Creacion de 2 redes con Mikrotik rb4011 y 3 AP UNIFI

Venga, lo vemos:


Lo primero, revisa el log justo después de cargarlo, a ver si no hay ningún error raro que haya hecho que el script se haya quedado a mitad de carga. Lo último importante que hace el script de carga el añadir la red 10.0.0.0/8 para la VoIP a RIP. Si vas a Routing -> Rip -> Networks y ves la 10.0.0.0/8 allí puesta, es buena señal.


He revisado la configuración y la parte del VoIP la tienes clavada a la mía. No veo nada raro en ella. No obstante, si sigues con problemas, dale un pantallazo estado del cliente DHCP que corre sobre esa interfaz (IP -> DHCP-Client -> tala donde verás una interfaz "voip" con una IP 10.X.Y.Z. También revisa que estés recibiendo las rutas dinámicas por RIP, las cuales puedes ver en la tabla de rutas (es la ruta que lleva un "DAr" en la primera columna, con métrica 120) o en Routing -> RIP -> Routes. Si todo eso está correcto, lo único que se me ocurre es que el bridge-vlan-filtering sea lo que está impidiendo que la VLAN llegue al bridge principal, y tendría que probarlo en local para decirte qué hacer para que funcione. He quitado la definición de puertos de servicio SIP que tenías en IP -> Firewall -> Service Ports, donde los modificabas al 5060 y 5070; yo no tengo eso y funciona igualmente. Mira a ver si es esa chorrada.


Si le da NAT abierta, el problema viene por la wifi (juraría me dijiste que se conectaba de esa manera). A nivel de puertos, estaría todo en orden con el UPnP (verás que cuando enciende la consola y se pone a jugar, se abren un cerro de puertos en IP -> Firewall -> NAT de forma dinámica. Eso es justo lo que buscamos, que los abra mientras la consola está funcionando, y que después el propio protocolo los cierre cuando ya no se usen. Las desconexiones pueden venir por lo que cuentas más abajo con lo de que hay ciertos dispositivos que, sin venir a cuento, ahora están en la wifi de invitados. Lo vemos ahora en más detalle.

La consola está conectada por wifi.
En el piso de arribar (en principio) la wifi la proporciona el plato Unifi UAP-LR , conectado al switch y a su vez el switch conectado con PLC al switch de la planta inferior.

Esto es así pues el UAP-Casa daba problemas de cobertura aquí arriba, y el UAP-M es el que está en el parking y no llega en absoluto aquí arriba
Lo acabo de modificar y dejar como tenías, porque veo que no nos estamos entendiendo. Te comenté en el post previo que cambiaba el mapeo de ese puerto para que tú tuvieras accesible eso por el 443 (https), redirigido al 5001. Pero como veo que te estás liando, lo dejo como lo tenías. En este nuevo import, va abierto el 5001 a la IP 192.168.1.222 (que por cierto no tienes reservada, ahora hablaremos de eso).

Pues tienes razon ...xDDD .... no lo estoy entendiendo .....en el UNRAID le tenia puesto el puerto 5001 (antiguo xpenology) porque si le ponia el 443 secuestraba todo el trafico y perdia la navegación ......
Así que ahora mismo no se que debo hacer ....si dejar el 5001 en el Server UNRAID, o cambiarlño en el rb4011 o que hacer .-..... me he perdido :cool:

He mirado bien las reglas de firewall, lo unico que veo extraño es que la regla del puerto 5001 aunque estoy desde varios equipos externos (no estan en la wifi) intentando entrar el contador de bytes de la regla ni se mueve :


Me gustaría ver qué has hecho en la configuración de la wifi (si es que has llegado a aplicar algo), para que lleguen a conectarse equipos inalámbricos con la wifi como taggeada. Lo mejor que puedes hacer, de momento, es no hacer nada a nivel inalámbrico (o deshacer lo que ya tengas hecho) y primero asegurar que, sin tocar nada, todo funciona como funcionaba antes. Una vez certificado, nos metemos con los cambios en ubiquiti para ver cómo le hecemos llegar la vlan 200 a los clientes inalámbricos que se conecten a la wifi de invitados, sin que pase lo mismo para los que se conectan a la wifi principal. Así que, por favor, no vayas a prueba y error. Deja la parte inalámbrica que hayas tocado (si es que has tocado alguna) como estaba antes, y primero vamos a ver que todo funcione como lo tenías. He quitado el tag de la vlan 200 en el puerto ether10, puede que el switch gestionable nos haga una mala pasada con las máquinas virtuales, así que de momento lo taggeamos sólo en el puerto que lleva la señal al piso superior, al switch donde está conectado el controller y el AP principal.

Lo unico que hice fué cambiarle el rango de IP , que estaba en 20.20.20.1/24 al que pusiste tu de 192.168.200.1/24, y cambiarle el ID de VLAN de 20 a 200

Aqui especifico el ID de VLAN


Y aquí cambio las IP :


Aquí es donde viene la madre del cordero. En la configuración original que me pasaste, venían ciertas "leases" ya definidas en el servidor DHCP, que respeté sin mirar. Las voy a borrar todas, y las vamos a crear desde cero y, una vez las tengas como tú quieres, me las pasas. La IP .46 te está dando conflicto (lo puedes ver en la columna status, que te pone "conflict"), lo cual significa que tú tienes esa IP reservada en el DHCP, pero hay otro chisme que la está metiendo a cascoporro, y de ahí tu problema.

