Configuración Mikrotik con Triple VLAN Jazztel

En nada. Mantendrías todo lo que tienes ahora. Es decir, cambias ont por router, pero a nivel de seguridad, tu red nace en el mikrotik, así que preocúpare sólo de ahí para abajo.

Saludos!
Creo que voy a optar por esta opción, porque el tema del VoIP y IPTV cada vez está más complicado.

Unas preguntas @pokoyo y perdona por ser pesado:

1. La idea sería desactivar DHCP del router livebox y activarlo en el router Mikrotik. En el Mikrotik tendría que eliminar las VLAN, pero como asigno una IP directamente sim DHCP cliente en la interfaz eth1?

2. Puede parecer un locura, pero dado que para mi comodidad me gustaría tener el Livebox cerca de mi tv principal (para conectar el deco directamente). Sería posible conectar la salida de Livebox par a Internet al Switch de la planta de abajo (Switch 8 ubiquiti) que a su vez está conectado al de arriba (Switch 24 ubiquiti) mediante fibra y finalmente conectado al router Mikrotik..

3. Como alternativa al punto 2, he pensado crear una VLAN para el Iptv en el entorno ubiquiti (o incluso en la propia Lan por defecto activar el IGMP) que tenga activado el IGMP y conectar el deco abajo pero no se si eso funcionará...
 
1. La idea sería desactivar DHCP del router livebox y activarlo en el router Mikrotik. En el Mikrotik tendría que eliminar las VLAN, pero como alguno una IP directamente si DHCP cliente en la interfaz eth1?
En IP > Address, se la das estática, del segmento LAN del Livebox. Tendrás que añadir también una ruta por defecto para darle salida, usando como gateway la IP del Livebox.

2. Puede parecer un locura, pero dado que para mi comodidad me gustaría tener el Livebox cerca de mi tv principal (para conectar el deco directamente). Sería posible conectar la salida de Livebox par a Internet al Switch de la planta de abajo (Switch 8 ubiquiti) que a su vez está conectado al de arriba (Switch 24 ubiquiti) mediante fibra y finalmente conectado al router Mikrotik..
El Livebox debería ir conectado al Mikrotik directo. Otra configuración se te va a complicar.


3. Como alternativa al punto 2, he pensado crear una VLAN para el Iptv en el entorno ubiquiti que tenga activado el IGMP y conectar el deco abajo pero no se si eso funcionará...
Puedes intentarlo, pero si la idea es simplificar, creo que vas a ir en sentido opuesto.

Saludos!
 
Se me ha olvidado preguntar en el post anterior @pokoyo si tener dos DHCP activas pero cada una en su segmento (192.168.BBB.0 Livebox y 192.168.AAA.0 en Mikrotik) no habría problema no?

Lo digo porque el deco TV que va conectado al Livebox directamente necesita el DHCP activo.
 
Se me ha olvidado preguntar en el post anterior @pokoyo si tener dos DHCP activas pero cada una en su segmento (192.168.BBB.0 Livebox y 192.168.AAA.0 en Mikrotik) no habría problema no?

Lo digo porque el deco TV que va conectado al Livebox directamente necesita el DHCP activo.
No. Simplemente tu IP WAN del mikrotik sería del segmento 192.168.BBB.0, mientras que tu LAN sería 192.168.AAA.0

Saludos!
 
En IP > Address, se la das estática, del segmento LAN del Livebox. Tendrás que añadir también una ruta por defecto para darle salida, usando como gateway la IP del Livebox.
Lo primero lo tengo claro, pero lo segundo no se como realizarlo. Se hace en la pestaña IP-Address? Es que en ese menu solo tengo disponible la direccion, la red y la interfaz, no me aparece nada de gateway.

Otra cosa que te queria comentar @pokoyo es que pasa con la direccion que me proporciona Mikrotik, ya que ahora no tengo el la eth1 la Ip publica como tal..

