MANUAL: Mikrotik, configuraciones básicas ISPs - RouterOS v7

OK!
Lo unico, una duda, despues de la config por defecto tirar del quick set? o configurar lo necesario a mano?
Después de que cargue la config por defectgo, no hace falta que pases por el quick set: puedes ir haciendo los cambios que necesites a mano. El quick set te vale para modificar la config por defecto por algo muy básico (como cambiar el segmento LAN), pero incluso con esas hay algún que otro bug aún en la v7, que por ejemplo no setea correctamente la puerta de enlace en el DHCP cuando cambias el segmento LAN. Así que te recomiendo ir directamente a cambiarlo vía winbox.

Saludos!
 
Después de que cargue la config por defectgo, no hace falta que pases por el quick set: puedes ir haciendo los cambios que necesites a mano. El quick set te vale para modificar la config por defecto por algo muy básico (como cambiar el segmento LAN), pero incluso con esas hay algún que otro bug aún en la v7, que por ejemplo no setea correctamente la puerta de enlace en el DHCP cuando cambias el segmento LAN. Así que te recomiendo ir directamente a cambiarlo vía winbox.

Saludos!
Pues creo que algo pongo mal.
Le doy a System>>Reset Configuration
Ahi no marco nada y pulso en Reset
Se me reinicia el Mikrotik, me conecto y me sale este mensaje.
Foto1.jpg


Le doy a OK
Pero luego miro en firewall por ejemplo y no tengo nada configurado por defecto, esta todo limpio..
He repetido el paso varias veces pero nada...
 
Pues creo que algo pongo mal.
Le doy a System>>Reset Configuration
Ahi no marco nada y pulso en Reset
Se me reinicia el Mikrotik, me conecto y me sale este mensaje.
Ver el adjunto 99441

Le doy a OK
Pero luego miro en firewall por ejemplo y no tengo nada configurado por defecto, esta todo limpio..
He repetido el paso varias veces pero nada...
Me parece que tienes un equipo de gama profesional, ¿puede ser?

Saludos!
 
Si... un CCR1009
Pues esos equipos no llevan script de autoconfiguración, obviamente están pensados para configurarlos desde cero. Dime qué necesitas y te lo paso. Las de firewall, por ejemplo, son estas:
Código:
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" \
    connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" \
    dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=\
    out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=\
    established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" \
    connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" \
    connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

Si tu equipo no tiene wifi ni vas a usar IPSec, podrías resumirlas en estas:
Código:
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" \
    connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=\
    !LAN
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=\
    established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" \
    connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" \
    connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

Saludos!
 
Última edición:
Pues esos equipos no llevan script de autoconfiguración, obviamente están pensados para configurarlos desde cero. Dime qué necesitas y te lo paso. Las de firewall, por ejemplo, son estas:
Código:
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" \
    connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" \
    dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=\
    out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=\
    established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" \
    connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" \
    connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

Si tu equipo no tiene wifi ni vas a usar IPSec, podrías resumirlas en estas:
Código:
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" \
    connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=\
    !LAN
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=\
    established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" \
    connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" \
    connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

Saludos!
OK, si la mayor duda era el tema firewall porque no tenia las reglas por defecto.
Las reviso con estas y listo entiendo.
Gracias!
 
Te paso el script para montar las VLANs y usarlas correctamente. Para que no sea disruptivo, no he reusado las subredes que tienes ahora mismo. No obstante, una vez puesto en marcha, se pueden modificar los pools y DHCP servers y direcciones de las interfaces para poner la .88 y .99 como tienes ahora mismo (las he movido a la .188 y .199 respectivamente).
Cuando ejecutes el la última instrucción perderás acceso al equipo, y simplemente desconectando el cable de red y reconectando deberías estar ya en la VLAN 188, saliendo por una IP con ese direccionamiento. Antes de aplicar el script, has un backup de lo que tienes porfa (FIles -> Backup -> y te lo descargas). Si quieres ejecutar esto de un tirón, mételo en un fichero con extensión .rsc, lo subes al router vía winbox, y desde terminal haces un "import fichero.rsc". Perderás momentáneamente la conexión al equipo pero se debe restarurar tan pronto renueves el lease del DHCP.
Código:
# Creamos las dos vlans que representarán tu red: lan y guests
/interface vlan
add interface=bridge name=vlan-lan vlan-id=188
add interface=bridge name=vlan-guests vlan-id=199 arp=reply-only

# Las direccionamos (luego puedes volve a la 88 y 99, cuando borremos lo viejo)
/ip address
add address=192.168.188.1/24 interface=vlan-lan
add address=192.168.199.1/24 interface=vlan-guests

