MANUAL: Mikrotik, configuraciones básicas ISPs - RouterOS v7

Venga, una llamada a los que tienen Vodafone, Jazztel/Orange. Que tengamos un poco de todo ;)
Confirmo que la siguiente configuración funciona perfectamente en Jazztel con fibra directa (bueno, de Orange, pero es lo mismo), tanto para Internet como para VoIP, ya que van por la misma VLAN:

Código:
# Damos de alta la vlan correspondiente, asociada al puerto físico que haga de WAN. Suponemos ONT conectada a ether1
/interface/vlan
add interface=ether1 name=internet vlan-id=1074

# Creamos (o editamos el existente) cliente DHCP y la asignamos a esa nueva interfaz vlan
/ip/dhcp-client
add interface=internet

# Modificamos la lista WAN con la nueva interfaz de acceso a internet,
# para que apliquen correctamente las reglas de Firewall / NAT sobre ella
/interface/list/member
set [find where interface=ether1 and list=WAN] interface=internet

La ONT que he usado es una ZTE ZXHN F601, simplemente configurando el password en formato hexadecimal que puedes pillar en abierto en el propio Livebox Fibra de la operadora.

Jazztel no da los datos SIP, pero hubo quien pudo sacarlos con diversos métodos (yo no lo he conseguido). Lo que he hecho es comprar en wallapop un ZTE ZXHN H218N (los hay por 5 euros o menos), le he dado un reset, lo he puesto conectado directo a la WAN para que pille los datos, y luego he seguido los pasos de este post antiguo para ponerlo detrás del Mikrotik. Funciona.

No he tenido que hacer nada más. Ni abrir puertos (el helper SIP ya está activado por defecto en la V7 de RouterOS), ni configurar RIP ni nada más.
 
Mi aportación. Creo que no estaba en el hilo principal.

Digimobil (compatible con Fibra NEBA y SMART) [by @diamuxin]
Conexión WAN:
ONT Huawei EchoLife HG8010H
Tipo de conexión WAN: PPPoE: usuario y contraseña proporcionado por Digimobil.
VLAN Internet: 20
VLAN Teléfono: N/A
VLAN TV: N/A

Configuración

Código:
# Añadimos la VLAN del servicio de internet a la interfaz ether1
/interface vlan
add interface=ether1 name=vlan20 vlan-id=20

# Creamos la conexión PPPoE, sobre la vlan previamente creada.
# Usuario y contraseña proporcionado por Digimobil desde atención al cliente previa solicitud.
/interface pppoe-client
add ac-name=ftth service-name=ftth add-default-route=yes disabled=no interface=vlan20 max-mru=1492 \
    max-mtu=1492 name=pppoe-out1 user=XXXXXXXXX@digi password=XXXXXXXX

# Añadimos la nueva interfaz a la lista WAN
/interface list member
add interface=pppoe-out1 list=WAN

# Configuración IPv6
/ipv6 address
add address=::1 from-pool=pool6 interface=bridge

/ipv6 dhcp-client
add add-default-route=no interface=pppoe-out1 pool-name=pool6 rapid-commit=no request=address,prefix use-peer-dns=no

/ipv6 nd
set [ find default=yes ] disabled=yes
add interface=bridge

NOTA: Si consideras que debe ir en el otro hilo de v6. Lo mueves sin problema.

EDITO: Añadida la configuración IPv6


S@lu2.

Buenas!! Hace poquito que he adquirido un router Mikrotik un HEX S, la intencion es quitar el router que tengo de compañia (DIGI) y conectar el HEX S directamente a la ONT. Esta configuracion seria valida para realizar dicha connexion? Perdonad si la pregunta es obvia pues todavia voy un poco pez... Gracias de antemano!
 
Buenas!! Hace poquito que he adquirido un router Mikrotik un HEX S, la intencion es quitar el router que tengo de compañia (DIGI) y conectar el HEX S directamente a la ONT. Esta configuracion seria valida para realizar dicha connexion? Perdonad si la pregunta es obvia pues todavia voy un poco pez... Gracias de antemano!
Sí, lo es. Tan sólo tendrás que cambiar tu usuario y contraseña del PPPoE.

Saludos!
 
Sí, lo es. Tan sólo tendrás que cambiar tu usuario y contraseña del PPPoE.

Saludos!
Muchas gracias por el trabajo realizado!! Pensaba que tendria que cambiar algun parametro como la ip del wan, porque ahora mismo lo tengo conectado al PC por el puerto 2 y ese parametro chocaria con mi router de compañia que tengo actualmente en servicio no?
 
Si vas a cambiar tu router por el mikrotik, no necesitas nada más. Tu IP pública llegará a tu router, a la interfaz del PPPoE. Y el mikrotik podrás ponerlo en el segmento de red que te de la gana (por defecto vienen en la 192.168.88.0/24)

Saludos!
 
Hola,

creo que ya sabéis de qué va esto. Vamos a intentar recopilar las configuraciones básicas para echar a andar un mikrotik en las principales compañías proveedoras de internet en España, esta vez para la nueva versión de RouterOS v7, ahora que está considerada versión estable.
El post no es cosa mía, es cosa de todos, así que id compartiendo las configuraciones si os gusta ver este tipo de posts cuando os compráis un mikrotik y buscáis información a la desesperada. Es decir, esto no es sólo cosa mía, lo hacemos entre todos. De vuestra colaboración dependerá lo completo o incompleto que esté dicho post.

