MANUAL: Mikrotik, configuraciones básicas ISPs - RouterOS v7

Regla cambiada en el firewalla a la nueva que nos ha dado @pokoyo y funcionando perfectamente.

Con mis conocimientos a mí todavía se me escapa ver en qué es mejor la nueva que la antigua pero si dice @pokoyo que es mejor así puesta queda.
La vieja trabajaba con la dirección de origen (src-address), y permitía que 16 millones y pico (largo) de direcciones tuvieran acceso a todos los servicios de tu router, desde la red IP de movistar para telefonía. La nueva trabaja con ip de destino (dst-address), tipo de tráfico (udp) y puerto (520), permite que esos mismos millones de direcciones lleguen a un único servicio de tu router, el de la propagación de rutas RIP

La cosa cambia, mucho. Aunque podéis seguir usando la vieja, insisto. No creo que a telefónica le de por lanzar un ataque masivo desde su red de telefonía intentando entrar en equipos mikrotik. Pero, si alguien lo hiciera y consiguiera lanzar tráfico desde esa red podría, por ejemplo, intentar entrar en todo router que no tuviera contraseña en la cuenta de admin, como pedro por su casa, puesto que esa regla le permitiría llegar a TODOS los servicios del router Mikrotik (winbox, webfig, ftp, ssh, dns, VPNs, etc)

¿Se entiende ahora mejor el cambio? :p

Saludos!
 
Código:
# Creamos la instancia RIP para voip e iptv, para obtener las rutas dinámicas correspondientes a estos servicios
/routing/rip/instance
add afi=ipv4 disabled=no name=rip
/routing rip interface-template
add instance=rip interfaces=vlan3-telefono,vlan2-iptv mode=passive

Recordatorio. Migración rápida. Movistar TV.
Añadir las vlans pertenecientes al teléfono y la televisión en la instancia RIP.

Saludos.

Confirmo que con estas modificaciones sobre la config inicial funciona correctamente Triple-Vlan en Movistar. No obstante, esperamos al compi @pokoyo que seguro que aún afina más la configuración. Cuando la tengas pásamela y probamos, sin problema.


Saludos!
 
Por cierto, y para los que tenéis servicio de TV contratado con Telefónica, ¿notáis pixelaciones en algún momento en video en directo?


Saludos.-
 
add ac-name=ftth service-name=ftth add-default-route=yes disabled=no interface=vlan20 max-mru=1492 \ max-mtu=1492 name=pppoe-out1 user=XXXXXXXXX@digi password=XXXXXXXX

Hola,

He visto que se usan varios valores para max-mru y max-mtu. ¿Es importante cambiar los predeterminados por el valor 1492?

Mi operador es DigiMobil.

Saludos!
 
Hola,

He visto que se usan varios valores para max-mru y max-mtu. ¿Es importante cambiar los predeterminados por el valor 1492?

Mi operador es DigiMobil.

Saludos!
Si quieres aprovechar el tamaño máximo de paquete, sí. No obstante, 1492 será el valor automático de las conexiones PPPoE en las siguientes versiones estables, así que te podrás ahorrar el tener que definirlo a mano.

Saludos!
 
Si quieres aprovechar el tamaño máximo de paquete, sí. No obstante, 1492 será el valor automático de las conexiones PPPoE en las siguientes versiones estables, así que te podrás ahorrar el tener que definirlo a mano.

Saludos!
Entonces queda esperar.
Gracias!
 
Hola,
He migrado mi ac2 a 7.1.1., después he reseteado la configuración (sin marcar default config), he corrido el quick setup inicial.
Después de todo esto he enviado la 3 líneas del setup del ISP de Pepephone pero no tengo internet.

/interface/vlan add interface=ether1 name=internet vlan-id=20
/ip/dhcp-client add interface=internet
/interface/list/member set [find where interface=ether1 and list=WAN] interface=internet

Necesito de vuestra ayuda, pfv.
 
Hola,
He migrado mi ac2 a 7.1.1., después he reseteado la configuración (sin marcar default config), he corrido el quick setup inicial.
Después de todo esto he enviado la 3 líneas del setup del ISP de Pepephone pero no tengo internet.
Necesito de vuestra ayuda, pfv.
Dale un export porfa, que lo revisamos. Usa la herramienta para insertar código del foro, no lo insertes como texto normal, que se descojona.

Saludos!
 
Hola y gracias,

aquí está mi export del config.src

Código:
# jan/20/2022 20:20:01 by RouterOS 7.1.1
# software id = ZM5K-TNIK
#
# model = RBD52G-5HacD2HnD
# serial number = C6140EFxxxx
/interface bridge
add admin-mac=2C:C8:xx:xx:xx:F9 auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
    country=spain distance=indoors frequency=auto installation=indoor mode=\
    ap-bridge ssid=NET wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=\
    20/40/80mhz-XXXX country=spain distance=indoors frequency=auto \
    installation=indoor mode=ap-bridge ssid=NET_5G wireless-protocol=\
    802.11
/interface vlan
add interface=ether1 name=internet vlan-id=20
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/ip pool
add name=dhcp ranges=192.168.1.2-192.168.1.253
/ip dhcp-server
add address-pool=dhcp interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=internet list=WAN
/ip address
add address=192.168.1.1/24 comment=defconf interface=bridge network=\
    192.168.1.0
/ip dhcp-client
add comment=defconf interface=ether1
add interface=internet
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf dns-server=192.168.88.1 gateway=\
    192.168.1.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.1.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/system clock
set time-zone-name=Europe/Madrid
/system routerboard settings
set cpu-frequency=auto
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
 
Última edición:
Eso tiene buena pinta. ¿Coge IP el cliente dhcp que tienes corriendo sobre la interfaz “internet”? Sino hay que revisar lo que tengas delante, porque es probable que no esté en bridge.

Sobra decir que el enlace entre los dos equipos has de hacerlo por ether1, el primer puerto ethernet del mikrotik, que es donde tienes configurada la vlan 20.
Saludos!
 
Poco,
Si no tienes inconveniente, dime dónde puedo mirar si coge ip, pfv.
Tengo la ont pinchada en Lan1.
 
Poco,
Si no tienes inconveniente, dime dónde puedo mirar si coge ip, pfv.
Tengo la ont pinchada en Lan1.
Vas vía winbox o webfig al menú IP > DHCP Client > seleccionas el que pone “internet” y le das un pantallazo al contenido de la pestaña “Status”

Saludos!
 
Hola
pantallazo.
 

Adjuntos

  • Captura.PNG
    Captura.PNG
    25.2 KB · Visitas: 182
Vale, cazado el problema. Hay un bug en el quick set de la v7 y, cuando cambias la subred por defecto de la 192.168.88.1/24 a otra distinta, lo hace todo bien, salvo cambiar el dns en la definición de la red en el DHCP Server.

Ve a IP > DHCP Server, pestaña “Network”, edita la entrada que hay y, donde pone dns server, cambia la IP 192.168.88.1 por la 193.168.1.1

El resto tiene todo una pinta estupenda.

Saludos!
 
Arriba