Fallo de conexion Netatmo y Bombillas Wifi

Otra cosa, cuando tengáis esto funcionando, de vez en cuando, veréis un intento de conexión L2TP. Esto es normal, hay sondas por ahí automáticas escaneando puertos, y ese es de los más golosos. No hay que darle importancia, pero si os da la murga, creáis una lista, al igual que la "public-ip" con "vpn-blocks" y la ponéis la primera en las reglas del firewall, en el chain de input, haciendo un drop a ese tráfico y amén. IP que os moleste, a la lista y drop que te crió.
Otra opción es que acabéis migrando a IKEv2 o que aprovechéis el segundo mikrotik que tenéis de pico, lo pongáis en modo bridge (como si de un switch se tratase), lo subáis a la V7beta4 y configuréis WireGuard. Sin duda, la mejor VPN que podéis montar ahora mismo.

Saludos!
 
Como diría Jack el destripador "por partes" antes de IKEv2 quisiera ver si se puede arreglar lo de dst-address-list=public-ip o sigo con el clásico in-interface-list=WAN.

:sneaky:
 
A ver, por partes. velocidad de descarga... 16mb
La ip-public continua en 0.0.0.0 estando levantada la conexion
 
Y esto que lo decia desde hace mucho



Ya no levanta la conexion ni de broma


Enviado desde mi iPhone utilizando Tapatalk
 
Vale por partes prueba a reset al mikrotik y lo pones el de la compañía que gestione las vlans.
Hacemos la configuracion básica y después le añades las vlans. A ver si asi tira.
 
Y esto que lo decia desde hace mucho



Ya no levanta la conexion ni de broma


Enviado desde mi iPhone utilizando Tapatalk
Para que eso te funcione; tienes que tener delante una ONT o un HGU al que le hayas eliminado la tabla de vlans. Sino, no funciona, claro.

Saludos!
 
Para que eso te funcione; tienes que tener delante una ONT o un HGU al que le hayas eliminado la tabla de vlans. Sino, no funciona, claro.

Saludos!
Ya esta funcionando, es una ONT pura no es un HGU. De hecho la ont solo puedes acceder por telnet para meter el idont. es la edge core gg11000.

Por el momento esta levantada de nuevo. No funciona el acceso https, dice error ssl

Faltaria meter la iptv
 
Error ssl porque estarás entrando con https y el domino que no corresponde, ¿no? Es decir, el certificado SSL va para el l que sea tu dominio con el que esté registrado el certificado. Si luego usas el ddns de mikrotik para acceder, obviamente te dirá que no conoce ese dominio y que el certificado no está registrado para dicho dominio. Pero, si aceptas la excepción, llegas al chisme, que es lo importante. De ponerlo bonito luego nos encargamos.

Pues ahora quedaría hacer una prueba y unir ambos routers con un túnel EoIP para aprovechar los recursos del otro lado. Pero esto lo dejamos para otro día, si os parece bine, que hoy no doy ya más de sí. Dependiendo de si queréis transportar o no la red local de uno de los routers al otro lado, haríamos un tipo de túnel u otro. Pero, viendo que cada uno tenéis vuestra conexión y vuestros chismes, yo optaría a montarlo como está descrito en el manual del EoIP site-to-site.

Saludos!
 
Me queda terminar a parte del eoip, configurar la iptv.

Intente seguir las guias y nada. Aun asi tengo copia de seguridad del paso anterior.

De momento lleva desde el viernes sin caer la red y funcionando la VoIp sin problema. Solo la tele


Enviado desde mi iPhone utilizando Tapatalk
 
Me queda terminar a parte del eoip, configurar la iptv.

Intente seguir las guias y nada. Aun asi tengo copia de seguridad del paso anterior.

De momento lleva desde el viernes sin caer la red y funcionando la VoIp sin problema. Solo la tele


Enviado desde mi iPhone utilizando Tapatalk
Eso es muy buena señal. Has probado a seguir el manual del EoIP entre dos sedes, y comunicar un elemento de una red con otro de otra? Si te atascas dime y te echo una mano mañana.

Saludos!
 
Si. Tenemos el eoip montado pero sin cifrado ipsec porque se carga entonces el l2tp.

