MANUAL: Mikrotik, configuraciones básicas ISPs - RouterOS v7

Hola,

creo que ya sabéis de qué va esto. Vamos a intentar recopilar las configuraciones básicas para echar a andar un mikrotik en las principales compañías proveedoras de internet en España, esta vez para la nueva versión de RouterOS v7, ahora que está considerada versión estable.
El post no es cosa mía, es cosa de todos, así que id compartiendo las configuraciones si os gusta ver este tipo de posts cuando os compráis un mikrotik y buscáis información a la desesperada. Es decir, esto no es sólo cosa mía, lo hacemos entre todos. De vuestra colaboración dependerá lo completo o incompleto que esté dicho post.

Como ya sabéis, todos estos setups parten de la configuración por defecto que monta el router vía el script de auto-configuración después de un reset sin marcar la opción del no default configuration.



Pepephone / MasMóvil / guuk. / Fibra Neba (sin teléfono) [by @pokoyo]

Conexión WAN: ONT Nokia G-010-G-P (Antigua ONT de Neba)​
Tipo de conexión WAN: DHCP​
VLAN Internet: 20​
VLAN Teléfono: N/A​
VLAN TV: N/A​

Configuración
Código:
# Damos de alta la vlan correspondiente, asociada al puerto físico que haga de WAN. Suponemos ONT / Router en bridge, conectada a ether1
/interface/vlan
add interface=ether1 name=internet vlan-id=20

# Creamos (o editamos el existente) cliente DHCP y la asignamos a esa nueva interfaz vlan
/ip/dhcp-client
add interface=internet

# Modificamos la lista WAN con la nueva interfaz de acceso a internet,
# para que apliquen correctamente las reglas de Firewall / NAT sobre ella
/interface/list/member
set [find where interface=ether1 and list=WAN] interface=internet



Movistar, O2 (Internet) [based on @stargate4you, updated by @pokoyo]
Conexión WAN:
ONT Huawei EG8120L
Tipo de conexión WAN: PPPoE: usuario (adslppp@telefonicanetpa) y contraseña (adslppp)
VLAN Internet: 6
VLAN Teléfono: N/A
VLAN TV: N/A

Configuración
Código:
# Dar de alta las vlan de internet. Suponemos ONT/Router bridge en ether1
/interface/vlan
add interface=ether1 name=vlan6-internet vlan-id=6

# Configurar la interfaz PPPoE para que use la vlan de internet
/interface/pppoe-client
add add-default-route=yes disabled=no interface=vlan6-internet \
  name=internet use-peer-dns=yes user=adslppp@telefonicanetpa \
  password=adslppp

# Modificamos la lista WAN con la nueva interfaz de acceso a internet,
# para que apliquen correctamente las reglas de Firewall / NAT sobre ella
/interface/list/member
set [find where interface=ether1 and list=WAN] interface=internet



Movistar, O2 (Internet + VoIP) [original from @stargate4you, updated by @pokoyo]
Conexión WAN:
ONT Huawei EG8120L
Tipo de conexión WAN: PPPoE: usuario (adslppp@telefonicanetpa) y contraseña (adslppp)
VLAN Internet: 6
VLAN Teléfono: 3
VLAN TV: N/A

Configuración
Código:
# Dar de alta las vlans 3 voip y 6 internet. Suponemos ONT/Router modo bridge, en ether1
/interface/vlan
add interface=ether1 name=vlan3-telefono vlan-id=3
add interface=ether1 name=vlan6-internet vlan-id=6

# Configurar la interfaz PPPoE para que use la vlan 6 internet
/interface/pppoe-client
add add-default-route=yes disabled=no interface=vlan6-internet \
  name=internet use-peer-dns=yes user=adslppp@telefonicanetpa \
  password=adslppp

# Modificamos la lista WAN con la nueva interfaz de acceso a internet,
# para que apliquen correctamente las reglas de Firewall / NAT sobre ella
/interface/list/member
set [find where interface=ether1 and list=WAN] interface=internet

