Duda conexión ISP => ¿Router o Switch?

A las buenas...

Desde hace más de un año que he seguido este foro y aprendido casi de cero el fabuloso mundo Mkrotik que me ha permitido configurar, dentro de mis limitaciones, los equipos de mi negocio, de mi casa y de algunos de mis colaboradores (via WireGuard Site to Site) para tareas domésticas, de trabajo y de teletrabajo, en los últimos días me ha asaltado una duda motivo por el que he intentado dilucidarla con las expuestas en este foro y con las ideas de todos aquellos que las aportan, sin que hasta el momento me queden claros algunos conceptos tales tales como monopuesto o mutipuesto aunque sé que a muchos de ustedes les parecerá una chorrada, por lo que de antemano les pido disculpas por el planteamiento. Quiero aclarar que no soy informático, solo un entusiasta con pretensiones de aprender, así que no me crucifiquen si digo alguna tontería.

La duda es la siguiente: A pesar de que he leído numerosas veces el manual de Configuraciones Básicas ISP, no logro distinguir aún (aplicadas a mi país, México) la diferencia entre monopuesto y multipuesto, pues en mi caso en particular tengo las conexiones que abajo reseño y la verdad no sé si estoy en lo correcto, a pesar de que el funcionamiento de la internet cumple las expectativas que tenemos mis corresponsales con las cargas de trabajo a ellos asignadas, no sé si con la eficiencia debida, pero si hemos logrado interconectarnos mediante WireGuard Site to Site entre las distintas "sedes" con entradas CNAME; a saber:

Conexión ISP 1 (sede central):
Fibra óptica 200/100; ONT Zyxel pmg5617-t20b; conexión vía PPPoE; modo puente; bridge con VLAN gestionadas por CCR2004.

Conexión ISP 2 (casa):
Fibra óptica 200/200 simétrica; IP dinámica; ONT Huawei HG8245Q2, conexión vía PPPoE; modo router (ISP no permite modo puente, aunque la ONT lo soporta). Todo el tráfico se dirige a router RB5009 a través de DMZ con la limitante de que no se pueden establecer rutas estáticas hacia el router Mikrotik; en éste a su vez, hemos creado un bridge con VLAN. En este sitio se encuentran los servidores a los que se conectan via VPN WireGuard los corresponsales. En el Cloud del Mikrotik (DDNS) aparece la leyenda de que se encuentra en doble NAT.

Conexión ISP 3 (corresponsalía 1):
Fibra óptica 200/100; IP dinámica; ONT Sercomm; conexión vía PPPoE; modo router (ISP no permite modo puente, aunque la ONT lo soporta). Todo el tráfico se dirige a router RB3011 a través de DMZ con la limitante de que no se pueden establecer rutas estáticas hacia el router Mikrotik; en éste a su vez, hemos creado un bridge con VLAN para separar la privada con la de teletrabajo. En el Cloud del Mikrotik (DDNS) aparece la leyenda de que se encuentra en doble NAT.

Conexión ISP 4 (corresponsalía 2):
ADSL 10/3; IP dinámica; modem Arkadian; conexión vía PPPoE; modo router (ISP no permite modo puente, aunque la ONT lo soporta). Todo el tráfico se dirige a router hAP AC3 a través de DMZ con ruta estática hacia el router Mikrotik; en éste a su vez, hemos creado un bridge con VLAN, para separar la privada con la de teletrabajo. En el Cloud del Mikrotik (DDNS) aparece la leyenda de que se encuentra en doble NAT.

Conexión ISP 5 (corresponsalía 3):
Cablemodem Arris TG862G/NA 15/5; IP dinámica; conexión coaxial DHCP. Todo el tráfico se dirige a router hEX S a través de modo puente; en éste a su vez, hemos creado un bridge con VLAN, para separar la privada con la de teletrabajo. IP pública compartida y además, a través de CGNAT, por lo que en el Cloud del Mikrotik (DDNS) aparece la leyenda de que se encuentra en doble NAT.

En resumen: salvo la conexión 1 (PPPoE con credenciales popoercinadas por el ISP) que tiene IP Púbica dinámica bien definida

La duda: no sé si, con base en la conexión de los correspondientes ISP, he configurado bien los equipos mikrotik en las diferentes sedes, pues para todos los casos he seguido al pie de la letra el manual de Primeros Pasos sin distinguir entre una conexión u otra, sin saber si es correcta dicha conexión. La configuración llevada a cabo debajo de esa conexión en todos los casos (LAN, VLAN, VPN, WIFI, Firewall, etc), de momento no está en duda, aunque si me lo permiten después la compartiré con ustedes para que me ayuden a ponerla fina

Les reitero que sean benevolentes conmigo, no soy informático.

Saludo cordiales
 
Hola @cp2t,

Te intento explicar las diferencias entre monopuesto y multipuesto, cosa que no es más que un invento de telefónica (lo que normalmente conocemos como "modo bridge" en otros operadores)

Multipuesto: un router normal de toda la vida, con todas sus tareas: firewall, nat, puertos, DHCP server, etc. Los distintos servicios que llegan por la WAN se destagguean en el router y se usan ahí directamente.

