Configuración RB4011 (con WiFi) para Movistar 1Gbps

Hola,

A ver si podemos trabajar sobre una configuración óptima del Mikrotik de cara a oprtimizarlo para Movistar 1Gbps.

Adjunto export de la configuración actual que estaba basada en la configuración de Malosa del primer Post con la 3 VLAN.

A tener en cuenta:

- Aunque el router tiene las interfaces WiFi (para 2 y 5Ghz) no las utilizo pues tengo unos puntos Aruba.
- Aunque están las 3 VLAN creadas, no tengo TV de Movistar porque voy por satélito con lo que no me importaría dejar de lado esta VLAN (o dejarla configurada por si en el futuro...)
- Una cosa que me gustaría recuperar sería el teléfono IP, pues me gustaría poder conectar un teléfono IP al switch principal de la casa.

A partir de aquí, tras comentario de pokoyo, abrimos el hilo para ver qué opciones podemos tener. No sé si merecerá la pena partir de una configuración virgen u optimizar el export que en sus orígenes viene de una configuración para un 950G.

Gracias!!!
 
Se te olvidó adjuntar el export, pero es igual.

Parte de la configuración virgen (reset sin marcar el "no default configuration", dejando que así se ejecute el script de auto-configuración) + quick set. Una vez hecho, aplica la configuración de @stargate4you que se detalla en este post para O2, con vlan 6 para internet y vlan3 para teléfono. Si la TV la sigues teniendo por satélite, lo mejor es que te olvides de esa configuración por el momento, así tu equipo pasa del tráfico multicast.

Como tu equipo no es compatible con hardware offloading y los protocolos de spanning tree como R-STP, una vez aplicada la configuración, modifica el bridge principal y le pones el protocol-mode=none para activar el hardware offloading en los puertos del bridge. Así te aseguras que el equipo va al 100% y no pasa el tráfico innecesario por la CPU.
Código:
/interface bridge set 0 protocol-mode=none

Saludos!
 
Hola @pokoyo

Perdona, se me pasó adjuntar el export.

Te lo adjunto.

Respecto a lo que me comentas:

- Como tengo mucha configuración para VPN, scripts, address-lists y demás...consideras esencial ese reset o con este export que te adjunto podría tratar de probar a desactivar ese parámetro en el bridge?. En cualquier caso, la duda que me surge es que esto aplica para reducir el % de CPU que se utiliza y me cuesta creer que el bicho éste RB4011 no pueda manejar 1Gbps pasando por CPU no?

A ver cómo lo ves.

EDITO para añadir la captura de mi Bridge:

Capture.PNG


Gracias!
 

Adjuntos

  • exportRB4011.txt
    14.7 KB · Visitas: 167
  • 1610712144537.png
    1610712144537.png
    134.4 KB · Visitas: 188
Última edición:
Yo arrancaría con una configuración limpita. Hay muchas cosas de esa configuración que puedes mejorar. Te detallo el porqué:
  • Estás usando un script para ddns. No lo necesitas, el propio mikrotik ya lleva su propio DDNS en IP -> Cloud -> DDNS. Así te ahorras todo el rollo de los scripts. Si quieres conservar el dominio no-ip ddns que tienes, con crearle un CNAME al que te regala mikrotik, lo tienes hecho, y para ti no cambiaría nada, seguirías usando el de no-ip.
  • Unido a lo anterior, veo que abres el 80 y 443 en el NAT. Yo no abriría nunca el 80 (tráfico inseguro, cualquier con un sniffer te saca la contraseña de acceso al NAS), y para abrir el 443 aplicaría nat loopback metiendo en el address list la dirección del DDNS de mikrotik, para que resuelva tu IP pública (lo tienes detallado en el manual de tips&tricks), en lugar de usar la opción de in-interface=pppoe-out1.
  • No usas listas de interfaces. Las tienes declaradas, pero no le sacas partido (ejemplo, masquerade en el NAT)
  • La VPN que usas es PPTP. Te sugiero marques el "tick" de la VPN en el quick set y luego desactives los protocolos que no uses y borres el usuario por defecto. Te sugeriría que dejases de usar PPTP (nada seguro) en favor de L2TP/IPSec o SSTP. Una vez activos sólo los servidores que vas a usar, y quitadas o deshabilitadas las reglas de firewall de PPTP, es tan sencillo como volver a crear los usuarios y, si quieres, cambiar los pools de direcciones. Para eso has hecho un export, de ahí podrías rescatar lo que necesites (vuelve a hacerlo, esta vez sin el hide-sensitive, y te lo quedas como backup, antes de tocar nada).
  • Tienes la definición del bridge hecha unos zorros. Ese equipo está trabajando muy por debajo de lo que debería. Deja la configuración por defecto, y aplica el protocol-mode=none, y lo verás volar. Olvídate del use-ip-firewall-for-pppoe=yes use-ip-firewall-for-vlan=yes, que no lo necesitas para nada. La CPU de ese chisme es una bestia, pero créeme que hasta un CCR lo tumbas si tienes una mala configuración.
  • Como te comentaba antes, olvídate de la configuración de IPTV. Si no la necesitas, no la metas de momento.

