podrías usar cualquier otro en su lugar, y meter ese en el bridge. Si quisieras que un router mikrotik se comportase como un switch, meterías todos los puertos dentro del mismo bridge.
Importante: cuando metes una interfaz física en un bridge, dicha interfaz deja de ser "maestra", pasando a un segundo plano y dejándole al bridge su control. Por ejemplo, si metieras ether1 en el bridge, no podrías levantar un cliente DHCP sobre él, puesto que ha dejado de ser una interfaz maestra, para pasar a ser subordinada de bridge. El cliente en ese caso, habría que levantarlo sobre el bridge.

Aquí estamos añadiendo a nivel 3 el ether 1 a WAN y el bridge1 al LAN ¿correcto?-
Nada de nivel 3 aún. Estás diciendo qué componen las listas de interfaces. Ether1 lo consideras WAN, así que lo metes en esa lista. Todos los puertos del bridge los consideras LAN, así que en lugar de meterlos uno a uno, metes el bridge en la lista LAN. Si ahora lees las reglas de firewall y NAT, cobrarán cierto sentido.

Le estamos dando IP al router.
Le estás dando una IP a una interfaz del router. Recuerda una cosa importante: una interfaz puede tener más de una IP, pero la misma IP no puede estar asignada a más de una interfaz. Esto último es importante, porque como tal te deja hacerlo, pero si lo haces, la lías.

Activamos el DHCP client en la interfaz WAN.
Correcto. Le estás diciendo a ether1 que busque una IP de un servidor DHCP. Esto te lo podrías ahorrar de cara a tu configuración final, puesto que no va a ser así, tu lo vas a hacer sobre una vlan. Pero, dado a que puedas conectar el router a otro equipo que ya tenga salida a internet probarlo, déjalo que no molesta.

Cuando quieras que sigamos con la configuración, le das un export a como lo tienes ahora y seguimos. Nos queda nada para poder enchufarlo a la ONT y que funcione como router principal.

Saludos!
 
Buenas Tardes

Perdona el retraso pero he estado repasando las cosas que me comentaste en el mensaje anterior y "estudiando" un poco la wiki para no molestarte tanto con preguntas.

Añadí DHCP, DNS, Reglas del Firewall y conecté el Router en la ether1 a mi router de casa (que anda funcionando) y conecte el PC al puerto ether2, proporcionándome una dirección IP del rango de la LAN y navegando por internet sin problemas.

Aqui tienes el export completo:
Código:
# jan/01/2002 02:12:06 by RouterOS 6.48.1
# software id = xxxxxxxxx
#
# model = RouterBOARD 1100Dx4
# serial number = xxxxxxxx
/interface bridge
add name=bridge1
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
set 12 default-vlan-id=0
set 13 default-vlan-id=0
set 14 default-vlan-id=0
set 15 default-vlan-id=0
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=192.168.55.200-192.168.55.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=bridge1 name=dhcp1
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether6
add bridge=bridge1 interface=ether7
add bridge=bridge1 interface=ether8
add bridge=bridge1 interface=ether9
add bridge=bridge1 interface=ether10
add bridge=bridge1 interface=ether11
add bridge=bridge1 interface=ether12
add bridge=bridge1 interface=ether13
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add interface=ether1 list=WAN
add interface=bridge1 list=LAN
/ip address
add address=192.168.55.1/24 interface=bridge1 network=192.168.55.0
/ip dhcp-client
add disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.55.0/24 gateway=192.168.55.1
/ip dns
set allow-remote-requests=yes servers=87.216.1.65,87.216.1.66
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=RouterNeutro
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
 
Como en el anterior post, antes de seguir configurando me gustaría "entender" algunas cosas que hemos añadido en este nuevo paso (perdona las molestias @pokoyo que estoy preguntando mucho).

Código:
/ip pool
add name=dhcp_pool0 ranges=192.168.55.200-192.168.55.254
Esta parte entiendo que es definir un una "pool" (conjunto de direcciones ip, que posteriormente podrá ser utilizada por un servidor, pppoe, dhcp, pptp… o cualquier otro servicio que precise asignación dinámica de direcciones IP).

Código:
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=bridge1 name=dhcp1
En esta parte estamos creando el servidor DHCP para el bridge1 con la pool anteriormente definida.

Código:
/ip neighbor discovery-settings
set discover-interface-list=LAN
Esta parte, por lo que he leído, es un protocolo para descubrimiento de vecinos. Supongo que estaremos restringiendo el uso de este protocolo a la interfaz LAN, pero no estoy del todo seguro. Si me puedes echar una mano @pokoyo en la definición te lo agradezco.

