IPTV Vodafone en Mikrotik

Vale, por refrescarme la memoria, ¿qué te pasa con la VPN? ¿Es a nivel local o la que tienes montada para las otras localizaciones que se conectan a ti la que te falla?

Saludos!
 
Te resumo:
- Los Mikrotik remotos se conectan al mio sin problema, y yo puedo acceder a los dispositivos de estas redes tanto de mi red local como conectado con mi usuario "David" a la VPN.
- Desde mi red local puedo acceder por Winbox tanto a mi Mikrotik local como al mikrotik remoto pero desde la VPN no puedo, y veo que cuando me conecto a la VPN, mi usuario L2TP se mete dinamicamente en la lista de interfaces "LAN", no se que falla.
- Me gustaría saber la mejor forma de distribuir esta red VPN (lo que pregunte en el mensaje anterior):
En cuanto a la VPN Te explico con una imagen mejor:

Red VPN.png


Como ves ahi tengo la red VPN 10.10.1.0/24 para dar IPs a los diferentes dispositivos, Mikrotiks clientes y yo como administrador. Y en cada Mikrotik tengo la red correspondiente. Para mantener un orden si el cliente VPN es la 10.10.1.2 la red LAN de este es la 10.10.2.0/24 y así sucesivamente. Esto lo he hecho sin tener a penas conocimientos sobre redes y no se si estaría bien hecho, si todos pueden apuntar a la IP 10.10.1.1 de mi router, etc....
Si estuviera bien podría extrapolarlo a las IPs 192.168.10.0/24 para la red VPN, clientes 192.168.10.x y LAN interna 192.168.1x.0/24
Y por ultimo me gustaría saber la mejor forma para dar servicio a un Servidor Web de la red de uno de los microtiks clientes accediendo a traves de mi dominio. Esto sería peligroso para mi red? Es decir, si pone el cliente 2 https://midominio.com:100002 que le redirija a https://10.10.2.200 (servidor web interno). No pregunto como hacerlo con subdominio por que si quiero dar acceso a varios supongo que sería mas trabajo a la hora de crear todos esos subdominios. (Tendría que valorarlo).

Un Saludo
 
Yo el servidor web lo montaría en el proxy reverso. Suponiendo que tu dominio es "pericopalotes.com", montaría algo así como https://web.pericopalotes.com en el nginx, y lo mandaría a la IP del equipo que lleve ese servicio. No obstante, si el resto de equipos dependientes del tuyo están conectados directamente a internet, miraría exponer ese servicio directamente allí. Más que porque sea un problema de seguridad, porque vas a hacer que ese tráfico pase por la VPN, y dependiendo de la "chicha" que reciba esa web, puede ser pesado.

Con respecto a la VPN, vamos a centrarnos en el problema de que tú, cuando conectas con el usuario "David", no llegas por winbox al router. ¿Es ese el problema, verdad? ¿te importa pasarme un export de cómo tienes ahora mismo la config? por no basarme en uno de los que has subido recientemente y que no sea exáctamente lo que tienes ahora mismo.

Con respecto a la distribución de VPN's, lo que te comentaba, miraría moverlas a SSTP, que se comporta muy bien entre equipos mikrotik (elige otro puerto que no sea el 443, si ese lo expones para https). Tienes varios vídeos en internet, busca "site-to-site mikrotik sstp" y mírate alguno, que te dará una idea. Pero vamos, que lo que tienes montado funciona, y lo puedes dejar así también si ya lo tienes y estás contento con el resultado.

Saludos!
 