# Creamos los nuevos pools de direcciones
/ip pool
add name=dhcp-lan ranges=192.168.188.10-192.168.188.254
add name=dhcp-guests ranges=192.168.199.2-192.168.199.254

# Creamos los nuevos servidores DHCP
/ip dhcp-server
add address-pool=dhcp-lan interface=vlan-lan name=dhcp-lan
add address-pool=dhcp-guests interface=vlan-guests name=dhcp-guests add-arp=yes

# Creamos las nuevas subredes para el DHCP
/ip dhcp-server network
add address=192.168.188.0/24 comment=lan dns-server=192.168.188.1 gateway=192.168.188.1 netmask=24
add address=192.168.199.0/24 comment=guests dns-server=8.8.8.8,8.8.4.4 gateway=192.168.199.1 netmask=32

# Asignamos todos los puertos a la nueva VLAN 188 (puedes meter alguno en la 199 para probar)
/interface bridge port
set [find interface=ether2] frame-types=admit-only-untagged-and-priority-tagged pvid=188
set [find interface=ether3] frame-types=admit-only-untagged-and-priority-tagged pvid=188
set [find interface=ether4] frame-types=admit-only-untagged-and-priority-tagged pvid=188
set [find interface=ether5] frame-types=admit-only-untagged-and-priority-tagged pvid=188
set [find interface=ether6] frame-types=admit-only-untagged-and-priority-tagged pvid=188
set [find interface=ether7] frame-types=admit-only-untagged-and-priority-tagged pvid=188
set [find interface=ether8] frame-types=admit-only-untagged-and-priority-tagged pvid=188
set [find interface=ether9] frame-types=admit-only-untagged-and-priority-tagged pvid=188
set [find interface=ether10] frame-types=admit-only-untagged-and-priority-tagged pvid=188
set [find interface=sfp1] frame-types=admit-only-untagged-and-priority-tagged pvid=188

# Creamos una nueva lista para las vlans que queramos aislar
# (de momento una, guests, pero lo dejo abierto a futuro)
/interface list
add name=ISOLATED

# Metemos cada vlan en su lista correspondiente
/interface list member
add interface=vlan-lan list=LAN
add interface=vlan-guests list=ISOLATED

# Metemos una relag que sólo permita salir a internet a lo que esté en la lista ISOLATED
/ip firewall filter
add action=reject chain=forward comment="vlans: guests can only access internet" in-interface-list=\
  ISOLATED out-interface-list=!WAN reject-with=icmp-network-unreachable

# Damos de alta las vlans a filtrar en el bridge.
/interface bridge vlan
add bridge=bridge comment=lan tagged=bridge vlan-ids=188
add bridge=bridge comment=guests tagged=bridge vlan-ids=199

# Modificamos los datapath de CAPsMAN, para que ahora trabajen con vlans
/caps-man datapath
set [find name=datapath-lan] bridge=bridge client-to-client-forwarding=yes local-forwarding=no \
  vlan-mode=use-tag vlan-id=188
set [find name=datapath-guests] bridge=bridge client-to-client-forwarding=no local-forwarding=no \
  vlan-mode=use-tag vlan-id=199

# Permitimos que sobre la nueva intervaz vlan-lan corra CAPsMAN
/caps-man manager interface
add disabled=no interface=vlan-lan

# Habilitamos el bridge vlan filtering
/interface bridge
set 0 frame-types=admit-only-vlan-tagged vlan-filtering=yes

Prueba y me cuentas, no hay prisa, cuando puedas.

Saludos!
Hola,

Disculpa @pokoyo pero he visto este script y me ha resultado muy útil para transformar una configuración básica a base de bridges a una segmentada con VLANs (no sé pero siempre me ha costado comprender esta parte de las VLANS jeje, pero tal como explicas lo veo factible en mi red).

Me ha llamado la atención esta parte de la configuración:

Código:
# Creamos las dos vlans que representarán tu red: lan y guests
/interface vlan
add interface=bridge name=vlan-lan vlan-id=188
add interface=bridge name=vlan-guests vlan-id=199 arp=reply-only

¿Qué sentido tiene limitar el acceso a la tabla ARP? si no añade entradas dinámicas en la tabla ARP, significa que vamos a tener que crear "a mano" las statics leases de los equipos que queramos que accedan a la red de invitados? Porque tengo entendido que la tabla ARP no es recomendable manipularla.