Pongo aqui las que creo que serian las modificaciones (estan marcadas con ----->) en el export.
Me gustaría saber si con estas modificaciones y poniendo RosetaFibra->Livebox->Mikrotik funcionan las configuraciones que tenia hasta ahora.
En el Livebox mantendria el DHCP activo en el segmento LAN 192.168.BBB.0 para que el Deco de Orange reciba IP. La IP del Mikrotik no la tendria que configurar en el Livebox ya que seria estatica (voy a tener cuidado de que el rango de DHCP no machaque la del Mikrotik).
Código:
# dec/26/2021 00:43:45 by RouterOS 7.1
# software id = XXXX-XXXX
#
# model = RouterBOARD 1100Dx4
# serial number = XXXXXXXXXXXX
/interface bridge
add name=bridge-lan
/interface wireguard
add listen-port=EEEEE mtu=1420 name=wireguard-rw
----->(ELIMINAR)/interface vlan
----->(ELIMINAR)add interface=ether1 name=VLAN-Internet vlan-id=1074
/disk
set sata1 disabled=no
set sata1-part1 disabled=no name=disk1
/interface list
add name=WAN
add name=LAN
/interface lte apn
set [ find default=yes ] ip-type=ipv4
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=pool-lan ranges=192.168.AAA.200-192.168.AAA.254
/ip dhcp-server
add address-pool=pool-lan interface=bridge-lan name=dhcp-lan
/port
set 0 name=serial0
set 1 name=serial1
/routing ospf instance
add name=default-v2
/routing ospf area
add disabled=yes instance=default-v2 name=backbone-v2
/interface bridge port
add bridge=bridge-lan interface=ether2
add bridge=bridge-lan interface=ether3
add bridge=bridge-lan interface=ether4
add bridge=bridge-lan interface=ether5
add bridge=bridge-lan interface=ether6
add bridge=bridge-lan interface=ether7
add bridge=bridge-lan interface=ether8
add bridge=bridge-lan interface=ether9
add bridge=bridge-lan interface=ether10
add bridge=bridge-lan interface=ether11
add bridge=bridge-lan interface=ether12
add bridge=bridge-lan interface=ether13
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192
/interface list member
add interface=ether1 list=WAN
add interface=bridge-lan list=LAN
----->(ELIMINAR)add interface=VLAN-Internet list=WAN
/interface wireguard peers
add allowed-address=192.168.CCC.2/32 comment="USUARIO 1" interface=\
    wireguard-rw public-key="CLAVE-PÚBLICA-USUARIO-1"
/ip address
add address=192.168.AAA.1/24 interface=bridge-lan network=192.168.AAA.0
----->(EL SEGMENTO DE MI LAN DEL LIVEBOX VA A SER BBB)add address=192.168.BBB.1/24 interface=ether1 network=192.168.BBB.0
add address=192.168.CCC.1/24 interface=wireguard-rw network=192.168.CCC.0
/ip cloud
set ddns-enabled=yes
----->(ELIMINAR)/ip dhcp-client
----->(ELIMINAR)add interface=VLAN-Internet
/ip dhcp-server lease
add address=192.168.AAA.4 client-id=xx:xx:xx:xx:xx:xx:xx comment=\
    "Swicth US-8-150W" mac-address=XX:XX:XX:XX:XX:XX server=dhcp-lan
add address=192.168.AAA.6 client-id=xx:xx:xx:xx:xx:xx:xx comment=\
    "AP UAP-AC PRO 2" mac-address=XX:XX:XX:XX:XX:XX server=dhcp-lan
add address=192.168.AAA.7 client-id=xx:xx:xx:xx:xx:xx:xx comment=\
    "ATA SIP Grandstream HT701" mac-address=XX:XX:XX:XX:XX:XX server=dhcp-lan
add address=192.168.AAA.5 client-id=xx:xx:xx:xx:xx:xx:xx comment=\
    "AP UAP-AC PRO 1" mac-address=XX:XX:XX:XX:XX:XX server=dhcp-lan
add address=192.168.AAA.8 client-id=xx:xx:xx:xx:xx:xx:xx comment=\
    "Gigaset C530 IP" mac-address=XX:XX:XX:XX:XX:XX server=dhcp-lan
add address=192.168.AAA.3 client-id=xx:xx:xx:xx:xx:xx:xx comment="Swicth US-24" \
    mac-address=XX:XX:XX:XX:XX:XX server=dhcp-lan
add address=192.168.AAA.2 client-id=xx:xx:xx:xx:xx:xx:xx comment=\
    "UniFi Cloud Key" mac-address=XX:XX:XX:XX:XX:XX server=dhcp-lan
/ip dhcp-server network
add address=192.168.AAA.0/24 domain=lan gateway=192.168.AAA.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,8.8.8.8
/ip dns static
add address=192.168.AAA.1 name=router.lan
----->(BBB.2 va a ser la nueva IP del Livebox)add address=192.168.BBB.2 name=livebox.lan
add address=192.168.AAA.2 name=cloud.lan
add address=192.168.AAA.3 name=switch1.lan
add address=192.168.AAA.4 name=switch2.lan
add address=192.168.AAA.5 name=ap1.lan
add address=192.168.AAA.6 name=ap2.lan
add address=192.168.AAA.7 name=ata.lan
add address=192.168.AAA.8 name=giga.lan
/ip firewall address-list
add address=xxxxxxxxxxxx.sn.mynetname.net list=public-ip
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="vpn: allow wireguard-rw" dst-port=EEEEE \
    protocol=udp
add action=accept chain=input comment="vpn: allow access router" src-address=\
    192.168.CCC.0/24
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=\
    192.168.AAA.0/24 src-address=192.168.AAA.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.AAA.0/24,192.168.CCC.0/24
set ssh address=192.168.AAA.0/24,192.168.CCC.0/24
set api disabled=yes
set winbox address=192.168.AAA.0/24,192.168.CCC.0/24
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=XXXXXXXXXXXX
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
 