No tengo ningún cacharro en casa con IP estatica ....todo lo gestiona el rb4011

A tu pregunta, ¿Hay alguna forma de decirle al rb4011 que IP quiero que asigne? La respuesta es SÍ, con una lease estática, justo lo que estás haciendo en esa pantalla que me muestras. El servidor DHCP, por defecto, asigna direcciones automáticamente dentro de un rango o pool (las que ves con una "D" delante en la primera columna, que significa "Dynamic"), pero tú le puedes hacer una asociación y decir, "a tal dirección MAC, le das siempre la misma dirección IP". Eso se hace en esa misma pestaña de "Leases" con el botón "Make static", que verás si le das doble click a una entrada dinámcia. Una vez has pulsado ese botón, verás que la "D" de delante de la entrada desaparece (como pasa para la entrada "XBOX JAN") y, a partir de ese momento, puedes darle de nuevo doble click a la entrada y verás que el menú ha cambiado, y ahora es editable, para definir tú la IP a mano que le vas a poner al chisme. Como el pool de tu red lan tiene un "agujero" al principio y otro al final (va de la 192.168.1.10 - 192.168.1.250), aprovecha las direcciones de la 192.168.1.2 - 192.168.1.9 para los equipos a los que quieras asignar siempre la misma IP, de esa manera es fácil identificarlos. Evita la 192.168.1.1 por razones obvias, puesto que es la IP del propio router.

¿Qué tendrías que tener reservado en el DHCP, a día de hoy? Pues, como poco, dos IP's: las dos IP's para las cuales tienes una regla de NAT con una apertura de puertos. Esas dos IP's, o están fijadas a mano en los propios dispositivos, o las tienes que reservar por narices en el DHCP, para que siempre le de la misma a esas máquinas, de otra manera la regla de NAT no funcionará y te volverás loco como te pasaba anteriormente.

Para ver que estás cogiendo bien los conceptos, he modificado las reglas de NAT para abrir el puerto del antiguo XPENOLOGY, ahora UNRAID (puerto 5001) a la IP 192.168.1.2 y la de las cámaras FOSCAM_NVR ( puerto 88 ) a la IP 192.168.1.3 Tu tarea ahora, una vez borrados los leases originales, es localizar esos dos chismes en la tabla de leases, que tendrán una IP dinámcia cualquiera, y convertiral en estática en esas dos que te he dicho, respectivamente para cada cacharro. Una vez lo tengas, el mapeo de puertos entrará en funcionamiento y el 5001 te dará como abierto en la consola del UNRAID, y el FOSCAM estará accesible desde fuera en el puerto 88. Si tienes dudas sobre cómo hacer este proceso, lo tienes detallado en los cometarios previos, y en el manual de tips&tricks.

