Configuración Mikrotik con Triple VLAN Jazztel

Me ha surgido un problema de última hora. Tengo que hacer unas pruebas abriendo un puerto pero lo tengo que hacer desde una redirección que tengo de DuckDNS (por el tema de que tiene certificado SSL y el de Mikrotik no). ¿puedo agregar esta nueva dirección a la address-list "public-ip" del firewall (así me vale tambien el hairpin y el método de abrir puerto como esta hasta ahora) o solo puede tener una dirección esta lista?

Al final lo que quiero es que tanto la dirección proporcionada por Mikrotik como la de DuckDNS funcionen indistintamente con la misma regla de firewall. Es para la conexión google Home con Home Assistant que necesito un sub-dominio de tipo https. ¿Habría alguna forma de ejecutar el script de DuckDNS en Mikrotik que hay en tips pero añadirle certificado SSL?

Un saludo @pokoyo
 
Última edición:
Me ha surgido un problema de última hora. Tengo que hacer unas pruebas abriendo un puerto pero lo tengo que hacer desde una redirección que tengo de DuckDNS (por el tema de que tiene certificado SSL y el de Mikrotik no).
¿Quien te ha dicho que no? La v7 ya soporta generación de certificados SSL con let's encrypt. Tanto para el dominio gratuíto que te regala mikrotik, como para tu propio dominio. Esta tarde os pongo en los tips&tricks cómo se hace.

¿puedo agregar esta nueva dirección a la address-list "public-ip" del firewall (así me vale tambien el hairpin y el método de abrir puerto como esta hasta ahora) o solo puede tener una dirección esta lista?
Podrías, pero, ¿para qué? Va a apuntar a la misma dirección IP, y lo que nos importa es la IP del WAN, no el dominio. Es decir, es innecesario que lo hagas, si ya tienes un dominio que resuelve tu IP pública.

Al final lo que quiero es que tanto la dirección proporcionada por Mikrotik como la de DuckDNS funcionen indistintamente con la misma regla de firewall.
Esto ya lo tienes por defecto. Si el duckdns ya apunta a tu IP pública, va a ser la misma que si lo resuelve el mikrotik con su ddns.

Es para la conexión google Home con Home Assistant que necesito un sub-dominio de tipo https. ¿Habría alguna forma de ejecutar el script de DuckDNS en Mikrotik que hay en tips pero añadirle certificado SSL?
Son cosas totalmente distintas. Una cosa es el certificado SSL de let's encrypt, y otra bien distinta el mantener el dominio apuntando a tu IP pública. En el mikrotik, con el script de los tips&tricks, haces lo segundo, no lo primero. Pero es que lo primero no hace falta hacerlo más que una vez en el home-assistant, y que ese chisme se mantenga encargado de renovar el certificado.

Lo dicho, a la tarde te pongo cómo se hace con el dominio cloud del mikrotik o con uno propio que tú tengas, pero recuerda que es innecesario.

Saludos!
 
Yo lo que quiero es que mi Home Assistant tenga el certificado SSL pero por lo que he leido de tu comentario anterior no es lo mismo que el certificado para el dominio Mikrotik. Creo que lo voy a dejar con DuckDNS porque no encuentro ninguna forma de generar en Home Assistant un certificado SSL de forma independiente al de complemento DuckDNS.

Otra pregunta, ¿me podría crear yo mis propios certificados para Home Assistant y el sub-dominio asociado?
 
Última edición:
Yo lo que quiero es que mi Home Assistant tenga el certificado SSL pero por lo que he leido de tu comentario anterior no es lo mismo que el certificado para el dominio Mikrotik. Creo que lo voy a dejar con DuckDNS porque no encuentro ninguna forma de generar en Home Assistant un certificado SSL de forma independiente al de complemento DuckDNS.