Si vas a mantener el DHCP, lo único que necesitas hacer es modificar el cliente DHCP que tienes ahora mismo corriendo sobre la vlan 1074, y hacerlo correr sobre ether1. No necesitas definir nada en IP -> Addresses ni crear una ruta por defecto, ya que lo hace dinámicamente el cliente dhcp por ti.

Saludos!
 
Una última pregunta @pokoyo , el tema de la dirección que te ofrece Mikrotik, ahora al tener el equipo dentro de otra red privada, ¿sigue pudiéndose utilizar?
 
Una última pregunta @pokoyo , el tema de la dirección que te ofrece Mikrotik, ahora al tener el equipo dentro de otra red privada, ¿sigue pudiéndose utilizar?
Te refieres al DDNS que tienes en IP > Cloud? Sí, te dará una alerta diciendo que está detrás de un NAT, pero sigue funcionando sin mayor problema.

Saludos!
 
Buenas @pokoyo

Ya he configurado el router de Jazztel antes del Mikrotik. Esta puesto como DMZ y IP fija y va bien (las velocidades y latencias prácticamente son las mismas)

1. La VPN va bien y sólo me falta por probar el Home Assistant con el Duckdns. Estoy con las dudas de si funcionará bien. Sobre todo el tema del Hairpin (uso este subdominio para Home Assistant y necesito tener acceso con la misma direccion tanto fuera como dentro del hogar)...

2. Es curioso que cuando estoy conectado a mi red no tengo acceso al router de jazztel desde la IP Pública, pero creo que es debido al propio router de jazztel que tiene esa configuración, pero no estoy seguro.

3. Esto es lo más importante, Cuando conecto algo al router de Jazztel no puedo acceder al router Mikrotik. Puse en Services del mikrotik el rango 192.168.BBB.0 (rango DHCP del router de jazztel) pero sigue sin funcionar. Creo que es por el tema de que el router Mikrotik toma lo que viene por el puerto eht1 (router jazztel) como WAN y debido al firewall no me deja acceder al router Mikrotik si conecto algún dispositivo al router de Jazztel.
¿Habría alguna manera de conectarlo pero manteniendo la seguridad en el firewall?

4. Por último,¿ me das algún consejo de seguridad o algo que pueda añadir?
 
Última edición:
1. Supongo que sí, aunque yo me olvidaría del duckdns, y pondría el ddns de mikrotik, que ahora soporta certificados de let's encrypt. Y, si no te gusta el nombre, compra un dominio y le hace un CNAME. Son baratos y le puedes sacar mucho partido.

