Dudas HAP AC3

Muy buenas,

Primero enhorabuena por el foro, he dado con el buscando info de routers y veo dais una información de calidad y muy profesional y eso siempre es de agradecer.

Veréis, estoy interesado en el mikrotik hap ac3 pero hay un par de cosas que me tiran para atrás.

Os explico primero mi caso,

Tengo la fibra con Adamo, solo fibra, sabréis que adamo no tiene cg-nat y no es que den una única IP v4 sino que dan dos de ellas simultáneamente, una la coge el propio router y monta una NAT en los puertos eth1 a 3 y wifi, donde tengo la red doméstica, mientras la otra IP v4 está en bridge por el puerto eth4, aquí tengo un pequeño servidor casero, en el servidor ya tengo un firewall por software y por defecto cierro todos los puertos y abro solo los que me interesan.

El hardware es ONT y router por separado, el router es un Inteno DG200 (que por cierto Inteno se unió o fue absorbido por Genexis manteniendo este último nombre, por si queréis buscar las especificaciones ya no lo encontrareis como Inteno sino como genexis https://genexis.eu/content/uploads/2020/10/DG200-Series-Datasheet-v2.1-EN.pdf )

Mis dudas.

La primera de ellas es si habéis podido configurar el mikrotik, o tenéis claro cómo hacerlo, para mantener esta configuración con las dos ip v4, una en un puerto eth en bridge y la otra que la coja el router y monte una NAT en los puertos restantes y wifi, supongo que sera decirle tal puerto eth con esta VLAN y el resto con esta otra VLAN.

Se que con una sola IPv4 sería suficiente y podría hacer una reserva y redirigir los puertos a una Ip local de la NAT o bien ponerla directamente en DMZ, pero no es ese el punto, el punto es que si actualmente adamo me ofrece 2 ip v4 dinámicas quiero mantenerlas ambas.

Segunda duda, he leído por aquí que mikrotik no brilla en wifi, pero ya no se si decíais esto comparándolo con otros routers neutros de similar o superior precio (como Asus RT-AC68U) o si no brilla en wifi incluso comparándolo con routers más modestos de los que ponen las operadoras, no me gustaría tener menor alcance en wifi, ya veo que el mio actual es ac 3x3 y el hap ac3 seria ac 2x2... y no sé si con los 100€ que cuesta el HAP ac3 (o gastando un poco más però tampoco demasiado) hay otras alternativas mejores como un HEX con PoE y algún AP que se alimentara tambien con POE... en este caso que AP recomendaríais que no se dispare mucho de precio pues no he mirado y con APs voy más perdido.

Gracias y perdón por el “ladrillo”, he querido explicarme bien y no dejarme nada.

Saludos
 
PD.: no he dicho el uso de mi wifi, en 2.4Ghz tengo unos 6 cacharros de domotica. en wifi 5ghz un par de moviles, la tv la quite de la wifi 5ghz y la conecte por cable, me parecio mejor, un cacharro menos en la wifi.
 
Hola!

No creo que puedas replicar, al menos de una manera sencilla, la configuración del router de Adamo en el mikrotik. El puerto 4 de ese router está pensado para conectar un segundo router ahi, tipo el neutro que tienes o el que estás pensando comprar, no un equipo final como tienes hecho. Se puede hacer como lo tienes? Por supuesto, tal y como lo has hecho, implementando un firewall software. Si descubres cómo se monta esa configuración (sospecho que usando dos vlans, como bien intuyes), podrías configurar lo que quieres. Pero lo mismo que tienes ahora puedes conseguir conectando el Mikrotik directo a la ONT y montando una DMZ al servidor. Es decir, vas a tener lo mismo, pero con una única IP pública. Si quieres investigamos lo otro si te apetece trastear, pero te diría que no merece la pena.

