Configuración Mikrotik con Triple VLAN Jazztel

Da de alta las dos vlans en Internaces -> VLAN, ambas asociadas a la interfaz física por donde llegan (ether1). Metes ambas en la lista WAN, para que les aplique el masquerade, y editas el cliente dhcp para que, en lugar de aplicar a ether1, aplique sobre la vlan1074

Saludos!
 
Parece entonces que si se ha conseguido. Yo he leído también por ahí con otros tipos de router. La TV de Jazztel es la misma que la de Orange, así que no hay problema. En Jazztel lo único que cambia con respecto a Orange es la VLAN ID del Internet (que es la 1074)
Efectivamente. Ahora solo falta que lo consigas tú. :cool:
 
Bueno, por lo que veo estás cómo yo hace un tiempo. Ahora veo que también lo han conseguido con Asus.

Me quedo por aquí por si puedo ayudar en algo o más posiblemente aprender
 
Sabiendo la tabla de rutas o el protocolo de enrutamiento dinámico y la subred, es cuestión de configurarlo. El multicast es complejo, pero tampoco es que sea ciencia ocultista, verdad @furny? (El compi que menciono es más ducho que yo en estos temas)

Saludos!
Gracias por el cumplido, @pokoyo Pero no es para tanto!.

Efectivamente, no es tan complicado, lo de multicast. Lo más difícil, es entender como lo tiene organizado la operadora, pues no suelen divulgarlo. Me miraré esos enlaces y bucearé un poco, a ver si puedo echar una mano.

Suerte!!
 
Buenos Días

En primer lugar, agradecer a @pokoyo toda la ayuda facilitada en este hilo y en el foro en general, sin su ayuda me hubiera sido imposible.

Como ya os comenté en el mensaje anterior ya tengo Internet y VoIP con el router Mikrotik. Os pongo el export y os comento las cositas que he añadido respecto al anterior paso:
Código:
# jan/01/2002 16:10:19 by RouterOS 6.48.1
# software id = xxxx-xxxx
#
# model = RouterBOARD 1100Dx4
# serial number = xxxxxxxxxxxx
/interface bridge
add name=bridge1
/interface vlan
add interface=ether1 name=VLAN-Internet vlan-id=1074
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
set 12 default-vlan-id=0
set 13 default-vlan-id=0
set 14 default-vlan-id=0
set 15 default-vlan-id=0
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=192.168.55.200-192.168.55.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=bridge1 name=dhcp1
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether6
add bridge=bridge1 interface=ether7
add bridge=bridge1 interface=ether8
add bridge=bridge1 interface=ether9
add bridge=bridge1 interface=ether10
add bridge=bridge1 interface=ether11
add bridge=bridge1 interface=ether12
add bridge=bridge1 interface=ether13
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add interface=ether1 list=WAN
add interface=bridge1 list=LAN
add interface=VLAN-Internet list=WAN
/ip address
add address=192.168.55.1/24 interface=bridge1 network=192.168.55.0
add address=192.168.155.1/24 interface=ether1 network=192.168.155.0
/ip dhcp-client
add disabled=no interface=VLAN-Internet use-peer-dns=no
/ip dhcp-server network
add address=192.168.55.0/24 gateway=192.168.55.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.2,1.0.0.2
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=Router
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Cosas que he añadido:

En primer lugar he dado de alta la vlan 1074 de Jazztel (que corresponde a internet y voip) sobre el puerto ether1:
Código:
/interface vlan
add interface=ether1 name=VLAN-Internet vlan-id=1074

He añadido esta VLAN a la lista WAN
Código:
/interface list member
add interface=ether1 list=WAN
add interface=bridge1 list=LAN
add interface=VLAN-Internet list=WAN

Finalmente he modificado el cliente DHCP para que asigne sobre la VLAN
Código:
/ip dhcp-client
add disabled=no interface=VLAN-Internet use-peer-dns=no

También he añadido la IP en el rango de 192.168.155.1 al interfaz eth1 para poder acceder a mi ont (192.168.155.2):
Código:
/ip address
add address=192.168.55.1/24 interface=bridge1 network=192.168.55.0
add address=192.168.155.1/24 interface=ether1 network=192.168.155.0

Estas órdenes las he obtenido gracias a los manuales que están puestos en el foro por parte de nuestro amigo @pokoyo (el de Mikrotik, tips & tricks y el de Mikrotik, configuraciones básicas ISPs).
Si algunas de las cosas que he puesto no están correctas coméntamelo @pokoyo

Finalmente me gustaría, antes de continuar con otra cuestión, si me podéis ayudar con algunas preguntas técnicas que tengo:

1. En primer lugar, he elegido la opción use-peer-dns=no en el cliente DHCP porque habia definido los dns manualmente (según leí si los pones en el cliente dhcp no se usan los otros definidos), @pokoyo no se entonces si he hecho lo correcto o no.