Código:
/ip dhcp-server network
add address=192.168.55.0/24 gateway=192.168.55.1
Supongo, que junto a la definición del servidor DHCP anterior, será para la configuración del servidor DHCP.

Código:
/ip dns
set allow-remote-requests=yes servers=87.216.1.65,87.216.1.66
Aquí estamos definiendo los servidores DNS (en mi caso de Jazztel) y permitiendo las solicitudes remotas al servidor DNS.

Código:
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
La parte del Firewall es la que estoy más frito, no entiendo muchas de las reglas que aquí se definen. La última si entiendo que es el propio NAT enmascarando el tráfico a la interfaz WAN. El resto estoy un poco liado y me gustaría si me echases un cable explicando estas reglas que aquí se definen @pokoyo.

Código:
/system clock
set time-zone-name=Europe/Madrid
Aquí estamos definiendo la zona horaria.

Código:
/system identity
set name=RouterNeutro
Aquí estamos definiendo el "nombre" del router.

Código:
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
Estas dos últimas líneas, por lo que he leido en la wiki, permiten el acceso a través de MAC-Telnet y MAC-Winbox respectivamente.

Ante todo, pedir disculpas de nuevo a @pokoyo por hacerle "perder" un poco el tiempo con tantas preguntas y tantas cuestiones. Muchas gracias porque gracias a ti tanto yo como todo el que lea este post podrá aprender mucho de estos temas.

La verdad, que en este segundo paso que estoy realizando, donde estoy más atascado para "entender" es la reglas de firewall, por si me podrías aclarar este tema para empezar a estudiar de la "wiki" con algo de conocimiento previo.

P.D.: a ver si me puedes pasar el script completo de inicio de los routers domésticos (que me pasaste una foto), para estudiar un poco tambien el tema de los scripts de mikrotik.

Muchas gracias de nuevo.
 
Esta parte entiendo que es definir un una "pool" (conjunto de direcciones ip, que posteriormente podrá ser utilizada por un servidor, pppoe, dhcp, pptp… o cualquier otro servicio que precise asignación dinámica de direcciones IP).
Correcto.

Aquí estamos definiendo los servidores DNS (en mi caso de Jazztel) y permitiendo las solicitudes remotas al servidor DNS.
Ahí defines los DNS que usará el propio router, que bien pueden ser dinámicos (que los coja del DHCP/PPPoE, marcando esa opción en el propio) o indicándolos ahí manualmente, como has hecho. Al marcar la opción de "allow-remote-requests" estás convirtiendo tu router en un resolver DNS. Es decir, admite peticiones de resolución de nombres, y guarda una cierta caché para "espabilar" este proceso. Esto no debe hacerse jamás en un router que no tiene firewall, puesto que te estarías convirtiendo en un resolutor DNS público, de ahí que te dijera que primero aplicásemos el firewall. Ahora mismo, tal y como está el firewall, ese tráfico sólo está permitido dentro de tu LAN. Y, ya que usas IP's de tu elección para el DNS, no uses las de Jazztel, usa unas más decentes (opendns, cloudflare, google, etc)

La parte del Firewall es la que estoy más frito, no entiendo muchas de las reglas que aquí se definen. La última si entiendo que es el propio NAT enmascarando el tráfico a la interfaz WAN. El resto estoy un poco liado y me gustaría si me echases un cable explicando estas reglas que aquí se definen @pokoyo.
Te las explico una por una, ¿te parece? en un firewall tienes 3 chains o cadenas: input (tráfico con destino el propio router), forward (tráfico que atraviesa el router, como el que originan los dispostivos de tu LAN), output (táfico con origen el propio router). El firewall por defecto da de alta las siguientes reglas (cada una de las que ves con la palabra "add" delante)
Chain Input (destino el router)
Código:
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
Aceptas toda conexión previamente establecida, con destino el router.

Código:
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
Rechazas toda conexión con estado "inválido"

Código:
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
Aceptas que puedas hacerle un ping a tu IP pública. Si esta regla la quitas, verás que dejas de poder hacer ping a tu IP pública desde internet.

Código:
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
Aceptas peticiones del propio router para haciendo de CAPsMAN. Esta regla es solo necesaria cuando tienes un router+AP (router con wifi) y quieres montar CAPsMAN en ese mismo equipo, manejando su propia red inalámbrica vía esa herramienta. En ese caso particular, la petición de control de CAPsMAN vendrá de la IP de loopback, la 127.0.0.1. En tu caso, como tu equipo no tiene wifi, esa regla la puedes eliminar directamente, no la necesitas.

