MANUAL: FTTH Movistar/Jazztel con router neutro Mikrotik

pantic dijo:

Soy recien llegado a la fibra de movistar. Proximamente nos subiran la conexión a 1gb. Quiero sustituir el hgu ya que quiero usar el mikrotik que tengo pero me surge la duda si cualquier ont que venden por wallapop para sustituir al hgu me va a dar el gb de conexión, cual ont aconsejais?

Enviado desde mi CLT-L09 mediante Tapatalk

Haz clic para expandir...

vdias dijo:

Deberíamos ir pensando en una conjunta buena de SFP ONT, que los de carlitos están al precio del oro.

Haz clic para expandir...

pokoyo dijo:

No veo la necesidad. Es más, si bien es cómodo o estético, también es ganas de jugártela. El equipo ONT es siempre algo que a a depender de la OLT que tengas al otro lado, es decir, es delimitación y responsabilidad de tu operador. Si mañana cambias de compañía, es fácil que tu ONT/OLT cambien.

Para mi el ideal sigue siendo tener ambos equipos por separado. Ellos que se preocupen de darme un buen equipo ONT que soporte 2,5G o 10G y yo me encargaré de comprar el módulo sfp que necesite mi cacharro para unirlo a la ONT.

Saludos!

Haz clic para expandir...

vdias dijo:

Que movistar va a cambiar ONT...? no lo cree nadie...

Haz clic para expandir...

pokoyo dijo:

Ya tienen un equipo nuevo con wifi6 y un puerto de 2,5Gbps. Claro que no te van a cambiar las ONT's, porque sencillamente han dejado de montarlas para conexiones de clientes particulares. Pero eso no quiere decir que la tecnología no esté ahí y que no se pueda usar.

Y sí, si lo hicieran bien, deberían preocuparse por las ONT's, no por los routers. Ellos lo que tienen que asegurar es la parte óptica, no la ethernet que tengas tú en tu casa. A mi asegúrame que la parte óptica llega bien y que tiene el caudal que dices vender (mentira cochina, juegan conque NADIE usa permanentemente ese caudal), que yo me preocuparé de montar los equipos de red que crea conveniente para aprovecharlo. Lo que pasa es que cuando alguien contrata un servicio de internet, no quieres tener que gustase 200€ en comprar un buen router por separado, razón por la cual te montan un todo en uno y no te dan opción: son lentejas. Por eso, y porque les sacarían los colores, claro; al tener equipos de mierda, siempre puedes echarle la culpa al router que no tira, en lugar de a tu infraestructura mal dimensionada, si se diera el caso.
Además de todo lo anterior, el usuario básico encima espera a que el gigabit por segundo le llegue por wifi, sin tener ni pajotera idea de cómo funciona dicha tecnología.

Yo no comprato la idea de movistar de "son lentejas" con mis equipos y punto. Pero habiendo trabajado hace muchísimos tiempo en un CAT ASDL de telefónica, créeme que les entiendo perfectamente. Por eso insisto en que, mi opinión personal, es que deberían ofrecer ambas opciones: usuario básico con router todo en uno, y usuario avanzado con ONT y búscate la vida con tu propio equipo. Pero adivina quien de los dos es el que paga religiosamente los 100€ (o más) de fusión.

Saludos!

Haz clic para expandir...

vdias dijo:

Lo que si estoy pensando es que la ONT que estoy usando al dia de hoy es tela de antigua... ver si no va a dar problemas con la subida de precio y velocidad...

Haz clic para expandir...

pokoyo dijo:

Ya tienen un equipo nuevo con wifi6 y un puerto de 2,5Gbps. Claro que no te van a cambiar las ONT's, porque sencillamente han dejado de montarlas para conexiones de clientes particulares. Pero eso no quiere decir que la tecnología no esté ahí y que no se pueda usar.