Aquí mi export actual:

Código:
# mar/12/2021 18:24:54 by RouterOS 6.48.1
# software id = E82L-C64C
#
# model = RB4011iGS+
# serial number =
/interface bridge
add admin-mac=74:4D:28:89:9B:11 auto-mac=no comment=defconf igmp-snooping=yes name=LAN-Bridge
/interface ethernet
set [ find default-name=ether1 ] comment=ISP
set [ find default-name=ether2 ] comment=Switch
set [ find default-name=ether3 ] comment=PC
set [ find default-name=ether5 ] comment=AP
set [ find default-name=ether6 ] comment=LM
set [ find default-name=ether7 ] disabled=yes
set [ find default-name=ether8 ] disabled=yes
set [ find default-name=ether10 ] comment=IPTV
set [ find default-name=sfp-sfpplus1 ] disabled=yes
/interface vlan
add interface=ether1 name=INTERNET vlan-id=100
add interface=ether1 name=TIVO vlan-id=105
/interface pppoe-client
add add-default-route=yes disabled=no interface=INTERNET name=PPPoE-out1 user=USUARIO@vodafone
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/ip dhcp-server option
add code=12 name=TIVO value="'TIVO'"
/ip pool
add name=LAN-Pool ranges=192.168.2.20-192.168.2.150
add name=vpn ranges=10.10.1.1-10.10.1.200
/ip dhcp-server
add address-pool=LAN-Pool disabled=no interface=LAN-Bridge name=DHCP-LAN
/ppp profile
add change-tcp-mss=yes interface-list=LAN local-address=10.10.1.1 name=profile-acceso-router remote-address=vpn use-encryption=yes
set *FFFFFFFE local-address=10.10.1.1 remote-address=vpn
/user group
set full policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,sniff,sensitive,api,romon,dude,tikapp
/interface bridge port
add bridge=LAN-Bridge comment=defconf interface=ether2
add bridge=LAN-Bridge comment=defconf interface=ether3
add bridge=LAN-Bridge comment=defconf interface=ether4
add bridge=LAN-Bridge comment=defconf interface=ether5
add bridge=LAN-Bridge comment=defconf interface=ether6
add bridge=LAN-Bridge comment=defconf interface=ether7
add bridge=LAN-Bridge comment=defconf interface=ether8
add bridge=LAN-Bridge comment=defconf interface=ether9
add bridge=LAN-Bridge comment=defconf interface=sfp-sfpplus1
add bridge=LAN-Bridge interface=ether10
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set enabled=yes use-ipsec=required
/interface list member
add comment=defconf interface=LAN-Bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=PPPoE-out1 list=WAN
/interface sstp-server server
set default-profile=default-encryption
/ip address
add address=192.168.2.1/24 comment=defconf interface=LAN-Bridge network=192.168.2.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add add-default-route=no disabled=no interface=TIVO use-peer-dns=no use-peer-ntp=no
/ip dhcp-server lease
add address=192.168.2.225 client-id=1:cc:9e:a2:62:f2:cc comment="Alexa Yoga" mac-address=CC:9E:A2:62:F2:CC server=DHCP-LAN
add address=192.168.2.222 comment="Alexa Estudio" mac-address=14:91:38:F3:DF:F0 server=DHCP-LAN
add address=192.168.2.221 client-id=1:44:0:49:4d:e4:ab comment="Alexa Salon" mac-address=44:00:49:4D:E4:AB server=DHCP-LAN
add address=192.168.2.224 client-id=1:5c:41:5a:93:bd:85 comment="Alexa Cocina" mac-address=5C:41:5A:93:BD:85 server=DHCP-LAN
add address=192.168.2.13 client-id=1:44:85:0:30:1e:61 comment="PC Curro" mac-address=44:85:00:30:1E:61 server=DHCP-LAN
add address=192.168.2.231 comment="Xiaomi Vacuum" mac-address=40:31:3C:A2:E3:3B server=DHCP-LAN
add address=192.168.2.145 client-id=1:7c:d5:66:b8:e7:90 comment=Despertador mac-address=7C:D5:66:B8:E7:90 server=DHCP-LAN
add address=192.168.2.232 client-id=1:e8:f2:e2:ab:ea:39 comment="TV Salon" mac-address=E8:F2:E2:AB:EA:39 server=DHCP-LAN
