MANUAL: FTTH Movistar/Jazztel con router neutro Mikrotik

Soy recien llegado a la fibra de movistar. Proximamente nos subiran la conexión a 1gb. Quiero sustituir el hgu ya que quiero usar el mikrotik que tengo pero me surge la duda si cualquier ont que venden por wallapop para sustituir al hgu me va a dar el gb de conexión, cual ont aconsejais?

Enviado desde mi CLT-L09 mediante Tapatalk
No me preocuparía por cambiar nada ahora. Cuando llegue el momento, mira a ver cómo se comportan los equipos que tienes, y en función de eso, decides. Date cuenta de que ambos equipos van a estar limitados, físicamente, a 1Gbps, que es lo que dan las interfaces ethernet, a menos que tengas una interfaz sfp de fibra 10G en mikrotik.

Saludos!
 
Deberíamos ir pensando en una conjunta buena de SFP ONT, que los de carlitos están al precio del oro.
 
Deberíamos ir pensando en una conjunta buena de SFP ONT, que los de carlitos están al precio del oro.
No veo la necesidad. Es más, si bien es cómodo o estético, también es ganas de jugártela. El equipo ONT es siempre algo que a a depender de la OLT que tengas al otro lado, es decir, es delimitación y responsabilidad de tu operador. Si mañana cambias de compañía, es fácil que tu ONT/OLT cambien.

Para mi el ideal sigue siendo tener ambos equipos por separado. Ellos que se preocupen de darme un buen equipo ONT que soporte 2,5G o 10G y yo me encargaré de comprar el módulo sfp que necesite mi cacharro para unirlo a la ONT.

Saludos!
 
No veo la necesidad. Es más, si bien es cómodo o estético, también es ganas de jugártela. El equipo ONT es siempre algo que a a depender de la OLT que tengas al otro lado, es decir, es delimitación y responsabilidad de tu operador. Si mañana cambias de compañía, es fácil que tu ONT/OLT cambien.

Para mi el ideal sigue siendo tener ambos equipos por separado. Ellos que se preocupen de darme un buen equipo ONT que soporte 2,5G o 10G y yo me encargaré de comprar el módulo sfp que necesite mi cacharro para unirlo a la ONT.

Saludos!
Que movistar va a cambiar ONT...? no lo cree nadie...
 
Que movistar va a cambiar ONT...? no lo cree nadie...
Ya tienen un equipo nuevo con wifi6 y un puerto de 2,5Gbps. Claro que no te van a cambiar las ONT's, porque sencillamente han dejado de montarlas para conexiones de clientes particulares. Pero eso no quiere decir que la tecnología no esté ahí y que no se pueda usar.

Y sí, si lo hicieran bien, deberían preocuparse por las ONT's, no por los routers. Ellos lo que tienen que asegurar es la parte óptica, no la ethernet que tengas tú en tu casa. A mi asegúrame que la parte óptica llega bien y que tiene el caudal que dices vender (mentira cochina, juegan conque NADIE usa permanentemente ese caudal), que yo me preocuparé de montar los equipos de red que crea conveniente para aprovecharlo. Lo que pasa es que cuando alguien contrata un servicio de internet, no quieres tener que gustase 200€ en comprar un buen router por separado, razón por la cual te montan un todo en uno y no te dan opción: son lentejas. Por eso, y porque les sacarían los colores, claro; al tener equipos de mierda, siempre puedes echarle la culpa al router que no tira, en lugar de a tu infraestructura mal dimensionada, si se diera el caso.
Además de todo lo anterior, el usuario básico encima espera a que el gigabit por segundo le llegue por wifi, sin tener ni pajotera idea de cómo funciona dicha tecnología.

Yo no comprato la idea de movistar de "son lentejas" con mis equipos y punto. Pero habiendo trabajado hace muchísimos tiempo en un CAT ASDL de telefónica, créeme que les entiendo perfectamente. Por eso insisto en que, mi opinión personal, es que deberían ofrecer ambas opciones: usuario básico con router todo en uno, y usuario avanzado con ONT y búscate la vida con tu propio equipo. Pero adivina quien de los dos es el que paga religiosamente los 100€ (o más) de fusión.

Saludos!
 
Ya tienen un equipo nuevo con wifi6 y un puerto de 2,5Gbps. Claro que no te van a cambiar las ONT's, porque sencillamente han dejado de montarlas para conexiones de clientes particulares. Pero eso no quiere decir que la tecnología no esté ahí y que no se pueda usar.

Y sí, si lo hicieran bien, deberían preocuparse por las ONT's, no por los routers. Ellos lo que tienen que asegurar es la parte óptica, no la ethernet que tengas tú en tu casa. A mi asegúrame que la parte óptica llega bien y que tiene el caudal que dices vender (mentira cochina, juegan conque NADIE usa permanentemente ese caudal), que yo me preocuparé de montar los equipos de red que crea conveniente para aprovecharlo. Lo que pasa es que cuando alguien contrata un servicio de internet, no quieres tener que gustase 200€ en comprar un buen router por separado, razón por la cual te montan un todo en uno y no te dan opción: son lentejas. Por eso, y porque les sacarían los colores, claro; al tener equipos de mierda, siempre puedes echarle la culpa al router que no tira, en lugar de a tu infraestructura mal dimensionada, si se diera el caso.
Además de todo lo anterior, el usuario básico encima espera a que el gigabit por segundo le llegue por wifi, sin tener ni pajotera idea de cómo funciona dicha tecnología.