2. Sí, con una regla específica en el chain de input, pero no quieres hacerlo. Para ti internet empieza ahí, en el router de jazztel, y tu red es lo que queda por debajo del mikrotik. Es decir, esa comunicación que pides no debería darse nunca. Para ti ese router ya es el mundo exterior. Puedes aprovecharlo y meter en él los dispositivos "apestaditos" (los de dudosa procedencia o de los que no te fíes), para que sólo salgan a internet. Estos nunca verán lo que hay debajo del mikrotik.

3. Sí, que no hagas lo que pretendes, abrir la puerta del firewall de mikrotik a lo que está conectado al de Jazztel. Mientras más restringido esté el chain de input, mejor.

Saludos!
 
Muchas gracias @pokoyo si me aconsejas eso lo dejo tal como esta y no le doy "acceso" a lo que tenga conectado en el de Jazztel a la red Mikrotik.

Otras cuestiones:

1. Como curiosidad, cuando estoy conectado a mi red (Mikrotik) no tengo acceso al Router de Jazztel desde la IP Pública, pero creo que es debido al propio router de Jazztel que tiene esa configuración, dado que si me conecto directamente a este último tampoco tengo acceso desde la IP Pública (desde la IP Privada si, tanto en la red Mikrotik como conectado directamente al Router Jazztel).

2. Una cosa, no se si será un problema o no. Cuando estoy conectado al router Mikrotik SI tengo acceso con el rango 192.168.BBB.0 al router de Jazztel, ¿eso no hay problema no? Si he entendido bien en el post anterior, el problema seria al contrario (que un dispositivo conectado al Router de Jazztel tenga acceso al de Mikrotik). Es decir ¿el Mikrotik (o algún dispositivo de esta red) puede tener acceso al Router Jazztel?

UPDATE: SI tengo acceso al Router Jazztel desde la red Mikrotik pero si tengo un dispositivo conectado al de Jazztel (rango 192.168.BBB.0) NO tengo acceso a este dispositivo desde la red de Mikrotik.
Me resulta curioso que pueda acceder al Router de Jazztel desde Mikrotik, pero no tenga acceso a dispositivos conectados al Router Jazztel (tanto el router Jazztel como los dispositivos conectado a él tiene el mismo rango 192.168.BBB.0 pero solo tengo acceso desde mikrotik al Router Jazztel).

Pongo las configuraciones de ambos routers para ver si esta bien:
Jazztel:
IP: 192.168.BBB.2
Rango DHCP: 192.168.BBB.100 a 192.168.BBB.200
Asignación Estática Router Mikrotik: 192.168.BBB.1 (Mikrotik conectado a salida ETH1 del Router Jazztel)
DMZ: Activo en 192.168.BBB.1
UpnP: Activo
Wifi: Desactivado
Acceso Remoto: Desactivado
Teléfono: conectado a RJ45