add address=192.168.2.11 client-id=1:b8:ac:6f:9d:62:d6 comment="PC Estudio" mac-address=B8:AC:6F:9D:62:D6 server=DHCP-LAN
add address=192.168.2.12 client-id=1:ea:f2:30:ce:22:b6 comment="Movil David" mac-address=EA:F2:30:CE:22:B6 server=DHCP-LAN
add address=192.168.2.251 client-id=1:20:9a:7d:72:48:a0 comment=TIVO mac-address=20:9A:7D:72:48:A0 server=DHCP-LAN
/ip dhcp-server network
add address=192.168.2.0/24 comment=defconf gateway=192.168.2.1 netmask=24
add address=192.168.2.251/32 dhcp-option=TIVO gateway=192.168.2.1 netmask=29
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip dns static
add address=192.168.2.1 comment=defconf name=router.lan
/ip firewall address-list
add address=b8f60a38c7a4.sn.mynetname.net list=public-ip
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=input comment="Accept TIVO traffic" in-interface=TIVO
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=accept chain=forward in-interface-list=LAN
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=set-priority chain=postrouting new-priority=4 out-interface=TIVO
add action=set-priority chain=postrouting new-priority=0 out-interface=PPPoE-out1
/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=192.168.2.0/24 src-address=192.168.2.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=10.10.1.0/24
add action=masquerade chain=srcnat comment="TIVO masquerade" out-interface=TIVO
add action=dst-nat chain=dstnat disabled=yes dst-address-type=local in-interface=TIVO to-addresses=192.168.2.251
add action=dst-nat chain=dstnat comment=NAS disabled=yes dst-address-list=public-ip dst-port=52151 log=yes log-prefix="Conexi\F3n NAS" protocol=tcp to-addresses=192.168.2.201
add action=dst-nat chain=dstnat comment="Solamente para instalar los certificados Lets Encrypt" dst-address-list=public-ip dst-port=80 protocol=tcp to-addresses=192.168.2.201 to-ports=40080
add action=dst-nat chain=dstnat comment="Solamente para instalar los certificados Lets Encrypt" dst-address-list=public-ip dst-port=443 protocol=tcp to-addresses=192.168.2.201 to-ports=40443
add action=dst-nat chain=dstnat comment=Plex dst-address-list=public-ip dst-port=32400 protocol=tcp to-addresses=192.168.2.201
add action=dst-nat chain=dstnat comment=LM disabled=yes dst-address-list=public-ip dst-port=52200 protocol=tcp to-addresses=192.168.2.205 to-ports=443
/ip route
add distance=1 dst-address=10.8.57.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.8.58.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.8.59.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.10.2.0/24 gateway=10.10.1.2
add distance=1 dst-address=10.15.220.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.179.32.0/23 gateway=TIVO pref-src=10.214.13.28
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set winbox port=8299
set api-ssl disabled=yes
/ppp secret
add name=David profile=profile-acceso-router service=l2tp
add local-address=10.10.1.1 name=Cliente_2 profile=default-encryption remote-address=10.10.1.2 service=l2tp
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=TIVO upstream=yes
add interface=LAN-Bridge
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=D_Router
/system scheduler
add interval=15s name="Mikrotik Despierto" on-event="{\r\
    \n/tool fetch url=\"http://remote:AAaa1111@192.168.2.205/scada-remote\" http-data=\"m=json&r=grp&fn=write&alias=34/3/51&value=1\" http-method=post as-value output=user; \t \r\
    \n}" policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon start-date=nov/16/2019 start-time=13:44:56
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