Monopuesto: Un modo extraño que se inventa Movistar para hacer lo mismo que lo anterior, pero sin llegar a levantar el cliente PPPoE desde el equipo CPE del operadora, sino desde algo que conecta a él. De esta manera podemos hacer llegar la IP pública al equipo que tenemos debajo, aunque los servicios de TV y teléfono sigan funcionando en el CPE del operador.

Dicho esto, reseñar que el comportamiento que describo es el de Movistar en España, donde me encuentro residiendo actualmente. Desconozco si en Mexico u otros países latinoamericanos la configuración es similar o si, por ejemplo, a Uds les entregan las direcciones IP sin PPPoE (vía DHCP, por ejemplo).

Dicho esto, evalúo tus configuraciones, sin conocer realmente los equipos que mencionas (en España prácticamente todas las instalaciones tienen ya un dispositivo "HGU", equipos "todo en uno" (ont + router + access point) Askey o Mitrastar muy similares en funciones).

cp2t dijo:
Conexión ISP 1 (sede central):
Fibra óptica 200/100; ONT Zyxel pmg5617-t20b; conexión vía PPPoE; modo puente; bridge con VLAN gestionadas por CCR2004.
Haz clic para expandir...
Entiendo que el cliente PPPoE lo levantas en el CCR, ¿correcto? Creo que ese sería el mejor setup que puedes montar, tal que la IP pública acabe manejada directamente por el CCR.

cp2t dijo:
Conexión ISP 2 (casa):
Fibra óptica 200/200 simétrica; IP dinámica; ONT Huawei HG8245Q2, conexión vía PPPoE; modo router (ISP no permite modo puente, aunque la ONT lo soporta). Todo el tráfico se dirige a router RB5009 a través de DMZ con la limitante de que no se pueden establecer rutas estáticas hacia el router Mikrotik; en éste a su vez, hemos creado un bridge con VLAN. En este sitio se encuentran los servidores a los que se conectan via VPN WireGuard los corresponsales. En el Cloud del Mikrotik (DDNS) aparece la leyenda de que se encuentra en doble NAT.
Haz clic para expandir...
Ese equipo Huawei está actuando como router (multipuesto) y deberías tratar de sustituirlo por una ONT transparente o al menos por otro que te permita pasar el PPPoE hacia abajo, como el que describes previamente en ISP 1. Si quieres evitar el doble NAT, podrías añadir rutas estáticas (si te lo permite) al Huawei y quitarle el NAT al Mikrotik. De esa manera, al menos, solventarías el tema del doble NAT.

cp2t dijo:
Conexión ISP 3 (corresponsalía 1):
Fibra óptica 200/100; IP dinámica; ONT Sercomm; conexión vía PPPoE; modo router (ISP no permite modo puente, aunque la ONT lo soporta). Todo el tráfico se dirige a router RB3011 a través de DMZ con la limitante de que no se pueden establecer rutas estáticas hacia el router Mikrotik; en éste a su vez, hemos creado un bridge con VLAN para separar la privada con la de teletrabajo. En el Cloud del Mikrotik (DDNS) aparece la leyenda de que se encuentra en doble NAT.
Haz clic para expandir...
Idéntico caso al anterior, y lo intentaría abordar de la misma manera.

cp2t dijo:
Conexión ISP 4 (corresponsalía 2):
ADSL 10/3; IP dinámica; modem Arkadian; conexión vía PPPoE; modo router (ISP no permite modo puente, aunque la ONT lo soporta). Todo el tráfico se dirige a router hAP AC3 a través de DMZ con ruta estática hacia el router Mikrotik; en éste a su vez, hemos creado un bridge con VLAN, para separar la privada con la de teletrabajo. En el Cloud del Mikrotik (DDNS) aparece la leyenda de que se encuentra en doble NAT.
Haz clic para expandir...
Siendo ADSL, puedes buscar cualquier modem neutro que soporte dicha tecnología, y el MIkrotik se encargaría del PPPoE, pudiendo solucionar el tema del doble NAT. En españa los datos del ADSL de telefónica son ampliamente conocidos, pero desconozco si es el mismo caso en Mexico.

cp2t dijo:
Conexión ISP 5 (corresponsalía 3):
Cablemodem Arris TG862G/NA 15/5; IP dinámica; conexión coaxial DHCP. Todo el tráfico se dirige a router hEX S a través de modo puente; en éste a su vez, hemos creado un bridge con VLAN, para separar la privada con la de teletrabajo. IP pública compartida y además, a través de CGNAT, por lo que en el Cloud del Mikrotik (DDNS) aparece la leyenda de que se encuentra en doble NAT.
Haz clic para expandir...
No hay mucho que puedes hacer si tu operador usa CG-NAT. En este caso, esa doble NAT no la podrías tratar.

Si te puedo ayudar en algún caso particular de los que describes, o tienes cualquier otra duda con una configuración específica, me dices y lo vemos.

Saludos desde el otro lado del charco!
 
A las buenas...