Prueba y me dices, porfa. Te paso el nuevo export. Recuerda definir las claves de la VPN antes de subirlo.
Código:
#########################
# VARIABLE DEFINITIONS #
:local vpnPassword "aaa"
:local ipsecSecret "bbb"
#########################
/interface bridge
add admin-mac=C4:AD:34:8D:52:C0 auto-mac=no comment=defconf name=bridge vlan-filtering=yes
/interface vlan
add interface=ether1 name=internet vlan-id=6
add interface=bridge name=convidats vlan-id=200
add interface=ether1 name=voip vlan-id=3
/interface bridge vlan
add bridge=bridge tagged=bridge,ether2 vlan-ids=200
/interface pppoe-client
add add-default-route=yes disabled=no interface=internet name=pppoe-out1 \
    use-peer-dns=yes user=adslppp@telefonicanetpa password=adslppp
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp-pool ranges=192.168.1.10-192.168.1.250
add name=vpn-pool ranges=192.168.89.2-192.168.89.254
add name=convidats-pool ranges=192.168.200.2-192.168.200.254
/ip dhcp-server
add address-pool=dhcp-pool disabled=no interface=bridge name=dhcp-server-lan
add address-pool=convidats-pool disabled=no interface=convidats name=dhcp-server-convidats
/ppp profile
set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn-pool interface-list=LAN
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=ether9
add bridge=bridge comment=defconf interface=ether10
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set enabled=yes ipsec-secret=$ipsecSecret use-ipsec=yes
/interface list member
add interface=bridge list=LAN
add interface=pppoe-out1 list=WAN
/ip address
add address=192.168.1.1/24 interface=bridge network=192.168.1.0
add address=192.168.10.2/24 interface=ether1 network=192.168.10.0
add address=192.168.200.1/24 interface=convidats network=192.168.200.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add add-default-route=no disabled=no interface=voip use-peer-dns=no use-peer-ntp=no
/ip dhcp-server network
add address=192.168.1.0/24 comment=dhcp-network-lan dns-server=\
    192.168.1.23,192.168.1.1 gateway=192.168.1.1 domain=lan
add address=192.168.200.0/24 comment=dhcp-network-convidats dns-server=\
    8.8.8.8,1.1.1.1 gateway=192.168.200.1
/ip dns
set allow-remote-requests=yes use-doh-server=\
    https://cloudflare-dns.com/dns-query verify-doh-cert=yes
/ip dns static
add address=192.168.1.1 comment=defconf name=router.lan
add address=104.16.249.249 name=cloudflare-dns.com
add address=104.16.248.249 name=cloudflare-dns.com
add address=10.34.255.134 name=telefonica.net
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "Acepta el trafico de la vlan del telefono" in-interface=voip \
    src-address=10.0.0.0/8
add action=accept chain=input comment=allow-l2tp-ipsec-only dst-port=1701 \
    ipsec-policy=in,ipsec protocol=udp
add action=accept chain=input comment=allow-ipsec dst-port=500,4500 protocol=\
    udp
add action=accept chain=input comment=allow-rw-access-router ipsec-policy=\
    in,ipsec src-address=192.168.89.0/24
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=drop chain=forward comment="block guests from anything else but internet" out-interface-list=\
    !WAN src-address=192.168.200.0/24
/ip firewall address-list
add address=([/system routerboard get serial-number].".sn.mynetname.net") list=public-ip
/ip firewall mangle
add action=set-priority chain=postrouting new-priority=4 out-interface=voip
add action=set-priority chain=postrouting new-priority=1 out-interface=pppoe-out1
/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin \
    dst-address=192.168.1.0/24 src-address=192.168.1.0/24
add action=masquerade chain=srcnat comment=masquerade-wan \
    ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment=masquerade-voip \
    out-interface=voip
add action=masquerade chain=srcnat comment=masquerade-vpn \
    src-address=192.168.89.0/24
add action=src-nat chain=srcnat comment=access-ont \
    dst-address=192.168.10.0/24 src-address=192.168.1.0/24 to-addresses=192.168.10.2
add action=dst-nat chain=dstnat comment=UNRAID_5001 dst-address-list=public-ip \
    dst-port=5001 protocol=tcp to-addresses=192.168.1.2
add action=dst-nat chain=dstnat comment=FOSCAM_NVR_88 dst-address-list=public-ip \
    dst-port=88 protocol=tcp to-addresses=192.168.1.3
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=pppoe-out1 type=external
add interface=bridge type=internal
/ppp secret
add name=jordi service=l2tp password=$vpnPassword
/routing rip interface
add interface=voip passive=yes receive=v2
/routing rip network
add network=10.0.0.0/8
/system clock
set time-zone-name=Europe/Madrid
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
Antes de vovler a pasar este script espero tus comentarios sobre las capturas, no sea que haya quer hacer mas cambios .....

Lo de cambiar todas las IP la verdad me da bastante respeto .....piensa que en el server ESXi , la maquina de Ubuntu tiene una instancia Adguard corriendo, y , en principio todas las IP tiene como DNS y GW la IP 192.168.1.23 para salir hacia internet.

P.D.: He observado otra cosa curiosa, por si te da alguna pista .....el control de ancho de banda de UNIFI no me esta funcionando .....aunque le marque 2Mb de baja o 5Mb , cuando te conectas a la red de "convidats" , te asigna la IP de forma correcta en la RED 200 , pero no te limita en absoluto la velocidad.
He probado de hacer un QUEUE directamente en rb4011 sobre la red "convidats, y me limita la subida a lo que yo le digo, pero la bajada ignora los limites que le pongo
 
Última edición:
Bueno, ya he hecho los deberes ...
he puesto tu ultimo script, y he rehecho los leases ...

Ahora el unraid está en 192.168.1.2 , pero mira :



Por otra parte el tlf voIP ahora vuelve a funcionar con este script .....algo es algo xDDD

EDIT: Nada el Tlf ha durado escasos minutos y ha perdido la linea voIP :-(
 
Última edición:
Jajajja, justo te estaba contestando... Por lo menos ya hemos dado con la tecla del problema del teléfono, estaba entonces en el tema de los puertos de servicio SIP, que es lo único que he modificado y quitado de la configuración, dejando la que trae por defecto el router.

Ese error lo que te dice es que el servidor escucha en el 443, y tú estás abriendo el 5001. Lo que te dice es que tu NAT tiene que abrir el 5001 de cara a fuera, y mandarlo al 443 interno. Como eso no me gusta demasiado, lo que vamos a hacer es que le vuelvas a poner al servidor su configuración por defecto, y que escuche en el 443, como hace de origen. Y vamos a modificar la regla de NAT para cambiar un puerto por otro y listo. Es decir, tienes que hacer:
- En el servidor: configurar el puerto 443, en lugar del 5001.
- En el router: ir a IP -> Firewall -> NAT y localizar la entrada número 6 (la segunda por debajo) que pone en el comentario "UNRAID_5001". La editas, y en la primera pestaña "General" cambias el campo "Dst Port" del 5001 al 443. Por conveniencia, edita también el comentario (botón "Comment") y le pones "UNRAID_443"

¿Te las apañas para hacer el resto de leases? ¿Te gusta la idea de poner las reservas del 2 al 9? Para el servidor de adward, una vez hecho y reservada la nueva dirección, simplemente edita dentro del servidor DHCP, en la pestaña Networks, la correspondiente a tu red principal y le asignas la nueva IP como DNS principal

Saludos!
 
