Configuración Mikrotik con Vodafone IPTV

Hola a todos,

Me he hecho con un Mikrotik y lo he logrado configurar para Vodafone con IPTV (no NEBA). Lo tengo funcionando pero tengo algunas dudillas que me han surgido.
Voy a ir enumerando las dudas o cuestiones de las que no estoy del todo seguro de ser correctas. Quería aprovechar este hilo para eso y luego podría intentar resumir lo que sea exclusivo de vodafone y ponerlo en el hilo de configuraciones ya que las configuraciones de Vodafone son quizás un poquito especiales.

La verdad es que aunque me haya costado un poquito de momento estoy encantado con las opciones que admite. Me está gustando más que el EdgeRouter.

Sin embargo si que he notado en test de velocidad que no llega quizás a 600mbps, se queda cerca pero no llega. No se si quizás me habré dejado alguna opción de aceleración de HW o similar

El Firewall me ha costado un poco configurarlo bien porque en muchos sitios dejan a veces las reglas un poco abiertas y yo las he querido cerrar más por interfaces y me ha costado poner más reglas. He añadido temas de seguridad adicionales que encontré buscando con la posibilidad de poner en lista negra IPs que escaneen puertos. ¿Cómo lo veis?

Código:
/ip firewall filter
add action=accept chain=input comment="IN - Accept Winbox" dst-port=6529,6222 \
    in-interface-list=LAN protocol=tcp src-address-list=LAN
add action=add-src-to-address-list address-list=Blacklist address-list-timeout=\
    10h chain=input comment="IN - Add Src to Blacklist" connection-state=new \
    dst-port=20-25,80,110,161,443,445,3128,3306,3333,3389,7547,8291,8080-8082 \
    in-interface-list=WAN log=yes log-prefix="ADD BLACKLIST" protocol=tcp
add action=accept chain=input comment="IN - Accept Established and related" \
    connection-state=established,related
add action=drop chain=input comment="IN - Drop Invalid" connection-state=\
    invalid
add action=accept chain=input comment="IN WAN IPTV - Allow IPTV Multicast UDP" \
    in-interface-list=WAN-IPTV protocol=udp
add action=accept chain=input comment="IN WAN IPTV - Accept IGMP" \
    in-interface-list=WAN-IPTV protocol=igmp
add action=accept chain=input comment="IN LAN - Accept 53 UDP (DNS)" dst-port=\
    53 protocol=udp src-address-list=LAN
add action=accept chain=input comment="IN LAN - Accept 443 (DNS)" dst-port=443 \
    protocol=tcp src-address-list=LAN
add action=accept chain=input comment="IN LAN IPTV - Allow IGMP" protocol=igmp \
    src-address-list=LAN-IPTV
add action=accept chain=input comment="IN LAN IPTV - Allow UDP" protocol=udp \
    src-address-list=LAN-IPTV
add action=accept chain=forward comment="FW - Accept Established and related" \
    connection-state=established,related
add action=drop chain=forward comment="FW - Drop Invalid" connection-state=\
    invalid
add action=accept chain=forward comment="FW WAN - OpenVPN" dst-port=4194 \
    in-interface-list=WAN log=yes log-prefix="FW OpenVPN" protocol=udp
add action=accept chain=forward comment="FW WAN - SFTP" dst-port=2222 \
    in-interface-list=WAN protocol=tcp src-address=XX.XX.XX.XX
add action=accept chain=forward comment="FW - Accept From LAN" \
    in-interface-list=LAN src-address-list=LAN
add action=accept chain=forward comment="FW - Accept From LAN IPTV" \
    in-interface-list=LAN-IPTV src-address-list=LAN-IPTV
add action=accept chain=forward comment=\
    "FW WAN IPTV - Allow IPTV Multicast UDP" in-interface-list=WAN-IPTV \
    protocol=udp
add action=drop chain=forward comment="FW - Drop all" log=yes log-prefix=\
    "FW - FW DROP"
add action=drop chain=input comment="IN - Drop all" log=yes log-prefix=\
    "FW - IN DROP"

/ip firewall raw
add action=drop chain=prerouting comment="Drop Address From Blacklist" log=yes \
    log-prefix="FW - BLACKLIST DROP" src-address-list=Blacklist
add action=add-dst-to-address-list address-list=Blacklist address-list-timeout=\
    10m chain=output comment=\
    "add a device performing unsuccessful authorization to BlackList" content=\
    "invalid user name or password" log=yes log-prefix=BRUTEFORCE