Código:
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
La regla más importante del chain de input. Impide que nada que no sea un elemento de tu lista LAN (¿ves como usamos las listas, en lugar de las interfaces?) acceda al propio equipo. Esa regla impide, por ejemplo, que alguien desde internet pueda acceder a tu equipo si sabe tu IP pública y tiene winbox instalado.

Chain de Forward (origen/destino la LAN, tráfico que atraviesa el router)
Código:
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
Dos reglas muy similares. Aceptan que los elementos LAN y el exterior se puedan comunicar con una policy de IPSec. Esto lo vas a usar cuando montes una VPN en el router, y quieras que el tráfico encriptado entre y salga del equipo, tal y como lo hace el tráfico LAN. Una regla acepta el tráfico encriptado en sentido de entrada (in,ipsec) y el otro en salida (out,ipsec). No las toques, son muy útiles, aunque no las necesitas sin no montas una VPN.

Código:
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
Esa regla hace magia, y podríamos estar mucho tiempo hablando de ella. Básicamente lo que hace es saltarse el flujo de paquetes que seguiría cualquier paquete en el chain de forward, para toda conexión ya activa. Es decir, el primer paquete que pase por ahí no entrará en esa regla, y entrará en la siguiente, pasando por todo el flujo. Pero todos los demás relativos a esa conexión, irán por la vía rápida, saltándose del tirón ese flujo. Esta regla es incompatible con la gestión avanzada del tráfico (QoS, las famosas colas de prioridad y el mangle), y tendrías que desactivarla en caso de querer usar políticas de gestión de tráfico. Sin embargo, consiguen aumentar el performance de un equipo una barbaridad. En tu caso no lo vas a notar, porque tienes una bestia parda de router, pero en el caso de un router de 50€ como puede ser un hEX, es la diferencia entre coger 400-500mbps y que el equipo se vaya a manejar 900 y pico megabits por segundo (a todo lo que dan los puertos gigabit). Trátala con mucho cariño y mantenla en tu configuración todo el tiempo que puedas. Yo la tengo quitada porque uso balancedo de carga PCC y colas; y si quiero usar mangle para marcar el tráfico, no me queda otra que quitarla. El día que tengas que quitarla, simplemente desactívala con el aspa roja y reinicia el router. Verás que un par de reglas dinámicas que tenías tanto a nivel de filter como en mangle desparecen (descuida, que se vuelven a generar cuando la habilitas y reinicias).

Código:
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
Igual que lo anterior, para el tráfico que aún no haya sido marcado como fasttrack (primeros paquetes de una conexión). Como ves no se acepta el estado "new", lo cual quiere decir que nadie desde fuera (internet) puede originar una conexión a un elemento de tu LAN. Las conexiones siempre se originan de dentro a fuera, salvo en un caso muy particular (última regla, ahora hablaremos de ella).

Código:
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
Al igual que en input, paquetes marcados como inválidos, los rechazamos.

Código:
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
Esta es la excepción que confirma la regla. Sólo vamos a aceptar nuevas conexiones que vienen del exterior a nuestra LAN, si dicho tráfico está explícitamente declarado en el NAT. ¿Cuando se da esto? Muy sencillo: cuando abrimos un puerto. En ese caso, esa regla se encargaría de aceptar dicha conexión, dejando pasar ese tráfico en particular, y ningun otro. La regla literalmente dice: toda nueva conexión que venga de internet y no esté explícitamente declarada en el NAT, la rechazas. Otra regla muy importante y que no debes borrar nunca.

Firewall NAT
Aquí es donde cambiamos IPs públicas por privadas y viceversa. Trabajas con dos chains, muy parecido al firewall: srcnat (tráfico con origen la red nateada) y dstnat (tráfico con destino la red nateada). Las reglas de nateo para cambiar tu ip privada por tu ip pública irían en el srcnat, y la apertura de puertos en el dstnat.
Código:
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
Como tienes una IP pública dinámica, no puedes usar una regla de src-nat directamente para cambiar unas por otras (si la tuvieras y fuera estática, esa regla sería incuso más simple), así que tienes que tirar de un "truco" para salir a internet: usar un sub-grupo dentro del src-nat: el masquerade. Esta regla enmascara todo tráfico saliente no encriptado que acabe saliendo por cualquier interfaz dentro de tu lista WAN. De esa manera tan elegante, resuelves el problema de no tener una IP pública estática.
Si la tuvieras, tu regla sería algo así (siendo 1.2.3.4 tu IP pública)
Código:
add action=accept chain=srcnat comment="nateo-lan-to-wan" \
    ipsec-policy=out,none src-address=192.168.55.0/24 dst-address=1.2.3.4

Aquí estamos definiendo la zona horaria.
Correcto.