# Crear un cliente DHCP para la vlan del teléfono, sin ruta por defecto.
# La ruta necesaria con distancia 120 la creará RIP, dinámicamente.
/ip/dhcp-client
add interface=vlan3-telefono add-default-route=no \
  use-peer-ntp=no use-peer-dns=no

# Aceptar el tráfico en el input del firewall, para que RIP funcione.
# Origen la vlan3-telefono, destino la dirección multicast 224.0.0.9,
# puerto 520 y tipo de tráfico UDP (RIPv2, RFC-2453). La colocamos
# delante de la regla general de DROP que hay en el chain de input.
/ip/firewall/filter
add action=accept chain=input comment="voip: accept rip multicast traffic" \
  in-interface=vlan3-telefono dst-address=224.0.0.9 dst-port=520 protocol=udp \
  place-before=[find where comment="defconf: drop all not coming from LAN"]

# Aplicar masquerade a la salida del VoIP, además de la lista WAN,
# que ya la trae por defecto. Esta regla iría justo debajo del otro masquerade.
/ip/firewall/nat
add action=masquerade chain=srcnat comment="voip: masq voip" \
    out-interface=vlan3-telefono

# Establecer la prioridad de las conexiones vlans (OPCIONAL)
/ip/firewall/mangle
add action=set-priority chain=postrouting new-priority=4 \
  out-interface=vlan3-telefono
add action=set-priority chain=postrouting new-priority=1 \
  out-interface=internet

# Creamos la instancia RIP para voip, para obtener las rutas dinámicas correspondientes a este servicio
/routing/rip/instance
add afi=ipv4 disabled=no name=rip
/routing rip interface-template
add instance=rip interfaces=vlan3-telefono mode=passive



Digimobil (Internet IPv4 + IPv6, Fibra Neba / SMART) [original from @diamuxin, updated by @pokoyo]
Conexión WAN:
ONT Huawei EchoLife HG8010H
Tipo de conexión WAN: PPPoE: Usuario (XXXXXXXX) y contraseña (YYYYYYYY) proporcionados por la operadora
VLAN Internet: 20
VLAN Teléfono: N/A
VLAN TV: N/A

Configuración
Código:
# Añadimos la VLAN del servicio de internet a la interfaz ether1
/interface/vlan
add interface=ether1 name=vlan20-internet vlan-id=20

# Creamos la conexión PPPoE, sobre la vlan previamente creada.
# Usuario y contraseña proporcionado por Digimobil desde atención al cliente previa solicitud.
# Usuario: XXXXXXXXX
# Contraseña: YYYYYYYYY
/interface/pppoe-client
add add-default-route=yes disabled=no interface=vlan20-internet \
  name=internet use-peer-dns=yes user=XXXXXXXXX@digi \
  password=YYYYYYYYY

# Modificamos la lista WAN con la nueva interfaz de acceso a internet,
# para que apliquen correctamente las reglas de Firewall / NAT sobre ella
/interface/list/member
set [find where interface=ether1 and list=WAN] interface=internet


################################
# Configuración IPv6 (OPCIONAL)
################################
# Activamos el cliente DHCP para solicitar la delegación de prefijos en la interfaz pppoe
/ipv6/dhcp-client
add add-default-route=no interface=internet pool-name=pool6 request=address,prefix

# Asignamos el pool6 de direcciones, creado automáticamente, a la interfaz bridge local
/ipv6/address
add from-pool=pool6 interface=bridge

# Reiniciamos la interfaz del PPPoE, para que nos empiece a entregar las direcciones IPv6
/interface/pppoe-client
set [find where name=internet] disabled=yes
/delay 5
/interface/pppoe-client
set [find where name=internet] disabled=no

Si además queremos seguir usando el teléfono, procederemos a crear un PPPoE fake sobre la vlan 20, asignando dicho servidor a un puerto ethernet concreto. Simplemente coged el siguiente código, editad las variables de entorno con vuestro usuario, contraseña y puerto dedicado donde irá conectado el router de Digi (importante, puerto fuera del bridge principal), llevadlo a un fichero pppoe-fake.rsc, subidlo al router (arrastrar y soltar el fichero en winbox) y corred desde terminal import pppoe-fake.rsc
Código:
######################################
############# VARIABLES ##############
######################################
:local usuario "usuario@digi"
:local password "p4ssw0rd"
# Importante: el puerto etherX ha
# de estar fuera del bridge principal
# X es el número de puerto, ej: ether5
:local puerto "etherX"
######################################