Otro tema es que no me ha quedado muy claro cual es la función de Mangle. En teoría entiendo que es para dar prioridad a los paquetes de la IPTV
Código:
/ip firewall mangle
add action=set-priority chain=postrouting new-priority=4 out-interface-list=\
    WAN-IPTV passthrough=yes
add action=set-priority chain=postrouting new-priority=1 out-interface-list=WAN \
    passthrough=no

Con respecto al NAT he configurado dos porque he dejado la IPTV en una red a parte. Creo que hay posibilidad de dejar una regla en el firewall para aceptar todo lo que tenga puerto configurado en NAT pero he sido más específico y he añadido a mano las reglas en el firewall.
Código:
/ip firewall nat
add action=masquerade chain=srcnat comment=NAT-WAN-IPTV out-interface=\
    eth8-vlan105
add action=masquerade chain=srcnat comment=NAT:WAN out-interface=pppoe0-wan
add action=dst-nat chain=dstnat comment="SFTP" dst-port=\
    2222 in-interface-list=WAN protocol=tcp src-address=XX.XX.XX.XX \
    to-addresses=192.168.0.XX to-ports=2222
add action=dst-nat chain=dstnat comment=VPN dst-port=4194 \
    in-interface-list=WAN protocol=udp to-addresses=192.168.0.XX to-ports=4194

Otro tema es el tema de las rutas estáticas. En algunas configuraciones que he visto ajustan pref-source. No se cual es la finalidad de ello porque en los que he visto ponían como pref-source la dirección .1 de cada destino

Código:
/ip route
add disabled=no distance=1 dst-address=10.8.57.0/24 gateway=10.XX.XX.1 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=no distance=1 dst-address=10.8.58.0/24 gateway=10.XX.XX.1 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=no distance=1 dst-address=10.8.59.0/24 gateway=10.XX.XX.1 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=no distance=1 dst-address=10.15.220.0/24 gateway=10.XX.XX.1 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=no distance=1 dst-address=10.179.32.0/23 gateway=10.XX.XX.1 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10

Respecto al IGMP Proxy e IGMP Snooping lo he configurado así. Entiendo que es correcto pero por verificar el tema por ejemplo de alternative-subnets que he visto que a veces se pone en upstream y en downstream (yo lo tenía así en un edgerouter) y también he habilitado el fast-leave en el switch.

Código:
/routing igmp-proxy
set quick-leave=yes

/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=eth8-vlan105 upstream=yes
add interface=ether7-deco

/interface bridge
add igmp-snooping=yes igmp-version=3 name=switch0-lan

/interface bridge port
add bridge=switch0-lan fast-leave=yes interface=ether1
add bridge=switch0-lan fast-leave=yes interface=ether2
add bridge=switch0-lan fast-leave=yes interface=ether3
add bridge=switch0-lan fast-leave=yes interface=ether4
 
Última edición:
Te diría que arranques con una configuración por defecto, estudies las reglas del firewall, y luego, si no las consideras oportunas, las cambies.

Tu problema de velocidad, a todas luces, está relacionado una de dos, on con el hardware offloading, o con el fasttrack. Desconozco el resto de cuestiones concretas de la conexión de Vodafone, pero lo que sí te aconsejaría es que partas de una config conocida y, sobre esa, metas lo específico de tu operador.

Saludos!
 
Te diría que arranques con una configuración por defecto, estudies las reglas del firewall, y luego, si no las consideras oportunas, las cambies.
La configuración por defecto la borré porque quería hacerlo yo desde cero. Nunca había trabajado con Mikrotik pero los conceptos si los conozco y tengo conocimientos.

Miraré lo del Hw offloading.

La mala noticia es que he probado hoy a ver grabaciones de la TV de vodafone y me ha pasado lo mismo. Se ha caído la conexión pppoe, similar a como pasaba en el EdgeRouter, no acabo de entender cual podría ser el causante.
 
La configuración por defecto la borré porque quería hacerlo yo desde cero. Nunca había trabajado con Mikrotik pero los conceptos si los conozco y tengo conocimientos.

