Depurando nueva instalación Mikrotik Jazztel/NEBA

Hola foreros.
Soy nuevo en el tema de Mikrotik, pero tengo bastante experiencia en la configuración de otras plataformas.

Harto de los fallos de firmware en ASUS he decidido cambiar mi instalación a Mikrotik y he empezado por adquirir un RB4011 WIFI para empezar a migrar mi instalación AiMESH de 2 AX92U.

La configuración que tengo actualmente es la siguiente:
Código: 
# may/31/2021 10:08:50 by RouterOS 6.48.2
# software id = 1R4Z-DVLJ
#
# model = RB4011iGS+5HacQ2HnD
# serial number = XXXXXXXXXXXX
/interface bridge
add admin-mac=XX:XX:XX:XX:XX:XX auto-mac=no name=BR_LAN protocol-mode=none
/interface vlan
add interface=ether9 name=VLAN_LAN vlan-id=1074
add interface=ether1 name=VLAN_WAN vlan-id=20
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment="Lista WAN" name=WAN
add comment="Lista LAN" name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk,wpa2-eap mode=dynamic-keys name=MikroTik \
    supplicant-identity=MikroTik
/interface wireless
set [ find default-name=wlan1 ] band=5ghz-a/n/ac channel-width=\
    20/40/80/160mhz-XXXXXXXX country=spain distance=indoors frequency=auto \
    installation=indoor mode=ap-bridge security-profile=MikroTik ssid=\
    MikroTik5 station-roaming=enabled wireless-protocol=802.11 wps-mode=\
    disabled
set [ find default-name=wlan2 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
    country=spain distance=indoors frequency=auto installation=indoor mode=\
    ap-bridge security-profile=MikroTik ssid=MikroTik station-roaming=enabled \
    wireless-protocol=802.11 wps-mode=disabled
/ip pool
add name=POOL_LAN ranges=192.168.2.201-192.168.2.254
add name=POOL_VOIP ranges=192.168.10.2-192.168.10.10
/ip dhcp-server
add address-pool=POOL_LAN disabled=no interface=BR_LAN name=DHCP_LAN
add address-pool=POOL_VOIP disabled=no interface=VLAN_LAN name=DHCP_VOIP
/ipv6 dhcp-server
add address-pool=POOL_IPV6 interface=BR_LAN name=DHCP_IPV6
/interface bridge port
add bridge=BR_LAN comment=LAN2 interface=ether2
add bridge=BR_LAN comment=LAN3 interface=ether3
add bridge=BR_LAN comment=LAN4 interface=ether4
add bridge=BR_LAN comment=LAN5 interface=ether5
add bridge=BR_LAN comment=LAN6 interface=ether6
add bridge=BR_LAN comment=LAN7 interface=ether7
add bridge=BR_LAN comment=LAN8 interface=ether8
add bridge=BR_LAN comment=LAN9 interface=ether9
add bridge=BR_LAN comment=LAN10 interface=ether10
add bridge=BR_LAN comment=SFP interface=sfp-sfpplus1
add bridge=BR_LAN comment=WLAN1 interface=wlan1
add bridge=BR_LAN comment=WLAN2 interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ipv6 settings
set accept-router-advertisements=yes
/interface detect-internet
set detect-interface-list=WAN
/interface list member
add comment="Bridge Principal" interface=BR_LAN list=LAN
add comment="VLAN VOIP" interface=VLAN_LAN list=LAN
add comment="Acceso ONT" interface=ether1 list=WAN
add comment="VLAN NEBA" interface=VLAN_WAN list=WAN
/ip address
add address=192.168.2.1/24 interface=BR_LAN network=192.168.2.0
add address=192.168.10.1/24 interface=VLAN_LAN network=192.168.10.0
add address=192.168.100.2/24 interface=ether1 network=192.168.100.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=WAN disabled=no interface=VLAN_WAN use-peer-dns=no
/ip dhcp-server lease
add address=192.168.10.2 client-id=1:XX:XX:XX:XX:XX:XX comment=Livebox \
    mac-address=XX:XX:XX:XX:XX:XX server=DHCP_VOIP
add address=192.168.2.6 client-id=1:XX:XX:XX:XX:XX:XX comment=AX92_1 \
    mac-address=XX:XX:XX:XX:XX:XX server=DHCP_LAN
add address=192.168.2.7 client-id=1:XX:XX:XX:XX:XX:XX comment=AX92_2 \
    mac-address=XX:XX:XX:XX:XX:XX server=DHCP_LAN
add address=192.168.2.8 client-id=1:XX:XX:XX:XX:XX:XX comment=GRANDSTREAM \
    mac-address=XX:XX:XX:XX:XX:XX server=DHCP_LAN
/ip dhcp-server network
add address=192.168.2.0/24 domain=lan gateway=192.168.2.1
add address=192.168.10.0/24 dns-server=208.67.222.222,8.8.8.8 domain=lan \
    gateway=192.168.10.1
/ip dns
set allow-remote-requests=yes cache-size=4096KiB servers=1.1.1.1,1.0.0.1
/ip dns static
add address=192.168.2.1 name=router.lan
add address=192.168.10.2 name=Livebox.lan
add address=192.168.2.6 name=AX92_1.lan
add address=192.168.2.7 name=AX92_2.lan
add address=192.168.2.8 name=ATA.lan
add address=192.168.100.1 name=ONT.lan
add address=212.106.212.22 name=ims.jazztel.net
/ip firewall address-list
add list=public-ip
add address=XXXXXXXXXXXX.sn.mynetname.net list=public-ip
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment=HairPin-NAT dst-address=\
    192.168.2.0/24 src-address=192.168.2.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=redirect chain=dstnat comment="Transparent DNS" dst-port=53 \
    protocol=udp to-ports=53
add action=dst-nat chain=dstnat comment=VNC dst-port=5911 in-interface=\
    VLAN_WAN protocol=tcp to-addresses=192.168.2.9 to-ports=5900
add action=dst-nat chain=dstnat comment=VNC dst-port=5910 in-interface=\
    VLAN_WAN protocol=tcp to-addresses=192.168.2.9 to-ports=5900
add action=dst-nat chain=dstnat comment=TRRT dst-port=38026 in-interface=\
    VLAN_WAN protocol=tcp to-addresses=192.168.2.9 to-ports=38026
add action=dst-nat chain=dstnat comment=SSH dst-port=16622 in-interface=\
    VLAN_WAN protocol=tcp to-addresses=192.168.2.64 to-ports=22
add action=dst-nat chain=dstnat comment=LBX dst-port=4080 in-interface=\
    VLAN_WAN protocol=tcp to-addresses=192.168.10.2 to-ports=4080
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.2.0/24
set ssh address=192.168.2.0/24
set www-ssl address=192.168.2.0/24 disabled=no
set api disabled=yes
set winbox address=192.168.2.0/24
set api-ssl disabled=yes
/ip smb
set domain=WORKGROUP enabled=yes interfaces=BR_LAN
/ip smb users
add name=myads read-only=no
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=BR_LAN type=internal
add interface=VLAN_WAN type=external
/ipv6 address
add address=::1 from-pool=POOL_IPV6 interface=BR_LAN
/ipv6 dhcp-client
add add-default-route=yes interface=VLAN_WAN pool-name=POOL_IPV6 request=\
    prefix script=":delay 5s;\r\
    \n/ipv6 address remove [find advertise=yes] \r\
    \n/ipv6 address add interface=BR_LAN address=::1/64 from-pool=POOL_IPV6 ad\
    vertise=yes"
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
add address=::224.0.0.0/100 comment="defconf: other" list=bad_ipv6
add address=::127.0.0.0/104 comment="defconf: other" list=bad_ipv6
add address=::/104 comment="defconf: other" list=bad_ipv6
add address=::255.0.0.0/104 comment="defconf: other" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/ipv6 firewall mangle
add action=change-mss chain=forward new-mss=clamp-to-pmtu out-interface=\
    VLAN_WAN passthrough=yes protocol=tcp tcp-flags=syn
/ipv6 nd
set [ find default=yes ] disabled=yes hop-limit=64 other-configuration=yes
add interface=BR_LAN other-configuration=yes
/system clock
set time-zone-name=Europe/Madrid
/system leds
add interface=wlan2 leds="wlan2_signal1-led,wlan2_signal2-led,wlan2_signal3-le\
    d,wlan2_signal4-led,wlan2_signal5-led" type=wireless-signal-strength
add interface=wlan2 leds=wlan2_tx-led type=interface-transmit
add interface=wlan2 leds=wlan2_rx-led type=interface-receive
/system scheduler
add interval=10m name=DynDNS on-event=DynDNS policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
    start-time=startup
/system script
add dont-require-permissions=no name=DynDNS owner=noadmin policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source="#\
    \_Set needed variables\r\
    \n\t:local username \"xxxxxx\"\r\
    \n\t:local password \"xxxxxx\"\r\
    \n\t:local hostname \"xxxxxx.xxxxxx.net\"\r\
    \n\r\
    \n\t:global dyndnsForce\r\
    \n\t:global previousIP\r\
    \n\r\
    \n# print some debug info\r\
    \n\t:log info (\"UpdateDynDNS: username = \$username\")\r\
    \n\t:log info (\"UpdateDynDNS: password = \$password\")\r\
    \n\t:log info (\"UpdateDynDNS: hostname = \$hostname\")\r\
    \n\t:log info (\"UpdateDynDNS: previousIP = \$previousIP\")\r\
    \n\r\
    \n# get the current IP address from the internet (in case of double-nat)\r\
    \n\t/tool fetch mode=http address=\"checkip.dyndns.org\" src-path=\"/\" ds\
    t-path=\"/dyndns.checkip.html\"\r\
    \n\t:delay 1\r\
    \n\t:local result [/file get dyndns.checkip.html contents]\r\
    \n\r\
    \n# parse the current IP result\r\
    \n\t:local resultLen [:len \$result]\r\
    \n\t:local startLoc [:find \$result \": \" -1]\r\
    \n\t:set startLoc (\$startLoc + 2)\r\
    \n\t:local endLoc [:find \$result \"</body>\" -1]\r\
    \n\t:local currentIP [:pick \$result \$startLoc \$endLoc]\r\
    \n\t:log info \"UpdateDynDNS: currentIP = \$currentIP\"\r\
    \n\r\
    \n# Remove the # on next line to force an update every single time - usefu\
    l for debugging,\r\
    \n# but you could end up getting blacklisted by DynDNS!\r\
    \n\r\
    \n#:set dyndnsForce true\r\
    \n\r\
    \n# Determine if dyndns update is needed\r\
    \n# more dyndns updater request details http://www.dyndns.com/developers/s\
    pecs/syntax.html\r\
    \n\r\
    \n\t:if ((\$currentIP != \$previousIP) || (\$dyndnsForce = true)) do={\r\
    \n\t\t:set dyndnsForce false\r\
    \n\t\t:set previousIP \$currentIP\r\
    \n\t\t:log info \"\$currentIP or \$previousIP\"\r\
    \n\t\t/tool fetch user=\$username password=\$password mode=http address=\"\
    members.dyndns.org\" \\\r\
    \n\t\tsrc-path=\"nic/update\?system=dyndns&hostname=\$hostname&myip=\$curr\
    entIP&wildcard=no\" \\\r\
    \n\t\tdst-path=\"/dyndns.txt\"\r\
    \n\t\t:delay 1\r\
    \n\t\t:local result [/file get dyndns.txt contents]\r\
    \n\t\t:log info (\"UpdateDynDNS: Dyndns update needed\")\r\
    \n\t\t:log info (\"UpdateDynDNS: Dyndns Update Result: \".\$result)\r\
    \n\t\t:put (\"Dyndns Update Result: \".\$result)\r\
    \n\t} else={\r\
    \n\t\t:log info (\"UpdateDynDNS: No dyndns update needed\")\r\
    \n\t}\r\
    \n"
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Todo funciona de acuerdo a mis expectativas:
IPV4/IPV6, LiveBox NEXT como ATA, velocidad 598/610 sobre fibra 600/600, servidores virtuales, y varios etc. más :)

Ahora las peticiones a los maestros:

El tema de la gestión de la DNS local, no me funciona en los equipos de la red, es decir al hacer ping a por ejemplo a router.lan desde un equipo en windows no me
lo resuelve, aunque indique que sea IPV4 (ping -4).
En IPV4 puedo indicar los DNS que quiero poner para resolver los dominios, pero en IPV6 no he encontrado el sitio para indicarlos y tengo que usar los del ISP dejando marcado el "Use Peer DNS" en la configuración del Cliente de IPV6.
En la definición de "interface list member" tengo que incluir el ether1 para acceder a la ONT en la lista WAN ya que si la meto en la LAN no me hace ping ¿Por que?