Y sí, si lo hicieran bien, deberían preocuparse por las ONT's, no por los routers. Ellos lo que tienen que asegurar es la parte óptica, no la ethernet que tengas tú en tu casa. A mi asegúrame que la parte óptica llega bien y que tiene el caudal que dices vender (mentira cochina, juegan conque NADIE usa permanentemente ese caudal), que yo me preocuparé de montar los equipos de red que crea conveniente para aprovecharlo. Lo que pasa es que cuando alguien contrata un servicio de internet, no quieres tener que gustase 200€ en comprar un buen router por separado, razón por la cual te montan un todo en uno y no te dan opción: son lentejas. Por eso, y porque les sacarían los colores, claro; al tener equipos de mierda, siempre puedes echarle la culpa al router que no tira, en lugar de a tu infraestructura mal dimensionada, si se diera el caso.
Además de todo lo anterior, el usuario básico encima espera a que el gigabit por segundo le llegue por wifi, sin tener ni pajotera idea de cómo funciona dicha tecnología.

Yo no comprato la idea de movistar de "son lentejas" con mis equipos y punto. Pero habiendo trabajado hace muchísimos tiempo en un CAT ASDL de telefónica, créeme que les entiendo perfectamente. Por eso insisto en que, mi opinión personal, es que deberían ofrecer ambas opciones: usuario básico con router todo en uno, y usuario avanzado con ONT y búscate la vida con tu propio equipo. Pero adivina quien de los dos es el que paga religiosamente los 100€ (o más) de fusión.

Saludos!

Haz clic para expandir...

vorlander dijo:

Buenos días,

llevo ya semanas pelándome con este tema y no doy con la solución.

Yo tengo una ONT UBIQUITI Fiber Nano G junto a un MikroTik rs4011 (SIN WIFI), para la wifi uso un AP nano HD de ubiquiti

No tengo TV, mi fibra es de O2 600/600

la cuestión es que no hay manera de configurar voIP , seguro que es algo que se me pasa por alto, pero me he leído los tutorial es de malosa, he creado el clan 3 en el rs4011 y no consigo que se me registre el zíper en mi iPhone .....llevo ya meses sin poder usar mi teléfono fijo

hay algún manual detallado, o alguien puede guiarme para tener el teléfono fijo funcionano de nuevo ??

incluos he comprado un tlf especifico para voIP (Yealink SIP-T42S) , pero le pongo los datos en su interface web (mi numero de teléfono, el dominio telefonica.net)= , etc ...... y nada , no funciona

Haz clic para expandir...

MANUAL: Mikrotik, configuraciones básicas ISPs | Mikrotik

Hola, el propósito de este post es recabar información sobre cómo configurar vuestros equipos Mikrotik para los distintos ISPs (bienvenidas.... ¿Te apetece dejar una respuesta a este mensaje? Entra ahora

www.adslzone.net

stargate4you dijo:

Pásate por el hilo de configuraciones de los principales ISPs. En tu caso O2.

MANUAL: Mikrotik, configuraciones básicas ISPs | Mikrotik

Hola, el propósito de este post es recabar información sobre cómo configurar vuestros equipos Mikrotik para los distintos ISPs (bienvenidas.... ¿Te apetece dejar una respuesta a este mensaje? Entra ahora

www.adslzone.net

Saludos.

Haz clic para expandir...

[admin@MikroTik] > /interface vlan
[admin@MikroTik] /interface vlan> add interface=ether1 name=vlan3 vlan-id=3
[admin@MikroTik] /interface vlan> add interface=ether1 name=vlan6 vlan-id=6
failure: already have interface with such name
[admin@MikroTik] /interface vlan>

Código:
# Damos de alta la vlan correspondiente, asociada al puerto físico que haga de WAN. Suponemos ether1
/interface vlan add interface=ether1 name=internet vlan-id=20

# Creamos (o editamos el existente) cliente DHCP y la asignamos a esa nueva interfaz vlan
/ip dhcp-client add disabled=no interface=internet use-peer-dns=yes use-peer-ntp=yes