Miraré lo del Hw offloading.

La mala noticia es que he probado hoy a ver grabaciones de la TV de vodafone y me ha pasado lo mismo. Se ha caído la conexión pppoe, similar a como pasaba en el EdgeRouter, no acabo de entender cual podría ser el causante.
Pues está claro que cosa del router no es, así que yo miraría el chisme que tienes delante (ONT) y/o revisaría el cableado, incluido el latiguillo de fibra.

Relativo a los equipos que estás usando, ¿usan todos sus adaptadores de corriente originales? Lo digo porque suele ser una fuente de problemas cuando no dan el voltaje adecuado de salida.

También reconsideraría mirar la config por defecto del router, en lo relativo al firewall. Es muy decente, y aprenderás cómo funciona el fasttrack.

Saludos!
 
@pokoyo
No creo que sea un tema físico.
No se que operador tendrás. En vodafone es muy similar a Movistar. En el decodificador puedes ver la tele normal y corriente o también acceder al catálogo que tienen de series y películas o a programas que hayas grabado. Es en esto último cuando llevas un rato viéndolo la conexión pppoe cae abajo (y no las VLAN) porque puedes seguir viendo la tele sin problemas ya que la VLAN de la TV sigue levantada.

La ONT es la Nokia que da Vodafone y todos los adaptadores de corriente originales de los equipos.

El fasttrack tiene que ver con el firewall o es otro tema de HW offloading?
Me podrías indicar si está publicada la configuración por defecto o si la puedo ver sin romper la mía ya que ahora ya la tengo funcionando?

Muchas gracias. Un saludo,
 
La conexión PPPoE no es nada normal que se caiga. Pásame un export de cómo la tienes configurada, por si tuvieras algo mal, si quieres que lo revise. Por eso te digo si pudiera ser un problema físico, porque es rarísimo que se te caiga un PPPoE con dos routers distintos y de la misma manera.

Lo del hardware offloading es cómo trabaja el bridge principal, si es capaz de "quitar" (offload) el tráfico local y no pasarlo por la CPU, moviéndolo a velocidad cable entre los distintos puertos ethernet que conforman el router (excluyendo el WAN).

El fasttrack es una regla de firewall, del chain de forward, que agiliza enormemente la conectividad, puesto que sólo procesa los paquetes en ese chain cuando la conexión es nueva, para conexiones ya establecidas o relacionadas, aplica esa regla que ignora el resto de procesamiento de dicho chain.

Las reglas por defecto las monta un script de auto-configuración, y las puedes pintar ejecutando el siguiente comando:
Código:
system default-configuration print

Básicamente, son estas
Código:
/ip firewall filter
add chain=input action=accept connection-state=established,related,untracked comment="defconf: accept established,related,untracked"
add chain=input action=drop connection-state=invalid comment="defconf: drop invalid"
add chain=input action=accept protocol=icmp comment="defconf: accept ICMP"
add chain=input action=accept dst-address=127.0.0.1 comment="defconf: accept to local loopback (for CAPsMAN)"
add chain=input action=drop in-interface-list=!LAN comment="defconf: drop all not coming from LAN"
add chain=forward action=accept ipsec-policy=in,ipsec comment="defconf: accept in ipsec policy"
add chain=forward action=accept ipsec-policy=out,ipsec comment="defconf: accept out ipsec policy"
add chain=forward action=fasttrack-connection connection-state=established,related comment="defconf: fasttrack"
add chain=forward action=accept connection-state=established,related,untracked comment="defconf: accept established,related, untracked"
add chain=forward action=drop connection-state=invalid comment="defconf: drop invalid"
add chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN comment="defconf: drop all from WAN not DSTNATed"

Saludos!
 
Lo del hardware offloading es cómo trabaja el bridge principal, si es capaz de "quitar" (offload) el tráfico local y no pasarlo por la CPU, moviéndolo a velocidad cable entre los distintos puertos ethernet que conforman el router (excluyendo el WAN).

Este tema lo tengo habilitado en la configuración del Bridge que he montado con 4 puertos. Aunque en teoría esto no me debería de suponer un gran problema porque tengo un Switch Netgear detrás del router por lo que la mayoría de la carga se la debería de comer el switch. Al router solo he conectado el punto de acceso y el switch. Incluso podría conectar el AP al switch también.