Saludos!
 
Hola compañero,

Me queda claro, trataré de meterme este fin de semana con ello entonces.

Algunas dudas sobre lo que me pones:

Yo arrancaría con una configuración limpita. Hay muchas cosas de esa configuración que puedes mejorar. Te detallo el porqué:
  • Estás usando un script para ddns. No lo necesitas, el propio mikrotik ya lleva su propio DDNS en IP -> Cloud -> DDNS. Así te ahorras todo el rollo de los scripts. Si quieres conservar el dominio no-ip ddns que tienes, con crearle un CNAME al que te regala mikrotik, lo tienes hecho, y para ti no cambiaría nada, seguirías usando el de no-ip.
Aquí me he metido en la opción de Cloud y me permite activar pero no me sale la opción de indicar HOST:

Capture.PNG

  • Unido a lo anterior, veo que abres el 80 y 443 en el NAT. Yo no abriría nunca el 80 (tráfico inseguro, cualquier con un sniffer te saca la contraseña de acceso al NAS), y para abrir el 443 aplicaría nat loopback metiendo en el address list la dirección del DDNS de mikrotik, para que resuelva tu IP pública (lo tienes detallado en el manual de tips&tricks), en lugar de usar la opción de in-interface=pppoe-out1.

El 80 está deshabilitado, aunque la regla esté creada. El 443 realmente lo dejé porque quería meter un reverseproxy en el NAS Synology para todos los servicios que tengo en Docker ahí...pero no lo hice funcioar y quizá es por lo que me comentas del NAT LOOPBACK. Creo que de momento me cargaré el 443 (no es necesario para nada más no?) y listo. Después ya me liaría con lo que me comentas.

  • No usas listas de interfaces. Las tienes declaradas, pero no le sacas partido (ejemplo, masquerade en el NAT)

No sabía de ellas, no sé realmente qué beneficios les puedo sacar.
  • La VPN que usas es PPTP. Te sugiero marques el "tick" de la VPN en el quick set y luego desactives los protocolos que no uses y borres el usuario por defecto. Te sugeriría que dejases de usar PPTP (nada seguro) en favor de L2TP/IPSec o SSTP. Una vez activos sólo los servidores que vas a usar, y quitadas o deshabilitadas las reglas de firewall de PPTP, es tan sencillo como volver a crear los usuarios y, si quieres, cambiar los pools de direcciones. Para eso has hecho un export, de ahí podrías rescatar lo que necesites (vuelve a hacerlo, esta vez sin el hide-sensitive, y te lo quedas como backup, antes de tocar nada).

Totalmente, así lo haré.
  • Tienes la definición del bridge hecha unos zorros. Ese equipo está trabajando muy por debajo de lo que debería. Deja la configuración por defecto, y aplica el protocol-mode=none, y lo verás volar. Olvídate del use-ip-firewall-for-pppoe=yes use-ip-firewall-for-vlan=yes, que no lo necesitas para nada. La CPU de ese chisme es una bestia, pero créeme que hasta un CCR lo tumbas si tienes una mala configuración.
En cuanto a los dos parámetros que me indicas del ip-firewall, ¿no son necesarios?, perdona mi ignorancia pero me da la sensación de que estoy deshabilitando el firewall?¿. No sé realmente cómo aplican estos parámetros o finalidad concreta.

  • Como te comentaba antes, olvídate de la configuración de IPTV. Si no la necesitas, no la metas de momento.

Saludos!
Perfecto.
 
Aquí me he metido en la opción de Cloud y me permite activar pero no me sale la opción de indicar HOST:
quítale el update interval, que lo haga él con su propio intervalo por defecto, y pulsa el botón "force update". Se deberían rellenar los campos del IP Address y DNS public name. El que te interesa es el segundo, que es el que no cambia, ese es tu DDNS. Tiene el formato serial.sn.mynetname.net, siendo "serial" el número de serie de tu equipo.

