Configurar HAP+modem USB y HEX S juntos

ectoplasma dijo:

Hola @pokoyo

"hAP de cobertura inalámbrica también, aparte de ser WAN secundario (en ese caso se nos complica algo más, pero también se podría llegar a hacer)."
No hace falta la parte inalámbrica!

Antes de sacar export, tengo que escribir algo . El hAP lo tengo muy verde, creo que es mejor hacer reset y empezar de nuevo. ¿Me puedes guiar un poco? En el hAP seria:

1) Reset sin backup y con la configuración por defecto (para que tenga la parte de firewall)
2) Formulario quitar la parte de wifi (si no se puede, más adelante la quito) y poner IP fija del hEX (192.168.88.1) y subred (255.255.255.0). Poner la IP del propio hAP (192168.8.5) y no seleccionar servidor de DCHP ni VPN.
3) Poner bien el APN y el canal para que funcione la SIM/modem usb (esto ya lo tengo controlado)
4) Scripts SMS y estado router (también controlado)

Creo que ya está. ¿Estoy en el camino correcto? ¿Me dejo cosas? o mejor dicho: ¿Que me dejo?

¡Muchas gracias otra vez!

Saludos!

Haz clic para expandir...

# jan/02/1970 00:06:13 by RouterOS 7.5
# software id = -
#
# model = RB951Ui-2nD
# serial number = -
/interface bridge
add admin-mac=- auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
disabled=no distance=indoors frequency=auto installation=indoor mode=\
ap-bridge ssid=MikroTik- wireless-protocol=802.11
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
/interface ppp-client
add apn=internet info-channel=3 name=ppp-out1 port=usb1
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
192.168.88.0
/ip dhcp-client
add comment=defconf interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=\
192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
33434-33534 protocol=udp
add action=accept chain=input comment=\
"defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
ipsec-esp
add action=accept chain=input comment=\
"defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
"defconf: drop everything else not coming from LAN" in-interface-list=\
!LAN
add action=accept chain=forward comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
"defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
ipsec-esp
add action=accept chain=forward comment=\
"defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
"defconf: drop everything else not coming from LAN" in-interface-list=\
!LAN
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Haz clic para expandir...

model = RB760iGS
# serial number = -
/interface bridge
add admin-mac=- auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether1 ] mac-address=-
/interface wireguard
add comment=WireGuard listen-port=- mtu=1420 name=wg
/interface vlan
add interface=ether2 name=vlan24 vlan-id=24
/interface pppoe-client
add add-default-route=yes disabled=no interface=vlan24 keepalive-timeout=\
disabled max-mru=1492 max-mtu=1492 name=pppoe-out-fibra user=\
pass lowi
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.88.100-192.168.88.200
/ip dhcp-server
add address-pool=dhcp interface=bridge lease-script="/ip dhcp-server lease\r\
\n:if (\$leaseBound = 1 && [ get [ find where mac-address=\$leaseActMAC ] \
dynamic ] = true) do={\r\
# script telegram dchp
/port
set 0 name=serial0
/user group
add name=ha policy="read,write,policy,test,api,!local,!telnet,!ssh,!ftp,!reboo\
t,!winbox,!password,!web,!sniff,!sensitive,!romon,!dude,!rest-api"
/interface bridge port
add bridge=bridge comment=defconf ingress-filtering=no interface=ether3
add bridge=bridge comment=defconf ingress-filtering=no interface=ether4
add bridge=bridge comment=defconf ingress-filtering=no interface=ether5
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp1
add bridge=bridge interface=ether1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether2 list=WAN
add comment=fibra interface=pppoe-out-fibra list=WAN
add comment=WireGuard interface=wg list=LAN
/interface ovpn-server server
set auth=sha1,md5
/interface wireguard peers
add allowed-address=192.168.55.2/32 comment="-" interface=wg \
public-key="-"
add allowed-address=192.168.55.3/32 comment="-" interface=wg \
public-key="-"
add allowed-address=192.168.55.4/32 comment="..." interface=\
wg-ma public-key="-"
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
192.168.88.0
add address=192.168.55.1/24 interface=wg network=192.168.55.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf disabled=yes interface=ether1
/ip dhcp-server lease
add address=192.168....
/ip dhcp-server network
add address=192.168.88.0/24 comment="Adg" dns-server=\
192.168.88.x,1.1.1.1,8.8.8.8 gateway=192.168.88.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=192.168.88.x
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall address-list
add address=urlddns list=public-ip
add address=192.168.88.x list=bloq
add address=192.168.88.x list=bloq
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment="vpn: allow WireGuard" dst-port=#portwg \
protocol=udp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
add action=reject chain=forward comment="bloq int" \
reject-with=icmp-network-unreachable src-address-list=bloq
/ip firewall nat
add action=masquerade chain=srcnat comment="x" \
dst-address=192.168.88.x ipsec-policy=out,none out-interface-list=LAN \
src-address=192.168.88.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" \
out-interface-list=WAN
add action=dst-nat chain=dstnat comment="x" dst-address-list=public-ip \
dst-port=xx protocol=tcp to-addresses=192.168.88.x to-ports=xxx
add action=dst-nat chain=dstnat comment="x" dst-address-list=\
public-ip dst-port=xxx protocol=tcp to-addresses=192.168.88.x to-ports=\
xxx
add action=dst-nat chain=dstnat comment=x dst-port=xxx protocol=tcp \
to-addresses=192.168.88.x to-ports=xxx
add action=dst-nat chain=dstnat comment=x dst-port=xxx protocol=udp \
to-addresses=192.168.88.x to-ports=xxx
/ip service
set www disabled=yes
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=x
/system scheduler
add interval=1d name=MikroTikSystemStatus on-event=\
"/system script run MikroTikSystemStatus" policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
start-date=jan/02/2022 start-time=10:00:00
add interval=1d name=UpgradePackagesRouterOS on-event=\
"/system script run UpgradePackagesRouterOS" policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
start-date=jan/02/2022 start-time=10:00:00
/system script
add dont-require-permissions=no name=MikroTikSystemSta...
add dont-require-permissions=no name=UpgradePac...
add dont-require-permissions=yes name=MyT...
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Haz clic para expandir...

