MANUAL: Mikrotik, configuraciones básicas ISPs - RouterOS v7

Curioso, añadiendo el 10.8.59.0 a las routes y corrigiendo que algunos eran /24 y solo uno /23, queda así
[admin@MikroTik] /ip/route> print
Flags: D - DYNAMIC; A - ACTIVE; c, s, v, y - COPY
Columns: DST-ADDRESS, GATEWAY, DISTANCE
# DST-ADDRESS GATEWAY DISTANCE
DAv 0.0.0.0/0 internet 1
;;; iptv
0 As 10.8.57.0/24 10.216.11.1 1
;;; iptv
1 As 10.8.58.0/24 10.216.11.1 1
;;; iptv
2 As 10.8.59.0/24 10.216.11.1 1
;;; iptv
3 As 10.15.220.0/24 10.216.11.1 1
;;; iptv
4 As 10.179.32.0/23 10.216.11.1 1
DAc 10.216.11.0/24 iptv 0
DAc 87.235.0.10/32 internet 0
DAc 192.168.88.0/24 bridge 0

se pueden ver los 7 dias parece ser, he hecho 10 pruebas con exito, pero no el directo
 
De momento deja a un lado el tema del SFP, que tiempo tendrás de ponerlo. Dale un pantallazo a los siguientes apartados del mikrotik, porfa:

IP -> Address

IP -> Routes

Routing -> IGMP Proxy -> MFC

Bridge -> MDB

La ruta que mencionas no es necesaria, puesto que ya está incluía en la 10.8.58.0/23 (es máscara 23, es decir, cubre la .58 y .59, hosts desde el 10.8.58.1 - 10.8.59.254)

Saludos!
 
Ok, aqui lo tienes he mantenido el 59 ya que poniendo como dices no va los U7D y así si, la razón se me escapa.

Saludos,
 

Adjuntos

  • Captura de pantalla de 2023-01-09 21-48-45.png
    Captura de pantalla de 2023-01-09 21-48-45.png
    57.5 KB · Visitas: 36
  • Captura de pantalla de 2023-01-09 21-47-37.png
    Captura de pantalla de 2023-01-09 21-47-37.png
    60.7 KB · Visitas: 37
Saca la interfaz "iptv" de la lista WAN y le metes una regla de masquerade individual para ella sola, a ver qué hace:
Código: 
# Sacamos la interfaz "iptv" de la lista WAN
/interface list member
remove [find interface=iptv]
# Creamos un masquerade individual, para todo lo que salga por la interfaz "iptv"
/ip firewall nat
add action=masquerade chain=srcnat comment=masq-iptv out-interface=iptv

Si te sigue sin funcionar, modifica la regla de NAT que abre el puerto 161 UDP, y en lugar de in-interface-list=WAN, lo pones el filtro in-interface=iptv, porque no tengo nada claro si estamos abriendo ese puerto para tráfico que tiene que venir por la interfaz internet (pppoe) o la del iptv.

Saludos!
 
Ok, pero ya me tocara hacerlo mañana ya que ahora me pueden matar mis chicas.
Por cierto me he comprado un CISCO SPA112 para conectar el teléfono y ya tenerlo todo.
Gracias por tu ayuda
 
Perfecto!!!!! ahora si que va, ahora hay que cambiar el ether1 por sfp-sfpplus1, que como ya te dije hay una instrucción que no me la coge de ninguna manera, y cuando tenga un momento en casa probaré el teléfono también.
Te paso el export:

# jan/10/2023 06:10:32 by RouterOS 7.6
# software id = Q2GE-GEVI
#
# model = RB4011iGS+
# serial number = 0000
/interface bridge
add admin-mac=08:55:xx:xx:xx:xx auto-mac=no comment=defconf igmp-snooping=yes \
name=bridge
/interface vlan
add interface=ether1 name=iptv vlan-id=105
add interface=ether1 name=vf-wan vlan-id=100
/interface pppoe-client
add add-default-route=yes disabled=no interface=vf-wan name=internet \
use-peer-dns=yes user=ONH00000000@vodafone
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
/port
set 0 name=serial0
set 1 name=serial1
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=ether9
add bridge=bridge comment=defconf interface=ether10
add bridge=bridge comment=defconf interface=sfp-sfpplus1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=internet list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
192.168.88.0
/ip dhcp-client
add add-default-route=no interface=iptv script="if (\$bound=1) do={\r\
\n /ip route {:foreach route in=[find comment=\"iptv\"] do={set \$route g\
ateway=\$\"gateway-address\"}};\r\
\n}" use-peer-dns=no use-peer-ntp=no
/ip dhcp-server lease
add address=192.168.88.254 comment=" ++++++++++++ VODAFONE TV" mac-address=\
B8:EE:xx:xx:xx:xx
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=\
192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment="IPTV: accept vlan iptv traffic" \
in-interface=iptv
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat comment=tivo dst-port=161 in-interface-list=\
WAN protocol=udp to-addresses=192.168.88.254 to-ports=161
add action=masquerade chain=srcnat comment=masq-iptv out-interface=iptv
/ip route
add comment=iptv dst-address=10.8.57.0/24 gateway=10.216.11.1
add comment=iptv disabled=no distance=1 dst-address=10.8.58.0/24 gateway=\
10.216.11.1 pref-src="" routing-table=main scope=30 suppress-hw-offload=\
no target-scope=10
add comment=iptv dst-address=10.15.220.0/24 gateway=10.216.11.1
add comment=iptv dst-address=10.179.32.0/23 gateway=10.216.11.1
add comment=iptv dst-address=10.8.59.0/24 gateway=10.216.11.1
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
33434-33534 protocol=udp
add action=accept chain=input comment=\
"defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
ipsec-esp
add action=accept chain=input comment=\
"defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
"defconf: drop everything else not coming from LAN" in-interface-list=\
!LAN
add action=accept chain=forward comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
"defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
ipsec-esp
add action=accept chain=forward comment=\
"defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
"defconf: drop everything else not coming from LAN" in-interface-list=\
!LAN
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=iptv upstream=yes
add interface=bridge
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
 
Para hacer ese último paso, si te resulta más sencillo, hazlo de manera visual, desde winbox. Lo primero, saca el puerto del bridge (verás que ether1 no lo está tampoco), en el menú Bridge -> Ports.
Segundo ve a Interfaces -> VLAN y edita las dos VLANs, y pones que corran sobre el puerto sfp-sfpplus1, en lugar de ether1.
Por último, ve a Interface -> Interface List y localiza en esa lista la entrada que pone "WAN ether1", editas la entrada y le pones y modificas al interfaz por la sfp-sfpplus1.

Si ves que no te funciona es que el sfp-sfpplus1 no está pasando las vlans de manera transparente hacia abajo o que no soporta multicast, y en ese fregado no me voy a meter. Ahí, "go your own way", quien te haya vendido el chisme, que se responsabilice de que funcione.


Me gustaría probar un par de cosas más. No me acaba de gustar cómo queda el paso manual que hay que dar con la reserva del DHCP y la apertura del puerto del 161UDP a la IP que reservamos. Se me ocurren dos maneras de hacerlo:
- Tal y como lo hacen ellos con un pool pequeñito de 3 dispositivos y puertos aleatorios mapeados en el NAT: no me gusta esta idea demasiado, porque tendrías 3 entradas (o alguna más si partimos el pool en un /29) en el NAT, de las cuales únicamente una va a estar en uso (doy por hecho que no tienes más decos)
- Usando UPnP: no es un protocolo que me apasione, pero en este caso puede tener más sentido. Nos olvidaríamos de la reserva de direcciones y de la regla de NAT, y ambas cosas se harían a petición del desco (si es que sabe hablar y pedir una apertura de puertos usando dicho protocolo)