Ha sido desactivarlo y funcionar el l2tp y el
Eoip. Esta parte la ha montado @Percusoni en mi router y en el suyo.

Asi que solo queda la tele que no va. Miento, funciono en el rb2011 y al pasarlo al 3011 ya no fui capz. El resto perfecto


Enviado desde mi iPhone utilizando Tapatalk
 
Si. Tenemos el eoip montado pero sin cifrado ipsec porque se carga entonces el l2tp.

Ha sido desactivarlo y funcionar el l2tp y el
Eoip. Esta parte la ha montado @Percusoni en mi router y en el suyo.

Asi que solo queda la tele que no va. Miento, funciono en el rb2011 y al pasarlo al 3011 ya no fui capz. El resto perfecto


Enviado desde mi iPhone utilizando Tapatalk
Umm, qué raro, no debería, cada conexión debería llevar su perfil. Además, en el caso del EoIP, lo crea dinámico. Lo único es ponerle el mismo ID y contraseña a los dos lados del túnel, y quitarle el fastpath.

Mañana le echamos un vistazo, a ver qué le pasa.

Me alegro de que estés contento con la configuración nueva, es de largo mucho mejor que la que manejabais antes.

Saludos!
 
Si el tunel Eoip ya esta montado siguiendo tu post, pero sin cifrar ya que sino se carga el l2tp( o lo usa el). Y sin el clic de Allow Fast Path.
Ahora que esta sin cifrar lo tiene marcado.

En interfaces se ve perfectamente el trafico y en los logs parece estar todo perfecto. :love:

Pero aunque puedo hacer todo esto:
Escritorios remotos de una red a otra,
Ping a todos los equipos
Conectarme por telnet
Winscp.
Conectar por iax las centralitas de Asterisk por las ips internas


Hay un par de cosas que no van: o_O
No puedo conectarme ni por winbox, ni por web al router de la otra red.
No puedo conectarme a web admin del NAS de la otra red. Y eso que pongo la IP del nas y el puerto. Estilo 192.168.88.15:5000

Lo cual es bastante extraño ya que cosas mas complejas si van. :unsure:

Esto es lo que he echo. (modificando un poco) lo puesto en el post. :cool:

Para diferenciar las redes y que no sean las dos 192.168.88.x hemos cambiado el 88 por un 10 y un 99.

Código:
Router A) Router en la sede A: En casa de Percusoni red interna 10
    dominio: ddns Dyndns.percusoni.es
    dirección del túnel: 172.168.1.1/30
    dirección de su LAN local: 192.168.10.1/24
Router B) Router en la sede B: En Casa de Ea4fyh red interna 99
    dominio: ddns Dyndns.ea4fyh.es
    dirección del túnel: 172.168.1.2/30
    dirección de su LAN local: 192.168.99.1/24

#Router A: Percusoni
/ip firewall address-list add address=Dyndns.ea4fyh.es list=IPdestinodeltunelEoIP
#Ojo con poner la regla del firewal filter antes de los drop invalid
/ip firewall filter add action=accept chain=input comment="Accept GRE del tunnel EoIP" protocol=gre src-address-list=IPdestinodeltunelEoIP place-before [ find where comment="defconf: accept ICMP" ]
/interface eoip add name=Tunel_EoIP remote-address=Dyndns.ea4fyh.es tunnel-id=0 mtu=1500
/ip address add address=172.168.1.1/30 interface=Tunel_EoIP
/ip route add dst-address=192.168.99.0/24 gateway=172.168.1.2

#Router B: ALEX
/ip firewall address-list add address=Dyndns.percusoni.es list=IPdestinodeltunelEoIP
#Ojo con poner la regla del firewal filter antes de los drop invalid
/ip firewall filter add action=accept chain=input comment="Accept GRE del tunnel EoIP" protocol=gre src-address-list=IPdestinodeltunelEoIP place-before [ find where comment="defconf: accept ICMP" ]
/interface eoip add name=Tunel_EoIP remote-address=Dyndns.percusoni.es tunnel-id=0 mtu=1500
/ip address add address=172.168.1.2/30 interface=Tunel_EoIP
/ip route add dst-address=192.168.10.0/24 gateway=172.168.1.1

