#Config LAN y config básica desde cero eligiendo tu red 192.168.X.Y/24 preferida
#por si no quieres/no te gusta la 192.168.88.0 y prefieres usar cualquier otra
#escoge la que quieras: 192.168.X.Y (sustituye X para que coincida con la IP LAN de tu preferencia, por ejemplo 192.168.100.0)
#(tendrás que sustituir Y si quieres hacer más adaptaciones, si no deja Y como está)
#según la IP que escojas tendrás que cambiar X en el resto de la config
#verás en la config este tipo: 192.168.X.Y donde X es lo que tienes que sustituir por el número que quieras asignar a tu red
#en esta config el rango DHCP está reducido, útil si usas el rango 100-254 para direcciones estáticas y no solo el rango 1-9
#IMPORTANTE, AL RESETEAR EL ROUTER SÍ TIENES QUE MARCAR LA OPCIÓN DE "NO DEFAULT CONFIG"
#DE ESTA MANERA ESCOGES TU LAN Y CONFIGURAS EL DHCP Y LA TRIPLE VLAN DE MOVISTAR DE UNA
#SIN USAR LA CONFIG POR DEFECTO
#Aquí hay una pequeña pega, y es que tendrás que poner la MAC por defecto de tu Router
# donde dice admin-mac=XX:XX:XX:XX:XX:XX tienes que sustituir las X por tu MAC
#si haces un reset sin marcar "NO DEFAULT CONFIG" lo modificas con tus IP y luego montas un .rsc te ahorras meter la MAC a mano
/interface bridge
add admin-mac=XX:XX:XX:XX:XX:XX auto-mac=no comment=defconf name=bridge
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
#Aprovecha y pon el nombre que tu quieras a tu Mikrotik por uno que identifiques o que te mole
#recuerda cambiar #INSERTA NOMBRE# por el nombre que elijas
#Ejemplo: "supplicant-identity=Mi_Router_Molon"
set [ find default=yes ] supplicant-identity=#INSERTA NOMBRE#
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/ip pool
#Aquí reduzco el DHCP. Si quieres puedes reducirlo o asignar el rango que quieras
#pero ten en cuenta que tendrás que adaptar el DHCP para la IPTV más tarde
#en esta config el DHCP asigna de la 10 a la 99
#recuerda sustituir la X por el número que quieras asignar
add name=default-dhcp ranges=192.168.X.10-192.168.X.99
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
#Recuerda sustituir las X por el número de tu preferencia
/ip address
add address=192.168.X.1/24 comment=defconf interface=bridge network=\
192.168.X.0
/ip dhcp-client
add comment=defconf interface=ether1
/ip dhcp-server network
add address=192.168.X.0/24 comment=defconf dns-server=192.168.X.1 gateway=\
192.168.X.1
/ip dns
set allow-remote-requests=yes
#Recuerda sustituir la X por el número de tu preferencia
#El firewall es el de por defecto, seguramente se puedan eliminar:
#cosas como el CAPSMAN si no usas WiFi de Mikrotik
#cosas como IPSec si no usas este tipo de conexión
#etc
/ip dns static
add address=192.168.X.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
33434-33534 protocol=udp
add action=accept chain=input comment=\
"defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
ipsec-esp
add action=accept chain=input comment=\
"defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
"defconf: drop everything else not coming from LAN" in-interface-list=\
!LAN
add action=accept chain=forward comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
"defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
ipsec-esp
add action=accept chain=forward comment=\
"defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
"defconf: drop everything else not coming from LAN" in-interface-list=\
!LAN
/system routerboard settings
set auto-upgrade=yes
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
#Aquí básicamente solo cambio lo que tiene que ver con la elección anterior de la LAN
#y adapto el DHCP al rango reducido
#el resto se queda como está, del gran Pocoyo que sabe más que yo
#recuerda sustituir las X por el número que hayas elegido
#recuerda también sustituir la IP de local iptv por la tuya
####################################################
# MOVISTAR TRIPLE VLAN, TODO EN UN BRIDGE (HW = OFF)
####################################################
# Extraer la IP siguiente de la tabla de VLANs del
# router de Movistar, la que va sobre la vlan 2
# Calcular el CIDR de la máscara en función del número
# 255.128.0.0 -> /9
# 255.192.0.0 -> /10
# ¡¡¡CAMBIAR IP ANTES DE IMPORTAR EL FICHERO!!!
# Ejemplo:
:local iptv 10.192.230.50/9
####################################################
/interface/bridge
set 0 igmp-snooping=yes
/interface/vlan
add interface=ether1 name=vlan2-iptv vlan-id=2
add interface=ether1 name=vlan3-telefono vlan-id=3
add interface=ether1 name=vlan6-internet vlan-id=6
/interface/pppoe-client
add add-default-route=yes disabled=no interface=vlan6-internet \
name=internet use-peer-dns=yes user=adslppp@telefonicanetpa \
password=adslppp
/interface/list
add comment=vlans-iptv-voip name=VLANs2&3
/interface/list/member
set [find where interface=ether1 and list=WAN] interface=internet
add interface=vlan2-iptv list=VLANs2&3
add interface=vlan3-telefono list=VLANs2&3
/ip/dhcp-server/option
add code=240 name=opch-imagenio value="':::::239.0.2.29:22222'"
#Este es el rango que tienes que adaptar según hayas declarado el DHCP
#El segundo rango es el que corresponde a la IPTV y no debe solaparse con el primer rango
#Si no tocaste el DCHP en la LAN puedes dejarlo tal cual
#Recuerda sustituir las X por el número que hayas elegido para tu LAN
/ip/pool
set [find name=default-dhcp] ranges=192.168.X.10-192.168.X.80
add name=iptv-dhcp ranges=192.168.X.81-192.168.X.94
/ip/dhcp-server/matcher
add address-pool=iptv-dhcp code=60 name=descos server=defconf \
value="[IAL]"
#Sustituye las X de nuevo por el número que has elegido para tu red
/ip/dhcp-server/network
add address=192.168.X.80/28 comment=iptv-network \
dhcp-option=opch-imagenio dns-server=172.26.23.3 \
gateway=192.168.X.1 netmask=24
/ip/dhcp-client
add interface=vlan3-telefono add-default-route=no \
use-peer-ntp=no use-peer-dns=no
/ip/address
add address=$iptv interface=vlan2-iptv
/ip/firewall/filter
add action=accept chain=input comment="vlans: accept voip and iptv vlans" \
in-interface-list=VLANs2&3 place-before=\
[find where comment="defconf: drop all not coming from LAN"]
/ip/firewall/nat
add action=masquerade chain=srcnat comment="VLANs2&3: masquerade" \
out-interface-list=VLANs2&3
#Esta línea creo que ha sido un problema/dolor de cabeza durante bastante tiempo
#Me alegra mucho que por fin se puedan poner varios decos y usar VOD sin problema
/ip/firewall/service-port
set [find name=rtsp] disabled=no
/routing/igmp-proxy
set query-interval=30s quick-leave=yes
/routing/igmp-proxy/interface
add alternative-subnets=0.0.0.0/0 interface=vlan2-iptv upstream=yes
add interface=bridge
/routing/rip/instance
add afi=ipv4 disabled=no name=rip
/routing rip interface-template
add instance=rip interfaces=vlan2-iptv,vlan3-telefono mode=passive