Lo primero sé como se hace y es muy simple, pero no me gusta nada, así que vamos aprobar si no te importa lo segundo. Básicamente sería, sobre tu configuración actual, hacer los siguientes pasos:
- Ir a la reserva de direcciones del dhcp (IP > DHCP Server Leases) y localizar la que tenemos reservada como estática. La seleccionas y deshabilitas (aspa roja).
- Ir al NAT (IP -> Firewall - > NAT) y hacer lo mismo con la regla de apertura del puerto 161 UDP
- Activar UPnP, de la siguiente manera:
Código: 
/ip upnp interfaces
add interface=internet type=external
add interface=iptv type=external
add interface=bridge type=internal
/ip upnp
set enabled=yes

Una vez hecho esto, usa el deco y ve a IP -> Firewall -> NAT y mira si se crea alguna entrada dinámica. Y, obviamente, si el tema funciona o no.

PS: de tu último export veo que seguistes mis instrucciones a medias. Te mandé tres cambios (sacar la interfaz de la lista WAN, crear un masquerade propio y modificar la regla de NAT), de los cuales el último no está hecho. Si aun así funciona, me planteo para qué necesita el deco ese puerto abierto, y todo este jaleo último sobraría. No obstante, haz por favor la prueba que te digo, que lo tenemos ya a la vista.

Saludos!
 
Buenas,

"PS: de tu último export veo que seguistes mis instrucciones a medias. Te mandé tres cambios (sacar la interfaz de la lista WAN, crear un masquerade propio y modificar la regla de NAT), de los cuales el último no está hecho. Si aun así funciona, me planteo para qué necesita el deco ese puerto abierto, y todo este jaleo último sobraría. No obstante, haz por favor la prueba que te digo, que lo tenemos ya a la vista."

Entendí que debía de hacerlo si no funcionaba, pero como funciono no hice ningún cambio. Intento seguir tus indicaciones a "pies juntillas", si lo entendí mal hago el cambio y compruebo, pero ya a la tarde que se vuelve abrir "la ventana de cambios" en casa. ;)

En cuanto a lo del sfp-sfpplus1, compre el original de Mikrotik y el recomendado para su funcionamiento con el equipo, muchas veces lo compatible cuando empiezas a pedir cosas deja de ser "tan compatible", y me funciona como puerto ethernet sin ningún problema. Lo que creo que utilizo el "quick set" para hacer el cambio de ether1 a sfp-sfpplus1 en la configuración inicial e igual hace algo mas que no me deja hacer la orden que comentaba.


No obstante eso será lo último que haga, cuando terminemos con esto me he de poner con la configuración del teléfono, que por lo pronto en el router solo tengo que asignarle una dirección al SPA112 y abrirle el puerto 5095, aunque en algunos sitios he leido que hay que abrirle desde 5060 al 5095 pero en los datos que he sacado del router de vf solo habla del 5095

/ip dhcp-server lease
add address=192.168.88.255 comment=" ++++++++++++ VODAFONE TELEFONO" mac-address=XX:XX:XX:XX:XX:XX

/ip firewall nat
add action=dst-nat chain=dstnat comment=Telefono dst-port=5095 in-interface-list=WAN protocol=udp to-addresses=192.168.88.255 to-ports=5095

y configurar el SPA112 con todos los datos que he sacado del router de VF y como no .... cruzar los dedos.

Gracias por tu ayuda.
 
emiralles dijo:
Entendí que debía de hacerlo si no funcionaba, pero como funciono no hice ningún cambio. Intento seguir tus indicaciones a "pies juntillas", si lo entendí mal hago el cambio y compruebo, pero ya a la tarde que se vuelve abrir "la ventana de cambios" en casa. ;)
Haz clic para expandir...
OK, en ese caso, el mapeo del puerto no es obligatorio para que funcione (o no al menos para lo que has probado hasta el momento). No obstante, prueba lo del UPnP cuando puedas (prisa ninguna) y me dices.