Aquí estamos definiendo el "nombre" del router.
Correcto.

Estas dos últimas líneas, por lo que he leido en la wiki, permiten el acceso a través de MAC-Telnet y MAC-Winbox respectivamente.
Correcto.

No te preocupes en preguntar, que no molestas. Como se suele decir, "el saber no ocupa lugar" y me gusta que estés interesado en aprender, y no sólo en copiar y pegar. Si coges algo de tablas con estos equipos, verás que las posibilidades son casi infinitas. Tienes varios manuales en las chinchetas del sub. Y, si quieres que veamos alguna configuración particular, no tienes más que decirlo.

Eso sí, te iré respondiendo según ande yo de jaleo, no te prometo estar aquí todos los días ni a todas horas.

Saludos y disfruta del chisme que te has comprado, tienes cacharro para montar un ISP.

PS: te dejo dos ficheros: el script de auto-configuración que maneja un 4011 y su equivalente configuración por defecto recién reseteado (puede que haya cambiado alguna cosa en la config por defecto, como la MAC de administración, pero por lo demás juraría que es tal y como lo escupió el router recién instalado).
 

Adjuntos

  • script-autoconfiguration y default-config.zip
    5.2 KB · Visitas: 57
Buenas

Muchas gracias por todo, estoy repasando ahora mismo el tema del firewall y con tus explicaciones me he podido enterar, junto a la wiki, de muchas cosas que se pueden hacer @pokoyo.

También he revisado los scripts/configuración por defecto que me has pasado del router normal y creo que prácticamente ya lo tengo igual.

Solo me falta entender un par de cositas que no me ha quedado claro. Por una parte defino la pool para el dhcp y se la asigno al dhcp-server para el bridge 1 como se indica en estas órdenes:
Código:
/ip pool
add name=dhcp_pool0 ranges=192.168.55.200-192.168.55.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=bridge1 name=dhcp1

Pero posteriormente me encuentro con otra orden para dhcp que es la siguiente (en el export aparece después de otras órdenes y no seguida a la que anteriormente te he puesto):
Código:
/ip dhcp-server network
add address=192.168.92.0/24 gateway=192.168.55.1

Mi pregunta es, si aunque estas órdenes en el script vengan separadas tiene que ver con el mismo contexto del dhcp o son temas independientes (me refiero a que tiene que coincidir la red con el pool sino algo mal tendríamos).

Por último, hay otra orden que no me queda clara y es la siguiente:
Código:
/ip neighbor discovery-settings
set discover-interface-list=LAN
He estado buscando en la wiki pero no me da muchas pistas de lo que significa (o al menos yo no pillo lo que dice).

Finalmente, dado que no tengo wifi en el router (CAPsMAN) y lo montaré con mis equipos wifi Ubiquiti que actualmente tengo, la siguiente regla se puede eliminar no?
Código:
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1


Quiero agradecer @pokoyo tu gran ayuda por lo que estoy aprendiendo en este hilo. Creo que ya, resolviendo las dudas anteriores, tengo en un principio el router con la configuración predeterminada y listo para el siguiente paso que te me propongas. Por el hecho de que me respondas cuando tengas hueco lo comprendo absolutamente, no vas a estar pendiente de esto todo el día, tu responde cuando puedas que no hay ningún tipo de prisa por mi parte.

Muchísimas gracias de nuevo.
 
Mi pregunta es, si aunque estas órdenes en el script vengan separadas tiene que ver con el mismo contexto del dhcp o son temas independientes (me refiero a que tiene que coincidir la red con el pool sino algo mal tendríamos).
Esas tres órdenes son parte del mismo contexto. Cuando pulsaste el botón en winbox "DHCP Setup", se crearon tres cosas, y entre todas forman la configuración del DHCP Server:
  • El pool del DHCP (rango de IP's a usar)
  • La red del DHCP, que es lo que ves en /ip dhcp-server network. En ella podrías definir, por ejemplo, los DNS que quieres entregar a los clientes DHCP, si no quisieras usar el propio router para ese fin. También podrías entregar un sufijo DNS (por ejemplo, el "lan" que viene por defecto), tal que luego pudieras llamar a los clientes que obtienen IP por DHCP sólo por su nombre netbios. O un WINS Server, si lo tuvieras, o un Next Server, para un servidor TFTP, etc. La subred declarada se toma de la interfaz sobre la cual estás creando el servidor DHCP, que como verás es la primera pregunta que te hace esa herramienta, donde seleccionaste el bridge como interfaz para la creación del DHCP.
  • El servidor DHCP en sí, apuntando a la interfaz que elegiste y al pool que se definió.

