Fallo de conexion Netatmo y Bombillas Wifi

Buenos dias:

Llevo usando Mikrotik varios años:

Hace cosa de unos meses tuve un problema y no era capaz de que Netatmo enlazase con su servidor y conectase. Tras un montón de vueltas, comprobar que no estaba bloqueada ninguna IP ni puerto, y tras restaurar la configuración como backup, tuve que meter el script a mano (el mismo que había cargado) y empezó a funcionar de nuevo.

Hace unos 5 dias, empece con el mismo problema con las Bombillas wifi que van a servidores tuya (m2.tuyaeu.com y a3.tuyaeu.com) los cuales no conectan de ninguna forma con las bombillas (si con los enchufes), tras varias pruebas, y mientras averiguo que es habilite la wifi del HGU para poder encenderlas y apagarlas.

Pero desde anoche, sufro el mismo problema con Netatmo. He restaurado la configuración a mano y nada sigo igual. He seguido las conexiones, el ping que hace y nada no se bloquea nada, ya no sé que mirar. He quitado el upnp por si fuera algo de eso. Pero no sé ya que hacer.

Si alguien pudiera ayudarme algo se lo agradezco.
Si necesitáis el script mío os lo paso.

Muchas gracias de nuevo
 
tienes problemas de que los chismes conecten por inalámbrico al router o que conecten con el servidor de fuera? (no me queda claro).

Pásame el equipo que tienes y un export de la configuración que tiene ahora mismo y lo miramos. No sé de qué script hablas.

Saludos!
 
tienes problemas de que los chismes conecten por inalámbrico al router o que conecten con el servidor de fuera? (no me queda claro).

Pásame el equipo que tienes y un export de la configuración que tiene ahora mismo y lo miramos. No sé de qué script hablas.

Saludos!
El problema es que los chismes no conectan de forma inalámbrica. Tengo dos puntos unifi, y se conectan ahí. Y como bien dices, esos dispositivos no conectan con sus respectivos servidores fuera.
Te paso un export por DM. El script me refería al export. Mi equipo es un RB 3011.

La configuración es HGU (DMZ) ----- RB 3011 ---- Red LAN.

Haciendo pruebas parece que he conseguido que conecte casi todo bien. Por lo menos el Netatmo. Creo que principalmente (y de hecho tambien por eso me daba velocidades de subida menores), es que tenia marcado en Bridge Settings, la opción Use IP Firewall (y claro no estaba usando el Firewall del Bridge).

Las bombillas funcionan desde la app de Woox pero desde Google Home dan a veces fallo, pero por lo menos su app nativa funciona aparentemente.
 
Última edición:
Si cualquier equipo conectado al router navega, tu problema no es el mikrotik, son los APs. De cualquier forma, reviso la configuración, por si hubiera algo raro.

Por otro lado, el HGU lo tienes en DMZ, en lugar de tenerlo en monopuesto? Por alguna razón especial?

Saludos!
 
Buenas compi. He revisado la configuración (por decir algo) y sinceramente: te has complicado la vida... tela. 1000 líneas de export es una configuración inmanejable y sospecho que, además, poco segura.

Mi recomendación: guarda tu configuración a buen recaudo, y arranca de cero. Deja que el equipo cargue el script de auto-configuración y ejecuta después un quick set. Estudia esa configuración minuciosamente. Fíjate especialmente en cosas como cómo monta él el firewall. Además de eso, usa hardware offloading en el bridge. No uses PPTP par una VPN, es altamente inseguro. El propio equipo lleva un servicio de ddns, úsalo. Si luego tienes que usar dominios externos, con hacer un CNAME lo tienes resuelto. No toques la tabla ARP, salvo si quieres para el NAS y por poder levantarlo en remoto, sino ni eso. No hace falta que toques las políticas de IPsec para nada, las que monta por defecto son más que suficientes para un acceso L2TP. Tampoco entiendo el concepto de whitelist que tienes montado, ¿no te sale mejor bloquear aquello que te interese y listo?

Y, sobre todo: donde no tengas claro qué estás haciendo... mejor no toques.

Saludos!
 
El problema es que los chismes no conectan de forma inalámbrica. Tengo dos puntos unifi, y se conectan ahí. Y como bien dices, esos dispositivos no conectan con sus respectivos servidores fuera.
Te paso un export por DM. El script me refería al export. Mi equipo es un RB 3011.

La configuración es HGU (DMZ) ----- RB 3011 ---- Red LAN.

Haciendo pruebas parece que he conseguido que conecte casi todo bien. Por lo menos el Netatmo. Creo que principalmente (y de hecho tambien por eso me daba velocidades de subida menores), es que tenia marcado en Bridge Settings, la opción Use IP Firewall (y claro no estaba usando el Firewall del Bridge).

Las bombillas funcionan desde la app de Woox pero desde Google Home dan a veces fallo, pero por lo menos su app nativa funciona aparentemente.

Me pregunto lo mismo que @pokoyo... por algun motivo tienes el hgu con dmz y no en monopuesto??

Yo tengo O2, el hgu en monopuesto, conectado al router mikrotik y desde ahi distribuyo AP, switches,...

Y toda la domotica que tengo (enchufes,bombillas,termostato,... funciona a la perfección) mira de ponerlo el HGU en monopuesto y que todo lo maneje el Mikrotik....
 
Buenas a todos. Soy el colega de EA4fyh. De hecho el culpable de que tenga NAS en casa.

E indirectamente de llegar al mikrotik. Ya sabéis a quien hay que echarle la culpa. :eek:
Voy a intentar explicar un poco este galimatias. Que como siempre se explica un poco mal. Aunque Popoyo ya nos ayudado en varias ocasiones ahora mi colega esta que se cuelga con las bombillitas. :p

P.D: Popoyo como seas de Madrid mándame un privado para quedar que te tengo que invitar a una docena de cervezas.

Así que un poco de historia.

Como os podéis imaginar todo esto empezó por la :poop::poop::poop: de routers que te dan las compañías. En mi caso uno de movistar que solo podía hacer 8 redirecciones de puertos y todo aquel q tenga un NAS o algo que se quiera acceder desde fuera a tu casa sabe que al final se queda corto.

Y claro esta información le llego a Ea4fyh. Y culo veo, culo quiero (y con toda la razón en este caso)

Empezamos con lo típico un brigde de todos los puertos, descubriendo que era un masquerade (y a mí que me sonaba al rol de Vampire) y abriendo los puertos que necesitábamos a nuestros NAS.

Luego empezaron los líos………


Hubo muchos pero para no tirarme 3 horas escribiendo os lo resumo en:

-Tener una centralita Asterisk en casa = un montonazo de trafico de indeseables intentado colarse en tu red y en tu Asterisk para hablar gratis con Australia y que tu pagues las facturas.

-Y un par de pesados que no paraban de intentar loogearse continuamente en el NAS o en el mikrotik. Y no uno sino varios miles....

Por ello pasamos al plan como yo lo llame “Paranoico Perdido” en dicho sistema lo que se hace es bloquear todo y después poco a poco ir abriendo lo que vemos que usamos y necesitamos.

Y más o menos va funcionando pero hay momentos en que se va todo a la :poop::poop::poop:. Y al router lo quieres tirar por la ventana.

Primero descubrimos que whassapp, facebook y todo su entramado tienen muchas ips y que a veces estas cambian para mayor facilidad.

Porque claro, a ver quién es el guapo, que le dice a la parienta que el whassapp no funciona en la red wifi. :whistle:

Y otro gran quebradero de cabeza es que los dns que tenemos en los NAS, no se resuelven bien dentro de la red. Me explico.

Mi NAS desde fuera lo llamo por ejemplo pericodelospalotes.com.

Exteriormente si pongo “pericodelospalotes.com:5067” entra directamente en mi nas de mi casa. Ya que el puerto 5067 esta abierto y redirecciona al 192.168.88.150:5067.

Pero si internamente le pongo “pericodelospalotes.com:5067” ni caso. Solo entraría poniéndole “192.168.88.150:5067”.

Y para solucionarlo hemos echo de todo. Desde el pino puente hasta lo que se os ocurra. Por ahora estamos con poner al mikrotik direcciones dns locales para que no tuviésemos que estar cambiando los accesos de las app del Nas cuando estoy dentro o fuera de casa (cuando el covid nos deja). Esto os lo explico mas adelante.

Así que poco a poco os voy a traducir la configuración que tenemos, si no os dormís antes claro.

Intentare explicarla lo más claro posible por varios motivos. (Lo siento por alguno si resulta un poco pesado).

-Por si alguien está empezando que le ayude.

-Por si algo que creo que se hace de una forma está mal. No será ni la primera ni la ultima seguro. :cautious:

- Me gusta hacer manuales estilo para tontos que todo se explique a ser posible. Cualquier duda intentare aclararla lo máximo posible.

Las dos configuraciones que tenemos EA$FYH y yo en si son muy parecidas, pero explicare la mía que es más simple Si aunque no lo parezca.

