Fallo de conexion Netatmo y Bombillas Wifi

En cuanto al 951 tendré que verlo al llegar a casa por que por algún misterio de la ciencia soy incapaz de acceder a el desde el trabajo ahora. Que ostras, habrán echo en el proxy del curro ahora.(Creo que me han cerrado el puerto que estaba usando, tendre que buscarme otro :cry:).
A tu 951 no le pasa nada, ni en tu curro te han capado nada. Se llama firewall, y está funcionando como se espera. Recuerda que ayer reseteaste ese equipo y está con la configuración por defecto. Y no abriste el tráfico a la web de admin del router (bien hecho), por lo tanto no vas a llegar nunca al router). Si conectaste por VPN, tampoco vas a llegar a la web de admin del mismo, puesto que el firewall, una vez más, está configurado para que no llegues. Por seguridad. Esto ya lo veremos más adelante, puede que te interese llegar en algún momento, ya abriremos esa posibilidad. Pero, desde luego, ahora está como tiene que estar.

Respecto a lo de los puertos tienes toda la razón. Pero en este caso el 80 es para una pagina web que tengo montada en el NAS y uso para pruebas y si van bien los cambios después lo replico en la web principal, es decir lo tengo para testear cambios. Es una regla que activo solo para las pruebas y externamente uso un puerto diferente. Ya tube mondao un servidor web y no lo repito ya que me consumia mucho ancho de banda y estaba de fiesta todos los dias con ataques de todo tipo.
No abras el puerto 80. Si tienes sub-servicios en el NAS corriendo, abres el 443 y llegas por https al equipo. Luego montas un reverse-proxy (lo tienes en el apartado "portal de aplicaciones") y expones en tu URL pública tantos sub-servicios como quieras. Por ejemplo:
- https://midominio.com/explorador -> me lleva al file station
- https://midominio.com/descargas -> me lleva al download manager

y luego en la pestaña de "proxy inverso" declaras tantas como te de la gana. El formato es siempre el msimo: /path -> ip: puerto, siendo "path" el nombre que tú quieras para ese servicio e "ip: puerto" la IP interna y el puerto que escuche eso.
Probad si queréis, veréis que es un juego de niños, y es una configuración segura. No obstante, cuidado como con el NAT, cuanto menos cosas estén expuestas al exterior, mejor. Preferid siempre la VPN al acceso HTTPS. Esto es un workaround, por así decirlo, para cuando no te queda más remedio.

Cuando vayas a probar, no toques el firewall, prueba tal cual.

Saludos!
 
Última edición:
Lo prometido es deuda.
Aquí un pequeño esquema de mi internet y como lo comparto con la casa de mi hermana.

Casa.jpg
 
Como podéis ver soy el señor de los switch :ROFLMAO::ROFLMAO::ROFLMAO: todos en este caso de la marca tp-link. Y alguno extra mas que me abre olvidado. EL wifi a través de 3 puntos wifi de marca Unifi.
El enlace se hace a través de un cable de fibra óptica de 100 metros y sin gota de Lag. La pareja de conversores de rj45 a fibra salió en aliexpres por16€ aunque también si tienes en ambos extremos un mikrotik con toma sfp se puede hacer también así. Idea que tengo en mente para reducir trastos que tengo en las 2 entradas.
Pero por ahora siguiendo la tradición mas sabia. Si no falla no lo toques así se queda.

Yo como siempre dando ideas insanas :sneaky:
Un saludo
Percusoni
 
Tienes mucho chisme, pero nada raro. Además, el DHCP de mikrotik no se despeina con un par de docenas de cacharros, así que sin problema.

Lo que sí os digo es tener el segundo equipo para pruebas, precisamente para que no jodais la red local o lo que tengáis ya montado, de ahí que os recomiende hacer los cambios en un equipo aparte y, una vez probado, aplicarlos al 3011.

Saludos!
 
Tú dirás, ¿cómo tienes los chismes ahora mismo? Le vamos a meter mano primero al otro router, ¿no? Pásame un export de cómo lo tienes ahora mismo recién reseteado y con la configuración por defecto, y le vamos metiendo cosas.