# Añadimos la nueva vlan a la lista WAN, para que el firewall/nat funcione correctamente
/interface list member add interface=internet list=WAN


02 (Grupo Telefónica, España) [by @stargate4you]
Conexión WAN: ONT Huawei EG8120L
Tipo de conexión WAN: PPPoE: usuario (adslppp@telefonicanetpa) y contraseña (adslppp)
VLAN Internet: 6
VLAN Teléfono: 3
VLAN TV: N/A

Configuración
Código:
# Dar de alta las vlans 3 voip y 6 internet.
/interface vlan
add interface=ether1 name=vlan3 vlan-id=3
add interface=ether1 name=vlan6 vlan-id=6

# Configurar la interfaz PPPoE para que use la VLAN 6 internet.
/interface pppoe-client
add add-default-route=yes allow=pap,chap disabled=no interface=vlan6 \
keepalive-timeout=60 max-mru=1492 max-mtu=1492 name=pppoe-out1 password=\
adslppp use-peer-dns=yes user=adslppp@telefonicanetpa

# Añadimos a la lista WAN el interface PPPoE para que el firewall/nat funcione correctamente.
/interface list member
add interface=pppoe-out1 list=WAN

# Crear un cliente dhcp para la vlan 3 del teléfono voip.
/ip dhcp-client
add add-default-route=no dhcp-options=hostname,clientid disabled=no interface=vlan3 use-peer-ntp=no

# Establecer la prioridad de las conexiones vlans.
/ip firewall mangle
add action=set-priority chain=postrouting new-priority=4 out-interface=vlan3
add action=set-priority chain=postrouting new-priority=1 out-interface=pppoe-out1

# Aceptar el tráfico de entrada para la vlan3 en el firewall
/ip firewall filter
add action=accept chain=input comment="Acepta el trafico de la vlan del telefono" \
in-interface=vlan3 src-address=10.0.0.0/8 \
place-before=[find where chain=input and comment="defconf: drop invalid"]

# Enmascarar las conexiones PPPoE y vlan3 voip.
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" \
out-interface=pppoe-out1
add action=masquerade chain=srcnat comment="default configuration" \
out-interface=vlan3

# Puertos del servicio voip.
/ip firewall service-port
set sip disabled=yes ports=5060,5070

# Añadir la vlan 3 de voz protocolo RIP.
/routing rip interface
add interface=vlan3 passive=yes receive=v2

# Indicar la red en la que correrá RIP.
/routing rip network
add network=10.0.0.0/8

Truco: Acceder a la ONT o el router que tengo conectado el puerto WAN [ether1]
Muchas veces tenemos la necesidad de acceder al router u ONT que usamos como WAN. Sin embargo, si estamos conectados al router mikrotik y estamos en otro segmento, no llegaremos a dicho equipo. La manera de hacerlo es muy sencilla.

Primero, creamos una IP del rango del equipo conectado al WAN, y se la asignamos a ether1. En mi caso tengo una ONT a la cual accedo con la dirección 192.168.100.1, de tal manera que he configurado la dirección 192.168.100.2 sobre ether1:
Código:
/ip address add address=192.168.100.2/24 interface=ether1 network=192.168.100.0

Y, a continuación, especifiamos que la interfaz física ether1 la considere como un puerto WAN (además de la VLAN o cliente PPPoE que use vuestra configuración original, la cual ya estará dada de alta como perteneciente a la lista WAN)
Código:
/interface list member add interface=ether1 list=WAN

Con estos dos sencillos pasos, ahora podremos abrir un navegador y, desde cualquier dispositivo conectado a nuestro router mikrotik, acceder a la dirección 192.168.100.1 [adaptarlo según necesidad de cada uno]

Haz clic para expandir...

vorlander dijo:

bien ....ya he conseguido que me funcione voip en el iphone con zoiper, creo que me faltaban unas reglas en el firewall.

me he fijado que tengo el mikrotik en modo bridge, en lugar de en modo router (quizás por eso no consigo conectarme al router nunca a traves de web, y tengo que usar forzosamente la app winbox para conectarme siempre.)