Y ahora una petición especial para @generalpirata en su hilo de "Configuración Triple VLAN Jazztel" habla de que tiene configurado un GrandStream como ATA para quitar el Livebox, yo he comprado un HT812 y tengo los datos SIP pero no consigo que se me registre aunque he comprobado sniffeando que la información que manda el Livebox la mando con el HT812. ¿Puedes echarme una mano?

Perdon por el Quijote que he escrito y un saludo.
 
Hola @myadsl, bienvenido al foro

myadsl dijo:
El tema de la gestión de la DNS local, no me funciona en los equipos de la red, es decir al hacer ping a por ejemplo a router.lan desde un equipo en windows no me
lo resuelve, aunque indique que sea IPV4 (ping -4).
En IPV4 puedo indicar los DNS que quiero poner para resolver los dominios, pero en IPV6 no he encontrado el sitio para indicarlos y tengo que usar los del ISP dejando marcado el "Use Peer DNS" en la configuración del Cliente de IPV6.
Haz clic para expandir...
Juraría que si declaras en IP -> DNS uno en formato IPv6, ya tienes lo que quieres. El "Use Peer DNS" del cliente DHCP lo que hará será meterlos en en la lista de IP's dinámicas de IP -> DNS. Pero, si lo especificas a mano en el DNS y le quietas esa opción al cliente DHCP, debería hacer lo mismo.

myadsl dijo:
En la definición de "interface list member" tengo que incluir el ether1 para acceder a la ONT en la lista WAN ya que si la meto en la LAN no me hace ping ¿Por que?
Haz clic para expandir...
Porque es la manaera más fácil de que se le aplique el masquerade con el out-interface-list=WAN. Si no, otra alternativa es hacer ese masquerade a mano, específico para esa subred. Sería algo así:
Código: 
/ip firewall nat
add action=masquerade chain=srcnat dst-address=192.168.100.0/24

Saludos!
 
myadsl dijo:
Y ahora una petición especial para @generalpirata en su hilo de "Configuración Triple VLAN Jazztel" habla de que tiene configurado un GrandStream como ATA para quitar el Livebox, yo he comprado un HT812 y tengo los datos SIP pero no consigo que se me registre aunque he comprobado sniffeando que la información que manda el Livebox la mando con el HT812. ¿Puedes echarme una mano?
Haz clic para expandir...
Buenas Tardes

Yo tuve el mismo ATA y por el tema de la configuración del SIP User Agent Header (que no se configura correctamente en estos dispositivos) no es posible usarlo en Jazztel. Te aconsejo los modelos HT701 (es el que tengo), HT801 o HT802. Con esos tres modelos he conseguido configurarlo correctamente, con otros modelos no me ha funcionado.

Para configurarlo seguí de forma literal este video
y me funcionó correctamente (para los tres modelos que te he comentado).

Espero que te sirva de ayuda.

Un saludo.
 
Hola @generalpirata, gracias por tu ayuda, el UserAgent aparentemente lo manda bien, lo que parece es que la password la han cambiado desde que la conseguí en su dia. Si cambio el UserAgent a uno no correcto ni me responde a la solicitud de REGISTER.

Por otro lado @pokoyo, gracias genio, el tema de los DNS es como indicas, se pueden poner en el DNS del menú IP, lo que me pasa es por usar IPV6 no funciona lo de la resolución de router.lan y resto de nombres de *.lan ya que el windows 10 se empeña en usar los servidores IPV6 antes de usar el propio del router. Supongo que tendré que crear una regla equivalente a la de IPV4 para bloquear el puerto 53 en el protocolo IPV6 en los dispositivos de la LAN.

Una cosa curiosa que me ha pasado, al desactivar el "Use Peer DNS" de IPV4 es que los dispositivos perdían conexión con internet (no resolvían nombres) aunque la red continuaba activa (podía trabajar en red local y el ping a IP numéricas funcionaban, al volver a marcarlo y hacer renew de las IP volvía la conexión. Parece que el servidor de DNS interno del Mikrotik se ha vuelto un poco sordo.

Lo que si es una pasada es poder jugar con la configuración online y lo más grave que te puede pasar es que se salga del WinBox, acostumbrado a otros router que hasta cambiando la cosa más simple se tenían que reiniciar.

Un saludo y otra vez, gracias por vuestra ayuda.
 
myadsl dijo:
Hola @generalpirata, gracias por tu ayuda, el UserAgent aparentemente lo manda bien, lo que parece es que la password la han cambiado desde que la conseguí en su dia. Si cambio el UserAgent a uno no correcto ni me responde a la solicitud de REGISTER.

Por otro lado @pokoyo, gracias genio, el tema de los DNS es como indicas, se pueden poner en el DNS del menú IP, lo que me pasa es por usar IPV6 no funciona lo de la resolución de router.lan y resto de nombres de *.lan ya que el windows 10 se empeña en usar los servidores IPV6 antes de usar el propio del router. Supongo que tendré que crear una regla equivalente a la de IPV4 para bloquear el puerto 53 en el protocolo IPV6 en los dispositivos de la LAN.

Una cosa curiosa que me ha pasado, al desactivar el "Use Peer DNS" de IPV4 es que los dispositivos perdían conexión con internet (no resolvían nombres) aunque la red continuaba activa (podía trabajar en red local y el ping a IP numéricas funcionaban, al volver a marcarlo y hacer renew de las IP volvía la conexión. Parece que el servidor de DNS interno del Mikrotik se ha vuelto un poco sordo.