Otra pregunta, ¿me podría crear yo mis propios certificados para Home Assistant y el sub-dominio asociado?
¿Pero, por qué necesitas que sea independiente? No acabo de entender el problema (disculpa, he trasteado poco con home-assistant y sus certificados).

Ponme unos pantallazos del problema concreto y lo vemos, a ver si se me ocurre por dónde salir.

Saludos!
 
¿Pero, por qué necesitas que sea independiente? No acabo de entender el problema (disculpa, he trasteado poco con home-assistant y sus certificados).

Ponme unos pantallazos del problema concreto y lo vemos, a ver si se me ocurre por dónde salir.

Saludos!
En un principio, para usar SSL en Home Assistant, el plugin más usado (y el único que he conseguido hacer que funcione) es el DuckDNS que ya te hace los dos pasos que dices (te actualiza el puntero a la IP Pública dinámica y te crea el certificado manteniéndotelo actualizado).

Dado que tengo el dominio que ofrece Mikrotik, me gustaría mantener ese (y no usar DuckDNS o usarlo pero mediante el Script que pones el tips, es decir que la actualización de la IP Pública esté en el Router), pero no consigo dar con otro Pluging que genere y actualice los certificados para Home Assistant (existe el de Letsencrypt pero necesita abrir el puerto 80 y no quiero abrir ese puerto para esto, prefiero la otra solución de DuckDNS que lo hace automático).

No se si Otra pregunta, ¿podría crear yo mis propios certificados en RouterOS para Home Assistant y el sub-dominio asociado? Por lo que he visto solo me hace falta un fullchain.pem (supongo que sera lo que equivale a ssl_certificate) y privkey.pem (supongo que será el propio certificado ssl_key). ¿El problema será que tendría que actualizarlos o algo no?
 
Última edición:
He estado leyendo y he visto el tema del NGINX (incorpora proxy inverso y añade certificados). El problema es que usa los puertos 80 y 443 y me gustaría que fuesen otros (no se si se puede cambiar).

Por otra parte, creo que la configuración que tengo (sólo abre un puerto y la propia máquina de Home Assistant se autogestiona certificados y DuckDNS) creo que es bastante segura, no crees @pokoyo
 
He estado leyendo y he visto el tema del NGINX (incorpora proxy inverso y añade certificados). El problema es que usa los puertos 80 y 443 y me gustaría que fuesen otros (no se si se puede cambiar).

Por otra parte, creo que la configuración que tengo (sólo abre un puerto y la propia máquina de Home Assistant se autogestiona certificados y DuckDNS) creo que es bastante segura, no crees @pokoyo
No, lo seguro es el proxy inverso, que es la herramienta que te añade la capa de seguridad que necesitas, incluso para acceder a cosas que no son seguras por definición. Y lo suyo es que use únicamente el puerto 443, https.

Un proxy inverso podría, por ejemplo, acceder a tu router vía web, de manera segura, incluso cuando el acceso al router no lo fuera.

Saludos!
 
No, lo seguro es el proxy inverso, que es la herramienta que te añade la capa de seguridad que necesitas, incluso para acceder a cosas que no son seguras por definición. Y lo suyo es que use únicamente el puerto 443, https.

Un proxy inverso podría, por ejemplo, acceder a tu router vía web, de manera segura, incluso cuando el acceso al router no lo fuera.

Saludos!
De todas formas, ¿se podría usar un puerto distinto al 443 para el proxy inverso? Además he visto que también hace falta configurar el puerto 80 en el NGINX
 
De todas formas, ¿se podría usar un puerto distinto al 443 para el proxy inverso? Además he visto que también hace falta configurar el puerto 80 en el NGINX
Se puede, pero no tiene ningún sentido. La gracia del proxy inverso es que tú puedas crear subdominios y que llegues a los chismes a los que apunta el subdominio por https. Es decir, que puedas hacer https://cacharro1.midominio.duckdns.com y vayas directo al chisme. Si le cambias el puerto del Nginx, vas a tener que concatenarle el puerto a esa URL.