Tengo internet a través de Lowie así que no tengo ni teléfono ni televisión. En cambio EA4FYH tiene movistar con sus queridas Vlans….

Tengo el router de la compañía según de fábrica, con el wifi apagado y echo un DMZ al router de mikrotik, también se podría poner en modo bridge ya que solo tiene conectado el router de mikrotik. No sé si tendría alguna ventaja en este caso. Puede para el bloqueo a ciertos pesados o la resolución de nombres DNS. (Lo iré Probando)

Así que empezando por lo más básico.

El router de mikrotik que uso es uno de 10 bocas, pero valdría lo mismo para uno de menos.

Código:
# model = RouterBOARD 3011UiAS

Para empezar resteamos el router y le decimos que no use ningún script de preconfiguración.

Empiezo creando un puente (bridge) donde meteré todas las tomas de red que quiero que se vean entre ellas Y la llamo “20-Puente”.

Código:
/interface bridge
add fast-forward=no name=20-Puente

Después renombro las bocas del router de una forma lógica.

Código:
/interface ethernet
set [ find default-name=ether1 ] comment="INTERNET" mac-address=6C:3B:7C:F1:3C:C5 name=01-WAN
set [ find default-name=ether2 ] mac-address=6C:3B:7C:F1:3C:C6 name=02-LAN1
set [ find default-name=ether3 ] mac-address=6C:3B:7C:F1:3C:C7 name=03-LAN1
set [ find default-name=ether4 ] mac-address=6C:3B:7C:F1:3C:C8 name=04-LAN1
set [ find default-name=ether5 ] mac-address=6C:3B:7C:F1:3C:C9 name=05-LAN1
set [ find default-name=ether6 ] mac-address=6C:3B:7C:F1:3C:CB name=06-LAN2
set [ find default-name=ether7 ] mac-address=6C:3B:7C:F1:3C:CC name=07-LAN2
set [ find default-name=ether8 ] mac-address=6C:3B:7C:F1:3C:CD name=08-LAN2
set [ find default-name=ether9 ] mac-address=6C:3B:7C:F1:3C:CE name=09-LAN2
set [ find default-name=ether10 ] mac-address=6C:3B:7C:FD:3C:CF name=10-LAN2
set [ find default-name=sfp1 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full,2500M-full l2mtu=1588 name=11-SFP1

El SFP que trae el bicho por ahora lo dejo como esta por defecto y solo lo renombro

Como tengo un NAS con muchas tomas Ethernet libres uso 2 para hacer un bonding y asi sumar ancho de banda. Usando la 02 y 03.

Código:
/interface bonding
add comment=" Bonding NAS" mode=802.3ad name="NAS BOND" slaves=02-LAN1,03-LAN1

Ahora que tenemos las cosas un poco claras de cómo tengo lo básico añado las bocas que quiero al puente

Código:
/interface bridge port
add bridge=20-Puente interface="NAS BOND"
add bridge=20-Puente interface=04-LAN1
add bridge=20-Puente interface=05-LAN1
add bridge=20-Puente interface=06-LAN2
add bridge=20-Puente interface=07-LAN2
add bridge=20-Puente interface=08-LAN2
add bridge=20-Puente interface=09-LAN2
add bridge=20-Puente interface=10-LAN2
add bridge=20-Puente interface=11-SFP1
/interface bridge settings
set use-ip-firewall=yes

Creamos el rango de IPs que vamos a usar dentro de nuestra red alejándonos del típico 192.168.0.1 y 192.168.1.1. Por si cambio de compañía no tener problemas. En este caso el rango 88. De paso creo el Rango para las Conexiones VPN.
Código:
/ip pool
add comment="Rango red interna DHCP" name=dhcp ranges=192.168.88.180-192.168.88.249
add comment="Rango para conexiones VPN" name="Conex PPP" ranges=5.5.5.2-5.5.5.10
/ip address
add address=192.168.88.1/24 interface=20-Puente network=192.168.88.0

Por lo tanto ahora creamos el DHCP para estos rangos
Código:
/ip dhcp-server
add address-pool=dhcp disabled=no interface=20-Puente name="DHCP Intranet"
/ip dhcp-server network
add address=192.168.88.0/24 dns-server=192.168.88.10,192.168.88.1 domain=20-Puente \
  gateway=192.168.88.1 netmask=24
Activamos el dhcp client en la boca wan para que nos coja una ip del router de la compañía.

Código:
/ip dhcp-client
add disabled=no interface=01-WAN

Por consejo de Popoyo en el ARP solo ponemos las cosas que queramos arrancar via WOL y que queramos que siempre tengan una IP en concreto.

Código:
/ip arp
add address=192.168.88.150 comment=NAS interface=20-Puente mac-address=00:11:32:94:BE:73
add address=192.168.88.160 comment="NAS QNAP" interface=20-Puente mac-address=00:08:0B:D2:E1:CE
add address=192.168.88.112 comment="PC GAMING" interface=20-Puente mac-address=00:E0:4C:7E:80:66

El resto de las cosas se lo pongo a mano en el DCHP ya que quiero que siempre cojan las ips dentro de un rango. Es decir pongamos todo lo de domótica del 50 al 70. Pero no quiero ir aparato por aparato poniéndoselo a mano. Así es más fácil controlarlo. Se conecta algo nuevo y coge una ip libre y si lo veo necesario después la pongo fija directamente en el mikrotik y al cabo de un rato coge dicha ip nueva y fija.


Código:
/ip dhcp-server lease
add address=192.168.88.60 client-id=1:0:b:82:9b:44:1 comment="EnchufeLampara Comedor" mac-address=69:57:25:53:C1:B5 server="DHCP Intranet"
add address=192.168.88.53 client-id=1:14:6b:9c:67:f9:61 comment=CONGA mac-address=14:6C:7C:67:F5:61 server="DHCP Intranet"
add address=192.168.88.52 comment="Netatmo Relay" mac-address=70:EE:52:25:86:4C server="DHCP Intranet"

Ahora mi querido masquerade.

Código:
/ip firewall nat
add action=masquerade chain=srcnat comment="El masquerade" out-interface= 01-WAN

Luego nos has recomendado poner esta regla para complementar la anterior, para redirigir el Nombre DNS internamente. (Seguimos en pruebas)


Código:
/ip firewall nat
add action=masquerade chain=srcnat comment= "Masquerade sobre la LAN" \
out-interface=20-Puente

Luego las clásicas redirecciones para poder acceder al NAs desde fuera ejemplo:

Código:
/ip firewall nat
add action=dst-nat chain=dstnat comment= "Acceso al NAS 5067" dst-port=5067  \
in-interface=01-WAN protocol=tcp to-addresses=192.168.88.150 to-ports=5067
add action=dst-nat chain=dstnat comment= "Acceso al NAS2 5068" dst-port=5068 \
in-interface=01-WAN protocol=tcp to-addresses=192.168.88.160 to-ports=5068
add action=dst-nat chain=dstnat comment=" NAS servidor web 80" dst-port=80 \
     in-interface=01-WAN protocol=tcp to-addresses=192.168.88.150 to-ports=80
add action=dst-nat chain=dstnat comment= "NAS servidor web 443" dst-port=443  \
in-interface=01-WAN protocol=tcp to-addresses=192.168.88.150 to-ports=443


Teóricamente hasta aquí debería ir todo perfecto.

Luego están varias cosas extra que funcionan pero las pongo por si pudiesen entrar en conflicto.

Un par de script:

Para arrancar los Nases o el pc pongo como ejemplo el del pc que va perfecto.
Código:
/system script
add dont-require-permissions=no name="WOL Gaming PC" owner=admin policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source=\
    "/tool wol mac=00:E0:4C:7E:80:66"
Y el script para que me resuelva el nombre la dirección IP externa de mi red cuando estoy fuera, en este caso con Dondominio que es con quien tengo una web. Y que funciona.

Código:
/system script
add dont-require-permissions=no name="DONDominio" owner=\
    admin policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source="#\
    #############Script Settings##################\r\
    \n\r\
    \n:local DONDNSUser mirouter\r\
    \n:local DONDNSPass xxxxxxxxxxxxxxxxx\r\
    \n:local DONDNSDomain mirouter.midominio.com\r\
    \n\r\
    \n###############################################\r\
    \n\r\
    \n/tool fetch mode=http url=\"http://dondns.dondominio.com/plain/\?user=\$\
    DONDNSUser&password=\$DONDNSPass&host=\$DONDNSDomain\" keep-result=no"
Este ultimo scritp acompañado con un temporizador para cada 5 minutos ejecute el scritp “DONDominio”

Código:
/system scheduler
add interval=5m name="DonDNS scheduler" on-event=” DONDominio” policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
    start-date=jan/02/1970 start-time=01:00:40

Cambiando el acceso via web al mikrotik y los accesos que permito

Código:
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www port=9000
set ssh disabled=yes

Poner la hora en el mikrotik para Madrid/España y servir de servidor NTP para mis dispositivos dentro de mi red.
Código:
/system ntp client
set enabled=yes primary-ntp=193.147.107.33 secondary-ntp=130.206.3.166
/system clock
set time-zone-name=Europe/Madrid
/system ntp server
set broadcast=yes enabled=yes manycast=no
Y renombrar el nombre del router
Código:
/system identity
set name=MikroPercusoni
Habilitar SMB para el grupo de red “WORKGROUP”, para que se vean los equipos Windows dentro de mi red que estén en ese grupo.
Código:
/ip smb
set allow-guests=no domain=WORKGROUP enabled=yes interfaces=20-Puente
Una regla de flujo para Asterisk en mi firewall, creo que era necesaria.