Lo que si es una pasada es poder jugar con la configuración online y lo más grave que te puede pasar es que se salga del WinBox, acostumbrado a otros router que hasta cambiando la cosa más simple se tenían que reiniciar.

Un saludo y otra vez, gracias por vuestra ayuda.
Haz clic para expandir...
Me pasas un pantallazo de cómo tienes configurado el IP -> DNS. Además de meter una IPv6 como server, entiendo que las entradas de router.lan o loquesea.lan deberán ir con sus direcciones IPv6 también. De cualquier modo, no me he puesto a trastear mucho con IPv6 aún, ninguno de mis dos proveedores me lo ofrece a día de hoy.

Saludos!
 
Hola @pokoyo , ya a ser un poco complicado enviarte lo que has pedido. El resto dd la semana voy a estar de viaje y tengo que dejar aparcado el tema. Intentaré retomarlo el fin de semana. Un saludo y gracias por tu interés.
 
myadsl dijo:
Hola @pokoyo , ya a ser un poco complicado enviarte lo que has pedido. El resto dd la semana voy a estar de viaje y tengo que dejar aparcado el tema. Intentaré retomarlo el fin de semana. Un saludo y gracias por tu interés.
Haz clic para expandir...
Nada, descuida; ya lo veremos cuando estes de vuelta. Sin prisa.

Saludos!
 
Hola. Buenas....

Solo posteo para informar que el tema sigue vivo, pero me ha sido imposible dedicarle mucho tiempo. En el poco que he tenido he conseguido que el ata HT812 se registre y permita hacer llamadas, pero no recibirlas (da comunicando) y también he detectado que aunque tenía las tools de MKT actualizadas, el firmware no lo había actualizado correctamente, supongo que esto no es bueno para que las cosas funcionen como tienen que funcionar ;) .

@pokoyo en cuanto le pueda dedicar un poco de tiempo te envío capturas de los comportamientos extraños en el tema de las DNS con doble pila IPV4/IPV6 a ver si se te enciende la luz.

Saludos.
 
Hola de nuevo.