Mikrotik:
Código:
# feb/26/2022 18:06:43 by RouterOS 7.1.1
# software id = XXXX-XXXX
#
# model = RouterBOARD 1100Dx4
# serial number = XXXXXXXXXXXX
/interface bridge
add name=bridge-lan
/interface wireguard
add listen-port=EEEEE mtu=1420 name=wireguard-rw
/disk
set sata1 disabled=no
set sata1-part1 disabled=no name=disk1
/interface list
add name=WAN
add name=LAN
/interface lte apn
set [ find default=yes ] ip-type=ipv4
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=pool-lan ranges=192.168.AAA.200-192.168.AAA.254
/ip dhcp-server
add address-pool=pool-lan interface=bridge-lan name=dhcp-lan
/port
set 0 name=serial0
set 1 name=serial1
/routing ospf instance
add name=default-v2
/routing ospf area
add disabled=yes instance=default-v2 name=backbone-v2
/interface bridge port
add bridge=bridge-lan interface=ether2
add bridge=bridge-lan interface=ether3
add bridge=bridge-lan interface=ether4
add bridge=bridge-lan interface=ether5
add bridge=bridge-lan interface=ether6
add bridge=bridge-lan interface=ether7
add bridge=bridge-lan interface=ether8
add bridge=bridge-lan interface=ether9
add bridge=bridge-lan interface=ether10
add bridge=bridge-lan interface=ether11
add bridge=bridge-lan interface=ether12
add bridge=bridge-lan interface=ether13
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192
/interface list member
add interface=ether1 list=WAN
add interface=bridge-lan list=LAN
/interface wireguard peers
add allowed-address=192.168.CCC.2/32 comment="USUARIO 1" interface=\
    wireguard-rw public-key="CLAVE-PÚBLICA-USUARIO-1"
add allowed-address=192.168.CCC.3/32 comment="USUARIO 2" interface=\
    wireguard-rw public-key="CLAVE-PÚBLICA-USUARIO-2"
add allowed-address=192.168.CCC.4/32 comment="USUARIO 3" interface=\
    wireguard-rw public-key="CLAVE-PÚBLICA-USUARIO-3"
/ip address
add address=192.168.AAA.1/24 interface=bridge-lan network=192.168.AAA.0
add address=192.168.CCC.1/24 interface=wireguard-rw network=192.168.CCC.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add interface=ether1 use-peer-dns=no
/ip dhcp-server lease
add address=192.168.AAA.4 client-id=xx:xx:xx:xx:xx:xx:xx comment=\
    "Swicth US-8-150W" mac-address=XX:XX:XX:XX:XX:XX server=dhcp-lan
add address=192.168.AAA.6 client-id=xx:xx:xx:xx:xx:xx:xx comment=\
    "AP UAP-AC PRO 2" mac-address=XX:XX:XX:XX:XX:XX server=dhcp-lan
add address=192.168.AAA.7 client-id=xx:xx:xx:xx:xx:xx:xx comment=\
    "ATA SIP Grandstream HT701" mac-address=XX:XX:XX:XX:XX:XX server=dhcp-lan
add address=192.168.AAA.5 client-id=xx:xx:xx:xx:xx:xx:xx comment=\
    "AP UAP-AC PRO 1" mac-address=XX:XX:XX:XX:XX:XX server=dhcp-lan
add address=192.168.AAA.8 client-id=xx:xx:xx:xx:xx:xx:xx comment=\
    "Gigaset C530 IP" mac-address=XX:XX:XX:XX:XX:XX server=dhcp-lan
add address=192.168.AAA.3 client-id=xx:xx:xx:xx:xx:xx:xx comment="Swicth US-24" \
    mac-address=XX:XX:XX:XX:XX:XX server=dhcp-lan
add address=192.168.AAA.2 client-id=xx:xx:xx:xx:xx:xx:xx comment=\
    "UniFi Cloud Key" mac-address=XX:XX:XX:XX:XX:XX server=dhcp-lan
/ip dhcp-server network
add address=192.168.AAA.0/24 domain=lan gateway=192.168.AAA.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,8.8.8.8
/ip dns static
add address=192.168.AAA.1 name=router.lan
add address=192.168.BBB.2 name=jazztel.lan
add address=192.168.AAA.2 name=cloud.lan
add address=192.168.AAA.3 name=switch1.lan
add address=192.168.AAA.4 name=switch2.lan
add address=192.168.AAA.5 name=ap1.lan
add address=192.168.AAA.6 name=ap2.lan
add address=192.168.AAA.7 name=ata.lan
add address=192.168.AAA.8 name=giga.lan
/ip firewall address-list
add address=xxxxxxxxxxxx.sn.mynetname.net list=public-ip
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="vpn: allow wireguard-rw" dst-port=EEEEE \
    protocol=udp
add action=accept chain=input comment="vpn: allow access router" src-address=\
    192.168.CCC.0/24
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=\
    192.168.AAA.0/24 src-address=192.168.AAA.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat comment="Home Assistant" dst-address-list=\
    public-ip dst-port=FFFFF protocol=tcp to-addresses=192.168.AAA.213 \
    to-ports=fffff
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.AAA.0/24,192.168.CCC.0/24
set ssh address=192.168.AAA.0/24,192.168.CCC.0/24
set api disabled=yes
set winbox address=192.168.AAA.0/24,192.168.CCC.0/24
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=XXXXXXXXXXXX
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
 
Última edición:
1.- Exacto. Cualquier router, por defecto, tiene capado el acceso al mismo desde la WAN. Algunos implementan por defecto lo que en mikrotik se conoce como “hairpin nat” (también llamado nat loopback), “permitiendo” (más bien simulando) que el acceso al equipo vía tu ip pública es posible. Pero, si lo pruebas desde fuera, verás que eso está capado por defecto en prácticamente cualquier chisme. Por seguridad básica: no aceptar ninguna conexión externa que no haya sido iniciada por un dispositivo interno.