Tampoco consigo que me funcione el "truco" del hilo de tips&tricks para conctarme a la ONT que esta en un rango de IP diferentes:



lo he adaptado camboando eth1 por eth10 que es done tengo la ONT coenctada, pero sigo sin poder conectarme al Ufiber nano G desde ningun sitio

Haz clic para expandir...

furny dijo:

Hola. As,í a bote pronto, suena que tienes un poco liada la configuración. Si quieres, sube un /export hide-sensitive de tu configuración y le echo un vistazo. Para poder acceder a la ONT desde el router hay que darle una dirección al puerto WAN dentro del espacio en que está la ONT (o sea, si quieres acceder a la ONT "en bruto", antes de conectar el router y tenerla sola o, como mucho conectada a un PC, para configurarla por primera vez, lo haces dándole una dirección: ese es el espacio de direcciones que debes usar y nombrar en el router), como dice el truco que mencionas, pero hay que ver si es que ya hay otra dirección asignada o qué es lo que pasa.

Suerte!!

Haz clic para expandir...

# dec/23/2020 07:51:42 by RouterOS 6.47.8
# software id = 3XC7-U6FZ
#
# model = RB4011iGS+
# serial number = B8FEXXXXXXXXX
/interface bridge
add admin-mac=C4:AD:34:XX:XX:XX auto-mac=no name=bridge-ISP
/interface ethernet
set [ find default-name=ether1 ] comment=LAN
set [ find default-name=ether10 ] comment=WAN
/interface vlan
add interface=ether10 name=vlan3 vlan-id=3
add interface=ether10 name=vlan6 vlan-id=6
/interface pppoe-client
add add-default-route=yes disabled=no interface=vlan6 keepalive-timeout=60 \
    name=pppoe-out1 user=adslppp@telefonicanetpa
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
add name=dhcp_pool1 ranges=192.168.1.2-192.168.1.200
add name=vpn ranges=192.168.89.2-192.168.89.255
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=bridge-ISP lease-time=12h \
    name="DHCP Sever"
/ppp profile
set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
    sword,web,sniff,sensitive,api,romon,dude,tikapp"
/dude
set enabled=yes
/interface bridge port
add bridge=bridge-ISP interface=ether2
add bridge=bridge-ISP interface=ether3
add bridge=bridge-ISP interface=ether4
add bridge=bridge-ISP interface=ether5
add bridge=bridge-ISP interface=ether6
add bridge=bridge-ISP interface=ether7
add bridge=bridge-ISP interface=ether8
add bridge=bridge-ISP interface=ether9
add bridge=bridge-ISP interface=sfp-sfpplus1
add bridge=bridge-ISP interface=ether1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set enabled=yes use-ipsec=yes
/interface list member
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=ether6 list=LAN
add interface=ether7 list=LAN
add interface=ether8 list=LAN
add interface=ether9 list=LAN
add interface=sfp-sfpplus1 list=LAN
add interface=ether1 list=WAN
add interface=ether10 list=LAN
/interface pptp-server server
set enabled=yes
/interface sstp-server server
set default-profile=default-encryption enabled=yes
/ip address
add address=192.168.1.1/24 comment=defconf interface=ether1 network=\
    192.168.1.0
add address=192.168.10.2/24 interface=ether1 network=192.168.10.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf disabled=no interface=ether10
add add-default-route=no disabled=no interface=vlan3 use-peer-ntp=no
/ip dhcp-server lease
add address=192.168.1.16 client-id=1:66:bd:dd:5a:e7:e7 mac-address=\
    66:BD:DD:5A:E7:E7 server="DHCP Sever"
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf dns-server=1.1.1.1,1.0.0.1 \
    gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1
/ip dns static
add address=192.168.10.2 name=router.lan
add address=10.34.255.134 name=telefonica.net
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 \
    protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp
add action=accept chain=input comment=\
    "Acepta el trafico de la vlan del telefono" in-interface=vlan3 \
    src-address=10.0.0.0/8
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=set-priority chain=postrouting new-priority=4 out-interface=vlan3 \
    passthrough=yes
add action=set-priority chain=postrouting new-priority=1 out-interface=\
    pppoe-out1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out1
add action=dst-nat chain=dstnat comment=XPENOLOGY dst-port=5000-5004 \
    in-interface=pppoe-out1 protocol=udp to-addresses=192.168.1.222 to-ports=\
    5000-5004
add action=dst-nat chain=dstnat dst-port=5000-5004 in-interface=pppoe-out1 \
    protocol=tcp to-addresses=192.168.1.222 to-ports=5000-5004
add action=dst-nat chain=dstnat comment=\
    "Regla para PLEX de XPENOLOGY en 192.168.1.222" dst-port=32400 \
    in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.222 to-ports=\
    32400
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
    192.168.89.0/24
add action=dst-nat chain=dstnat comment="VOIP o2 hacia iPhone de Jordi" \
    dst-port=5060 in-interface=pppoe-out1 protocol=udp to-addresses=\
    192.168.1.20 to-ports=5060
add action=masquerade chain=srcnat out-interface=vlan3
add action=masquerade chain=srcnat comment="default configuration" \
    out-interface=pppoe-out1
add action=masquerade chain=srcnat comment="default configuration" \
    out-interface=vlan3
/ip firewall service-port
set sip ports=5060,5070
/ip route
add distance=1 gateway=192.168.1.1
/ip upnp
set enabled=yes
/ppp secret
add name=vpn
add name=obeliscum profile=default-encryption
/routing rip interface
add interface=vlan3 passive=yes receive=v2
/routing rip network
add network=10.0.0.0/8
/system clock
set time-zone-name=Europe/Madrid
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