Saludos!
 
A ver yo ya me he tirado a la piscina con un yunque atado al cuello.
Aquí las cosas se hacen en caliente o no se hacen. :eek: :eek: :eek:

Vale ayer hice pruebas que fueron un desastre pero hoy van de maravilla.
Ahora subo datos.
 
Pego la mia de momento:
Código:
# jan/01/2002 01:00:40 by RouterOS 6.48
# software id = 8E2K-xxxx
#
# model = 2011UiAS
# serial number = 608505CxxxxD
/interface bridge
add admin-mac=E4:8D:8C:xx:xx:88 auto-mac=no comment=defconf name=bridge
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=ether9
add bridge=bridge comment=defconf interface=ether10
add bridge=bridge comment=defconf interface=sfp1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
/ip dhcp-client
add comment=defconf disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
 
Última edición:
A mi base por defecto.

Código:
# jan/02/1970 00:03:03 by RouterOS 6.46.3
# software id = 30I9-RYKT
#
# model = 951G-2HnD
# serial number = 64xxxxxB

/interface bridge
add admin-mac=6C:3B:6B:xx:xx:52 auto-mac=no comment=defconf name=bridge

/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX disabled=no distance=indoors frequency=auto \
    installation=indoor mode=ap-bridge ssid=MikroTik-95E256 wireless-protocol=802.11
 
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN


/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik

/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254

/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf

/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1

/ip neighbor discovery-settings
set discover-interface-list=LAN

/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN

/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0

/ip dhcp-client
add comment=defconf disabled=no interface=ether1

/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1

/ip dns
set allow-remote-requests=yes

/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan

/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN


/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN


Le he añadido:

Código:
/ip arp
add address=192.168.80.100 comment="NAS de Jorge" interface=bridge mac-address=00:11:33:43:33:25
add address=192.168.80.101 comment="NAS1 Boca 3" interface=bridge mac-address=00:11:33:43:33:27

/ip dhcp-server lease
add address=192.168.80.50 comment="Amazon Tv Stich" mac-address=5C:41:5A:1A:0E:24 server=defconf
add address=192.168.80.21 comment="NanoStation loco M5 Estacion (ANA)" mac-address=FC:EC:DA:2C:A1:E9 server=defconf


/ip firewall nat
add action=dst-nat chain=dstnat comment="Accesos al Mikrotik" dst-port=8291 in-interface-list=WAN protocol=tcp to-addresses=192.168.80.1 to-ports=8291
add action=dst-nat chain=dstnat comment="Acceso al NAS http por puerto 80" dst-port=80 in-interface-list=WAN protocol=tcp to-addresses=192.168.80.100 to-ports=80
add action=dst-nat chain=dstnat comment="Acceso al NAS Puerto 5007" disabled=yes dst-port=5007 in-interface-list=WAN protocol=tcp to-addresses=192.168.80.150 to-ports=5007


/system clock
set time-zone-name=Europe/Madrid

/system identity
set name=MikroPercusoni

/ip cloud set ddns-enabled=yes
/ip firewall address-list add address=[/ip cloud get dns-name] list=public-ip



/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=[/ip dhcp-server network get 0 address] src-address=[/ip dhcp-server network get 0 address] place-before=0

/ip pool add name=vpn-pool ranges=192.168.89.2-192.168.89.254
/ppp profile add copy-from=default-encryption name=vpn-profile local-address=192.168.89.1 remote-address=vpn-pool interface-list=LAN
/ppp secret add name=usuariol2tp password=ladelpositpegadoenelmonitor7! service=l2tp
/ip firewall filter add action=accept chain=input comment="allow IPsec" dst-port=4500,500 protocol=udp place-before=2
/ip firewall filter add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp place-before=2
/ip firewall nat add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=192.168.89.0/24
/ip service set www address=192.168.10.0/24,192.168.89.0/24
/ip service set winbox address=192.168.10.0/24,192.168.89.0/24
/interface l2tp-server server set enabled=yes use-ipsec=yes ipsec-secret=DelaEternajuventud7! authentication=mschap2 default-profile=vpn-profile



/lcd
set backlight-timeout=5m time-interval=daily

/ip service
set telnet disabled=yes
set ftp disabled=yes
set www port=9000
set ssh disabled=yes

En un principio las reglas del filtrer hiba a acerlas asi:
/ip firewall nat
add action=dst-nat chain=dstnat comment="Accesos al Mikrotik" dst-port=8291 dst-address-list=public-ip protocol=tcp to-addresses=192.168.10.1 to-ports=8291

Pero he tenido que modificarlas ya que no ivan. A esto que si funciona.