En cuanto a la estructura de la VPN la ves bien asi? Cambiando eso si el 10.10.1.x por 192.168.10.x y las redes 10.10.x.0/24 por 192.168.1x.0/24.
O hay alguna manera mas facil de hacerlo y pudiendo dejar todas las redes internas de los Mikrotiks iguales? Me suena que habia una forma de hacerlo a traves de proxy o asi. Puede ser? O es mas lioso?

Un Saludo
 
Veo alguna cosilla rara en la configuración de la VPN, te comento. Aparte, lo que dices, muévelas mejor a un segmento /24 más común, que el 10.x.y.z lo suelen usar los operadores para cosas como las que ves, tipo TV.
Supongamos, por ejemplo, que vamos a configurar la VPN en el 192.168.50.1/24

Lo primero, el pool lo tienes mal creado. No metas el propio equipo (192.168.50.1) dentro del pool. Normalmente el pool iría desde la dirección 2 en adelante. Y, como sospecho que los equipos que van a hacer el site-to-site los quieres tener siempre localizados, vamos a crear el pool del 10 en adelante, reservando los primeros números para los remotos que sean routers, en lugar de clientes normales.
Código:
/ip pool
add name=vpn ranges=192.168.50.10-192.168.50-254

Primero el perfil por defecto. Este lo vamos a usar para un acceso general, sin acceso al router (el propio default-encryption)
Código:
/ppp profile
set *FFFFFFFE local-address=192.168.50.1 remote-address=vpn

Luego el tuyo propio, el que irá asociado a David
Código:
/ppp profile
add change-tcp-mss=yes interface-list=LAN local-address=192.168.50.1 name=\
    profile-acceso-david remote-address=vpn use-encryption=yes

Si quieres, puedes crear perfiles específicos para los routers remotos. Así te evitas tener que definir el remote-address en los usuarios. Esos equipos tendrán acceso a los recursos de la red del router principal, pero no al propio router en sí. Por ejemplo:

Código:
/ppp profile
add change-tcp-mss=yes local-address=192.168.50.1 name=\
    profile-acceso-router-2 remote-address=192.168.50.2 use-encryption=yes
add change-tcp-mss=yes local-address=192.168.50.1 name=\
    profile-acceso-router-3 remote-address=192.168.50.3 use-encryption=yes
add change-tcp-mss=yes local-address=192.168.50.1 name=\
    profile-accceso-router-4 remote-address=192.168.50.4 use-encryption=yes

Y ahora los usuarios para cada router que se conecte, además del tuyo propio. Como ya tenemos creados sus propios perfiles, simplemente los referenciamos, en lugar de cambiar sobre el usuario las propiedades del perfil:
Código:
/ppp secret
add name=david password=aaaa profile=profile-acceso-david service=l2tp
add name=router-2 password=bbbb profile=profile-acceso-router-2 service=l2tp
add name=router-3 password=cccc profile=profile-acceso-router-3 service=l2tp
add name=router-4 password=dddd profile=profile-acceso-router-4 service=l2tp
# Este último para un acceso de un invitado, usará el perfil por defecto "default-encryption"
add name=invitado password=fffff service=l2tp

Y habilitamos el servidor de L2TP con IPSec. Forzamos mschap2 e ipsec, y le damos un valor al secreto ipsec
Código:
/interface l2tp-server server
set authentication=mschap2 enabled=yes ipsec-secret=zzzzz use-ipsec=yes

Por último, veo que tienes una ruta de la VPN metida a manija. Bórrala, por si es eso lo que te está dando guerra, es esta línea: /ip route add distance=1 dst-address=10.10.2.0/24 gateway=10.10.1.2

Por lo demás, lo veo todo bien. Cuando vayas a conectar usando winbox, acuérdate que le tienes modificado el puerto por defecto en IP > Serivice, y que lo tienes configurado en el puerto 8299. También puedes probar a habilitar momentáneamente el servicio web y mirar si llegas a la IP local del equipo, 192.168.2.1

Saludos!
 
Perfecto, creo que lo tengo todo claro.
2 apuntes.
- Los routers clientes no quiero que tengan acceso a la red de mi router (el principal), solo a la suya.
- No me mencionas las redes internas de cada router. Creo que por eso es el /ip route add distance=1 dst-address=10.10.2.0/24 gateway=10.10.1.2 si no me equivoco. Con lo que me has dicho como accedo a cada dispositivo de interno de los routers clientes?
Antes si el router cliente era el 10.10.2.1, el dhcp que daba este a su red propia era 10.10.2.0/24 y yo tenia acceso a cada dispositivo interno.

Un Saludo
 
Los routers clientes no quiero que tengan acceso a la red de mi router (el principal), solo a la suya.
Um.. vale. En ese caso, ¿no te convendría montar el túnel al revés, uno por cada equipo?