Jajajja, justo te estaba contestando... Por lo menos ya hemos dado con la tecla del problema del teléfono, estaba entonces en el tema de los puertos de servicio SIP, que es lo único que he modificado y quitado de la configuración, dejando la que trae por defecto el router.

Mira mi post :-( .... he editado ..... el voIP ha durado escasos minutos :cry:
Ese error lo que te dice es que el servidor escucha en el 443, y tú estás abriendo el 5001. Lo que te dice es que tu NAT tiene que abrir el 5001 de cara a fuera, y mandarlo al 443 interno. Como eso no me gusta demasiado, lo que vamos a hacer es que le vuelvas a poner al servidor su configuración por defecto, y que escuche en el 443, como hace de origen. Y vamos a modificar la regla de NAT para cambiar un puerto por otro y listo. Es decir, tienes que hacer:
- En el servidor: configurar el puerto 443, en lugar del 5001.
- En el router: ir a IP -> Firewall -> NAT y localizar la entrada número 6 (la segunda por debajo) que pone en el comentario "UNRAID_5001". La editas, y en la primera pestaña "General" cambias el campo "Dst Port" del 5001 al 443. Por conveniencia, edita también el comentario (botón "Comment") y le pones "UNRAID_443"
Voy a ello
¿Te las apañas para hacer el resto de leases? ¿Te gusta la idea de poner las reservas del 2 al 9? Para el servidor de adward, una vez hecho y reservada la nueva dirección, simplemente edita dentro del servidor DHCP, en la pestaña Networks, la correspondiente a tu red principal y le asignas la nueva IP como DNS principal

Saludos!
Creo que si ....la verdad queda mucho mas ordenado xDD...... espero que no me salgan "sorpresas" con el paso de los dias ....

De momento al reiniciar el rb4011 con la nueva confiracion me han salido bastante IPs en status "conflict" ...... he optado por la drastica decision de cargarmelas, y que los propios aparatos vuelvan a pedir IP al DHCP Server ..... cruzaré los dedos

El Unraid ya está en la 192.168.1.2 y en pocos minutos vuelvo y actualziao con los cambios en el NAT

EDIT :



No ha habido suerte :

 
De momento al reiniciar el rb4011 con la nueva confiracion me han salido bastante IPs en status "conflict" ...... he optado por la drastica decision de cargarmelas, y que los propios aparatos vuelvan a pedir IP al DHCP Server ..... cruzaré los dedos
Ojo, reiniciar no, resetear. Reset y cargar esa configuración.

Si el UNRAID te sigue dando por donde amargan los pepinos, pásame por privado el número de serie del equipo y un export del NAT. Pruebo yo desde fuera si el 443 está bien mapeado en un segundo.
Código:
ip firewall nat export

Saludos!
 
Comprobado ....si reinicio el router recupero el tlf voIP durante un rato (no tengo identificado el patron ......son varios minutos ......despues la señal se "pierde")

El UNRAID sigue sin ser visible desde el exterior .....estas seguro de que en el firewall no hjay que añadir ninguna regla ni nada ?? ...... recuerdo ayer que al final consegui que funcionara el UNRAID toqueteando entre firewall y NAT (no quiero discutirte en absoluto ......tu eres el Jedi y yo un simple padawan xDDD)
 
Ojo, reiniciar no, resetear. Reset y cargar esa configuración.

Si si .....me refereia al RESET CONFIGURATION -> keep user -> run after reset

Si el UNRAID te sigue dando por donde amargan los pepinos, pásame por privado el número de serie del equipo y un export del NAT. Pruebo yo desde fuera si el 443 está bien mapeado en un segundo.
Código:
ip firewall nat export

Saludos!
Voy
 
Los puertos se abren en el NAT, y en ningún otro sitio. En el filter aceptas el tráfico con destino el propio router, pero no con destino un equipo de tu red, eso se hace en el NAT.

El export del NAT se hace con el comando que te he pasado, desde terminal /ip firewall nat export

Lo del teléfono, ¿cómo lo compruebas? ¿Tienes un ATA SIP conectado al router? ¿Un teléfono IP?

Saludos!
 
Los puertos se abren en el NAT, y en ningún otro sitio. En el filter aceptas el tráfico con destino el propio router, pero no con destino un equipo de tu red, eso se hace en el NAT.

El export del NAT se hace con el comando que te he pasado, desde terminal /ip firewall nat export

ya lo tienes en el buzon
Lo del teléfono, ¿cómo lo compruebas? ¿Tienes un ATA SIP conectado al router? ¿Un teléfono IP?