Cuando tengas un rato lo vemos. (hoy ya es un pelín tarde).
Un saludo
Percusoni
 
No puedo conectarme ni por winbox, ni por web al router de la otra red.
Es normal, tienes una regla en el chain de input que te lo impide, esa que dice "drop all not coming from LAN". Para solucionarlo, tienes varias opciones, pero quizá la más sencilla sea editar la lista de interfaces LAN, que ahora contiene el bridge principal, y añadir también la interfaz del túnel. Así, sin tocar nada a nivel de firewall, deberías llegar a router desde el otro lado, tanto vía web como con el propio winbox.
Lo del NAT podría ser por el hairpin, pero tendríamos que revisarlo, es raro que no llegues por IP.

Por otro lado, en el túnel en sí, configurad los endpoints del otro lado usando los dominios ddns del propio mikrotik, los que encontráis en IP -> Cloud. No uséis otros tipo duckdns que fallan más que una escopeta de feria, y se os caerá el túnel.

Por otro lado, cuando paséis el túnel a IPSec, las reglas que aceptan el tráfico GRE sobran, puesto que el tráfico entrará por el 500, que ya lo teníais aceptado en el firewall en el chain de input, de la VPN L2TP. Cuando vayáis a probarlo, deshabilitar la regla del GRE en ambos sitios, y meted la misma contraseña (no uséis caracteres raros) en los dos lados del túnel. Esa contraseña no encripta, el la que se usa par generar luego las claves de encriptado, así que no hace falta que sea una barbaridad de compleja.

Saludos!
 
Buenas tardes:

@pokoyo te pego el script que tengo actualmente, con el que no esta funcionando la IPTV. A ver que puedes decirme

Código:
# feb/22/2021 02:18:12 by RouterOS 6.48.1
# software id = EZN4-0000
#
# model = RouterBOARD 3011UiAS
# serial number = 780E00000000

/interface bridge
add admin-mac=6C:00:00:00:00:00 auto-mac=no comment=defconf name=20-Puente

/interface ethernet
set [ find default-name=ether1 ] name=01-WAN
set [ find default-name=ether2 ] name=02-LAN
set [ find default-name=ether3 ] name=03-LAN
set [ find default-name=ether4 ] name=04-LAN
set [ find default-name=ether5 ] name=05-LAN
set [ find default-name=ether6 ] name=06-LAN
set [ find default-name=ether7 ] name=07-LAN
set [ find default-name=ether8 ] name=08-LAN
set [ find default-name=ether9 ] name=09-LAN
set [ find default-name=ether10 ] comment="Deco Movistar" name=10-LAN
set [ find default-name=sfp1 ] name=SFP-1

/interface eoip
add mac-address=FE:55:00:00:00:00 mtu=1500 name=Tunel_EoIP remote-address=\
    percusoni.Dondomino.es tunnel-id=0

/interface vlan
add comment=IPTV interface=01-WAN name="Vlan 2" vlan-id=2
add comment=VoIP interface=01-WAN name="Vlan 3" vlan-id=3
add comment=Internet interface=01-WAN name="Vlan 6" vlan-id=6

/interface bonding
add mode=802.3ad name="Bonding NAS" slaves=03-LAN,04-LAN

/interface pppoe-client
add add-default-route=yes disabled=no interface="Vlan 6" max-mru=1492 \
    max-mtu=1492 name="Movistar PPPOE" password=adslppp use-peer-dns=yes \
    user=adslppp@telefonicanetpa

/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add name=IPTV

/ip dhcp-server option
add code=240 name=option_para_deco value=\
    "':::::239.0.2.10:22222:v6.0:239.0.2.30:22222'"

/ip pool
add name=dhcp ranges=192.168.99.180-192.168.99.254
add name=vpn ranges=192.168.89.2-192.168.89.255
add name=iptv-pool ranges=192.168.77.195-192.168.77.200

/ip dhcp-server
add address-pool=dhcp disabled=no interface=20-Puente name="DHCP Intranet"
add address-pool=iptv-pool disabled=no interface=10-LAN name=iptv-dhcp-server