El 80 está deshabilitado, aunque la regla esté creada. El 443 realmente lo dejé porque quería meter un reverseproxy en el NAS Synology para todos los servicios que tengo en Docker ahí...pero no lo hice funcioar y quizá es por lo que me comentas del NAT LOOPBACK. Creo que de momento me cargaré el 443 (no es necesario para nada más no?) y listo. Después ya me liaría con lo que me comentas.
OK. Yo tengo el 443 externo abierto para el NAS, redirigido a la IP interna y al puerto interno de admon HTTPS. Si necesitas una regla similar, es muy sencilla, te la paso. Para ello tienes que implementar primero el nat-loopback y, una vez hecho, la regla sería algo así (cambia 1234 por el puerto de admon https de tu NAS):
Código:
/ip firewall nat
add action=dst-nat chain=dstnat comment=NAS-Admin dst-address-list=public-ip dst-port=443 \
    protocol=tcp to-addresses=192.168.88.100 to-ports=1234
De esta manera puedes hacer https//tudomonio.com y llegarías al NAS. Incluso, si tienes los certificados de let's encrypt funcionando en el NAS, accederías por HTTPS sin meter excepcion alguna (esto último lo podemos ver luego aparte si quieres, que es muy sencillo y resultón)

En cuanto a los dos parámetros que me indicas del ip-firewall, ¿no son necesarios?, perdona mi ignorancia pero me da la sensación de que estoy deshabilitando el firewall?¿. No sé realmente cómo aplican estos parámetros o finalidad concreta.
El firewall es lo que tienes en IP -> Firewall -> Filter. Esas reglas son adicionales, y lo que hacen es procesar vía CPU el tráfico de tu LAN, y juraría que lo que hacen es que no aproveches las reglas de fasttrack. Ese filtrado sería necesario si tu router fuera un router de borde, el de un proveedor de internet, donde tú fueras el servidor PPPoE de las decenas de clientes que se conectan a ti. Pero, en tu red local, eso es innecesario, y lo único que hace es cambiar el flujo de tráfico normal dentro del router, haciendo pasar por la CPU tráfico que no debería pasar, y que debería ir a "wire-speed" (a velocidad cable = o lo que es lo mismo = con hardware offloading).

Lo dicho, yo tu router lo configuraría de la siguiente manera: reset a fábrica, sin marcar la opción del "no default configuration", para que se aplique el script de configuración por defecto. Una vez echo eso, coniguraría vía quick set la LAN como la quieras, y marcaría la opción de VPN (esto dará de alta los servidores y el IP -> Cloud). Luego ejecutaría lo que ves en el post de los ISP's (salvo el pppoe, que ya lo tendrás dado de alta si elegiste como tipo de configuración PPPoE en el quick set) y por último deshabilitaría el r-stp del bridge para forzar el hardware offloading. Con eso el router debería ir como un cohete.

Ah, y dado que vas a arrancar con todo limpio, aprovecha y mete la última versión de router OS antes de configurarlo.

Saludos!
 
Me quedo por aquí, dado que comparto router. Quizás podamos hacer algunas pruebas sobre velocidad de VPN y e IPsec.

Salu2!! ;)
 
Pues nada, he solicitado un Router de backup para no dejar sin servicio a la parienta que trabaja desde casa, el Martes lo recibo así que hasta entonces, sólo he podido probar algunas cosas con la config actual:

quítale el update interval, que lo haga él con su propio intervalo por defecto, y pulsa el botón "force update". Se deberían rellenar los campos del IP Address y DNS public name. El que te interesa es el segundo, que es el que no cambia, ese es tu DDNS. Tiene el formato serial.sn.mynetname.net, siendo "serial" el número de serie de tu equipo.
Funcionando, tal y como dices ha funcionado, he creado el CNAME en no-ip y me he quitado scripts y scheduler innecesarios.
OK. Yo tengo el 443 externo abierto para el NAS, redirigido a la IP interna y al puerto interno de admon HTTPS. Si necesitas una regla similar, es muy sencilla, te la paso. Para ello tienes que implementar primero el nat-loopback y, una vez hecho, la regla sería algo así (cambia 1234 por el puerto de admon https de tu NAS):
Código:
/ip firewall nat
add action=dst-nat chain=dstnat comment=NAS-Admin dst-address-list=public-ip dst-port=443 \
    protocol=tcp to-addresses=192.168.88.100 to-ports=1234
De esta manera puedes hacer https//tudomonio.com y llegarías al NAS. Incluso, si tienes los certificados de let's encrypt funcionando en el NAS, accederías por HTTPS sin meter excepcion alguna (esto último lo podemos ver luego aparte si quieres, que es muy sencillo y resultón)
Esto es precisamente lo que quería hacer con mi Synology. En cuanto tenga la config para 1Gbps optimizada, me meto con esto.
El firewall es lo que tienes en IP -> Firewall -> Filter. Esas reglas son adicionales, y lo que hacen es procesar vía CPU el tráfico de tu LAN, y juraría que lo que hacen es que no aproveches las reglas de fasttrack. Ese filtrado sería necesario si tu router fuera un router de borde, el de un proveedor de internet, donde tú fueras el servidor PPPoE de las decenas de clientes que se conectan a ti. Pero, en tu red local, eso es innecesario, y lo único que hace es cambiar el flujo de tráfico normal dentro del router, haciendo pasar por la CPU tráfico que no debería pasar, y que debería ir a "wire-speed" (a velocidad cable = o lo que es lo mismo = con hardware offloading).
Aquí me surgen dudas. O sea, lo que tengo en IP>Firewall>Filter Rules sí que tengo que dejarlas no?. Toqueteando en "Quick Set" he desmarcado una casilla que decía Firewall Router y me ha eliminado prácticamente todas las reglas que tenía, sólo me ha dejado:

Capture.PNG


Con esto entiendo que dejo de tener el firewall pero las reglas esas que comentabas seguirán estando activas no?. Creo que con esto estoy haciendo todo lo contrario a lo que te refieres; lo que debo mantener son estas reglas y las otras eliminarlas vía línea de comandos?. Aunque he vuelto a hacer un export y ya no me salen esos parámetros. ¿Hay forma de ver estas opciones en interfaz Winbox?

Lo dicho, yo tu router lo configuraría de la siguiente manera: reset a fábrica, sin marcar la opción del "no default configuration", para que se aplique el script de configuración por defecto. Una vez echo eso, coniguraría vía quick set la LAN como la quieras, y marcaría la opción de VPN (esto dará de alta los servidores y el IP -> Cloud). Luego ejecutaría lo que ves en el post de los ISP's (salvo el pppoe, que ya lo tendrás dado de alta si elegiste como tipo de configuración PPPoE en el quick set) y por último deshabilitaría el r-stp del bridge para forzar el hardware offloading. Con eso el router debería ir como un cohete.

Ah, y dado que vas a arrancar con todo limpio, aprovecha y mete la última versión de router OS antes de configurarlo.

Saludos!
El Martes en cuanto reciba el de backup me pongo con ello. Con la config actual he probado con:

- Desactivar en el bridge el r-stp poniendo a none
- Desactivando el "Firewall router".

Con esto he vuelto a realizar test y los resultados son similares / mismos...no pasa de 650-750/900.

Empiezo a "tener dudas" de si puede haber cualquier problema con la fibra, no me parece que tenga tanta carga el router a nivel de CPU como para no poder con ése 1Gbps, cuando hago el test la CPU no pasa del 10%.

¿Cómo lo ves?
 
Si has reseteado el router, tienes que marcar la opción de “firewall router” en el quick set, para que se creen correctamente todas las reglas en el apartado IP Firewall filter.
Lo otro que tenías se ha borrado, porque es una configuración no estándar que habías tú metido a mano en la configuración del bridge (lo tienes en bridge -> settings).

La única configuración extra es la de deshabilitar el R-STP en el bridge, poniendo el protocol mode a none. En ese momento, en la pestaña ports del bridge, verás que aparece una “H” en la segunda columna, para los puertos metidos dentro del bridge. Eso significa que pasan a comunicar entre ellos sin subir el tráfico q la cpu.

Con respecto a la velocidad. ¿Coges el gigabit por segundo con el router original? ¿Tenías ont + router o un HGU?

Saludos!
 
Si has reseteado el router, tienes que marcar la opción de “firewall router” en el quick set, para que se creen correctamente todas las reglas en el apartado IP Firewall filter.
Lo otro que tenías se ha borrado, porque es una configuración no estándar que habías tú metido a mano en la configuración del bridge (lo tienes en bridge -> settings).

Desde hace 8 años que tengo Mikortik...el original lo perdí en una mudanza. He pedido a Movistar una HGU alegando que mi antiguo router tiene casi 11 años. El Martes me llega.

Hasta entonces, no puedo resetear porque no puedo dejar sin servicio a mi mujer, que trabaja desde casa; como no sé si algo puede ir mal y sabemos que al final nos tiramos horas configurando, necesito hacerlo todo con servicio para ella.. Lo que he hecho es aplicar la config que me comentabas en el Bridge inicial:

1.PNG


Pero aún así me sale sólo la "I", de la "H" no veo nada:

2.PNG


Lo que hice luego fue "deshabilitar en el Quick Set" (sin resetear), la opción de FIrewall Router. Por eso me desapareció todo, por lo que me he ventilado las reglas que tenía. La volveré a habilitar, lo que no sé entonces es cómo deshabilitar los parámetros de ip-firewall que me comentabas sin resentear (por probar hasta que pueda resetear).