Saludos!
Tengo un TLF IP (YEALINK model T42S) conectado al switch del despacho , en el piso de arriba (mismo switch que el UAP LR)

Tiene una pequeña pantalla LCD, y cuando tiene linea hay un icono de un tlf encendido, cuando la linea se pierde el icono del TLF desaparece , y en su lugar aparece un icono de prohibido, sim,ilar a un cero con una raya diagonal atravesando el cero (conjunto vacio)
 
ya lo tienes en el buzon

Tengo un TLF IP (YEALINK model T42S) conectado al switch del despacho , en el piso de arriba (mismo switch que el UAP LR)

Tiene una pequeña pantalla LCD, y cuando tiene linea hay un icono de un tlf encendido, cuando la linea se pierde el icono del TLF desaparece , y en su lugar aparece un icono de prohibido, sim,ilar a un cero con una raya diagonal atravesando el cero (conjunto vacio)
Hazme un favor, please. Por descartar que sea del tema del bridge vlan filtering. Llévatelo abajo y conéctalo directo al router. Y, si le sigue pasando, sacamos un puerto del bridge principal, le asignamos una segmento de IP nuevo y probamos.
Te puedo hacer la prueba del bridge vlan filtering mañana en casa, que estaremos más tranquilos en cuanto a conexiones, pero si quieres salir rápido de dudas, por ahí se podría probar.

Ya veo que yo tampoco llego al 443 desde tu IP pública. Estamos seguros de que el servidor está arrancado, está en esa IP y con un servicio levantado en ese puerto? Si quieres, prueba cambiando el puerto, ahora que sabes hacerlo. Abre el puerto que te de la gana en el NAT, editando la regla tal y como lo has hecho ahora (está perfectamente hecho), y configura otro puerto en el chisme. Si te dice como antes que el puerto no machea ente “dentro” (443) y “fuera” (el puerto que sea que decidas abrir), tendrías que poner en el “dst port” de la pestaña general el puerto de “fuera” y en la última pestaña, en el campo “to port” el de dentro, que en este caso y por lo que veo, va a ser siempre el 443 en ese chisme. Cuando el puerto de fuera y el de dentro coinciden, no es necesario especificar el “to port” al ser redundante (que es como lo tienes ahora mismo).

Saludos!
 
Hazme un favor, please. Por descartar que sea del tema del bridge vlan filtering. Llévatelo abajo y conéctalo directo al router. Y, si le sigue pasando, sacamos un puerto del bridge principal, le asignamos una segmento de IP nuevo y probamos.
Te puedo hacer la prueba del bridge vlan filtering mañana en casa, que estaremos más tranquilos en cuanto a conexiones, pero si quieres salir rápido de dudas, por ahí se podría probar.

Ok, mañana probamos

Ya veo que yo tampoco llego al 443 desde tu IP pública. Estamos seguros de que el servidor está arrancado, está en esa IP y con un servicio levantado en ese puerto? Si quieres, prueba cambiando el puerto, ahora que sabes hacerlo. Abre el puerto que te de la gana en el NAT, editando la regla tal y como lo has hecho ahora (está perfectamente hecho), y configura otro puerto en el chisme. Si te dice como antes que el puerto no machea ente “dentro” (443) y “fuera” (el puerto que sea que decidas abrir), tendrías que poner en el “dst port” de la pestaña general el puerto de “fuera” y en la última pestaña, en el campo “to port” el de dentro, que en este caso y por lo que veo, va a ser siempre el 443 en ese chisme. Cuando el puerto de fuera y el de dentro coinciden, no es necesario especificar el “to port” al ser redundante (que es como lo tienes ahora mismo).

Saludos!
El server está arrancado y funcionando .......de hecho como ves yo entro en la web local y desde ahí puedo hacer cambios en la configuracion etc..... tambien esta ejecutando Plex en un docker y está sirviendo peliculas dentro de casa sin problemas .


Please, puedes repetirme una vez mas lo que me pides que haga con los puertos ??....

Por ejemplo : le pongo en el UNRAID en su web (las capturas que te paso) el puerto 5001 de nuevo, y en el NAT cambio el puerto en la seccion general al 5001 ?? o a que te refieres exactamente ?? (como si hablaras con un total profano)

EDIT : Solo como dato añadido ....el UNRAID está en el piso de arriba

recuerda:

...parking con RB4011 -> cable rj45 hasta switch de piso 1 ->PLC1 -> piso 2 -> PLC2-> Switch piso 2

Esto no deberia influenciar porque hasta ayer funcionaba el UNRAID desde el exterior (si quieres repasate el primer RSC que te pasé donde estaba el galimatias de NAT y firewall a ver si ves algo que se nos pasa por alto y que hace que antes funcionara y ahora no)
 
Última edición:
Lo vemos mañana con más tranquilidad, que hoy ya se me hace tarde.

Saludos!
 
Lo vemos mañana con más tranquilidad, que hoy ya se me hace tarde.

Saludos!
Ok, seguimos mañana (El lunes me voy unos dias, me gustaria dejarlo solkucionado mañana, al menos el acceso exterior por VPN y al UNRAID xDD)

Despues de seguir proibando he conseguido lo siguiente :

He mapeado el 444 (Exterior ) al 443 (interior de la IP 192.168.1.2 , pero quitando la parte donde tu ponias en NAT -> Advanced -> dst-address -> ip_public


Con eso puesto no funciona, pero si lo quito si que funciona :

 
Buenos días compi!