Código:
/ip firewall service-port
set sip ports=5060,5061,5070
set udplite disabled=yes
Activamos el servicio de UPnP para que redirija correctamente los puertos. Y los interfaces implicados.

Código:
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=20-Puente type=internal
add interface=01-WAN type=external

Luego un sistema VPN para poder acceder desde fuera a mi red como si estuviese dentro. Pero no lo pongo por que esta de culo y voy a rehacerlo enterito. Lo tena tanto por ppp como por l2tp.
Varias cosas que en su momento sabía que eran y que no estoy seguro
Código:
/ip dns
set allow-remote-requests=yes
/ip settings
set tcp-syncookies=yes

He tenido que anadir a mano ciertas IPs en el DNS porque si no daba errores y algunas como “pericodelospalotes.com” para verlo desde la red interna ya que no me resolvía el nombre de dominio externo. Seguimos con dichas pruebas.

Código:
/ip dns static
add address=17.171.27.65 name=albert.apple.com
add address=10.31.255.134 name=telefonica.net
add address=192.168.88.150  disabled=no name=pericodelospalotes.com

Ahora empezarían lo que yo llamaba el método “Paranoico Perdido” pero pronto se lo he cambiado a "la madre de todas las torturas". :sick:

Empiezo que hay dos listas:

-Una lista llamada “whitelist” a la cual queremos excluir de los bloqueos. Es decir IPs que teóricamente no tienen ningún tipo de restricción en hablar con nuestro Mikrotik y lo que hay dentro de la red.

- Y otra lista que es "BloqueadoTCP" las cuales queremos bloquear al 100%

Os pongo un par de ejemplos de lo que iría en dichas listas.

Código:
/ip firewall address-list
add address=server.midominio.com list="IP externa"
add address=server.midominio.com list=whitelist
add address=192.168.88.50-192.168.88.249 list=Rango_int
add address=10.31.255.134 comment="Red Telefonica VOIP" list=whitelist
add address=10.23.47.75 comment="Red Telefonica" list=whitelist
add address=192.168.33.0/24 comment="Red Interna de Jorge" list=whitelist
add address=192.168.88.0/24 comment="Red Interna de Alex" list=whitelist
add address=8.8.8.8 comment=Google list=whitelist
add address=8.8.4.4 comment=Google list=whitelist
add address=172.217.17.0/24 comment=Google list=whitelist
add address=172.217.14.0/24 comment=Google list=whitelist
add address=31.13.24.0/21 comment=facebook list=whitelist

Código:
/ip firewall address-list
add address=81.37.0.195 list=BloqueadoTCP
add address=94.23.181.80 list=BloqueadoTCP
add address=156.96.157.238 list=BloqueadoTCP
add address=107.150.104.132 list=BloqueadoTCP
add address=185.16.38.8 comment=Polonia list=BloqueadoTCP
add address=193.29.14.124 comment=Rumania list=BloqueadoTCP
add address=193.29.14.113 comment=Rumania list=BloqueadoTCP

Como os podéis imaginar estos bloqueos los realizamos a través del /ip firewall filter

Aqui estarian primero las reglas basicas que todo el mundo deberia de tener incluidas las de Fast track para velocidades altas.

Código:
/ip firewall filter
add action=fasttrack-connection chain=forward comment="Regla Fast-Track - Importante para velocidades de 900mb" connection-state=established,related
add action=accept chain=forward comment="Regla Fast-Track Acept - Importante para velocidades de 900mb" connection-state=established,related
add action=accept chain=input comment="Aceptar INPUT solo las conexiones relacionadas y establecidas" connection-state=established,related
add action=accept chain=forward comment="Aceptar Forward solo las conexiones relacionadas y establecidas" connection-state=established,related
add action=accept chain=output comment="Aceptar Output solo las conexiones rel acionadas y establecidas (no es imprescindible)" connection-state=established,related disabled=yes
add action=drop chain=input comment="Drop a input invalidas en cualquier interface" connection-state=invalid disabled=yes
add action=drop chain=forward comment="Drop a forward invalidas en cualquier interface" connection-state=invalid disabled=yes

Luego con la filosofia del bloqueo empezariamos con los permitidos

Código:
/ip firewall filter
add action=accept chain=input comment="Aceptar INPUT de la Red LAN (Importante)" src-address-list=whitelist
add action=accept chain=output comment="Aceptar OUTPUT  de la Red LAN" src-address-list=whitelist
add action=accept chain=forward comment="Aceptar del listado Whitelist Forward dentro de la Red" src-address-list=whitelist

Luego los bloqueos, aqui bloqueo tanto nuevas conexiones como conexiones existentes por ai ya estaba conectado y hace algo mal lo echo:
Código:
/ip firewall filter
add action=drop chain=input comment="Drop TCP INPUT News del listado BloqueadoTCP" connection-state=new disabled=yes in-interface=01-WAN log=yes src-address-list=BloqueadoTCP
add action=drop chain=input comment="Drop TCP INPUT del listado BloqueadoTCP" in-interface=01-WAN log=yes src-address-list=BloqueadoTCP
add action=drop chain=forward comment="Drop Forward del listado BloqueadoTCP" in-interface=01-WAN src-address-list=BloqueadoTCP
add action=drop chain=forward comment="Drop Forward del listado BloqueadoTCP News" connection-state=new in-interface=01-WAN src-address-list=BloqueadoTCP

Luego reglas de permitir ciertos protocolos:
Código:
/ip firewall filter
add action=accept chain=input comment="Permitir el Protocolo PING Limitado asi evitamos ataques" disabled=yes in-interface=01-WAN limit=50,5:packet protocol=icmp
add action=accept chain=input comment="Permitir VPN PPP Protocolo Gre" in-interface=01-WAN protocol=gre
add action=accept chain=input comment="Permitir VPN L2TP Protocolo ipsec-esp" in-interface=01-WAN protocol=ipsec-esp
add action=accept chain=input comment="Permitir VPN L2TP Protocolo ipsec-ah" in-interface=01-WAN protocol=ipsec-ah
add action=accept chain=input comment="Protocolo Echo (Eco) Responde con eco a llamadas remotas" dst-port=7 in-interface=01-WAN protocol=tcp

Ahora vendran las reglas de bloqueo de puertos, en si lo que le decimos al mikrotik es que nos marque añadiendo a una lista "BloqueadoTCP" las ips que intenten acceder a unos puertos por nosotrs indicados.
Como es logico se crean tantas reglas como puertos sean necesarios cerrar.
Pero no hacemos uan regla por puerto, serian un montonazo sino que en la misma regla se ponen unos cuantos.
No todos ya que son muchos, asi qeu se crean varias de estas reglas hasta tener todos los puertos que se quiera cerra.

Os pongo 2 ejemplos una que marca las ip entrantes de los puertos TCP que queremos cerrar y otra de UDP.
Código:
/ip firewall filter
add action=add-src-to-address-list address-list=BloqueadoTCP \
    address-list-timeout=1d chain=input comment="Port TCP Bloqueado" connection-state=new dst-port=91-109,113-122,124-136,137,138 in-interface=01-WAN protocol=tcp
add action=add-src-to-address-list address-list=BloqueadoTCP \
    address-list-timeout=1d chain=input comment="Port UPD Bloqueado" connection-state=new dst-port=137-499,501-1023,1025-1193,1196-1700,1702-1899 in-interface=01-WAN protocol=udp