No me mencionas las redes internas de cada router. Creo que por eso es el /ip route add distance=1 dst-address=10.10.2.0/24 gateway=10.10.1.2 si no me equivoco. Con lo que me has dicho como accedo a cada dispositivo de interno de los routers clientes?
Correcto, ahora entiendo el porqué de esa ruta. Como te he dicho antes, lo mismo te interesa darle la vuelta a la tortilla. ¿qué requisitos tienen esas subredes, con respecto a la principal? normalmente, cuando unes sedes en un site-to-site buscas compartir los recursos de ambas redes, bidireccionalmente. Si no te interesa, podemos meter las IP's de destino en una lista y hacer un drop en el chain de forward del router principal, y así no verían tu red. Pero es casi más sencillo, dado que tienes el equipo más pepino, que si lo único que necesitas es un acceso esporádico a esa subred, crees los servidores VPN allí, y tú te conectes cuando lo necesites levantando la conexión desde el 4011.

Saludos!
 
He probado lo que me has dicho, esperando mientras comía a que coja los datos pero sigue sin funcionar. De hecho, si pongo la IP fija en la 192.168.2.25 (por ejemplo), tiene salida a internet la tele (sin funcionar VOD), pero en la IP 192.168.2.251 ni siquiera tiene salida a internet y no se ve ni la IPTV, esto no lo llego a entender...
He deshabilitado la regla NAT y lo mismo
Vaya, se resiste. Bueno. Pues puede que esté necesitando a la vez las dos vlan. Vamos a hacer entonces lo siguiente: le vas a poner estática la dirección dentro del rango de la LAN normal, por ejemplo, con la que te funcionaba antes: 192.168.2.129. Para ello, ya sabes: repites los pasos a) - d) del mensaje anterior, y esperas a que pille el TIVO esa dirección, asegurándote de ello. PERO no vamos a tocar el DHCP, ni nada mas de lo que tenías en la última configuración, para que quede dentro de ese rango, ¿vale?.

Y la regla dst-nat, ahora deberá apuntar a 192.168.2.129:
add action=dst-nat chain=dstnat dst-address-type=local in-interface=TIVO to-addresses=192.168.2.251 \ disable=yes

pruébalo habilitada y deshabilitada, ver. Y mira las rutas que aparecen.

A ver si ahora hay suerte. Ya me dices.

P.D. multicast es la forma en que se transmiten habitualmente los canales de IPTV (pero NO el programa en VOD). En nivel 4 de protocolos se puede emitir en unicast (las conexiones normales), broadcast (se usar para control, para pedir un servicio, etc) y multicast, para difusión de programas de video, o sea los de la tele normal. Ahí varios dispositivos solicitan adherirse o suscribirse a una emisión, y desde el IGMP-proxy se envía el mismo flujo de paquetes a los diferentes suscriptores.

Suerte !!!
 
Buenas,

@pokoyo el caso es que este router esta montado para la Domótica y esta por debajo del router principal. Quería montar algo sencillo para poder dar un servicio técnico a la red y aprovechar y dar acceso al servidor sin tener que andar abriendo puertos en su router por si el día de mañana cambian de router. No se si me estoy complicando la vida...

El trafico de estos servidores es muy pequeño, solo es para controlar la domótica y no tiene mucha carga en principio.

Lo de la tele a ver si lo pruebo y te digo algo @furny

Un Saludo
 
Buenas,

@pokoyo el caso es que este router esta montado para la Domótica y esta por debajo del router principal. Quería montar algo sencillo para poder dar un servicio técnico a la red y aprovechar y dar acceso al servidor sin tener que andar abriendo puertos en su router por si el día de mañana cambian de router. No se si me estoy complicando la vida...

El trafico de estos servidores es muy pequeño, solo es para controlar la domótica y no tiene mucha carga en principio.

Lo de la tele a ver si lo pruebo y te digo algo @furny

Un Saludo
Vale. Ya me dices.

Otra cosa adicional que puedes probar, si no te sale, es clonar las MACs del Sercomm. Toma la MAC de la WAN y se la pones al puerto wan de tu MT (ether1), y el MAC del bridge, o lado LAN del Sercomm, al LAN-Bridge. Veo que ya le has asignando una MAC a tu bridge, pero fíjate que sean esas.