Por último, hay otra orden que no me queda clara y es la siguiente:
Es un protocolo para identificar "vecinos", usease, otros elementos conectados a la red. Si te vas a IP -> Neighbors, verás para qué vale. Un ejemplo:
1618318044191.png

Lo que estás definiendo en esos pasos es restringir a que ese protocolo sólo lo use para las interfaces locales que conforman la lista LAN. Si tienes otros elementos en la red de la marca, puedes incluso hacer click en ellos y levantar una consola vía telnet, sin si quiera usar su IP, directamente por su dirección MAC. Para eso vale.

Finalmente, dado que no tengo wifi en el router (CAPsMAN) y lo montaré con mis equipos wifi Ubiquiti que actualmente tengo, la siguiente regla se puede eliminar no?
Correcto, esa regla en tu router carece de sentido. La puedes eliminar.

Saludos, y que disfrutes del cacharro nuevo!
 
Dado que las VLANS ID que utiliza Jazztel son las siguientes:
  • Internet: ID 1074 Prioridad 0
  • Voz: ID 1074 Prioridad 0
  • Televisión: ID 838 Prioridad 4
La parte de datos y Voz (consiguiendo los datos SIP de métodos que están por el foro) he conseguido que funcione de forma perfecta, pero la televisión no ha habido manera.
Que yo sepa, NADIE lo ha conseguido hasta ahora con un router diferente al Livebox. :(
 
Yo si he leído gente que ha podido, con routers parecidos a estos o también con routers que permiten triple vlan (por ejemplo creo que hay uno que es asus)
Sabiendo la tabla de rutas o el protocolo de enrutamiento dinámico y la subred, es cuestión de configurarlo. El multicast es complejo, pero tampoco es que sea ciencia ocultista, verdad @furny? (El compi que menciono es más ducho que yo en estos temas)

Saludos!
 
Cuando quieras que sigamos con la configuración, le das un export a como lo tienes ahora y seguimos. Nos queda nada para poder enchufarlo a la ONT y que funcione como router principal.
Buenas @pokoyo, tras la configuración básica, me gustaría pasar al siguiente paso.

Dado que las VLANS ID que utiliza Jazztel son las siguientes:
  • Internet: ID 1074 Prioridad 0
  • Voz: ID 1074 Prioridad 0
  • Televisión: ID 838 Prioridad 4
La parte de datos y Voz (consiguiendo los datos SIP de métodos que están por el foro) he conseguido que funcione de forma perfecta, pero la televisión no ha habido manera.

Por este motivo, y algunos otros más, quiero cambiar el router Unifi USG-Pro-4 por un Mikrotik que me permita jugar más con la parte de routing. Compre hace poco en una oferta un Mikrotik RouterBoard 1100AHx4 Dude Edition con RouteOS.
En un principio, me gustaría empezar por tener, al menos, la configuración de internet y voz (con la vlan 1074) pero con el nuevo router y posteriormente ya ver lo del IPTV. Por ahora, para ir paso a paso, podríamos empezar si te parece bien @pokoyo, por la parte de internet y voz. Lo pongo gráficamente por si te es de ayuda.

Mi configuración actual es la siguiente:


La modificación sería la siguiente:


(como ves aparte he modificado tambien el switch que he ampliado a uno de 24 pero no afecta a la configuración del router).

Para tener todos los datos, este es un export con la configuración que tengo por ahora en el router mikrotik:
Código:
# apr/12/2021 20:55:45 by RouterOS 6.48.1
# software id = xxxx-xxxx
#
# model = RouterBOARD 1100Dx4
# serial number = xxxxxxxxxxxx
/interface bridge
add name=bridge1
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
set 12 default-vlan-id=0
set 13 default-vlan-id=0
set 14 default-vlan-id=0
set 15 default-vlan-id=0
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=192.168.55.200-192.168.55.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=bridge1 name=dhcp1
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether6
add bridge=bridge1 interface=ether7
add bridge=bridge1 interface=ether8
add bridge=bridge1 interface=ether9
add bridge=bridge1 interface=ether10
add bridge=bridge1 interface=ether11
add bridge=bridge1 interface=ether12
add bridge=bridge1 interface=ether13
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add interface=ether1 list=WAN
add interface=bridge1 list=LAN
/ip address
add address=192.168.55.1/24 interface=bridge1 network=192.168.55.0
/ip dhcp-client
add disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.55.0/24 gateway=192.168.55.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.2,1.0.0.2
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=MyRouter
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
 
Arriba