Si os interesa aqui cuelgo el listado de reglas de solo los puertos TCP que queremos bloquear.
Código:
/ip firewall filter
add action=add-src-to-address-list address-list=BloqueadoTCP address-list-timeout=1d chain=input comment="Port TCP Bloqueado" connection-state=new dst-port= 91-109;113-122;124-136;137;138 in-interface=01-WAN protocol=tcp
add action=add-src-to-address-list address-list=BloqueadoTCP address-list-timeout=1d chain=input comment="Port TCP Bloqueado" connection-state=new dst-port= 139;140-142;144-388;390-433;436-442 in-interface=01-WAN protocol=tcp
add action=add-src-to-address-list address-list=BloqueadoTCP address-list-timeout=1d chain=input comment="Port TCP Bloqueado" connection-state=new dst-port= 448-464;466-499;501-514;526-553;555-586 in-interface=01-WAN protocol=tcp
add action=add-src-to-address-list address-list=BloqueadoTCP address-list-timeout=1d chain=input comment="Port TCP Bloqueado" connection-state=new dst-port= 588-630;632-645;647-872;874-992;994 in-interface=01-WAN protocol=tcp
add action=add-src-to-address-list address-list=BloqueadoTCP address-list-timeout=1d chain=input comment="Port TCP Bloqueado" connection-state=new dst-port= 996-1000;1006-1020;1025-1193;1196-1700;1702-1722 in-interface=01-WAN protocol=tcp
add action=add-src-to-address-list address-list=BloqueadoTCP address-list-timeout=1d chain=input comment="Port TCP Bloqueado" connection-state=new dst-port= 1724-1899;1901-1999;2011-2020;2024-2048;2049 in-interface=01-WAN protocol=tcp
add action=add-src-to-address-list address-list=BloqueadoTCP address-list-timeout=1d chain=input comment="Port TCP Bloqueado" connection-state=new dst-port= 2050-2099;2101-2194;2198-2335;2337-2827;2829-3020 in-interface=01-WAN protocol=tcp
add action=add-src-to-address-list address-list=BloqueadoTCP address-list-timeout=1d chain=input comment="Port TCP Bloqueado" connection-state=new dst-port= 3024-3073;3075-3388;3391-3492;3494-3688;3690-4009 in-interface=01-WAN protocol=tcp
add action=add-src-to-address-list address-list=BloqueadoTCP address-list-timeout=1d chain=input comment="Port TCP Bloqueado" connection-state=new dst-port= 4011-4020;4024-4029;4031-4169;4173-4243;4245-4442 in-interface=01-WAN protocol=tcp
add action=add-src-to-address-list address-list=BloqueadoTCP address-list-timeout=1d chain=input comment="Port TCP Bloqueado" connection-state=new dst-port= 4444-4487;4489-4499;4501-4568;4571-4661;4663 in-interface=01-WAN protocol=tcp
add action=add-src-to-address-list address-list=BloqueadoTCP address-list-timeout=1d chain=input comment="Port TCP Bloqueado" connection-state=new dst-port= 4665-4671;4673-4999;5011-5020;5024-5059;5071-5094 in-interface=01-WAN protocol=tcp
add action=add-src-to-address-list address-list=BloqueadoTCP address-list-timeout=1d chain=input comment="Port TCP Bloqueado" connection-state=new dst-port= 5096-5159;5162-5221;5224-5227;5229-5241;5243-5349 in-interface=01-WAN protocol=tcp
add action=add-src-to-address-list address-list=BloqueadoTCP address-list-timeout=1d chain=input comment="Port TCP Bloqueado" connection-state=new dst-port= 5354-5399;5401-5499;5501-5599;5601-5630;5633-5699 in-interface=01-WAN protocol=tcp
add action=add-src-to-address-list address-list=BloqueadoTCP address-list-timeout=1d chain=input comment="Port TCP Bloqueado" connection-state=new dst-port= 5701-5799;5801-5899;5901-5930;5931-5999;6001-6111 in-interface=01-WAN protocol=tcp
add action=add-src-to-address-list address-list=BloqueadoTCP address-list-timeout=1d chain=input comment="Port TCP Bloqueado" connection-state=new dst-port= 6113-6128;6130-6442;6445-6689;6691-6879;7000-7069 in-interface=01-WAN protocol=tcp
add action=add-src-to-address-list address-list=BloqueadoTCP address-list-timeout=1d chain=input comment="Port TCP Bloqueado" connection-state=new dst-port= 7071-7079;7081-7099;7001-7442;7444-7721;7724-7776 in-interface=01-WAN protocol=tcp
add action=add-src-to-address-list address-list=BloqueadoTCP address-list-timeout=1d chain=input comment="Port TCP Bloqueado" connection-state=new dst-port= 7778-7999;8020-8049;8054-8079;8081-8124;8126-8129 in-interface=01-WAN protocol=tcp
add action=add-src-to-address-list address-list=BloqueadoTCP address-list-timeout=1d chain=input comment="Port TCP Bloqueado" connection-state=new dst-port= 8131-8244;8246-8290;82461-8332;8334-8442;8445-8727 in-interface=01-WAN protocol=tcp
add action=add-src-to-address-list address-list=BloqueadoTCP address-list-timeout=1d chain=input comment="Port TCP Bloqueado" connection-state=new dst-port= 8729-8898;8900-9024;9041-9089;9091-9099;9101-9149 in-interface=01-WAN protocol=tcp
add action=add-src-to-address-list address-list=BloqueadoTCP address-list-timeout=1d chain=input comment="Port TCP Bloqueado" connection-state=new dst-port= 9151-9976;9979-9999;10002-10020;10024-10040;10043-10239 in-interface=01-WAN protocol=tcp
add action=add-src-to-address-list address-list=BloqueadoTCP address-list-timeout=1d chain=input comment="Port TCP Bloqueado" connection-state=new dst-port= 10241-13388;13390-14566;14568-16566;14568-17499;17501-19294 in-interface=01-WAN protocol=tcp
add action=add-src-to-address-list address-list=BloqueadoTCP address-list-timeout=1d chain=input comment="Port TCP Bloqueado" connection-state=new dst-port= 19296-19300;19310-19999;20001-20020;20024-21046;21048-23388 in-interface=01-WAN protocol=tcp
add action=add-src-to-address-list address-list=BloqueadoTCP address-list-timeout=1d chain=input comment="Port TCP Bloqueado" connection-state=new dst-port= 23390-23398;23400-25049;25051-25564;25566-26999;27039-27999 in-interface=01-WAN protocol=tcp
add action=add-src-to-address-list address-list=BloqueadoTCP address-list-timeout=1d chain=input comment="Port TCP Bloqueado" connection-state=new dst-port= 28001-28290;28292-28727;28729-28966;28968-29627;29629-30005 in-interface=01-WAN protocol=tcp
add action=add-src-to-address-list address-list=BloqueadoTCP address-list-timeout=1d chain=input comment="Port TCP Bloqueado" connection-state=new dst-port= 30007-30020;30024-32399;32401-35299;35301-41613;41615-50000 in-interface=01-WAN protocol=tcp
add action=add-src-to-address-list address-list=BloqueadoTCP address-list-timeout=1d chain=input comment="Port TCP Bloqueado" connection-state=new dst-port= 50003-5020;50024-50317;50319-52116;52118-55535;55552-59233 in-interface=01-WAN protocol=tcp
add action=add-src-to-address-list address-list=BloqueadoTCP address-list-timeout=1d chain=input comment="Port TCP Bloqueado" connection-state=new dst-port= 59235-59999;60001-65000 in-interface=01-WAN protocol=tcp

Y por ultimo os pongo la regla que usamos para multiples ataques a un puerto que no podemos cerrar. Por que lo necesitamos abierto.
En este caso es por culpa de la centralita de asterisk.

Primero: viene la regla del bloqueo. Si una IP es del listado "SIP-Trial" que esta en dicho listado solo 15 segundos hace una nueva conexion se la pasa al listado de BloqueadoTCP.
Y se añade en el log de BloqueadoSIP por si despues viesemos que estamos bloqueando a alguien ver por que.
Código:
/ip firewall filter
add action=add-src-to-address-list address-list=BloqueadoTCP address-list-timeout=1d chain=forward connection-state=new in-interface=01-WAN log=yes /
    log-prefix=BloqueadoSIP src-address-list="SIP Trial" comment="1-Regla de SIP Hacker Combierte las multiples conexiones de Sip trial en bloqueos"

Segundo: viene la regla del marcado. Donde marcamos en este caso solo los puertos que queremos monitorizar donde estamos recibiendo el ataque.
Código:
/ip firewall filter
add action=add-src-to-address-list address-list="SIP Trial" address-list-timeout=15s chain=input connection-state=new dst-port=5000-5221,5224-5227,5229-5241,5243-6000 /
    in-interface=01-WAN protocol=udp src-address=0.0.0.0/0 comment="2-Regla de Sip Trial Para Asterisk"
add action=add-src-to-address-list address-list="SIP Trial" address-list-timeout=15s chain=forward  connection-state=new dst-port=5000-5221,5224-5227,5229-5241,5243-6000 /
    in-interface=01-WAN protocol=udp src-address=0.0.0.0/0 comment="3-Regla de Sip Trial Para Asterisk"

Muy importante es el orden de las reglas, Sino no funciona, y de echo lo que haria seria bloquear todo lo que entrase por dichos puertos.
 
