IPTV Vodafone en Mikrotik

Buenas tardes,

He tenido siempre los routers de compañía en modo bridge y al cambiarme a vodafone y no dar esa opción me he empeñado en sustituir el router de vodafone.
He dejado la ONT que me dejan en vodafone y he quitado el router H500-s.
El caso es que tengo una duda con respecto a la IPTV.
Después de hacer toda la configuración y ver que funciona internet y tele sin problemas, he añadido las reglas de firewall que tenia antes y la tele ha dejado de funcionar. Se que es un tema de firewall que tengo que dejar algun paquete forward e input hacia la IPTV pero no tengo claro cual. Soy un poco novato en este sentido y me gustaría tener un poco de ayuda para no tener el router mal configurado. Adjunto el código a ver si veis lo que puede ser.

Por otro lado aprovecho para preguntar. Tengo una conexión VPN L2TP configurada en el mikrotik para dos cosas, una conectarme yo como usuario y otra para conectar otro mikrotik como cliente VPN.
Ambas se conectan sin problemas pero hay 2 cosas que no me funcionan como querria:
-Cuando me conecto como usuario VPN "David", no puedo salir a internet.
-No puedo acceder a la red del mikrotik secundario ni a el mismo estando conectado al usuario "David", sin embargo si que puedo acceder a esa red desde mi red lan interna.
Entiendo que es por alguna regla firewall que me falta pero no doy con ella.

Código: 
# mar/03/2021 22:50:44 by RouterOS 6.48.1
# software id = E82L-C64C
#
# model = RB4011iGS+

/interface bridge
add igmp-snooping=yes name=LAN-Bridge
/interface ethernet
set [ find default-name=ether1 ] comment=ISP
set [ find default-name=ether2 ] comment=Switch
set [ find default-name=ether3 ] comment=PC
set [ find default-name=ether5 ] comment=AP
set [ find default-name=ether6 ] comment=LM
set [ find default-name=ether7 ] disabled=yes
set [ find default-name=ether8 ] disabled=yes
set [ find default-name=sfp-sfpplus1 ] disabled=yes
/interface vlan
add interface=ether1 name=INTERNET vlan-id=100
add interface=LAN-Bridge name=LAN vlan-id=20
add interface=ether1 name=TIVO vlan-id=105
/interface pppoe-client
add add-default-route=yes disabled=no interface=INTERNET name=PPPoE-out1 user=USUARIO@vodafone
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/ip dhcp-server option
add code=12 name=TIVO value="'TIVO'"
/ip pool
add name=LAN-Pool ranges=192.168.2.21-192.168.2.150
add name=TIVO-Pool ranges=192.168.2.251-192.168.2.253
/ip dhcp-server
add address-pool=LAN-Pool disabled=no interface=LAN-Bridge name=DHCP-LAN
/ppp profile
set *FFFFFFFE dns-server=8.8.8.8 wins-server=8.8.4.4
/user group
set full policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,sniff,sensitive,api,romon,dude,tikapp
/interface bridge port
add bridge=LAN-Bridge interface=ether2
add bridge=LAN-Bridge interface=ether3
add bridge=LAN-Bridge interface=ether4
add bridge=LAN-Bridge interface=ether5
add bridge=LAN-Bridge interface=ether6
add bridge=LAN-Bridge interface=ether7
add bridge=LAN-Bridge interface=ether8
add bridge=LAN-Bridge interface=ether9
add bridge=LAN-Bridge interface=ether10
/interface l2tp-server server
set authentication=mschap2 enabled=yes use-ipsec=required
/ip address
add address=192.168.2.1/24 interface=LAN-Bridge network=192.168.2.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add add-default-route=no disabled=no interface=TIVO use-peer-dns=no use-peer-ntp=no
/ip dhcp-server lease
add address=192.168.2.225 client-id=1:cc:9e:a2:62:f2:cc comment="Alexa Yoga" mac-address=CC:9E:A2:62:F2:CC server=DHCP-LAN
add address=192.168.2.222 comment="Alexa Estudio" mac-address=14:91:38:F3:DF:F0 server=DHCP-LAN
add address=192.168.2.221 client-id=1:44:0:49:4d:e4:ab comment="Alexa Salon" mac-address=44:00:49:4D:E4:AB server=DHCP-LAN
add address=192.168.2.224 client-id=1:5c:41:5a:93:bd:85 comment="Alexa Cocina" mac-address=5C:41:5A:93:BD:85 server=DHCP-LAN
add address=192.168.2.13 client-id=1:44:85:0:30:1e:61 comment="PC Curro" mac-address=44:85:00:30:1E:61 server=DHCP-LAN
add address=192.168.2.231 comment="Xiaomi Vacuum" mac-address=40:31:3C:A2:E3:3B server=DHCP-LAN
add address=192.168.2.145 client-id=1:7c:d5:66:b8:e7:90 comment=Despertador mac-address=7C:D5:66:B8:E7:90 server=DHCP-LAN
add address=192.168.2.232 client-id=1:e8:f2:e2:ab:ea:39 comment="TV Salon" mac-address=E8:F2:E2:AB:EA:39 server=DHCP-LAN
add address=192.168.2.11 client-id=1:b8:ac:6f:9d:62:d6 comment="PC Estudio" mac-address=B8:AC:6F:9D:62:D6 server=DHCP-LAN
add address=192.168.2.12 client-id=1:ea:f2:30:ce:22:b6 comment="Movil David" mac-address=EA:F2:30:CE:22:B6 server=DHCP-LAN
/ip dhcp-server network
add address=192.168.2.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.2.1
add address=192.168.2.251/32 dhcp-option=TIVO gateway=192.168.2.1 netmask=29
/ip firewall address-list
add address=0.0.0.0/8 list=Bogon
add address=10.0.0.0/8 list=Bogon
add address=100.64.0.0/10 list=Bogon
add address=127.0.0.0/8 list=Bogon
add address=169.254.0.0/16 list=Bogon
add address=172.16.0.0/12 list=Bogon
add address=192.0.0.0/24 list=Bogon
add address=192.0.2.0/24 list=Bogon
add address=192.168.0.0/16 list=Bogon
add address=198.18.0.0/15 list=Bogon
add address=198.51.100.0/24 list=Bogon
add address=203.0.113.0/24 list=Bogon
add address=240.0.0.0/4 list=Bogon
add address=192.168.2.10-192.168.2.20 list=Src_Administradores
add address=192.168.2.205 list=Src_Administradores
add address=192.168.2.20-192.168.2.255 list=Src_Red_LAN
add address=192.168.2.201 list=Dst_Servidores_Usuarios
add address=192.168.2.204 list=Dst_Servidores_Usuarios
add address=192.168.2.205 list=Dst_Servidores_Usuarios
add address=192.168.2.10-192.168.2.255 list=Dst_Red_LAN
add address=192.168.2.201 list=Src_Administradores
add address=192.168.2.202 list=Src_Administradores
add address=192.168.2.3 list=Src_Administradores
add address=10.10.1.201 list=Src_Administradores
/ip firewall filter
add action=add-src-to-address-list address-list=Src_TocToc_Temporal address-list-timeout=1m chain=input comment=TocToc dst-port=5000 protocol=tcp
add action=add-src-to-address-list address-list=Src_TocToc_LM address-list-timeout=5d chain=input comment=AccesoLM dst-port=7000 protocol=tcp src-address-list=Src_TocToc_Temporal
add action=add-src-to-address-list address-list=Src_TocToc_LM_NAS address-list-timeout=5d chain=input comment=AccesoLM_NAS dst-port=8000 protocol=tcp src-address-list=Src_TocToc_Temporal
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=input comment=L2TP dst-port=1701,500,4500 protocol=udp
add action=accept chain=input comment=L2TP protocol=ipsec-esp
add action=accept chain=input comment=L2TP protocol=ipsec-ah
add action=accept chain=input comment="defconf: accepr input from Src_Admin" src-address-list=Src_Administradores
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="Allow services to lan users" in-interface=LAN-Bridge port=53 protocol=tcp
add action=accept chain=input comment="Allow services to lan users" in-interface=LAN-Bridge port=53 protocol=udp
add action=accept chain=input comment="Allow services to lan users" in-interface=TIVO protocol=udp
add action=drop chain=input comment="drop all else" log=yes log-prefix="Prohibido input resto"
add action=accept chain=forward log-prefix=Forward src-address-list=Src_Red_LAN
add action=accept chain=forward src-address-list=Src_Administradores
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid log=yes log-prefix="Prohibido forward invalido"
add action=accept chain=forward comment="CAMBIAR SOLO HACIA EL DISPOSITIVO" in-interface=LAN-Bridge out-interface=PPPoE-out1
add action=accept chain=forward comment="allow internet from LAN-Bridge to WAN" in-interface=TIVO out-interface=LAN-Bridge
add action=accept chain=forward comment="allow port forwarding" connection-nat-state=dstnat connection-state=new in-interface=PPPoE-out1
add action=drop chain=forward comment="drop all else" log=yes log-prefix="Prohibido forward resto"
/ip firewall mangle
add action=set-priority chain=postrouting new-priority=4 out-interface=TIVO
add action=set-priority chain=postrouting new-priority=4 out-interface=TIVO
add action=set-priority chain=postrouting new-priority=0 out-interface=PPPoE-out1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=TIVO
add action=masquerade chain=srcnat dst-address=0.0.0.0/0 log=yes out-interface=PPPoE-out1 src-address=192.168.2.0/24
add action=masquerade chain=srcnat out-interface=TIVO
add action=dst-nat chain=dstnat dst-address-type=local in-interface=TIVO to-addresses=192.168.2.251
add action=dst-nat chain=dstnat comment=DMZ disabled=yes in-interface=PPPoE-out1 to-addresses=192.168.2.202
add action=dst-nat chain=dstnat comment="CONTROL TOUCH" dst-port=2199 in-interface=PPPoE-out1 log=yes log-prefix="Conexion CT" protocol=tcp to-addresses=192.168.2.204 to-ports=2199
add action=dst-nat chain=dstnat comment="xxx Conexion Web (IMP. Dst type adress local para que funcionen las paginas con puerto 80)" dst-address-type=local dst-port=80 log=yes log-prefix=Conexion_Web protocol=tcp to-addresses=192.168.2.202 to-ports=\
    80
add action=dst-nat chain=dstnat dst-address-type=local dst-port=443 log=yes log-prefix="Conexion Web" protocol=tcp to-addresses=192.168.2.202 to-ports=443
add action=dst-nat chain=dstnat comment=MQTT_ext dst-port=41883 log=yes log-prefix="Conexion MQTT" protocol=tcp to-addresses=192.168.2.205 to-ports=1883
add action=dst-nat chain=dstnat comment=NAS dst-port=52151 log=yes log-prefix="Conexion NAS" protocol=tcp src-address-list=Src_TocToc_LM_NAS to-addresses=192.168.2.201 to-ports=52151
add action=dst-nat chain=dstnat comment=Plex dst-port=32400 log=yes log-prefix="Conexion Plex" protocol=tcp to-addresses=192.168.2.201 to-ports=32400
add action=dst-nat chain=dstnat comment=LM dst-port=52200 log=yes log-prefix="Conexion NAS" protocol=tcp src-address-list=Src_TocToc_LM_NAS to-addresses=192.168.2.205 to-ports=80
add action=masquerade chain=srcnat comment="Para hacer LoopBack y que no se rompa la consxion si accedemos desde dentro" dst-address=192.168.2.201 dst-port=52151 out-interface=LAN-Bridge protocol=tcp src-address=192.168.2.0/24
add action=masquerade chain=srcnat dst-address=192.168.2.202 dst-port=80 out-interface=LAN-Bridge protocol=tcp src-address=192.168.2.0/24
add action=masquerade chain=srcnat dst-address=192.168.2.202 dst-port=443 out-interface=LAN-Bridge protocol=tcp src-address=192.168.2.0/24
add action=masquerade chain=srcnat dst-address=192.168.2.205 dst-port=80 out-interface=LAN-Bridge protocol=tcp src-address=192.168.2.12
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip route
add distance=1 dst-address=10.8.57.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.8.58.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.8.59.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.10.2.0/24 gateway=10.10.1.2
add distance=1 dst-address=10.15.220.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.179.32.0/23 gateway=TIVO pref-src=10.214.13.28
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set winbox port=8299
set api-ssl disabled=yes
/ppp secret
add local-address=10.10.1.1 name=David profile=default-encryption remote-address=10.10.1.201
add local-address=10.10.1.1 name=Cliente_2 profile=default-encryption remote-address=10.10.1.2 service=l2tp
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=TIVO upstream=yes
add interface=LAN-Bridge
/system clock
set time-zone-name=Europe/Madrid
/system logging
add disabled=yes topics=firewall
/system ntp client
set primary-ntp=216.239.35.0 secondary-ntp=129.250.35.250
/system scheduler
add interval=15s name="Mikrotik Despierto" on-event="{\r\
    \n/tool fetch url=\"http://remote:AAaa1111@192.168.2.205/scada-remote\" http-data=\"m=json&r=grp&fn=write&alias=34/3/51&value=1\" http-method=post as-value output=user; \t \r\
    \n}" policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon start-date=nov/16/2019 start-time=13:44:56
/tool mac-server
set allowed-interface-list=none
/tool mac-server mac-winbox
set allowed-interface-list=none
/tool mac-server ping
set enabled=no


Muchas gracias de antemano!!
 
Última edición:
Buenas!

Hablas de Vodafone, pero esa configuración parece de MasMóvil, ¿no? Lo digo por los nombres y, sobre todo, por la VLAN 20 y el cliente DHCP; corrígeme si me equivoco, pero Vodafone usa PPPoE.

Con respecto a tu configuración, es muy sencilla, pero tienes un jaleo en el firewall y el NAT de tres pares. Acabas antes si cargas las reglas por defecto y, sobre esas, haces alguna pequeña modificación, antes que liarte a dar de alta direcciones en el address list a lo loco y andar luego con reglas particulares para cada dirección o address list.

Otra cosa que tocaría sería el servidor DHCP. Tienes el "Allow remote requests" en el DNS, para que el router haga de servidor DNS, pero luego le metes unos DNS's públicos a mano en el DHCP, haciendo que los equipos dejen de usar el propio router como servidor y caché de DNS.