2.- Claro, porque tu router es un cliente de esa subred. Y, si eres un cliente, por narices tienes acceso a esa subred, puesto que es tu gateway. Al revés no pasa, porque ya hemos visto que para eso está el firewall/nat por defecto de cualquier chisme. Es más, desde los clientes de la subred del mikrotik, podrías acceder a los clientes de subred del router de operadora, aunque no al revés, por la misma razón anterior.

3.- Relativo a la config de los routers: queda un poco raro que el router de la operadora sea el .2 de su segmento, cuando normalmente suele ser el .1 Supongo que el cambio lo hiciste para que las .1 estén siempre en el mikrotik, pero no es necesario. Yo, para tu setup en particular, devolvería el router de operadora a la .1, configuraría estática la .2 en el mikrotik, junto con su ruta por defecto al gateway 192.168.BBB.1, y abriría la DMZ en el router de operadora a la IP estática que has configurado en el mikrotik, la 192.168.BBB.2 (o punto lo que sea entre la 2 y la 99, fuera del dhcp del router de operador).

Saludos!
 
1.- Exacto. Cualquier router, por defecto, tiene capado el acceso al mismo desde la WAN. Algunos implementan por defecto lo que en mikrotik se conoce como “hairpin nat” (también llamado nat loopback), “permitiendo” (más bien simulando) que el acceso al equipo vía tu ip pública es posible. Pero, si lo pruebas desde fuera, verás que eso está capado por defecto en prácticamente cualquier chisme. Por seguridad básica: no aceptar ninguna conexión externa que no haya sido iniciada por un dispositivo interno.

2.- Claro, porque tu router es un cliente de esa subred. Y, si eres un cliente, por narices tienes acceso a esa subred, puesto que es tu gateway. Al revés no pasa, porque ya hemos visto que para eso está el firewall/nat por defecto de cualquier chisme. Es más, desde los clientes de la subred del mikrotik, podrías acceder a los clientes de subred del router de operadora, aunque no al revés, por la misma razón anterior.

3.- Relativo a la config de los routers: queda un poco raro que el router de la operadora sea el .2 de su segmento, cuando normalmente suele ser el .1 Supongo que el cambio lo hiciste para que las .1 estén siempre en el mikrotik, pero no es necesario. Yo, para tu setup en particular, devolvería el router de operadora a la .1, configuraría estática la .2 en el mikrotik, junto con su ruta por defecto al gateway 192.168.BBB.1, y abriría la DMZ en el router de operadora a la IP estática que has configurado en el mikrotik, la 192.168.BBB.2 (o punto lo que sea entre la 2 y la 99, fuera del dhcp del router de operador).

Saludos!
1. Creo entonces que mi router de Jazztel no tiene implementado el "hairpin" porque si me conecto al Router de Jazztel directamente no tengo acceso desde la IP Pública solo por la Privada por tanto no lo tiene implementado.

2. Es raro porque tengo dos situaciones:

a. Desde Cualquier Dispositivo conectado al Router de Jazztel tengo acceso al propio Router de Jazztel y al resto de dispositivos conectados a éste útlimo pero no tengo acceso a nada de la subred del Mikrotik (ni al Router Mikrotik ni a los dispositivos conectados a éste). Por aqui todo OK porque es lo que me has aconsejado que haga.

b. Desde Cualquier Dispositivo conectado al Router de Mikrotik tengo acceso al Router de Jazztel pero NO a los dispositivos que están conectado al Router de Jazztel y creo que SI deberia tener acceso a éstos (desde Jazztel a Mikrotik no pero al contrario si debería de tener acceso).
UPDATE b: Era mi PC que no tenia el Uso Compartido en Windows activado. Ahora desde un dispositivo conectado a Mikrotik tengo acceso a un dispositivo conectado a Jazztel (pero no al contrario).
Yo creo que con eso esta todo correcto ¿no?

3. Prefiero tener todo en el .1, es simplemente por temas de configuración (que ya lo tenia todo ahí y me es más fácil mantenterlo). ¿No hay problema como lo tengo hecho no? Quiero decir que, aparte de lo estético, ¿no es problema no?