Espero que no os hayáis dormido.
Después de semejante royo que os acabo de contar.
La duda esta en los bloqueos de las bombillas o el netamo.
Creéis que seria una buena idea desactivar el modo "paranoico perdido" o como implementarlo mejor.
Un Saludo
Georgeo Percusoni
 
Chicos, decidme cuando podéis echar por aquí un rato conmigo (una tarde de las 6 en adelante) y desmontamos todo este embrollo. Creedme, que es muchísimo más sencillo que todo esto. Tenéis dos problemas principales: el primero y más gordo es no partir de la configuración inicial del router. Esa configuración es tremendamente estable y muy segura. Y dos: abrir puertos a lo loco. Cada puerto es un agujero en el colador. Os recomiendo no abrir ninguno. Y, el que abráis por fuerza mayor, que tenga una justificación grande y a ser posible que reciba tráfico por https, cifrado. Todo lo demás, vía vpn. Tu te conectas primero a la vpn de manera segura, y se ahí para adelante, que ya estás en tu red, haces lo que necesites.

Os lo explico más tranquilo esta semana. Si tenéis opción de comprar un equipo de los baratos para trastear con él (tipo un hAP mini o un hEX), y así probáis lo que os quiero decir, y os convencéis antes de meterle mano al 3011. Lo más interesante sería que os estudiarais una configuración por defecto para saber cómo trabaja el firewall, las listas de interfaces, el masquerade, etc. os puedo pasar una configuración limpia de un hex o un 4011 si lo necesitáis, para que vayáis viéndolo.

Mañana si saco un rato os planto las reglas de firewall por defecto y os las explicó una por una. Un router con las reglas por defecto no permite ningún tráfico de entrada al router, a menos que la conexión se haya iniciado desde dentro de o red o tenga una regla de NAT (una apertura de puerto). Entendiendo eso, tenéis la mitad del trabajo hecho. Creedme que no tenéis una configuración tan compleja, pero os habéis liado tela marinera.

No soy de Madrid, pero si hace falta que me pase, cuando pare el jaleo este del coronabicho, y nos tomemos unas docena de cervezas, cuenta con ello que me las cobro, jeje.

Saludos.
 
Espero que no os hayáis dormido.
Después de semejante royo que os acabo de contar.
La duda esta en los bloqueos de las bombillas o el netamo.
Creéis que seria una buena idea desactivar el modo "paranoico perdido" o como implementarlo mejor.
Un Saludo
Georgeo Percusoni

Muy buenas... a ver, por un lado, no está de más ser precavido, pero yo te cuento mi experiencia y configuración (todo esto con la inestimable ayuda de @pokoyo):

- HGU en monopuesto, (sigo sin ver el porque del HGU en DMZ, pero me imagino que tendréis algún motivo para ello) conectado al mikrotik, y de ahí un AP para el wifi y un par de switch (dos nas synology,tv,consola,deco satelite,tres pcs,appletv, esto de parte cableada), y la parte inalámbrica, un par de portátiles, un par de móviles, un ipad, domótica variada (enchufes,bombillas,termostato,sensores varios,...) y por supuesto, una red wifi de invitados para la gente que viene, para que no anden metidos dentro de mi red..
- Quick setup desde el principio, unas pocas reglas en el firewall, vpn activada (l2tp e ikev2 en router, servidor wireguard a través de máquina virtual instalada en uno de los NAS) y servidor pi-hole

Insisto, todo esto, de alguna manera, bajo supervisión de pokoyo. Y cero problemas de seguridad, y todo funcionando como un reloj suizo. DHCP en un rango, lo que me interesa le marco como ip estática dentro del dhcp y en la tabla ARP, un par de equipos que me interesa poder levantar por WOL (esto, como lo tenéis vosotros)

En las reglas del firewall tendré unas 12 reglas, la mayoría creadas de manera automática en el quicksetup...

Y poco más... y hemos hecho pruebas de acceso, y está todo bien bloqueado y controlado...

Si os ofrece echaros un cable @pokoyo, dedicarle una tarde y seguro que ponéis todo en orden en un periquete....
 
Me pregunto lo mismo que @pokoyo... por algun motivo tienes el hgu con dmz y no en monopuesto??

Yo tengo O2, el hgu en monopuesto, conectado al router mikrotik y desde ahi distribuyo AP, switches,...

Y toda la domotica que tengo (enchufes,bombillas,termostato,... funciona a la perfección) mira de ponerlo el HGU en monopuesto y que todo lo maneje el Mikrotik....
Buenas compi. He revisado la configuración (por decir algo) y sinceramente: te has complicado la vida... tela. 1000 líneas de export es una configuración inmanejable y sospecho que, además, poco segura.

Mi recomendación: guarda tu configuración a buen recaudo, y arranca de cero. Deja que el equipo cargue el script de auto-configuración y ejecuta después un quick set. Estudia esa configuración minuciosamente. Fíjate especialmente en cosas como cómo monta él el firewall. Además de eso, usa hardware offloading en el bridge. No uses PPTP par una VPN, es altamente inseguro. El propio equipo lleva un servicio de ddns, úsalo. Si luego tienes que usar dominios externos, con hacer un CNAME lo tienes resuelto. No toques la tabla ARP, salvo si quieres para el NAS y por poder levantarlo en remoto, sino ni eso. No hace falta que toques las políticas de IPsec para nada, las que monta por defecto son más que suficientes para un acceso L2TP. Tampoco entiendo el concepto de whitelist que tienes montado, ¿no te sale mejor bloquear aquello que te interese y listo?

Y, sobre todo: donde no tengas claro qué estás haciendo... mejor no toques.

Saludos!
Buenos días, ademas de la explicación de @Percusoni que es prácticamente lo que yo tengo (lo hicimos entre los dos, mas el que yo jajajaja) explico los motivos.

Durante dos años, he tenido un Edge Core, de segunda mano, como conversor de fibra, quitando el HGU, esto me generaba caídas de ppoe cada cierto tiempo, sin poder levantar la linea hasta que no iba a casa y reiniciaba. Mikrotik no es capaz de levantar una conexión terminada aun poniendo Distance 1. A pesar de ello estuve con la configuración de Vlanes durante estos dos años.

Cuando me subieron a 1Gb, esta solución no me daba todo el rendimiento que debía tener. cosa que al poner el HGU si me lo daba.
Por tanto cambie al HGU.

Ahora bien el motivo de hacer un DMZ y no un monopuesto, sencillo, Asterisk deja de funcionar y no tengo VoIp. Con DMZ de algún modo es transparente con las 3 vlanes. Pero en Monopuesto o medio bridge, no es asi, solo pasa la Vlan 6.

Por supuesto mi idea es encontrar la mejor solución a esto. Dentro de nuestra complicada y seguramente no necesaria configuración, claro esta que una de las cosas que estábamos parando eran los ataques SIP a Asterisk, por eso algunas reglas que explicaba @Percusoni.

Y por supuesto @pokoyo esa docena de cervezas esta hecha!

Yo el jueves podría estar por la tarde, y según hable con mi colega también podría. Ya nos dices.

Saludos!
 
Mikrotik no es capaz de levantar una conexión terminada aun poniendo Distance 1. A pesar de ello estuve con la configuración de Vlanes durante estos dos años.
Esto no es cierto. No tienes más que meter mal los datos en el PPPoE para comprobarlo. Levanta una interfaz pppoe sobre una interfaz física que no lleve pppoe y verás en el log que constantenemente se está reintentando levantar la interfaz. Y esto no tiene nada que ver con la distancia, que es un tema de rutas.

Cuando me subieron a 1Gb, esta solución no me daba todo el rendimiento que debía tener. cosa que al poner el HGU si me lo daba.
Por tanto cambie al HGU.
El rendimiento no te lo da por la liada de configuración que tenéis montada, no porque el router no te lo pueda dar.

Ahora bien el motivo de hacer un DMZ y no un monopuesto, sencillo, Asterisk deja de funcionar y no tengo VoIp. Con DMZ de algún modo es transparente con las 3 vlanes. Pero en Monopuesto o medio bridge, no es asi, solo pasa la Vlan 6.
Qué cuenta estáis usando en Asterisk? la de telefónica/o2? Si queréis pasarla al mikrotik, usad RIP. Lo tenéis detallado en los manuales. Y, si queréis que las 3 vlans lleguen transparentes el mikrotik, pensad en sustituirlo por una ONT. A todo esto, ¿para qué montáis el servidor de VoIP? ¿Qué estáis haciendo con él? (más curiosidad, que otra cosa).

Por supuesto mi idea es encontrar la mejor solución a esto. Dentro de nuestra complicada y seguramente no necesaria configuración, claro esta que una de las cosas que estábamos parando eran los ataques SIP a Asterisk, por eso algunas reglas que explicaba @Percusoni.
Lógico que tenéis ataques al equipo y al servidor de asterik, especialmente porque tenéis el router como un colador. Y, si os dedicáis a abrir puertos par exponer cosas como un servidor VoIP, es normal que os frían.