vorlander dijo:

Mañana te pongo el archivo .... gracias !!!

Aquí va el contenido del archivo:

Código:

# dec/23/2020 07:51:42 by RouterOS 6.47.8
# software id = 3XC7-U6FZ
#
# model = RB4011iGS+
# serial number = B8FEXXXXXXXXX
/interface bridge
add admin-mac=C4:AD:34:XX:XX:XX auto-mac=no name=bridge-ISP
/interface ethernet
set [ find default-name=ether1 ] comment=LAN
set [ find default-name=ether10 ] comment=WAN
/interface vlan
add interface=ether10 name=vlan3 vlan-id=3
add interface=ether10 name=vlan6 vlan-id=6
/interface pppoe-client
add add-default-route=yes disabled=no interface=vlan6 keepalive-timeout=60 \
    name=pppoe-out1 user=adslppp@telefonicanetpa
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
add name=dhcp_pool1 ranges=192.168.1.2-192.168.1.200
add name=vpn ranges=192.168.89.2-192.168.89.255
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=bridge-ISP lease-time=12h \
    name="DHCP Sever"
/ppp profile
set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
    sword,web,sniff,sensitive,api,romon,dude,tikapp"
/dude
set enabled=yes
/interface bridge port
add bridge=bridge-ISP interface=ether2
add bridge=bridge-ISP interface=ether3
add bridge=bridge-ISP interface=ether4
add bridge=bridge-ISP interface=ether5
add bridge=bridge-ISP interface=ether6
add bridge=bridge-ISP interface=ether7
add bridge=bridge-ISP interface=ether8
add bridge=bridge-ISP interface=ether9
add bridge=bridge-ISP interface=sfp-sfpplus1
add bridge=bridge-ISP interface=ether1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set enabled=yes use-ipsec=yes
/interface list member
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=ether6 list=LAN
add interface=ether7 list=LAN
add interface=ether8 list=LAN
add interface=ether9 list=LAN
add interface=sfp-sfpplus1 list=LAN
add interface=ether1 list=WAN
add interface=ether10 list=LAN
/interface pptp-server server
set enabled=yes
/interface sstp-server server
set default-profile=default-encryption enabled=yes
/ip address
add address=192.168.1.1/24 comment=defconf interface=ether1 network=\
    192.168.1.0
add address=192.168.10.2/24 interface=ether1 network=192.168.10.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf disabled=no interface=ether10
add add-default-route=no disabled=no interface=vlan3 use-peer-ntp=no
/ip dhcp-server lease
add address=192.168.1.16 client-id=1:66:bd:dd:5a:e7:e7 mac-address=\
    66:BD:DD:5A:E7:E7 server="DHCP Sever"
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf dns-server=1.1.1.1,1.0.0.1 \
    gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1
/ip dns static
add address=192.168.10.2 name=router.lan
add address=10.34.255.134 name=telefonica.net
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 \
    protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp
add action=accept chain=input comment=\
    "Acepta el trafico de la vlan del telefono" in-interface=vlan3 \