emiralles dijo:
En cuanto a lo del sfp-sfpplus1, compre el original de Mikrotik y el recomendado para su funcionamiento con el equipo, muchas veces lo compatible cuando empiezas a pedir cosas deja de ser "tan compatible", y me funciona como puerto ethernet sin ningún problema. Lo que creo que utilizo el "quick set" para hacer el cambio de ether1 a sfp-sfpplus1 en la configuración inicial e igual hace algo mas que no me deja hacer la orden que comentaba.

https://www.amazon.es/gp/product/B00N9ZI0MI/ref=ppx_yo_dt_b_asin_title_o02_s00?ie=UTF8&psc=1
Haz clic para expandir...
Vale, falsa alarma. Olvida lo dicho. Pensaba que habías comprado un módulo sfp de los que llevan ont integrada, que dan bastante guerra para estos setup con IPTV. Pregunta tonta, ¿para qué usar este puerto, teniendo un router con 10 puertos gigabit ethernet, de los cuales puedes usar cualquiera como WAN? ¿Te faltan puertos? Lo digo porque la interfaz sfp es 10G, pero ni el módulo que me has mandado ni la ONT lo son. Así que no ganas nada.


emiralles dijo:
No obstante eso será lo último que haga, cuando terminemos con esto me he de poner con la configuración del teléfono, que por lo pronto en el router solo tengo que asignarle una dirección al SPA112 y abrirle el puerto 5095, aunque en algunos sitios he leido que hay que abrirle desde 5060 al 5095 pero en los datos que he sacado del router de vf solo habla del 5095
Haz clic para expandir...
No conozco los parámetros de conexión SIP de Vodafone, pero si quieres investigo y te digo. Me extraña que tengas que abrir ningún puerto en el NAT. En el teléfono tendrás que configurar el servidor SIP y el proxy de salida (si usa) y el SIP ALG del router hará el resto.

Saludos!
 
Buenas,
"Pregunta tonta, ¿para qué usar este puerto, teniendo un router con 10 puertos gigabit ethernet, de los cuales puedes usar cualquiera como WAN? ¿Te faltan puertos? Lo digo porque la interfaz sfp es 10G, pero ni el módulo que me has mandado ni la ONT lo son. Así que no ganas nada."

Pues parece una tontería pero viendo el diagrama del router el sfp tiene conexión de 10G directa al micro, luego no pasa por ningún bridge y esto hace que la conexión sfp sea mas fluida hacia el micro, si la haces que sea la wan en teoría esta debe de mejorar. Por los test que he hecho mejora muy poco pero mejora, al igual que si conecto el Google mesh en ether6, y no conecto nada mas en ese bridge, mejoran los test que me hace el google (igual estoy flipado y son sensaciones o_O)

Por otra parte la instrucciones que he leido de configuración del SPA112 dicen lo que te he comentado antes, asignar dirección y abrir puerto, lo demás es configuración interna en el aparato.

Manual de configuración del CISCO SATA para FTTH de Vodafone | Fibra óptica

Participa en este hilo sobre Manual de configuración del CISCO SATA para FTTH de Vodafone: Hola: Escribo aquí como he conseguido configurar la VoIP para el FTTH de Vodafone. En primer lugar quisiera dar lasgracias a toda la gente que...
www.adslzone.net www.adslzone.net

Saludos,
 

Adjuntos

  • RB4011iGSplusRM_180903.png
    RB4011iGSplusRM_180903.png
    48.3 KB · Visitas: 32
Última edición:
Creo que sí, que son sensaciones tuyas. Tengo ese mismo router, con dos líneas WAN, una línea de 1Gbps conectado a ether2 y otra de 100Mbps a ether1 y el resto de puertos en un bridge. El equipo va sobradísimo. Pero sobrado hasta el punto de no arañarle < 20% CPU durante un test de velocidad. Vamos, que la mejora que planteas no la vas a notar, ni de lejos. Y, si te preocupa, saca los puertos 2-5 del bridge y los deshabilitas si no los usas. Así sabrás que tienes una línea de 2,5Gbps de conexión directa con la CPU para el único puerto (ether1) activo en ese switch chip, todo para tu WAN. Y ether 6-10, que van en otra línea, al bridge.

