MANUAL: Mikrotik, el amigo gorrón [IPTV pululante]

Como poder, se puede, pero también necesitas cambiar la IP que va en la interfaz wireguard y aceptar esa en el allowed address. Date cuenta de que lo que configuras en la pestaña “peer” pertenece siempre al host remoto, no a ti.

Saludos!
Es la ip que configuré al host remoto, la 172.17.0.1/32, los dos Pacos están configurados exactamente igual, solo cambia la clave publica y el Id Cloud por ser MK diferentes, pero algo pasa al modificar estos datos, al volver a poner la clave pública y dns que ya están funcionando tampoco levanta el tunel, tengo que restaurar el Backup y conecta enseguida.
 
Es la ip que configuré al host remoto, la 172.17.0.1/32, los dos Pacos están configurados exactamente igual, solo cambia la clave publica y el Id Cloud por ser MK diferentes, pero algo pasa al modificar estos datos, al volver a poner la clave pública y dns que ya están funcionando tampoco levanta el tunel, tengo que restaurar el Backup y conecta enseguida.
Las interfaces wireguard en Pepe, ¿son las mismas?

Saludos!
 
Pásame si quieres un export de lo que tienes y de lo que intentas crear con el segundo Paco, a ver si veo el error. En un principio debería dejarte sin mayor problema.

Saludos!
 
Pásame si quieres un export de lo que tienes y de lo que intentas crear con el segundo Paco, a ver si veo el error. En un principio debería dejarte sin mayor problema.

Saludos!
Voy a recoger el MK en paco esta noche y a configurar de nuevo todo desde 0, gracias Pokoyo.
 
Hola!

He podido probar el setup de este post con variaciones. Os pego un diagrama de como lo tengo montado (tengo 2 pepes y 4 descos):
paco-pepe.png


En paco he sustituido el HGU por un Edgerouter Lite 3 (por el VOD y timeshift) y debajo de él tengo un switch con igmp (netgear gs108e). Como router infiltrado hay un hex y para los pepes, un hex S y un hap ac2. La cuestión es que con este setup, todo va bien excepto en ocasiones. A veces en Pepe A he tenido cortes de 1-2 segundos (sin afectar a los descos locales ni a Pepe B). He monitorizado el uso de CPUs y el edgerouter no pasa del 25% y Pepe A a veces pasa del 55% de uso (sobre todo con stream 4k). Si he visto que se corta el flujo de datos completamente tanto en Pepe A como en Paco cuando se provoca el parón (evidentemente es un parón jaja). Tengo varias teorías de que puede estar ocurriendo, pero como soy tan neófito me gustaría vuestra ayuda. Os listo mis teorías:
1.- El Edgerouter se queda corto en procesamiento cuando se activan más de 2 descos - Para esto tengo pensado probar la config 2 cables de Pokoyo (gracias de nuevo!) o sustituir el Edgerouter por un router con OpenWRT (me gustaría no mantener el HGU por privacidad y así de paso pruebo otro sistema :cool:). Para sustituir por un OpenWRT tengo estos 2 cacharros, Nanopi R2S y GL.iNet mt1300 (tiene NAT offloading). Esto tengo que hacerlo ya que el Edgerouter ya no tiene soporte desde el año pasado.
2.- El router de Pepe A (hex S) se queda corto - Es poco probable pero podría ser. Tengo un hap ac2 libre para sustituirlo.
3.- La conexión con el ISP de Pepe A no es estable (hay Digi 1 Gb simétrico).
3.- Alguna config en Pepe A está interfiriendo y cortando el tráfico (lo que provoca el parón de tráfico).

La semana que viene voy a ver a Paco y empezaré con las pruebas.
Disculpad el tocho y muchas gracias de antemano por vuestra ayuda.

Un saludo!
 
Hola!

He podido probar el setup de este post con variaciones. Os pego un diagrama de como lo tengo montado (tengo 2 pepes y 4 descos):
Ver el adjunto 95307