Si te guardas las Leases, y el script que tienes hecho, que quizá sea lo más tedioso de meter luego a mano, el resto es dejar que el equipo cargue su auto-configuración después de un reset, y pasar por el quick set para poner la subred que te interesa. Y, si marcas la opción de VPN, tienes prácticamente el trabajo hecho. Si quieres un poco de ayuda en el proceso dime, y lo miramos.

Saludos!
 
Perdon... que fallo...
He cargado el codigo anterior en vez del que tengo actualmente..

La configuración actual es esta:

Código: 
# mar/03/2021 22:50:44 by RouterOS 6.48.1
# software id = E82L-C64C
#
# model = RB4011iGS+

/interface bridge
add igmp-snooping=yes name=LAN-Bridge
/interface ethernet
set [ find default-name=ether1 ] comment=ISP
set [ find default-name=ether2 ] comment=Switch
set [ find default-name=ether3 ] comment=PC
set [ find default-name=ether5 ] comment=AP
set [ find default-name=ether6 ] comment=LM
set [ find default-name=ether7 ] disabled=yes
set [ find default-name=ether8 ] disabled=yes
set [ find default-name=sfp-sfpplus1 ] disabled=yes
/interface vlan
add interface=ether1 name=INTERNET vlan-id=100
add interface=LAN-Bridge name=LAN vlan-id=20
add interface=ether1 name=TIVO vlan-id=105
/interface pppoe-client
add add-default-route=yes disabled=no interface=INTERNET name=PPPoE-out1 user=USUARIO@vodafone
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/ip dhcp-server option
add code=12 name=TIVO value="'TIVO'"
/ip pool
add name=LAN-Pool ranges=192.168.2.21-192.168.2.150
add name=TIVO-Pool ranges=192.168.2.251-192.168.2.253
/ip dhcp-server
add address-pool=LAN-Pool disabled=no interface=LAN-Bridge name=DHCP-LAN
/ppp profile
set *FFFFFFFE dns-server=8.8.8.8 wins-server=8.8.4.4
/user group
set full policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,sniff,sensitive,api,romon,dude,tikapp
/interface bridge port
add bridge=LAN-Bridge interface=ether2
add bridge=LAN-Bridge interface=ether3
add bridge=LAN-Bridge interface=ether4
add bridge=LAN-Bridge interface=ether5
add bridge=LAN-Bridge interface=ether6
add bridge=LAN-Bridge interface=ether7
add bridge=LAN-Bridge interface=ether8
add bridge=LAN-Bridge interface=ether9
add bridge=LAN-Bridge interface=ether10
/interface l2tp-server server
set authentication=mschap2 enabled=yes use-ipsec=required
/ip address
add address=192.168.2.1/24 interface=LAN-Bridge network=192.168.2.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add add-default-route=no disabled=no interface=TIVO use-peer-dns=no use-peer-ntp=no
/ip dhcp-server lease
add address=192.168.2.225 client-id=1:cc:9e:a2:62:f2:cc comment="Alexa Yoga" mac-address=CC:9E:A2:62:F2:CC server=DHCP-LAN
add address=192.168.2.222 comment="Alexa Estudio" mac-address=14:91:38:F3:DF:F0 server=DHCP-LAN
add address=192.168.2.221 client-id=1:44:0:49:4d:e4:ab comment="Alexa Salon" mac-address=44:00:49:4D:E4:AB server=DHCP-LAN
add address=192.168.2.224 client-id=1:5c:41:5a:93:bd:85 comment="Alexa Cocina" mac-address=5C:41:5A:93:BD:85 server=DHCP-LAN
add address=192.168.2.13 client-id=1:44:85:0:30:1e:61 comment="PC Curro" mac-address=44:85:00:30:1E:61 server=DHCP-LAN
add address=192.168.2.231 comment="Xiaomi Vacuum" mac-address=40:31:3C:A2:E3:3B server=DHCP-LAN
add address=192.168.2.145 client-id=1:7c:d5:66:b8:e7:90 comment=Despertador mac-address=7C:D5:66:B8:E7:90 server=DHCP-LAN
add address=192.168.2.232 client-id=1:e8:f2:e2:ab:ea:39 comment="TV Salon" mac-address=E8:F2:E2:AB:EA:39 server=DHCP-LAN
add address=192.168.2.11 client-id=1:b8:ac:6f:9d:62:d6 comment="PC Estudio" mac-address=B8:AC:6F:9D:62:D6 server=DHCP-LAN
add address=192.168.2.12 client-id=1:ea:f2:30:ce:22:b6 comment="Movil David" mac-address=EA:F2:30:CE:22:B6 server=DHCP-LAN
/ip dhcp-server network
add address=192.168.2.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.2.1
add address=192.168.2.251/32 dhcp-option=TIVO gateway=192.168.2.1 netmask=29
/ip firewall address-list
add address=0.0.0.0/8 list=Bogon
add address=10.0.0.0/8 list=Bogon
add address=100.64.0.0/10 list=Bogon
add address=127.0.0.0/8 list=Bogon
add address=169.254.0.0/16 list=Bogon
add address=172.16.0.0/12 list=Bogon
add address=192.0.0.0/24 list=Bogon
add address=192.0.2.0/24 list=Bogon
add address=192.168.0.0/16 list=Bogon
add address=198.18.0.0/15 list=Bogon
add address=198.51.100.0/24 list=Bogon
add address=203.0.113.0/24 list=Bogon
add address=240.0.0.0/4 list=Bogon
add address=192.168.2.10-192.168.2.20 list=Src_Administradores
add address=192.168.2.205 list=Src_Administradores
add address=192.168.2.20-192.168.2.255 list=Src_Red_LAN
add address=192.168.2.201 list=Dst_Servidores_Usuarios
add address=192.168.2.204 list=Dst_Servidores_Usuarios
add address=192.168.2.205 list=Dst_Servidores_Usuarios
add address=192.168.2.10-192.168.2.255 list=Dst_Red_LAN
add address=192.168.2.201 list=Src_Administradores
add address=192.168.2.202 list=Src_Administradores
add address=192.168.2.3 list=Src_Administradores
add address=10.10.1.201 list=Src_Administradores
/ip firewall filter
add action=add-src-to-address-list address-list=Src_TocToc_Temporal address-list-timeout=1m chain=input comment=TocToc dst-port=5000 protocol=tcp
add action=add-src-to-address-list address-list=Src_TocToc_LM address-list-timeout=5d chain=input comment=AccesoLM dst-port=7000 protocol=tcp src-address-list=Src_TocToc_Temporal
add action=add-src-to-address-list address-list=Src_TocToc_LM_NAS address-list-timeout=5d chain=input comment=AccesoLM_NAS dst-port=8000 protocol=tcp src-address-list=Src_TocToc_Temporal
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=input comment=L2TP dst-port=1701,500,4500 protocol=udp
add action=accept chain=input comment=L2TP protocol=ipsec-esp
add action=accept chain=input comment=L2TP protocol=ipsec-ah
add action=accept chain=input comment="defconf: accepr input from Src_Admin" src-address-list=Src_Administradores
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="Allow services to lan users" in-interface=LAN-Bridge port=53 protocol=tcp
add action=accept chain=input comment="Allow services to lan users" in-interface=LAN-Bridge port=53 protocol=udp
add action=accept chain=input comment="Allow services to lan users" in-interface=TIVO protocol=udp
add action=drop chain=input comment="drop all else" log=yes log-prefix="Prohibido input resto"
add action=accept chain=forward log-prefix=Forward src-address-list=Src_Red_LAN
add action=accept chain=forward src-address-list=Src_Administradores
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid log=yes log-prefix="Prohibido forward invalido"
add action=accept chain=forward comment="CAMBIAR SOLO HACIA EL DISPOSITIVO" in-interface=LAN-Bridge out-interface=PPPoE-out1
add action=accept chain=forward comment="allow internet from LAN-Bridge to WAN" in-interface=TIVO out-interface=LAN-Bridge
add action=accept chain=forward comment="allow port forwarding" connection-nat-state=dstnat connection-state=new in-interface=PPPoE-out1
add action=drop chain=forward comment="drop all else" log=yes log-prefix="Prohibido forward resto"
/ip firewall mangle
add action=set-priority chain=postrouting new-priority=4 out-interface=TIVO
add action=set-priority chain=postrouting new-priority=4 out-interface=TIVO
add action=set-priority chain=postrouting new-priority=0 out-interface=PPPoE-out1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=TIVO
add action=masquerade chain=srcnat dst-address=0.0.0.0/0 log=yes out-interface=PPPoE-out1 src-address=192.168.2.0/24
add action=masquerade chain=srcnat out-interface=TIVO
add action=dst-nat chain=dstnat dst-address-type=local in-interface=TIVO to-addresses=192.168.2.251
add action=dst-nat chain=dstnat comment=DMZ disabled=yes in-interface=PPPoE-out1 to-addresses=192.168.2.202
add action=dst-nat chain=dstnat comment="CONTROL TOUCH" dst-port=2199 in-interface=PPPoE-out1 log=yes log-prefix="Conexion CT" protocol=tcp to-addresses=192.168.2.204 to-ports=2199
add action=dst-nat chain=dstnat comment="xxx Conexion Web (IMP. Dst type adress local para que funcionen las paginas con puerto 80)" dst-address-type=local dst-port=80 log=yes log-prefix=Conexion_Web protocol=tcp to-addresses=192.168.2.202 to-ports=\
    80
add action=dst-nat chain=dstnat dst-address-type=local dst-port=443 log=yes log-prefix="Conexion Web" protocol=tcp to-addresses=192.168.2.202 to-ports=443
add action=dst-nat chain=dstnat comment=MQTT_ext dst-port=41883 log=yes log-prefix="Conexion MQTT" protocol=tcp to-addresses=192.168.2.205 to-ports=1883
add action=dst-nat chain=dstnat comment=NAS dst-port=52151 log=yes log-prefix="Conexion NAS" protocol=tcp src-address-list=Src_TocToc_LM_NAS to-addresses=192.168.2.201 to-ports=52151
add action=dst-nat chain=dstnat comment=Plex dst-port=32400 log=yes log-prefix="Conexion Plex" protocol=tcp to-addresses=192.168.2.201 to-ports=32400
add action=dst-nat chain=dstnat comment=LM dst-port=52200 log=yes log-prefix="Conexion NAS" protocol=tcp src-address-list=Src_TocToc_LM_NAS to-addresses=192.168.2.205 to-ports=80
add action=masquerade chain=srcnat comment="Para hacer LoopBack y que no se rompa la consxion si accedemos desde dentro" dst-address=192.168.2.201 dst-port=52151 out-interface=LAN-Bridge protocol=tcp src-address=192.168.2.0/24
add action=masquerade chain=srcnat dst-address=192.168.2.202 dst-port=80 out-interface=LAN-Bridge protocol=tcp src-address=192.168.2.0/24
add action=masquerade chain=srcnat dst-address=192.168.2.202 dst-port=443 out-interface=LAN-Bridge protocol=tcp src-address=192.168.2.0/24
add action=masquerade chain=srcnat dst-address=192.168.2.205 dst-port=80 out-interface=LAN-Bridge protocol=tcp src-address=192.168.2.12
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip route
add distance=1 dst-address=10.8.57.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.8.58.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.8.59.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.10.2.0/24 gateway=10.10.1.2
add distance=1 dst-address=10.15.220.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.179.32.0/23 gateway=TIVO pref-src=10.214.13.28
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set winbox port=8299
set api-ssl disabled=yes
/ppp secret
add local-address=10.10.1.1 name=David profile=default-encryption remote-address=10.10.1.201
add local-address=10.10.1.1 name=Cliente_2 profile=default-encryption remote-address=10.10.1.2 service=l2tp
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=TIVO upstream=yes
add interface=LAN-Bridge
/system clock
set time-zone-name=Europe/Madrid
/system logging
add disabled=yes topics=firewall
/system ntp client
set primary-ntp=216.239.35.0 secondary-ntp=129.250.35.250
/system scheduler
add interval=15s name="Mikrotik Despierto" on-event="{\r\
    \n/tool fetch url=\"http://remote:AAaa1111@192.168.2.205/scada-remote\" http-data=\"m=json&r=grp&fn=write&alias=34/3/51&value=1\" http-method=post as-value output=user; \t \r\
    \n}" policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon start-date=nov/16/2019 start-time=13:44:56
/tool mac-server
set allowed-interface-list=none
/tool mac-server mac-winbox
set allowed-interface-list=none
/tool mac-server ping
set enabled=no

La corrijo en el primer post igualmente

Con esta configuración me recomiendas hacer lo mismo? Resetear y hacerlo con el quick set?

Disculpa las molestias
 
DavidGrandes dijo:
Perdon... que fallo...
He cargado el codigo anterior en vez del que tengo actualmente..