4. UPDATE 2: Lo que si me he dado cuenta que desde cualquier PC conectado al Router Jazztel si puedo hacer ping al la dirección IP 192.168.BBB.1 del Router Mikrotik (rango BBB es la del router de Jazztel), pero esto creo que es correcto ¿no?
 
Última edición:
1. Creo entonces que mi router de Jazztel no tiene implementado el "hairpin" porque si me conecto al Router de Jazztel directamente no tengo acceso desde la IP Pública solo por la Privada por tanto no lo tiene implementado.

2. Es raro porque tengo dos situaciones:

a. Desde Cualquier Dispositivo conectado al Router de Jazztel tengo acceso al propio Router de Jazztel y al resto de dispositivos conectados a éste útlimo pero no tengo acceso a nada de la subred del Mikrotik (ni al Router Mikrotik ni a los dispositivos conectados a éste). Por aqui todo OK porque es lo que me has aconsejado que haga.

b. Desde Cualquier Dispositivo conectado al Router de Mikrotik tengo acceso al Router de Jazztel pero NO a los dispositivos que están conectado al Router de Jazztel y creo que SI deberia tener acceso a éstos (desde Jazztel a Mikrotik no pero al contrario si debería de tener acceso).
UPDATE b: Era mi PC que no tenia el Uso Compartido en Windows activado. Ahora desde un dispositivo conectado a Mikrotik tengo acceso a un dispositivo conectado a Jazztel (pero no al contrario).
Yo creo que con eso esta todo correcto ¿no?

3. Prefiero tener todo en el .1, es simplemente por temas de configuración (que ya lo tenia todo ahí y me es más fácil mantenterlo). ¿No hay problema como lo tengo hecho no? Quiero decir que, aparte de lo estético, ¿no es problema no?

4. UPDATE 2: Lo que si me he dado cuenta que desde cualquier PC conectado al Router Jazztel si puedo hacer ping al la dirección IP 192.168.BBB.1 del Router Mikrotik (rango BBB es la del router de Jazztel), pero esto creo que es correcto ¿no?
No no, claro que no hay problema, déjalo como lo tienes que problema no hay ningino.

Y, si quieres rizar el rizo, te propongo un cambio: las reglas de masquerade son un sub grupo de las reglas de src-nat. Cuando tienes ip dinámica, no te queda más remedio que usar una regla de masquerade. Pero si configuras esa ip como estática (la de tu WAN) puedes cambiar la segunda regla que masquerade que tienes en tu configuración (la general que normalmente viene la primera), para convertirla en una regla de src-nat mucho más eficiente. Simplemente cambiarias el tipo de acción por ‘src-nat’ y la IP a la que harías el source nat, sería tu IP “pública”, en este caso tu 192.168.BBB.1

Saludos!
 
No no, claro que no hay problema, déjalo como lo tienes que problema no hay ningino.

Y, si quieres rizar el rizo, te propongo un cambio: las reglas de masquerade son un sub grupo de las reglas de src-nat. Cuando tienes ip dinámica, no te queda más remedio que usar una regla de masquerade. Pero si configuras esa ip como estática (la de tu WAN) puedes cambiar la segunda regla que masquerade que tienes en tu configuración (la general que normalmente viene la primera), para convertirla en una regla de src-nat mucho más eficiente. Simplemente cambiarias el tipo de acción por ‘src-nat’ y la IP a la que harías el source nat, sería tu IP “pública”, en este caso tu 192.168.BBB.1

Saludos!
Vale lo intento.

Una última cosita, desde un dispositivo conectado al Router de Jazztel puedo hacer ping al Router de Mikrotik (usando la IP del rango BBB, 192.168.BBB.1), pero mientras que no pueda acceder a su interfaz de configuración no pasa nada no?
 
Vale lo intento.

Una última cosita, desde un dispositivo conectado al Router de Jazztel puedo hacer ping al Router de Mikrotik (usando la IP del rango BBB, 192.168.BBB.1), pero mientras que no pueda acceder a su interfaz de configuración no pasa nada no?
Eso es. Lo ves porque es un cliente más, pero su firewall impide que llegues más adentro.

Saludos!
 