El fasttrack es una regla de firewall, del chain de forward, que agiliza enormemente la conectividad, puesto que sólo procesa los paquetes en ese chain cuando la conexión es nueva, para conexiones ya establecidas o relacionadas, aplica esa regla que ignora el resto de procesamiento de dicho chain.
Voy a revisar esa regla que la he visto, esa no la conocía.

Básicamente, son estas
Voy a revisarme todas ellas. Son similares a las que he puesto yo, con la diferencia de que yo he segmentado más por interfaces por el tema de la IPTV y me ha quedado algo más larga claro.
No entiendo porque habilita el ICMP en el chain de input. En teoría permitir el ping suele ser algo desaconsejado.
La última regla entiendo que lo que hace es permitir el tráfico que se haya habilitado en el NAT para que no tengas que abrir uno por uno cada vez que añades una regla de NAT.

Muchas gracias!
 
No entiendo porque habilita el ICMP en el chain de input. En teoría permitir el ping suele ser algo desaconsejado.
Porque con ella se calcula automáticamente el MTU efectivo de una transmisión de datos. Esa regla es más importante de lo que parece.


La última regla entiendo que lo que hace es permitir el tráfico que se haya habilitado en el NAT para que no tengas que abrir uno por uno cada vez que añades una regla de NAT.
Esa regla impide el paso en forward desde el exterior, a menos que abras un puerto en el NAT, explícitamente.

Saludos!
 
Porque con ella se calcula automáticamente el MTU efectivo de una transmisión de datos. Esa regla es más importante de lo que parece.
Eso si que no lo sabía. Porque muchas veces los router se restringe este protocolo para evitar ping y ataques o dar pistas.

Esa regla impide el paso en forward desde el exterior, a menos que abras un puerto en el NAT, explícitamente.
Si, esta si que lo había entendido, es por no repetir las configuraciones que haces en NAT lo hace en el Firewall con una sola regla y la negación.

Te pasé por privado el export de la interfaz pppoe a ver si ves algo raro.
Muchas gracias!
 
Hola a todos,

Tengo conectado al router Mikrotic un Switch Netgear en una de las bocas asignadas al Bridge. La interfaz del Switch al cabo de unos días parece que cae. Si lo cambio de interfaz vuelve a caer al cabo de unos días y las interfaces no vuelven a funcionar hasta el reinicio del switch.
¿A qué podría ser debido esto?

Muchas gracias
 
Hola a todos,

Tengo conectado al router Mikrotic un Switch Netgear en una de las bocas asignadas al Bridge. La interfaz del Switch al cabo de unos días parece que cae. Si lo cambio de interfaz vuelve a caer al cabo de unos días y las interfaces no vuelven a funcionar hasta el reinicio del switch.
¿A qué podría ser debido esto?

Muchas gracias
Ni idea. Se ge cae físicamente (sin corriente) o lo que le pasa es que deja de dar IPs el dhcp? Si es la primera opción, miraría que la alimentación de ambos equipos fuera la de sus trasformadores originales. Si es lo segundo, mira el tiempo de lease que le tienes puesto al dhcp. También miraría que no tengas ningún bucle en la red (esto último es más complicado que te pase en un ambiente doméstico)

Dale un export, a ver si al leerlo suena alguna otra campana. Pero, así dicho, puede ser cualquier cosa… y ninguna, al mismo tiempo.

Saludos!
 
Son todo cargadores originales. La interfaz cae físicamente porque se apagan las luces.
Es un Switch gestionable Netgear GS724T.
Que sea un bucle lo veo complicado porque solo tengo un cable conectado al switch con el router, no se si será un tema de IGMP Snooping al tener la TV o algo así pero relmente no tengo configuraciones muy complejas o enrevesadas. Todas las configuraciones de spanning tree del bridge las he dejado por defecto. Entiendo que eso no debería de ser un problema.