Por otro lado, si quiero aplicar esa configuración con estos bridges que tengo:
- bridge-lan (mi red principal)
- bridge-guests (mi red de invitados)
- bridge-iptv (para propagar la red paco-pepe por mi LAN)
- bridge-vpn (para una vpn tipo rw del tipo IPSEC con certificados que tengo de backup a wireguard)

Entiendo que es el mismo proceso creando VLANs para todas las subredes y meterlas dentro del bridge principal, ¿verdad? además de habilitar la vlan-lan para que mi CAPsMAN funcione bien.

Gracias de nuevo por tu curro!

S@lu2.
 
¿Qué sentido tiene limitar el acceso a la tabla ARP? si no añade entradas dinámicas en la tabla ARP, significa que vamos a tener que crear "a mano" las statics leases de los equipos que queramos que accedan a la red de invitados? Porque tengo entendido que la tabla ARP no es recomendable manipularla.
No limitas el acceso, que sigue pudiendo acceder para leer la tabla. Limitas la creación de entradas en la tabla, por aprendizaje (arp learning o discovery). Esto lo suelo hacer en las redes de invitados para que ningún capullo venga, se plante una ip estática a mano en su dispositivo, y me cree un conflicto. Si ves el DHCP server de esa vlan, verás que es ahí donde se añade dicha entrada, con el parámetro “add-arp-for=yes”. Eso significa que: o pasas por el dhcp, o no navegas. Eso, unido al /32 del network de ese dhcp server, hace que se entreguen IP únicas sin broadcast alguno (máscara de red 255.255.255.255), haciéndole creer al invitado que la red está para él solo, quitándole las ganas escanear el resto de dispositivos de red (no puede, y si cambia la ip y máscara a mano, tampoco). Sólo hay un dispositivo que me ha dado guerra con ese setup: una nintendo switch. Esa cabrita falla el check de conectividad a la la enganches a cualquier red que no sea /24.


Por otro lado, si quiero aplicar esa configuración con estos bridges que tengo:
- bridge-lan (mi red principal)
- bridge-guests (mi red de invitados)
- bridge-iptv (para propagar la red paco-pepe por mi LAN)
- bridge-vpn (para una vpn tipo rw del tipo IPSEC con certificados que tengo de backup a wireguard)
Para la vpn no necesitas bridge, y diría que para el iptv te lo podrías ahorrar, aunque, si eres Pepe, te conviene mantenerlo para asegurar el hardware offloading del bridge principal que lleve las VLANs.


En CAPsMAN, si ves el script que le pasé al compañero, sólo cambian los datapaths. Todo al mismo bridge, pero especificando su VLAN, y que el tráfico va taggeado.

Si te animas, abre un post separado con tu export, que no engorrinemos este mucho más, y lo vemos en concreto para tu caso.

Saludos!
 
Disculpad la intromisión...., relativo a la implementación de vlan's en la configuración en vez de bridges....en el caso de tener algún switch en la red...éste debe ser gestionado, no?

En mi caso tengo bridge-lan y bridge-iptv...., ¿la implementación de vlan's en mi config mejoraría la misma?


Saludos!
 
Disculpad la intromisión...., relativo a la implementación de vlan's en la configuración en vez de bridges....en el caso de tener algún switch en la red...éste debe ser gestionado, no?

En mi caso tengo bridge-lan y bridge-iptv...., ¿la implementación de vlan's en mi config mejoraría la misma?


Saludos!
No es necesario tener un switch administrable, sólo si quieres que ese switch esté enganchado en modo trunk al router y que él también maneje VLANs. Me explico:

- Con un switch administrable: taggearías no sólo el bridge, sino también el puerto que va al switch como trunk, en la config de /interface/bridge/vlan. En el switch, partirías los puertos y los asignarías cada uno a la vlan que quisieras, siendo trunk el puerto que te une al router, y puertos de acceso los demás.
- Sin switch administrable: o conectas el switch directamente a un puerto en modo acceso, y todo lo que vaya al swtich ya está en modo acceso en ese mismo PVID, o montas un puerto híbrido, y pasas tráfico en modo acceso (el que el switch vería) y tráfico taggeado al mismo tiempo (que pasaría por el switch sin pena ni gloria, pero que no daría problemas). Luego, en la otra punta, puedes poner otro router mikrotik y recuperar ese tráfico taggeado.

Es decir, ahora con dibujitos, tendrías estos posibles esquemas.

Con switch gestionable (solución idónea)

1663754017374.png



Con switch no gestionable, enganchado a un puerto de acceso del router

1663754657309.png




Con switch no gestionable, enganchado a un puerto híbrido del rouer

1663755247461.png



No sé si con los dibujitos se entiende mejor. Pero vamos, que no es imprescindible tener un switch gestionable para que tu red tenga vlans.