Yo no comprato la idea de movistar de "son lentejas" con mis equipos y punto. Pero habiendo trabajado hace muchísimos tiempo en un CAT ASDL de telefónica, créeme que les entiendo perfectamente. Por eso insisto en que, mi opinión personal, es que deberían ofrecer ambas opciones: usuario básico con router todo en uno, y usuario avanzado con ONT y búscate la vida con tu propio equipo. Pero adivina quien de los dos es el que paga religiosamente los 100€ (o más) de fusión.

Saludos!

Lo que si estoy pensando es que la ONT que estoy usando al dia de hoy es tela de antigua... ver si no va a dar problemas con la subida de precio y velocidad...
 
Lo que si estoy pensando es que la ONT que estoy usando al dia de hoy es tela de antigua... ver si no va a dar problemas con la subida de precio y velocidad...
Qué modelo es? qué velocidad de puertos tiene? Si tiene puerto gigabit ethernet, te vale. La fibra te va a dar esa velocidad, lo siguiente que te la puede capar es el propio puerto físico ethernet.

Pensad que, a vieja que sea, cualquier ONT va a ser una cosa relativamente "moderna" en términos de conexión a internet. Si ahora mismo la tenéis soportando 300 o 600Mbps, debería valer para 1Gbps de la misma manera. Obviamente no va a pasar lo que ahora, que tienes 300 y te llega siempre un pelín más, porque cuando te enchufen a 1Gbps, si la propia interfaz física no da más de sí, nunca vas a pasar esa velocidad, lo normal es que te quedes siempre un pelín por debajo. Pero por "vieja" no me preocuparía.

Es decir, la velocidad de 1Gbps la van a ofrecer, sospecho, sobre la misma tecnología de GPON existente, no sobre el nuevo stándard XGPON. Cuando eso pase, sí te hará falta cambiar de ONT. Ahora, sospecho que no.

Saludos!
 
Ya tienen un equipo nuevo con wifi6 y un puerto de 2,5Gbps. Claro que no te van a cambiar las ONT's, porque sencillamente han dejado de montarlas para conexiones de clientes particulares. Pero eso no quiere decir que la tecnología no esté ahí y que no se pueda usar.

Y sí, si lo hicieran bien, deberían preocuparse por las ONT's, no por los routers. Ellos lo que tienen que asegurar es la parte óptica, no la ethernet que tengas tú en tu casa. A mi asegúrame que la parte óptica llega bien y que tiene el caudal que dices vender (mentira cochina, juegan conque NADIE usa permanentemente ese caudal), que yo me preocuparé de montar los equipos de red que crea conveniente para aprovecharlo. Lo que pasa es que cuando alguien contrata un servicio de internet, no quieres tener que gustase 200€ en comprar un buen router por separado, razón por la cual te montan un todo en uno y no te dan opción: son lentejas. Por eso, y porque les sacarían los colores, claro; al tener equipos de mierda, siempre puedes echarle la culpa al router que no tira, en lugar de a tu infraestructura mal dimensionada, si se diera el caso.
Además de todo lo anterior, el usuario básico encima espera a que el gigabit por segundo le llegue por wifi, sin tener ni pajotera idea de cómo funciona dicha tecnología.

Yo no comprato la idea de movistar de "son lentejas" con mis equipos y punto. Pero habiendo trabajado hace muchísimos tiempo en un CAT ASDL de telefónica, créeme que les entiendo perfectamente. Por eso insisto en que, mi opinión personal, es que deberían ofrecer ambas opciones: usuario básico con router todo en uno, y usuario avanzado con ONT y búscate la vida con tu propio equipo. Pero adivina quien de los dos es el que paga religiosamente los 100€ (o más) de fusión.

Saludos!
Estoy casi totalmente de acuerdo con esa opinión. Pero además, hay otra razón de peso por la que Telefónica pone HGUs y equipos integrados (únicos, a ser posible): es que quiere optimizar los costes de asistencia técnica a los clientes. Cada desplazamiento de un técnico a casa del cliente, les resulta caro. Por ello, su ideal es un cacharro único que ellos puedan controlar en remoto. Incluso, están pensando en router en la nube (su nube, claro), y un equipo simple, bajo control, en casa del abonado. Esto es muy válido para la mayoría de los usuarios domésticos que ni tienen idea, ni quieren tenerla de LANs, redes, wifi, etc. Lo único que quieren es que le funcione la red, no se les caiga y puedan ver Imagenio (o sea, el futbol, sin interrupciones ni caídas). A lo más que aspira telefónica es al desco separado, pues la acometida de fibra del abonado no está generalmente en el salon, donde está la TV. Y tampoco quiere tender (y los clientes tampoco quieren) agujeros y cables por la casa. De ahí el despliegue de los dichosos videobridges y descos inalámbricos. Pero es que los usuarios que tienen un tendido decente de cable en sus casas son una minoría muy minoritaria.
 