Te dejo el export completo

Código:
/interface bridge
add igmp-snooping=yes name=switch0-lan
/interface ethernet
set [ find default-name=ether7 ] name=ether7-deco
set [ find default-name=ether8 ] name=ether8-wan
/interface vlan
add interface=ether8-wan name=eth8-vlan100 vlan-id=100
add comment=WAN-IPTV interface=ether8-wan name=eth8-vlan105 vlan-id=105
/interface list
add name=LAN-IPTV
add name=WAN-IPTV
add name=WAN
add name=LAN
add include=WAN,WAN-IPTV name=EXT-ALL
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp-lan-pool ranges=192.168.0.100-192.168.0.200
add name=dhcp-iptv-pool ranges=192.168.10.10-192.168.10.15
/ip dhcp-server
add address-pool=dhcp-lan-pool interface=switch0-lan lease-time=1d name=\
    dhcp-lan
add address-pool=dhcp-iptv-pool interface=ether7-deco lease-time=1d name=\
    dhcp-iptv
/interface pppoe-client
add add-default-route=yes comment=WAN disabled=no interface=eth8-vlan100 \
    max-mru=1492 max-mtu=1492 name=pppoe0-wan profile=default-encryption \
    user=XXXXXXXX@XXXXXXXXX
/system logging action
add disk-file-name=pppoe-log.log disk-lines-per-file=10000 name=pppoeLogs \
    target=disk
/interface bridge port
add bridge=switch0-lan fast-leave=yes interface=ether1
add bridge=switch0-lan fast-leave=yes interface=ether2
add bridge=switch0-lan fast-leave=yes interface=ether3
add bridge=switch0-lan fast-leave=yes interface=ether4
/interface list member
add interface=ether7-deco list=LAN-IPTV
add interface=eth8-vlan105 list=WAN-IPTV
add interface=switch0-lan list=LAN
add interface=eth8-vlan100 list=WAN
add interface=pppoe0-wan list=WAN
add interface=ether8-wan list=WAN
/ip address
add address=192.168.0.1/24 interface=switch0-lan network=192.168.0.0
add address=192.168.10.1/24 interface=ether7-deco network=192.168.10.0
/ip dhcp-client
add add-default-route=no interface=eth8-vlan105
/ip dhcp-server network
add address=192.168.0.0/24 dns-server=192.168.0.20 gateway=192.168.0.1 \
    netmask=24
add address=192.168.10.0/24 domain=Tivo gateway=192.168.10.1 netmask=24
/ip dns
set allow-remote-requests=yes use-doh-server=https://1.1.1.1/dns-query \
    verify-doh-cert=yes
/ip dns static
add address=104.16.248.249 name=cloudflare-dns.com
add address=104.16.249.249 name=cloudflare-dns.com
/ip firewall address-list
add address=192.168.0.0/24 list=LAN
add address=192.168.10.0/24 list=LAN-IPTV
/ip firewall filter
add action=accept chain=input comment="IN - Accept Winbox" dst-port=\
    65291,62222 in-interface-list=LAN protocol=tcp src-address-list=LAN
add action=add-src-to-address-list address-list=Blacklist \
    address-list-timeout=10h chain=input comment="IN - Add Src to Blacklist" \
    connection-state=new dst-port=\
    20-25,80,110,161,443,445,3128,3306,3333,3389,7547,8291,8080-8082 \
    in-interface-list=WAN log=yes log-prefix="FWALL- ADD BLACKLIST" protocol=\
    tcp
add action=accept chain=input comment="IN - Accept Established and related" \
    connection-state=established,related
add action=drop chain=input comment="IN - Drop Invalid" connection-state=\
    invalid
add action=accept chain=input comment="IN - Accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "IN WAN IPTV - Allow IPTV Multicast UDP" in-interface-list=WAN-IPTV \
    protocol=udp
add action=accept chain=input comment="IN WAN IPTV - Accept IGMP" \
    in-interface-list=WAN-IPTV protocol=igmp
add action=accept chain=input comment="IN LAN - Accept 53 UDP (DNS)" \
    dst-port=53 protocol=udp src-address-list=LAN
add action=accept chain=input comment="IN LAN - Accept 443 (DNS)" dst-port=\
    443 protocol=tcp src-address-list=LAN
add action=accept chain=input comment="IN LAN IPTV - Allow IGMP" protocol=\
    igmp src-address-list=LAN-IPTV