/ppp profile
add change-tcp-mss=yes interface-list=LAN local-address=192.168.89.1 name=\
    "permitir VPN LAN" remote-address=vpn use-encryption=yes
set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn

/tool user-manager customer
set admin access=\
    own-routers,own-users,own-profiles,own-limits,config-payment-gw
/interface bridge port
add bridge=20-Puente comment=defconf interface=02-LAN
add bridge=20-Puente comment=defconf interface=05-LAN
add bridge=20-Puente comment=defconf interface=06-LAN
add bridge=20-Puente comment=defconf interface=07-LAN
add bridge=20-Puente comment=defconf interface=08-LAN
add bridge=20-Puente comment=defconf interface=09-LAN
add bridge=20-Puente comment=defconf interface=SFP-1
add bridge=20-Puente interface="Bonding NAS" multicast-router=disabled

/ip neighbor discovery-settings
set discover-interface-list=LAN

/interface l2tp-server server
set authentication=mschap2 default-profile="permitir VPN LAN" enabled=yes \
    ipsec-secret="miclavesegura" use-ipsec=yes

/interface list member
add comment=defconf interface=20-Puente list=LAN
add comment=defconf interface=01-WAN list=WAN
add interface="Movistar PPPOE" list=WAN
add interface="Vlan 2" list=IPTV
add interface=10-LAN list=LAN

/interface sstp-server server
set default-profile=default-encryption

/ip address
add address=192.168.99.1/24 comment=defconf interface=20-Puente network=\
    192.168.99.0
add address=192.168.77.1/24 comment="IPTV subnet" interface=10-LAN network=\
    192.168.77.0
add address=10.135.240.163/9 comment="Deco Movistar" interface="Vlan 2" \
    network=10.128.0.0
add address=172.168.1.2/30 interface=Tunel_EoIP network=172.168.1.0

/ip cloud
set ddns-enabled=yes

/ip dhcp-client
add comment=defconf disabled=no interface=01-WAN
add add-default-route=no disabled=no interface="Vlan 3" use-peer-ntp=no

/ip dhcp-server lease
add address=192.168.99.100 comment=NAS mac-address=00:11:00:00:00:00 server=\
    "DHCP Intranet"
add address=192.168.99.25 comment="CENTRALITA ASTERISK 13" mac-address=\
    B8:27:00:00:00:00 server="DHCP Intranet"
add address=192.168.77.200 client-id="61:72:72:69:73:5f:00:00:00:00:00:00:00:2\
    d:30:2e:30:5f:32:38:35:37:30:30:00:00:00:00:00:00" dhcp-option=\
    option_para_deco mac-address=BC:64:00:00:00:00 server=iptv-dhcp-server

/ip dhcp-server network
add address=192.168.77.0/24 dhcp-option=option_para_deco dns-server=\
    172.26.23.3 gateway=192.168.77.1 netmask=24
add address=192.168.99.0/24 comment=defconf dns-server=\
    192.168.99.10,192.168.99.1 gateway=192.168.99.1 netmask=24

/ip dns
set allow-remote-requests=yes

/ip dns static
add address=192.168.99.1 comment=defconf name=router.lan

/ip firewall address-list
add address=868686868686.sn.mynetname.net list=public-ip
add address=xxxxx.casaamigo.com list=IPdestinodeltunelEoIP
add address=micasa.xxxxx.com list=IP-Externa

/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 \
    protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow pptp" disabled=yes dst-port=1723 \
    protocol=tcp
add action=accept chain=input comment="allow sstp" disabled=yes dst-port=443 \
    protocol=tcp
add action=accept chain=input comment=\
    "Acepta el trafico de la vlan del telefono" in-interface="Vlan 3" \
    src-address=10.0.0.0/8
add action=accept chain=input comment="Accept GRE del tunnel EoIP" protocol=\
    gre src-address-list=IPdestinodeltunelEoIP
add action=accept chain=input comment="\"Accept vlan2 Iptv IGMP packets\"" \
    in-interface="Vlan 2" protocol=igmp
add action=accept chain=input comment=\
    "Accept vlan2  (Iptv) multicast & broadcast traffic" dst-address-type=\
    !unicast in-interface="Vlan 2"
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=drop chain=forward comment=\
    "Drop all new unicast traffic from vlan2 (Iptv) not DSTNATed" \
    connection-nat-state=!dstnat connection-state=new dst-address-type=\
    unicast in-interface="Vlan 2"