Buenos días,

llevo ya semanas pelándome con este tema y no doy con la solución.

Yo tengo una ONT UBIQUITI Fiber Nano G junto a un MikroTik rs4011 (SIN WIFI), para la wifi uso un AP nano HD de ubiquiti

No tengo TV, mi fibra es de O2 600/600

la cuestión es que no hay manera de configurar voIP , seguro que es algo que se me pasa por alto, pero me he leído los tutorial es de malosa, he creado el clan 3 en el rs4011 y no consigo que se me registre el zíper en mi iPhone .....llevo ya meses sin poder usar mi teléfono fijo

hay algún manual detallado, o alguien puede guiarme para tener el teléfono fijo funcionano de nuevo ??

incluos he comprado un tlf especifico para voIP (Yealink SIP-T42S) , pero le pongo los datos en su interface web (mi numero de teléfono, el dominio telefonica.net)= , etc ...... y nada , no funciona
 
Buenos días,

llevo ya semanas pelándome con este tema y no doy con la solución.

Yo tengo una ONT UBIQUITI Fiber Nano G junto a un MikroTik rs4011 (SIN WIFI), para la wifi uso un AP nano HD de ubiquiti

No tengo TV, mi fibra es de O2 600/600

la cuestión es que no hay manera de configurar voIP , seguro que es algo que se me pasa por alto, pero me he leído los tutorial es de malosa, he creado el clan 3 en el rs4011 y no consigo que se me registre el zíper en mi iPhone .....llevo ya meses sin poder usar mi teléfono fijo

hay algún manual detallado, o alguien puede guiarme para tener el teléfono fijo funcionano de nuevo ??

incluos he comprado un tlf especifico para voIP (Yealink SIP-T42S) , pero le pongo los datos en su interface web (mi numero de teléfono, el dominio telefonica.net)= , etc ...... y nada , no funciona

Pásate por el hilo de configuraciones de los principales ISPs. En tu caso O2.


Saludos.
 
Pásate por el hilo de configuraciones de los principales ISPs. En tu caso O2.


Saludos.
Me he pasado y no acabo de entender como adaptarlo a mi configuracion.

Es decir, yo tengo la ONT que es una Ubiquiti GPON Nano, conectada al puerto 10 del router mikrotik rs4011, luego en el puerto 4 tengo el plato de ubiquti AP Nano HD.

del script que he visto en el hilo que me referencias no veo como adaptar los puertos o interfaxces para no quedarme sin internet o para decirle que interfaces son cada una de ellas, y cuando por ejemplo pego el codigo, me da error de que la interface ya existe :

Código:
[admin@MikroTik] > /interface vlan
[admin@MikroTik] /interface vlan> add interface=ether1 name=vlan3 vlan-id=3
[admin@MikroTik] /interface vlan> add interface=ether1 name=vlan6 vlan-id=6
failure: already have interface with such name
[admin@MikroTik] /interface vlan>

Código:
Código:
# Damos de alta la vlan correspondiente, asociada al puerto físico que haga de WAN. Suponemos ether1
/interface vlan add interface=ether1 name=internet vlan-id=20

# Creamos (o editamos el existente) cliente DHCP y la asignamos a esa nueva interfaz vlan
/ip dhcp-client add disabled=no interface=internet use-peer-dns=yes use-peer-ntp=yes

# Añadimos la nueva vlan a la lista WAN, para que el firewall/nat funcione correctamente
/interface list member add interface=internet list=WAN


02 (Grupo Telefónica, España) [by @stargate4you]
Conexión WAN: ONT Huawei EG8120L
Tipo de conexión WAN: PPPoE: usuario (adslppp@telefonicanetpa) y contraseña (adslppp)
VLAN Internet: 6
VLAN Teléfono: 3
VLAN TV: N/A

Configuración
Código:
# Dar de alta las vlans 3 voip y 6 internet.
/interface vlan
add interface=ether1 name=vlan3 vlan-id=3
add interface=ether1 name=vlan6 vlan-id=6

# Configurar la interfaz PPPoE para que use la VLAN 6 internet.
/interface pppoe-client
add add-default-route=yes allow=pap,chap disabled=no interface=vlan6 \
keepalive-timeout=60 max-mru=1492 max-mtu=1492 name=pppoe-out1 password=\
adslppp use-peer-dns=yes user=adslppp@telefonicanetpa

# Añadimos a la lista WAN el interface PPPoE para que el firewall/nat funcione correctamente.
/interface list member
add interface=pppoe-out1 list=WAN

# Crear un cliente dhcp para la vlan 3 del teléfono voip.
/ip dhcp-client
add add-default-route=no dhcp-options=hostname,clientid disabled=no interface=vlan3 use-peer-ntp=no