La única configuración extra es la de deshabilitar el R-STP en el bridge, poniendo el protocol mode a none. En ese momento, en la pestaña ports del bridge, verás que aparece una “H” en la segunda columna, para los puertos metidos dentro del bridge. Eso significa que pasan a comunicar entre ellos sin subir el tráfico q la cpu.
Correcto, eso es lo que está hecho, lo único que veo es que en la columna Hardware offloading pone YES en todos los puertos.
Con respecto a la velocidad. ¿Coges el gigabit por segundo con el router original? ¿Tenías ont + router o un HGU?

Saludos!

No tengo manera de comprobarlo porque no tengo el router original, voy con ONT de Ubiquiti y el Mikrotik desde hace años. Inicialmente tenía el router grande con dos antenas y la Huawei de ONT. Lo primero que haré será comprobar qué me da la HGU sin pasar por mi electrónica, para ver cómo va la fibra pero entiendo que con las atenuaciones que tengo, no debería haber problema.

¿Se te ocurre algo más?

Gracias!!!
 
uff compi, rescata las reglas que tuvieras del export que me mandaste y no toques para nada el quick set. Ese script está pensado para correr sobre una configuración limpia, y todo lo que puede hacer ahora si lo ejecutas es romperte la configuración (si no lo ha hecho ya, como ha pasado con el firewall).

Si en la pestaña de ports no te aparecen los puertos con una “H” delante (los que no estén con una “I” de Inactive), es que no están efectivamente trabajando con hardware offloading. El flag a “yes” indicando que se usen lo llevan, pero no están efectivamente trabajando así. Esto pasa cuando tienes alguna configuración del bridge incompatible con hardware offloading, como por ejemplo la que me enseñaste del firewall PPPoE o para vlans, o el protocol mode que ya has cambiado. Los otros dos los puedes desactivar en el botón “settings” dentro de la pestaña bridge. Cuando quites todo lo que es incompatible con hardware offloading, verás que aparece la famosa “H” delante de los puertos activos en la pestaña ports.

Cuando tengas lo nuevo, prueba sólo con el HGU, y luego con el mismo en monopuesto + mikrotik. La configuración del equipo mikrotik cuando tienes delante un HGU en monopuesto es incluso más sencilla de la que te pasé, la tienes también en el mismo post. Podría ser que la uniquiti te esté haciendo de cuello de botella, pero es raro, se supone que ese chisme está preparado también para 1Gbps.

Saludos!
 
uff compi, rescata las reglas que tuvieras del export que me mandaste y no toques para nada el quick set. Ese script está pensado para correr sobre una configuración limpia, y todo lo que puede hacer ahora si lo ejecutas es romperte la configuración (si no lo ha hecho ya, como ha pasado con el firewall).
No sabía eso, pensaba que era una opción del menú de WinBox desde el que podía parametrizar ciertas configuraciones. De hecho desde ahí suelo lanzar el "Check for Updates", etc. Vaya tela, pues me olvidaré de ella.

Si en la pestaña de ports no te aparecen los puertos con una “H” delante (los que no estén con una “I” de Inactive), es que no están efectivamente trabajando con hardware offloading. El flag a “yes” indicando que se usen lo llevan, pero no están efectivamente trabajando así. Esto pasa cuando tienes alguna configuración del bridge incompatible con hardware offloading, como por ejemplo la que me enseñaste del firewall PPPoE o para vlans, o el protocol mode que ya has cambiado. Los otros dos los puedes desactivar en el botón “settings” dentro de la pestaña bridge. Cuando quites todo lo que es incompatible con hardware offloading, verás que aparece la famosa “H” delante de los puertos activos en la pestaña ports.

Cuando tengas lo nuevo, prueba sólo con el HGU, y luego con el mismo en monopuesto + mikrotik. La configuración del equipo mikrotik cuando tienes delante un HGU en monopuesto es incluso más sencilla de la que te pasé, la tienes también en el mismo post. Podría ser que la uniquiti te esté haciendo de cuello de botella, pero es raro, se supone que ese chisme está preparado también para 1Gbps.

Saludos!

Nada, voy a esperarme a poder hacer el reset y después meterle el script del post que me comentaste.