Usaría ese puerto, por ejemplo, para una unión de fibra con un switch de 10Gbps. Para eso, sí le sacarías partido.

Saludos!
 
Bueno hecha la prueba upnp y perfecto, se ve bien y funciona, tanto U7D como la TV directo, no me crea nada en en NAT. Que hago? dejamos lo último y vamos probando ....
 

Adjuntos

  • Captura de pantalla de 2023-01-10 18-55-52.png
    Captura de pantalla de 2023-01-10 18-55-52.png
    65.4 KB · Visitas: 27
emiralles dijo:
Bueno hecha la prueba upnp y perfecto, se ve bien y funciona, tanto U7D como la TV directo, no me crea nada en en NAT. Que hago? dejamos lo último y vamos probando ....
Haz clic para expandir...
Como quieras. Intuía que el deco podía llevar UPnP, pero se ve que no. De todas maneras, vuelve a habilitar la regla de NAT y la mueves abajo de la nueva de masquerade (quedarían los dos masquerades y la de dstnat a continuación) y te fijas si mueve tráfico o no. Es probable que aún no hayas hecho uso de la funcionalidad que necesite ese puerto abierto. Mantén de momento el UPnP, que para la parte de internet, te vendrá bien (los equipos que necesiten abrir un puerto se lo comunicarán al router, y este lo hará automáticamente).

Dale una vuelta a la tv y a todas las opciones del desco, para asegurar el tiro y que no nos dejemos nada en el tintero.

Saludos!
 
pokoyo dijo:
Mira a ver si esto te ayuda: https://www.adslzone.net/foro/fibra...cion-voip-vodafone.366984/page-4#post-3042746

Saludos!
Haz clic para expandir...
Yo tenia esto y me funcionaba:

Código: 
/ip dns static
add address=192.168.6.1 name=mygpon
add address=217.130.174.161 name=ims.vodafone.es
add address=217.130.174.169 name=ims2.vodafone.es


/ip firewall address-list
add address=217.130.174.0/24 list=IMS_Vodafone

/ip firewall nat

add action=dst-nat chain=dstnat comment=ATA_Entrantes dst-port=5060 in-interface-list=Internet protocol=udp src-address-list=IMS_Vodafone \
    to-addresses=192.168.6.9 to-ports=5060
add action=dst-nat chain=dstnat comment=ATA dst-port=16384-16400 in-interface-list=Internet log-prefix=VOZ_IP_NAT protocol=udp \
    src-address-list=IMS_Vodafone to-addresses=192.168.6.9 to-ports=16384-16482
 
Lo del dns static es un buen punto, porque ese dominio no es de dominio público y sólo existirá en los dns de Vodafone.

No obstante, la regla de NAT debería ser innecesaria si el SIP ALG está activado y operando.

Saludos!
 
pokoyo dijo:
Lo del dns static es un buen punto, porque ese dominio no es de dominio público y sólo existirá en los dns de Vodafone.

No obstante, la regla de NAT debería ser innecesaria si el SIP ALG está activado y operando.

Saludos!
Haz clic para expandir...
En mi caso si deshabilitaba la reglas de nat se me cortaban las llamadas a los 5 segundos, ahora tengo O2 y no son necesarias.
 
Debes estar conectado o registrado para responder aquí.

Similar threads

salmonete
Mikrotik Hex - IPTV Pixela con tráfico elevado
Respuestas
7
Visitas
1,096
salmonete
R
VLANS Problema
Respuestas
6
Visitas
685
Rey68
J
L2tp/ipsec no ve servidor truenas y pc de la red
2 3
Respuestas
44
Visitas
2,150
jose maria fernandez
E
Cerbot renovación
Respuestas
2
Visitas
369
pokoyo
G
Home Assistant, DuckDNS y Mikrotik ¿un problema?
Respuestas
9
Visitas
1,057
generalpirata
Arriba