# Establecer la prioridad de las conexiones vlans.
/ip firewall mangle
add action=set-priority chain=postrouting new-priority=4 out-interface=vlan3
add action=set-priority chain=postrouting new-priority=1 out-interface=pppoe-out1

# Aceptar el tráfico de entrada para la vlan3 en el firewall
/ip firewall filter
add action=accept chain=input comment="Acepta el trafico de la vlan del telefono" \
in-interface=vlan3 src-address=10.0.0.0/8 \
place-before=[find where chain=input and comment="defconf: drop invalid"]

# Enmascarar las conexiones PPPoE y vlan3 voip.
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" \
out-interface=pppoe-out1
add action=masquerade chain=srcnat comment="default configuration" \
out-interface=vlan3

# Puertos del servicio voip.
/ip firewall service-port
set sip disabled=yes ports=5060,5070

# Añadir la vlan 3 de voz protocolo RIP.
/routing rip interface
add interface=vlan3 passive=yes receive=v2

# Indicar la red en la que correrá RIP.
/routing rip network
add network=10.0.0.0/8
 
bien ....ya he conseguido que me funcione voip en el iphone con zoiper, creo que me faltaban unas reglas en el firewall.

me he fijado que tengo el mikrotik en modo bridge, en lugar de en modo router (quizás por eso no consigo conectarme al router nunca a traves de web, y tengo que usar forzosamente la app winbox para conectarme siempre.)

Tampoco consigo que me funcione el "truco" del hilo de tips&tricks para conctarme a la ONT que esta en un rango de IP diferentes:

Truco: Acceder a la ONT o el router que tengo conectado el puerto WAN [ether1]
Muchas veces tenemos la necesidad de acceder al router u ONT que usamos como WAN. Sin embargo, si estamos conectados al router mikrotik y estamos en otro segmento, no llegaremos a dicho equipo. La manera de hacerlo es muy sencilla.

Primero, creamos una IP del rango del equipo conectado al WAN, y se la asignamos a ether1. En mi caso tengo una ONT a la cual accedo con la dirección 192.168.100.1, de tal manera que he configurado la dirección 192.168.100.2 sobre ether1:
Código:
/ip address add address=192.168.100.2/24 interface=ether1 network=192.168.100.0

Y, a continuación, especifiamos que la interfaz física ether1 la considere como un puerto WAN (además de la VLAN o cliente PPPoE que use vuestra configuración original, la cual ya estará dada de alta como perteneciente a la lista WAN)
Código:
/interface list member add interface=ether1 list=WAN

Con estos dos sencillos pasos, ahora podremos abrir un navegador y, desde cualquier dispositivo conectado a nuestro router mikrotik, acceder a la dirección 192.168.100.1 [adaptarlo según necesidad de cada uno]

lo he adaptado camboando eth1 por eth10 que es done tengo la ONT coenctada, pero sigo sin poder conectarme al Ufiber nano G desde ningun sitio
 
bien ....ya he conseguido que me funcione voip en el iphone con zoiper, creo que me faltaban unas reglas en el firewall.

me he fijado que tengo el mikrotik en modo bridge, en lugar de en modo router (quizás por eso no consigo conectarme al router nunca a traves de web, y tengo que usar forzosamente la app winbox para conectarme siempre.)

Tampoco consigo que me funcione el "truco" del hilo de tips&tricks para conctarme a la ONT que esta en un rango de IP diferentes:



lo he adaptado camboando eth1 por eth10 que es done tengo la ONT coenctada, pero sigo sin poder conectarme al Ufiber nano G desde ningun sitio
Hola. As,í a bote pronto, suena que tienes un poco liada la configuración. Si quieres, sube un /export hide-sensitive de tu configuración y le echo un vistazo. Para poder acceder a la ONT desde el router hay que darle una dirección al puerto WAN dentro del espacio en que está la ONT (o sea, si quieres acceder a la ONT "en bruto", antes de conectar el router y tenerla sola o, como mucho conectada a un PC, para configurarla por primera vez, lo haces dándole una dirección: ese es el espacio de direcciones que debes usar y nombrar en el router), como dice el truco que mencionas, pero hay que ver si es que ya hay otra dirección asignada o qué es lo que pasa.

Suerte!!
 
Hola. As,í a bote pronto, suena que tienes un poco liada la configuración. Si quieres, sube un /export hide-sensitive de tu configuración y le echo un vistazo. Para poder acceder a la ONT desde el router hay que darle una dirección al puerto WAN dentro del espacio en que está la ONT (o sea, si quieres acceder a la ONT "en bruto", antes de conectar el router y tenerla sola o, como mucho conectada a un PC, para configurarla por primera vez, lo haces dándole una dirección: ese es el espacio de direcciones que debes usar y nombrar en el router), como dice el truco que mencionas, pero hay que ver si es que ya hay otra dirección asignada o qué es lo que pasa.

Suerte!!
Mañana te pongo el archivo .... gracias !!!