La configuración actual es esta:

Código: 
# mar/03/2021 22:50:44 by RouterOS 6.48.1
# software id = E82L-C64C
#
# model = RB4011iGS+

/interface bridge
add igmp-snooping=yes name=LAN-Bridge
/interface ethernet
set [ find default-name=ether1 ] comment=ISP
set [ find default-name=ether2 ] comment=Switch
set [ find default-name=ether3 ] comment=PC
set [ find default-name=ether5 ] comment=AP
set [ find default-name=ether6 ] comment=LM
set [ find default-name=ether7 ] disabled=yes
set [ find default-name=ether8 ] disabled=yes
set [ find default-name=sfp-sfpplus1 ] disabled=yes
/interface vlan
add interface=ether1 name=INTERNET vlan-id=100
add interface=LAN-Bridge name=LAN vlan-id=20
add interface=ether1 name=TIVO vlan-id=105
/interface pppoe-client
add add-default-route=yes disabled=no interface=INTERNET name=PPPoE-out1 user=USUARIO@vodafone
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/ip dhcp-server option
add code=12 name=TIVO value="'TIVO'"
/ip pool
add name=LAN-Pool ranges=192.168.2.21-192.168.2.150
add name=TIVO-Pool ranges=192.168.2.251-192.168.2.253
/ip dhcp-server
add address-pool=LAN-Pool disabled=no interface=LAN-Bridge name=DHCP-LAN
/ppp profile
set *FFFFFFFE dns-server=8.8.8.8 wins-server=8.8.4.4
/user group
set full policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,sniff,sensitive,api,romon,dude,tikapp
/interface bridge port
add bridge=LAN-Bridge interface=ether2
add bridge=LAN-Bridge interface=ether3
add bridge=LAN-Bridge interface=ether4
add bridge=LAN-Bridge interface=ether5
add bridge=LAN-Bridge interface=ether6
add bridge=LAN-Bridge interface=ether7
add bridge=LAN-Bridge interface=ether8
add bridge=LAN-Bridge interface=ether9
add bridge=LAN-Bridge interface=ether10
/interface l2tp-server server
set authentication=mschap2 enabled=yes use-ipsec=required
/ip address
add address=192.168.2.1/24 interface=LAN-Bridge network=192.168.2.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add add-default-route=no disabled=no interface=TIVO use-peer-dns=no use-peer-ntp=no
/ip dhcp-server lease
add address=192.168.2.225 client-id=1:cc:9e:a2:62:f2:cc comment="Alexa Yoga" mac-address=CC:9E:A2:62:F2:CC server=DHCP-LAN
add address=192.168.2.222 comment="Alexa Estudio" mac-address=14:91:38:F3:DF:F0 server=DHCP-LAN
add address=192.168.2.221 client-id=1:44:0:49:4d:e4:ab comment="Alexa Salon" mac-address=44:00:49:4D:E4:AB server=DHCP-LAN
add address=192.168.2.224 client-id=1:5c:41:5a:93:bd:85 comment="Alexa Cocina" mac-address=5C:41:5A:93:BD:85 server=DHCP-LAN
add address=192.168.2.13 client-id=1:44:85:0:30:1e:61 comment="PC Curro" mac-address=44:85:00:30:1E:61 server=DHCP-LAN
add address=192.168.2.231 comment="Xiaomi Vacuum" mac-address=40:31:3C:A2:E3:3B server=DHCP-LAN
add address=192.168.2.145 client-id=1:7c:d5:66:b8:e7:90 comment=Despertador mac-address=7C:D5:66:B8:E7:90 server=DHCP-LAN
add address=192.168.2.232 client-id=1:e8:f2:e2:ab:ea:39 comment="TV Salon" mac-address=E8:F2:E2:AB:EA:39 server=DHCP-LAN
add address=192.168.2.11 client-id=1:b8:ac:6f:9d:62:d6 comment="PC Estudio" mac-address=B8:AC:6F:9D:62:D6 server=DHCP-LAN
add address=192.168.2.12 client-id=1:ea:f2:30:ce:22:b6 comment="Movil David" mac-address=EA:F2:30:CE:22:B6 server=DHCP-LAN
/ip dhcp-server network
add address=192.168.2.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.2.1
add address=192.168.2.251/32 dhcp-option=TIVO gateway=192.168.2.1 netmask=29
/ip firewall address-list
add address=0.0.0.0/8 list=Bogon
add address=10.0.0.0/8 list=Bogon
add address=100.64.0.0/10 list=Bogon
add address=127.0.0.0/8 list=Bogon
add address=169.254.0.0/16 list=Bogon
add address=172.16.0.0/12 list=Bogon
add address=192.0.0.0/24 list=Bogon
add address=192.0.2.0/24 list=Bogon
add address=192.168.0.0/16 list=Bogon
add address=198.18.0.0/15 list=Bogon
add address=198.51.100.0/24 list=Bogon
add address=203.0.113.0/24 list=Bogon
add address=240.0.0.0/4 list=Bogon
add address=192.168.2.10-192.168.2.20 list=Src_Administradores
add address=192.168.2.205 list=Src_Administradores
add address=192.168.2.20-192.168.2.255 list=Src_Red_LAN
add address=192.168.2.201 list=Dst_Servidores_Usuarios
add address=192.168.2.204 list=Dst_Servidores_Usuarios
add address=192.168.2.205 list=Dst_Servidores_Usuarios
add address=192.168.2.10-192.168.2.255 list=Dst_Red_LAN
add address=192.168.2.201 list=Src_Administradores
add address=192.168.2.202 list=Src_Administradores
add address=192.168.2.3 list=Src_Administradores
add address=10.10.1.201 list=Src_Administradores
/ip firewall filter
add action=add-src-to-address-list address-list=Src_TocToc_Temporal address-list-timeout=1m chain=input comment=TocToc dst-port=5000 protocol=tcp
add action=add-src-to-address-list address-list=Src_TocToc_LM address-list-timeout=5d chain=input comment=AccesoLM dst-port=7000 protocol=tcp src-address-list=Src_TocToc_Temporal
add action=add-src-to-address-list address-list=Src_TocToc_LM_NAS address-list-timeout=5d chain=input comment=AccesoLM_NAS dst-port=8000 protocol=tcp src-address-list=Src_TocToc_Temporal
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=input comment=L2TP dst-port=1701,500,4500 protocol=udp
add action=accept chain=input comment=L2TP protocol=ipsec-esp
add action=accept chain=input comment=L2TP protocol=ipsec-ah
add action=accept chain=input comment="defconf: accepr input from Src_Admin" src-address-list=Src_Administradores
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="Allow services to lan users" in-interface=LAN-Bridge port=53 protocol=tcp
add action=accept chain=input comment="Allow services to lan users" in-interface=LAN-Bridge port=53 protocol=udp
add action=accept chain=input comment="Allow services to lan users" in-interface=TIVO protocol=udp
add action=drop chain=input comment="drop all else" log=yes log-prefix="Prohibido input resto"
add action=accept chain=forward log-prefix=Forward src-address-list=Src_Red_LAN
add action=accept chain=forward src-address-list=Src_Administradores
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid log=yes log-prefix="Prohibido forward invalido"
add action=accept chain=forward comment="CAMBIAR SOLO HACIA EL DISPOSITIVO" in-interface=LAN-Bridge out-interface=PPPoE-out1
add action=accept chain=forward comment="allow internet from LAN-Bridge to WAN" in-interface=TIVO out-interface=LAN-Bridge
add action=accept chain=forward comment="allow port forwarding" connection-nat-state=dstnat connection-state=new in-interface=PPPoE-out1
add action=drop chain=forward comment="drop all else" log=yes log-prefix="Prohibido forward resto"
/ip firewall mangle
add action=set-priority chain=postrouting new-priority=4 out-interface=TIVO
add action=set-priority chain=postrouting new-priority=4 out-interface=TIVO
add action=set-priority chain=postrouting new-priority=0 out-interface=PPPoE-out1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=TIVO
add action=masquerade chain=srcnat dst-address=0.0.0.0/0 log=yes out-interface=PPPoE-out1 src-address=192.168.2.0/24
add action=masquerade chain=srcnat out-interface=TIVO
add action=dst-nat chain=dstnat dst-address-type=local in-interface=TIVO to-addresses=192.168.2.251
add action=dst-nat chain=dstnat comment=DMZ disabled=yes in-interface=PPPoE-out1 to-addresses=192.168.2.202
add action=dst-nat chain=dstnat comment="CONTROL TOUCH" dst-port=2199 in-interface=PPPoE-out1 log=yes log-prefix="Conexion CT" protocol=tcp to-addresses=192.168.2.204 to-ports=2199
add action=dst-nat chain=dstnat comment="xxx Conexion Web (IMP. Dst type adress local para que funcionen las paginas con puerto 80)" dst-address-type=local dst-port=80 log=yes log-prefix=Conexion_Web protocol=tcp to-addresses=192.168.2.202 to-ports=\
    80
add action=dst-nat chain=dstnat dst-address-type=local dst-port=443 log=yes log-prefix="Conexion Web" protocol=tcp to-addresses=192.168.2.202 to-ports=443
add action=dst-nat chain=dstnat comment=MQTT_ext dst-port=41883 log=yes log-prefix="Conexion MQTT" protocol=tcp to-addresses=192.168.2.205 to-ports=1883
add action=dst-nat chain=dstnat comment=NAS dst-port=52151 log=yes log-prefix="Conexion NAS" protocol=tcp src-address-list=Src_TocToc_LM_NAS to-addresses=192.168.2.201 to-ports=52151
add action=dst-nat chain=dstnat comment=Plex dst-port=32400 log=yes log-prefix="Conexion Plex" protocol=tcp to-addresses=192.168.2.201 to-ports=32400
add action=dst-nat chain=dstnat comment=LM dst-port=52200 log=yes log-prefix="Conexion NAS" protocol=tcp src-address-list=Src_TocToc_LM_NAS to-addresses=192.168.2.205 to-ports=80
add action=masquerade chain=srcnat comment="Para hacer LoopBack y que no se rompa la consxion si accedemos desde dentro" dst-address=192.168.2.201 dst-port=52151 out-interface=LAN-Bridge protocol=tcp src-address=192.168.2.0/24
add action=masquerade chain=srcnat dst-address=192.168.2.202 dst-port=80 out-interface=LAN-Bridge protocol=tcp src-address=192.168.2.0/24
add action=masquerade chain=srcnat dst-address=192.168.2.202 dst-port=443 out-interface=LAN-Bridge protocol=tcp src-address=192.168.2.0/24
add action=masquerade chain=srcnat dst-address=192.168.2.205 dst-port=80 out-interface=LAN-Bridge protocol=tcp src-address=192.168.2.12
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip route
add distance=1 dst-address=10.8.57.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.8.58.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.8.59.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.10.2.0/24 gateway=10.10.1.2
add distance=1 dst-address=10.15.220.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.179.32.0/23 gateway=TIVO pref-src=10.214.13.28
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set winbox port=8299
set api-ssl disabled=yes
/ppp secret
add local-address=10.10.1.1 name=David profile=default-encryption remote-address=10.10.1.201
add local-address=10.10.1.1 name=Cliente_2 profile=default-encryption remote-address=10.10.1.2 service=l2tp
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=TIVO upstream=yes
add interface=LAN-Bridge
/system clock
set time-zone-name=Europe/Madrid
/system logging
add disabled=yes topics=firewall
/system ntp client
set primary-ntp=216.239.35.0 secondary-ntp=129.250.35.250
/system scheduler
add interval=15s name="Mikrotik Despierto" on-event="{\r\
    \n/tool fetch url=\"http://remote:AAaa1111@192.168.2.205/scada-remote\" http-data=\"m=json&r=grp&fn=write&alias=34/3/51&value=1\" http-method=post as-value output=user; \t \r\
    \n}" policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon start-date=nov/16/2019 start-time=13:44:56
/tool mac-server
set allowed-interface-list=none
/tool mac-server mac-winbox
set allowed-interface-list=none
/tool mac-server ping
set enabled=no

La corrijo en el primer post igualmente

Con esta configuración me recomiendas hacer lo mismo? Resetear y hacerlo con el quick set?

Disculpa las molestias
Haz clic para expandir...
Sí, haría lo mismo. Guárdate las partes que te vengan bien para luego añadirlas vía script, pero la configuración base cárgala de un reset, sin marcar el “no default configuration” + quick set.

Saludos!
 
Buenas!

He hecho como me has dicho y he reseteado e iniciado con lo predefinido y cambiado lo que necesitaba.
Después he tenido que añadir la configuración para tener internet con Vodafone, la VPN para que se conecte el mikrotik, las reglas de firewall para acceder desde el exterior con "toc toc" y alguna cosilla mas.

Creo que no se me pasa nada. Pongo como me ha quedado la configuración a ver si ves algo mal hecho que yo no vea:


Código: 
# mar/10/2021 17:57:38 by RouterOS 6.48.1
# software id = E82L-C64C
#
# model = RB4011iGS+
# serial number = SERIALNUMBER
/interface bridge
add admin-mac="MAC" auto-mac=no comment=defconf igmp-snooping=yes name=LAN-Bridge
/interface ethernet
set [ find default-name=ether1 ] comment=ISP
set [ find default-name=ether2 ] comment=Switch
set [ find default-name=ether3 ] comment=PC
set [ find default-name=ether5 ] comment=AP
set [ find default-name=ether6 ] comment=LM
set [ find default-name=ether7 ] disabled=yes
set [ find default-name=ether8 ] disabled=yes
set [ find default-name=sfp-sfpplus1 ] disabled=yes
/interface vlan
add interface=ether1 name=INTERNET vlan-id=100
add interface=LAN-Bridge name=LAN-Network vlan-id=20
add interface=ether1 name=TIVO vlan-id=105
/interface pppoe-client
add add-default-route=yes disabled=no interface=INTERNET name=PPPoE-out1 user=USER@vodafone
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/ip dhcp-server option
add code=12 name=TIVO value="'TIVO'"
/ip pool
add name=dhcp ranges=192.168.2.20-192.168.2.150
add name=vpn ranges=10.10.1.1-10.10.1.255
add name=TIVO-Pool ranges=192.168.2.251-192.168.2.253
/ip dhcp-server
add address-pool=dhcp disabled=no interface=LAN-Bridge name=DHCP-LAN
/ppp profile
set *FFFFFFFE local-address=10.10.1.1 remote-address=vpn
/user group
set full policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,sniff,sensitive,api,romon,dude,tikapp
/interface bridge port
add bridge=LAN-Bridge comment=defconf interface=ether2
add bridge=LAN-Bridge comment=defconf interface=ether3
add bridge=LAN-Bridge comment=defconf interface=ether4
add bridge=LAN-Bridge comment=defconf interface=ether5
add bridge=LAN-Bridge comment=defconf interface=ether6
add bridge=LAN-Bridge comment=defconf interface=ether7
add bridge=LAN-Bridge comment=defconf interface=ether8
add bridge=LAN-Bridge comment=defconf interface=ether9
add bridge=LAN-Bridge comment=defconf interface=ether10
add bridge=LAN-Bridge comment=defconf interface=sfp-sfpplus1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set enabled=yes use-ipsec=yes
/interface list member
add comment=defconf interface=LAN-Bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=PPPoE-out1 list=WAN
/interface pptp-server server
set enabled=yes
/interface sstp-server server
set default-profile=default-encryption enabled=yes
/ip address
add address=192.168.2.1/24 comment=defconf interface=LAN-Bridge network=192.168.2.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf disabled=no interface=ether1
add add-default-route=no disabled=no interface=TIVO use-peer-dns=no use-peer-ntp=no
/ip dhcp-server lease
add address=192.168.2.225 client-id=1:cc:9e:a2:62:f2:cc comment="Alexa Yoga" mac-address=CC:9E:A2:62:F2:CC server=DHCP-LAN
add address=192.168.2.222 comment="Alexa Estudio" mac-address=14:91:38:F3:DF:F0 server=DHCP-LAN
add address=192.168.2.221 client-id=1:44:0:49:4d:e4:ab comment="Alexa Salon" mac-address=44:00:49:4D:E4:AB server=DHCP-LAN
add address=192.168.2.224 client-id=1:5c:41:5a:93:bd:85 comment="Alexa Cocina" mac-address=5C:41:5A:93:BD:85 server=DHCP-LAN
add address=192.168.2.13 client-id=1:44:85:0:30:1e:61 comment="PC Curro" mac-address=44:85:00:30:1E:61 server=DHCP-LAN
add address=192.168.2.231 comment="Xiaomi Vacuum" mac-address=40:31:3C:A2:E3:3B server=DHCP-LAN
add address=192.168.2.145 client-id=1:7c:d5:66:b8:e7:90 comment=Despertador mac-address=7C:D5:66:B8:E7:90 server=DHCP-LAN
add address=192.168.2.232 client-id=1:e8:f2:e2:ab:ea:39 comment="TV Salon" mac-address=E8:F2:E2:AB:EA:39 server=DHCP-LAN
add address=192.168.2.11 client-id=1:b8:ac:6f:9d:62:d6 comment="PC Estudio" mac-address=B8:AC:6F:9D:62:D6 server=DHCP-LAN
add address=192.168.2.12 client-id=1:ea:f2:30:ce:22:b6 comment="Movil David" mac-address=EA:F2:30:CE:22:B6 server=DHCP-LAN
/ip dhcp-server network
add address=192.168.2.0/24 comment=defconf gateway=192.168.2.1 netmask=24
add address=192.168.2.251/32 dhcp-option=TIVO gateway=192.168.2.1 netmask=29
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip dns static
add address=192.168.2.1 comment=defconf name=router.lan
/ip firewall filter
add action=add-src-to-address-list address-list=Src_TocToc_Temporal address-list-timeout=1m chain=input comment=TocToc dst-port=5000 protocol=tcp
add action=add-src-to-address-list address-list=Src_TocToc_LM address-list-timeout=5d chain=input comment=AccesoLM dst-port=7000 protocol=tcp src-address-list=Src_TocToc_Temporal
add action=add-src-to-address-list address-list=Src_TocToc_LM_NAS address-list-timeout=5d chain=input comment=AccesoLM_NAS dst-port=8000 protocol=tcp src-address-list=Src_TocToc_Temporal
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=accept chain=forward in-interface-list=LAN
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=set-priority chain=postrouting new-priority=4 out-interface=TIVO
add action=set-priority chain=postrouting new-priority=0 out-interface=PPPoE-out1
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=10.10.1.0/24
add action=masquerade chain=srcnat comment="TIVO masquerade" out-interface=TIVO
add action=dst-nat chain=dstnat dst-address-type=local in-interface=TIVO to-addresses=192.168.2.251
add action=dst-nat chain=dstnat comment=NAS dst-port=52151 log=yes log-prefix="Conexion NAS" protocol=tcp src-address-list=Src_TocToc_LM_NAS to-addresses=192.168.2.201 to-ports=52151
add action=dst-nat chain=dstnat comment=Plex dst-port=32400 log=yes log-prefix="Conexion Plex" protocol=tcp to-addresses=192.168.2.201 to-ports=32400
add action=dst-nat chain=dstnat comment=LM dst-port=52200 log=yes log-prefix="Conexion LM" protocol=tcp src-address-list=Src_TocToc_LM_NAS to-addresses=192.168.2.205 to-ports=80
add action=masquerade chain=srcnat comment="Para hacer LoopBack y que no se rompa la consxion si accedemos desde dentro" dst-address=192.168.2.201 dst-port=52151 out-interface=LAN-Bridge protocol=tcp src-address=\
    192.168.2.0/24
add action=masquerade chain=srcnat dst-address=192.168.2.202 dst-port=80 out-interface=LAN-Bridge protocol=tcp src-address=192.168.2.0/24
add action=masquerade chain=srcnat dst-address=192.168.2.202 dst-port=443 out-interface=LAN-Bridge protocol=tcp src-address=192.168.2.0/24
/ip route
add distance=1 dst-address=10.8.57.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.8.58.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.8.59.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.10.2.0/24 gateway=10.10.1.2
add distance=1 dst-address=10.15.220.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.179.32.0/23 gateway=TIVO pref-src=10.214.13.28
/ppp secret
add name=David
add local-address=10.10.1.1 name=Cliente_2 profile=default-encryption remote-address=10.10.1.2 service=l2tp
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=TIVO upstream=yes
add interface=LAN-Bridge
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=D_Router
/system scheduler
add interval=15s name="Mikrotik Despierto" on-event=\
    "{\r\
    \n/tool fetch url=\"http://remote:AAaa1111@192.168.2.205/scada-remote\" http-data=\"m=json&r=grp&fn=write&alias=34/3/51&value=1\" http-method=post as-value output=user; \t \r\
    \n}" policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon start-date=nov/16/2019 start-time=13:44:56
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Gracias por la ayuda! :)
 
Ahora tiene mejor pinta, al menos de base. Sobre esa configuración, necesito que revises/aclares:
- Implementar hairpin nat y limpiar un pelín más las reglas de NAT
- Aclárame, qué es el "toc toc", y para qué lo usas? Porqué están en el chain de input?
- Qué pinta la vlan 20 sobre la interfaz del birdge lan? Esa vlan no tiene efecto alguno.
- Deshabilita las VPN's que no uses, especialmente PPTP (quizá SSTP también?). También puedes borrar o comentar sus reglas en el firewall
- El tema de la TV en Vodafone, ¿no viene por algún protocolo de enrutamiento dinámico, tipo RIP? Lo digo por no andar creando ese cerro de rutas a mano.

Saludos!
 
Perfecto!
Respondo a lo que me dices:
- No se muy bien lo que es haipin nat pero veo que es lo mismo que loopback no (Para acceder a un dispositivo de la red con la IP externa)? Pero no entiendo que tengo que hacer en este punto cuando me dices para limpiar las reglas de NAT.
- El "toc toc" sirve para dar permiso temporal a una IP y no tener abierto el puerto continuamente. Esta en chain input, por que cuando yo accedo con esas IP en concreto en ese orden, me agrega la IP a la lista de "Src_TocToc_LM_NAS" y con eso permito acceder a mis dos servidores. Me dijeron de hacerlo para dar un punto de seguridad a un puerto abierto.
- La verdad seguí a rajatabla las instrucciones de https://bandaancha.eu/foros/ayuda-configuracion-mikrotik-vodafone-1735373 por que no controlo de VLAN y como al hacerlo vi que funcionaba no le di mas vueltas. Si me dices que sobra y no pinta nada lo quito y pruebo.
- VPN´s desactivadas :)
-Lo mismo que en el punto 3, seguí las instrucciones a rajatabla y no sabría decirte... Como puedo comprobar eso?

Gracias por todas las aclaraciones!! La verdad siempre siempre he estado intranquilo por si no tengo seguridad suficiente en el router con los escasos conocimientos que tengo actualmente.
 
Buenos días!
Con respecto al NAT y al Haipin: el hairpin lo que te permite es poner una regla de masquerade general, tal que luego no tengas que andar haciendo reglas específicas para usar el puerto 80 o el 443. Cuando mapeas esos puertos hay que hacerlo con mucho tacto, porque si pones mal la regla de NAT y no tienes hairpin nat (es lo mismo que NAT loopback), puedes acabar secuestrando el tráfico de navegación (el de esos dos puertos) y dejar la red sin salida a internet. Lo de la lista del "toc_toc", sinceramente... no lo veo. Es decir, si tienes miedo del origen, yo cerraría directamente los puertos y me metería al NAS por VPN. Y, si quieres dejar la puerta abierta a algún servicio, lo haría sin esa restricción. Como no acabo de verlo muy bien, lo he omitido, pero tú eres libre de volver a ponerlo si crees que te ayuda. Considerando eso, y las reglas que tienes, yo dejaría tu NAT tal que así:
Código: 
# Ya que usas DDNS [IP > Cloud], aprovechemos esa funcionalidad para resolver la IP pública
/ip firewall address-list add address=[/ip cloud get dns-name] list=public-ip

/ip firewall nat
# Aplicamos hairpin nat o nat loopback
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=192.168.2.0/24 src-address=192.168.2.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=10.10.1.0/24
add action=masquerade chain=srcnat comment="TIVO masquerade" out-interface=TIVO

# Esta regla siguiente es una especie de DMZ al box de TV, es necesaria?
add action=dst-nat chain=dstnat dst-address-type=local in-interface=TIVO to-addresses=192.168.2.251

# Si el 52151 es el puerto de admin HTTPS del NAS, cambia esta regla para exponer
# el 443 de cara a fuera y que golpée en ese puerto interno, usando un certificado https.
# Si tienes dudas me dices, te dejo mi ejemplo.
add action=dst-nat chain=dstnat comment=NAS dst-address-list=public-ip \
    dst-port=52151 protocol=tcp to-addresses=192.168.2.201

# Regla para Plex
add action=dst-nat chain=dstnat comment=Plex dst-address-list=public-ip \
    dst-port=32400 protocol=tcp to-addresses=192.168.2.201

# Esta regla potencialmente la cambiaría para usar con el 443, al igual que el NAS
# o directamente la quitaría y restringiría este acceso a VPN. Este tráfico va sin cifrar,
# si tienes un login en ese puerto 80, es un riesgo de seguridad gordo.
add action=dst-nat chain=dstnat comment=LM dst-address-list=public-ip \
    dst-port=52200 protocol=tcp to-addresses=192.168.2.205 to-ports=80

# El resto de reglas de masquerade creo que sobran, una vez implementado el hairpin NAT
# Como ves, la principal diferencia es que, en lugar de trabajar con el in-interface
# se trabaja con el dst-address-list, que apunta a la lista que resuelve dinamicamente
# tu IP pública.

Lo del tema de la TV de Vodafone, la verdad que lo desconozco. Pero me sorprendería mucho que metan las reglas de routing a capón y que no usen un protocolo de enrutamiento dinámico. No obstante, como ni estoy seguro ni tenemos más info, déjalo así. @furny, se te ocurre algún detalle más, sobre todo con respecto a la TV, que se me esté escapando?

Y sí, la vlan 20 en el bridge no pinta nada, la puedes quitar que ni hace daño ni hace nada. Como ves, la interfaz que declaras como "LAN-Network" no se llega a usar nunca más en la configuración.

Con respecto a la VPN, si quieres que los usuarios conectados a la misma tengan acceso al router, puedes hacerlo de dos maneras: o permites en una regla de input en el firewall tráfico con destino el router desde la subred de la VPN [10.10.2.0/24], o directamente metes la interfaz que se crea en la lista LAN. Para esto segundo, lo mejor que puedes hacer es duplicar el perfil [PPP > Profiles] "default-ecryption" (deja el original tal cual por si en un momento quieres tener esos dos comportamientos diferenciados, uno que tenga acceso al router y otro que sólo tenga acceso al resto de la red), y en "Interface List", le indicas que la interfaz dinámica que crea cuando un cliente se conecta con ese perfil la añada a la lista LAN. De esa manera, la regla de drop que tienes en el firewall en el chain de input que dice "drop all not coming from LAN", no te descartará y podrás acceder al equipo.
1615449108419.png


Y, como último, una recomendación: si tienes el box de TV directamente conectado al mikrotik, yo sacaría el puerto del bridge y lo trataría como un puerto aparte, con su servidor dhcp específico y todo para él. De esa manera, cuando activas el paquete del multicast, podrías poner ahí el puerto concreto, y no el bridge. Al poner el bridge, estás forzado a usar el igmp-snooping en el bridge, cosa que es incompatible con usar hardware-offloading en el mismo (aceleración hardware, para que el tráfico de la red LAN no suba a la CPU del router, y vaya a velocidad cable usando sólo el switch). De esa manera conservarías el hardware offloading, cosa que, aunque tengas un 4011 y vayas más que sobrado de equipo, no está de más tenerlo.

Saludos!
 
Hola. A ver, vamos por partes. Lo primero, bienvenido al club. Aquí intentaremos ayudarte en este tema.

Pero, lo segundo, advertirte de que yo no tengo Vodafone, por lo que vamos un poco "a tientas". Y otros compañeros del foro han intentado sustituir el Sercomm por el MT, pero la IPTV, hasta ahora, se nos ha resistido.

Lo tercero: dices lo siguiente:
DavidGrandes dijo:
Después de hacer toda la configuración y ver que funciona internet y tele sin problemas, he añadido las reglas de firewall que tenia antes y la tele ha dejado de funcionar.
Haz clic para expandir...
O sea, que te ha funcionado la TV, pero al meter las reglas de Firewall ha dejado de hacerlo, no es así?. Si has conseguido con una configuración "a pelo" que vaya la TV en el MT sustituyendo al Sercomm por completo, ese es un gran paso: solo nos queda analizar dónde se filtra para arreglarlo.

Cuarto: A parte de lo que te ha dicho @pokoyo, para refinar el firewall, solo puntualizar dos cosas: a) Como no sabemos si Vodafone usa algún protocolo de encaminamiento para multicast (RIP o PIM) y como dices que has conseguido conectividad de IPTV con las rutas estáticas, yo de momento, las dejaría y no las tocaría. b) Cuando consigamos que funcione, ya nos pasas un export y analizamos y refinamos bien tanto las reglas de firewall, como intentamos abordar el encaminamiento.

Cinco: Yo creo que tienes que añadir una regla al firewall, cadena de input, para admitir los paquetes de TIVO, y por eso no te está funcionando. Al principio, vamos a aceptar todo lo que venga de la vlan de tivo, ya la refinaremos si hace falta. La colocarías justo detrás de la de aceptar established, related. O sea:

/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=input comment="Accept TIVO traffic" in-interface=TIVO

...y siguen las reglas de aceptar vpn y el resto.

A ver si con esto ya chuta. Ya nos dices, que tenemos interés en el tema.

Suerte!!!
 
Buenas tardes!!!

