Mañana te pongo el archivo .... gracias !!!
Aquí va el contenido del archivo:
Código:
# dec/23/2020 07:51:42 by RouterOS 6.47.8
# software id = 3XC7-U6FZ
#
# model = RB4011iGS+
# serial number = B8FEXXXXXXXXX
/interface bridge
add admin-mac=C4:AD:34:XX:XX:XX auto-mac=no name=bridge-ISP
/interface ethernet
set [ find default-name=ether1 ] comment=LAN
set [ find default-name=ether10 ] comment=WAN
/interface vlan
add interface=ether10 name=vlan3 vlan-id=3
add interface=ether10 name=vlan6 vlan-id=6
/interface pppoe-client
add add-default-route=yes disabled=no interface=vlan6 keepalive-timeout=60 \
name=pppoe-out1 user=adslppp@telefonicanetpa
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
add name=dhcp_pool1 ranges=192.168.1.2-192.168.1.200
add name=vpn ranges=192.168.89.2-192.168.89.255
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=bridge-ISP lease-time=12h \
name="DHCP Sever"
/ppp profile
set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
sword,web,sniff,sensitive,api,romon,dude,tikapp"
/dude
set enabled=yes
/interface bridge port
add bridge=bridge-ISP interface=ether2
add bridge=bridge-ISP interface=ether3
add bridge=bridge-ISP interface=ether4
add bridge=bridge-ISP interface=ether5
add bridge=bridge-ISP interface=ether6
add bridge=bridge-ISP interface=ether7
add bridge=bridge-ISP interface=ether8
add bridge=bridge-ISP interface=ether9
add bridge=bridge-ISP interface=sfp-sfpplus1
add bridge=bridge-ISP interface=ether1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set enabled=yes use-ipsec=yes
/interface list member
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=ether6 list=LAN
add interface=ether7 list=LAN
add interface=ether8 list=LAN
add interface=ether9 list=LAN
add interface=sfp-sfpplus1 list=LAN
add interface=ether1 list=WAN
add interface=ether10 list=LAN
/interface pptp-server server
set enabled=yes
/interface sstp-server server
set default-profile=default-encryption enabled=yes
/ip address
add address=192.168.1.1/24 comment=defconf interface=ether1 network=\
192.168.1.0
add address=192.168.10.2/24 interface=ether1 network=192.168.10.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf disabled=no interface=ether10
add add-default-route=no disabled=no interface=vlan3 use-peer-ntp=no
/ip dhcp-server lease
add address=192.168.1.16 client-id=1:66:bd:dd:5a:e7:e7 mac-address=\
66:BD:DD:5A:E7:E7 server="DHCP Sever"
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf dns-server=1.1.1.1,1.0.0.1 \
gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1
/ip dns static
add address=192.168.10.2 name=router.lan
add address=10.34.255.134 name=telefonica.net
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 \
protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp
add action=accept chain=input comment=\
"Acepta el trafico de la vlan del telefono" in-interface=vlan3 \
src-address=10.0.0.0/8
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=set-priority chain=postrouting new-priority=4 out-interface=vlan3 \
passthrough=yes
add action=set-priority chain=postrouting new-priority=1 out-interface=\
pppoe-out1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out1
add action=dst-nat chain=dstnat comment=XPENOLOGY dst-port=5000-5004 \
in-interface=pppoe-out1 protocol=udp to-addresses=192.168.1.222 to-ports=\
5000-5004
add action=dst-nat chain=dstnat dst-port=5000-5004 in-interface=pppoe-out1 \
protocol=tcp to-addresses=192.168.1.222 to-ports=5000-5004
add action=dst-nat chain=dstnat comment=\
"Regla para PLEX de XPENOLOGY en 192.168.1.222" dst-port=32400 \
in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.222 to-ports=\
32400
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
192.168.89.0/24
add action=dst-nat chain=dstnat comment="VOIP o2 hacia iPhone de Jordi" \
dst-port=5060 in-interface=pppoe-out1 protocol=udp to-addresses=\
192.168.1.20 to-ports=5060
add action=masquerade chain=srcnat out-interface=vlan3
add action=masquerade chain=srcnat comment="default configuration" \
out-interface=pppoe-out1
add action=masquerade chain=srcnat comment="default configuration" \
out-interface=vlan3
/ip firewall service-port
set sip ports=5060,5070
/ip route
add distance=1 gateway=192.168.1.1
/ip upnp
set enabled=yes
/ppp secret
add name=vpn
add name=obeliscum profile=default-encryption
/routing rip interface
add interface=vlan3 passive=yes receive=v2
/routing rip network
add network=10.0.0.0/8
/system clock
set time-zone-name=Europe/Madrid
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
La ONT está en el puerto 10 por ningun motivo en particular ...lo tenia así, pero se quita si es necesario
En el resto de puertos tengo un tlf SIP (Yasink t42s que aun no he conseguido hacer funcionar), y un controlador unifi cloud key para mi wifi (Esto si está funcionando correctamente , o al menos tengo Internet en todos los dispositivos a buena velocidad)
A ver. Lo que ocurre es que tienes unas cuantas incoherencias con ether10 e ether1. Si dices que la ONT está conectada a ether10, pues ese es el puerto WAN, y debe ser coherente el resto de la configuración. Yo te recomiendo que uses ether1 para conectarte a la ONT, pues las configuraciones por defecto parten de ese supuesto. Te explico paso a paso para hacerlo coherente, conectando la ONT a ether1:
1) bueno esto es sólo descriptivo, pero debiera ser así:
/interface ethernet
set [ find default-name=ether1 ] comment=WAN
set [ find default-name=ether10 ] comment=LAN
2) Ponemos ether1 para las vlans:
/interface vlan
add interface=ether1 name=vlan3 vlan-id=3
add interface=ether1 name=vlan6 vlan-id=6
3) Los puerto bridge con, ether10 como puerto LAN
/interface bridge port
add bridge=bridge-ISP interface=ether2
add bridge=bridge-ISP interface=ether3
add bridge=bridge-ISP interface=ether4
add bridge=bridge-ISP interface=ether5
add bridge=bridge-ISP interface=ether6
add bridge=bridge-ISP interface=ether7
add bridge=bridge-ISP interface=ether8
add bridge=bridge-ISP interface=ether9
add bridge=bridge-ISP interface=sfp-sfpplus1
add bridge=bridge-ISP interface=ether10
4) Aquí te sobra un pool:
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254 # ESTA LÏNEA SOBRA, la eliminas
add name=dhcp_pool1 ranges=192.168.1.2-192.168.1.200
add name=vpn ranges=192.168.89.2-192.168.89.255
5) Esto lo tenías incoherente, y te debería estar afectando al funcionamiento del firewall. Tenías definido ether1 como puerto de la lista WAN y a ether10 como LAN, pero tenías conectada la ONT a ether10:
/interface list member
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=ether6 list=LAN
add interface=ether7 list=LAN
add interface=ether8 list=LAN
add interface=ether9 list=LAN
add interface=sfp-sfpplus1 list=LAN
add interface=ether1 list=WAN
add interface=ether10 list=LAN
debes ponerlo así (igual que lo tenías, ahora es coherente), y además, incluir a pppoe-out1 como miembro de la lista WAN:
/interface list member
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=ether6 list=LAN
add interface=ether7 list=LAN
add interface=ether8 list=LAN
add interface=ether9 list=LAN
add interface=ether10 list=LAN
add interface=sfp-sfpplus1 list=LAN
add interface=ether1 list=WAN
add interface=pppoe-out1 list=WAN
6) Las direcciones (/ip address) estaban incoherentes, y además a ether1 (que era un puerto LAN cualquiera) le dabas la dirección de la red LAN completa, y además DOS veces, lo cual es incorrecto. Debe ser así: a la LAN le defines la red 192.168.1.1, o sea, al bridge. Y lo que te decía ayer, SI la dirección que espera la ONT para el acceso en bruto para su configuración es la 192.168.10.0 (que yo no lo sé para ese modelo, pero por lo que pones parece que es esa), entonces asignas a ether1 (que es a donde ahora vas a conectar la ONT) una dirección dentro de ese espacio (la que había puesto 192.168.10.2, PERO si la dirección que debes poner desde un PC para acceder a la ONT fuera esa misma 10.2 ENTONCES DEBES ASIGNAR OTRA DIFERENTE A ether1, por ejemplo 192.168.10.3)
/ip address
add address=192.168.1.1/24 comment=defconf interface=bridge-ISP network=\
192.168.1.0
add address=192.168.10.2/24 interface=ether1 network=192.168.10.0
7) El cliente para VOIP está mal, también es incoherente. Debe ser vlan3, no ether10 (ahora ether1). Elimina:
/ip dhcp-client
add comment=defconf disabled=no interface=ether10 # Esta línea la eliminas
add add-default-route=no disabled=no interface=vlan3 use-peer-ntp=no
Y pon en cambio:
/ip dhcp-client
add add-default-route=no disabled=no interface=vlan3 use-peer-ntp=no
-8 ) Aquí, quita los servidores DNS, pues es redundante, al definirlo más adelante en el DNS interno del router. Pon en cambio, la dirección del propio router, que es el servidor DNS:
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf dns-server=192.168.1.1 \
gateway=192.168.1.1
9) La dirección de tu servidor DNS es la propia del router: o sea:
/ip dns static
add address=192.168.1.1 name=router.lan
10) Las reglas NAT de pppoe y de vlan3 las tienes duplicadas. Corrígelas en este orden, añadiendo una masquerade para ether1, pero dentro de la lista WAN que has definido, es más simple, y a continuación la de vlan3. NO AÑADAS YA LAS masquerade pppoe. Te he puesto a continuación las dst-nat que tenías:
/ip firewall nat
add action=masquerade chain=srcnat comment=\
"defconf: masq. non ipsec WAN traffic" ipsec-policy=out,none \
out-interface-list=WAN
add action=masquerade chain=srcnat out-interface=vlan3
add action=dst-nat chain=dstnat comment=XPENOLOGY dst-port=5000-5004 \
in-interface=pppoe-out1 protocol=udp to-addresses=192.168.1.222 to-ports=\
5000-5004
add action=dst-nat chain=dstnat dst-port=5000-5004 in-interface=pppoe-out1 \
protocol=tcp to-addresses=192.168.1.222 to-ports=5000-5004
add action=dst-nat chain=dstnat comment=\
"Regla para PLEX de XPENOLOGY en 192.168.1.222" dst-port=32400 \
in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.222 to-ports=\
32400
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
192.168.89.0/24
add action=dst-nat chain=dstnat comment="VOIP o2 hacia iPhone de Jordi" \
dst-port=5060 in-interface=pppoe-out1 protocol=udp to-addresses=\
192.168.1.20 to-ports=5060
Creo que ya con esto no hay más fallos. Mira a ver que tal.
Suerte!!!