Aquí va el contenido del archivo:


Código:
# dec/23/2020 07:51:42 by RouterOS 6.47.8
# software id = 3XC7-U6FZ
#
# model = RB4011iGS+
# serial number = B8FEXXXXXXXXX
/interface bridge
add admin-mac=C4:AD:34:XX:XX:XX auto-mac=no name=bridge-ISP
/interface ethernet
set [ find default-name=ether1 ] comment=LAN
set [ find default-name=ether10 ] comment=WAN
/interface vlan
add interface=ether10 name=vlan3 vlan-id=3
add interface=ether10 name=vlan6 vlan-id=6
/interface pppoe-client
add add-default-route=yes disabled=no interface=vlan6 keepalive-timeout=60 \
    name=pppoe-out1 user=adslppp@telefonicanetpa
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
add name=dhcp_pool1 ranges=192.168.1.2-192.168.1.200
add name=vpn ranges=192.168.89.2-192.168.89.255
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=bridge-ISP lease-time=12h \
    name="DHCP Sever"
/ppp profile
set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
    sword,web,sniff,sensitive,api,romon,dude,tikapp"
/dude
set enabled=yes
/interface bridge port
add bridge=bridge-ISP interface=ether2
add bridge=bridge-ISP interface=ether3
add bridge=bridge-ISP interface=ether4
add bridge=bridge-ISP interface=ether5
add bridge=bridge-ISP interface=ether6
add bridge=bridge-ISP interface=ether7
add bridge=bridge-ISP interface=ether8
add bridge=bridge-ISP interface=ether9
add bridge=bridge-ISP interface=sfp-sfpplus1
add bridge=bridge-ISP interface=ether1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set enabled=yes use-ipsec=yes
/interface list member
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=ether6 list=LAN
add interface=ether7 list=LAN
add interface=ether8 list=LAN
add interface=ether9 list=LAN
add interface=sfp-sfpplus1 list=LAN
add interface=ether1 list=WAN
add interface=ether10 list=LAN
/interface pptp-server server
set enabled=yes
/interface sstp-server server
set default-profile=default-encryption enabled=yes
/ip address
add address=192.168.1.1/24 comment=defconf interface=ether1 network=\
    192.168.1.0
add address=192.168.10.2/24 interface=ether1 network=192.168.10.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf disabled=no interface=ether10
add add-default-route=no disabled=no interface=vlan3 use-peer-ntp=no
/ip dhcp-server lease
add address=192.168.1.16 client-id=1:66:bd:dd:5a:e7:e7 mac-address=\
    66:BD:DD:5A:E7:E7 server="DHCP Sever"
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf dns-server=1.1.1.1,1.0.0.1 \
    gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1
/ip dns static
add address=192.168.10.2 name=router.lan
add address=10.34.255.134 name=telefonica.net
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 \
    protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp
add action=accept chain=input comment=\
    "Acepta el trafico de la vlan del telefono" in-interface=vlan3 \
    src-address=10.0.0.0/8
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=set-priority chain=postrouting new-priority=4 out-interface=vlan3 \
    passthrough=yes
add action=set-priority chain=postrouting new-priority=1 out-interface=\
    pppoe-out1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out1
add action=dst-nat chain=dstnat comment=XPENOLOGY dst-port=5000-5004 \
    in-interface=pppoe-out1 protocol=udp to-addresses=192.168.1.222 to-ports=\
    5000-5004
add action=dst-nat chain=dstnat dst-port=5000-5004 in-interface=pppoe-out1 \
    protocol=tcp to-addresses=192.168.1.222 to-ports=5000-5004
add action=dst-nat chain=dstnat comment=\
    "Regla para PLEX de XPENOLOGY en 192.168.1.222" dst-port=32400 \
    in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.222 to-ports=\
    32400
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
    192.168.89.0/24
add action=dst-nat chain=dstnat comment="VOIP o2 hacia iPhone de Jordi" \
    dst-port=5060 in-interface=pppoe-out1 protocol=udp to-addresses=\
    192.168.1.20 to-ports=5060
add action=masquerade chain=srcnat out-interface=vlan3
add action=masquerade chain=srcnat comment="default configuration" \
    out-interface=pppoe-out1
add action=masquerade chain=srcnat comment="default configuration" \
    out-interface=vlan3
/ip firewall service-port
set sip ports=5060,5070
/ip route
add distance=1 gateway=192.168.1.1
/ip upnp
set enabled=yes
/ppp secret
add name=vpn
add name=obeliscum profile=default-encryption
/routing rip interface
add interface=vlan3 passive=yes receive=v2
/routing rip network
add network=10.0.0.0/8
/system clock
set time-zone-name=Europe/Madrid
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN


La ONT está en el puerto 10 por ningun motivo en particular ...lo tenia así, pero se quita si es necesario

En el resto de puertos tengo un tlf SIP (Yasink t42s que aun no he conseguido hacer funcionar), y un controlador unifi cloud key para mi wifi (Esto si está funcionando correctamente , o al menos tengo Internet en todos los dispositivos a buena velocidad)
 
Última edición:
Mañana te pongo el archivo .... gracias !!!