/ip firewall mangle
add action=set-priority chain=postrouting new-priority=5 out-interface=\
    "Vlan 3" passthrough=yes
add action=set-priority chain=postrouting new-priority=4 out-interface=\
    "Vlan 2" passthrough=yes
add action=set-priority chain=postrouting new-priority=1 out-interface=\
    "Movistar PPPOE"

/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=\
    192.168.99.0/24 src-address=192.168.99.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
    192.168.89.0/24
add action=masquerade chain=srcnat comment="masq. VoIP" out-interface=\
    "Vlan 3"
add action=masquerade chain=srcnat comment="masq. IPTV" out-interface=\
    "Vlan 2"
add action=dst-nat chain=dstnat comment="VOD Movistar 1 Desco" \
    dst-address-type=local in-interface="Vlan 2" to-addresses=192.168.77.200
add action=dst-nat chain=dstnat comment=\
    "Acceso al NAS 100 TCP HTTP  1001,81 --> 9011" dst-address-list=public-ip \
    dst-port=81,1001 log=yes protocol=tcp to-addresses=192.168.99.100 \
    to-ports=9011
add action=dst-nat chain=dstnat comment=\
    "Acceso al NAS 100 TCP HTTPS 443 --> 9012" dst-address-list=public-ip \
    dst-port=443 protocol=tcp to-addresses=192.168.99.100 to-ports=9012
add action=dst-nat chain=dstnat comment=\
    "Acceso al NAS 100 TCP HTTP  80 --> 80" dst-address-list=public-ip \
    dst-port=80 protocol=tcp to-addresses=192.168.99.100 to-ports=80
add action=dst-nat chain=dstnat comment="Asterisk IAX Trunk" \
    dst-address-list=public-ip dst-port=4569 protocol=tcp to-addresses=\
    192.168.99.25 to-ports=4569

/ip route
add distance=1 dst-address=192.168.10.0/24 gateway=172.168.1.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www port=8000
set ssh disabled=yes

/lcd
set backlight-timeout=never default-screen=stats

/lcd interface
add interface="Movistar PPPOE" timeout=1s

/lcd interface pages
add interfaces="Movistar PPPOE"

/ppp secret
add comment="Perfil 1" name=usuariovpn1 password=xxxxxxxx profile=\
    "permitir VPN LAN" service=l2tp
add comment="Perfil 2" name=usuariovpn2 password=yyyyyyyy profile=\
    "permitir VPN LAN" service=l2tp

/routing igmp-proxy
set query-interval=30s quick-leave=yes

/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface="Vlan 2" upstream=yes
add interface=10-LAN

/routing rip interface
add interface="Vlan 3" passive=yes receive=v2
add interface="Vlan 2" passive=yes receive=v2

/routing rip network
add network=10.0.0.0/8
add network=172.26.0.0/16

/system clock
set time-zone-name=Europe/Madrid

/system identity
set name=MikroTik-Ea4fyh

/system scheduler
add interval=5m name="DonDNS scheduler" on-event="DonDNS EA4FYH" policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
    start-date=jan/02/1970 start-time=01:00:40

/system script
add comment="Actualizacion DonDominio" dont-require-permissions=no name=\
    "DonDNS EA4FYH" owner=admin policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source="#\
    #############Script Settings##################\r\
    \n\r\
    \n:local DONDNSUser xxxxx\r\
    \n:local DONDNSPass fhrmskofmonwrfionsonknls\r\
    \n:local DONDNSDomain ea4fyh.Dondomino.es\r\
    \n\r\
    \n###############################################\r\
    \n\r\
    \n/tool fetch mode=http url=\"http://dondns.dondominio.com/plain/\?user=\$\
    DONDNSUser&password=\$DONDNSPass&host=\$DONDNSDomain\" keep-result=no"