Tan sólo un par de dudas una vez reseteado:

- Una vez reseteado, me meto en WinBox y parametrizo todo el tema de LAN pero me surge la duda de cómo configurar la parte de PPPoE, que esta parte siempre la había metido desde el .rsc y desde el Quick Set no sé si tiene algo particular. ¿Qué líneas de config del PPPoE son las que tengo que quitar del script si ya lo configuro en el QuickSet?
- El Qiuck Set arriba tiene un desplegable con opciones de Home Dual AP, CAP, CPE...¿qué configuración elijo ahí si lo que quiero es configurarlo como router pero sin las WLAN (tengo APs propios)?-
- La parte de Local Network que ahora me pone 192.168.10.100...seguiría metiéndole la misma parametrización, no?
- Tengo la particularidad de que mi gateway (ONT Ubiquiti) la tengo en el ethernet10 proque la alimento por PoE y el RB 4011 sólo alimenta desde el port 10. Entiendo que debería modificar script de configuración, cierto?

Gracias!
 
No sabía eso, pensaba que era una opción del menú de WinBox desde el que podía parametrizar ciertas configuraciones. De hecho desde ahí suelo lanzar el "Check for Updates", etc. Vaya tela, pues me olvidaré de ella.
No, no es así. Está pensado para ejecutarlo sobre una configuración limpia. Lo tienes explicado en el manual de primeros pasos.

- Una vez reseteado, me meto en WinBox y parametrizo todo el tema de LAN pero me surge la duda de cómo configurar la parte de PPPoE, que esta parte siempre la había metido desde el .rsc y desde el Quick Set no sé si tiene algo particular. ¿Qué líneas de config del PPPoE son las que tengo que quitar del script si ya lo configuro en el QuickSet?
El PPPoE lo puedes configurar también desde el quick set, si eliges esa opción en el apartado Internet. Lo que tendrás que hacer luego será modificar la interfaz que te haya creado para que corra sobre la vlan6, en lugar de sobre el puerto ether1.

El Qiuck Set arriba tiene un desplegable con opciones de Home Dual AP, CAP, CPE...¿qué configuración elijo ahí si lo que quiero es configurarlo como router pero sin las WLAN (tengo APs propios)?-
Diría que seleccionaras Home AP Dual. Luego te vayas a la pestaña del inalámbrico y simplemente selecciones las interfaces que te interese deshabilitar, les des doble click, y tienes un botón que pone "Reset Configuration" Eso las dejará sin configuración y deshabilitadas, que es lo que buscas. Tras esto, simplemente sácalas del bridge en la pestaña "ports", si no las vas a usar.

- La parte de Local Network que ahora me pone 192.168.10.100...seguiría metiéndole la misma parametrización, no?
Meterías la IP del segmento de red que quieras usar para tu red local LAN. El mikrotik usa por defecto el 192.168.88.0/24, pero ahí puedes usar lo que quieras.

Tengo la particularidad de que mi gateway (ONT Ubiquiti) la tengo en el ethernet10 proque la alimento por PoE y el RB 4011 sólo alimenta desde el port 10. Entiendo que debería modificar script de configuración, cierto?
Sin problema. Simplemente selecciona ese puerto cuando vayas a dar de alta la VLAN 6. Saca ether10 del bridge y metes en su lugar ether1. En el cliente PPPoE, apuntas a la nueva interfaz vlan6, que estará a su vez creada sobre el puerto que te interesa. No tiene más.

Saludos!
 
Hola @pokoyo

Por fin he podido resetear, cargar quick-reset y lanzar las instrucciones de la config que me comentaste.

Alguna duda que me está surgiendo:

1. Al ejecutar Quick-Set no he marcado VPN...no sé si puedo marcarlo ahora o ya tengo que configurar las VPN, Cloud y demás a mano.
2. En el quick-set no he cambiado la IP local 192.168.88.1 porque me ha surgido la duda de qué pasaría con el pool, dhcp y todo...ya que están configuradas todas esas opciones sobre ese rango. Qué tengo que hacer ahora para cambiar todo al rango 192.168.1.1?, no quiero liarla...
3. Ya me aparece la H en los ports del bridge poniendo a "none" el protocol-mode.
4. He cambiado la VLAN6 para que corra sobre la VLAN6, no lo cambié al ejecutar el comando, lo eh cambiado después...he sacado el ether10 del bridge y he metido el ether1...algo más necesario para que la WAN me corra sobre la 10?.
5. Había una LIST llamada WAN que contenía ether1, la he cambiado a ether10...no sé qué utilidad tiene esta list por defecto.
4. En NAT, me sale esto en el PPPoE, no sé si es porque no he conectado aún la fibra...???, lo estoy haciendo todo sin conectar fibra.

Capture.PNG


Por lo demás sólo me queda meter mis reglas NAT, firewall y alguna cosita más como crear listas para filtrar algunas reglas NAT a según qué IPs...

¿Cómo lo ves?

Gracias por la ayuda!


P.D: Ya he podido probar con un HGU y los 940Mb/940Mb me llegan sin problemas así que el tema va por donde comentabas, el RB4011 no está trabajando como toca con mi anterior config.
 