2. Yo tengo definido el dns de esta forma:
Código:
/ip dns
set allow-remote-requests=yes servers=1.1.1.2,1.0.0.2
pero lo he visto en otros sitios definido de esta forma:
Código:
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.77.1 comment=defconf name=router.lan
No entiendo la diferencia entre ambas formas y si son equivalente.

3. Otra cuestión es que para el DCHP cliente he usado use-peer-ntp=yes pero como veis en el export no me pone la hora de forma automática al router, no se lo que puede pasar con esto y como arreglarlo.

4. La siguiente es acerca del teléfono VOIP. Como veis en el esquema, uso un ATA Grandstream para la VoIP con los datos extraídos de Jazztel. Lo he conectado directamente a un puerto del router Mikrotrik (el 3) y lo curioso es que, antes en el Ubiquiti tenia que abrir los puertos SIP y mapearlos al ATA pero aquí directamente no he tenido que mapear ningún puerto a la dirección del ATA. ¿Cómo es posible que me funcione de forma automática sin mapear nada?

5. Finalmente, la pregunta más tonta, al conectar el ATA al puerto 3 del router Mikrotik de las luces de ese puerto Ethernet solo se enciende la naranja de la derecha, pero la verde de la izquierda no se enciende. Las demás (el ether1 del WAN y el ether2 conectado al Switch Unifi) si se encienden ambas (verde izquierda, naranja derecha). He probado conectado el ATA a otros puertos y pasa lo mismo, no se enciende la verde de la izquierda en el puerto que lo conecto, ¿Qué puede ser?

Muchas gracias por todo el apoyo @pokoyo. Estoy super contento de estar usando ya el router Mikrotik
 
Si algunas de las cosas que he puesto no están correctas coméntamelo @pokoyo
Todo correcto.

1. En primer lugar, he elegido la opción use-peer-dns=no en el cliente DHCP porque habia definido los dns manualmente (según leí si los pones en el cliente dhcp no se usan los otros definidos), @pokoyo no se entonces si he hecho lo correcto o no.
Correcto. Use-peer-dns=no le dices que no quieres que el cliente DHCP setee tus DNS en el router, puesto que prefieres otros a los que entrega tu operadora.

No entiendo la diferencia entre ambas formas y si son equivalente.
La diferencia es que, en esa segunda forma, alguien te tiene que dar el servidor DNS, normalmente el cliente DHCP o PPPoE de tu WAN. Es decir, quien lo tiene así, es porque lo tiene todo en automático y está usando el servidor dns de su proveedor, el que le entrega dinámicamente.
La otra linea la que dice /ip dns static add address=192.168.77.1 comment=defconf name=router.lan lo que hace es hacer uso del propio resolver dns que lleva el mikrotik, para meter entradas a mano para un dominio ".lan" interno. De esa manera, si haces ping router.lan, resolverás la IP de tu router. De la misma manera, puedes añadir tantas entradas como te de la gana, para usar tu propio servidor DNS interno. Muy útil. Y, si además entregas el "lan" como sufijo DNS en la configuración del DHCP (recuerda que lo hablamos antes, se hace en la parte de "Networks" del Servidor DHCP), puedes hacer un ping directamente a "router" y repondería y él solito concatenaría el ".lan", resolviendo "router.lan" que lo tienes en el DNS (o cualquier otro dominio interno que se te ocurra. Si combinas eso con la reserva de direcciones estáticas en el DHCP, puedes acabar con un setup muy chulo para resolver los prinicpales elementos de tu red local (router, switch, AP, voip gateway, etc).

3. Otra cuestión es que para el DCHP cliente he usado use-peer-ntp=yes pero como veis en el export no me pone la hora de forma automática al router, no se lo que puede pasar con esto y como arreglarlo.
Eso es porque tu el servidor DHCP del otro lado no tiene un servidor de hora. Si quieres que el equipo te ponga la hora automáticamente, lo más sencillo es usar el IP -> Cloud, y habilitar el dominio dinámico DDNS que te regala mikrotik, que de paso te actualiza la hora. El dominio resolverá tu IP pública, y lo puedes usar para muchas cosas (mira por ejemplo el hairpin nat en el manual de tips&tricks). El uso más común es el de tener un dominio propio para conectar por VPN a tu casa.