Suerte!!!
 
Buenas,

@pokoyo el caso es que este router esta montado para la Domótica y esta por debajo del router principal. Quería montar algo sencillo para poder dar un servicio técnico a la red y aprovechar y dar acceso al servidor sin tener que andar abriendo puertos en su router por si el día de mañana cambian de router. No se si me estoy complicando la vida...

El trafico de estos servidores es muy pequeño, solo es para controlar la domótica y no tiene mucha carga en principio.

Lo de la tele a ver si lo pruebo y te digo algo @furny

Un Saludo
No acabo de entender el rol de esos routers “clientes” adicionales al tuyo. ¿Son routers que están haciendo de router de borde en sus respectivas redes, o son meros switches con la función de vpn? ¿Te interesa tenerlos a todos en el mismo dominio de broadcast, como veo que lo estás planteando? Si el todos los equipos son tuyos y quieres una única red, te aconsejo montar túneles EoIP, y que todo el dominio de broadcast este en el router padre, el tuyo.

Saludos!
 
Buenas @pokoyo.
Te comento,
Estos dispositivos no son míos, sería una solución para dar a mis clientes y venderles el pack de la domótica con acceso desde el exterior. Ahora mismo hay un router mikrotik por debajo de su router de la compañía, el Mikrotik esta funcionando como punto de acceso Wifi y servidor DHCP para dar servicio a todos los dispositivos dentro de la domótica y quiero que funcione de forma autonoma por si el principal cae por lo que sea siga funcionando (a falta del acceso desde el exterior ya que depende del principal).
Lo que quiero es eso, que puedan tener acceso desde el exterior a una de estas IP's que están por debajo del Mikrotik "Cliente" y había pensado hacerlo a través de mi mikrotik principal para no tener que abrir puertos en su router de la compañía.

A parte de esto, tenia una duda a cerca de la falta de seguridad de tener un puerto 80 abierto. La seguridad depende del puerto? O del dispositivo que esta por debajo de ese puerto abierto? Es decir, si yo abro un puerto a una IP en concreto, y esa IP no existe? Hay peligro? O si abro a un servidor Web que esta preparado para eso? para funcionar solo como servidor Web? la seguridad dependería de la que tenga ese dispositivo no?

El esquema creo que sería algo así:


Esquema Mikrotik.png


No se si me he explicado mejor...

Un Saludo
 
Vale, te has explicado perfectamente ahora. Ya sé qué tipo de infraestructura tienes y qué pretendes hacer. Le doy una pensada más despacito y te digo cómo lo haría yo.

Con respecto al puerto 80, lo que tienes que tener cuidado es con lo que hay detrás, obviamente. En sí el puerto no tiene ninguna otra diferencia de ningún otro, pero al ser el puerto por defecto del protocolo http, va a ser el primero que escanee un sniffer o cualquier otra herramienta que busque agujeros de seguridad en tu red. Visto que está abierto, lo siguiente que hará será tirarle una petición y ver las cabeceras de respuesta, a ver si con suerte el webserver que tengas detrás, si es que lo hay, responda con "oye, mira soy un apache, y en tal versión" o "mira, aquí un nginx en tal otra". Acto seguido, sabiendo qué tienes detrás y en qué versión (obviamente no es tan sencillo, pero desde luego tampoco es complejo), irán en busca de las vulnerabilidades conocidas para ese software en esa versión, tirando de la famosa base de datos de CVE's. Si reconocen una vulnerabilidad que no ha sido corregida, ahí intentarán atacarla. Si esa máquina está en una DMZ (una subred aislada y sin comunicación con la red principal; la red principal sí puede llegar a la DMZ, pero la DMZ jamás debe llegar a ver la red principal) y cae, no hay problema, porque sólo cae esa. Pero si está dentro de tu red y cae, "la jodimos tía Paca", porque ya están dentro de tu red y pueden seguir haciendo malicias con el resto de equipos adyacentes. Por esa razón hay que pensárselo dos veces antes de exponer un webserver y, de hacerlo, tomar las medidas de precaución oportunas. Si te interesa más el tema, aquí tienes unos dibujos muy ilustrativos donde se explica el proqué de dicho setup, tanto con un firewall sencillo, como con un front/back firewall: https://www.incibe.es/protege-tu-empresa/blog/dmz-y-te-puede-ayudar-proteger-tu-empresa

Saludos!
 