Por otra parte, otra cosa buena que tiene el nginx como reverse proxy es que enmascara el puerto en el que corre lo que tienes debajo. Si cacharro 1 es una IP cualquiera de tu red, esperando una conexión en el puerto 1234, tú eso no lo "filtras" de cara a fuera. De cara a fuera vas, vía acceso seguro y cifrado https, directo al cacharro.

Por otro lado, que el NGINX del home-assistant use el puerto 80, para ti no es problema. Simplemente no lo abras en en el NAT y listo. Abrirías únicamente un puerto, el 443, y se lo mandarías al home assistant. Y ningún otro puerto más, él se encargaría de ese mapping interno.

@huzoaaz te puede dar más detalle, lo tiene montado en un NAS.

Saludos!
 
Se puede, pero no tiene ningún sentido. La gracia del proxy inverso es que tú puedas crear subdominios y que llegues a los chismes a los que apunta el subdominio por https. Es decir, que puedas hacer https://cacharro1.midominio.duckdns.com y vayas directo al chisme. Si le cambias el puerto del Nginx, vas a tener que concatenarle el puerto a esa URL.

Por otra parte, otra cosa buena que tiene el nginx como reverse proxy es que enmascara el puerto en el que corre lo que tienes debajo. Si cacharro 1 es una IP cualquiera de tu red, esperando una conexión en el puerto 1234, tú eso no lo "filtras" de cara a fuera. De cara a fuera vas, vía acceso seguro y cifrado https, directo al cacharro.

Por otro lado, que el NGINX del home-assistant use el puerto 80, para ti no es problema. Simplemente no lo abras en en el NAT y listo. Abrirías únicamente un puerto, el 443, y se lo mandarías al home assistant. Y ningún otro puerto más, él se encargaría de ese mapping interno.

@huzoaaz te puede dar más detalle, lo tiene montado en un NAS.

Saludos!

Como te comenta @pokoyo, lo sencillo y seguro (cambiar el puerto no es buena idea) es abrir el 443 y filtras por ahi el trafico a donde quieras….

Yo, en el synology, tengo creados subdominios para los servicios que necesito, tanto https como http, y en vez de abrir varios puertos, expongo solo el 443 y listo. Desde el proxy inverso le dices: poniendo https://subdominio:443 me lo mandas a http://localhost:puerto del servicio….

Y listo….. Expones un puerto externo (que está preparado para ello el 443) aprovechando el proxy inverso….
 
Muchas gracias a ambos @huzoaaz y @pokoyo.

Dentro de poco voy a empezar a dar uso a un QNAP que tengo (TVS-471-i3) y voy a reemplazar la Raspberry con Home Assistant por una máquina virtual en el QNAP a la que instale Docker con todas esos contenedores (Home Assistant, NGINX..) o directamente, si se puede, montar los contenedores desde QNAP.

Una pregunta, ¿para el "desafío http" si haría falta configurar el puerto 80 o con el 443 bastaría? ¿o puedo usar "desafío DNS" con DUckDNS?
 
Muchas gracias a ambos @huzoaaz y @pokoyo.

Dentro de poco voy a empezar a dar uso a un QNAP que tengo (TVS-471-i3) y voy a reemplazar la Raspberry con Home Assistant por una máquina virtual en el QNAP a la que instale Docker con todas esos contenedores (Home Assistant, NGINX..) o directamente, si se puede, montar los contenedores desde QNAP.

Una pregunta, ¿para el "desafío http" si haría falta configurar el puerto 80 o con el 443 bastaría? ¿o puedo usar "desafío DNS" con DUckDNS?

Yo tengo un nas Synology y viene en el sistema el proxy inverso sin instalar nada….. de otro sistema no sabría asegurarte..

En el caso de Synology, solo tengo expuesto el 443 en el router…… el 80 no he tenido que abrir para nada…

Lo que si, para esto abre igual otro hilo, porque nos hemos ido un poco del origen del post….
 