4. La siguiente es acerca del teléfono VOIP. Como veis en el esquema, uso un ATA Grandstream para la VoIP con los datos extraídos de Jazztel. Lo he conectado directamente a un puerto del router Mikrotrik (el 3) y lo curioso es que, antes en el Ubiquiti tenia que abrir los puertos SIP y mapearlos al ATA pero aquí directamente no he tenido que mapear ningún puerto a la dirección del ATA. ¿Cómo es posible que me funcione de forma automática sin mapear nada?
Porque el router trae un helper activado para VoIP. Y, como no has copiado y pegado las configuraciones que hay por ahí volando que lo deshabilitan, lo tienes funcionando y haciendo lo que debe hacer, ayudarte a que el VoIP funcione. Lo puedes ver en IP -> Firewall -> Service Ports, verás una entrada "sip" con los puertos 5060/5061

5. Finalmente, la pregunta más tonta, al conectar el ATA al puerto 3 del router Mikrotik de las luces de ese puerto Ethernet solo se enciende la naranja de la derecha, pero la verde de la izquierda no se enciende. Las demás (el ether1 del WAN y el ether2 conectado al Switch Unifi) si se encienden ambas (verde izquierda, naranja derecha). He probado conectado el ATA a otros puertos y pasa lo mismo, no se enciende la verde de la izquierda en el puerto que lo conecto, ¿Qué puede ser?
Verde = conexión gigabit ethernet (10/100/1000). Naranja = conexión fast ethernet (10/100). Es por eso que te lo marca, porque el gateway de VoIP tiene una conexión fast-ethernet (no necesita más).

Saludos!
 
Buenas

He estado todo el día dedicándome a "trastear" un poco con el router y tengo varias preguntas (se que soy pesado @pokoyo, perdona tanta insistencia)

Porque el router trae un helper activado para VoIP. Y, como no has copiado y pegado las configuraciones que hay por ahí volando que lo deshabilitan, lo tienes funcionando y haciendo lo que debe hacer, ayudarte a que el VoIP funcione. Lo puedes ver en IP -> Firewall -> Service Ports, verás una entrada "sip" con los puertos 5060/5061
Sobre esto que comentas he visto lo que me comentas como se muestra en la siguiente foto:
Captura2.PNG

Pero lo que no entiendo es como sabe el Firewall a que IP interna (la del ATA) tiene que enviar los paquetes que llegan con el/los puerto/s SIP.

Por otra parte, en esta imagen veo otros servicios, ¿esto quiere decir que tengo estos puertos "abiertos"? Si por ejemplo, me llega un paquete por el puerto 21 (ftp), ¿a que IP interna se redirecciona?

También he encontrado otra lista de servicios en IP-Services List, que es la que se muestra en la siguiente foto:
Captura.PNG

¿Qué diferencias hay con la primera? ¿Es lo mismo o hay diferencias?


Eso es porque tu el servidor DHCP del otro lado no tiene un servidor de hora. Si quieres que el equipo te ponga la hora automáticamente, lo más sencillo es usar el IP -> Cloud, y habilitar el dominio dinámico DDNS que te regala mikrotik, que de paso te actualiza la hora. El dominio resolverá tu IP pública, y lo puedes usar para muchas cosas (mira por ejemplo el hairpin nat en el manual de tips&tricks). El uso más común es el de tener un dominio propio para conectar por VPN a tu casa.
Por otra parte, he habilitado el dominio dinámico, pero no me "resuelve" la dirección ni la hora, como se muestra en la siguiente foto:
Captura3.PNG

Ni dándole a ForceUpdate se me actualizan los datos, ¿Qué puede pasar?


Finalmente, he visto lo del Truco: Hairpin NAT [NAT Loopback] del MANUAL: Mikrotik, tips & tricks y me parece super interesante.
He visto que hay que seguir el siguiente código:
Código:
/ip firewall address-list add address=[/ip cloud get dns-name] list=public-ip
/ip firewall nat add action=masquerade chain=srcnat comment=hairpin-nat dst-address=[/ip dhcp-server network get 0 address] src-address=[/ip dhcp-server network get 0 address] place-before=0
/ip firewall nat
add action=dst-nat chain=dstnat comment=Web-Admin dst-address-list=public-ip \
    dst-port=443 protocol=tcp to-addresses=192.168.88.100 to-ports=1234

Pero no entiendo muy bien la secuencia y no veo la diferencia con abrir los puertos de forma normal (sacado del manual wiki de mikrotik):
Código:
/ip firewall nat add chain=dstnat dst-port=1234 action=dst-nat protocol=tcp to-address=192.168.88.100 to-port=1234
¿Podrías @pokoyo un poco el Haripin NAT y su diferencia con la forma normal?