Intentamos verlo el jueves, aunque no os prometo nada, no sé cómo voy a tener la tarde. Id pensando en coger un equipo básico para trastear o guardad bien la configuración que tenéis ahora mismo porque la idea es arrancar desde cero y, obviamente, usando el script de auto-cofiguración, no tirando a las bravas sin configuración inicial.

Saludos!
 
Ademas del Rb3011, tengo un Rb2011, asi que perfecto.

Esto no es cierto. No tienes más que meter mal los datos en el PPPoE para comprobarlo. Levanta una interfaz pppoe sobre una interfaz física que no lleve pppoe y verás en el log que constantenemente se está reintentando levantar la interfaz. Y esto no tiene nada que ver con la distancia, que es un tema de rutas.
Pues seguramente con este lio algo esta mal. Pero cuando finaliza la conexión (tengo una ONT Edge Core GG-11000 de Movistar que era con la que funcionaba antes) no es capaz de levantarla de nuevo, a no ser que reinicie el ONT. Ni siquiera reiniciando el Mikrotik levanta la conexión hasta no reiniciar el ONT.
El rendimiento no te lo da por la liada de configuración que tenéis montada, no porque el router no te lo pueda dar.
Seguimos en los mismo, a ver si arreglamos estoo_O

Qué cuenta estáis usando en Asterisk? la de telefónica/o2? Si queréis pasarla al mikrotik, usad RIP. Lo tenéis detallado en los manuales. Y, si queréis que las 3 vlans lleguen transparentes el mikrotik, pensad en sustituirlo por una ONT. A todo esto, ¿para qué montáis el servidor de VoIP? ¿Qué estáis haciendo con él? (más curiosidad, que otra cosa).
Uso la cuenta de Movistar (telefónica). En este caso hay dos opciones, un RIP con el bridge del HGU o usar el Edge Core como ONT puro con las Vlanes pero funcionando bien jajaja. Entiendo que por el lio que tengo tampoco va bien el deco. Cada cierto tiempo se descuelga y no es capaz de actualizarse ni de conectarse.

La centralita la tengo por dos motivos, comparto la linea con @Percusoni que con otro Asterisk y un trunk IAX le paso a través de un IVR sus llamadas (el no tiene buena cobertura en la zona y no tiene contratada linea telefónica en su tarifa). Y por otro lado, puesto que tengo un numero reasignado por Movistar de otro usuario anterior no paran de llamar preguntando por el anterior usuario para pagar una deuda que cada dia esta con una empresa diferente y por tanto es imposible evitar a pesar de haberles dicho que no soy esa persona. Por tanto filtro las llamadas y solo permito en unos horarios los números que yo quiero.
En añadido, lo siguiente seria enlazar con otra Rasperry con Asterisk fuera de España para evitar costes y que el compañero pueda hablar con su familia llamando a una extensión.

Asterisk funciona perfectamente, exceptuando cuando no puede conectar con el troncal, pero nada más.
Lógico que tenéis ataques al equipo y al servidor de asterik, especialmente porque tenéis el router como un colador. Y, si os dedicáis a abrir puertos par exponer cosas como un servidor VoIP, es normal que os frían.
Como imagino que supones, no tenemos formación Mikrotik y hemos llegado hasta aquí por nuestros propios medios, a base de prueba y error. Esta claro que el Firewall no esta bien, a ver si podemos hacer algo.

Pues lo dicho a ver si el jueves podemos estar por aquí y solucionar algo.

Saludos!
 
si tenéis otro equipo de prueba, genial, así no rompemos nada. Probaría con la ONT que tienes por ahí perdida + el 2011, así tu setup ni lo tocas. Que, aunque malamente, cumple con su cometido ahora mismo.

Saludos!
 
Buenas de nuevo.

Haciéndote caso me he buscado un router que tengo para pruebas el veterano 951. :p
Y esta es la configuracion básica que saca. La he tabulado un pelín para facilitar la lectura. :geek:


Código:
# jan/02/1970 00:03:03 by RouterOS 6.46.3
# software id = 30I9-RYKT
#
# model = 951G-2HnD
# serial number = 64xxxxxB

/interface bridge
add admin-mac=6C:3B:6B:xx:xx:52 auto-mac=no comment=defconf name=bridge

/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX disabled=no distance=indoors frequency=auto \
    installation=indoor mode=ap-bridge ssid=MikroTik-95E256 wireless-protocol=802.11
  
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN


/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik

/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254

/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf

/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1

/ip neighbor discovery-settings
set discover-interface-list=LAN

/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN

/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0

/ip dhcp-client
add comment=defconf disabled=no interface=ether1

/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1

/ip dns
set allow-remote-requests=yes

/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan

/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN


/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Y como bien dices podemos empezar por esto como base. Aunque la duda esta en si funcionaria igual si hago un restore de fabrica sin añadir reglas y después añado estas tal cual, iría igual o no. :unsure:

En este caso lo voy a dejar por defecto y solo modificar lo imprescindible luego cuando funcione lo pondré un pelín mas a mi gusto(otro rango de IPs y diferentes nombres para ciertas cosas). Para no complicar mas el caso.

Empiezo con los cambios que le haría a la configuracion base. Y he ido haciendo en el router de pruebas.

Creo q habría q activar el servicio de UPnP para que redirija correctamente los puertos. Y los interfaces implicados.

Código:
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge type=internal
add interface=ether1 type=external


Cambiamos el acceso vía web al mikrotik y los accesos que permito por seguridad desde fuera.

Código:
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www port=9000
set ssh disabled=yes


Poner la hora en el mikrotik para Madrid/España. Y así ver mejor los logs si los necesito,
Código:
/system ntp client
set enabled=yes primary-ntp=193.147.107.33 secondary-ntp=130.206.3.166
/system clock
set time-zone-name=Europe/Madrid

Lo de servir de servidor NTP para mis dispositivos dentro de mi red. En este caso no me deja convertirlo en servidor de NTP para mi red ya que no esta la opción en el winbox ni por comando. Seguro que es un paquete que hay que instalar o q en este router no viene. Igualmente el comando seria así. Lo dejo para tareas pendientes :cry:
Código:
/system ntp server
set broadcast=yes enabled=yes manycast=no

Y renombrar el nombre del router, por que me gusta mas así. :love:
Código:
/system identity
set name=MikroPercusoni


Habilitar SMB para el grupo de red “WORKGROUP”, para que se vean los equipos Windows dentro de mi red que estén en ese grupo.
Código:
/ip smb
set allow-guests=no domain=WORKGROUP enabled=yes interfaces=bridge

Una regla de flujo para Asterisk en mi firewall, creo que es necesario. Corregirme si me equivoco.:unsure:
Código:
/ip firewall service-port
set sip ports=5060,5061,5070
set udplite disabled=yes

En el ARP solo ponemos las cosas que queramos arrancar vía WOL y que queramos que siempre tengan una IP en concreto.
Código:
/ip arp
add address=192.168.88.150 comment=NAS interface=20-Puente mac-address=00:11:32:94:B1:73
add address=192.168.88.160 comment="NAS QNAP" interface=20-Puente mac-address=00:08:0B:D2:E1:CE
add address=192.168.88.112 comment="PC GAMING" interface=20-Puente mac-address=00:E0:4C:7E:80:66

El resto de las cosas via DCHP y la que quiero las fijo desde aquí:
Código:
/ip dhcp-server lease
add address=192.168.88.60 comment="EnchufeLampara Comedor" mac-address=69:57:25:53:C1:B5 server="defconf"
add address=192.168.88.53 comment=CONGA mac-address=14:6C:7C:67:F5:61 server="defconf"
add address=192.168.88.52 comment="Netatmo Relay" mac-address=70:EE:52:25:86:4C server="defconf"

Luego tocaría ver los filtros y puertos a abrir. Par ello estoy mirando tu truco de Hairpin NAT

Aunque tengo también un DNS propio, también activamos el DNS de mikrotik por si fallase el habitual que uso.
Código:
/ip cloud set ddns-enabled=yes

Añadimos nuestro dominio de mikrotik como una lista de direcciones, llamada public-ip
Código:
/ip firewall address-list add address=[/ip cloud get dns-name] list=public-ip

Creamos la regla de masquerade en el NAT, l en posición 0, antes que la regla que viene por defecto.
Esto que explicas como "Obteniendo nuestra LAN dinámicamente. Suponemos que, si no se ha cambiado, nuestra LAN por defecto es la que se define en la primera entrada de "networks" en el servidor DHCP" la verdad es que no entiendo una :poop:. Así que esta parte a sido un copy paste :eek:
Entiendo que se pone antes del masquerade que viene por defecto pero el resto es chino.o_O

Código:
/ip firewall nat add action=masquerade chain=srcnat comment=hairpin-nat dst-address=[/ip dhcp-server network get 0 address] src-address=[/ip dhcp-server network get 0 address] place-before=0

Luego tocaría abrir los puertos necesarios en el router para cada cosa imprescindible en el Nas. Ejemplo.
Código:
/ip firewall nat
add action=dst-nat chain=dstnat comment="Aceso servidor web por puerto 9080" dst-address-list=public-ip \
    dst-port=9080 protocol=tcp to-addresses=192.168.88.150 to-ports=80

Pokoyo o gran guru del mikrotik :ROFLMAO::ROFLMAO::ROFLMAO: dime si he vuelto a meter la pata o por ahora voy bien. :sneaky:

Este seria el resultado de la modificación del Base.