Saludos!
 
@pokoyo, ha quedado meridiano, mil gracias!

En mi caso, sólo tengo un par de switch (no gestionados) únicamente en la parte de bridge-lan (en mi despacho, para conectar pc, impresora, etc..., y en el salón, donde tengo un AP wifi Huawei, que a su vez hace de switch para la TV, reproductor bluray y demás)

En bridge-iptv, no hay ningún switch, los decos van directamente conectados a los puertos del MK.

En este escenario, grosso modo, ¿crees que merece la pena migrar a vlan's?

EDIT: dentro de bridge-iptv también "cuelgan" un par de túneles eoip vía wireguard (en mi caso soy Paco)

Saludos!
 
@pokoyo, ha quedado meridiano, mil gracias!

En mi caso, sólo tengo un par de switch (no gestionados) únicamente en la parte de bridge-lan (en mi despacho, para conectar pc, impresora, etc..., y en el salón, donde tengo un AP wifi Huawei, que a su vez hace de switch para la TV, reproductor bluray y demás)

En bridge-iptv, no hay ningún switch, los decos van directamente conectados a los puertos del MK.

En este escenario, grosso modo, ¿crees que merece la pena migrar a vlan's?

EDIT: dentro de bridge-iptv también "cuelgan" un par de túneles eoip vía wireguard (en mi caso soy Paco)

Saludos!
A la que tengas una red de invitados, yo movería la implementación a vlans. Es más claro, en mi opinión, que tener varios bridges. Especialmente ahora, donde equipos como el 4011, hEX, hEX-S, hAP-ac3... son compatibles con filtrado de vlans y hardware offloading. Lo que no metería es el bridge-itpv, a menos que tengas un maquinón tipo el 4011, puesto que pierdes el offloading. Ahí sí veo la bonanza de tener ese bridge por separado.

Saludos!
 
Tengo el 5009, por el momento no he necesitado un bridge-guest (aunque lo planteo a medio plazo).

Con la config y equipo que tengo actualmente ¿recomiendas que lo deje tal cual está? Desconozco si el cambio a vlan's afectaría a subsanar las pixelaciones esporádicas que tengo con video en directo con mi servicio de tv (sigo investigando la causa....)


Saludos!
 
Tengo el 5009, por el momento no he necesitado un bridge-guest (aunque lo planteo a medio plazo).

Con la config y equipo que tengo actualmente ¿recomiendas que lo deje tal cual está? Desconozco si el cambio a vlan's afectaría a subsanar las pixelaciones esporádicas que tengo con video en directo con mi servicio de tv (sigo investigando la causa....)


Saludos!
Prueba. No pierdes nada. En ese caso metetía ambos, vlan-lan y vlan-iptv en el bridge.

Saludos!
 