Eso es. Lo ves porque es un cliente más, pero su firewall impide que llegues más adentro.

Saludos!
Corrijo @pokoyo , si puedo hacer ping y me sale la interfaz web, pero si intento acceder a ella no me deja (eso es por el firewall sino me equivoco), pero salir la interfaz me sale (la página de inicio para acceder al router Mikrotik). Pero mientras que no tenga acceso a los dispositivos de la subred de Mikrotik (que es lo importante), por tanto, no hay problema ¿no?

Por otra parte, lo que me has comentado de la regla masquerade me resulta algo dificil de entender. ¿Si lo dejo como esta hay problemas? No es porque dude, sino que me gusta poner las cosas entendiendolas y esa modifciación estoy bastante perdido. Si tal como está no afecta, prefiero dejarlo así que lo entiendo mejor. Si ves que la otra hay ventajas en seguridad o algo comentamelo y lo cambio.
 
Supongo que la página del router te sale porque la tienes cacheada. Pero en verdad, desde la subred del router de operadora, NO llegas a tener acceso al Mikrotik, ni a su página de admin, ni a nada de lo que hay debajo.

Si no entiendes el cambio que te propongo, no lo toques, que como lo tienes funciona y lo hace correctamente. No es lo más eficiente, pero funciona.
Y, si quieres saber más del cambio que te propongo, lo tienes explicado aquí: https://help.mikrotik.com/docs/display/ROS/NAT

Saludos!
 
Supongo que la página del router te sale porque la tienes cacheada. Pero en verdad, desde la subred del router de operadora, NO llegas a tener acceso al Mikrotik, ni a su página de admin, ni a nada de lo que hay debajo.
1. Correcto, era eso. Lo único que puedo hacer es Ping (que eso supongo que si se puede no?), lo demás lo tengo capado.

Si no entiendes el cambio que te propongo, no lo toques, que como lo tienes funciona y lo hace correctamente. No es lo más eficiente, pero funciona.
Y, si quieres saber más del cambio que te propongo, lo tienes explicado aquí: https://help.mikrotik.com/docs/display/ROS/NAT

Saludos!
2. Muchas gracias, voy a echarle un vistazo y cuando lo entienda hago el cambio. Aún así, en cuanto a seguridad ¿no tengo brecha tal como lo tengo no?

3. Finalmente, una cosa como curiosidad. Si en la opción de IP Services del Mikrotik pusiera el rango 192.168.BBB.0 para acceder a la interfaz de admin y demás, aunque lo hiciera, no podría acceder porque el Firewall me lo esta protegiendo ¿no?

Una cosa @pokoyo ¿tienes alguna página para hacer donaciones o algo? La ayuda que me has dado es incalculable y me gustaría colaborar un poco aunque sea para unas cervezas/cafes.

Un saludo.
 
1.- Correcto. Tienes una regla de firewall que expresamente permite el ping. Esa regla es importante para el cálculo automático del MTU, así que mejor dejarla. Está en el chain de input, y dice algo así como “accept ICMP”

2.- A nivel de seguridad no cambia nada, tengas una cosa o la otra. Pero el src-nat es más eficiente que el masquerade. Aunque, teniendo el cacharro que tienes por router, no es algo que vayas a notar.

3.- Esa opción vale para restringir aún más el acceso a los distintos servicios del router. Imagínate que manejases 3 subredes distintas a nivel “LAN”, pero que sólo quisieras que una de esas tres tuviera acceso a winbox. O, por ejemplo, que quieras restringir que, dentro de tu LAN, sólo un equipo concreto llegue al servicio de webfig (www). Para eso vale el IP -> Services. Pero, por defecto, la regla de firewall lo que dice es “todo lo que no pertenezca a la lista LAN y quiera acceder a los servicios del router, lo descartas” (la regla famosa de “defconf: drop all not coming from LAN” que ves como última regla del chain de input.

4.- No es necesario, ya he dicho muchas veces que esto lo hago por gusto, no por obligación o por dinero. No obstante, y como habéis sido muchos los que me habéis dicho lo mismo, en mi firma tienes un enlace al “buy me a coffee”, por si quieres que me tome una cerveza a tu salud. Yo encantado.

Saludos!
 
Arriba