Gracias por la bienvenida!! :)

Os comento varias cosas:
- He reseteado el Mikrotik y cargado la configuración que os voy a dejar ahora y funciona la TV perfectamente.
En cuanto a la red de la IPTV, sería una red en otro rango? Por ejemplo 192.168.3.0/24? O se puede hacer un servidor DHCP en el mismo rango pero limitado? Mas abajo pongo mi código, si pudierais ayudarme un poco con la mejora del código os lo agradecería mucho por que realmente hay alguna cosa que me pierdo. No se por que existe "TIVO-Pool" si no veo que se use en ningún lado. Por otro lado, la ip que coge la tele veo que es otra y no la 192.168.2.251 ( si no he probado mal) por lo que no acabo de entender la dst-nat desde TIVO a la 192.168.2.251. Esto lo entiendo como redirección hacia la IPTV y la he quitado como me habéis dicho y no afecta, funciona igual.
También he quitado la VLAN de la red LAN.
Tengo la TV Box conectada a eth10. (Este es el código original para que lo tengaís, el que me gustaría corregir es el que pongo mas adelante)

Código: 
# jan/02/1970 00:59:19 by RouterOS 6.48.1
# software id = E82L-C64C
#
# model = RB4011iGS+
# serial number = B8F60A38C7A4
/interface bridge
add igmp-snooping=yes name=LAN-Bridge
/interface vlan
add interface=ether1 name=INTERNET vlan-id=100
add interface=ether1 name=TIVO vlan-id=105
/interface pppoe-client
add add-default-route=yes disabled=no interface=INTERNET name=PPPoE-out1 \
    user=ONH0000872543@vodafone
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/ip dhcp-server option
add code=12 name=TIVO value="'TIVO'"
/ip pool
add name=LAN-Pool ranges=192.168.2.21-192.168.2.250
add name=TIVO-Pool ranges=192.168.2.251-192.168.2.253
/ip dhcp-server
add address-pool=LAN-Pool disabled=no interface=LAN-Bridge name=DHCP-LAN
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
    sword,web,sniff,sensitive,api,romon,dude,tikapp"
/interface bridge port
add bridge=LAN-Bridge interface=ether2
add bridge=LAN-Bridge interface=ether3
add bridge=LAN-Bridge interface=ether4
add bridge=LAN-Bridge interface=ether5
add bridge=LAN-Bridge interface=ether6
add bridge=LAN-Bridge interface=ether7
add bridge=LAN-Bridge interface=ether8
add bridge=LAN-Bridge interface=ether9
add bridge=LAN-Bridge interface=ether10 multicast-router=disabled
/ip address
add address=192.168.2.1/24 interface=LAN-Bridge network=192.168.2.0
/ip dhcp-client
add add-default-route=no disabled=no interface=TIVO use-peer-dns=no \
    use-peer-ntp=no
/ip dhcp-server network
add address=192.168.2.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.2.1
add address=192.168.2.251/32 dhcp-option=TIVO gateway=192.168.2.1 netmask=29
/ip firewall filter
add action=drop chain=input in-interface=PPPoE-out1
add action=fasttrack-connection chain=forward connection-state=\
    established,related
add chain=forward connection-state=established
add chain=forward connection-state=related
add action=drop chain=forward connection-state=invalid
/ip firewall mangle
add action=set-priority chain=postrouting new-priority=4 out-interface=TIVO
add action=set-priority chain=postrouting new-priority=0 out-interface=\
    PPPoE-out1
/ip firewall nat
add action=masquerade chain=srcnat dst-address=0.0.0.0/0 log=yes
add action=masquerade chain=srcnat out-interface=TIVO
/ip route
add distance=1 dst-address=10.8.57.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.8.58.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.8.59.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.10.2.0/24 gateway=10.10.1.2
add distance=1 dst-address=10.15.220.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.179.32.0/23 gateway=TIVO pref-src=10.214.13.28
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=TIVO upstream=yes
add interface=LAN-Bridge

-Por otro lado contesto a las mejoras de código:

Código: 
#El DDNS que utilizo es el mío propio que es midominio.com. Entiendo que se puede poner igualmente no? #Aunque no creo que haga daño dejar el dns del mikrotik
/ip firewall address-list add address=midominio.com list=public-ip 

# He quitado la regla y parece que no es necesaria
add action=dst-nat chain=dstnat dst-address-type=local in-interface=TIVO to-addresses=192.168.2.251

# El 52151 es el puerto de admin HTTPS del NAS ya que el 443 lo tengo configurado para un blog (aunque ahora no lo uso). Internamente el NAS esta configurado este puerto para https. No esta bien?

# Este es el servidor Web de la Domotica y es el único que dejaría abierto por comodidad. Tendré que salsear para ver como acceder por https y quito el toc toc, no sabia que tenia tanto riesgo de seguridad. De todas formas, aunque me fie del origen desde el que accedo, no hay forma de proteger los puertos abiertos contra ataques? Es decir, si intentan entrar muchas veces o... 
add action=dst-nat chain=dstnat comment=LM dst-address-list=public-ip dst-port=52200 protocol=tcp to-addresses=192.168.2.205 to-ports=80

Con respecto a la VPN, he hecho lo que me has dicho y veo que cuando me conecto con mi usuario personal se añade a la lista de interfaces "LAN" pero no puedo acceder al router. Creo que lo tengo bien configurado pero no se por que no me lo permite.

Por ultimo he vuelto a cargar mi configuración en el router y he cambiado lo que me habéis dicho y he añadido la regla input aceptando todo lo que venga de TIVO y funciona!!! :)

Os pongo como queda mi código actualmente:

Código: 
# mar/11/2021 19:51:29 by RouterOS 6.48.1
# software id = E82L-C64C
#
# model = RB4011iGS+
# serial number = xxxx
/interface bridge
add admin-mac=74:4D:28:89:9B:11 auto-mac=no comment=defconf igmp-snooping=yes \
    name=LAN-Bridge
/interface ethernet
set [ find default-name=ether1 ] comment=ISP
set [ find default-name=ether2 ] comment=Switch
set [ find default-name=ether3 ] comment=PC
set [ find default-name=ether5 ] comment=AP
set [ find default-name=ether6 ] comment=LM
set [ find default-name=ether7 ] disabled=yes
set [ find default-name=ether8 ] disabled=yes
set [ find default-name=ether10 ] comment=IPTV
set [ find default-name=sfp-sfpplus1 ] disabled=yes
/interface vlan
add interface=ether1 name=INTERNET vlan-id=100
add interface=ether1 name=TIVO vlan-id=105
/interface pppoe-client
add add-default-route=yes disabled=no interface=INTERNET name=PPPoE-out1 \
    user=USUARIO@vodafone
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/ip dhcp-server option
add code=12 name=TIVO value="'TIVO'"
/ip pool
add name=LAN-Pool ranges=192.168.2.20-192.168.2.150
add name=vpn ranges=10.10.1.1-10.10.1.255
add name=TIVO-Pool ranges=192.168.2.251-192.168.2.253
/ip dhcp-server
add address-pool=LAN-Pool disabled=no interface=LAN-Bridge name=DHCP-LAN
/ppp profile
add change-tcp-mss=yes interface-list=LAN local-address=10.10.1.1 name=\
    profile-acceso-router remote-address=vpn use-encryption=yes
set *FFFFFFFE local-address=10.10.1.1 remote-address=vpn
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
    sword,web,sniff,sensitive,api,romon,dude,tikapp"
/interface bridge port
add bridge=LAN-Bridge comment=defconf interface=ether2
add bridge=LAN-Bridge comment=defconf interface=ether3
add bridge=LAN-Bridge comment=defconf interface=ether4
add bridge=LAN-Bridge comment=defconf interface=ether5
add bridge=LAN-Bridge comment=defconf interface=ether6
add bridge=LAN-Bridge comment=defconf interface=ether7
add bridge=LAN-Bridge comment=defconf interface=ether8
add bridge=LAN-Bridge comment=defconf interface=ether9
add bridge=LAN-Bridge comment=defconf interface=sfp-sfpplus1
add bridge=LAN-Bridge interface=ether10 multicast-router=disabled
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set enabled=yes use-ipsec=yes
/interface list member
add comment=defconf interface=LAN-Bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=PPPoE-out1 list=WAN
/interface sstp-server server
set default-profile=default-encryption
/ip address
add address=192.168.2.1/24 comment=defconf interface=LAN-Bridge network=\
    192.168.2.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf disabled=no interface=ether1
add add-default-route=no disabled=no interface=TIVO use-peer-dns=no \
    use-peer-ntp=no
/ip dhcp-server lease
add address=192.168.2.225 client-id=1:cc:9e:a2:62:f2:cc comment="Alexa Yoga" \
    mac-address=CC:9E:A2:62:F2:CC server=DHCP-LAN
add address=192.168.2.222 comment="Alexa Estudio" mac-address=\
    14:91:38:F3:DF:F0 server=DHCP-LAN
add address=192.168.2.221 client-id=1:44:0:49:4d:e4:ab comment="Alexa Salon" \
    mac-address=44:00:49:4D:E4:AB server=DHCP-LAN
add address=192.168.2.224 client-id=1:5c:41:5a:93:bd:85 comment=\
    "Alexa Cocina" mac-address=5C:41:5A:93:BD:85 server=DHCP-LAN
add address=192.168.2.13 client-id=1:44:85:0:30:1e:61 comment="PC Curro" \
    mac-address=44:85:00:30:1E:61 server=DHCP-LAN
add address=192.168.2.231 comment="Xiaomi Vacuum" mac-address=\
    40:31:3C:A2:E3:3B server=DHCP-LAN
add address=192.168.2.145 client-id=1:7c:d5:66:b8:e7:90 comment=Despertador \
    mac-address=7C:D5:66:B8:E7:90 server=DHCP-LAN
add address=192.168.2.232 client-id=1:e8:f2:e2:ab:ea:39 comment="TV Salon" \
    mac-address=E8:F2:E2:AB:EA:39 server=DHCP-LAN
add address=192.168.2.11 client-id=1:b8:ac:6f:9d:62:d6 comment="PC Estudio" \
    mac-address=B8:AC:6F:9D:62:D6 server=DHCP-LAN
add address=192.168.2.12 client-id=1:ea:f2:30:ce:22:b6 comment="Movil David" \
    mac-address=EA:F2:30:CE:22:B6 server=DHCP-LAN
/ip dhcp-server network
add address=192.168.2.0/24 comment=defconf gateway=192.168.2.1 netmask=24
add address=192.168.2.251/32 dhcp-option=TIVO gateway=192.168.2.1 netmask=29
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip dns static
add address=192.168.2.1 comment=defconf name=router.lan
/ip firewall address-list
add address=b8f60a38c7a4.sn.mynetname.net list=public-ip
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=accept chain=input comment="Accept TIVO traffic" in-interface=TIVO
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 \
    protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=accept chain=forward in-interface-list=LAN
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=set-priority chain=postrouting new-priority=4 out-interface=TIVO
add action=set-priority chain=postrouting new-priority=0 out-interface=\
    PPPoE-out1
/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=\
    192.168.2.0/24 src-address=192.168.2.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
    10.10.1.0/24
add action=masquerade chain=srcnat comment="TIVO masquerade" out-interface=\
    TIVO
add action=dst-nat chain=dstnat comment=NAS disabled=yes dst-address-list=\
    public-ip dst-port=52151 protocol=tcp to-addresses=192.168.2.201
add action=dst-nat chain=dstnat comment=Plex dst-address-list=public-ip \
    dst-port=32400 protocol=tcp to-addresses=192.168.2.201
add action=dst-nat chain=dstnat comment=LM disabled=yes dst-address-list=\
    public-ip dst-port=52200 protocol=tcp to-addresses=192.168.2.205 \
    to-ports=443
/ip route
add distance=1 dst-address=10.8.57.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.8.58.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.8.59.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.10.2.0/24 gateway=10.10.1.2
add distance=1 dst-address=10.15.220.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.179.32.0/23 gateway=TIVO pref-src=10.214.13.28
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set winbox port=8299
set api-ssl disabled=yes
/ppp secret
add name=David profile=profile-acceso-router
add local-address=10.10.1.1 name=Cliente_2 profile=default-encryption \
    remote-address=10.10.1.2 service=l2tp
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=TIVO upstream=yes
add interface=LAN-Bridge
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=D_Router
/system scheduler
add interval=15s name="Mikrotik Despierto" on-event="{\r\
    \n/tool fetch url=\"http://remote:AAaa1111@192.168.2.205/scada-remote\" ht\
    tp-data=\"m=json&r=grp&fn=write&alias=34/3/51&value=1\" http-method=post a\
    s-value output=user; \t \r\
    \n}" policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
    start-date=nov/16/2019 start-time=13:44:56
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Me ha quedado un poco chapa pero bueno quería exponerlo todo bien.

Gracias!
 
Oye!, pues estupendo que te funcione la TV!. Me alegro.
Pero hay algunas cosas que aclarar y refinar. Vamos por partes:

ANTES QUE NADA: apúntate la dirección que te está asignando al TIVO que dices aquí:
DavidGrandes dijo:
Por otro lado, la ip que coge la tele veo que es otra y no la 192.168.2.251
Haz clic para expandir...
Si lo que dices, es así, es que el /ip dhcp-client del TIVO está funcionando, pero comprueba que efectivamente tienes una dirección distinta de la 192.168.2.25x.

1) Entiendo que la configuración segunda que nos has mandado es la que te funciona, y que te funciona TODO, internet e IPTV, ¿no es así?. Y has eliminado de tu red por completo el Sercomm, ¿no es así? ¿Te funciona también el Video Bajo Demanda (VOD) del TIVO? Esto me extraña, pues en la segunda configuración has eliminado la regla NAT de permitir el acceso VOD. Pero vamos analizando y te cuento:

2) Esta regla:
/ip dhcp-client
add add-default-route=no disabled=no interface=TIVO use-peer-dns=no \
use-peer-ntp=no

es la clave de bóveda para la IPTV. Te está dando una dirección el servidor de Vodafone a tu TIVO y es lo que hace que funcione.

Pero esta línea:
add comment=defconf disabled=no interface=ether1

Se te ha colado, y podría entrar en conflicto con la configuración de internet. Deberías eliminarla.