/interface vlan
add interface=$puerto name=vlan-wan-fake vlan-id=20
/ppp profile
add local-address=10.0.1.1 name=pppoe-fake remote-address=10.0.1.2
/ppp secret
add name=$usuario password=$password profile=pppoe-fake service=pppoe
/interface pppoe-server server
add default-profile=pppoe-fake disabled=no max-mtu=1492 max-mru=1492 \
  interface=vlan-wan-fake service-name=pppoe-server-fake

Vodafone / Lowi Neba (Internet) [original from @Dexter91 & @ectoplasma, updated by @pokoyo]
Conexión WAN:
ONT Nokia G-010G-P
Tipo de conexión WAN: PPPoE: Usuario (XXXXXXXX) y contraseña (YYYYYYYY) extraidos del router de la operadora. Info aquí
VLAN Internet: 24 / 20
VLAN Teléfono: N/A
VLAN TV: N/A

Configuración
Código:
# Añadimos la VLAN del servicio de internet (24 normalmente, aunque también puede venir por la 20)
/interface/vlan
add interface=ether1 name=vlan2x-internet vlan-id=24

# Configurar la interfaz PPPoE para que use la vlan2x-internet
# Usuario y contraseña extraídos de los equipos originales de Vodafone / Lowi
# Usuario: XXXXXXXXX
# Contraseña: YYYYYYYYY
/interface/pppoe-client
add add-default-route=yes disabled=no interface=vlan2x-internet \
  name=internet use-peer-dns=yes user=XXXXXXXXX \
  password=YYYYYYYYY

# Modificamos la lista WAN con la nueva interfaz de acceso a internet,
# para que apliquen correctamente las reglas de Firewall / NAT sobre ella
/interface/list/member
set [find where interface=ether1 and list=WAN] interface=internet

Euskatel, sobre fibra MasMóvil (sin teléfono) [by @mendizalea]
Conexión WAN: ZTE F6640 (bridge mode)​
Tipo de conexión WAN: DHCP​
VLAN Internet: 10​
VLAN Teléfono: N/A​
VLAN TV: N/A​

Configuración
Código:
# Damos de alta la vlan correspondiente, asociada al puerto físico que haga de WAN. Suponemos ONT / Router en bridge, conectada a ether1
/interface/vlan
add interface=ether1 name=internet vlan-id=10

# Creamos (o editamos el existente) cliente DHCP y la asignamos a esa nueva interfaz vlan
/ip/dhcp-client
add interface=internet

# Modificamos la lista WAN con la nueva interfaz de acceso a internet,
# para que apliquen correctamente las reglas de Firewall / NAT sobre ella
/interface/list/member
set [find where interface=ether1 and list=WAN] interface=internet


Movistar triple play (RouterOS >= 7.5) [by @pokoyo]
Conexión WAN: ONT​
Tipo de conexión WAN: PPPoE (internet) / IPoE (voz y tv)​
VLAN Internet: 6​
VLAN TV: 2​
VLAN Teléfono: 3​
Sip Server: telefonica.net​
Outbound proxy: 10.31.255.134:5070​

Configuración
Código:
####################################################
# MOVISTAR TRIPLE VLAN, TODO EN UN BRIDGE (HW = OFF)
####################################################
# Extraer la IP siguiente de la tabla de VLANs del
# router de Movistar, la que va sobre la vlan 2
# Calcular el CIDR de la máscara en función del número
# 255.128.0.0 -> /9
# 255.192.0.0 -> /10
# ¡¡¡CAMBIAR IP ANTES DE IMPORTAR EL FICHERO!!!
# Ejemplo:
:local iptv 10.192.230.50/9
####################################################
/interface/bridge
set 0 igmp-snooping=yes

