Configuración Mikrotik con Triple VLAN Jazztel

Buenas Tardes

Ando probando el IP Service List con los servicios por defectos y sin tocar nada:
1619465113714.png

Mi pregunta es la siguiente, desde fuera de mi LAN (ya sea con mi IP o con la dirección que me ofrece IP Cloud de Mikrotik), no puedo acceder a los servicios que tengo aparecen en la imagen anterior y, como podeis ver, no tengo bloqueado el trafico (avariable from) desde ningún sitio. Con la configuración por defecto como lo tengo ahora mismo, ¿no podría acceder desde el exterior mediante www?
 
NO. Tienes una bonita regla de firewall en el chain de input que dice "Drop all not coming from LAN", que lo impide.
Es decir, si respetas el firewall por defecto, esos puertos están disponibles únicamente desde lo que sea que metas en la lista LAN. Desde fuera, y como debe ser, NO están accesibles.

Saludos!
 
NO. Tienes una bonita regla de firewall en el chain de input que dice "Drop all not coming from LAN", que lo impide.
Es decir, si respetas el firewall por defecto, esos puertos están disponibles únicamente desde lo que sea que metas en la lista LAN. Desde fuera, y como debe ser, NO están accesibles.

Saludos!
Repasando este mismo hilo, me iba a contestar yo mismo al mensaje, porque ya me lo comentaste cuando me explicaste las reglas del Firewall, pero has estado más rápido que yo.
Perdona las molestias @pokoyo.

Un saludo.
 
Repasando este mismo hilo, me iba a contestar yo mismo al mensaje, porque ya me lo comentaste cuando me explicaste las reglas del Firewall, pero has estado más rápido que yo.
Perdona las molestias @pokoyo.

Un saludo.
Nada, molestia ninguna. Tranquilo, que si respetas la config por defecto, vas protegido.

Saludos!
 
Buenas Tardes

He comprado un dominio ###.es en Hostalia para redirigir a mi dirección IP Cloud que me proporciona Mikrotik (para no tener que aprenderme la dirección tan larga). Me da 4 opciones para redirigir la web y no se cuál elegir, por si me podéis echar una mano. Estas son las 4 posibilidades:

1619633677927.png
 
Necesitas un subdominio del dominio. Si has comprado pericopalotes.com, crea el subdominio router.pericopalotes.com y lo configuras, en la configuración del DNS como un alias (CNAME) del dominio de mikrotik.

Saludos!
 
Necesitas un subdominio del dominio. Si has comprado pericopalotes.com, crea el subdominio router.pericopalotes.com y lo configuras, en la configuración del DNS como un alias (CNAME) del dominio de mikrotik.

Saludos!
Lo acabo de configurar pero no tengo acceso aún, he configurado el CNAME pero intento acceder desde mi PC y no he podido. He abierto un ticket en el proveedor.

Esta quedando un hilo curioso @pokoyo. Hoy lo he releido y hemos empezado desde 0 hasta tener un sistema bastante bueno y con muchas dudas resueltas.
 
A ver si es verdad! Y así, sacamos algo de provecho del tema.

Dependiendo de tu proveedor y de lo rápido que propague su dns, puede tardar un pelín el tema. Pero, en unas horas, deberías tenerlo

Saludos!
 
Buenos días

Esta mañana he modificado y añadido algunas cositas al router para seguir implementando cosas:

En primer lugar he añadido algunas IPs estáticas, como se muestra a continuación:
Código:
/ip dhcp-server lease
add address=192.168.88.4 client-id=xx:xx:xx:xx:xx:xx:xx comment=\
    "Swicth US-8-150W" mac-address=xx:xx:xx:xx:xx:xx server=dhcp1
add address=192.168.88.6 client-id=xx:xx:xx:xx:xx:xx:xx comment=\
    "AP UAP-AC PRO 2" mac-address=xx:xx:xx:xx:xx:xx server=dhcp1
add address=192.168.88.7 client-id=xx:xx:xx:xx:xx:xx:xx comment=\
    "ATA SIP Grandstream HT701" mac-address=xx:xx:xx:xx:xx:xx server=dhcp1
add address=192.168.88.5 client-id=xx:xx:xx:xx:xx:xx:xx comment=\
    "AP UAP-AC PRO 1" mac-address=xx:xx:xx:xx:xx:xx server=dhcp1
add address=192.168.88.8 comment="Gigaset C530 IP" mac-address=\
    xx:xx:xx:xx:xx:xx server=dhcp1
add address=192.168.88.3 client-id=xx:xx:xx:xx:xx:xx:xx comment="Swicth US-24" \
    mac-address=xx:xx:xx:xx:xx:xx server=dhcp1
add address=192.168.88.2 client-id=xx:xx:xx:xx:xx:xx:xx comment=\
    "UniFi Cloud Key" mac-address=xx:xx:xx:xx:xx:xx server=dhcp1

He añadido al servidor DHCP que me aporte la información del dominio interno ".lan":
Código:
/ip dhcp-server network
add address=192.168.88.0/24 domain=lan gateway=192.168.88.1

He añadido algunas direcciones internas al DNS:
Código:
/ip dns static
add address=192.168.88.1 name=router.lan
add address=192.168.188.2 name=gpon.lan
add address=192.168.88.2 name=cloud.lan
add address=192.168.88.3 name=switch1.lan
add address=192.168.88.4 name=switch2.lan
add address=192.168.88.5 name=ap1.lan
add address=192.168.88.6 name=ap2.lan
add address=192.168.88.7 name=ata.lan
add address=192.168.88.8 name=giga.lan

Para un futuro, he creado la lista de dirección para la IP pública para poder hacer Hairpin si abro algún puerto.
Código:
/ip firewall address-list
add address=xxxxxxxxxxxx.sn.mynetname.net list=public-ip

/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=\
    192.168.88.0/24 src-address=192.168.88.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
Aqui tengo una pregunta para @pokoyo, ¿sino abro ningun puerto, estas órdenes que he puesto hacen peligrar de algún modo la seguridad del router?