Bueno. Creo que ya tengo solucionado los problemas principales que tenía, resolución DNS tanto en IPV4 como IPV6 y tratamento del dominio .lan.
La configuración final (incluido filtrado de datos privados) es la siguiente:
Código: 
# jun/11/2021 18:55:00 by RouterOS 6.48.3
# software id = ZZZZ-ZZZZ
#
# model = RB4011iGS+5HacQ2HnD
# serial number = SNSNSNSNSNSN
/interface bridge
add admin-mac=XX:XX:XX:XX:XX:XX auto-mac=no name=BR_LAN protocol-mode=none
/interface vlan
add interface=ether9 name=VLAN_LAN vlan-id=1074
add interface=ether1 name=VLAN_WAN vlan-id=20
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment="Lista WAN" name=WAN
add comment="Lista LAN" name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk,wpa2-eap mode=dynamic-keys name=MikroTik \
    supplicant-identity=MikroTik wpa2-pre-shared-key=XXXXXXXXXX
/interface wireless
set [ find default-name=wlan1 ] band=5ghz-a/n/ac channel-width=\
    20/40/80/160mhz-XXXXXXXX country=spain distance=indoors frequency=auto \
    installation=indoor mode=ap-bridge security-profile=MikroTik ssid=\
    MikroTik5 station-roaming=enabled wireless-protocol=802.11 wps-mode=\
    disabled
set [ find default-name=wlan2 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
    country=spain distance=indoors frequency=auto installation=indoor mode=\
    ap-bridge security-profile=MikroTik ssid=MikroTik station-roaming=enabled \
    wireless-protocol=802.11 wps-mode=disabled
/ip pool
add name=POOL_LAN ranges=192.168.2.201-192.168.2.254
add name=POOL_VOIP ranges=192.168.10.2-192.168.10.10
/ip dhcp-server
add address-pool=POOL_LAN disabled=no interface=BR_LAN name=DHCP_LAN
add address-pool=POOL_VOIP disabled=no interface=VLAN_LAN lease-time=12h \
    name=DHCP_VOIP
/ipv6 dhcp-server
add address-pool=POOL_IPV6 interface=BR_LAN name=DHCP_IPV6
/interface bridge port
add bridge=BR_LAN comment=LAN2 interface=ether2
add bridge=BR_LAN comment=LAN3 interface=ether3
add bridge=BR_LAN comment=LAN4 interface=ether4
add bridge=BR_LAN comment=LAN5 interface=ether5
add bridge=BR_LAN comment=LAN6 interface=ether6
add bridge=BR_LAN comment=LAN7 interface=ether7
add bridge=BR_LAN comment=LAN8 interface=ether8
add bridge=BR_LAN comment=LAN9 interface=ether9
add bridge=BR_LAN comment=LAN10 interface=ether10
add bridge=BR_LAN comment=SFP interface=sfp-sfpplus1
add bridge=BR_LAN comment=WLAN1 interface=wlan1
add bridge=BR_LAN comment=WLAN2 interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ip settings
set tcp-syncookies=yes
/ipv6 settings
set accept-router-advertisements=yes
/interface detect-internet
set detect-interface-list=WAN
/interface list member
add comment="Bridge Principal" interface=BR_LAN list=LAN
add comment="VLAN VOIP" interface=VLAN_LAN list=LAN
add comment="Acceso ONT" interface=ether1 list=WAN
add comment="VLAN NEBA" interface=VLAN_WAN list=WAN
/ip address
add address=192.168.2.1/24 interface=BR_LAN network=192.168.2.0
add address=192.168.10.1/24 interface=VLAN_LAN network=192.168.10.0
add address=192.168.100.2/24 interface=ether1 network=192.168.100.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=WAN disabled=no interface=VLAN_WAN use-peer-dns=no
/ip dhcp-server lease
add address=192.168.10.2 client-id=1:ca:fe:ca:fe:ca:fe comment=Livebox \
    mac-address=CA:FE:CA:FE:CA:FE server=DHCP_VOIP
add address=192.168.2.6 client-id=1:fe:fe:fe:fe:fe:fe comment=AX92_1 \
    mac-address=FE:FE:FE:FE:FE:FE server=DHCP_LAN
add address=192.168.2.7 client-id=1:fe:fe:fe:fe:fe:ca comment=AX92_2 \
    mac-address=FE:FE:FE:FE:FE:CA server=DHCP_LAN
add address=192.168.2.8 client-id=1:ef:ef:ef:ef:ef:ef comment=GRANDSTREAM \
    mac-address=EF:EF:EF:EF:EF:EF server=DHCP_LAN
add address=192.168.2.9 client-id=1:aa:aa:aa:aa:aa:aa comment=HULK-PC \
    mac-address=AA:AA:AA:AA:AA:AA server=DHCP_LAN
/ip dhcp-server network
add address=192.168.2.0/24 dns-server=192.168.2.1 domain=lan gateway=\
    192.168.2.1
add address=192.168.10.0/24 dns-server=192.168.2.1 domain=voip gateway=\
    192.168.10.1
/ip dns
set allow-remote-requests=yes cache-size=4096KiB servers=1.1.1.1,1.0.0.1
/ip dns static
add address=192.168.2.1 name=router.lan
add address=fe80::yyyy:yyyy:yyyy:yyyy name=router.lan type=AAAA
add address=192.168.2.6 name=router.asus.com
add address=192.168.2.6 name=AX92_1.lan
add address=192.168.2.7 name=AX92_2.lan
add address=192.168.2.8 name=ATA.lan
add address=192.168.2.9 name=HULK-PC.lan
add address=fe80::xxxx:xxxx:xxxx:xxxx name=HULK-PC.lan type=AAAA
add address=192.168.100.1 name=ONT.lan
add address=192.168.10.2 name=Livebox.lan
add address=212.106.212.22 name=ims.jazztel.net
/ip firewall address-list
add list=public-ip
add address=snsnsnsnsnsn.sn.mynetname.net list=public-ip
add list=Boqueo-DOS
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=add-src-to-address-list address-list=Boqueo-DOS \
    address-list-timeout=none-dynamic chain=input comment=\
    "BLOQUEO ATAQUES DOS" connection-limit=10,32 protocol=tcp
add action=tarpit chain=input connection-limit=3,32 protocol=tcp \
    src-address-list=Boqueo-DOS
add action=drop chain=input dst-port=53 in-interface-list=WAN protocol=udp
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=jump chain=forward comment="SYN Flood protect" connection-state=\
    new jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=accept chain=SYN-Protect connection-state=new limit=400,5 \
    protocol=tcp tcp-flags=syn
add action=drop chain=SYN-Protect connection-state=new log-prefix=SYN \
    protocol=tcp tcp-flags=syn
/ip firewall nat
add action=masquerade chain=srcnat comment=HairPin-NAT dst-address=\
    192.168.2.0/24 src-address=192.168.2.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=redirect chain=dstnat comment="Transparent DNS" dst-port=53 \