Con respecto al wifi no te preocupes en exceso. Por lo que comentas, no tienes unas necesidades extremas, así que te basta con ese equipo. Pero, si quieres aprovechar por ejemplo el equipo que ya tienes para el wifi, podrías coger un hex o hex-s para la parte cableada y usar tu router como AP. Pero, por los 100€ que vale el hAP-ac3, yo lo probaría, no creo que te defraude.

Saludos.
 
Pues voy a por el hap ac3, la idea es mantener las dos ips públicas como con el router de adamo, sino se logra pues tampoco es imprescindible.

Cuando tenga el router y haya podido toquetear iré comentando.

Gracias
 
Perfecto. Ves indagando el tema de las dos VLANs. Es la única manera que se me ocurre de que puedan estar haciendo lo que comentas, otorgando dos IP públicas a cada router.

Saludos!
 
Muy buenas,

Primero enhorabuena por el foro, he dado con el buscando info de routers y veo dais una información de calidad y muy profesional y eso siempre es de agradecer.

Veréis, estoy interesado en el mikrotik hap ac3 pero hay un par de cosas que me tiran para atrás.

Os explico primero mi caso,

Tengo la fibra con Adamo, solo fibra, sabréis que adamo no tiene cg-nat y no es que den una única IP v4 sino que dan dos de ellas simultáneamente, una la coge el propio router y monta una NAT en los puertos eth1 a 3 y wifi, donde tengo la red doméstica, mientras la otra IP v4 está en bridge por el puerto eth4, aquí tengo un pequeño servidor casero, en el servidor ya tengo un firewall por software y por defecto cierro todos los puertos y abro solo los que me interesan.

El hardware es ONT y router por separado, el router es un Inteno DG200 (que por cierto Inteno se unió o fue absorbido por Genexis manteniendo este último nombre, por si queréis buscar las especificaciones ya no lo encontrareis como Inteno sino como genexis https://genexis.eu/content/uploads/2020/10/DG200-Series-Datasheet-v2.1-EN.pdf )

Mis dudas.

La primera de ellas es si habéis podido configurar el mikrotik, o tenéis claro cómo hacerlo, para mantener esta configuración con las dos ip v4, una en un puerto eth en bridge y la otra que la coja el router y monte una NAT en los puertos restantes y wifi, supongo que sera decirle tal puerto eth con esta VLAN y el resto con esta otra VLAN.

Se que con una sola IPv4 sería suficiente y podría hacer una reserva y redirigir los puertos a una Ip local de la NAT o bien ponerla directamente en DMZ, pero no es ese el punto, el punto es que si actualmente adamo me ofrece 2 ip v4 dinámicas quiero mantenerlas ambas.

Segunda duda, he leído por aquí que mikrotik no brilla en wifi, pero ya no se si decíais esto comparándolo con otros routers neutros de similar o superior precio (como Asus RT-AC68U) o si no brilla en wifi incluso comparándolo con routers más modestos de los que ponen las operadoras, no me gustaría tener menor alcance en wifi, ya veo que el mio actual es ac 3x3 y el hap ac3 seria ac 2x2... y no sé si con los 100€ que cuesta el HAP ac3 (o gastando un poco más però tampoco demasiado) hay otras alternativas mejores como un HEX con PoE y algún AP que se alimentara tambien con POE... en este caso que AP recomendaríais que no se dispare mucho de precio pues no he mirado y con APs voy más perdido.

Gracias y perdón por el “ladrillo”, he querido explicarme bien y no dejarme nada.

Saludos
Hola amigo, yo te puedo ayudar en esa configuración. Avísame cuando tengas a la mano el hAP ac3.

Saludos.
 
Hola amigo, yo te puedo ayudar en esa configuración. Avísame cuando tengas a la mano el hAP ac3.

Saludos.
Si la tienes funcionando, ¿te importaría compartirla? Hay un post de configuraciones básicas de los ISPs que abrí precisamente para que la gente fuera compartiendo ese tipo de setups.