Última edición:
La regla del NAT que te sale roja la puedes borrar. La previa ya hace lo que necesitas. Lo que tienes que hacer el meter la interfaz pppoe en la lista WAN, que como preguntabas, vale justo para eso: si te das cuenta de usa en el filter y el NAT del firewall.

Si necesitas cambiar la IP del router o habilitar la vpn, tardas menos en resetearlo y volver a configurarlo desde el quick set. En el quick set hay dos sitios donde tienes que cambiar la IP: en la definición del segmento LAN y en el pool (rango) que te sale justo debajo (ojo que a mucha gente le pasa que cambia uno y no el otro, y luego el dhcp hace cosas raras).

Tiene buena pinta, ya verás como queda mucho más limpita así la configuración.

Si quieres que le de un vistazo después de tenerlo a tu gusto, le das un export y me lo mandas.

Saludos!
 
La regla del NAT que te sale roja la puedes borrar. La previa ya hace lo que necesitas. Lo que tienes que hacer el meter la interfaz pppoe en la lista WAN, que como preguntabas, vale justo para eso: si te das cuenta de usa en el filter y el NAT del firewall.
En la WAN tengo que meter tanto pppoe como ether10 entonces?
Si necesitas cambiar la IP del router o habilitar la vpn, tardas menos en resetearlo y volver a configurarlo desde el quick set. En el quick set hay dos sitios donde tienes que cambiar la IP: en la definición del segmento LAN y en el pool (rango) que te sale justo debajo (ojo que a mucha gente le pasa que cambia uno y no el otro, y luego el dhcp hace cosas raras).
Te refieres a confirgurar esto como estático no?, lo que no entiendo es qué diferencia hay entre la parte de arriba y la de abajo...es lo mismo?¿?¿¿?

Debería marcar tambien NAT y VPN ACcess correcto?



1611270936110.png

Tiene buena pinta, ya verás como queda mucho más limpita así la configuración.

Si quieres que le de un vistazo después de tenerlo a tu gusto, le das un export y me lo mandas.

Por supuesto, te la paso en cuanto la tenga lista.

 
El quick set solo se ejecuta cuando el router está recién reseteado. Cómo puedes ver, una vez empiezas a tocar configuración, el quick set se descojona, puesto que es una plantilla. Si lo quieres volver a usar, resetea el router.

En la parte de arriba del quick set tienes el “address acquisition” o lo que es lo mismo, como se conecta el router a internet. Ahí seleccionarías PPPoE, que es tu tipo de conexión. Donde te digo que hay que cambiarlo es abajo; en la definición de la LAN. Cuando ejecutas eso con el router recién reseteado tendrás dos campos ahí abajo: la IP Address y el rango del DHCP.

Como tu conexión es de tipo pppoe, es esa la única interfaz que tienes que meter en la lista WAN, y de ether1 a ether9 en el bridge principal.

Saludos!
 
Bueno,

Pues ya está funcioando la nueva config, te adjunto el export para que le pegues un vistazo y veas cómo están las cosas a falta de:

1.- Tengo que elegir qué VPN quedarme, qué me recomiendas?
2.- No he trabajado los Filter del Firewall
3.- Ya he deshabilitado las WiFI, al deshabilitarlas directamente en el QuickSet (que ya no toco), se me pone en modo "CAP". Por cierto el Gateway...en blanco. Es correcto?
4.- Me falta hacer las pruebas del 1Gbps pues estoy por WiFi...mañana las haré.
5.- He actualizado a la 6.48, tanto firnware como Routerboard...la duda es, si no actualizo desde "Check for Updates" del Quickset...desde dñonde actualizo el firmware?. Antes lo hacía desde aquí:

1611278324051.png



Y por fin, edito, he podido realizar el test con esta nueva config...varias veces y el resultado sigue siendo bastante peor de lo deseado en el Downlink, todo esto con la Nano G de Ubiquiti. Recordemos que con el HGU, los 940/940 salían fácil.

Para hacer esta prueba con el HGU en Monopuesto tengo que tocar algo de la config del Mikrotik o simplemente vale con pincharlo en la HGU ya puesta en monopuesto?