En paco he sustituido el HGU por un Edgerouter Lite 3 (por el VOD y timeshift) y debajo de él tengo un switch con igmp (netgear gs108e). Como router infiltrado hay un hex y para los pepes, un hex S y un hap ac2. La cuestión es que con este setup, todo va bien excepto en ocasiones. A veces en Pepe A he tenido cortes de 1-2 segundos (sin afectar a los descos locales ni a Pepe B). He monitorizado el uso de CPUs y el edgerouter no pasa del 25% y Pepe A a veces pasa del 55% de uso (sobre todo con stream 4k). Si he visto que se corta el flujo de datos completamente tanto en Pepe A como en Paco cuando se provoca el parón (evidentemente es un parón jaja). Tengo varias teorías de que puede estar ocurriendo, pero como soy tan neófito me gustaría vuestra ayuda. Os listo mis teorías:
1.- El Edgerouter se queda corto en procesamiento cuando se activan más de 2 descos - Para esto tengo pensado probar la config 2 cables de Pokoyo (gracias de nuevo!) o sustituir el Edgerouter por un router con OpenWRT (me gustaría no mantener el HGU por privacidad y así de paso pruebo otro sistema :cool:). Para sustituir por un OpenWRT tengo estos 2 cacharros, Nanopi R2S y GL.iNet mt1300 (tiene NAT offloading). Esto tengo que hacerlo ya que el Edgerouter ya no tiene soporte desde el año pasado.
2.- El router de Pepe A (hex S) se queda corto - Es poco probable pero podría ser. Tengo un hap ac2 libre para sustituirlo.
3.- La conexión con el ISP de Pepe A no es estable (hay Digi 1 Gb simétrico).
3.- Alguna config en Pepe A está interfiriendo y cortando el tráfico (lo que provoca el parón de tráfico).

La semana que viene voy a ver a Paco y empezaré con las pruebas.
Disculpad el tocho y muchas gracias de antemano por vuestra ayuda.

Un saludo!
Buenos días,

Yo tengo un setup parecido con dos "pepes".
paco-2pepes-generico.png

- En la parte de "Paco" con Movistar 1 Gbs + HGU + Desco + Smart TV + Mikrotik mAP 2nD.
- En la parte de Pepe I, un Mikrotik RB4011 + Desco + DIGI 1Gbs.
- En la parte de Pepe II, un Mikrotik hAP ac2 + Desco + DIGI 1 Gbs.

Siguiendo el manual de @pokoyo y los consejos posteriores según la experiencia de los usuarios, lo tengo funcionando al 100% sin cortes ni pixelaciones.

Si ya utilizas otros routers "no-mikrotik" en tu setup, tendrás que comprobar la compatibilidad de ambos sistemas, especialmente con los túneles EoIP utilizados, propietario de MT.

S@lu2.
 
Muchas gracias por la respuesta @diamuxin! Nuestros setups (salvando los equipos) son muy similares (mismas fibras e ISPs).
Mi idea es eliminar el HGU porque no me gusta no tener el control de la red.. pero veo que al final tendré que redimirme y pasar por él, al final pensándolo bien solo utilizo el router de Paco para IPTV e internet, lo único que hago especial es abrir puertos y para eso el HGU lo hace más que de sobra. Igualmente, mientras esté en caso de Paco realizaré alguna prueba con el OpenWRT a ver qué tal va.

Un saludo y gracias de nuevo!
 
@enigmat14 Monitorea el ping al extremo del túnel wireguard de Paco, cuando se producen esos tirones. Si sube exageradamente (medio segundo de ping o más), podría afectar al túnel, especialmente si ves contenido 4K.

Me decantaría antes por un problema de la fibra del proveedor antes que otra cosa. Por descartar problemas con el multicast y el igmp snooping, saca si puedes los descos de paco de detrás del switch, y los conectas directos al router.

Saludos!
 
@pokoyo ok eso haré, anoto los resultados y te cuento. Tengo las mismas sospechas que tú sobre mi operador (Digi) porque siempre que hago speedtest me dan un ping muy alto, mirad un ejemplo:
Captura de pantalla 2022-05-21 a las 13.34.52.png


El mismo desde Barcelona (estoy en Baleares):
Captura de pantalla 2022-05-21 a las 13.40.07.png


Otro desde telefónica:
Captura de pantalla 2022-05-21 a las 13.36.23.png


Tengo contratado fibra 1 GB simétrica y los tests están realizados por wifi, si los hago por cable el resultado es el mismo (con más velocidad). Si confirmo que es algo del operador, estoy pensando en irme a O2.

Un saludo!
 
Prueba siempre por cable. Pero vamos, 30ms no es un ping malo, ni mucho menos. hablo de 500ms (medio segundo de ping), donde vas a empezar a tener problemas serios con los túneles, especialmente para ver contenido IPTV.

Prueba lo de meter los descos locales debajo del rotuer directamente. Hace poco he visto un problema similar con el multicast y switches que se supone soportaban IGMP snooping, y estaban inundando la red de paquetes multicast.