Código:
# feb/15/2021 20:18:15 by RouterOS 6.46.3
# software id = 30I9-RYKT
#
# model = 951G-2HnD
# serial number = 64xxxxxB
/interface bridge
add admin-mac=6C:3B:6B:xx:xx:52  auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
    disabled=no distance=indoors frequency=auto installation=indoor mode=\
    ap-bridge ssid=MikroTik-95E256 wireless-protocol=802.11
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf disabled=no interface=ether1
/ip dhcp-server lease
add address=192.168.88.60 comment="EnchufeLampara Comedor" mac-address=\
    69:57:25:53:C1:B5 server=defconf
add address=192.168.88.53 comment=CONGA mac-address=14:6C:7C:67:F5:61 server=\
    defconf
add address=192.168.88.52 comment="Netatmo Relay" mac-address=\
    70:EE:52:25:86:4C server=defconf
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall address-list
add address=642e06b8518b.sn.mynetname.net list=public-ip
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=\
    192.168.88.0/24 src-address=192.168.88.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/ip firewall service-port
set sip ports=5060,5061,5070
set udplite disabled=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www port=9000
set ssh disabled=yes
/ip smb
set allow-guests=no domain=WORKGROUP enabled=yes interfaces=bridge
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge type=internal
add interface=ether1 type=external
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=MikroPercusoni
/system ntp client
set enabled=yes primary-ntp=193.147.107.33 secondary-ntp=130.206.3.166
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
 
Vas muy bien. Pero te voy a hacer algunos comentarios:

- No uses UPnP, abre los puertos que necesites manualmente, es un problema de seguridad gordo. Normalmente debería funcionar bien, pero no es un protocolo del que me fíe un pelo. Yo en tu lugar, no lo usaría.
- No uses un cliente NTP, no lo necesitas. El IP -> Cloud lo hace por ti. Con activarlo, pilla la hora de los servidores de mikrotik.
- No habilites smb. Usa scp si queires subir o bajar ficheros al router. Crea una clave ssh y sube la pública al router. De paso, crea un usuario propio, con todos los permisos, y borra el usuario admin. sino, vía webfig/winbox también puedes subir y bajar ficheros, si lo necesitas. A menos abramos en el router, más protegido estará.
- Dudo si necesitas tocar los service ports para Asterisk. Si te dan la murga, deshabilita los helpers para VoIP
- El hairpin nat o nat loopback es lo que necesitas para que puedas acceder al NAS usando tu dominio desde dentro de la red. Si necesitas más explicación dime. Tienes un dibujo en la wiki de mikrotik donde se ve muy bien el propósito del tema: https://wiki.mikrotik.com/wiki/Hairpin_NAT
- Fíjate si los puertos añadidos al bridge están usando hardware offloading. Si lo están aprovechando, saldrán con una "H" delante del puerto en Bridge -> Ports. Si no salen dime, y buscamos tu modelo para ver qué switch lleva y actuar en consecuencia. Los hay que no son compatibles con ciertas configuraciones y, al activarlas, desactivan esa característica. Junto con la regla de fasstrack del firewall, son tu mejor baza para ir a todo lo que da la conexión.
- Intenta no abrir puertos que acaben en una web de admin con puerto 80. Esa conexión va sin cifrar, y cualquiera con un sniffer te saca los datos y te jode bien. Yo en mi caso tengo un NAS igual que vosotros, y lo que tengo hecho es exponer el puerto 443 de cara a fuera, mapeado al puerto de administración HTTPS del nas. De esa manera, me puedo conectar a su web de administración de manera cifrada, usando https://nas.midominio.com Esa conexión está cifrada y es segura, ahí sí puedes poner el usuario y password.
- En el quick set tienes un "tick" para poner la VPN en funcionamiento. PUedes resetear el router y volver a pasar por ahí, marcando ese tick, para que veas lo que crea por detrás. Básicamente monta tres servidores de un plumazo: pptp (lo puedes desactivar luego, mejor no lo uses), L2TP/IPSec y SSTP. Este último es muy útil para enganchar dos routers mikrotik por VPN. Pero ya profundizaremos en ello, porque creo que vuestra solución va a ser un túnel EoIP para pasar el tráfico de Asterisk entre ambas redes.
- Las reglas del fierwall casi se explican solas, pero si necesitáis saber qué hace cada una en concreto, me decís y le damos un repaso. Básicamente las de input controlan el tráfico que entra al router (con destino él mismo, el propio router) y las de forward el que atraviesa el router, con destino la LAN. Como verás, nada que venga de la WAN y que no lleve su regla de NAT será aceptado.

Saludos!
 
Buenos dias de nuevo:

Dejo que @Percusoni siga porque básicamente es lo mismo que yo tengo.
Solo voy a aclarar un par de cosas respecto a las diferencias de configuración entre los dos.
- @Percusoni trabaja con Lowi, solo con Internet, su configuración de conexión entiendo que sera únicamente un ppoe y listo con su router en bridge (es coaxial su router)
- Yo, telefónica (Movistar fusión), algo más complejo, con sus 3 vlanes, tengo IPTV y Telefonía.

Entiendo que en la base es la misma configuración y luego difiere según las diferentes conexiones, desde luego lo mío algo más complejo por las RIP, rutas, vlanes y demás.

Os pego como tenia la configuración antes (con los mismo problemas que definía antes, sobre todo @pokoyo sigo sin entender porque cuando tira la ppoe como terminated, no vuelve a levantarla de ninguna forma, eso me tiene loco).
Con ONT.jpeg


La configuración que tengo actualmente por el problema de las bombillas y del Deco, es la siguiente:

Con HGU.jpeg


Como se puede ver, todos los dibujos son los equipos reales que tengo.
Segun lo que nos dices de reducir servicios abiertos hacia el exterior, te pongo lo que tenemos a "groso modo":

•VOIP – IAX Y PJSIP
•PIHOLE
• ACCESO SSH A AMBOS (Asterisk y Pihole en Raspberrys)
•ACCESOS AL NAS (Servicios de Video, audio, FTP...)
•NAS (Http y Https)
•VPN – L2TP Y PPTP (el pptp lo usamos porque algún dispositivo no funcionaba con l2tp, seguramente por no estar bien del todo)
•DOMOTICA (BOMBILLAS, GOOGLE, CONGA)
•ACCESO MIKROTIK (web y Winbox, ademas de la app movil.
•ACCESO UNIFI (gestor Unifi montado en el NAS)
•ESCRITORIOS REMOTOS (por escritorio remoto de windows y google remote desktop)
•IMPRESORA RED (no se accede externamente)
•DECO MOVISTAR (no se accede externamente)

Creo que no me dejo nada. La conclusion es que es la misma config con distinta operadora nada más. Y la idea es que sea todo lo más común posible a excepción de las conexiones a la operadora. El resto os sigo aunque escriba solo @Percusoni para no liar el hilo (que ya esta bastante lioso con lo que tenemos :ROFLMAO::ROFLMAO:)
 
De toda tu lista, sólo tiene sentido exponer dos servicios:
- La VPN, para que puedas conectar desde el exterior. Todo lo demás, vía previa conexión a VPN. Sobre todo no exponer accesos por ssh, el asterisk o ningún login que vaya por http.
- El acceso HTTPS al NAS, por aquello de que te puedes encontrar en un momento en casa de alguien, sin acceso a un dispositivos tuyo que pueda conectar a tu VPN y no tienes ganas de montar una allí donde vas, pudiendo tener ese pequeño acceso https a tu NAS, a su consola de administración o simplemente al explorador de ficheros (por si lo quieres restringir incluso más).

Todo lo demás, no tiene ningún sentido exponerlo. Para compartir la VoIP, montaremos un túnel entre ambos routers (os sugiero EoIP, que trabaja como si estuvierais enganchados al mismo switch), de tal manera que tu colega pueda acceder a dicho servicio sin exponer absolutamente nada a internet. El túnel irá securizado con IPSec (mirad los manuales de EoIP).

Tu configuración, aunque tiene mucho cacharrerío, es de lo más sencillita. No tienes nada complejo, desde un punto de vista de red. Empezamos si quieres por la de tu colega, que es aún más sencilla, y, una vez lista, pulimos la tuya. O al revés, como prefiráis. Pero os recomiendo a ambos lo mismo: tener un segundo equipo donde montar la configuración buena y, una vez probado, aplicarlo al 3011.

Saludos!
 