/tool mac-server
set allowed-interface-list=LAN

/tool mac-server mac-winbox
set allowed-interface-list=LAN

/tool user-manager database
set db-path=user-manager
 
Buenas a todos.
He echo lo de añadir en el interface list que el tunel eoip, aunque lo he echo por winbox, aquí lo pongo también como se haría vía comandos.:geek:

Código:
/interface list member
add interface=Tunel_EoIP list=LAN

Tanto en mi router como el de Ea4fyh.
Ya se ven los routers desde ambas redes y los nases.
Pero ahora no se por que hay mucho LAG en las cosas entre las redes.
No en internet o en mi red. Es decir cuando hago un escritorio remoto a un pc de la red de Ea4yh, acceder a su NAs o a su router.
Pero a parte de ese inconveniente va bien.

Por tanto, para los Nases tenemos ahora dos formas de acceder.
Via ip interna + puerto = 192.168.33.100:5000 Con lag pero va.

Via externa =
https:\\ea4fyh.Dondomino.es.
https:\\percusoni.Dondomino.es
Que va perfecto, desde ambas redes.

Lo raro es el LAG que se esta generando ya que sin estar en el mismo entorno de interface list antes iva mejor.
:eek:Arreglo algo y rompo 3 cosas :cry:
 
Buenas tardes:

@pokoyo te pego el script que tengo actualmente, con el que no esta funcionando la IPTV. A ver que puedes decirme

Código:
# feb/22/2021 02:18:12 by RouterOS 6.48.1
# software id = EZN4-0000
#
# model = RouterBOARD 3011UiAS
# serial number = 780E00000000

/interface bridge
add admin-mac=6C:00:00:00:00:00 auto-mac=no comment=defconf name=20-Puente

/interface ethernet
set [ find default-name=ether1 ] name=01-WAN
set [ find default-name=ether2 ] name=02-LAN
set [ find default-name=ether3 ] name=03-LAN
set [ find default-name=ether4 ] name=04-LAN
set [ find default-name=ether5 ] name=05-LAN
set [ find default-name=ether6 ] name=06-LAN
set [ find default-name=ether7 ] name=07-LAN
set [ find default-name=ether8 ] name=08-LAN
set [ find default-name=ether9 ] name=09-LAN
set [ find default-name=ether10 ] comment="Deco Movistar" name=10-LAN
set [ find default-name=sfp1 ] name=SFP-1

/interface eoip
add mac-address=FE:55:00:00:00:00 mtu=1500 name=Tunel_EoIP remote-address=\
    percusoni.Dondomino.es tunnel-id=0

/interface vlan
add comment=IPTV interface=01-WAN name="Vlan 2" vlan-id=2
add comment=VoIP interface=01-WAN name="Vlan 3" vlan-id=3
add comment=Internet interface=01-WAN name="Vlan 6" vlan-id=6

/interface bonding
add mode=802.3ad name="Bonding NAS" slaves=03-LAN,04-LAN

/interface pppoe-client
add add-default-route=yes disabled=no interface="Vlan 6" max-mru=1492 \
    max-mtu=1492 name="Movistar PPPOE" password=adslppp use-peer-dns=yes \
    user=adslppp@telefonicanetpa

/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add name=IPTV

/ip dhcp-server option
add code=240 name=option_para_deco value=\
    "':::::239.0.2.10:22222:v6.0:239.0.2.30:22222'"

/ip pool
add name=dhcp ranges=192.168.99.180-192.168.99.254
add name=vpn ranges=192.168.89.2-192.168.89.255
add name=iptv-pool ranges=192.168.77.195-192.168.77.200

/ip dhcp-server
add address-pool=dhcp disabled=no interface=20-Puente name="DHCP Intranet"
add address-pool=iptv-pool disabled=no interface=10-LAN name=iptv-dhcp-server

/ppp profile
add change-tcp-mss=yes interface-list=LAN local-address=192.168.89.1 name=\
    "permitir VPN LAN" remote-address=vpn use-encryption=yes
set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn

/tool user-manager customer
set admin access=\
    own-routers,own-users,own-profiles,own-limits,config-payment-gw
/interface bridge port
add bridge=20-Puente comment=defconf interface=02-LAN
add bridge=20-Puente comment=defconf interface=05-LAN
add bridge=20-Puente comment=defconf interface=06-LAN
add bridge=20-Puente comment=defconf interface=07-LAN
add bridge=20-Puente comment=defconf interface=08-LAN
add bridge=20-Puente comment=defconf interface=09-LAN
add bridge=20-Puente comment=defconf interface=SFP-1
add bridge=20-Puente interface="Bonding NAS" multicast-router=disabled

/ip neighbor discovery-settings
set discover-interface-list=LAN

/interface l2tp-server server
set authentication=mschap2 default-profile="permitir VPN LAN" enabled=yes \
    ipsec-secret="miclavesegura" use-ipsec=yes

/interface list member
add comment=defconf interface=20-Puente list=LAN
add comment=defconf interface=01-WAN list=WAN
add interface="Movistar PPPOE" list=WAN
add interface="Vlan 2" list=IPTV
add interface=10-LAN list=LAN

/interface sstp-server server
set default-profile=default-encryption

/ip address
add address=192.168.99.1/24 comment=defconf interface=20-Puente network=\
    192.168.99.0
add address=192.168.77.1/24 comment="IPTV subnet" interface=10-LAN network=\
    192.168.77.0
add address=10.135.240.163/9 comment="Deco Movistar" interface="Vlan 2" \
    network=10.128.0.0
add address=172.168.1.2/30 interface=Tunel_EoIP network=172.168.1.0

/ip cloud
set ddns-enabled=yes

/ip dhcp-client
add comment=defconf disabled=no interface=01-WAN
add add-default-route=no disabled=no interface="Vlan 3" use-peer-ntp=no

/ip dhcp-server lease
add address=192.168.99.100 comment=NAS mac-address=00:11:00:00:00:00 server=\
    "DHCP Intranet"
add address=192.168.99.25 comment="CENTRALITA ASTERISK 13" mac-address=\
    B8:27:00:00:00:00 server="DHCP Intranet"
add address=192.168.77.200 client-id="61:72:72:69:73:5f:00:00:00:00:00:00:00:2\
    d:30:2e:30:5f:32:38:35:37:30:30:00:00:00:00:00:00" dhcp-option=\
    option_para_deco mac-address=BC:64:00:00:00:00 server=iptv-dhcp-server

/ip dhcp-server network
add address=192.168.77.0/24 dhcp-option=option_para_deco dns-server=\
    172.26.23.3 gateway=192.168.77.1 netmask=24
add address=192.168.99.0/24 comment=defconf dns-server=\
    192.168.99.10,192.168.99.1 gateway=192.168.99.1 netmask=24

/ip dns
set allow-remote-requests=yes

/ip dns static
add address=192.168.99.1 comment=defconf name=router.lan

/ip firewall address-list
add address=868686868686.sn.mynetname.net list=public-ip
add address=xxxxx.casaamigo.com list=IPdestinodeltunelEoIP
add address=micasa.xxxxx.com list=IP-Externa

/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 \
    protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow pptp" disabled=yes dst-port=1723 \
    protocol=tcp
add action=accept chain=input comment="allow sstp" disabled=yes dst-port=443 \
    protocol=tcp
add action=accept chain=input comment=\
    "Acepta el trafico de la vlan del telefono" in-interface="Vlan 3" \
    src-address=10.0.0.0/8
add action=accept chain=input comment="Accept GRE del tunnel EoIP" protocol=\
    gre src-address-list=IPdestinodeltunelEoIP
add action=accept chain=input comment="\"Accept vlan2 Iptv IGMP packets\"" \
    in-interface="Vlan 2" protocol=igmp
add action=accept chain=input comment=\
    "Accept vlan2  (Iptv) multicast & broadcast traffic" dst-address-type=\
    !unicast in-interface="Vlan 2"
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=drop chain=forward comment=\
    "Drop all new unicast traffic from vlan2 (Iptv) not DSTNATed" \
    connection-nat-state=!dstnat connection-state=new dst-address-type=\
    unicast in-interface="Vlan 2"