En relación a esto, es lo que te comento que me sorprendió que no lo tuviera que hacer para el ATA (abrir puerto SIP y redirigirlo al IP del ATA), no se como el router lo hace automáticamente (como sabe quien es el ATA para darle el tráfico).
 
Pero lo que no entiendo es como sabe el Firewall a que IP interna (la del ATA) tiene que enviar los paquetes que llegan con el/los puerto/s SIP.
Aquí te lo explica, con todo lujo de detalles: https://mum.mikrotik.com/presentations/US17/presentation_4321_1496084451.pdf
Básicamente SIP (capa 7) no se lleva nada bien con un NAT, y el helper viene a hacer lo mismo que el NAT, pero directamente en capa 7.


Por otra parte, en esta imagen veo otros servicios, ¿esto quiere decir que tengo estos puertos "abiertos"? Si por ejemplo, me llega un paquete por el puerto 21 (ftp), ¿a que IP interna se redirecciona?

También he encontrado otra lista de servicios en IP-Services List, que es la que se muestra en la siguiente foto:
Captura.PNG

¿Qué diferencias hay con la primera? ¿Es lo mismo o hay diferencias?
No tienen nada que ver. Esos son servicios que ofrece el propio router. Tiene servicios de API, de FTP, de winbox, etc. lo mejor que puedes hacer con ellos es deshabilitar los que no uses. Y, para los que uses, puedes restringir el acceso a tu segmento LAN. Por ejemplo, si solo accedes al equipo vía winbox, puedes deshabilitar el www, que es el acceso vía webfig con el navegador.
Por otra parte, he habilitado el dominio dinámico, pero no me "resuelve" la dirección ni la hora, como se muestra en la siguiente foto:
Captura3.PNG

Ni dándole a ForceUpdate se me actualizan los datos, ¿Qué puede pasar?
Ni idea. Puedes reiniciar el equipo, a ver si así lo pilla. Sino, hazlo vía consola y pinta desde ahí lo que te da ese comando, a ver si con eso ves el dominio dinámico y que resuelve tu IP pública.

Con respecto al hairpin, lo que busca es indicar el sentido de la apertura del tráfico, para que sólo aplique de fuera a dentro. Si no implementas hairpin NAT e intentas abrir el puerto 80 o el 443, verás que te quedas sin internet. Y esto pasa porque, si sigues la wiki de mikrotik, estarás abriendo un puerto sin especificar el sentido del tráfico, y el NAT hace lo que debe: todo tráfico que vea en ese puerto, se lo manda a la IP que le dices. Y si ese puerto es el de navegación... pues la lías parda. Para eso vale el hairpin NAT, que por cierto lo tienes explicado también en la wiki, aunque implementado de otra manera.

Saludos!
 
Buenas

Perdona por tantas cuestiones amigo @pokoyo , pero creo que esto es importante tenerlo claro por temas de seguridad:

1 En cuanto a los servicios del propio router (IP-Service List) me gustaría mantener solo el Winbox y el WWW pero únicamente desde la LAN. ¿Cómo se puede deshabilitar el resto mediante comandos y habilitar únicamente estos dos pero restringiendo el acceso LAN? Prefiero desde comando por el hecho que me estoy acostumbrando a ello y me parece mas cómodo que los menús.

2 En cuanto a los Service Ports del Firewalls, a parte del SIP, ¿me recomiendas deshabilitar el resto o no hay problema de seguridad en ello? ¿En el caso de deshabilitar, como seria? Porque estos no tienen sentido restringir el acceso desde la LAN creo yo.. ¿es así?