Saludos!
 
Ok, gracias por la aclaración Pokoyo.
Ahora mismo es imposible sacar los descos locales de debajo del switch ya que el Edgerouter solo tiene un puerto LAN. La semana que viene probaré a cambiar ese router por el HGU y ahí meteré los descos locales directamente al router. Os cuento con las pruebas!

Un saludo!
 
Hola , me he hecho con dos mk un hap y un hex , los he configurado según manual , pero como novato que soy ,que quiere decir el manual con " place-before=[find comment="defconf: drop all not coming from LAN"] " ?.
Y otra pregunta he visto que se pueden dejar los dos router de las operadoras ( HGU y el de Casa PEPE ) o es mejor que el mk comande toda la red de Pepe? , en el caso de pepe dejando el de la operadora , hay que ponerlo en modo punto de acceso y abrir el puerto a la ip del mk. Gracias.
 
Hola , me he hecho con dos mk un hap y un hex , los he configurado según manual , pero como novato que soy ,que quiere decir el manual con " place-before=[find comment="defconf: drop all not coming from LAN"] " ?.
Coloca esta regla delante de la que tiene el comentario “defconf: …”

Y otra pregunta he visto que se pueden dejar los dos router de las operadoras ( HGU y el de Casa PEPE ) o es mejor que el mk comande toda la red de Pepe? , en el caso de pepe dejando el de la operadora , hay que ponerlo en modo punto de acceso y abrir el puerto a la ip del mk.
El Pepe siempre ha de hacer de router con NAT (puedes prescindir del firewall, si lo colocas detrás de un router de operadora) o colisionarás los dominios de broadcast. Date cuenta que un EoIP es como un cable que te une virtualmente con el segmento del primer router. Si el segundo equipo lo haces AP, colisionarías los dos segmentos de broadcast de ambos routers de operadora (como si tuvieras dos routers con dos dhcp’s conectados a un mismo switch.

Saludos!
 
Coloca esta regla delante de la que tiene el comentario “defconf: …”


El Pepe siempre ha de hacer de router con NAT (puedes prescindir del firewall, si lo colocas detrás de un router de operadora) o colisionarás los dominios de broadcast. Date cuenta que un EoIP es como un cable que te une virtualmente con el segmento del primer router. Si el segundo equipo lo haces AP, colisionarías los dos segmentos de broadcast de ambos routers de operadora (como si tuvieras dos routers con dos dhcp’s conectados a un mismo switch.

Saludos!


Nada , no veo "defconf" por ningún lado. Sera por que como el router esta de cero , no tiene nada configurado , solo el manual ?
 
Nada , no veo "defconf" por ningún lado. Sera por que como el router esta de cero , no tiene nada configurado , solo el manual ?
Obviamente. La config de Paco parte de un router sin configuración, y no necesita firewall alguno. La de Pepe, parte de un router con la configuración por defecto de Mikrotik, para que todos podamos seguir el manual y no nos pase lo que te está pasando a ti ahora mismo.

Saludos!
 
Lo primero, muchas gracias por este pedazo de tutorial!

Existe la siguiente situación:

Pepe se marchó a Alemania con un desco UHD de Movistar que le regaló Paco.
Pepe tiene en su casa fibra optica, con un router Fritzbox 7590 con el que se conecta al modem de fibra optica del operador (ONT) via WAN.
La idea es usar 2x mAP RBmAP2nD (que están ya de camino), para no tener que modificar el setup actual tanto de Paco como el de Pepe.
Me gustaría conectar todo por cable si es posible, sin usar el wifi.

El caso es que Pepe va a visitar España en 4 días, y tendrá 3 días para configurarlo jejeje.

He leído alguna configuración para un setup similar, y me gustaría confirmar con vosotros si es correcto.
Esta sería la config de PACO (exacta a la del primer post):
Código:
#######################################
########## ROUTER DE PACO #############
#######################################

############## VARIABLES ##############
:local puertoWireguardPepe "54321"
:local publicKeyWireguardPepe "PUBLIC_KEY_PEPE="
:local subredLanPepe "192.168.88.0/24"
:local direccionDDNSPepe "pepe.pericopalotes.com"
:local nombreRouterPaco "gorron"