/ip firewall nat
add action=dst-nat chain=dstnat comment="Accesos al Mikrotik" dst-port=8291 in-interface-list=WAN protocol=tcp to-addresses=192.168.80.1 to-ports=8291
 
En un principio he puesto todos los puertos que necesitaba abiertos y los voy cerrando y verificando que sigo accediendo.
Si dejo de acceder la vuelvo a habilitar.
El sistema clásico de prueba y error.
Ayer lo probé y no lo conseguí de ninguna forma y es por que no me acordaba de después de reiniciar el mikrotik poner el DNA en el router de la compañía reiniciar el router mikrotik. NO REINICIE el de la compañía.
Hoy en vez de cambiar al de pruebas he echo salvado de configuracion del router principal de mikrotik y lo he echo todo con el principal (Así no tenia que reiniciar el router dela compañía, que es una :poop: y tarda entre 10 y 15 minutos en volver a tener internet).

Un saludo
Percusoni
 
Pego la mia de momento:
Código:
# jan/01/2002 01:00:40 by RouterOS 6.48
# software id = 8E2K-3NUU
#
# model = 2011UiAS
# serial number = 608505C1965D
/interface bridge
add admin-mac=E4:8D:8C:05:41:88 auto-mac=no comment=defconf name=bridge
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=ether9
add bridge=bridge comment=defconf interface=ether10
add bridge=bridge comment=defconf interface=sfp1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
/ip dhcp-client
add comment=defconf disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
La tuya está perfecta para empezar a meterle mano. Si quieres, vuelve a pegar un reset, pasa por el quick set y marca el tick de la VPN, que te cree los servidores. Además, y por seguridad, elige un segmento de red distinto, con eso no causamos jaleo cuando unamos los dos routers entre sí. Elegid cada uno un segmento de red local distinto, uno el .77 y otro el .66, por ejemplo.

Saludos!
 
Lo que no entiendo es por que no me coge las reglas si el destino le pongo que sea de la dst-address-list=public-ip si la teoría dice que que debería funcionar.

He cambiado mi rango al 11 para evitar confusión.
EA4fyh le tocara el 33.
El 22 me lo reservo para el de pruebas :sneaky:
Un saludo
Percusoni.
 
No vale con esto.
Código:
/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=[/ip dhcp-server network get 0 address] src-address=[/ip dhcp-server network get 0 address] place-before=0
/ip pool add name=vpn-pool ranges=192.168.89.2-192.168.89.254
/ppp profile add copy-from=default-encryption name=vpn-profile local-address=192.168.89.1 remote-address=vpn-pool interface-list=LAN
/ppp secret add name=usuariol2tp password=ladelpositpegadoenelmonitor7! service=l2tp
/ip firewall filter add action=accept chain=input comment="allow IPsec" dst-port=4500,500 protocol=udp place-before=2
/ip firewall filter add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp place-before=2
/ip firewall nat add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=192.168.89.0/24
/ip service set www address=192.168.10.0/24,192.168.89.0/24
/ip service set winbox address=192.168.10.0/24,192.168.89.0/24
/interface l2tp-server server set enabled=yes use-ipsec=yes ipsec-secret=DelaEternajuventud7! authentication=mschap2 default-profile=vpn-profile
 
La tuya está perfecta para empezar a meterle mano. Si quieres, vuelve a pegar un reset, pasa por el quick set y marca el tick de la VPN, que te cree los servidores. Además, y por seguridad, elige un segmento de red distinto, con eso no causamos jaleo cuando unamos los dos routers entre sí. Elegid cada uno un segmento de red local distinto, uno el .77 y otro el .66, por ejemplo.