Vale, te has explicado perfectamente ahora. Ya sé qué tipo de infraestructura tienes y qué pretendes hacer. Le doy una pensada más despacito y te digo cómo lo haría yo.

Con respecto al puerto 80, lo que tienes que tener cuidado es con lo que hay detrás, obviamente. En sí el puerto no tiene ninguna otra diferencia de ningún otro, pero al ser el puerto por defecto del protocolo http, va a ser el primero que escanee un sniffer o cualquier otra herramienta que busque agujeros de seguridad en tu red. Visto que está abierto, lo siguiente que hará será tirarle una petición y ver las cabeceras de respuesta, a ver si con suerte el webserver que tengas detrás, si es que lo hay, responda con "oye, mira soy un apache, y en tal versión" o "mira, aquí un nginx en tal otra". Acto seguido, sabiendo qué tienes detrás y en qué versión (obviamente no es tan sencillo, pero desde luego tampoco es complejo), irán en busca de las vulnerabilidades conocidas para ese software en esa versión, tirando de la famosa base de datos de CVE's. Si reconocen una vulnerabilidad que no ha sido corregida, ahí intentarán atacarla. Si esa máquina está en una DMZ (una subred aislada y sin comunicación con la red principal; la red principal sí puede llegar a la DMZ, pero la DMZ jamás debe llegar a ver la red principal) y cae, no hay problema, porque sólo cae esa. Pero si está dentro de tu red y cae, "la jodimos tía Paca", porque ya están dentro de tu red y pueden seguir haciendo malicias con el resto de equipos adyacentes. Por esa razón hay que pensárselo dos veces antes de exponer un webserver y, de hacerlo, tomar las medidas de precaución oportunas. Si te interesa más el tema, aquí tienes unos dibujos muy ilustrativos donde se explica el proqué de dicho setup, tanto con un firewall sencillo, como con un front/back firewall: https://www.incibe.es/protege-tu-empresa/blog/dmz-y-te-puede-ayudar-proteger-tu-empresa

Saludos!

Perfecto! Me queda mas claro.

Teniendo esto en cuenta el NAS tiene que tener acceso a la red para poder redireccionar con el proxy inverso a los diferentes servidores. Entiendo que de esta forma estaría poniendo al NAS en el punto de mira, o mas bien al traefic que es el proxy.
Hay alguna forma de protegerse en el Mikrotik de estos ataques? Bloquear IP´s que intenten atacar este puerto?

Espero a que me digas lo de la VPN.

Muchas gracias!!

Un Saludo
 
Buenas compi!