    protocol=udp to-ports=53
add action=dst-nat chain=dstnat comment=VNC dst-address-list=public-ip \
    dst-port=5911 protocol=tcp to-addresses=192.168.2.9 to-ports=5900
add action=dst-nat chain=dstnat comment=VNC dst-port=5910 in-interface=\
    VLAN_WAN protocol=tcp to-addresses=192.168.2.9 to-ports=5900
add action=dst-nat chain=dstnat comment=TRRT dst-port=38026 in-interface=\
    VLAN_WAN protocol=tcp to-addresses=192.168.2.9 to-ports=38026
add action=dst-nat chain=dstnat comment=SSH dst-port=16622 in-interface=\
    VLAN_WAN protocol=tcp to-addresses=192.168.2.64 to-ports=22
add action=dst-nat chain=dstnat comment=LBX disabled=yes dst-port=4080 \
    in-interface=VLAN_WAN protocol=tcp to-addresses=192.168.10.2 to-ports=\
    4080
add action=dst-nat chain=dstnat comment=LBX dst-address-list=public-ip \
    dst-port=4080 protocol=tcp to-addresses=192.168.10.2 to-ports=4080
add action=dst-nat chain=dstnat comment="VNC WLAN" dst-port=5920 \
    in-interface=VLAN_WAN protocol=tcp to-addresses=192.168.2.10 to-ports=\
    5900
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.2.0/24,fe80::/64
set ssh address=192.168.2.0/24
set www-ssl address=192.168.2.0/24 disabled=no
set api disabled=yes
set winbox address=192.168.2.0/24
set api-ssl disabled=yes
/ip smb
set domain=WORKGROUP enabled=yes interfaces=BR_LAN
/ip smb users
add name=mmmmmm password=mmmmm read-only=no
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=BR_LAN type=internal
add interface=VLAN_WAN type=external
/ipv6 address
add address=::1 from-pool=POOL_IPV6 interface=BR_LAN
/ipv6 dhcp-client
add add-default-route=yes interface=VLAN_WAN pool-name=POOL_IPV6 request=\
    prefix script=":delay 5s;\r\
    \n/ipv6 address remove [find advertise=yes] \r\
    \n/ipv6 address add interface=BR_LAN address=::1/64 from-pool=POOL_IPV6 ad\
    vertise=yes" use-peer-dns=no
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
add address=::224.0.0.0/100 comment="defconf: other" list=bad_ipv6
add address=::127.0.0.0/104 comment="defconf: other" list=bad_ipv6
add address=::/104 comment="defconf: other" list=bad_ipv6
add address=::255.0.0.0/104 comment="defconf: other" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/ipv6 firewall mangle
add action=change-mss chain=forward new-mss=clamp-to-pmtu out-interface=\
    VLAN_WAN passthrough=yes protocol=tcp tcp-flags=syn
/ipv6 nd
set [ find default=yes ] disabled=yes hop-limit=64 other-configuration=yes
add interface=BR_LAN other-configuration=yes
add interface=VLAN_LAN other-configuration=yes
/system clock
set time-zone-name=Europe/Madrid
/system leds
add interface=wlan2 leds="wlan2_signal1-led,wlan2_signal2-led,wlan2_signal3-le\
    d,wlan2_signal4-led,wlan2_signal5-led" type=wireless-signal-strength
add interface=wlan2 leds=wlan2_tx-led type=interface-transmit
add interface=wlan2 leds=wlan2_rx-led type=interface-receive
/system scheduler
add interval=10m name=DynDNS on-event=DynDNS policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
    start-time=startup
/system script
add dont-require-permissions=no name=DynDNS owner=noadmin policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source="#\
    \_Set needed variables\r\
    \n\t:local username \"mmmmmm\"\r\
    \n\t:local password \"mmmmmm\"\r\
    \n\t:local hostname \"mmmmmm.mmmmmm.net\"\r\
    \n\r\
    \n\t:global dyndnsForce\r\
    \n\t:global previousIP\r\
    \n\r\
    \n# print some debug info\r\
    \n\t:log info (\"UpdateDynDNS: username = \$username\")\r\
    \n\t:log info (\"UpdateDynDNS: password = \$password\")\r\
    \n\t:log info (\"UpdateDynDNS: hostname = \$hostname\")\r\
    \n\t:log info (\"UpdateDynDNS: previousIP = \$previousIP\")\r\
    \n\r\
    \n# get the current IP address from the internet (in case of double-nat)\r\
    \n\t/tool fetch mode=http address=\"checkip.dyndns.org\" src-path=\"/\" ds\
    t-path=\"/dyndns.checkip.html\"\r\
    \n\t:delay 1\r\
    \n\t:local result [/file get dyndns.checkip.html contents]\r\
    \n\r\
    \n# parse the current IP result\r\
    \n\t:local resultLen [:len \$result]\r\
    \n\t:local startLoc [:find \$result \": \" -1]\r\
    \n\t:set startLoc (\$startLoc + 2)\r\
    \n\t:local endLoc [:find \$result \"</body>\" -1]\r\
    \n\t:local currentIP [:pick \$result \$startLoc \$endLoc]\r\
    \n\t:log info \"UpdateDynDNS: currentIP = \$currentIP\"\r\
    \n\r\
    \n# Remove the # on next line to force an update every single time - usefu\
    l for debugging,\r\
    \n# but you could end up getting blacklisted by DynDNS!\r\
    \n\r\
    \n#:set dyndnsForce true\r\
    \n\r\
    \n# Determine if dyndns update is needed\r\
    \n# more dyndns updater request details http://www.dyndns.com/developers/s\
    pecs/syntax.html\r\
    \n\r\
    \n\t:if ((\$currentIP != \$previousIP) || (\$dyndnsForce = true)) do={\r\
    \n\t\t:set dyndnsForce false\r\
    \n\t\t:set previousIP \$currentIP\r\
    \n\t\t:log info \"\$currentIP or \$previousIP\"\r\
    \n\t\t/tool fetch user=\$username password=\$password mode=http address=\"\
    members.dyndns.org\" \\\r\
    \n\t\tsrc-path=\"nic/update\?system=dyndns&hostname=\$hostname&myip=\$curr\
    entIP&wildcard=no\" \\\r\
    \n\t\tdst-path=\"/dyndns.txt\"\r\
    \n\t\t:delay 1\r\
    \n\t\t:local result [/file get dyndns.txt contents]\r\
    \n\t\t:log info (\"UpdateDynDNS: Dyndns update needed\")\r\
    \n\t\t:log info (\"UpdateDynDNS: Dyndns Update Result: \".\$result)\r\
    \n\t\t:put (\"Dyndns Update Result: \".\$result)\r\
    \n\t} else={\r\
    \n\t\t:log info (\"UpdateDynDNS: No dyndns update needed\")\r\
    \n\t}\r\
    \n"
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
/tool sniffer
set file-name=pcap2z.pcap filter-interface=ether9