Aquí va el contenido del archivo:


Código:
# dec/23/2020 07:51:42 by RouterOS 6.47.8
# software id = 3XC7-U6FZ
#
# model = RB4011iGS+
# serial number = B8FEXXXXXXXXX
/interface bridge
add admin-mac=C4:AD:34:XX:XX:XX auto-mac=no name=bridge-ISP
/interface ethernet
set [ find default-name=ether1 ] comment=LAN
set [ find default-name=ether10 ] comment=WAN
/interface vlan
add interface=ether10 name=vlan3 vlan-id=3
add interface=ether10 name=vlan6 vlan-id=6
/interface pppoe-client
add add-default-route=yes disabled=no interface=vlan6 keepalive-timeout=60 \
    name=pppoe-out1 user=adslppp@telefonicanetpa
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
add name=dhcp_pool1 ranges=192.168.1.2-192.168.1.200
add name=vpn ranges=192.168.89.2-192.168.89.255
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=bridge-ISP lease-time=12h \
    name="DHCP Sever"
/ppp profile
set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
    sword,web,sniff,sensitive,api,romon,dude,tikapp"
/dude
set enabled=yes
/interface bridge port
add bridge=bridge-ISP interface=ether2
add bridge=bridge-ISP interface=ether3
add bridge=bridge-ISP interface=ether4
add bridge=bridge-ISP interface=ether5
add bridge=bridge-ISP interface=ether6
add bridge=bridge-ISP interface=ether7
add bridge=bridge-ISP interface=ether8
add bridge=bridge-ISP interface=ether9
add bridge=bridge-ISP interface=sfp-sfpplus1
add bridge=bridge-ISP interface=ether1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set enabled=yes use-ipsec=yes
/interface list member
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=ether6 list=LAN
add interface=ether7 list=LAN
add interface=ether8 list=LAN
add interface=ether9 list=LAN
add interface=sfp-sfpplus1 list=LAN
add interface=ether1 list=WAN
add interface=ether10 list=LAN
/interface pptp-server server
set enabled=yes
/interface sstp-server server
set default-profile=default-encryption enabled=yes
/ip address
add address=192.168.1.1/24 comment=defconf interface=ether1 network=\
    192.168.1.0
add address=192.168.10.2/24 interface=ether1 network=192.168.10.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf disabled=no interface=ether10
add add-default-route=no disabled=no interface=vlan3 use-peer-ntp=no
/ip dhcp-server lease
add address=192.168.1.16 client-id=1:66:bd:dd:5a:e7:e7 mac-address=\
    66:BD:DD:5A:E7:E7 server="DHCP Sever"
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf dns-server=1.1.1.1,1.0.0.1 \
    gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1
/ip dns static
add address=192.168.10.2 name=router.lan
add address=10.34.255.134 name=telefonica.net
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 \
    protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp
add action=accept chain=input comment=\
    "Acepta el trafico de la vlan del telefono" in-interface=vlan3 \
    src-address=10.0.0.0/8
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=set-priority chain=postrouting new-priority=4 out-interface=vlan3 \
    passthrough=yes
add action=set-priority chain=postrouting new-priority=1 out-interface=\
    pppoe-out1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out1
add action=dst-nat chain=dstnat comment=XPENOLOGY dst-port=5000-5004 \
    in-interface=pppoe-out1 protocol=udp to-addresses=192.168.1.222 to-ports=\
    5000-5004
add action=dst-nat chain=dstnat dst-port=5000-5004 in-interface=pppoe-out1 \
    protocol=tcp to-addresses=192.168.1.222 to-ports=5000-5004
add action=dst-nat chain=dstnat comment=\
    "Regla para PLEX de XPENOLOGY en 192.168.1.222" dst-port=32400 \
    in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.222 to-ports=\
    32400
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
    192.168.89.0/24
add action=dst-nat chain=dstnat comment="VOIP o2 hacia iPhone de Jordi" \
    dst-port=5060 in-interface=pppoe-out1 protocol=udp to-addresses=\
    192.168.1.20 to-ports=5060
add action=masquerade chain=srcnat out-interface=vlan3
add action=masquerade chain=srcnat comment="default configuration" \
    out-interface=pppoe-out1
add action=masquerade chain=srcnat comment="default configuration" \
    out-interface=vlan3
/ip firewall service-port
set sip ports=5060,5070
/ip route
add distance=1 gateway=192.168.1.1
/ip upnp
set enabled=yes
/ppp secret
add name=vpn
add name=obeliscum profile=default-encryption
/routing rip interface
add interface=vlan3 passive=yes receive=v2
/routing rip network
add network=10.0.0.0/8
/system clock
set time-zone-name=Europe/Madrid
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN


La ONT está en el puerto 10 por ningun motivo en particular ...lo tenia así, pero se quita si es necesario