Por otra parte, he desactivado algún servicio que no voy a utilizar del router, y los otros que si utilizo los restringo solo a la LAN.
Código:
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.88.0/24
set ssh address=192.168.88.0/24
set api disabled=yes
set winbox address=192.168.88.0/24
set api-ssl disabled=yes
¿Es correcto como esta puesto @pokoyo ?

Finalmente, he eliminado el cliente NTP que tenia:
Código:
/system ntp client
set enabled=yes primary-ntp=185.132.136.116 secondary-ntp=185.111.204.220
Esto es porque me funciona ya el IP Cloud y actualiza la hora tambien, sino tengo mal entendido @pokoyo.

Os dejo la configuración completa:
Código:
# may/01/2021 09:26:51 by RouterOS 6.48.2
# software id = xxxx-xxxx
#
# model = RouterBOARD 1100Dx4
# serial number = xxxxxxxxxxxx
/interface bridge
add name=bridge1
/interface vlan
add interface=ether1 name=VLAN-Internet vlan-id=1074
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
set 12 default-vlan-id=0
set 13 default-vlan-id=0
set 14 default-vlan-id=0
set 15 default-vlan-id=0
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=192.168.88.200-192.168.88.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=bridge1 name=dhcp1
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether6
add bridge=bridge1 interface=ether7
add bridge=bridge1 interface=ether8
add bridge=bridge1 interface=ether9
add bridge=bridge1 interface=ether10
add bridge=bridge1 interface=ether11
add bridge=bridge1 interface=ether12
add bridge=bridge1 interface=ether13
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add interface=ether1 list=WAN
add interface=bridge1 list=LAN
add interface=VLAN-Internet list=WAN
/ip address
add address=192.168.88.1/24 interface=bridge1 network=192.168.88.0
add address=192.168.188.1/24 interface=ether1 network=192.168.188.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add disabled=no interface=VLAN-Internet
/ip dhcp-server lease
add address=192.168.88.4 client-id=xx:xx:xx:xx:xx:xx:xx comment=\
    "Swicth US-8-150W" mac-address=xx:xx:xx:xx:xx:xx server=dhcp1
add address=192.168.88.6 client-id=xx:xx:xx:xx:xx:xx:xx comment=\
    "AP UAP-AC PRO 2" mac-address=xx:xx:xx:xx:xx:xx server=dhcp1
add address=192.168.88.7 client-id=xx:xx:xx:xx:xx:xx:xx comment=\
    "ATA SIP Grandstream HT701" mac-address=xx:xx:xx:xx:xx:xx server=dhcp1
add address=192.168.88.5 client-id=xx:xx:xx:xx:xx:xx:xx comment=\
    "AP UAP-AC PRO 1" mac-address=xx:xx:xx:xx:xx:xx server=dhcp1
add address=192.168.88.8 comment="Gigaset C530 IP" mac-address=\
    xx:xx:xx:xx:xx:xx server=dhcp1
add address=192.168.88.3 client-id=xx:xx:xx:xx:xx:xx:xx comment="Swicth US-24" \
    mac-address=xx:xx:xx:xx:xx:xx server=dhcp1
add address=192.168.88.2 client-id=xx:xx:xx:xx:xx:xx:xx comment=\
    "UniFi Cloud Key" mac-address=xx:xx:xx:xx:xx:xx server=dhcp1
/ip dhcp-server network
add address=192.168.88.0/24 domain=lan gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.2,1.0.0.2
/ip dns static
add address=192.168.88.1 name=router.lan
add address=192.168.188.2 name=gpon.lan
add address=192.168.88.2 name=cloud.lan
add address=192.168.88.3 name=switch1.lan
add address=192.168.88.4 name=switch2.lan
add address=192.168.88.5 name=ap1.lan
add address=192.168.88.6 name=ap2.lan
add address=192.168.88.7 name=ata.lan
add address=192.168.88.8 name=giga.lan
/ip firewall address-list
add address=xxxxxxxxxxxx.sn.mynetname.net list=public-ip
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=\
    192.168.88.0/24 src-address=192.168.88.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.88.0/24
set ssh address=192.168.88.0/24
set api disabled=yes
set winbox address=192.168.88.0/24
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=Router
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
 
Aqui tengo una pregunta para @pokoyo, ¿sino abro ningun puerto, estas órdenes que he puesto hacen peligrar de algún modo la seguridad del router?
No. Pero, al tenerlas hechas así, recuerda luego al abrir un puerto en NAT, usar el dst-address-list como filtro, en lugar de ninguna interface.

¿Es correcto como esta puesto @pokoyo ?
Correcto.

Esto es porque me funciona ya el IP Cloud y actualiza la hora tambien, sino tengo mal entendido @pokoyo.
Correcto, no necesitas uno explícito, ya lo hace el IP -> Cloud, si no le has quitado la opción de "Update Time", habilitada por defecto.

La config total está correcta. ¿no te atreves con VLANs para los AP's de ubiquiti? Para enrutar por separado un par de VLANs, para invitados y trabajo, por ejemplo.

Saludos!
 
Arriba