/interface/vlan
add interface=ether1 name=vlan2-iptv vlan-id=2
add interface=ether1 name=vlan3-telefono vlan-id=3
add interface=ether1 name=vlan6-internet vlan-id=6

/interface/pppoe-client
add add-default-route=yes disabled=no interface=vlan6-internet \
  name=internet use-peer-dns=yes user=adslppp@telefonicanetpa \
  password=adslppp

/interface/list
add comment=vlans-iptv-voip name=VLANs2&3

/interface/list/member
set [find where interface=ether1 and list=WAN] interface=internet
add interface=vlan2-iptv list=VLANs2&3
add interface=vlan3-telefono list=VLANs2&3

/ip/dhcp-server/option
add code=240 name=opch-imagenio value="':::::239.0.2.29:22222'"

/ip/pool
set [find name=default-dhcp] ranges=192.168.88.10-192.168.88.239
add name=iptv-dhcp ranges=192.168.88.241-192.168.88.254

/ip/dhcp-server/matcher
add address-pool=iptv-dhcp code=60 name=descos server=defconf \
  value="[IAL]"

/ip/dhcp-server/network
add address=192.168.88.240/28 comment=iptv-network \
  dhcp-option=opch-imagenio dns-server=172.26.23.3 \
  gateway=192.168.88.1 netmask=24

/ip/dhcp-client
add interface=vlan3-telefono add-default-route=no \
  use-peer-ntp=no use-peer-dns=no

/ip/address
add address=$iptv interface=vlan2-iptv

/ip/firewall/filter
add action=accept chain=input comment="vlans: accept voip and iptv vlans" \
  in-interface-list=VLANs2&3 place-before=\
  [find where comment="defconf: drop all not coming from LAN"]

/ip/firewall/nat
add action=masquerade chain=srcnat comment="VLANs2&3: masquerade" \
  out-interface-list=VLANs2&3

/ip/firewall/service-port
set [find name=rtsp] disabled=no

/routing/igmp-proxy
set query-interval=30s quick-leave=yes
/routing/igmp-proxy/interface
add alternative-subnets=0.0.0.0/0 interface=vlan2-iptv upstream=yes
add interface=bridge

/routing/rip/instance
add afi=ipv4 disabled=no name=rip
/routing rip interface-template
add instance=rip interfaces=vlan2-iptv,vlan3-telefono mode=passive


...

Id enviándolas, y las vamos publicando.

Gracias, un saludo!
 
Última edición:
Buenos días.
Yo como no sé mucho de programar configuraciones os voy a dar un consejo.

No os centréis en copiar y pegar configuraciones, intentad entender qué hace cada orden y prestad especial atención a las que pone “name=“ ya que suelen referenciarse posteriormente y si no pones el nombre exactamente igual no te va a funcionar.
 
Mi aportación. Creo que no estaba en el hilo principal.

Digimobil (compatible con Fibra NEBA y SMART) [by @diamuxin]
Conexión WAN:
ONT Huawei EchoLife HG8010H
Tipo de conexión WAN: PPPoE: usuario y contraseña proporcionado por Digimobil.
VLAN Internet: 20
VLAN Teléfono: N/A
VLAN TV: N/A

Configuración

Código:
# Añadimos la VLAN del servicio de internet a la interfaz ether1
/interface vlan
add interface=ether1 name=vlan20 vlan-id=20

# Creamos la conexión PPPoE, sobre la vlan previamente creada.
# Usuario y contraseña proporcionado por Digimobil desde atención al cliente previa solicitud.
/interface pppoe-client
add ac-name=ftth service-name=ftth add-default-route=yes disabled=no interface=vlan20 max-mru=1492 \
    max-mtu=1492 name=pppoe-out1 user=XXXXXXXXX@digi password=XXXXXXXX

# Añadimos la nueva interfaz a la lista WAN
/interface list member
add interface=pppoe-out1 list=WAN

# Configuración IPv6
/ipv6 address
add address=::1 from-pool=pool6 interface=bridge

/ipv6 dhcp-client
add add-default-route=no interface=pppoe-out1 pool-name=pool6 rapid-commit=no request=address,prefix use-peer-dns=no

/ipv6 nd
set [ find default=yes ] disabled=yes
add interface=bridge

NOTA: Si consideras que debe ir en el otro hilo de v6. Lo mueves sin problema.