Recomendación para VPN en zona rural de Cantabria (Starlink NO => 4G/LTE) | Mikrotik

Entra y participa en el hilo sobre Recomendación para VPN en zona rural de Cantabria (Starlink NO => 4G/LTE): Hola, Vivo en una zona de Cantabria en donde solo llega ADSL de Movistar (contratados creo que eran 10, reales de bajada/subida 4.5/0.5 Mbps...

www.adslzone.net

###################################
####### VARIABLES A MODIFICAR #####
###################################
:local pin 1234
:local user "perico"
:local pass "palotes"
###################################

###################################
######### CONFIGURACION ##########
###################################
# Creamos la interfaz VLAN para propagar
# vía passthrough el tráfico de internet
/interface vlan
add interface=ether1 name=vlan-mobile vlan-id=25

# Seteamos el network discovery, para que al menos
# tengas acceso por MAC desde IP -> Neighbors, en el caso
# de perder conectividad IP con la antena
/ip neighbor discovery-settings
set discover-interface-list=!dynamic

# Asignamos una IP de administración a ether1
# Por esta IP accederemos al equipo desde el hEX-S
/ip address
add address=192.168.25.1/30 interface=ether1

# Creamos un usuario y contraseña nuevos, a partir
# de las variables de entorno definidas. Borramos admin
/user
add name=$user password=$pass group=full
:delay 0.5
/user remove 0

# Creamos el APN, copia del default pero con passthrough
/interface lte apn
add copy-from=default name=default-passthrough passthrough-interface=vlan-mobile

# Configuramos la intefaz PPP, asignádole de entrada
# el perfil con passthrough
/interface ppp-client
set [ find ] apn-profiles=default-passthrough pin=$pin

# Creamos unas reglas básicas de firewall para proteger el chain de input (el propio router)
/ip firewall filter
add action=accept chain=input comment=\
    "aceptamos el trafico ya estableciodo o relacionado" connection-state=\
    established,related,untracked
add action=drop chain=input comment="rechazamos el trafico invalido" connection-state=\
    invalid
add action=accept chain=input comment="aceptamos el ping" protocol=icmp
add action=drop chain=input comment="rechazamos todo lo que no venga de red local" \
  src-address=!192.168.0.0/16

# Definimos un par de servidores DNS para que
# el propio equipo resuelva direcciones de internet
/ip dns
set servers=8.8.8.8,8.8.4.4

# Asignamos un nombre al equipo
/system identity
set name=hap-lite
###################################

# Sacamos ether5 del bridge principal, puesto que deja de ser LAN
/interface bridge port
remove [find interface=ether5]

# Creamos la VLAN por donde viene el nuevo servicio de internet movil
/inteface vlan
add interface=ether5 name=vlan-mobile vlan-id=25