Echo de menos dos: la de DiGi manteniendo el teléfono (con el servidor pppoe fake para enganchar el router del operador al mikrotik y montar el esquema ONT -> Mikrotik -> Router DiGi) y esta que comentas de Adamo.

Así que, si alguno las tiene funcionando, que las comparta, que serán muy bienvenidas.

Saludos!
 
Echo de menos dos: la de DiGi manteniendo el teléfono (con el servidor pppoe fake para enganchar el router del operador al mikrotik y montar el esquema ONT -> Mikrotik -> Router DiGi) y esta que comentas de Adamo.

 
Es esa misma, pero con el truco de montar a su vez un servidor PPPoE, con el mismo detalle del usuario, contraseña y DNS que usa el router original para que lo engañes y este obtenga una IP del mikrotik con salida a internet, pero por PPPoE, en lugar de DHCP. De esta manera, el teléfono seguiría funcionado, conectado el equipo de DiGi, siguiendo el esquema ONT -> Mikrotik -> Router DiGi.

Saludos.
 
Perfecto. Ves indagando el tema de las dos VLANs. Es la única manera que se me ocurre de que puedan estar haciendo lo que comentas, otorgando dos IP públicas a cada router.

Saludos!
Hola amigo, yo te puedo ayudar en esa configuración. Avísame cuando tengas a la mano el hAP ac3.

Saludos.

Buenas,

Gracias por la rápida respuesta, recibí el router unos días atrás pero no me puse con el hasta ayer.

En la eth1 conecté la ONT y puse las dos VLANS de adamo la 603 y la 604, el router veo que me coge las dos IPs públicas, puedo navegar por las dos, por defecto navego por la IP que da la VLAN 603 (147.161.x.x), pero si deshabilito está pues empiezo a salir por la IP que me da la VLAN 604 (91.126.x.x).

Hasta ahí fácil y rápido, lo que quiero hacer ahora es que el puerto eth2 (lo saque previamente del bridge) coja directamente la IP publica de la VLAN 604 es decir, que si conecto ahí un pc pues por dhcp ya coja directamente la IP pública 91.126.x.x

Dejo una captura y un export de la config.

Saludos

mikrotik.PNG


/interface vlan
add interface=ether1 name=adamo603 vlan-id=603
add interface=ether1 name=adamo604 vlan-id=604

/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN

/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik

/ip pool
add name=default-dhcp ranges=192.168.1.60-192.168.1.90

/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf

/interface bridge port
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2

/ip neighbor discovery-settings
set discover-interface-list=LAN

/interface list member
add comment=defconf interface=bridge list=LAN
add interface=adamo603 list=WAN
add interface=adamo604 list=WAN

/ip address
add address=192.168.1.1/24 comment=defconf interface=bridge network=\
192.168.1.0

/ip cloud
set ddns-enabled=yes ddns-update-interval=1m

/ip dhcp-client
add disabled=no interface=adamo603
add disabled=no interface=adamo604

/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf gateway=192.168.1.1

/ip dns
set allow-remote-requests=yes

/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan

/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN

/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN

/system clock
set time-zone-name=Europe/Madrid

/tool mac-server
set allowed-interface-list=LAN

/tool mac-server mac-winbox
set allowed-interface-list=LAN
 
No he probado nunca este setup, pero prueba a quitar la vlan 604 de ether1 y la pones sobre ether2. Y, el equipo que conectes ahí, que levante un cliente dhcp, en lugar de ser el propio router en ese puerto. Con eso deberías tener la IP pública en ese equipo. Otra manera sería conectar directamente a ether2 el equipo que sea y configurar tanto la vlan como el cliente dhcp en el equipo final.

Si ves que ninguna de las dos te funciona, probaría a configurar la vlan 604 sobre ambos puertos, pero sin levantar el cliente dhcp sobre ninguno de los dos para esa vlan, tal que le llegue sin tag al equipo final.

De cualquier forma, investigo y te digo algo.

Saludos!
 
Arriba