EDITO: Añadida la configuración IPv6


S@lu2.
 
Última edición:
Buenas,

Sobre la configuración:

Movistar, O2 (Internet + VoIP) [original from @stargate4you, updated by @pokoyo]

He probado la modificación de la regla: /interface/pppoe-client

En versión stable 7.1.1 (equipo Hap ac2) y metiendo la linea como se indica en la configuración, en Actual MTU pone 1480, asi que he vuelto a forzar a indicarle en la configuración 1492.
 
Buenas,

Sobre la configuración:

Movistar, O2 (Internet + VoIP) [original from @stargate4you, updated by @pokoyo]

He probado la modificación de la regla: /interface/pppoe-client

En versión stable 7.1.1 (equipo Hap ac2) y metiendo la linea como se indica en la configuración, en Actual MTU pone 1480, asi que he vuelto a forzar a indicarle en la configuración 1492.

Es la próxima versión (creo que será la 7.2) la que llevará por defecto 1492 en vez de 1480.

Por otro lado si queréis modificar la configuración de Movistar yo tengo la misma pero con ONT Nokia G-010-G-P y funciona perfectamente. Lo digo por si queréis añadirla para que nadie piense que sólo se puede con la Huawei.
 
Es la próxima versión (creo que será la 7.2) la que llevará por defecto 1492 en vez de 1480.

Por otro lado si queréis modificar la configuración de Movistar yo tengo la misma pero con ONT Nokia G-010-G-P y funciona perfectamente. Lo digo por si queréis añadirla para que nadie piense que sólo se puede con la Huawei.
Cierto perdonad, no vi que esto se implementa a partir de la 7.2rc1.
 
Venga, una llamada a los que tienen Vodafone, Jazztel/Orange. Que tengamos un poco de todo ;)

Saludos!
 
@pokoyo, sería interesante actualizar también las config de movistar triple vlan tanto con uno o dos bridges, el problema es que las subió en su día el compi @furny, pero creo que lleva bastante tiempo sin pasar por aquí (espero que esté bien)

Por mi parte no me importa postear la config con la modificación del RIP para vlan2 y vlan3, pero no sé si lo ves correcto o apropiado, al no ser el creador de esa configuración.


Saludos!
 
@pokoyo, sería interesante actualizar también las config de movistar triple vlan tanto con uno o dos bridges, el problema es que las subió en su día el compi @furny, pero creo que lleva bastante tiempo sin pasar por aquí (espero que esté bien)

Por mi parte no me importa postear la config con la modificación del RIP para vlan2 y vlan3, pero no sé si lo ves correcto o apropiado, al no ser el creador de esa configuración.


Saludos!
Si alguno me hace de conejillo de indias, yo las migro. Pero necesito alguien que se preste a probarlas.

Saludos!
 
Como finalmente creo que voy a dejar en producción el 5009 (ahora que lo tengo fino) montaré el 4011 para hacer pruebas, así que si quieres, me pasas la config y probamos con él, sin problema.


Saludos!
 
Como finalmente creo que voy a dejar en producción el 5009 (ahora que lo tengo fino) montaré el 4011 para hacer pruebas, así que si quieres, me pasas la config y probamos con él, sin problema.


Saludos!
El 4011 q tienes, es el modelo q trae wifi o sin? Q usas como wifi con el 5009?

Sldos
 
@g3tokio2005 , el 4011 que tengo es sin wifi. Prefiero que el router no lleve wifi ya que lo tengo metido dentro de la caja de registro de telecomunicaciones de mi vivienda (ICT). Como tengo cableada toda la vivienda, tengo 3 Ap's Huawei Wifi AX3 distribuidos por la vivienda, y conectados por cable al MK. Siempre he preferido tener por separado el tema wifi y el router.

Saludos!
 
Buenos días.

¿Por qué una regla del firewal de la VoIP va a la IP 10.0.0.0/8 y la otra 224.0.0.9?
 