############## WIREGUARD ##############
# Creamos una nueva interfaz para este propósito
# Obviamos el puerto, no lo vamos a usar
/interface/wireguard
add name=wg-sts-iptv
# Creamos un nuevo peer que representa el router de Pepe
# La public key la cogemos de la interfaz
# wireguard-sts-iptv del router remoto.
# Modificamos el endpoint por la dirección cloud de Pepe
/interface/wireguard/peers
add allowed-address=0.0.0.0/0 endpoint-address=\
  $direccionDDNSPepe endpoint-port=$puertoWireguardPepe \
  interface=wg-sts-iptv \
  public-key=$publicKeyWireguardPepe \
  persistent-keepalive=25s

######### EOIP SOBRE LAS /30 ##########
# Creamos un nuevo túnel EoIP
/interface/eoip
add local-address=172.17.0.2 name=eoip-iptv \
  remote-address=172.17.0.1 tunnel-id=0 mtu=1500

############ NUEVOS BRIDGES ###########
# Creamos el nuevo bridge con igmp-snooping para IPTV,
# además del bridge normal del router que usaremos
# como interfaz de loopback, para administración
/interface/bridge
add admin-mac=[/interface/ethernet/get ether2 mac-address] \
    auto-mac=no name=bridge-lo
add igmp-snooping=yes name=bridge-iptv
# Metemos cada puerto en su sitio, ether1 = router del operador
# ether2 = lo reservamos como puerto de administración
# si queremos aprovechar todos los puertos como switch,
# metermos todos ellos en el bridge iptv +  el túnel EoIP
/interface/bridge/port
add bridge=bridge-lo interface=ether2
add bridge=bridge-iptv interface=ether1
add bridge=bridge-iptv interface=eoip-iptv

########### DIRECCIONAMIENTO ##########
# Direccionamos el bridge loopback y el túnel
/ip/address
add address=192.168.79.1/24 interface=bridge-lo
add address=172.17.0.2/30 interface=wg-sts-iptv

########## DHCP ADMINISTRACION  #######
/ip/pool
add name=pool-lo ranges=192.168.79.2-192.168.79.254
/ip/dhcp-server
add address-pool=pool-lo interface=bridge-lo name=dhcp-lo
/ip/dhcp-server/network
add address=192.168.79.0/24 gateway=192.168.79.1

####### CREAMOS LA INTERFAZ WAN #######
# Nuestra WAN = bridge-iptv, como switch que somos
# Levantaremos un cliente DHCP para obtner IP
# y salida a internet, para poder llamar a casa
# obtendremos una ruta por defecto y un DNS
/ip/dhcp-client
add interface=bridge-iptv

########## DNS SERVER BACKUP ##########
# Le damos  un DNS de backup, por si nos
# falla el que entregue el cliente DHCP
/ip/dns
set servers=1.1.1.1,1.0.0.1

############ RUTA ESTÁTICA ############
# Esto le permitirá a Pepe administrar
# el router gorrón en remoto. Suponemos
# 192.168.88.0/24 segmento pricipal LAN
# de Pepe el cual alcanzamos al otro lado
# del túnelWireGuard, 172.17.0.1
/ip/route
add dst-address=$subredLanPepe gateway=172.17.0.1

############### WIRELESS  #############
# Como no lo usamos, lo desactivamos
/interface/wireless
set [find] disabled=yes

############ HORA Y NOMBRE ############
# Establecemos la franja horaria del equipo
/system/clock
set time-zone-name=Europe/Madrid
# y le damos un nombre
/system/identity
set name=$nombreRouterPaco

Y esta la config de Pepe (cogida de un post de @pokoyo para un caso similar), partiendo de un reset SIN configuración por defecto (entiendo que al ser un copy paste hay que editar ciertas cosas todavía, como los bridges):
Código:
#######################################
########## ROUTER DE PEPE #############
#######################################
/interface bridge
add admin-mac=4C:5E:0C:AA:7F:5F auto-mac=no comment=LAN-Pepe name=bridge
add igmp-snooping=yes name=bridge-iptv comment=LAN-Paco

/interface wireless
set [ find default-name=wlan1 ] band=2ghz-g/n channel-width=20mhz \
disabled=no distance=indoors frequency=2412 installation=indoor mode=\
ap-bridge ssid=WiFi01 wireless-protocol=802.11

############## WIREGUARD ##############
# Creamos una nueva interfaz para este propósito
/interface wireguard
add listen-port=54321 mtu=1420 name=wg-iptv