# Creamos una IP sobre ether5, para llegar al hAP-lite
/ip address
add address=192.168.25.2/30 interface=ether5

# Levantamos un cliente DHCP para obtener la IP pública que habrá cogido
# la interfaz ppp del hap-lite, y que estará haciendo passthrough hacia abajo
/ip dhcp-client
add interface=vlan-mobile default-route-distance=2

# metemos la nueva interfaz en la lista WAN, para que le aplique el NAT
/interface list member
add interface=vlan-mobile list=WAN

• que el cliente ppp del hAP-lite establece conexión
• que dicha IP pasa al hEX-S, vía la vlan 25 (aparecería en IP -> Address en el hEX-S, si lo hemos hecho bien y se comporta igual que las interfaces LTE)
• que cuando desconectas tu conexión principal y se cae la interfaz PPP, sales por la secundaria.

ectoplasma dijo:

¡Muchas gracias @pokoyo !

A ver si tengo suficiente tiempo, que en mi caso lo voy a necesitar, para probarlo. Un par de dudas:

¿Con esta configuración del hAP puede continuar recibiendo los sms y mandarlos por telegram, aunque sea usando la propia conexión móvil?

¿En el caso del hEX S Puede ser que con la v7.5 no se pueda definir "default-route-distance=2" en /ip dhcp-client? En la interfaz gráfica no lo he encontrado y no quiero liarla con el router de la casa...

¡Muchas gracias y saludos!

PD: disculpa si voy un poco lento a responder, pero por un tema de preparar un viaje de trabajo voy muy liado. Me gustaría tenerlo listo antes de irme, pero creo que tendré que ser prudente .

Haz clic para expandir...

pokoyo dijo:

Sí, claro! lo que quieres tener es un WAN redundante, ¿no? Es decir, salir por la WAN de la fibra, y, si detectas que no hay internet, hacer el switch a la otra. Y tan pronto recuperes conexión, switch back a la fibra, para no joder los datos. ¿Es eso?

De entrada empecemos por lo más sencillo: montar el dual WAN. Para ello, simplemente saca el puerto que vayas a usar para conectar el nuevo router del bridge, y levantas un cliente DHCP (luego lo haremos de manera estática) en ese puerto. Pero, en la pestaña "advanced" del dhcp client, simplemente le pones una distancia más alta que a la ruta principal, que tendrá distancia 1 (distancia = 2, por ejemplo)

Ver el adjunto 102051​

De esa manera, cuando tires del cable en ether2, entrará ether3 a funcionar como ruta por defecto. Y, cuando vuelvas a conectar el cable directo a ether2 y el router coja DHCP de la VLAN de internet, saldrá por ahí.

Acuérdate de meter esa nueva interfaz en la lista WAN, tal que le aplique la regla de masquerade por defecto.

Para automatizar esto tenemos que dar un paso más. Ves montando eso y leyendo este manual, que lo siguiente que tendremos que hacer es una sonda que detecte si internet se ha caído (porque obviamente no va a ser tan evidente como tirar del cable).


Saludos!

Haz clic para expandir...

ectoplasma dijo:

¡Hola @pokoyo !

Ya lo tengo funcionando. Si desactivo la interfaz de la ONT, en hEX S, paso a navegar con el modem, ¡muchas gracias! El tema de detectar si tengo internet caído en la fibra: ¿cual seria la forma más correcta? No tengo IP fija ni en fibra ni, claro, en la SIM. Por otro lado veo que la configuración de IP fija puedo definir las dos ethX que quiera (ONT y móvil). En mi caso la PPPoE (fibra) es la principal y la ¿DHCP? (192.168.99.2 HEX S y el 192.168.99.1 en el MODEM) la secundaria... Creo que el revés que el tutorial...

¡Muchas gracias otra vez!

Saludos

Haz clic para expandir...

pokoyo dijo:

No tienes IP fija, pero conoces tus gateways, y esos sí son estáticos. En PPPoE, es tu propia interfaz pppoe, y en el otro caso, la IP del módem.

No obstante, como ya comenté en otro post, si tu conexión primaria es de tipo ppp, es fácil que si el operador tiene problemas, a ti se te caiga ese túnel, y el switch sea automático. Si no te quieres molestar en implementarlo, déjalo como lo tienes y prueba.

Saludos!

Haz clic para expandir...

ectoplasma dijo:

Hola @pokoyo , desconecte el cable de fibra de la ONT y me quedé sin internet. Estuve esperando un rato y nada. Cuando encuentre un poco de tiempo voy hacer más pruebas con calma, ya que hice la prueba en una zona con la mínima cobertura de telefonia (igual falló por aquí). ¡Un saludo y gracias por todo!

Haz clic para expandir...