Saludos!
hecho
 
A mi base por defecto.

Código:
# jan/02/1970 00:03:03 by RouterOS 6.46.3
# software id = 30I9-RYKT
#
# model = 951G-2HnD
# serial number = 64xxxxxB

/interface bridge
add admin-mac=6C:3B:6B:xx:xx:52 auto-mac=no comment=defconf name=bridge

/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX disabled=no distance=indoors frequency=auto \
    installation=indoor mode=ap-bridge ssid=MikroTik-95E256 wireless-protocol=802.11

/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN


/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik

/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254

/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf

/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1

/ip neighbor discovery-settings
set discover-interface-list=LAN

/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN

/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0

/ip dhcp-client
add comment=defconf disabled=no interface=ether1

/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1

/ip dns
set allow-remote-requests=yes

/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan

/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN


/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN


Le he añadido:

Código:
/ip arp
add address=192.168.80.100 comment="NAS de Jorge" interface=bridge mac-address=00:11:33:43:33:25
add address=192.168.80.101 comment="NAS1 Boca 3" interface=bridge mac-address=00:11:33:43:33:27

/ip dhcp-server lease
add address=192.168.80.50 comment="Amazon Tv Stich" mac-address=5C:41:5A:1A:0E:24 server=defconf
add address=192.168.80.21 comment="NanoStation loco M5 Estacion (ANA)" mac-address=FC:EC:DA:2C:A1:E9 server=defconf


/ip firewall nat
add action=dst-nat chain=dstnat comment="Accesos al Mikrotik" dst-port=8291 in-interface-list=WAN protocol=tcp to-addresses=192.168.80.1 to-ports=8291
add action=dst-nat chain=dstnat comment="Acceso al NAS http por puerto 80" dst-port=80 in-interface-list=WAN protocol=tcp to-addresses=192.168.80.100 to-ports=80
add action=dst-nat chain=dstnat comment="Acceso al NAS Puerto 5007" disabled=yes dst-port=5007 in-interface-list=WAN protocol=tcp to-addresses=192.168.80.150 to-ports=5007


/system clock
set time-zone-name=Europe/Madrid

/system identity
set name=MikroPercusoni

/ip cloud set ddns-enabled=yes
/ip firewall address-list add address=[/ip cloud get dns-name] list=public-ip



/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=[/ip dhcp-server network get 0 address] src-address=[/ip dhcp-server network get 0 address] place-before=0

/ip pool add name=vpn-pool ranges=192.168.89.2-192.168.89.254
/ppp profile add copy-from=default-encryption name=vpn-profile local-address=192.168.89.1 remote-address=vpn-pool interface-list=LAN
/ppp secret add name=usuariol2tp password=ladelpositpegadoenelmonitor7! service=l2tp
/ip firewall filter add action=accept chain=input comment="allow IPsec" dst-port=4500,500 protocol=udp place-before=2
/ip firewall filter add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp place-before=2
/ip firewall nat add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=192.168.89.0/24
/ip service set www address=192.168.10.0/24,192.168.89.0/24
/ip service set winbox address=192.168.10.0/24,192.168.89.0/24
/interface l2tp-server server set enabled=yes use-ipsec=yes ipsec-secret=DelaEternajuventud7! authentication=mschap2 default-profile=vpn-profile



/lcd
set backlight-timeout=5m time-interval=daily

/ip service
set telnet disabled=yes
set ftp disabled=yes
set www port=9000
set ssh disabled=yes

En un principio las reglas del filtrer hiba a acerlas asi:
/ip firewall nat
add action=dst-nat chain=dstnat comment="Accesos al Mikrotik" dst-port=8291 dst-address-list=public-ip protocol=tcp to-addresses=192.168.10.1 to-ports=8291

Pero he tenido que modificarlas ya que no ivan. A esto que si funciona.