te escribo para decirte que no me he olvidado de ti, pero tengo una semana de curro completita y no voy a poder meterme con esto hasta el fin de semana, probablemente ya para el domingo. No obstante, te cuento lo que tengo en la cabeza, para que lo vayas dando una vuelta, a ver si te encaja.
  • Yo no pondría tu 4011 como frontal para el acceso vpn de los clientes, no me parece seguro (tengo que probarlo aún) de cara a que un usuario pueda tener potencialmente acceso a un segmento de red final que no es el suyo, sino el de otro cliente, si no haces bien el firewall. Incluso a tu propia red. Configuraría una vpn sencilla y muy compatible (L2TP con IPsec) para el acceso personal de tus clientes a sus propios dispositivos domóticos. Y, para no complicarte, el router de la operadora lo pones en DMZ con el mikrotik. Así todo puerto que no esté específicamente abierto en el NAT del router de la operadora, le llegaría al mikrotik. A cada cliente le configuras un acceso genérico a su VPN y listo.
  • Los equipos cliente los configuraría idénticos, calcados uno detrás de otro. Cambiaría la combinación del usuario/password de la VPN personal que vayan a usar, usando su DNI como password y sus iniciales como usuario, o asgo así. Una combinación sencilla, y que te resulte muy fácil de "aplantillar". Intentaría crear un script de configuración tipo plantilla, y montaría siempre los mismos equipos, así los puedes poner en marcha en medio minuto, como churros.
  • Para la administración, crearía un servidor SSTP en tu 4011, y un cliente en cada equipo. Para no andar jodiendo con usuarios y contraseñas que puedan tener potencialmente acceso a tu equipo, haría esa conexión a base de certificados SSL. Esto tengo que probarlo aún, lo he hecho para IKEv2, pero no para SSTP, aunque sospecho que es idéntico. Como tengo que montar algo parecido este domingo, aprovecho y lo pruebo. Esa conexión sería puramente de administración, y se levantaría de cliente (tus clientes) a servidor (tu 4011). En los equipos clientes, activaría RoMON, para que luego tú puedas conectarte en remoto por MAC, tan pronto levanten el túnel contra tu router. Al ser un túnel de salida, la conexión debería establecerse sin más puerto involucrado ni más nada. En tu lado, como ya usarías el 443 para algún servicio web, configuraríamos el servidor en otro puerto.
    En el equipo cliente, has de permitir en el chain de input la conexión desde el segmento de tu red principal, para que puedas llegar a manejar el equipo remoto desde tu propia LAN.
  • El tema del acceso web lo vemos aparte, a ver dónde estaría montado y si preferimos que ese acceso sea por fuera, en lugar de por la VPN

Lo dicho, cuando pueda probar algo más, te digo.

Saludos!
 
Perfecto! Muchas gracias por contestar.

He entendido prácticamente todo, lo único que me pierdo un poco es en el punto 3, ya que no me queda claro como puedo levantar una conexión hacia un cliente siendo yo servidor. Supongo que sería teniendo un usuario diferente en cada router. No se muy bien como funciona SSTP le echare un ojo esta tarde a ver si me aclaro como funcionaria.

Me cuadra esta configuración. Aun que si hago así, la IP del Mikrotik tengo que ponérsela fija si o si. Es mas que nada por eso por lo que pensé en la VPN por que si no cada vez que un cliente cambie de router o a la compañia le de por resetearlo tengo que ir si o si o hacer una asistencia con un PC que tengan alli.

El servidor Web estaría montado por debajo del mikrotik. Supongo que una opción sería apuntar mi dominio (clientex.midominio.com) hacia el dns del mikrotik del cliente x y abrir el puerto correspondiente en el mikrotik. De todas formas lo vamos viendo.

Muchas gracias!

Un Saludo
 
Última edición:
@DavidGrandes, ¿has conseguido que te funcionara la tv al completo de Vodafone en el MT sustituyendo al Sercomm, finalmente? Es por curiosidad y para ver si otros compañeros pueden beneficiarse de ello. Si no hubieras tenido éxito, a mi, lamentablemente, se me han agotado las ideas...

suerte
 
Buenas @furny ! voy a echarle un ojo a ver si lo saco. Tengo una duda, la MAC del Sercomm te refieres al router que he quitado no? no a la ONT. Como saco esas dos MAC?

Un Saludo
 
Última edición:
Si, si. Ya sé que sustituiste el Sercomm. Preguntaba por si te funcionaba al completo la IPTV en el MT, porque veía que solo hablabas últimamente del otro tema. No te meto prisa, al contrario. Ya me dices, si necesitas algo de mi parte.

Suerte!!
 
Nada así tampoco, he cambiado la direccion de la TV box a la 192.168.2.129 y ahora tiene internet y puedo ver los canales pero no el contenido de Vodafone. He probado a poner y quitar la regla NAT y no veo diferencia, en los IP Routes no aparece nada nuevo.

Lo unico que quedaría sería clonar la MAC pero no se muy bien como sacarlas, la verdad que la MAC que esta asignada en el bridge no se ni de donde ha salido...
 
Arriba