add action=accept chain=input comment="IN LAN IPTV - Allow UDP" protocol=udp \
    src-address-list=LAN-IPTV
add action=drop chain=input comment="IN - Drop all not comming from WAN" log=\
    yes log-prefix="FWALL - IN DROP" src-address-list=!LAN
add action=fasttrack-connection chain=forward comment="FW - FastTrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="FW - Accept Established and related" \
    connection-state=established,related
add action=drop chain=forward comment="FW - Drop Invalid" connection-state=\
    invalid
add action=accept chain=forward comment="FW WAN - Service" \
    dst-port=XXXXX in-interface-list=WAN protocol=tcp src-address=\
    XX.XX.XX.XX
add action=accept chain=forward comment="FW - Accept From LAN" \
    in-interface-list=LAN src-address-list=LAN
add action=accept chain=forward comment="FW - Accept From LAN IPTV" \
    in-interface-list=LAN-IPTV src-address-list=LAN-IPTV
add action=accept chain=forward comment=\
    "FW WAN IPTV - Allow IPTV Multicast UDP" in-interface-list=WAN-IPTV \
    protocol=udp
add action=accept chain=forward comment="FW - Accept DstNated" \
    connection-nat-state=dstnat connection-state=new in-interface-list=WAN
add action=drop chain=forward comment="FW - Drop all" log=yes log-prefix=\
    "FWALL - FW DROP"
/ip firewall mangle
add action=set-priority chain=postrouting new-priority=4 out-interface-list=\
    WAN-IPTV passthrough=yes
add action=set-priority chain=postrouting new-priority=1 out-interface-list=\
    WAN passthrough=no
/ip firewall nat
add action=masquerade chain=srcnat comment="NAT - WAN-IPTV" \
    out-interface-list=WAN-IPTV
add action=masquerade chain=srcnat comment="NAT - WAN" out-interface-list=WAN
add action=dst-nat chain=dstnat comment="Service" \
    dst-port=XXXX in-interface-list=WAN protocol=tcp src-address=\
    XX.XX.XX.XX to-addresses=192.168.0.20 to-ports=XXXXX
add action=dst-nat chain=dstnat comment=Service dst-port=XXXXX \
    in-interface-list=WAN protocol=udp to-addresses=192.168.0.XX to-ports=\
    XXXXXX
/ip firewall raw
add action=drop chain=prerouting comment="Drop Address From Blacklist" log=\
    yes log-prefix="FWALL - BLACKLIST DROP" src-address-list=Blacklist
add action=add-dst-to-address-list address-list=Blacklist \
    address-list-timeout=10m chain=output comment=\
    "add a device performing unsuccessful authorization to BlackList" \
    content="invalid user name or password" log=yes log-prefix=BRUTEFORCE
/ip route
add disabled=no distance=1 dst-address=10.8.57.0/24 gateway=10.214.80.1 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=no distance=1 dst-address=10.8.58.0/24 gateway=10.214.80.1 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=no distance=1 dst-address=10.8.59.0/24 gateway=10.214.80.1 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=no distance=1 dst-address=10.15.220.0/24 gateway=10.214.80.1 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=no distance=1 dst-address=10.179.32.0/23 gateway=10.214.80.1 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh address=192.168.0.0/24 port=62222
set api disabled=yes
set winbox address=192.168.0.0/24 port=65291
set api-ssl disabled=yes
/routing igmp-proxy
set quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=eth8-vlan105 upstream=yes
add interface=ether7-deco
/system clock
set time-zone-name=Europe/Madrid
/system logging
add action=pppoeLogs disabled=yes prefix=PPPOE topics=pppoe
/system ntp client
set enabled=yes
/system ntp client servers
add address=0.es.pool.ntp.org
add address=1.es.pool.ntp.org
add address=2.es.pool.ntp.org
add address=3.es.pool.ntp.org
/system routerboard settings
set cpu-frequency=auto
 