    src-address=10.0.0.0/8
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=set-priority chain=postrouting new-priority=4 out-interface=vlan3 \
    passthrough=yes
add action=set-priority chain=postrouting new-priority=1 out-interface=\
    pppoe-out1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out1
add action=dst-nat chain=dstnat comment=XPENOLOGY dst-port=5000-5004 \
    in-interface=pppoe-out1 protocol=udp to-addresses=192.168.1.222 to-ports=\
    5000-5004
add action=dst-nat chain=dstnat dst-port=5000-5004 in-interface=pppoe-out1 \
    protocol=tcp to-addresses=192.168.1.222 to-ports=5000-5004
add action=dst-nat chain=dstnat comment=\
    "Regla para PLEX de XPENOLOGY en 192.168.1.222" dst-port=32400 \
    in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.222 to-ports=\
    32400
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
    192.168.89.0/24
add action=dst-nat chain=dstnat comment="VOIP o2 hacia iPhone de Jordi" \
    dst-port=5060 in-interface=pppoe-out1 protocol=udp to-addresses=\
    192.168.1.20 to-ports=5060
add action=masquerade chain=srcnat out-interface=vlan3
add action=masquerade chain=srcnat comment="default configuration" \
    out-interface=pppoe-out1
add action=masquerade chain=srcnat comment="default configuration" \
    out-interface=vlan3
/ip firewall service-port
set sip ports=5060,5070
/ip route
add distance=1 gateway=192.168.1.1
/ip upnp
set enabled=yes
/ppp secret
add name=vpn
add name=obeliscum profile=default-encryption
/routing rip interface
add interface=vlan3 passive=yes receive=v2
/routing rip network
add network=10.0.0.0/8
/system clock
set time-zone-name=Europe/Madrid
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

La ONT está en el puerto 10 por ningun motivo en particular ...lo tenia así, pero se quita si es necesario

En el resto de puertos tengo un tlf SIP (Yasink t42s que aun no he conseguido hacer funcionar), y un controlador unifi cloud key para mi wifi (Esto si está funcionando correctamente , o al menos tengo Internet en todos los dispositivos a buena velocidad)

Haz clic para expandir...

furny dijo:

Dos cosillas más, que se me olvidó mencionar:

11) Esto, no tiene ninguna utilidad, que a mi me parezca, pues defines una ruta prioritaria al router. Si lo tienes bien configurado, con las rutas que recrean por defecto dinámicamente, te va a funcionar bien. Yo la eliminaría:

/ip route
add distance=1 gateway=192.168.1.1


12) para usar el UPNP, antes de habilitarlo (/ip upnp set enabled=yes), hay que definir las interfaces donde quieres actuar. En tu caso, la interna es el bridge y la externa el pppoe. Otra cosa es que realmente quieras usar UPNP (pues sin las reglas de abajo no debía estarte funcionando):

/ip upnp interfaces
add interface=bridge-ISP type=internal
add interface=pppoe-out1 type=external

Ya me dices...

Suerte!!!

Haz clic para expandir...