Finalmente, el tema del IP cloud no he conseguido que funcione. He puesto un cliente NTP para al menos tener al hora configurada. He probado todo y no hay manera. Pongo el export por si hace falta para aclarar algunos puntos:
Código:
# apr/17/2021 14:22:28 by RouterOS 6.48.1
# software id = xxxx-xxxx
#
# model = RouterBOARD 1100Dx4
# serial number = xxxxxxxxxxxx
/interface bridge
add name=bridge1
/interface vlan
add interface=ether1 name=VLAN-Internet vlan-id=1074
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
set 12 default-vlan-id=0
set 13 default-vlan-id=0
set 14 default-vlan-id=0
set 15 default-vlan-id=0
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=192.168.55.200-192.168.55.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=bridge1 name=dhcp1
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether6
add bridge=bridge1 interface=ether7
add bridge=bridge1 interface=ether8
add bridge=bridge1 interface=ether9
add bridge=bridge1 interface=ether10
add bridge=bridge1 interface=ether11
add bridge=bridge1 interface=ether12
add bridge=bridge1 interface=ether13
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add interface=ether1 list=WAN
add interface=bridge1 list=LAN
add interface=VLAN-Internet list=WAN
/ip address
add address=192.168.55.1/24 interface=bridge1 network=192.168.55.0
add address=192.168.155.1/24 interface=ether1 network=192.168.155.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add disabled=no interface=VLAN-Internet
/ip dhcp-server network
add address=192.168.55.0/24 gateway=192.168.55.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.2,1.0.0.2
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=Router
/system ntp client
set enabled=yes primary-ntp=185.132.136.116 secondary-ntp=185.111.204.220
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
 
En cuanto a los Service Ports del Firewalls, a parte del SIP, ¿me recomiendas deshabilitar el resto o no hay problema de seguridad en ello? ¿En el caso de deshabilitar, como seria? Porque estos no tienen sentido restringir el acceso desde la LAN creo yo.. ¿es así?
Mi recomendación, es que no deshabilites ningún Service Port. Si el filtro del firewall está bien configurado, ya se encarga él de que no se cuele nada raro, pues actúa a un nivel más bajo que esos otros protocolos.
 
Perdona, que se me pasó este mensaje.

1 En cuanto a los servicios del propio router (IP-Service List) me gustaría mantener solo el Winbox y el WWW pero únicamente desde la LAN. ¿Cómo se puede deshabilitar el resto mediante comandos y habilitar únicamente estos dos pero restringiendo el acceso LAN? Prefiero desde comando por el hecho que me estoy acostumbrando a ello y me parece mas cómodo que los menús.
Manejarse en la terminal de mikrotik es sencillo. Si usas el tabulador en el path /, podrás ver al lista de menús y comandos que cuelgan del raíz del router. Según vas entrando en ellos, verás que la inmensa mayoría coinciden con el mismo elemento y la misma ruta en windows. Así, el menú del que estamos hablando, se alcanza vía Winbox por IP -> Services, corresponde con el menú /ip service en terminal. Una vez allí, si usas de nuevo el tabulador, verás los comandos disponibles. En este caso, si quisiéramos restringir el acceso a winbox únicamente a tu LAN, usaríamos el comando "set". Si escribes /ip service set y vuelves a pulsar el tabulador, verás la lista de opciones que puedes usar para ese comando. En tu caso, como vamos a ir a modificar un servicio concreto de los que ya lista ese comando, ejecutaríamos el set sobre el nombre del servicio directamente con un /ip service set winbox y volveríamos a pulsar el tabulador para ver qué opciones nos da. En este caso, nos saldrán cinco propiedades, de la cual nos interesa el campo "address", que es donde le vamos a decir la dirección o direcciones (es un array) que vamos a permitir. O, directamente, los segmentos LAN completos. Siendo 192.168.88.1 la dirección LAN de tu equipo, con su subred correspondiente, ese comando nos quedaría así (modifícalo según tu segmento LAN), para habilitar únicamente el acceso desde todo ese segmento LAN. Puedes especificar una IP, varias IPs, un segmento, varios segmentos, una IP y un segmento, etc.
Código:
/ip service set winbox address=192.168.88.0/24

2 En cuanto a los Service Ports del Firewalls, a parte del SIP, ¿me recomiendas deshabilitar el resto o no hay problema de seguridad en ello? ¿En el caso de deshabilitar, como seria? Porque estos no tienen sentido restringir el acceso desde la LAN creo yo.. ¿es así?
No los toques, hacen bien su trabajo, y como te comenta el compañero, ya está restringido su uso por el propio firewall, a un nivel más bajo. No hacen ningún daño, así que déjalos tal cual.

Con respecto al IP -> Cloud, no sé qué te puede estar fallando, pero prueba a hacer un print por consola, a ver qué te dice:
Código:
/ip cloud print

Si ves que tampoco lo coge, prueba a forzar el update desde consola, y vuelves a pintarlo
Código:
/ip cloud force-update

Saludos!
 