3) Si te funciona IPTV, entonces el pool de tivo sobra, elimínalo:

add name=TIVO-Pool ranges=192.168.2.251-192.168.2.253

y esto también sobra, debes eliminarlo:

add address=192.168.2.251/32 dhcp-option=TIVO gateway=192.168.2.1 netmask=29

Te quedaría sólo:

/ip dhcp-server network
add address=192.168.2.0/24 comment=defconf gateway=192.168.2.1 netmask=24

4) Si todo lo anterior es correcto, esto también te sobra y lo puedes eliminar:

/ip dhcp-server option
add code=12 name=TIVO value="'TIVO'"


Con esto, probamos si te funciona todo bien, y si no, damos marcha atrás y probamos otra cosa.

Y después ajustamos las reglas de la VPN. Porque, ahora, estas aceptando TODO tipo de VPN, y lo que debemos decidir es que tipo de VPN quieres usar y poner solo las reglas para ese tipo de vpn. Pero eso es otro tema. Vayamos por partes, y vamos a ver como te funciona. Ya me dices.

Suerte!!!
 
Última edición:
Buenas noches!!

Ya he hecho los cambios y te comento:

- La IP de la TV Box es la 192.168.2.129
- La segunda configuración que he mandado, efectivamente es la que me funciona todo Ok, internet e IPTV, lo que no funciona como bien dices es VOD (Entiendo que es el contenido multimedia que tiene Vodafone en sus servidores, Películas, series...)
- He quitado todo lo sobrante y sigue funcionando perfectamente tanto internet como la IPTV, a falta del contenido multimedia, que al intentar cargar me dice "No se puede conectar con el servidor".

Pongo la configuración resultante:

Código: 
# mar/11/2021 23:42:45 by RouterOS 6.48.1
# software id = E82L-C64C
#
# model = RB4011iGS+
# serial number =
/interface bridge
add admin-mac=74:4D:28:89:9B:11 auto-mac=no comment=defconf igmp-snooping=yes \
    name=LAN-Bridge
/interface ethernet
set [ find default-name=ether1 ] comment=ISP
set [ find default-name=ether2 ] comment=Switch
set [ find default-name=ether3 ] comment=PC
set [ find default-name=ether5 ] comment=AP
set [ find default-name=ether6 ] comment=LM
set [ find default-name=ether7 ] disabled=yes
set [ find default-name=ether8 ] disabled=yes
set [ find default-name=ether10 ] comment=IPTV
set [ find default-name=sfp-sfpplus1 ] disabled=yes
/interface vlan
add interface=ether1 name=INTERNET vlan-id=100
add interface=ether1 name=TIVO vlan-id=105
/interface pppoe-client
add add-default-route=yes disabled=no interface=INTERNET name=PPPoE-out1 user=\
    USUARIO@vodafone
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/ip pool
add name=LAN-Pool ranges=192.168.2.20-192.168.2.150
add name=vpn ranges=10.10.1.1-10.10.1.255
/ip dhcp-server
add address-pool=LAN-Pool disabled=no interface=LAN-Bridge name=DHCP-LAN
/ppp profile
add change-tcp-mss=yes interface-list=LAN local-address=10.10.1.1 name=\
    profile-acceso-router remote-address=vpn use-encryption=yes
set *FFFFFFFE local-address=10.10.1.1 remote-address=vpn
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,passw\
    ord,web,sniff,sensitive,api,romon,dude,tikapp"
/interface bridge port
add bridge=LAN-Bridge comment=defconf interface=ether2
add bridge=LAN-Bridge comment=defconf interface=ether3
add bridge=LAN-Bridge comment=defconf interface=ether4
add bridge=LAN-Bridge comment=defconf interface=ether5
add bridge=LAN-Bridge comment=defconf interface=ether6
add bridge=LAN-Bridge comment=defconf interface=ether7
add bridge=LAN-Bridge comment=defconf interface=ether8
add bridge=LAN-Bridge comment=defconf interface=ether9
add bridge=LAN-Bridge comment=defconf interface=sfp-sfpplus1
add bridge=LAN-Bridge interface=ether10 multicast-router=disabled
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set enabled=yes use-ipsec=yes
/interface list member
add comment=defconf interface=LAN-Bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=PPPoE-out1 list=WAN
/interface sstp-server server
set default-profile=default-encryption
/ip address
add address=192.168.2.1/24 comment=defconf interface=LAN-Bridge network=\
    192.168.2.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add add-default-route=no disabled=no interface=TIVO use-peer-dns=no \
    use-peer-ntp=no
/ip dhcp-server lease
add address=192.168.2.225 client-id=1:cc:9e:a2:62:f2:cc comment="Alexa Yoga" \
    mac-address=CC:9E:A2:62:F2:CC server=DHCP-LAN
add address=192.168.2.222 comment="Alexa Estudio" mac-address=14:91:38:F3:DF:F0 \
    server=DHCP-LAN
add address=192.168.2.221 client-id=1:44:0:49:4d:e4:ab comment="Alexa Salon" \
    mac-address=44:00:49:4D:E4:AB server=DHCP-LAN
add address=192.168.2.224 client-id=1:5c:41:5a:93:bd:85 comment="Alexa Cocina" \
    mac-address=5C:41:5A:93:BD:85 server=DHCP-LAN
add address=192.168.2.13 client-id=1:44:85:0:30:1e:61 comment="PC Curro" \
    mac-address=44:85:00:30:1E:61 server=DHCP-LAN
add address=192.168.2.231 comment="Xiaomi Vacuum" mac-address=40:31:3C:A2:E3:3B \
    server=DHCP-LAN
add address=192.168.2.145 client-id=1:7c:d5:66:b8:e7:90 comment=Despertador \
    mac-address=7C:D5:66:B8:E7:90 server=DHCP-LAN
add address=192.168.2.232 client-id=1:e8:f2:e2:ab:ea:39 comment="TV Salon" \
    mac-address=E8:F2:E2:AB:EA:39 server=DHCP-LAN
add address=192.168.2.11 client-id=1:b8:ac:6f:9d:62:d6 comment="PC Estudio" \
    mac-address=B8:AC:6F:9D:62:D6 server=DHCP-LAN
add address=192.168.2.12 client-id=1:ea:f2:30:ce:22:b6 comment="Movil David" \
    mac-address=EA:F2:30:CE:22:B6 server=DHCP-LAN
/ip dhcp-server network
add address=192.168.2.0/24 comment=defconf gateway=192.168.2.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip dns static
add address=192.168.2.1 comment=defconf name=router.lan
/ip firewall address-list
add address=b8f60a38c7a4.sn.mynetname.net list=public-ip
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=accept chain=input comment="Accept TIVO traffic" in-interface=TIVO
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 protocol=\
    udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=accept chain=forward in-interface-list=LAN
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
    invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" \
    connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=set-priority chain=postrouting new-priority=4 out-interface=TIVO
add action=set-priority chain=postrouting new-priority=0 out-interface=\
    PPPoE-out1
/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=\
    192.168.2.0/24 src-address=192.168.2.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\
    out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
    10.10.1.0/24
add action=masquerade chain=srcnat comment="TIVO masquerade" out-interface=TIVO
add action=dst-nat chain=dstnat comment=NAS dst-address-list=public-ip \
    dst-port=52151 protocol=tcp to-addresses=192.168.2.201
add action=dst-nat chain=dstnat comment=Plex dst-address-list=public-ip \
    dst-port=32400 protocol=tcp to-addresses=192.168.2.201
add action=dst-nat chain=dstnat comment=LM disabled=yes dst-address-list=\
    public-ip dst-port=52200 protocol=tcp to-addresses=192.168.2.205 to-ports=\
    443
/ip route
add distance=1 dst-address=10.8.57.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.8.58.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.8.59.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.10.2.0/24 gateway=10.10.1.2
add distance=1 dst-address=10.15.220.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.179.32.0/23 gateway=TIVO pref-src=10.214.13.28
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set winbox port=8299
set api-ssl disabled=yes
/ppp secret
add name=David profile=profile-acceso-router service=l2tp
add local-address=10.10.1.1 name=Cliente_2 profile=default-encryption \
    remote-address=10.10.1.2 service=l2tp
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=TIVO upstream=yes
add interface=LAN-Bridge
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=D_Router
/system scheduler
add interval=15s name="Mikrotik Despierto" on-event="{\r\
    \n/tool fetch url=\"http://remote:AAaa1111@192.168.2.205/scada-remote\" http\
    -data=\"m=json&r=grp&fn=write&alias=34/3/51&value=1\" http-method=post as-va\
    lue output=user; \t \r\
    \n}" policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
    start-date=nov/16/2019 start-time=13:44:56
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

En cuanto a la VPN, quiero usar unicamente L2TP y 2 conexiones.
-Una conexión mía "David" que me permita acceder a toda la red incluido el mikrotik
-Conexión diferentes mikrotiks como clientes al mío que no tenga acceso a nada de mi red, pero yo si tener acceso a la subred de estos Mikrotiks. La que esta creada es el secret "Cliente_2", creo que esta bien configurado en ese sentido. El extra que me gustaría añadir es que a traves de mi DNS puedan acceder a un servidor de su red, es decir, que poniendo midns.com:10002 (por ejemplo), el cliente 2 pueda acceder al servidor 10.10.2.101 de su red, y que mi microtik este únicamente de paso. Esto es facil de hacer?

Un Saludo y Gracias!!!
 
Qué bien!. Pues entonces estamos cerca.

Para que te funcione el VOD hay que volver a poner la regla NAT:

add action=dst-nat chain=dstnat dst-address-type=local in-interface=TIVO to-addresses=192.168.2.251

Ponla tras la regla de masquerade de TIVO.

Y para que el dhcp-server no asigne la dirección que le han dado de TIVO, vas a definir el pool así, mejor:

/ip pool
add name=LAN-Pool ranges=192.168.2.20-192.168.2.128

Otra recomendación: si te fijas, las rutas estáticas a los servidores de video de Vodafone están dentro de la red 10.0.0.0/8. Por ello, no es recomendable usar para la VPN o para tu LAN direcciones de esos segmentos, porque puede entrar en conflicto. La red 10.0.0.0/8 ya sé que es de uso privado, pero precisamente por ello los ISPs las usan para diseccionar sus servidores para dar servicio a sus clientes. Yo te recomiendo que uses para la vpn direcciones del tipo 192.168.XX.YY. Por ejemplo:

/ip pool
add name=LAN-Pool ranges=192.168.2.20-192.168.2.128
add name=vpn ranges=192.168.7.2-192.168.7.200

y cambia las direcciones de la vpn L2TP/Ipsec en consecuencia.

Ahora vamos a eliminar todo lo que no sea vpn L2TP/IPsec:

Esto, fuera, es la vpn de sstp:

/interface sstp-server server
set default-profile=default-encryption

Estas dos reglas de firewall, fuera. Son para admitir conexiones de vpn SSTP y de PPTP: una fuente de peligros, esta última.

add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp

Con esto, te debería funcionar bien. Ya me dices si te funciona el VOD y todo lo demás.

DavidGrandes dijo:
-Una conexión mía "David" que me permita acceder a toda la red incluido el mikrotik
-Conexión diferentes mikrotiks como clientes al mío que no tenga acceso a nada de mi red, pero yo si tener acceso a la subred de estos Mikrotiks. La que esta creada es el secret "Cliente_2", creo que esta bien configurado en ese sentido. El extra que me gustaría añadir es que a traves de mi DNS puedan acceder a un servidor de su red, es decir, que poniendo midns.com:10002 (por ejemplo), el cliente 2 pueda acceder al servidor 10.10.2.101 de su red, y que mi microtik este únicamente de paso. Esto es facil de hacer?
Haz clic para expandir...
De esto no entiendo muy bien, que es lo que pretendes. Déjame que me lo piense, por favor, y lo hablamos mañana, que es tarde.

Suerte!!!
 
Última edición:
Buenos dias. Me vas a disculpar, pero ayer estaba cansado, me estaban hablando a la vez que analizaba y escribía esto por casa, y me lié y escribí unas cuantas incorrecciones en los mensajes anteriores. Los he editado y corregido. Ahora te explico bien:

El DHCP está asignando una dirección interna a tu TIVO, la 192.168.2.129. Pero para que no ande bailando y la tengas controlada, lo que había que haber hecho era hacerla estática. Y la regla NAT correspondiente, que apunte donde nosotros queremos. Esto se me pasó. Entonces vamos a ir paso a paso:

1) Deja el pool de la lan como estaba (la vpn SI que la cambias como te dije):

/ip pool
add name=LAN-Pool ranges=192.168.2.20-192.168.2.150
add name=vpn ranges=192.168.7.2-192.168.7.200

2) Esta regla es un poco chorras, pero déjala de todas formas, por si acaso lo exigiera Vodafone (asigna un nombre automáticamente al set-top-box):

/ip dhcp-server option
add code=12 name=TIVO value="'TIVO'"

3) Y esta de la definición de la red para TIVO, también la restauramos, detrás de la red de la LAN:

/ip dhcp-server network
add address=192.168.2.0/24 comment=defconf gateway=192.168.2.1 netmask=24
add address=192.168.2.251/32 dhcp-option=TIVO gateway=192.168.2.1 netmask=29

4) Y como te dije antes, vuelves a poner la regla NAT, PERO con la dirección apropiada, la 192.168.2.251:

add action=dst-nat chain=dstnat dst-address-type=local in-interface=TIVO to-addresses=192.168.2.251

Ponla tras la regla de masquerade de TIVO.

5) Ahora, vas a localizar la dirección del set-top-box TIVO, que decías era 192.168.2.129. Y entonces
a) Make static a la dirección del TIVO
b) entras en el lease de nuevo y le cambias la dirección estática a 192.168.2.251
c) APAGAS Y DESENCHUFAS el set-top-box TIVO.
d) Lo vuelves a encender y compruebas que ha pillado la dirección correcta: 192.168.2.251

Ahora si que está todo correcto. Si quieres, puedes hacer un reboot al router, para que pile bien el pool asignado, y compruebas la configuración haciendo un /export.

El paso 5) deberás hacerlo si cambias por alguna razón la configuración del router y pierde el TIVO la dirección. De esta manera, te aseguras que la regla NAT, que permite que funcione el VOD, esta siempre apuntando al TIVO.

Dime, por favor, si te va así todo bien. Estoy expectante!.