De toda tu lista, sólo tiene sentido exponer dos servicios:
- La VPN, para que puedas conectar desde el exterior. Todo lo demás, vía previa conexión a VPN. Sobre todo no exponer accesos por ssh, el asterisk o ningún login que vaya por http.
- El acceso HTTPS al NAS, por aquello de que te puedes encontrar en un momento en casa de alguien, sin acceso a un dispositivos tuyo que pueda conectar a tu VPN y no tienes ganas de montar una allí donde vas, pudiendo tener ese pequeño acceso https a tu NAS, a su consola de administración o simplemente al explorador de ficheros (por si lo quieres restringir incluso más).

Todo lo demás, no tiene ningún sentido exponerlo. Para compartir la VoIP, montaremos un túnel entre ambos routers (os sugiero EoIP, que trabaja como si estuvierais enganchados al mismo switch), de tal manera que tu colega pueda acceder a dicho servicio sin exponer absolutamente nada a internet. El túnel irá securizado con IPSec (mirad los manuales de EoIP).

Tu configuración, aunque tiene mucho cacharrerío, es de lo más sencillita. No tienes nada complejo, desde un punto de vista de red. Empezamos si quieres por la de tu colega, que es aún más sencilla, y, una vez lista, pulimos la tuya. O al revés, como prefiráis. Pero os recomiendo a ambos lo mismo: tener un segundo equipo donde montar la configuración buena y, una vez probado, aplicarlo al 3011.

Saludos!
Me parece correcto empezar por la de él, luego seguimos con la mía. Los dos tenemos Mikrotik para pruebas y posteriormente lo volcaremos al 3011.
Lo de la VPN me parece lo más lógico, solo me queda una duda, por ejemplo, desde el trabajo, a veces uso el Video Station o algún servicio del NAS que no es únicamente el acceso HTTPS, no puedo montar una VPN allí claro., así que esa parte la dejare abierta por ese motivo.
Los escritorios remotos, si hablamos del de google va por https, así que no habra problema. El de Windows va por 3389, hay me queda la duda por lo mismo, uso escritorio remoto windows desde algunos sitios cuando no puedo acceder por vpn, pero podría quedarme con el de chrome solamente.
El túnel EoIP me parece lo más seguro y estable, así que perfecto. Me pondré a leer los manuales.
Podré eliminar el pptp si funciona bien el l2tp que entiendo que no habra problema.

Saludos!
 
Buenas a todos.

Me explico por partes como diría Jack el destripador. :sneaky:
En el Bidge->ports en mi router principal si aparece ya lo de la H en todos los puertos menos en el Bonding que tengo para el NAS lo cual no se si es bueno o malo? También mi router principal es el RB3011.
En cuanto al 951 tendré que verlo al llegar a casa por que por algún misterio de la ciencia soy incapaz de acceder a el desde el trabajo ahora. Que ostras, habrán echo en el proxy del curro ahora.(Creo que me han cerrado el puerto que estaba usando, tendre que buscarme otro :cry:).

Respecto a lo de los puertos tienes toda la razón. Pero en este caso el 80 es para una pagina web que tengo montada en el NAS y uso para pruebas y si van bien los cambios después lo replico en la web principal, es decir lo tengo para testear cambios. Es una regla que activo solo para las pruebas y externamente uso un puerto diferente. Ya tube mondao un servidor web y no lo repito ya que me consumia mucho ancho de banda y estaba de fiesta todos los dias con ataques de todo tipo. :mad:

Y si tengo un puerto externo abierto el 443 y redireccionado al puerto interno del NAS del protocolo https y con certificado real para que encripte un poco la información. Mas que nada para que el del proxy de mi empresa solo pueda ver que estoy accediendo a una web por el puerto 443 y no sepa lo que estoy haciendo. Como ver una peli que tenga en el NAS por streaming mientras como. :p

Código:
# Empezamos a abrir puertos que necesitamos
/ip firewall nat
# El puerto externo 9080 --> al 80 del servidor web de pruebas
add action=dst-nat chain=dstnat comment="Aceso servidor web por puerto 9080" dst-address-list=public-ip \
    dst-port=9080 protocol=tcp to-addresses=192.168.88.150 disabled=yes to-ports=80
# El puerto externo 443 --> al 5005 al NAS para encriptar un poco la conexion.
add action=dst-nat chain=dstnat comment="Aceso NAS por puerto 443" dst-address-list=public-ip \
    dst-port=443 protocol=tcp to-addresses=192.168.88.150 to-ports=5005

Estoy mirándome también tu post de túneles EoIP. Eso fijo que cae en algún momento. Pero por partes.

Repito la configuracion con las mejoras indicadas.
Código:
# feb/15/2021 20:18:15 by RouterOS 6.46.3
# software id = 30I9-RYKT
#
# model = 951G-2HnD
# serial number = 64xxxxxB

/interface bridge
add admin-mac=6C:3B:6B:xx:xx:52  auto-mac=no comment=defconf name=bridge

/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
    disabled=no distance=indoors frequency=auto installation=indoor mode=\
    ap-bridge ssid=MikroTik-95E256 wireless-protocol=802.11

/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik

/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254

/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf

/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1

/ip neighbor discovery-settings
set discover-interface-list=LAN

/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN

/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0

/ip cloud
set ddns-enabled=yes

/ip dhcp-client
add comment=defconf disabled=no interface=ether1

/ip dhcp-server lease
add address=192.168.88.60 comment="EnchufeLampara Comedor" mac-address=\
    69:57:25:53:C1:B5 server=defconf
add address=192.168.88.53 comment=CONGA mac-address=14:6C:7C:67:F5:61 server=\
    defconf
add address=192.168.88.52 comment="Netatmo Relay" mac-address=\
    70:EE:52:25:86:4C server=defconf

/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1

/ip dns
set allow-remote-requests=yes

/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan

/ip firewall address-list
add address=642e06b8518b.sn.mynetname.net list=public-ip

/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN

# Empezamos a abrir puertos que necesitamos
/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=\
    192.168.88.0/24 src-address=192.168.88.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN

add action=dst-nat chain=dstnat comment="Aceso servidor web por puerto 9080" dst-address-list=public-ip \
    dst-port=9080 protocol=tcp to-addresses=192.168.88.150 disabled=yes to-ports=80

add action=dst-nat chain=dstnat comment="Aceso NAS por puerto 443" dst-address-list=public-ip \
    dst-port=443 protocol=tcp to-addresses=192.168.88.150 to-ports=5005


/ip firewall service-port
set sip ports=5060,5061,5070
set udplite disabled=yes

/ip service
set telnet disabled=yes
set ftp disabled=yes
set www port=9000
set ssh disabled=yes

/system clock
set time-zone-name=Europe/Madrid

/system identity
set name=MikroPercusoni

/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN


En cuanto al VPN me estoy empollando tus 2 hilos al respecto. Me atrae mucho el sistema de Servidor IKEv2.
Pero por ahora creo que montare primero el servidor L2TP/IPSec y además como parece ser que se puede usar como base para después pasar a el IKEv2, me parece ideal.

Código:
# Activar VPN por L2TP/IPSec
# No activamos el dyndns de mikrotik ya que ya lo teneos activado de antes.
# Creamos un nuevo pool para la VPN
/ip pool add name=vpn-pool ranges=192.168.89.2-192.168.89.254

# Creamos un nuevo perfil de conexión, copia del default-encryption
/ppp profile add copy-from=default-encryption name=vpn-profile local-address=192.168.89.1 remote-address=vpn-pool interface-list=LAN

# Creamos un nuevo usuario para el servidor l2tp
/ppp secret add name=usuariol2tp password=ladelpositpegadoenelmonitor7! service=l2tp

# Creamos las reglas de firewall y NAT para permitir el tráfico de la VPN
/ip firewall filter add action=accept chain=input comment="allow IPsec" dst-port=4500,500 protocol=udp place-before=2
/ip firewall filter add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp place-before=2
/ip firewall nat add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=192.168.89.0/24

# Impedimos el acceso al propio router, a menos que venga de una IP LAN o de la VPN.
/ip service set www address=192.168.88.0/24,192.168.89.0/24
/ip service set winbox address=192.168.88.0/24,192.168.89.0/24

# Activamos el servidor L2TP/IPSec, con un secreto de clave compartida para IPSec fuerte
/interface l2tp-server server set enabled=yes use-ipsec=yes ipsec-secret=DelaEternajuventud7! authentication=mschap2 default-profile=vpn-profile


Esta tarde si me deja mi sobrinte que es un pequeño tirano de 4 añitos (este sera general por lo menos). :love:
La idea es trasladar el resto de datos de IPs de DHCP lease al router de pruebas, ponerle 4 reglas mas del firewal y substituir el principal por el de pruebas para ver si no salimos ardiendo. :unsure:

Crucemos los dedos.
Un saludo
Percusoni
P.D: A ver si encuentro tiempo y os subo un pequeño esquema de la central nuclear que tengo por casa. :eek:
 
Arriba