Buenas Tardes

Muchas gracias por la ayuda @pokoyo y @furny.

En el primer caso (IP Service List) sólo voy a dejar disponibles el WWW y el Winbox accesibles desde LAN y el resto desactivados. En un futuro me gustaría habilitar también en el de la API (corregirme sino es así) que supongo que será para la APP Móvil y así poder acceder desde fuera (pero eso en un futuro). Esto a cuanto servicios del propio router.

En cuanto al segundo caso (IP Firewall Services), he estado leyendo, pero no me queda muy claro el tema, porque por ejemplo el SIP me funciona sin tener ninguna regla aplicada a nivel más bajo por el firewall (no tengo abierto los puertos ni nada). Por lo tanto, por ejemplo y siguiendo la misma lógica que para SPI, para FTP (21), ¿me podría pasar lo mismo y que pueda acceder alguien desde el exterior a un PC en el que tenga montado ftp dentro de mi NAT?

El tema del IP Cloud me sigue sin funcionar y no tengo ni idea de por donde puede venir el problema. He intentando todo lo que me ha comentado @pokoyo y nada de nada, no funciona.

Muchas gracias de antemano a ambos.
 
En el primer caso (IP Service List) sólo voy a dejar disponibles el WWW y el Winbox accesibles desde LAN y el resto desactivados. En un futuro me gustaría habilitar también en el de la API (corregirme sino es así) que supongo que será para la APP Móvil y así poder acceder desde fuera (pero eso en un futuro). Esto a cuanto servicios del propio router.
No. la APP entra por winbox, no por API. Por API entra la API, para ejecutar comandos de manera programática. Por ejemplo, usando Python.

En cuanto al segundo caso (IP Firewall Services), he estado leyendo, pero no me queda muy claro el tema, porque por ejemplo el SIP me funciona sin tener ninguna regla aplicada a nivel más bajo por el firewall (no tengo abierto los puertos ni nada). Por lo tanto, por ejemplo y siguiendo la misma lógica que para SPI, para FTP (21), ¿me podría pasar lo mismo y que pueda acceder alguien desde el exterior a un PC en el que tenga montado ftp dentro de mi NAT?
No, el 21 lo tienes que abrir tú a mano. Pero, los pasivos, los abrirá él automáticamente, puesto que irán asociados a esa conexión y el helper hará el resto. Y recuerda que los helpers van a "ayudar" siempre a conexiones que se inician desde la LAN, desde dentro, no a abrir agujeros de seguridad en tu red.

El tema del IP Cloud me sigue sin funcionar y no tengo ni idea de por donde puede venir el problema. He intentando todo lo que me ha comentado @pokoyo y nada de nada, no funciona.
Ni idea. ¿lo tienes en la última versión? En IP -> DNS tienes metidos unos DNS decentes, tal que el router sepa salir a internet, ¿no? Si ves que se te complica mucho, abre un ticket a la gente de mikrotik en el foro de soporte oficial, así sales de dudas

Saludos!
 
No. la APP entra por winbox, no por API. Por API entra la API, para ejecutar comandos de manera programática. Por ejemplo, usando Python.


No, el 21 lo tienes que abrir tú a mano. Pero, los pasivos, los abrirá él automáticamente, puesto que irán asociados a esa conexión y el helper hará el resto. Y recuerda que los helpers van a "ayudar" siempre a conexiones que se inician desde la LAN, desde dentro, no a abrir agujeros de seguridad en tu red.


Ni idea. ¿lo tienes en la última versión? En IP -> DNS tienes metidos unos DNS decentes, tal que el router sepa salir a internet, ¿no? Si ves que se te complica mucho, abre un ticket a la gente de mikrotik en el foro de soporte oficial, así sales de dudas

Saludos!
Buenas Tardes

Hoy entrando en la app me he dado cuenta de que ya funciona el IP Cloud. No he hecho nada y de repente ya funciona correctamente, así que problema solucionado. Tengo la última versión (6.48.2 Stable).

Muchas gracias a todos.
 
Si consigues que te funcione la TV espero que nos cuentes cómo. :)
Espero que pueda llegar a conseguirlo. Voy a ir poco a poco y paso a paso configurando todas las cosas que necesite para que me funcione todo y también para ir aprendiendo lo máximo posible. Por aquí pondré todo paso a paso de lo que voy a ir haciendo.
 
Arriba