Con repecto a la vpn L2TP/IPsec. Te recomiendo fuerces IPsec y le metas su secreto de encriptación así:

/interface l2tp-server server
set enabled=yes ipsec-secret=patatin+patatan use-ipsec=required

Después, corrige el PPP con las direcciones que te dije:

/ppp profile
add change-tcp-mss=yes local-address=192.168.7.1 name=\
profile-acceso-router remote-address=vpn use-encryption=yes
set *FFFFFFFE local-address=192.168.7.1 remote-address=vpn

y por supuesto, poner password a tu usuario:

/ppp secret
add name=David profile=profile-acceso-router password=mi-contraseña

Con respecto a lo otro que pretendes de la vpn, por favor, dame si puedes un poco más de detalles, pues no lo entiendo. ¿qué opinas, @pokoyo?

Espero que todo esté bien. Disculpas por la confusión y mis errores. Ya nos dices el resultado.

Suerte!!!
 
Buenos días!!

Ayer hice la prueba con lo que quitaste y no funciono aunque no conteste por que era tarde. Hoy he vuelto a cambiar como me dices y ahora parece que la TIVO no tiene internet, no entiendo por que por que si no entiendo mal la salida a internet se la da a todos los que estan dentro de LAN, y la tele esta en eth 10.
De todas formas no sería mas facil hacer la configuración para la boca eth10 en vez de para una IP? (Pregunto sin conocimiento)

La configuración que tengo ahora es esta (aun no he cambiado el rango vpn por que tengo alguna duda):

Código: 
# mar/12/2021 09:12:50 by RouterOS 6.48.1
# software id = E82L-C64C
#
# model = RB4011iGS+
# serial number =
/interface bridge
add admin-mac=74:4D:28:89:9B:11 auto-mac=no comment=defconf igmp-snooping=yes name=LAN-Bridge
/interface ethernet
set [ find default-name=ether1 ] comment=ISP
set [ find default-name=ether2 ] comment=Switch
set [ find default-name=ether3 ] comment=PC
set [ find default-name=ether5 ] comment=AP
set [ find default-name=ether6 ] comment=LM
set [ find default-name=ether7 ] disabled=yes
set [ find default-name=ether8 ] disabled=yes
set [ find default-name=ether10 ] comment=IPTV
set [ find default-name=sfp-sfpplus1 ] disabled=yes
/interface vlan
add interface=ether1 name=INTERNET vlan-id=100
add interface=ether1 name=TIVO vlan-id=105
/interface pppoe-client
add add-default-route=yes disabled=no interface=INTERNET name=PPPoE-out1 user=ONH0000872543@vodafone
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/ip dhcp-server option
add code=12 name=TIVO value="'TIVO'"
/ip pool
add name=LAN-Pool ranges=192.168.2.15-192.168.2.20
add name=vpn ranges=10.10.1.1-10.10.1.200
/ip dhcp-server
add address-pool=LAN-Pool disabled=no interface=LAN-Bridge name=DHCP-LAN
/ppp profile
add change-tcp-mss=yes interface-list=LAN local-address=10.10.1.1 name=profile-acceso-router remote-address=vpn use-encryption=yes
set *FFFFFFFE local-address=10.10.1.1 remote-address=vpn
/user group
set full policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,sniff,sensitive,api,romon,dude,tikapp
/interface bridge port
add bridge=LAN-Bridge comment=defconf interface=ether2
add bridge=LAN-Bridge comment=defconf interface=ether3
add bridge=LAN-Bridge comment=defconf interface=ether4
add bridge=LAN-Bridge comment=defconf interface=ether5
add bridge=LAN-Bridge comment=defconf interface=ether6
add bridge=LAN-Bridge comment=defconf interface=ether7
add bridge=LAN-Bridge comment=defconf interface=ether8
add bridge=LAN-Bridge comment=defconf interface=ether9
add bridge=LAN-Bridge comment=defconf interface=sfp-sfpplus1
add bridge=LAN-Bridge interface=ether10 multicast-router=disabled
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set enabled=yes use-ipsec=required
/interface list member
add comment=defconf interface=LAN-Bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=PPPoE-out1 list=WAN
/interface sstp-server server
set default-profile=default-encryption
/ip address
add address=192.168.2.1/24 comment=defconf interface=LAN-Bridge network=192.168.2.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add add-default-route=no disabled=no interface=TIVO use-peer-dns=no use-peer-ntp=no
/ip dhcp-server lease
add address=192.168.2.225 client-id=1:cc:9e:a2:62:f2:cc comment="Alexa Yoga" mac-address=CC:9E:A2:62:F2:CC server=DHCP-LAN
add address=192.168.2.222 comment="Alexa Estudio" mac-address=14:91:38:F3:DF:F0 server=DHCP-LAN
add address=192.168.2.221 client-id=1:44:0:49:4d:e4:ab comment="Alexa Salon" mac-address=44:00:49:4D:E4:AB server=DHCP-LAN
add address=192.168.2.224 client-id=1:5c:41:5a:93:bd:85 comment="Alexa Cocina" mac-address=5C:41:5A:93:BD:85 server=DHCP-LAN
add address=192.168.2.13 client-id=1:44:85:0:30:1e:61 comment="PC Curro" mac-address=44:85:00:30:1E:61 server=DHCP-LAN
add address=192.168.2.231 comment="Xiaomi Vacuum" mac-address=40:31:3C:A2:E3:3B server=DHCP-LAN
add address=192.168.2.145 client-id=1:7c:d5:66:b8:e7:90 comment=Despertador mac-address=7C:D5:66:B8:E7:90 server=DHCP-LAN
add address=192.168.2.232 client-id=1:e8:f2:e2:ab:ea:39 comment="TV Salon" mac-address=E8:F2:E2:AB:EA:39 server=DHCP-LAN
add address=192.168.2.11 client-id=1:b8:ac:6f:9d:62:d6 comment="PC Estudio" mac-address=B8:AC:6F:9D:62:D6 server=DHCP-LAN
add address=192.168.2.12 client-id=1:ea:f2:30:ce:22:b6 comment="Movil David" mac-address=EA:F2:30:CE:22:B6 server=DHCP-LAN
add address=192.168.2.251 client-id=1:20:9a:7d:72:48:a0 comment=TIVO mac-address=20:9A:7D:72:48:A0 server=DHCP-LAN
/ip dhcp-server network
add address=192.168.2.0/24 comment=defconf gateway=192.168.2.1 netmask=24
add address=192.168.2.251/32 dhcp-option=TIVO gateway=192.168.2.1 netmask=29
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip dns static
add address=192.168.2.1 comment=defconf name=router.lan
/ip firewall address-list
add address=b8f60a38c7a4.sn.mynetname.net list=public-ip
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=input comment="Accept TIVO traffic" in-interface=TIVO
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=accept chain=forward in-interface-list=LAN
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=set-priority chain=postrouting new-priority=4 out-interface=TIVO
add action=set-priority chain=postrouting new-priority=0 out-interface=PPPoE-out1
/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=192.168.2.0/24 src-address=192.168.2.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=10.10.1.0/24
add action=masquerade chain=srcnat comment="TIVO masquerade" out-interface=TIVO
add action=dst-nat chain=dstnat dst-address-type=local in-interface=TIVO to-addresses=192.168.2.251
add action=dst-nat chain=dstnat comment=NAS dst-address-list=public-ip dst-port=52151 log=yes log-prefix="Conexi\F3n NAS" protocol=tcp to-addresses=192.168.2.201
add action=dst-nat chain=dstnat comment=Plex dst-address-list=public-ip dst-port=32400 protocol=tcp to-addresses=192.168.2.201
add action=dst-nat chain=dstnat comment=LM disabled=yes dst-address-list=public-ip dst-port=52200 protocol=tcp to-addresses=192.168.2.205 to-ports=443
/ip route
add distance=1 dst-address=10.8.57.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.8.58.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.8.59.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.10.2.0/24 gateway=10.10.1.2
add distance=1 dst-address=10.15.220.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.179.32.0/23 gateway=TIVO pref-src=10.214.13.28
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set winbox port=8299
set api-ssl disabled=yes
/ppp secret
add name=David profile=profile-acceso-router service=l2tp
add local-address=10.10.1.1 name=Cliente_2 profile=default-encryption remote-address=10.10.1.2 service=l2tp
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=TIVO upstream=yes
add interface=LAN-Bridge
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=D_Router
/system scheduler
add interval=15s name="Mikrotik Despierto" on-event="{\r\
    \n/tool fetch url=\"http://remote:AAaa1111@192.168.2.205/scada-remote\" http-data=\"m=json&r=grp&fn=write&alias=34/3/51&value=1\" http-method=post as-value output=user; \t \r\
    \n}" policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon start-date=nov/16/2019 start-time=13:44:56
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

En cuanto a la VPN Te explico con una imagen mejor:

Red VPN.png


Como ves ahi tengo la red VPN 10.10.1.0/24 para dar IPs a los diferentes dispositivos, Mikrotiks clientes y yo como administrador. Y en cada Mikrotik tengo la red correspondiente. Para mantener un orden si el cliente VPN es la 10.10.1.2 la red LAN de este es la 10.10.2.0/24 y así sucesivamente. Esto lo he hecho sin tener a penas conocimientos sobre redes y no se si estaría bien hecho, si todos pueden apuntar a la IP 10.10.1.1 de mi router, etc....
Si estubiera bien podria extrapolarlo a las IPs 192.168.10.0/24 para la red VPN, clientes 192.168.10.x y LAN interna 192.168.1x.0/24

Y por ultimo lo que decía de acceder al servidor de cada cliente Mikrotik.
Imaginemos que dentro del Cliente 2 (10.10.2.1) existe un servidor Web (10.10.2.201), lo que quiero es dar acceso a este servidor a traves de mi router. Es decir, que poniendo "midominio.com:10002", este apunte directamente al 10.10.2.201, si pongo "midominio.com:10003", este apunte al servidor del cliente 2 (10.10.3.201). No se como lo veis...

No se si así queda mas claro...

Un Saludo
 
Última edición:
Con respecto a la VPN: Para tu propio acceso usa L2TP/IPSec (con ipsec, claro). Copia el perfil default encryption, como te comenté, y lo asignas a la lista LAN, así la regla de drop del chain de input no te tira y llegarás a la página de admin del router cuando teclees la dirección del mismo, la que tienes configurada en /ip address sobre el bridge. Pero ojo que tienes deshabilitado el acceso por WWW, y sólo vas a poder acceder a él por winbox y sobre ese puerto concreto que especificas en IP > Services

Para la conexión de router a router, si lo que se conecta es un mikrotik, prueba mejor con SSTP. Es una conexión que funciona muy bien para ese propósito.

Por último, borra o deshabilita la regla de PPTP (puerto 1723) del firewall, que sino empezarás a tener "llamantes" y líneas rojas en los logs en breve.

Con respecto al NAT, veo que ha quedado de cine, pero me gustaría comentarte algo sobre esta regla
Código: 
/ip firewall nat
add action=dst-nat chain=dstnat comment=LM disabled=yes dst-address-list=\
    public-ip dst-port=52200 protocol=tcp to-addresses=192.168.2.205 to-ports=\
    443

Te diría que le dieras la vuelta. Es decir, de cara a fuera, usa el 443, tal que tú puedas hacer https://midominio.com y llegar al chisme en cuestión. Es más, si tienes un NAS y está siempre encendido, te diría que configures el 443 para que apunte al puerto de admin del NAS y luego, dentro del mismo (¿qué modelo es, a todo esto?) crees una entrada en el proxy reverso para llegar a ese servicio por HTTPS, incluso si el servicio en sí sólo expone http, que es la gracia del proxy reverso. Si tienes un Synology dime, que te digo rápido cómo se haría. Así matas dos pájaros de un tiro: expones por https la web admin del Synology, que te puede venir bien, y accedes de manera segura a ese servidor "LM"

Por lo demás, muy de acuerdo con @furny, a ver si de aquí sacamos una configuración válida, y sobre todo limpia, para Vodafone, y la documentamos, que creo que teníamos un par de usuarios más interesados en lo mismo.

Saludos!
 
Gracias @pokoyo !

Te respondo,
La VPN ya se que solo puedo acceder por Winbox y al puerto especificado, en su día me dijeron que era mas seguro así y así lo tengo.
Para hacer la configuración VPN por SSTP esta tarde le echo un ojo ya que tengo que salsear que nunca lo he hecho y tengo ya un Router conectado por L2TP.
La regla PPTP del firewall ya la desactive, no se si has visto el código anterior.

En cuanto a lo del NAS, me pierdo un poco con lo que me cuentas.
-Lo primero es un Qnap TS 453-A
-Doy por hecho que el puerto admin del router te refieres a lo que te sale para acceder a la configuración y demas del NAS, es decir la pantalla de usuario para acceder a este. Si habilito el 443 para esto ya no podría usarlo para el Servidor Web (Wordpress por ejemplo) si lo quisiera no? Ya que son puertos diferentes (No creo que lo use de momento y si me dices que es mejor lo hago así)
-No se que es una entrada de proxy reverso, pero me interesaría utilizar el cerfificado gratuito que tengo en mi NAS y apuntar al servidor interno que lo veo mas fificil para acceder por https.

Por otro lado se me olvido aclarar el tema de acceder a los servidores de cada una de las redes de los microtics "Clientes". Lo corrijo arriba.

un Saludo
 
Última edición:
La gracia del proxy reverso es que tú expones por https el proxy reverso (normalmente el NAS u otro webserver dentro de tu red) con un único puerto (normalmente el 443, pero puede ser cualquiera) y de ahí para adentro lo maneja el proxy reverso. Imagina que tu nas tiene el dominio registrado: almacen.myqts.me. Lo primero, sería sacar un certificado de wildcard para ese subdominio como sujeto alternativo, tal que se trague cualquiercosa.almacen.myqts.me (*.almacen.myqts.me). Esto se suele poder hacer desde la consola de admin del NAS, si este usa los certificados de let's encrypt. Una vez hecho, vas a poder crear tantas entradas como quieras para ese subdominio, siendo app1.almacen.myqts.me una entrada válida y certificada por la cadena SSL del certificado de let's encrypt. Con eso hecho, te irías a dar de alta la entrada del proxy reverso, tal que así:

protocolo: htttps
host: lm.almacen.myqts.me
puerto: 443

redirige a:

protocolo: http
host: 192.168.2.205
puerto: 80 (o el que sea que exponga ese servicio)

y voliá, cuando hagas https://lm.almacen.myqts.me, llegarás al login del servicio en cuestión, sin haber abierto más que un único puerto, el 443 para el NAS.