Buenas, soy nuevo, pero he estado leyendo e investigando en este foro para configurar mi mikrotik con la triple VLAN de movistar, he estado cargando configuraciones pero hay un error que tengo y es que aunque el router tiene conexión a internet ya que si hago ping desde la terminal funciona, los ordenadores conectados al router no consiguen acceder a internet por problemas de DNS, he revisado varias veces las configuraciones mías y aquí puestas y no he encontrado el origen del fallo, si me pudierais ayudar os lo agradecería.
Os paso el archivo de configuración.
Código:
# sep/24/2022 17:31:29 by RouterOS 7.5
# software id = W6RQ-UH69
#
# model = RB4011iGS+
/interface bridge
add add-dhcp-option82=yes dhcp-snooping=yes igmp-snooping=yes \
    multicast-querier=yes name=bridge1
/interface vlan
add interface=ether1 name=vlan2-iptv vlan-id=2
add interface=ether1 name=vlan3-telefono vlan-id=3
add interface=ether1 name=vlan6-internet vlan-id=6
/interface pppoe-client
add add-default-route=yes disabled=no interface=vlan6-internet \
    keepalive-timeout=60 name=internet use-peer-dns=yes user=\
    adslppp@telefonicanetpa
/interface list
add comment=vlans-iptv-voip name=VLANs2&3
add name=LAN
add name=WAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-server option
add code=240 name=opch-imagenio value="':::::239.0.2.29:22222'"
/ip pool
add name=iptv-dhcp ranges=192.168.1.241-192.168.1.254
add name=dhcp_pool1 ranges=192.168.1.10-192.168.1.239
/ip dhcp-server
add address-pool=dhcp_pool1 interface=bridge1 name=dhcp1
/port
set 0 name=serial0
set 1 name=serial1
/routing rip instance
add afi=ipv4 disabled=no name=rip
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether6
add bridge=bridge1 interface=ether7
add bridge=bridge1 interface=ether8
add bridge=bridge1 interface=ether9
add bridge=bridge1 interface=ether10
add bridge=bridge1 interface=sfp-sfpplus1
/interface bridge settings
set use-ip-firewall-for-pppoe=yes use-ip-firewall-for-vlan=yes
/ip settings
set tcp-syncookies=yes
/interface list member
add interface=vlan2-iptv list=VLANs2&3
add interface=vlan3-telefono list=VLANs2&3
add interface=bridge1 list=LAN
add interface=ether1 list=WAN
/ip address
add address=192.168.1.1/24 comment=defconf interface=bridge1 network=\
    192.168.1.0
add address=10.113.108.79/9 comment="Direccion IPTV" interface=vlan2-iptv \
    network=10.0.0.0
add address=192.168.100.10/24 comment="Acceso a la ONT" interface=ether1 \
    network=192.168.100.0
/ip dhcp-client
add add-default-route=no interface=vlan3-telefono use-peer-dns=no \
    use-peer-ntp=no
/ip dhcp-server matcher
add address-pool=iptv-dhcp code=60 name=descos server=*2 value="[IAL]"
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.1 gateway=192.168.1.1
add address=192.168.1.240/28 comment=iptv-network dhcp-option=opch-imagenio \
    dns-server=172.26.23.3 gateway=192.168.1.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,8.8.8.8
/ip dns static
add address=192.168.1.1 name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf:accept established,related,untracked" connection-state=\
    established,related,untracked
add action=accept chain=input comment=\
    "Accept VLAN2 IPTV & VLAN3 VoIP traffic" in-interface-list=VLANs2&3 \
    src-address=10.0.0.0/8
add action=accept chain=input comment="Accept vlan2 IPTV packets" \
    in-interface=vlan2-iptv src-address-list=IPTV-address-list
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 \
    protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow sstp" dst-port=1723 protocol=tcp
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="voip: accept rip multicast traffic" \
    dst-address=224.0.0.9 dst-port=520 in-interface-list=VLANs2&3 protocol=\
    udp
add action=accept chain=input comment="iptv: accpt multicast igmp traffic" \
    in-interface=vlan2-iptv protocol=igmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=set-priority chain=postrouting new-priority=4 out-interface=\
    vlan3-telefono
add action=set-priority chain=postrouting new-priority=4 out-interface=\
    vlan2-iptv
add action=set-priority chain=postrouting new-priority=1 out-interface=\
    internet
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="masq. IPTV traffic" \
    out-interface=vlan2-iptv
add action=masquerade chain=srcnat comment="masq. VoIP traffic" \
    out-interface=vlan3-telefono
add action=dst-nat chain=dstnat comment=VOD dst-address-type=local \
    in-interface=vlan2-iptv to-addresses=192.168.1.199
add action=masquerade chain=srcnat comment="VLANs2&3: masquerade" \
    out-interface-list=VLANs2&3
/ip route
add disabled=yes distance=255 dst-address=0.0.0.0/0 gateway=255.255.255.255 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
/ip upnp interfaces
add interface=bridge1 type=internal
add interface=internet type=external
/routing igmp-proxy
set query-interval=30s quick-leave=yes
/routing rip interface-template
add instance=rip interfaces=vlan2-iptv,vlan3-telefono mode=passive
/system clock
set time-zone-name=Europe/Madrid
 
Tu wan no es ether1, sino la conexión PPPoE. Actualiza esa lista de interfaces, con la interfaz correcta.

Saludos!
 
Tu wan no es ether1, sino la conexión PPPoE. Actualiza esa lista de interfaces, con la interfaz correcta.

Saludos!
Gracias, era ese el problema y ya tengo internet, pero en la velocidad de subida me da poco más de 400Mbps puede ser alguna regla del firewall que esté interfiriendo?
 

Adjuntos

  • Captura de pantalla 2022-09-24 183418.png
    Captura de pantalla 2022-09-24 183418.png
    65 KB · Visitas: 27
Tienes una que funciona en el manual de configuraciones básicas de la v7, sin inventos.

Saludos!
 
Tienes una que funciona en el manual de configuraciones básicas de la v7, sin inventos.

Saludos!
He vuelto a configurarlo desde el principio y esta vez si me da las velocidades correctas, también me funciona el deco y el VOD, solo me queda solucionar problemas con el SIP HT801 que no finaliza bien las llamadas cuando cuelga el otro interlocutor, si veo que no lo consigo lo pregunto en el foro de Voz IP.
Muchas gracias por la ayuda. ^^
 
Arriba