En "/ip dns" están incluidos los dos registros el AA de IPV4 y AAAA de IPV6.
Y lo más importante y que me traía de cabeza: no es necesario especificar servidores DNS IPV6 ya que los de Cloud lo gestiona con doble pila.
He tenido que hacer un filtrado de SYN-Flood y de DDos ya que he tenido varios ataques. Me gustaría @pokoyo que lo revisaras a ver si está bien construidas las reglas y colocadas en el sitio correcto.

El acceso a traves de SMB al router funciona sin problemas accediendo a la carpeta "pub" del Files.

Lo que me queda por solucionar es que aparecen el el cache de DNS nombres con caracteres aleatorios terminados en .lan , ejem: cjtxbgcccrshae.lan, dxmwgzmdqwxh.lan, etc todos con la IP 0.0.0.0

También me queda el tema del ATA HT812 que ya si eso lo miro este fin de semana, aunque me inclino a pensar que es un tema de que no le entran los INVITE de la llamada o los rechaza por algún tema de IP's.

Un saludo y espero que os sirva para si quereis aplicarlo a vuestras instalaciones.
 
Última edición:
Le pongo una chincheta a tu post y lo reviso mañana con cariño. Me interesa mucho el tema. By the way, enhorabuena por el setup.

Saludos!
 
myadsl dijo:
He tenido que hacer un filtrado de SYN-Flood y de DDos ya que he tenido varios ataques. Me gustaría @pokoyo que lo revisaras a ver si está bien construidas las reglas y colocadas en el sitio correcto.
Haz clic para expandir...
Las reglas parecen correctas, están sacadas de la wiki (te recomiendo leas también la documentación nueva de confluence)
Pero dudo si esta regla está en su sitio:
Código: 
add action=jump chain=forward comment="SYN Flood protect" connection-state=\
    new jump-target=SYN-Protect protocol=tcp tcp-flags=syn
Yo subiría esa regla para que se ejecute justo antes del fasttrack o inmediatamente después. Ahora mismo, no sabría decirte cuál es su posición correcta, pero lo puedes mirar con el conteo de paquetes.

Por otro lado, esta regla del chain de input carece de sentido, yo la quitaría:
Código: 
add action=drop chain=input dst-port=53 in-interface-list=WAN protocol=udp
puesto que tienes una regla más general justo debajo que va a capturar también ese tráfico, y es esta:
Código: 
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
Es decir, al chain de input no le van a llegar peticiones DNS más que de elementos de dentro de la LAN.