Cae el puerto del switch, no el del router, ¿verdad? Mira dos cosas:
  • Las opciones de energía del switch, que no tenga activo el ahorro de energía en los puertos no activos
  • Que el switch tenga IGMP-snooping también activo.

A nivel de router, aparte de que tienes un firewall que te has cocinado tú, lo único que me chirría un poco es el lease time de 1d del DHCP. Yo lo dejaría como viene por defecto, que tiene un lease time de 10 minutos.

Saludos!
 
@pokoyo
Correcto, el que cae es el puerto de switch.
El ahorro de energía creo que no está puesto.
El IGMP Snooping no lo tengo puesto. Es más estaba pensando que no debería de tenerlo activo ni siquiera en el bridge del router al tener activo el IGMP-Proxy, el tráfico IGMP debería de ir de un puerto a otro del router, no tendría porque interferir en el bridge, ¿correcto?

En el DHCP puse 1d porque para un DHCP me parece poco, se suele poner más alto para que equipos que se desconectan y vuelven a conectar mantengan la misma IP no?

En cuanto al firewall creo que más o menos es el de por defecto exceptuando la IPTV, es verdad que en vez de ahorrar reglas he querido ser algo más específico.

Muchas gracias!
 
El IGMP Snooping no lo tengo puesto. Es más estaba pensando que no debería de tenerlo activo ni siquiera en el bridge del router al tener activo el IGMP-Proxy, el tráfico IGMP debería de ir de un puerto a otro del router, no tendría porque interferir en el bridge, ¿correcto?
En tu caso específico, que parece que tengas un puerto ethernet dedicado al desco y dicho puerto fuera del bridge: sí, te sobra el IGMP-Snooping en el bridge. Si usases el multicast dentro del bridge, necesitarías ambas funcionando. Quítalo del bridge, ahora mismo lo único que está haciendo es joderte el hardware offloading del mismo.

En el DHCP puse 1d porque para un DHCP me parece poco, se suele poner más alto para que equipos que se desconectan y vuelven a conectar mantengan la misma IP no?
Se suele poner más alto en equipos de poco pelo, con un servidor DHCP de mierda. Un lease time alto, en caso de que tengas muchos dispositivos distintos que entran y salen de la red (o las opciones de privacidad que usan ahora muchos teléfonos que usan MACs aleatorias para conectar) te puede llevar a una extinción rápida del pool del DHCP.
Créeme si te digo que con el valor por defecto el equipo funciona a las mil maravillas, y no hay desconexiones que valgan. A mitad del lease time, el equipo renueva la dirección y en paz. Y tú, ni te enteras. Yo, lo dejaría en el valor que trae por defecto, aunque bien es verdad que no creo que sea esa la causa del problema.

En cuanto al firewall creo que más o menos es el de por defecto exceptuando la IPTV, es verdad que en vez de ahorrar reglas he querido ser algo más específico.
Umm.. nop. Si quieres te paso el original y comparas. La mitad de las regla sen input que tienes te sobran, puesto que las cubres con la que dice "Drop all not coming from LAN" (no hace falta que además aceptes explícitamente tráfico que viene de la LAN, toda la lista LAN ya tiene acceso al chain de input, justo por esa regla) Y, en forward, no lo tienes mucho mejor.

Saludos!
 
En tu caso específico, que parece que tengas un puerto ethernet dedicado al desco y dicho puerto fuera del bridge: sí, te sobra el IGMP-Snooping en el bridge. Si usases el multicast dentro del bridge, necesitarías ambas funcionando. Quítalo del bridge, ahora mismo lo único que está haciendo es joderte el hardware offloading del mismo.
Si, ahora lo que tengo es el Bridge para la LAN pero el puerto del deco lo he dejado con un DHCP diferente en una rango de IPs diferente al del bridge y he habilitado para ello el IGMP Proxy que debería de reenviar directamente los paquetes IGMP de la interfaz VLAN sobre la WAN hacia el puerto del descodificador.
He quitado el IGMP Snooping, lo malo que tendré que esperar a que vuelva a caer la interfaz del switch o ójala que no caiga.

Se suele poner más alto en equipos de poco pelo, con un servidor DHCP de mierda. Un lease time alto, en caso de que tengas muchos dispositivos distintos que entran y salen de la red (o las opciones de privacidad que usan ahora muchos teléfonos que usan MACs aleatorias para conectar) te puede llevar a una extinción rápida del pool del DHCP.
Créeme si te digo que con el valor por defecto el equipo funciona a las mil maravillas, y no hay desconexiones que valgan. A mitad del lease time, el equipo renueva la dirección y en paz. Y tú, ni te enteras. Yo, lo dejaría en el valor que trae por defecto, aunque bien es verdad que no creo que sea esa la causa del problema.
Aunque no sea la causa del problema lo voy a dejar como comentas, yo lo había configurado así porque es cierto que lo había visto así en otras ocasiones.
 