Lo acabo de comentar en el propio código. Nunca me gustó la regla de firewall que teníamos para aceptar el tráfico de la voip en input, por varias razones:

La primera: aceptas toda una subred /8. Es decir 16 millones de direcciones y el chain de input del router es un tema muy delicado, puesto que es tráfico con destino el propio router, no un host de tu red. Segundo, ¿qué pasa si mañana el operador te cambia el rango? Con suerte, si sigue cayendo en el /8, seguirá funcionando. Sino, pues te quedaste sin teléfono (además, tiene poco sentido para un protocolo de enrutamiento dinámico, tener IPs metidas a cascoporro). Tercero: no entendía por qué necesitábamos aceptar en input nada del operador, hasta que me he parado a ver cómo funciona el tema (me leí el RFC de RIPv2): lo único que necesitamos del operador es la ruta dinámica que instala RIP, con distancia 120 para enrutar el tráfico de la VoIP, nada más. El resto de tráfico de las llamadas ya no va por input, sino que es tráfico que entra de normal por el chain de forward, como cualquier otro. Para que RIP funcione y tu router sea "alcanzable" por el protocolo de enrutamiento dinámico, tu router ha de escuchar las peticiones multicast que van dirigidas a la IP 224.0.0.9, puerto 520 UDP en el chain de input. Lo que he hecho ha sido restringir esa regla para que sólo ese tipo de tráfico tenga acceso al propio router.

He estado probando la nueva regla, y parece que funciona igual de bien. No obstante, sed libres de usar la otra regla, mucho más abierta.

Saludos!
 
De todas formas, para una migración rápida, lo único que hay que cambiar de esas configuraciones, hasta donde yo sé, es únicamente la parte de rip. Vamos, que quien quiera, puede ir migrando del tirón hasta que salga la nueva config.

Saludos!
 
Código:
# Creamos la instancia RIP para voip e iptv, para obtener las rutas dinámicas correspondientes a estos servicios
/routing/rip/instance
add afi=ipv4 disabled=no name=rip
/routing rip interface-template
add instance=rip interfaces=vlan3-telefono,vlan2-iptv mode=passive

Recordatorio. Migración rápida. Movistar TV.
Añadir las vlans pertenecientes al teléfono y la televisión en la instancia RIP.

Saludos.
 
Lo acabo de comentar en el propio código. Nunca me gustó la regla de firewall que teníamos para aceptar el tráfico de la voip en input, por varias razones:

La primera: aceptas toda una subred /8. Es decir 16 millones de direcciones y el chain de input del router es un tema muy delicado, puesto que es tráfico con destino el propio router, no un host de tu red. Segundo, ¿qué pasa si mañana el operador te cambia el rango? Con suerte, si sigue cayendo en el /8, seguirá funcionando. Sino, pues te quedaste sin teléfono (además, tiene poco sentido para un protocolo de enrutamiento dinámico, tener IPs metidas a cascoporro). Tercero: no entendía por qué necesitábamos aceptar en input nada del operador, hasta que me he parado a ver cómo funciona el tema (me leí el RFC de RIPv2): lo único que necesitamos del operador es la ruta dinámica que instala RIP, con distancia 120 para enrutar el tráfico de la VoIP, nada más. El resto de tráfico de las llamadas ya no va por input, sino que es tráfico que entra de normal por el chain de forward, como cualquier otro. Para que RIP funcione y tu router sea "alcanzable" por el protocolo de enrutamiento dinámico, tu router ha de escuchar las peticiones multicast que van dirigidas a la IP 224.0.0.9, puerto 520 UDP en el chain de input. Lo que he hecho ha sido restringir esa regla para que sólo ese tipo de tráfico tenga acceso al propio router.

He estado probando la nueva regla, y parece que funciona igual de bien. No obstante, sed libres de usar la otra regla, mucho más abierta.

Saludos!
Regla cambiada en el firewalla a la nueva que nos ha dado @pokoyo y funcionando perfectamente.

Con mis conocimientos a mí todavía se me escapa ver en qué es mejor la nueva que la antigua pero si dice @pokoyo que es mejor así puesta queda.
 
Arriba