En el resto de puertos tengo un tlf SIP (Yasink t42s que aun no he conseguido hacer funcionar), y un controlador unifi cloud key para mi wifi (Esto si está funcionando correctamente , o al menos tengo Internet en todos los dispositivos a buena velocidad)
A ver. Lo que ocurre es que tienes unas cuantas incoherencias con ether10 e ether1. Si dices que la ONT está conectada a ether10, pues ese es el puerto WAN, y debe ser coherente el resto de la configuración. Yo te recomiendo que uses ether1 para conectarte a la ONT, pues las configuraciones por defecto parten de ese supuesto. Te explico paso a paso para hacerlo coherente, conectando la ONT a ether1:

1) bueno esto es sólo descriptivo, pero debiera ser así:

/interface ethernet
set [ find default-name=ether1 ] comment=WAN
set [ find default-name=ether10 ] comment=LAN

2) Ponemos ether1 para las vlans:

/interface vlan
add interface=ether1 name=vlan3 vlan-id=3
add interface=ether1 name=vlan6 vlan-id=6

3) Los puerto bridge con, ether10 como puerto LAN

/interface bridge port
add bridge=bridge-ISP interface=ether2
add bridge=bridge-ISP interface=ether3
add bridge=bridge-ISP interface=ether4
add bridge=bridge-ISP interface=ether5
add bridge=bridge-ISP interface=ether6
add bridge=bridge-ISP interface=ether7
add bridge=bridge-ISP interface=ether8
add bridge=bridge-ISP interface=ether9
add bridge=bridge-ISP interface=sfp-sfpplus1
add bridge=bridge-ISP interface=ether10

4) Aquí te sobra un pool:

/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254 # ESTA LÏNEA SOBRA, la eliminas
add name=dhcp_pool1 ranges=192.168.1.2-192.168.1.200
add name=vpn ranges=192.168.89.2-192.168.89.255

5) Esto lo tenías incoherente, y te debería estar afectando al funcionamiento del firewall. Tenías definido ether1 como puerto de la lista WAN y a ether10 como LAN, pero tenías conectada la ONT a ether10:

/interface list member
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=ether6 list=LAN
add interface=ether7 list=LAN
add interface=ether8 list=LAN
add interface=ether9 list=LAN
add interface=sfp-sfpplus1 list=LAN
add interface=ether1 list=WAN
add interface=ether10 list=LAN

debes ponerlo así (igual que lo tenías, ahora es coherente), y además, incluir a pppoe-out1 como miembro de la lista WAN:

/interface list member
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=ether6 list=LAN
add interface=ether7 list=LAN
add interface=ether8 list=LAN
add interface=ether9 list=LAN
add interface=ether10 list=LAN
add interface=sfp-sfpplus1 list=LAN
add interface=ether1 list=WAN
add interface=pppoe-out1 list=WAN

6) Las direcciones (/ip address) estaban incoherentes, y además a ether1 (que era un puerto LAN cualquiera) le dabas la dirección de la red LAN completa, y además DOS veces, lo cual es incorrecto. Debe ser así: a la LAN le defines la red 192.168.1.1, o sea, al bridge. Y lo que te decía ayer, SI la dirección que espera la ONT para el acceso en bruto para su configuración es la 192.168.10.0 (que yo no lo sé para ese modelo, pero por lo que pones parece que es esa), entonces asignas a ether1 (que es a donde ahora vas a conectar la ONT) una dirección dentro de ese espacio (la que había puesto 192.168.10.2, PERO si la dirección que debes poner desde un PC para acceder a la ONT fuera esa misma 10.2 ENTONCES DEBES ASIGNAR OTRA DIFERENTE A ether1, por ejemplo 192.168.10.3)

/ip address
add address=192.168.1.1/24 comment=defconf interface=bridge-ISP network=\
192.168.1.0
add address=192.168.10.2/24 interface=ether1 network=192.168.10.0

7) El cliente para VOIP está mal, también es incoherente. Debe ser vlan3, no ether10 (ahora ether1). Elimina:
/ip dhcp-client
add comment=defconf disabled=no interface=ether10 # Esta línea la eliminas
add add-default-route=no disabled=no interface=vlan3 use-peer-ntp=no

Y pon en cambio:

/ip dhcp-client
add add-default-route=no disabled=no interface=vlan3 use-peer-ntp=no

-8 ) Aquí, quita los servidores DNS, pues es redundante, al definirlo más adelante en el DNS interno del router. Pon en cambio, la dirección del propio router, que es el servidor DNS:

/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf dns-server=192.168.1.1 \
gateway=192.168.1.1

9) La dirección de tu servidor DNS es la propia del router: o sea:

/ip dns static
add address=192.168.1.1 name=router.lan

10) Las reglas NAT de pppoe y de vlan3 las tienes duplicadas. Corrígelas en este orden, añadiendo una masquerade para ether1, pero dentro de la lista WAN que has definido, es más simple, y a continuación la de vlan3. NO AÑADAS YA LAS masquerade pppoe. Te he puesto a continuación las dst-nat que tenías:

/ip firewall nat
add action=masquerade chain=srcnat comment=\
"defconf: masq. non ipsec WAN traffic" ipsec-policy=out,none \
out-interface-list=WAN
add action=masquerade chain=srcnat out-interface=vlan3
add action=dst-nat chain=dstnat comment=XPENOLOGY dst-port=5000-5004 \
in-interface=pppoe-out1 protocol=udp to-addresses=192.168.1.222 to-ports=\
5000-5004
add action=dst-nat chain=dstnat dst-port=5000-5004 in-interface=pppoe-out1 \
protocol=tcp to-addresses=192.168.1.222 to-ports=5000-5004
add action=dst-nat chain=dstnat comment=\
"Regla para PLEX de XPENOLOGY en 192.168.1.222" dst-port=32400 \
in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.222 to-ports=\
32400
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
192.168.89.0/24
add action=dst-nat chain=dstnat comment="VOIP o2 hacia iPhone de Jordi" \
dst-port=5060 in-interface=pppoe-out1 protocol=udp to-addresses=\
192.168.1.20 to-ports=5060

Creo que ya con esto no hay más fallos. Mira a ver que tal.


Suerte!!!
 
Última edición:
Dos cosillas más, que se me olvidó mencionar:

11) Esto, no tiene ninguna utilidad, que a mi me parezca, pues defines una ruta prioritaria al router. Si lo tienes bien configurado, con las rutas que recrean por defecto dinámicamente, te va a funcionar bien. Yo la eliminaría:

/ip route
add distance=1 gateway=192.168.1.1


12) para usar el UPNP, antes de habilitarlo (/ip upnp set enabled=yes), hay que definir las interfaces donde quieres actuar. En tu caso, la interna es el bridge y la externa el pppoe. Otra cosa es que realmente quieras usar UPNP (pues sin las reglas de abajo no debía estarte funcionando):

/ip upnp interfaces
add interface=bridge-ISP type=internal
add interface=pppoe-out1 type=external

Ya me dices...

Suerte!!!
 
Justo lo veo ahora ..... mañana si los críos me lo permiten (y yo me aclaro) pruebo todo lo que me dices.


tengo que hacer un reset al router ?? O ponerlo en modo router ?? Ahora esta en modo bridge pero me da miedo tocárelo porque si dejo a la familia sin el Disney o el Netflix ahora en vacaciones es un drama
 
Dos cosillas más, que se me olvidó mencionar:

11) Esto, no tiene ninguna utilidad, que a mi me parezca, pues defines una ruta prioritaria al router. Si lo tienes bien configurado, con las rutas que recrean por defecto dinámicamente, te va a funcionar bien. Yo la eliminaría:

/ip route
add distance=1 gateway=192.168.1.1


12) para usar el UPNP, antes de habilitarlo (/ip upnp set enabled=yes), hay que definir las interfaces donde quieres actuar. En tu caso, la interna es el bridge y la externa el pppoe. Otra cosa es que realmente quieras usar UPNP (pues sin las reglas de abajo no debía estarte funcionando):

/ip upnp interfaces
add interface=bridge-ISP type=internal
add interface=pppoe-out1 type=external

Ya me dices...

Suerte!!!


Bueno, me lo estoy mirando ahora ..... el tema está en que las instrucciones que me das las se poner ......es decir, abro una terminal y escribo lo que pones y veo como aparecen las cosas y sin errores .

..... pero cuando me indicas que "elimine" algunas lineas no se como proceder..... que debo hacer ??....editar en mi archivo RSC y luego , en el router, hacer un reset de fabrica para cargar ese mismo archivo "mío" conectándome mediante la mac y aplicando ese script ?? ...... o tengo que buscar esa opción entre los menus con winbox y "cargarme" por ejemplo el pool dhcp que me decias que sobraba (es lo que he hecho en ese caso, pero hay otras instrucciones tuyas que no se como hacerlas)


Por otra parte me ha quedado claro que le ONT ha de ir en el puerto 1 del router , pero no se donde deberé conectar el tlf IP para que me de linea (el tlf en cocnreto es este Yealink SIP-T42S - Teléfono IP, color negro: Spc: Amazon.es: Electrónica)

y por ultimo, el AP Wifi que tengo (UBIQUITI Networks UniFi nanoHD Interno 1733Mbit/s Energía Sobre Ethernet (PoE) Blanco Punto de Acceso WLAN Networks UniFi nanoHD, 1733 Mbit/s, IEEE 802.11a,IEEE 802.11ac,IEEE 802.11b,IEEE: Amazon.es: Electrónica) da igual en que puerto ethernet lo conecte ??

creo que ya me voy acercando pero aun no lo entiendo :-(
 
Última edición:
Bueno, ya la he liado bien :-O
No se que narices he hecho siguiendo estas instrucciones.....me he quedado sin red ni internet ni nada .....he tenido que ir probando scripts de los que he encontrado aquí hasta recuperar internet (al final he restaurado un backup mio de esta mañana), pero ahora no puedo entrara al rb4011 por wifi (como lo hacia antes)

solo puedo entrar si tengo un rj45 físico conectado al portátil directo con el router.....


HELP !!!! xDDDD
 
Arriba