Yo tengo un nas Synology y viene en el sistema el proxy inverso sin instalar nada….. de otro sistema no sabría asegurarte..

En el caso de Synology, solo tengo expuesto el 443 en el router…… el 80 no he tenido que abrir para nada…

Lo que si, para esto abre igual otro hilo, porque nos hemos ido un poco del origen del post….
Tienes razon @huzoaaz esto debería de ir en otro post. Cuando empiece a configurar el NAS lo abro y profundizaré más en el tema.

Por otra parte @pokoyo he estado viendo la configuración de IPTV que te pase y ni a mi me gusta (hay ciertas cosas que hasta yo veo que están un poco "raras"). Por donde me aconsejas empezar?
 
Por otra parte @pokoyo he estado viendo la configuración de IPTV que te pase y ni a mi me gusta (hay ciertas cosas que hasta yo veo que están un poco "raras"). Por donde me aconsejas empezar?
Empezaría por quedarme con el concepto (IPTV con dns condicional) y su vlan 838 y que usa IGMP. Poco más reciclaría de esa configuración. Aparéntemente, ni si quiera usa enrutamiento dinámico, simplemente un DNS específico.

Saludos!
 
Buenas @pokoyo @huzoaaz,

Dado que estoy teniendo problemas con Jazztel (temas de gestión no de calidad de servicios) puede que me cambie de operadora. Para el tema de poner router neutro con todas las opciones (internet+telefono+tv) lo mejor seria movistar (he visto que las claves de SIP y demas son fáciles de obtener) pero el precio es elevadisimo! He visto que otra opcion seria Orange y el precio es interesante.

El problema es que no he visto que las claves SIP se puedan sacar de manera fácil por lo que, dado que se utilizan el mismo router (livebox), queria hacer una prueba con jazztel para usar el Mikrotik como router neutro pero usar el router original para la configuracion de TV y de telefono y no tener que extraer SIP y los problemas del TV. Existen un problema principal:

-Tengo en una planta y la TV y el telefono fijo y la roseta de la ONT junto con mi rack (donde esta el equipo Mikrotik) estan en otra planta. Por lo que no podria conectar el router Livebox para seguir usandolo para TV o telefono directamente al router Mikrotik (tendria que pasar por dos switchs).

Me aconsejais algun tipo de montaje con el que pueda usar el Mikrotik como router principal, la ONt Ubiquiti (la clave del ONT si se proporciona) y de alguna manera el Livebox en la planta de abajo para conexion TV y telefono.
 
Última edición:
Dándole alguna vuelta, este es el esquema que quiero montar. De alguna manera quiero "engañar" al livebox para que se crea que esta llegándole la VLAN 1074 (TV y VoIP) y la 838 (TV). Creo que el teléfono tal como va podría ir bien, el problema es ver si la TV tengo que añadirle algo más a las VLAN que cree.

A ver si me podéis echar una mano @pokoyo
Esquema de Red 3.jpg

Muchas gracias
 
Otra solución, más rápida porque últimamente no tengo mucho tiempo es usar el livebox tal cual (quitando la ont de ubiquiti y el ata) y quito el dhcp del router y el wifi. Se que es poco eficiente. Sólo tengo un pequeño problema es que ¿que puerto debo de abrir en el livebox para que me funcione el Wireguard?
 
Otra solución, más rápida porque últimamente no tengo mucho tiempo es usar el livebox tal cual (quitando la ont de ubiquiti y el ata) y quito el dhcp del router y el wifi. Se que es poco eficiente. Sólo tengo un pequeño problema es que ¿que puerto debo de abrir en el livebox para que me funcione el Wireguard?
Si haces eso y una simple dmz a la IP estática que configures en el Mikrotik, ya lo tienes. Y te despreocupas de puertos, le mandas todo el Mikrotik y que él se las apañe en el firewall.

Saludos!
 
Arriba