# Creamos un nuevo peer que representa al router gorrón
# La public key la cogemos de la interfaz de dicho router
# remoto, el router gorrón
/interface wireguard peers
add endpoint-address=numerodeseriepaco.sn.mynetname.net endpoint-port=54321 \
interface=wg-iptv persistent-keepalive=25s allowed-address=172.17.0.2/30 \
public-key="CLAVE_PUBLICA_INTERFAZ_WIREGUARD_EN_PACO"

######### EoIP SOBRE LAS /30 ##########
# Creamos un nuevo túnel EoIP
/interface eoip
add local-address=172.17.0.1 mtu=1500 name=eoip-iptv
remote-address=172.17.0.2 tunnel-id=0

/interface bridge port
add bridge=bridge-iptv comment=LAN-Paco interface=ether2
add bridge=bridge-iptv comment=LAN-Paco interface=ether3
add bridge=bridge-iptv comment=LAN-Paco interface=ether4
add bridge=bridge-iptv comment=LAN-Paco interface=wlan1
add bridge=bridge-iptv comment=LAN-Paco interface=eoip-iptv
add bridge=bridge comment=LAN-Pepe interface=ether5

/ip pool
add name=pool-pepe ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=pool-pepe interface=bridge name=dhcp-server-pepe
/ip dhcp-server network
add address=192.168.88.0/24 comment=dhcp-network-pepe dns-server=8.8.8.8,1.1.1.1 gateway=192.168.88.1

/ip address
add address=192.168.88.1/24 comment=LAN-Pepe interface=bridge network=192.168.88.0
add address=172.17.0.1/30 interface=wg-iptv network=172.17.0.0

# Activamos el servicio DDNS que nos regala mikrotik
# El formato de nuestro dominio es siempre el mismo serial.sn.mynetname.net,
# siendo "serial" el número de serie del equipo
# Se puede consultar el dominio con el comando "/ip cloud print",  una vez activo.
/ip cloud
set ddns-enabled=yes

/ip dhcp-client
add comment=defconf interface=ether1
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface=ether1

/system clock
set time-zone-name=Europe/Madrid

# Añadimos un usuario con todos los permisos al sistema
# Y borramos el usuario admin, por seguridad
# Cambiar en nombre y contraseña a gusto de consumidor
/user add name=pericopalote group=full password=pass4dminR0ut3r
/user remove admin

# Le damos un nombre al equipo y hemos terminado
/system identity
set name=alemania

Además, Pepe tendría que abrir el puerto 54321 en su router Fritzbox.

Preguntas de un novato en mikrotik:
- Hay algo más que tenga que configurar, que se me haya pasado?
- Es posible reiniciar el tunel si este se cae? He visto que @diamuxin ha compartido su config, pero no entiendo muy bien como implementarla :(

Entiendo que todo son scripts que se cargan en el router, ya sea via terminal o WebFig

Mientras tanto, voy a seguir mirando tutoriales para principiantes en el foro
 
Última edición:
- Hay algo más que tenga que configurar, que se me haya pasado?
Lo primero que tienes que entender es lo que estás haciendo. ¿entiendes las configuraciones? Porque, tal y como las pintas, no van a funcionar, necesitas rellenar los huecos (variables de entorno y referencias a cosas del otro router)

- Es posible reiniciar el tunel si este se cae? He visto que @diamuxin ha compartido su config, pero no entiendo muy bien como implementarla :(

Entiendo que todo son scripts que se cargan en el router, ya sea via terminal o WebFig
Los túneles, de normal, se mantienen arriba, a menos que algo lo impida. Te puede pasar que si los equipos que manejan la IP pública (los que tienes por encima) cambien la IP, tengas un rato hasta que se enteren y actualicen el DDNS. Y, en el peor de los casos, que te toque reiniciar ambos mikrotik. Puedes intentar paliarlo con scripts y su manejo es idéntico al resto de cosas que ves: vía terminal.

Saludos!
 
Lo primero que tienes que entender es lo que estás haciendo. ¿entiendes las configuraciones? Porque, tal y como las pintas, no van a funcionar, necesitas rellenar los huecos (variables de entorno y referencias a cosas del otro router)


Los túneles, de normal, se mantienen arriba, a menos que algo lo impida. Te puede pasar que si los equipos que manejan la IP pública (los que tienes por encima) cambien la IP, tengas un rato hasta que se enteren y actualicen el DDNS. Y, en el peor de los casos, que te toque reiniciar ambos mikrotik. Puedes intentar paliarlo con scripts y su manejo es idéntico al resto de cosas que ves: vía terminal.