/ip firewall nat
add action=dst-nat chain=dstnat comment="Accesos al Mikrotik" dst-port=8291 in-interface-list=WAN protocol=tcp to-addresses=192.168.80.1 to-ports=8291
No te funciona porque no tienes el DDNS funcionando en IP -> Cloud. Y Ojo con esa configurción que veo IP's de los rangos .80 y .88 mezcladas. Yo le daría un reset y empezaría como el colega, con el rango que sea que te toque y marcando el tick de VPN en la pestaña del quick set. Una vez hecho, desconectas y conectas el cable de red para que entre en el mismo rango y empezamos.

Lo primero, el hairpin nat. Lo tenéis detallado en los tips&tricks.

Habilitamos el servicio, creamos la lista y la regla de hairpin. Luego, abrimos el puerto 443 a la IP del NAS (he puesto el 1234, colocad ahí el puerto de admin del NAS y su IP)
Código:
/ip cloud set ddns-enabled=yes
/ip firewall address-list add address=[/ip cloud get dns-name] list=public-ip
/ip firewall nat add action=masquerade chain=srcnat comment=hairpin-nat dst-address=[/ip dhcp-server network get 0 address] src-address=[/ip dhcp-server network get 0 address] place-before=0
/ip firewall nat
add action=dst-nat chain=dstnat comment=Web-Admin dst-address-list=public-ip \
    dst-port=443 protocol=tcp to-addresses=192.168.XX.YY to-ports=1234

con esto ya deberíais poder acceder al equipo NAS por https, tanto desde dentro como desde fuera, usando el dominio ddns que sea que uséis.

Saludos!
 
Y por dios, olvidaos de abrir puertos para acceder al router. Para eso está la VPN. Pensad que si vosotros llegáis desde internet al router, llega cualquiera. Si no podéis acceder al router por un túnel seguro, mejor no accedáis.

Saludos!
 
No te funciona porque no tienes el DDNS funcionando en IP -> Cloud. Y Ojo con esa configurción que veo IP's de los rangos .80 y .88 mezcladas. Yo le daría un reset y empezaría como el colega, con el rango que sea que te toque y marcando el tick de VPN en la pestaña del quick set. Una vez hecho, desconectas y conectas el cable de red para que entre en el mismo rango y empezamos.

Lo primero, el hairpin nat. Lo tenéis detallado en los tips&tricks.

Habilitamos el servicio, creamos la lista y la regla de hairpin. Luego, abrimos el puerto 443 a la IP del NAS (he puesto el 1234, colocad ahí el puerto de admin del NAS y su IP)
Código:
/ip cloud set ddns-enabled=yes
/ip firewall address-list add address=[/ip cloud get dns-name] list=public-ip
/ip firewall nat add action=masquerade chain=srcnat comment=hairpin-nat dst-address=[/ip dhcp-server network get 0 address] src-address=[/ip dhcp-server network get 0 address] place-before=0
/ip firewall nat
add action=dst-nat chain=dstnat comment=Web-Admin dst-address-list=public-ip \
    dst-port=443 protocol=tcp to-addresses=192.168.XX.YY to-ports=1234

con esto ya deberíais poder acceder al equipo NAS por https, tanto desde dentro como desde fuera, usando el dominio ddns que sea que uséis.

Saludos!
Perfecto, lo voy metiendo pero aun no lo tengo sustituyendo al principal (no puedo probar aun) hasta no levantar las vlan, asi que sigo metiendo
 
Y por dios, olvidaos de abrir puertos para acceder al router. Para eso está la VPN. Pensad que si vosotros llegáis desde internet al router, llega cualquiera. Si no podéis acceder al router por un túnel seguro, mejor no accedáis.

Saludos!
ook, asi lo dejo entonces
 
No te preocupes que lo dejamos en un periquete. Ves diciéndome qué tenías tú, porque sé que uno era lowi y otro movistar, y montamos las vlas y los clientes echando virutas, así podéis probarlo tirando un cable a la ONT/router.

Para esto, es siempre lo mismo. Primero damos de alta la vlan en el puerto que se vaya a usar para ello, y posteriormente levantamos el cliente que sea para ese puerto.

Saludos!
 
Arriba