Si, ahora lo que tengo es el Bridge para la LAN pero el puerto del deco lo he dejado con un DHCP diferente en una rango de IPs diferente al del bridge y he habilitado para ello el IGMP Proxy que debería de reenviar directamente los paquetes IGMP de la interfaz VLAN sobre la WAN hacia el puerto del descodificador.
He quitado el IGMP Snooping, lo malo que tendré que esperar a que vuelva a caer la interfaz del switch o ójala que no caiga.


Aunque no sea la causa del problema lo voy a dejar como comentas, yo lo había configurado así porque es cierto que lo había visto así en otras ocasiones.
Pues nada, ya nos comentas si se soluciona o no el problema. No dejes de mirar también el tema de las opciones de energía del switch.

Saludos!
 
No dejes de mirar también el tema de las opciones de energía del switch.

Tengo las opciones de autoapagado de interfaces desconectadas. Ya está revisado.
1640875004093.png

1640875013134.png
 
Me sigue pasando lo del Switch.
Respecto al firewall he dejado la configuración más resumida siguiendo la configuración por defecto. Creo que es más o menos igual pero más resumida.
Yo antes no estaba usando negaciones porque me gustaba ser más explicito en lo permitido para que no se escapara nada.

Además también he dividido la red LAN en dos mitades usando máscara /25. La primera mitad fiable y la segunda mitad para dispositivos menos fiables como alexa o similares. No va a servir de mucho realmente más que para proteger al router, a los otros dispositivos no porque ese tráfico al ser de la misma LAN no va a pasar por el router.
Lo interesante sería con VLAN pero no lo he hecho porque estoy usando un Asus AX88u como punto de acceso y no permite multiples SSID asignando a VLAN.

Código:
/ip firewall filter
add action=accept chain=input comment="IN - Accept Winbox" dst-port=65291,62222 in-interface-list=LAN protocol=tcp src-address-list=LAN-FIABLE
add action=add-src-to-address-list address-list=Blacklist address-list-timeout=10h chain=input comment="IN - Add Src to Blacklist" connection-state=new dst-port=20-25,80,110,161,443,445,3128,3306,3333,3389,7547,8291,8080-8082 \
    in-interface-list=WAN log=yes log-prefix="FWALL- ADD BLACKLIST" protocol=tcp
add action=accept chain=input comment="IN - Accept Established and related" connection-state=established,related
add action=drop chain=input comment="IN - Drop Invalid" connection-state=invalid
add action=accept chain=input comment="IN - Accept ICMP" protocol=icmp
add action=accept chain=input comment="IN WAN - Allow Wireguard" disabled=yes dst-port=65291 in-interface-list=WAN protocol=udp
add action=accept chain=input comment="IN WAN IPTV - Allow IPTV Multicast UDP" in-interface-list=WAN-IPTV protocol=udp
add action=accept chain=input comment="IN WAN IPTV - Accept IGMP" in-interface-list=WAN-IPTV protocol=igmp
add action=accept chain=input comment="IN LAN - Accept 53 UDP (DNS)" dst-port=53 protocol=udp src-address-list=LAN-ALL
add action=accept chain=input comment="IN LAN IPTV - Allow IGMP" protocol=igmp src-address-list=LAN-IPTV
add action=accept chain=input comment="IN LAN IPTV - Allow UDP" protocol=udp src-address-list=LAN-IPTV
add action=drop chain=input comment="IN - Drop all not comming from LAN" log=yes log-prefix="FWALL - IN DROP" src-address-list=!LAN-FIABLE
add action=fasttrack-connection chain=forward comment="FW - FastTrack" connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="FW - Accept Established and related" connection-state=established,related
add action=drop chain=forward comment="FW - Drop Invalid" connection-state=invalid
add action=accept chain=forward comment="FW WAN IPTV - Allow IPTV Multicast UDP" in-interface-list=WAN-IPTV protocol=udp
add action=drop chain=forward comment="FW - Drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=EXT-ALL log=yes log-prefix="FWALL - FW DROP"

Creo que con esto no debería de haber agujeros
 
Buenas tardes,

El tema de las grabaciones o 7 últimos días días le funciona a alguien? estoy tratando de configurar el mikrotik y este punto no lo consigo.

Cordialmente.

Juhn_Hoo
 
Arriba