Desconozco si existe esa aplicación en los NAS de QNAP, hace mucho tiempo que no tengo uno. Pero en Synology existe, y puesto que se copian entre ellos, no me extrañaría que tengas una APP dentro de la tienda de QNAP que haga lo mismo. Si no lo tienes, plantéate montar esto en una raspberry pi o similar, porque es probablemente la mejor protección que puedes implementar, además de una VPN, para exponer servicios web a internet (siempre y cuando protegas debidamente el proxy reverso, claro)

Saludos!
 
Vaya!. Se nos ha vuelto a atascar el asunto, pero no sé muy bien por qué. Bueno. Tienes un error, pero no debería influir. Fíjate en el pool que has puesto:
DavidGrandes dijo:
/ip pool add name=LAN-Pool ranges=192.168.2.15-192.168.2.20
Haz clic para expandir...
Debería ser el anterior que pusiste, comprendiendo el que asignaba al TIVO:

/ip pool
add name=LAN-Pool ranges=192.168.2.20-192.168.2.150

De todas formas, las cosas últimas que le hemos puesto y quitado y vuelto a poner no deberían tener una influencia clara. Te sugiero lo siguiente: que tras modo¡oficiar el pool, hagas reboot al router con el TIVO apagado y desenchufado. Cuando vuelva a la vida el router, haces los pasos a)-d) del mensaje anterior, para que el TIVO pille bien la dirección. Y ten paciencia: puede tardar un rato desde que se ponga en marcha el TIVO hasta que se conecte al servidor de video de Vodafone y reconozca. Y compraba que efectivamente el TIVO ha pillado la dirección 192.168.2.251 (eso lo ves tanto en el propio TIVO, en el menú de configuración, creo; y en el router, en /ip dhcp-server lease print detail en el parámetro "active-address").

Lo de la apertura del NAT para TIVO:
DavidGrandes dijo:
De todas formas no sería mas facil hacer la configuración para la boca eth10 en vez de para una IP
Haz clic para expandir...
No. No puede hacerse. La regla dst-nat exige una dirección o un numero de puerto, pero de protocolo. No vale una interfaz.

No creo que esté influyendo la regla NAT, pero si ves que no te funciona la IPTV, prueba a deshabilitarla temporalmente:
add action=dst-nat chain=dstnat dst-address-type=local in-interface=TIVO to-addresses=192.168.2.251 \ disable=yes

Pero me parece muy raro que anteriormente te funcionara y ahora no. Si influyera lo de la regla NAT, solo se me ocurre que, de alguna forma, Vodafone esté detectando que no está con su router oficial conectado (sería cuestión de clonar las MAC, pero eso lo vemos después, si acaso).

Fíjate en las rutas que se está generando, a ver si están correctas. Míralo en:
/ip routes

Hay otra cosa que me mosquea, pero estaba desde la primera configuración tuya y dices que te funcionaba, lo cual es muy raro. Es esto:

/interface bridge port
add bridge=LAN-Bridge interface=ether10 multicast-router=disabled

...y dices que el TIVO lo tienes conectado al puerto ether10, ¿no?. Pues bien, al poner multicast-router=disabled, no es que parezca que vaya tener un gran efecto en el router mismo, pero lo que le estás diciendo es que las adhesiones desde el TIVO a los canales de IPTV (IGMP membership reports), que van por el protocolo IGMP, NO se las envíe al propio bridge (que es el que recibe y reenvía los canales multicast, según las reglas de activación del IGMP-proxy, más abajo). Esto no me cuadra. En principio, debería estar así con el valor por defecto, o sea:
add bridge=LAN-Bridge interface=ether10 multicast-router=temporary-query Que es lo suyo. Es decir, las peticiones de adhesión a un canal de IPTV desde el TIVO se envían al bridge y este lo reenvía al servidor de Vodafone a través de la vlan 105 (tivo). Si el bridge fuera uno diferente del que está colgando el IGMP-proxy, me daría lo mismo, pero como es el mismo, me chirría. No sé si me explico...
Si antes te funcionaba y ahora no, con la regla NAT, puede ser lo que te digo, que algo no le cuadra a Vodafone y lo detecta de alguna forma. Vamos a ir probando, hasta que todo encaje.


Ánimo que estamos cerca de lograrlo!. Ya me dices.

Lo de la VPN, ahora lo entiendo. Pero mejor yo no me meto: mejor sigue las indicaciones de @pokoyo, que es el experto.


Suerte!!!
 
Última edición:
Nada...

He probado lo que me has dicho, esperando mientras comía a que coja los datos pero sigue sin funcionar. De hecho, si pongo la IP fija en la 192.168.2.25 (por ejemplo), tiene salida a internet la tele (sin funcionar VOD), pero en la IP 192.168.2.251 ni siquiera tiene salida a internet y no se ve ni la IPTV, esto no lo llego a entender...
He deshabilitado la regla NAT y lo mismo.
Cuando me hablas del multicast me pierdo un poco. He hecho lo que me has dicho en la interfaz eth10 e igual.

Por otro lado he estado probando lo que me dices @pokoyo con respecto a lo del proxy reverso y aun que me ha costado creo que lo he conseguido (a traves de dockers). He seguido los pasos de un tutorial que he encontrado y modificando unas cosas parece que funciona.
-Al principio decía de crear un servidor dns para resolver la dns pero teniendo Namecheap como servidor de dominio creo que no es necesario, ya que este me lo resuelve.
-He instalado traefik en un docker y he conseguido que redirigiendo mydominio.com (puerto 443) al puerto interno del nas de traefic (40443), este me redirige a mi servidor LM.

Y lo de la VPN la verdad es lo que mas me interesaría resolver :). Dentro de lo que cabe, la VOD la verdad apenas uno, teniendo Netflix y demas... xd.

Os pongo el codigo:

Código: 
# mar/12/2021 17:26:04 by RouterOS 6.48.1
# software id = E82L-C64C
#
# model = RB4011iGS+
# serial number =
/interface bridge
add admin-mac=74:4D:28:89:9B:11 auto-mac=no comment=defconf igmp-snooping=yes name=LAN-Bridge
/interface ethernet
set [ find default-name=ether1 ] comment=ISP
set [ find default-name=ether2 ] comment=Switch
set [ find default-name=ether3 ] comment=PC
set [ find default-name=ether5 ] comment=AP
set [ find default-name=ether6 ] comment=LM
set [ find default-name=ether7 ] disabled=yes
set [ find default-name=ether8 ] disabled=yes
set [ find default-name=ether10 ] comment=IPTV
set [ find default-name=sfp-sfpplus1 ] disabled=yes
/interface vlan
add interface=ether1 name=INTERNET vlan-id=100
add interface=ether1 name=TIVO vlan-id=105
/interface pppoe-client
add add-default-route=yes disabled=no interface=INTERNET name=PPPoE-out1 user=USUARIO@vodafone
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/ip dhcp-server option
add code=12 name=TIVO value="'TIVO'"
/ip pool
add name=LAN-Pool ranges=192.168.2.20-192.168.2.150
add name=vpn ranges=10.10.1.1-10.10.1.200
/ip dhcp-server
add address-pool=LAN-Pool disabled=no interface=LAN-Bridge name=DHCP-LAN
/ppp profile
add change-tcp-mss=yes interface-list=LAN local-address=10.10.1.1 name=profile-acceso-router remote-address=vpn use-encryption=yes
set *FFFFFFFE local-address=10.10.1.1 remote-address=vpn
/user group
set full policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,sniff,sensitive,api,romon,dude,tikapp
/interface bridge port
add bridge=LAN-Bridge comment=defconf interface=ether2
add bridge=LAN-Bridge comment=defconf interface=ether3
add bridge=LAN-Bridge comment=defconf interface=ether4
add bridge=LAN-Bridge comment=defconf interface=ether5
add bridge=LAN-Bridge comment=defconf interface=ether6
add bridge=LAN-Bridge comment=defconf interface=ether7
add bridge=LAN-Bridge comment=defconf interface=ether8
add bridge=LAN-Bridge comment=defconf interface=ether9
add bridge=LAN-Bridge comment=defconf interface=sfp-sfpplus1
add bridge=LAN-Bridge interface=ether10
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set enabled=yes use-ipsec=required
/interface list member
add comment=defconf interface=LAN-Bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=PPPoE-out1 list=WAN
/interface sstp-server server
set default-profile=default-encryption
/ip address
add address=192.168.2.1/24 comment=defconf interface=LAN-Bridge network=192.168.2.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add add-default-route=no disabled=no interface=TIVO use-peer-dns=no use-peer-ntp=no
/ip dhcp-server lease
add address=192.168.2.225 client-id=1:cc:9e:a2:62:f2:cc comment="Alexa Yoga" mac-address=CC:9E:A2:62:F2:CC server=DHCP-LAN
add address=192.168.2.222 comment="Alexa Estudio" mac-address=14:91:38:F3:DF:F0 server=DHCP-LAN
add address=192.168.2.221 client-id=1:44:0:49:4d:e4:ab comment="Alexa Salon" mac-address=44:00:49:4D:E4:AB server=DHCP-LAN
add address=192.168.2.224 client-id=1:5c:41:5a:93:bd:85 comment="Alexa Cocina" mac-address=5C:41:5A:93:BD:85 server=DHCP-LAN
add address=192.168.2.13 client-id=1:44:85:0:30:1e:61 comment="PC Curro" mac-address=44:85:00:30:1E:61 server=DHCP-LAN
add address=192.168.2.231 comment="Xiaomi Vacuum" mac-address=40:31:3C:A2:E3:3B server=DHCP-LAN
add address=192.168.2.145 client-id=1:7c:d5:66:b8:e7:90 comment=Despertador mac-address=7C:D5:66:B8:E7:90 server=DHCP-LAN
add address=192.168.2.232 client-id=1:e8:f2:e2:ab:ea:39 comment="TV Salon" mac-address=E8:F2:E2:AB:EA:39 server=DHCP-LAN
add address=192.168.2.11 client-id=1:b8:ac:6f:9d:62:d6 comment="PC Estudio" mac-address=B8:AC:6F:9D:62:D6 server=DHCP-LAN
add address=192.168.2.12 client-id=1:ea:f2:30:ce:22:b6 comment="Movil David" mac-address=EA:F2:30:CE:22:B6 server=DHCP-LAN
add address=192.168.2.251 client-id=1:20:9a:7d:72:48:a0 comment=TIVO mac-address=20:9A:7D:72:48:A0 server=DHCP-LAN
/ip dhcp-server network
add address=192.168.2.0/24 comment=defconf gateway=192.168.2.1 netmask=24
add address=192.168.2.251/32 dhcp-option=TIVO gateway=192.168.2.1 netmask=29
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip dns static
add address=192.168.2.1 comment=defconf name=router.lan
/ip firewall address-list
add address=b8f60a38c7a4.sn.mynetname.net list=public-ip
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=input comment="Accept TIVO traffic" in-interface=TIVO
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=accept chain=forward in-interface-list=LAN
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=set-priority chain=postrouting new-priority=4 out-interface=TIVO
add action=set-priority chain=postrouting new-priority=0 out-interface=PPPoE-out1
/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=192.168.2.0/24 src-address=192.168.2.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=10.10.1.0/24
add action=masquerade chain=srcnat comment="TIVO masquerade" out-interface=TIVO
add action=dst-nat chain=dstnat disabled=yes dst-address-type=local in-interface=TIVO to-addresses=192.168.2.251
add action=dst-nat chain=dstnat comment=NAS disabled=yes dst-address-list=public-ip dst-port=52151 log=yes log-prefix="Conexi\F3n NAS" protocol=tcp to-addresses=192.168.2.201
add action=dst-nat chain=dstnat comment="Solamente para instalar los certificados Lets Encrypt" dst-address-list=public-ip dst-port=80 protocol=tcp to-addresses=192.168.2.201 to-ports=40080
add action=dst-nat chain=dstnat comment="Solamente para instalar los certificados Lets Encrypt" dst-address-list=public-ip dst-port=443 protocol=tcp to-addresses=192.168.2.201 to-ports=40443
add action=dst-nat chain=dstnat comment=Plex dst-address-list=public-ip dst-port=32400 protocol=tcp to-addresses=192.168.2.201
add action=dst-nat chain=dstnat comment=LM disabled=yes dst-address-list=public-ip dst-port=52200 protocol=tcp to-addresses=192.168.2.205 to-ports=443
/ip route
add distance=1 dst-address=10.8.57.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.8.58.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.8.59.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.10.2.0/24 gateway=10.10.1.2
add distance=1 dst-address=10.15.220.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.179.32.0/23 gateway=TIVO pref-src=10.214.13.28
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set winbox port=8299
set api-ssl disabled=yes
/ppp secret
add name=David profile=profile-acceso-router service=l2tp
add local-address=10.10.1.1 name=Cliente_2 profile=default-encryption remote-address=10.10.1.2 service=l2tp
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=TIVO upstream=yes
add interface=LAN-Bridge
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=D_Router
/system scheduler
add interval=15s name="Mikrotik Despierto" on-event="{\r\
    \n/tool fetch url=\"http://remote:AAaa1111@192.168.2.205/scada-remote\" http-data=\"m=json&r=grp&fn=write&alias=34/3/51&value=1\" http-method=post as-value output=user; \t \r\
    \n}" policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon start-date=nov/16/2019 start-time=13:44:56
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Gracias por todo!!
 
Debes estar conectado o registrado para responder aquí.

Similar threads

G
Home Assistant, DuckDNS y Mikrotik ¿un problema?
Respuestas
9
Visitas
726
generalpirata
D
Dudas hAP ax3
Respuestas
17
Visitas
760
pokoyo
DavidGrandes
Restringir puerto
Respuestas
6
Visitas
484
DavidGrandes
leptismame
Acceder a máquina virtual creada en unraid
Respuestas
2
Visitas
445
Emulero
OrZ88
HAIRPIN NAT y SSL Let's Encrypt- Algo se me escapa
Respuestas
6
Visitas
517
pokoyo
Arriba