Tu último mensaje me da la pista que buscaba, y agárrate porque el tema es super simple, pero a su vez tiene miga de cojones hasta, que he dado con la tecla. Te detallo lo que creo que te está pasando.

No te está funcionando la regla de NAT porque depende del filtro "public-ip" ese filtro está puesto así para indicar la dirección de apertura del puerto (de fuera a dentro) y que no acabes secuestrando el tráfico HTTPs, que es lo que te pasa cuando lo haces tal cual e intentas abrir el puerto 443, dedicado a navegación https ¿Cual es el problema? que la lista "public-ip" no está resolviendo tu IP pública, como pretende. Si navegas en winbox a IP -> Firewall -> Address Lists (penúltima pestaña), verás la lista que te digo declarada, y te saldrá algo así:

1626589177688.png


Cuando, si lo estuviera haciendo bien, te saldría algo así:

1626589322392.png

Como ves, lo que hace es resolver ese dominio dinámicamente y asociar tu IP pública a dicha lista.

¿Y porqué a ti no te funciona? Bueno, pues me he puesto a pensar y he dicho "lo primero, vamos a ver si tu dominio en mi equipo funciona, y eso nos descartará que tengas un problema con el servicio de cloud ddns (IP -> Cloud -> Enable DDNS), el cual tienes activo y funcionando:
1626589651124.png

Voilá, funciona y resuelvo tu IP pública. Tema descartado...

He seguido dándole vueltas al tarro hasta que he llegado al meollo de la cuestión. ¿qué puede hacer que, teniendo el servicio DDNS activado y funcionando correctamente, tu propio router no sea capaz de resolver ese dominio para la lista public-ip? Pues un DNS mal configurado en el propio router.

Aparentemente, y por tu export, el DNS está configurado correctamente, usando DoH. ¿Cual es el problema entonces? Que hemos reseteado el equipo y no hemos cargado el certificado para que el DoH del Cloudflare funcione como debe (la CA correspondiente), y los certificados se van a la mierda cada vez que damos un reset. Y, como estás forzando que el router use DoH sólo DoH (no hay servidor DNS público alternativo), pues el propio router no es capaz de resolver el dominio de DDNS y no añade dinámicamente tu IP pública a esa lista "public-ip", dejando de facto y sin efecto la apertura de puertos.

Posibles soluciones, te doy varias, para que elijas la que más te guste:
  • La más sencilla: olvidarte del DoH y configurar un DDNS público normal y corriente.
  • Cambiar el filtro de apertura de puertos y usar la interfaz "pppoe-out-1" como filtro para el "in-interface" o la lista WAN como "in-interface-list". No me gusta mucho la solución con hairpin nat.
  • Corregir la configuración DNS: añadir la el certificado CA que falta para que resuelva el DoH de cloudflare, y configurar un servidor "plano" sin DoH (de los de toda la vida, tipo el 8.8.8.8 de google) de servidor de backup.

Te paso el export aplicando la primera opción, configurando un DNS plano sin cifrar, para mi la más sencilla de hacer, especialmente porque ya tienes el DNS configurado en Adward y no veo el sentido de que el router vaya por DoH, más allá de que estuvieras cacharreando en el pasado probando esto.

Simplemente vuelve a resetear haciendo el import del fichero y verás como, ahora sí, te funciona la apertura del puerto 443 para el UNRAID. Antes de probarlo, ve a IP -> Firewall -> Address Lists y asegúrate de que, ahora sí, la lista "public-ip" resuelve tu IP pública, como se espera de ella.

Ah, y recuerda volver a configurar el UNRAID para que corra en el puerto 443, como hace por defecto.