Y, para rematar, te diría que revisaras el NAT teniendo en cuenta dos cosas:
  • Si usas hairpin nat, transforma el resto de reglas para que, en lugar de usar como filtro la interfaz WAN, usen como filtro dst-address-list=public-ip como ya haces en alguna de ellas.
  • Y lo más importante: plantéate cerrar esos puertos y montar un VPN en el router. Puede que los ataques de sync flood vengan por ahí, porque algún script haya detectado algún puerto que le guste, y esté tratando de ver hasta dónde llega.

myadsl dijo:
El acceso a traves de SMB al router funciona sin problemas accediendo a la carpeta "pub" del Files.
Haz clic para expandir...
Para qué lo usas, concretamente? Mera curiosidad.

myadsl dijo:
Lo que me queda por solucionar es que aparecen el el cache de DNS nombres con caracteres aleatorios terminados en .lan , ejem: cjtxbgcccrshae.lan, dxmwgzmdqwxh.lan, etc todos con la IP 0.0.0.0
Haz clic para expandir...
Usas Chrome, ¿verdad? Pues me da que vienen de ahí: https://www.reddit.com/r/mikrotik/comments/704cix
Y una duda que me surge: ¿porqué tienes configurada la VLAN 1074 (que la usa Jazztel como VLAN principal) para el teléfono, si luego le estás dando un puerto concreto? ¿qué efecto pretendes conseguir dándole esa VLAN?

Saludos!
 
Hola @pokoyo.

Gracias por dedicar un poco de tiempo al tema.

Respecto al tema del SYN-Flood, si detecta trafico y lo bloquea donde está. Lo voy a poner antes del fasttrack para probarlo.

La regla del puerto 53 fallo mio, la puse inicialmente para probar la captura del trafico del DNS y se me olvidó quitala despues.

El tema del NAT y el Hairpin tienes toda la razón, lo puse para poder probar cosas en local y luego no lo completé con el resto de las reglas, otro olvido :mad: . Respecto al tema de los puertos abiertos, algunos los tengo que dejar así por necesidades profesionales (he quitado los puertos que uso para el curro) y por ahora no puedo llevarme una VPN a todos los sitios que me gustaría.

Con el tema del DNS me dejas más tranquilo, no entedía nada de lo que estaba sucediendo, aunque yo no uso Chrome, soy de Mozilla a muerte, mi hijo si lo usa y supongo que los móviles también serán responsables.

Por ultimo, el tema de la VLAN 1074, es un truco que me inventé hace años para el tema de Jazztel y sus Livebox y algunos router (ASUS) que usaba antes, te lo resumo y si le vale a alguien que lo use: Hasta ahora uso el router Jazztel como ATA detrás del router neutro que recibe internet por la VLAN20, si colocaba el Livebox con la configuración de Jazztel/NEBA funcionaba pero tras un periodo de tiempo indeterminado, tomaba posesión de la comunicación convirtiendo el router neutro en un simple cable sin conexión a internet y sin dar servicio a los equipos que tenía colgados. Por el contrario, si hacía el truco de reetiquetar la VLAN a la 1074 y ponía el Livebox como Jazztel directo, la conexión permanecía estable por meses, ¿razon? no lo se pero supongo que sería por problemas en el firmware del ASUS que perdía los papeles. Lo tenía posteado en lafibra.info pero la página ha desaparecido. Lo tenía tan asumido que no he en pensado y lo he implementado directamente.

De todas formas el quitar el Livebox totalmente era una espinita clavada que tengo y por eso voy a sustituirlo por otra cosa y ahi entra el HT812 y en ello estoy ahora, cuando lo consiga lo postearé, por cierto en algún momento cambiaron la clave que se dejo olvidada ;) el instalador y he tenido que desencriptarla por fuerza bruta con un programilla en Python.

Lo del SMB lo he probado por si alguna vez añaden USB's para usarlo como servidor de archivos en la red.

Voy a ver si consigo hacer un apaño con la VPN de la empresa (que es un co*azo y es propietaria).

Por cierto, adjunto imagen de la resolución DNS del Mikrotik.

Un saludo, seguiré preguntando alguna cosilla más.
 

Adjuntos

  • Captura.JPG
    Captura.JPG
    74.5 KB · Visitas: 122
Última edición:
myadsl dijo:
Hola @pokoyo.

Gracias por dedicar un poco de tiempo al tema.

Respecto al tema del SYN-Flood, si detecta trafico y lo bloquea donde está. Lo voy a poner antes del fasttrack para probarlo.

La regla del puerto 53 fallo mio, la puse inicialmente para probar la captura del trafico del DNS y se me olvidó quitala despues.

El tema del NAT y el Hairpin tienes toda la razón, lo puse para poder probar cosas en local y luego no lo completé con el resto de las reglas, otro olvido :mad: . Respecto al tema de los puertos abiertos, algunos los tengo que dejar así por necesidades profesionales (he quitado los puertos que uso para el curro) y por ahora no puedo llevarme una VPN a todos los sitios que me gustaría.

Con el tema del DNS me dejas más tranquilo, no entedía nada de lo que estaba sucediendo, aunque yo no uso Chrome, soy de Mozilla a muerte, mi hijo si lo usa y supongo que los móviles también serán responsables.

Por ultimo, el tema de la VLAN 1074, es un truco que me inventé hace años para el tema de Jazztel y sus Livebox y algunos router (ASUS) que usaba antes, te lo resumo y si le vale a alguien que lo use: Hasta ahora uso el router Jazztel como ATA detrás del router neutro que recibe internet por la VLAN20, si colocaba el Livebox con la configuración de Jazztel/NEBA funcionaba pero tras un periodo de tiempo indeterminado, tomaba posesión de la comunicación convirtiendo el router neutro en un simple cable sin conexión a internet y sin dar servicio a los equipos que tenía colgados. Por el contrario, si hacía el truco de reetiquetar la VLAN a la 1074 y ponía el Livebox como Jazztel directo, la conexión permanecía estable por meses, ¿razon? no lo se pero supongo que sería por problemas en el firmware del ASUS que perdía los papeles. Lo tenía posteado en lafibra.info pero la página ha desaparecido. Lo tenía tan asumido que no he en pensado y lo he implementado directamente.