1611280668886.png
 

Adjuntos

  • nueva_Config.txt
    7.3 KB · Visitas: 104
Última edición:
Te respondo, por puntos:

1. Para empezar L2TP/IPsec (compatible con casi cualquier cosa) ó SSTP (si sólo vas a usarla con windows)
2. Ni falta que hace. Para eso está el script de auto-configuración + quick set. La lista por defecto es muy buena. Pero quita (o comenta) las reglas que machean con las VPN's que no vayas a usar. Especialmente PPTP, por inseguro.
3. Una vez ejecutado el quick set después del reset, olvídate de él. Es una plantilla, y si encuentra configuración que no machea con la plantilla, te puede pintar ahí cualquier cosa. Esa pantalla no se vuelve a usar nunca, una vez hecha la primera configuración. Es una ayuda, para no tener que currarte la configuración entera desde cero, que como ves en el export, son unas pocas de líneas. Ni caso a lo que salga ahí.
4. OK
5. Se actualiza desde System -> Packages -> Check for updates.

Se vé que nos has pasado por los manuales de primeros pasos y cómo actualizar la routerboard, te recomiendo que los leas.

Comentarios sobre tu configuración actual, por lo general está bien, pero se puede mejorar:
  • Tienes dos reglas de masquerade en el NAT, te sobra la que actúa directamente sobre pppoe-out1. La que actúa sobre la lista WAN, la primera, ya la cubre, puesto que has metido pppoe-out1 dentro de esa lista. La puedes eliminar.
  • No necesitas un cliente NTP. Lo hace el IP -> Cloud él solito.
  • Desactiva los servidores VPN que no vayas a usar. PPTP especialmente. Comenta o borra las reglas de firewall asociadas, no abras agujeros innecesarios.
  • No asignes un DNS público al servidor DHCP, desaprovechas el propio servidor DNS que monta el router (lo tienes activado, es el allow-remote-requests=yes en IP -> DNS, pero no lo aprovechas)

Saludos!
 
Te respondo, por puntos:

1. Para empezar L2TP/IPsec (compatible con casi cualquier cosa) ó SSTP (si sólo vas a usarla con windows)
Pues me he quedado con L2TP, te pego la config que tengo en la opción FIlter Rules y PPP para la L2TP que es la que he elegido. He probado a conectar desde el Samsung S20 con L2TP/IPsec PSK pero se me queda en "Connecting..."

Firewall
1611345936296.png


NAT

1611345990008.png



PPP / L2TP (No sé si la opción "Allow Fast Path" debería estar activa)

1611346035499.png


Secrets:

1611346088901.png


En L2TP secrets no tengo nada...


2. Ni falta que hace. Para eso está el script de auto-configuración + quick set. La lista por defecto es muy buena. Pero quita (o comenta) las reglas que machean con las VPN's que no vayas a usar. Especialmente PPTP, por inseguro.
Como verás en la captura he deshabilitado PPTP y SSTP, las que no sé si debo deshabilitar son las de IKE...e ICMP que no sé para qué la necesito.
3. Una vez ejecutado el quick set después del reset, olvídate de él. Es una plantilla, y si encuentra configuración que no machea con la plantilla, te puede pintar ahí cualquier cosa. Esa pantalla no se vuelve a usar nunca, una vez hecha la primera configuración. Es una ayuda, para no tener que currarte la configuración entera desde cero, que como ves en el export, son unas pocas de líneas. Ni caso a lo que salga ahí.

Me olvido de esto.
4. OK
5. Se actualiza desde System -> Packages -> Check for updates.
Se vé que nos has pasado por los manuales de primeros pasos y cómo actualizar la routerboard, te recomiendo que los leas.

A qué manuales de primeros pasos te refieres?, hay alguno que me reomiendes?. Sobre todo por el tema de la actualización que comentas, a ver si lo estoy haciendo mal.
Comentarios sobre tu configuración actual, por lo general está bien, pero se puede mejorar:
  • Tienes dos reglas de masquerade en el NAT, te sobra la que actúa directamente sobre pppoe-out1. La que actúa sobre la lista WAN, la primera, ya la cubre, puesto que has metido pppoe-out1 dentro de esa lista. La puedes eliminar.
Hecho
  • No necesitas un cliente NTP. Lo hace el IP -> Cloud él solito.
Hecho, he quitado el SNTP client.
  • Desactiva los servidores VPN que no vayas a usar. PPTP especialmente. Comenta o borra las reglas de firewall asociadas, no abras agujeros innecesarios.
Hecho, esto lo he hecho desde la pestaña PPP.
  • No asignes un DNS público al servidor DHCP, desaprovechas el propio servidor DNS que monta el router (lo tienes activado, es el allow-remote-requests=yes en IP -> DNS, pero no lo aprovechas)
Hecho. Aquí entiendo que en los clientes DHCP me aparecerá entonces la IP del router como DNS no?

Muchas graicas por tu apoyo amigo.

P.D: Te vuelvo a exportar la config a ver cómo la ves. (nueva_Revisada_pokoyo.txt)
 

Adjuntos

  • nueva_Revisada_pokoyo.txt
    7.1 KB · Visitas: 105
Arriba