Ante todo una disculpa por contestar casi una semana después de tu amable respuesta, @pokoyo, los deberes estuvieron complicados.

Gracias a la inconfundible didáctica que te caracteriza creo haber entendido ambos conceptos; ahora me queda claro que no debo preocuparme tanto por la diferencia entre multipuesto y monopuesto, dado que se focaliza en España, por lo que me quedo con las dos formas que conozco y que son de uso general, al menos en mi país: modo puente y modo router.
pokoyo dijo:
Dicho esto, reseñar que el comportamiento que describo es el de Movistar en España, donde me encuentro residiendo actualmente. Desconozco si en Mexico u otros países latinoamericanos la configuración es similar o si, por ejemplo, a Uds les entregan las direcciones IP sin PPPoE (vía DHCP, por ejemplo).
Haz clic para expandir...
Desconozco la forma en la que los operadores entreguen las IP públicas en los demás países latinoamericanos, lo que tengo conocimiento es que en mi país el ISP dominante la entrega por defecto sin PPPoE, vía DHCP, por lo que después de solicitarla hay que armarse de paciencia y otras cosas para que te proporcione las credenciales, solo en este momento puedes configurar en modo puente el equipo proporcionado, de otra manera tendrás doble NAT. En el caso de los demás ISP, todos los competidores del dominante entregan la IP pública al usuario final por cable coaxial vía DHCP. Hay otros casos de ISP no tan comunes, tales como satelitales, WiFi, SD-WAN, LTE, etc, que desconozco como funcionan por lo que no me atrevo a reseñarlos.

pokoyo dijo:
Dicho esto, evalúo tus configuraciones, sin conocer realmente los equipos que mencionas (en España prácticamente todas las instalaciones tienen ya un dispositivo "HGU", equipos "todo en uno" (ont + router + access point) Askey o Mitrastar muy similares en funciones).
Haz clic para expandir...
Todos los equipos son proporcionados por el ISP, y aunque la creencia generalizada es que no son tan eficientes tampoco se pueden cambiar libremente por el usuario, como si es factible en otros países: el equipo que te instala es el que tienen disponible en ese momento sin posibilidad de elegirlo, por lo tanto no se puede sustitur por un router neutro. Al respecto, 3 de los equipos que he indicado (Zyxel, Huawei y Sercomm), encuadran perfectamente en la categoría de lo que indicas como HGU; los 2 restantes (Arkadyan y Arris) también podrían definirse como HGU, excepto que no tienen internamente ONT, sino módem, pues el Arkadyan tiene tecnología ADSL y el Arris por cable coaxial (aunque sabemos que es fibra óptica solo hasta el poste de la calle, de aquí al domicilio el bajante es coaxial).

Ahora bien, conforme a la evaluación que a priori hiciste de las conexiones que reseñé podríamos concluir que de la 1 y de la 5 mi duda está resuelta, pues la 1 está en modo puente por lo que gestiona el CCR2004 la IP pública sin problema alguno; respecto de la 5, al estar en CG-NAT, pues no hay nada que hacer.

Dado que como ya expresé líneas arriba no se pueden sustituir, no sé si sea factible afinar la conexión de los equipos 2 a 4 (Huawei, Sercomm y Arkadyan), pues como ya indiqué antes no es posible obtener las credenciales del ISP para ponerlos en modo puente, ni tampoco permiten configurar rutas estáticas. Lo más que he podido hacer es poner la dirección estática del Mikrotik en el HGU y dirigir a esa dirección el DMZ, pero no he intentado quitar la NAT del Mikrotik porque no sé si ello solucione el problema del doble NAT.

Saludos cordiales
 
Lo único que se me ocurre con los equipos del 2-4 es que investigues si tienen un modo avanzado de configuración (los HGU españoles lo tienen, uno muy básico y bonito “for dummies”, y otro más avanzado, donde se puede rascar un poco más). En ese modo avanzado, sí puedes crear una ruta estática, tal que sumada a la DMZ, convierta ese equipo en una especie de pasarela hacia el mikrotik, incluso pudiendo desactivar su firewall, ya que lo haría el de abajo. A su vez en mikrotik podrías borrar la NAT, ya que el router que te precede sabe cómo llegar a ti, sin necesidad de que el tráfico que generes le llegue con una IP de su propia subred (que es básicamente la traducción que hace la NAT)

Mucho más no te puedo ayudar compi, ya lo siento.

Saludos!
 
Debes estar conectado o registrado para responder aquí.

Similar threads

E
Trunk con WAN + LAN
Respuestas
14
Visitas
956
claudv
W
Router ONT Huawei EG8145X6 + Mikrotik
Respuestas
7
Visitas
1,589
EasyXploit
P
Problemas con ONT Huawei ISP local
Respuestas
5
Visitas
865
pokoyo
V
DIGI + MikroTik hAPax3 + ZTE ZXHN H3600. No funciona teléfono fijo
2 3
Respuestas
44
Visitas
1,719
pokoyo
diamuxin
Obtener internet con hAP en modo "station"
2
Respuestas
35
Visitas
1,847
diamuxin
Arriba