/ip firewall mangle
add action=set-priority chain=postrouting new-priority=5 out-interface=\
    "Vlan 3" passthrough=yes
add action=set-priority chain=postrouting new-priority=4 out-interface=\
    "Vlan 2" passthrough=yes
add action=set-priority chain=postrouting new-priority=1 out-interface=\
    "Movistar PPPOE"

/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=\
    192.168.99.0/24 src-address=192.168.99.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
    192.168.89.0/24
add action=masquerade chain=srcnat comment="masq. VoIP" out-interface=\
    "Vlan 3"
add action=masquerade chain=srcnat comment="masq. IPTV" out-interface=\
    "Vlan 2"
add action=dst-nat chain=dstnat comment="VOD Movistar 1 Desco" \
    dst-address-type=local in-interface="Vlan 2" to-addresses=192.168.77.200
add action=dst-nat chain=dstnat comment=\
    "Acceso al NAS 100 TCP HTTP  1001,81 --> 9011" dst-address-list=public-ip \
    dst-port=81,1001 log=yes protocol=tcp to-addresses=192.168.99.100 \
    to-ports=9011
add action=dst-nat chain=dstnat comment=\
    "Acceso al NAS 100 TCP HTTPS 443 --> 9012" dst-address-list=public-ip \
    dst-port=443 protocol=tcp to-addresses=192.168.99.100 to-ports=9012
add action=dst-nat chain=dstnat comment=\
    "Acceso al NAS 100 TCP HTTP  80 --> 80" dst-address-list=public-ip \
    dst-port=80 protocol=tcp to-addresses=192.168.99.100 to-ports=80
add action=dst-nat chain=dstnat comment="Asterisk IAX Trunk" \
    dst-address-list=public-ip dst-port=4569 protocol=tcp to-addresses=\
    192.168.99.25 to-ports=4569

/ip route
add distance=1 dst-address=192.168.10.0/24 gateway=172.168.1.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www port=8000
set ssh disabled=yes

/lcd
set backlight-timeout=never default-screen=stats

/lcd interface
add interface="Movistar PPPOE" timeout=1s

/lcd interface pages
add interfaces="Movistar PPPOE"

/ppp secret
add comment="Perfil 1" name=usuariovpn1 password=xxxxxxxx profile=\
    "permitir VPN LAN" service=l2tp
add comment="Perfil 2" name=usuariovpn2 password=yyyyyyyy profile=\
    "permitir VPN LAN" service=l2tp

/routing igmp-proxy
set query-interval=30s quick-leave=yes

/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface="Vlan 2" upstream=yes
add interface=10-LAN

/routing rip interface
add interface="Vlan 3" passive=yes receive=v2
add interface="Vlan 2" passive=yes receive=v2

/routing rip network
add network=10.0.0.0/8
add network=172.26.0.0/16

/system clock
set time-zone-name=Europe/Madrid

/system identity
set name=MikroTik-Ea4fyh

/system scheduler
add interval=5m name="DonDNS scheduler" on-event="DonDNS EA4FYH" policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
    start-date=jan/02/1970 start-time=01:00:40

/system script
add comment="Actualizacion DonDominio" dont-require-permissions=no name=\
    "DonDNS EA4FYH" owner=admin policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source="#\
    #############Script Settings##################\r\
    \n\r\
    \n:local DONDNSUser xxxxx\r\
    \n:local DONDNSPass fhrmskofmonwrfionsonknls\r\
    \n:local DONDNSDomain ea4fyh.Dondomino.es\r\
    \n\r\
    \n###############################################\r\
    \n\r\
    \n/tool fetch mode=http url=\"http://dondns.dondominio.com/plain/\?user=\$\
    DONDNSUser&password=\$DONDNSPass&host=\$DONDNSDomain\" keep-result=no"

/tool mac-server
set allowed-interface-list=LAN

/tool mac-server mac-winbox
set allowed-interface-list=LAN

/tool user-manager database
set db-path=user-manager
No veo nada raro. Lo único que me chirría es en IP -> Address, que tienes metido la dirección 10.128.0.0 como network, y creo que no hace falta meterla. Según metes tu dirección /9, ya debería darte de alta la red a la que pertenece.

Saludos!
 
Arriba