Saludos!
Por como está la configuración de Paco, entiendo que tengo que definir:
- La variable publicKeyWireguardPepe tiene que contener la pub key de pepe, que entiendo que hay una creada por defecto y que se coge a través de la interfaz.
- La subred de pepe (que en mi caso sería la 192.168.2.0/24)
- El la dirección de DDNS voy a usar la que me asigna mi fritzbox
- El nombre que quiera asignar al mikrotek de paco

La configuración de Paco, después de leer bastante por el foro, la tengo clara, aunque no termino de entender muy bien el direccionamiento al loopback:
add address=192.168.79.1/24 interface=bridge-lo

Esto sería lo que yo pondría después de haber leido más tutoriales:

Código:
#######################################
########## ROUTER DE PEPE #############
#######################################

############## VARIABLES ##############
:local puertoWireguardPepe "54321"
:local publicKeyWireguardPaco "PUBLIC_KEY_PACO"
:local nombreRouterPepe "alemania"
:local newusername"XXXXXX"
:local newuserpass"XXXXXX"


############## WIREGUARD ##############
# Creamos una nueva interfaz para este propósito
/interface wireguard
add listen-port=$puertoWireguardPepe name=wg-sts-iptv

# Creamos un nuevo peer que representa al router gorrón
# La public key la cogemos de la interfaz de dicho router
# remoto, el router gorrón
/interface/wireguard/peers
add allowed-address=172.17.0.2/32 \
  comment=gorron-iptv interface=wg-sts-iptv \
  public-key=$publicKeyWireguardPaco

######### EoIP SOBRE LAS /30 ##########
# Creamos un nuevo túnel EoIP
/interface/eoip
add local-address=172.17.0.1 name=eoip-iptv \
  remote-address=172.17.0.2 tunnel-id=0 mtu=1500

########### NUEVO BRIDGE IPTV ##########
# Creamos el nuevo bridge con igmp-snooping
/interface/bridge
add admin-mac=[/interface/ethernet/get ether1 mac-address] \
    auto-mac=no name=bridge-lo
add igmp-snooping=yes name=bridge-iptv
# Metemos los dos puertos implicados en el transporte
# del segmento de L2 del otro lado en el bridge-iptv:
# el eoip-iptv y el ether2 donde conectaremos el desco
/interface/bridge/port
add bridge=bridge-iptv interface=ether2
add bridge=bridge-iptv interface=eoip-iptv

########### DIRECCIONAMIENTO ##########
# Direccionamos el bridge loopback y el túnel
# En caso de error, podremos conectarnos al router
# configurando en nuestro PC una IP estática
# del segmento 192.168.79.x, y conectarnos al
# router usando la direccón IP de respaldo 192.168.79.1
/ip/address
add address=192.168.79.1/24 interface=bridge-lo
# Creamos la dirección /30 de este lado del túnel
add address=172.17.0.1/30 interface=wg-sts-iptv

####### CREAMOS LA INTERFAZ WAN #######
# Nuestra WAN = ether1
# Levantaremos un cliente DHCP para obtner IP
# y salida a internet, para poder llamar a casa
# obtendremos una ruta por defecto y un DNS
/ip/dhcp-client
add interface=ether1

###### DAMOS SALIDA A INTERNET ########
# Aplicamos un masquerade sobre la interfaz
# que nos hace de WAN, en nuestro caso,
# la interfaz ether1, fuera del bridge-itpv
/ip/firewall/nat
add chain=srcnat comment=masq-wan \
out-interface=ether1 action=masquerade

########## DNS SERVER BACKUP ##########
# Le damos  un DNS de backup, por si nos
# falla el que entregue el cliente DHCP
/ip/dns
set servers=1.1.1.1,1.0.0.1

############### WIRELESS  #############
# Como no lo usamos, lo desactivamos
/interface/wireless
set [find] disabled=yes


############ HORA Y NOMBRE ############
# Establecemos la franja horaria del equipo
/system/clock
set time-zone-name=Europe/Madrid
# y le damos un nombre
/system/identity
set name=$nombreRouterPepe

############ SEGURIDAD ############
# Añadimos un usuario con todos los permisos al sistema
# Y borramos el usuario admin, por seguridad
# Cambiar en nombre y contraseña a gusto de consumidor
/user add name=$newusername group=full password=$newuserpass
/user remove admin

Como lo ves ahora?

Y para seguir administrando el mikrotek de pepe como lo haría? me tendría que conectar a eth2?
 
Última edición:
Arriba