Código:
#########################
# VARIABLE DEFINITIONS #
:local vpnPassword "aaa"
:local ipsecSecret "bbb"
#########################
/interface bridge
add admin-mac=C4:AD:34:8D:52:C0 auto-mac=no comment=defconf name=bridge vlan-filtering=yes
/interface vlan
add interface=ether1 name=internet vlan-id=6
add interface=bridge name=convidats vlan-id=200
add interface=ether1 name=voip vlan-id=3
/interface bridge vlan
add bridge=bridge tagged=bridge,ether2 vlan-ids=200
/interface pppoe-client
add add-default-route=yes disabled=no interface=internet name=pppoe-out1 \
    use-peer-dns=yes user=adslppp@telefonicanetpa password=adslppp
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp-pool ranges=192.168.1.10-192.168.1.250
add name=vpn-pool ranges=192.168.89.2-192.168.89.254
add name=convidats-pool ranges=192.168.200.2-192.168.200.254
/ip dhcp-server
add address-pool=dhcp-pool disabled=no interface=bridge name=dhcp-server-lan
add address-pool=convidats-pool disabled=no interface=convidats name=dhcp-server-convidats
/ppp profile
set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn-pool interface-list=LAN
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=ether9
add bridge=bridge comment=defconf interface=ether10
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set enabled=yes ipsec-secret=$ipsecSecret use-ipsec=yes
/interface list member
add interface=bridge list=LAN
add interface=pppoe-out1 list=WAN
/ip address
add address=192.168.1.1/24 interface=bridge network=192.168.1.0
add address=192.168.10.2/24 interface=ether1 network=192.168.10.0
add address=192.168.200.1/24 interface=convidats network=192.168.200.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add add-default-route=no disabled=no interface=voip use-peer-dns=no use-peer-ntp=no
/ip dhcp-server network
add address=192.168.1.0/24 comment=dhcp-network-lan dns-server=\
    192.168.1.23,192.168.1.1 gateway=192.168.1.1 domain=lan
add address=192.168.200.0/24 comment=dhcp-network-convidats dns-server=\
    8.8.8.8,1.1.1.1 gateway=192.168.200.1    
/ip dns
set allow-remote-requests=yes servers=1.1.1.2,1.0.0.2
/ip dns static
add address=192.168.1.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "Acepta el trafico de la vlan del telefono" in-interface=voip \
    src-address=10.0.0.0/8
add action=accept chain=input comment=allow-l2tp-ipsec-only dst-port=1701 \
    ipsec-policy=in,ipsec protocol=udp
add action=accept chain=input comment=allow-ipsec dst-port=500,4500 protocol=\
    udp
add action=accept chain=input comment=allow-rw-access-router ipsec-policy=\
    in,ipsec src-address=192.168.89.0/24
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=drop chain=forward comment="block guests from anything else but internet" out-interface-list=\
    !WAN src-address=192.168.200.0/24
/ip firewall address-list
add address=([/system routerboard get serial-number].".sn.mynetname.net") list=public-ip
/ip firewall mangle
add action=set-priority chain=postrouting new-priority=4 out-interface=voip
add action=set-priority chain=postrouting new-priority=1 out-interface=pppoe-out1
/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin \
    dst-address=192.168.1.0/24 src-address=192.168.1.0/24
add action=masquerade chain=srcnat comment=masquerade-wan \
    ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment=masquerade-voip \
    out-interface=voip
add action=masquerade chain=srcnat comment=masquerade-vpn \
    src-address=192.168.89.0/24
add action=src-nat chain=srcnat comment=access-ont \
    dst-address=192.168.10.0/24 src-address=192.168.1.0/24 to-addresses=192.168.10.2
add action=dst-nat chain=dstnat comment=UNRAID_443 dst-address-list=public-ip \
    dst-port=443 protocol=tcp to-addresses=192.168.1.2
add action=dst-nat chain=dstnat comment=FOSCAM_NVR_88 dst-address-list=public-ip \
    dst-port=88 protocol=tcp to-addresses=192.168.1.3
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=pppoe-out1 type=external
add interface=bridge type=internal
/ppp secret
add name=jordi service=l2tp password=$vpnPassword
/routing rip interface
add interface=voip passive=yes receive=v2
/routing rip network
add network=10.0.0.0/8
/system clock
set time-zone-name=Europe/Madrid
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Saludos!
 
Buenos días compi!

Tu último mensaje me da la pista que buscaba, y agárrate porque el tema es super simple, pero a su vez tiene miga de cojones hasta, que he dado con la tecla. Te detallo lo que creo que te está pasando.

No te está funcionando la regla de NAT porque depende del filtro "public-ip" ese filtro está puesto así para indicar la dirección de apertura del puerto (de fuera a dentro) y que no acabes secuestrando el tráfico HTTPs, que es lo que te pasa cuando lo haces tal cual e intentas abrir el puerto 443, dedicado a navegación https ¿Cual es el problema? que la lista "public-ip" no está resolviendo tu IP pública, como pretende. Si navegas en winbox a IP -> Firewall -> Address Lists (penúltima pestaña), verás la lista que te digo declarada, y te saldrá algo así:
Aplicado y efectivamente ahora parece que si funciona la redireccion de puertos...... ayer empecé a sospechar de los certificados con alguna otra pista que me dió las pruebas que iba haciendo xDDD

Cuando quieras probamos el acceso VPN a ver si funciona y me indicas como hacer las pruebas de velociudad en remoto. ;)

P.D.: Hace tiempo, cacharreando, instalé en el ruter algo quer se llama "The dude" ....relamente no lo uso para nada, pero en la seccion FIles me molesta mucho el guirigay de archivos y carpetas que me montó dicho plugin.....como se quita este plugin ?? ...o recomiendas tenerlo por algún motivo ?
P.D.2: el Tlf voIP ap`rece seguir haciendo de las suyas (el icono de la linea va y viene aleatoriamente) (ojala pudiera hacerte un video para que lo vieras xDD)
 
Te paso pantallazo de la pagina del tlf SIP :

Verás la configuracion , y el estado (circulo verde) .....el estado cambia constantemente de "Registrado" a "error de registro" ......en otras palabras ....tengo un par de minutos de linea y otro par de minutos sin linea:



Aqui con el error :

 
Venga, vamos avanzando. Sobre lo que queda:

Aplicado y efectivamente ahora parece que si funciona la redireccion de puertos...... ayer empecé a sospechar de los certificados con alguna otra pista que me dió las pruebas que iba haciendo xDDD
Perfecto, me lo suponía.