De todas formas el quitar el Livebox totalmente era una espinita clavada que tengo y por eso voy a sustituirlo por otra cosa y ahi entra el HT812 y en ello estoy ahora, cuando lo consiga lo postearé, por cierto en algún momento cambiaron la clave que se dejo olvidada ;) el instalador y he tenido que desencriptarla por fuerza bruta con un programilla en Python.

Voy a ver si consigo hacer un apaño con la VPN de la empresa (que es un co*azo y es propietaria).

Por cierto, adjunto imagen de la resolución DNS del Mikrotik.

Un saludo, seguiré preguntando alguna cosilla más.
Haz clic para expandir...
Otra cosa que se me pasó comentarte: mikrotik te regala un dominio ddns (subdominio, mejor dicho) con cada router. Lo tienes en IP -> Cloud -> DDNS. Lo digo por si te quieres olvidar del script o configurar tu dominio como CNAME del de mikrotik, que se mantiene actualizado el solito. Todos llevan el mismo formato, el número de serie de tu equipo seguido del subdominio .sn.mynetname.net. Es un chorizo infumable pero te quitas el rollo del script.

Saludos!
 
pokoyo dijo:
Otra cosa que se me pasó comentarte: mikrotik te regala un dominio ddns (subdominio, mejor dicho) con cada router. Lo tienes en IP -> Cloud -> DDNS. Lo digo por si te quieres olvidar del script o configurar tu dominio como CNAME del de mikrotik, que se mantiene actualizado el solito. Todos llevan el mismo formato, el número de serie de tu equipo seguido del subdominio .sn.mynetname.net. Es un chorizo infumable pero te quitas el rollo del script.

Saludos!
Haz clic para expandir...
Lo he tenido en cuenta y lo tengo definido, el asunto es que estoy pagando a dyn unos servicios de dns dinamica y pues como lo tendré que usar, digo yo. El tema del CNAME donde lo tengo que definir? en dyndns o en mikrotik?

Un saludo.
 
myadsl dijo:
Lo he tenido en cuenta y lo tengo definido, el asunto es que estoy pagando a dyn unos servicios de dns dinamica y pues como lo tendré que usar, digo yo. El tema del CNAME donde lo tengo que definir? en dyndns o en mikrotik?

Un saludo.
Haz clic para expandir...
En tu ddns. Es una asociación entre un dominio que tú tengas y otro al que apuntas.

Saludos!
 
pokoyo dijo:
En tu ddns. Es una asociación entre un dominio que tú tengas y otro al que apuntas.

Saludos!
Haz clic para expandir...
Eso lo intenté en su dia, en dynamic-DNS de dyn.com existe el concepto de WebHop que redirige una URL a otra URL pero no funciona siempre me envía a la IP 216.146.38.125, que no es la mia. No existe (o no encuentro) la posibilidad de crear un CNAME.

Ayuda de WebHop

Un saludo.
 
myadsl dijo:
Eso lo intenté en su dia, en dynamic-DNS de dyn.com existe el concepto de WebHop que redirige una URL a otra URL pero no funciona siempre me envía a la IP 216.146.38.125, que no es la mia. No existe (o no encuentro) la posibilidad de crear un CNAME.

Ayuda de WebHop

Un saludo.
Haz clic para expandir...
Joder, qué manía de inventarse nombres o reinventar la rueda. El concepto de CNAME es un alias. Una dominio alias de otro. Prueba de nuevo eso del webhop, a ver si te deja. Y asegúrate de tener marcado el check de DDNS en IP > Cloud
Código: 
/ip cloud set ddns-enabled=yes

Saludos!
 
pokoyo dijo:
Joder, qué manía de inventarse nombres o reinventar la rueda. El concepto de CNAME es un alias. Una dominio alias de otro. Prueba de nuevo eso del webhop, a ver si te deja. Y asegúrate de tener marcado el check de DDNS en IP > Cloud
Código: 
/ip cloud set ddns-enabled=yes

Saludos!
Haz clic para expandir...
Ya lo he probado hace un rato, y... sorpresa... funciona si es una página web http "o" https (ojo con el "o", es un o exclusivo) y solo funciona en los navegadores. El concepto CNAME si lo tienen definido en el mundo Standard-DNS (IP fijas) y sirve para poner alias a la misma IP (fija), la leche.

De todas formas, gracias por tu interés.

Salu2.
 
Buenas.

Despues de unos días sin tocar el tema, ayer por la tarde conseguí que el ATA HT812 se registre y reciba/envíe llamadas sin ningún tipo de corte y, no se si es apreciación mía, con mejor calidad de sonido, pudiera ser que utiliza algún codec de mejor calidad.

Paso siguiente, establecer las VPN con la empresa y con los móviles de la family. He visto que en la empresa usan algo parecido al WireGuard (estoy casi seguro) pero creo que no está implementado en RouterOS v6 ¿no? y que tendríamos que esperar a la liberación de la v7, por otro lado tengo en mi ordenador "aparcao" un tunel openvpn(cliente) que me configuré hace años y que ya no utilizo.

Por cierto, ayer me llegó una notificación de que han implementado wifi-ac en algunos router (entre ellos el RB4011), pero también con la v7. Lastima y a ver cuando se deciden a liberarla que entre unas cosas y otras me están poniendo los dientes largos.

Un saludo y sigo investigando.
 
Debes estar conectado o registrado para responder aquí.

Similar threads

P
Problemas Vodafone TV NEBA
Respuestas
3
Visitas
433
PaNg
E
Cerbot renovación
Respuestas
2
Visitas
406
pokoyo
V
DIGI + MikroTik hAPax3 + ZTE ZXHN H3600. No funciona teléfono fijo
2 3
Respuestas
45
Visitas
2,235
negronoir
O
Problema con DNS
Respuestas
9
Visitas
347
pokoyo
D
Dudas hAP ax3
2
Respuestas
22
Visitas
1,727
Donette
Arriba