Cuando quieras probamos el acceso VPN a ver si funciona y me indicas como hacer las pruebas de velociudad en remoto. ;)
Cuando quieras. Ve a PPP-> Secrets y me creas un usuario y contraseña para L2TP. Me pasas ese detalle y el secreto compartido de IPSec y te pruebo yo mismo la conexión. Si lo quieres dar de alta en un móvil, sólo necesitas esos datos: url de conexión (la tienes en IP -> Cloud -> DDNS), usuario, contraseña y secreto compartido. Tu tipo de conexión es L2TP/IPsec, y recuerda que para probarlo has de hacerlo desde fuera de tu red, por ejemplo en una red móvil.

P.D.: Hace tiempo, cacharreando, instalé en el ruter algo quer se llama "The dude" ....relamente no lo uso para nada, pero en la seccion FIles me molesta mucho el guirigay de archivos y carpetas que me montó dicho plugin.....como se quita este plugin ?? ...o recomiendas tenerlo por algún motivo ?
P.D.2: el Tlf voIP ap`rece seguir haciendo de las suyas (el icono de la linea va y viene aleatoriamente) (ojala pudiera hacerte un video para que lo vieras xDD)
Ve a System -> Packages, localiza el dude, lo seleccionas y le das a uninstall. Una vez hecho, reinicia el equipo y se irá de ahí. Una vez hecho, puedes borrar todo el contenido de la carpeta Files.

Te paso pantallazo de la pagina del tlf SIP :

Verás la configuracion , y el estado (circulo verde) .....el estado cambia constantemente de "Registrado" a "error de registro" ......en otras palabras ....tengo un par de minutos de linea y otro par de minutos sin linea:
Tema teléfono: puede que tu línea simplemente esté expirando en el tiempo de registro, y el problema sea tan sencillo de resolver como bajar ese tiempo de expiración. Te paso como lo tengo yo en un garndstream. Búscate a alguien que le funcione con Yealink y que te pase su configuración, o abre un post aparte y mira a ver si alguien más ve algún problema. Yo, a simple vista, no lo veo.
1626600009919.png

1626600050037.png


Saludos!
 
Venga, vamos avanzando. Sobre lo que queda:


Perfecto, me lo suponía.


Cuando quieras. Ve a PPP-> Secrets y me creas un usuario y contraseña para L2TP. Me pasas ese detalle y el secreto compartido de IPSec y te pruebo yo mismo la conexión. Si lo quieres dar de alta en un móvil, sólo necesitas esos datos: url de conexión (la tienes en IP -> Cloud -> DDNS), usuario, contraseña y secreto compartido. Tu tipo de conexión es L2TP/IPsec, y recuerda que para probarlo has de hacerlo desde fuera de tu red, por ejemplo en una red móvil.
Te lo paso por privado .

Explicame que app necesito en el tlf para darlo de alta ??.... como haces pruebas de velocidad y todo eso ?
El VPN y el IPSecret que creamos para que se usan (vpn es para acceder a mi red en remoto usando el Link que te entrega mikrotik, entiendo .....pero IPSecret ??

Ve a System -> Packages, localiza el dude, lo seleccionas y le das a uninstall. Una vez hecho, reinicia el equipo y se irá de ahí. Una vez hecho, puedes borrar todo el contenido de la carpeta Files.

Voy a ello, pero no me has dicho si puede servir para algo, o mejor quitarlo ...... mejor me olvido de lios y lo quito ?? afecta en algo al rendimiento del rb4011 ?

Tema teléfono: puede que tu línea simplemente esté expirando en el tiempo de registro, y el problema sea tan sencillo de resolver como bajar ese tiempo de expiración. Te paso como lo tengo yo en un garndstream. Búscate a alguien que le funcione con Yealink y que te pase su configuración, o abre un post aparte y mira a ver si alguien más ve algún problema. Yo, a simple vista, no lo veo.



Saludos!

Sin tocar nada parece que se ha estabilizado el tema ....... misterios de la informatica
 
La VPN de tipo L2TP/IPSec se soporta de serie juraría en todos los teléfonos. ¿qué modelo tienes?

Dicha VPN tiene dos credenciales: el par usuario/contraseña, el cual se usa para autenticación, y el secreto compartido de IPSec, el cual se usa posteriormente para acordar las claves de encriptación entre los dos extremos. Necesitas ambas claves para poder conectarte. El par usuario y contraseña cambia por cada usuario. El secreto de IPSec es siempre el mismo y han de conocerlo ambos extremos (lado servidor y lado cliente)

Saludos!
 
La VPN de tipo L2TP/IPSec se soporta de serie juraría en todos los teléfonos. ¿qué modelo tienes?

Dicha VPN tiene dos credenciales: el par usuario/contraseña, el cual se usa para autenticación, y el secreto compartido de IPSec, el cual se usa posteriormente para acordar las claves de encriptación entre los dos extremos. Necesitas ambas claves para poder conectarte. El par usuario y contraseña cambia por cada usuario. El secreto de IPSec es siempre el mismo y han de conocerlo ambos extremos (lado servidor y lado cliente)

Saludos!
Tengo un iPĥone 11 Pro Max ....

Donde tengo que configurar todo esto que dices ??
 
Arriba