Como ya sabéis, todos estos setups parten de la configuración por defecto que monta el router vía el script de auto-configuración después de un reset sin marcar la opción del no default configuration.



Pepephone / MasMóvil / guuk. / Fibra Neba (sin teléfono) [by @pokoyo]

Conexión WAN: ONT Nokia G-010-G-P (Antigua ONT de Neba)​
Tipo de conexión WAN: DHCP​
VLAN Internet: 20​
VLAN Teléfono: N/A​
VLAN TV: N/A​

Configuración
Código:
# Damos de alta la vlan correspondiente, asociada al puerto físico que haga de WAN. Suponemos ONT / Router en bridge, conectada a ether1
/interface/vlan
add interface=ether1 name=internet vlan-id=20

# Creamos (o editamos el existente) cliente DHCP y la asignamos a esa nueva interfaz vlan
/ip/dhcp-client
add interface=internet

# Modificamos la lista WAN con la nueva interfaz de acceso a internet,
# para que apliquen correctamente las reglas de Firewall / NAT sobre ella
/interface/list/member
set [find where interface=ether1 and list=WAN] interface=internet



Movistar, O2 (Internet) [based on @stargate4you, updated by @pokoyo]
Conexión WAN:
ONT Huawei EG8120L
Tipo de conexión WAN: PPPoE: usuario (adslppp@telefonicanetpa) y contraseña (adslppp)
VLAN Internet: 6
VLAN Teléfono: N/A
VLAN TV: N/A

Configuración
Código:
# Dar de alta las vlan de internet. Suponemos ONT/Router bridge en ether1
/interface/vlan
add interface=ether1 name=vlan6-internet vlan-id=6

# Configurar la interfaz PPPoE para que use la vlan de internet
/interface/pppoe-client
add add-default-route=yes disabled=no interface=vlan6-internet \
  name=internet use-peer-dns=yes user=adslppp@telefonicanetpa \
  password=adslppp

# Modificamos la lista WAN con la nueva interfaz de acceso a internet,
# para que apliquen correctamente las reglas de Firewall / NAT sobre ella
/interface/list/member
set [find where interface=ether1 and list=WAN] interface=internet



Movistar, O2 (Internet + VoIP) [original from @stargate4you, updated by @pokoyo]
Conexión WAN:
ONT Huawei EG8120L
Tipo de conexión WAN: PPPoE: usuario (adslppp@telefonicanetpa) y contraseña (adslppp)
VLAN Internet: 6
VLAN Teléfono: 3
VLAN TV: N/A

Configuración
Código:
# Dar de alta las vlans 3 voip y 6 internet. Suponemos ONT/Router modo bridge, en ether1
/interface/vlan
add interface=ether1 name=vlan3-telefono vlan-id=3
add interface=ether1 name=vlan6-internet vlan-id=6

# Configurar la interfaz PPPoE para que use la vlan 6 internet
/interface/pppoe-client
add add-default-route=yes disabled=no interface=vlan6-internet \
  name=internet use-peer-dns=yes user=adslppp@telefonicanetpa \
  password=adslppp

# Modificamos la lista WAN con la nueva interfaz de acceso a internet,
# para que apliquen correctamente las reglas de Firewall / NAT sobre ella
/interface/list/member
set [find where interface=ether1 and list=WAN] interface=internet

# Crear un cliente DHCP para la vlan del teléfono, sin ruta por defecto.
# La ruta necesaria con distancia 120 la creará RIP, dinámicamente.
/ip/dhcp-client
add interface=vlan3-telefono add-default-route=no \
  use-peer-ntp=no use-peer-dns=no

# Aceptar el tráfico en el input del firewall, para que RIP funcione.
# Origen la vlan3-telefono, destino la dirección multicast 224.0.0.9,
# puerto 520 y tipo de tráfico UDP (RIPv2, RFC-2453). La colocamos
# delante de la regla general de DROP que hay en el chain de input.
/ip/firewall/filter
add action=accept chain=input comment="voip: accept rip multicast traffic" \
  in-interface=vlan3-telefono dst-address=224.0.0.9 dst-port=520 protocol=udp \
  place-before=[find where comment="defconf: drop all not coming from LAN"]

# Aplicar masquerade a la salida del VoIP, además de la lista WAN,
# que ya la trae por defecto. Esta regla iría justo debajo del otro masquerade.
/ip/firewall/nat
add action=masquerade chain=srcnat comment="voip: masq voip" \
    out-interface=vlan3-telefono

# Establecer la prioridad de las conexiones vlans (OPCIONAL)
/ip/firewall/mangle
add action=set-priority chain=postrouting new-priority=4 \
  out-interface=vlan3-telefono
add action=set-priority chain=postrouting new-priority=1 \
  out-interface=internet

# Creamos la instancia RIP para voip, para obtener las rutas dinámicas correspondientes a este servicio
/routing/rip/instance
add afi=ipv4 disabled=no name=rip
/routing rip interface-template
add instance=rip interfaces=vlan3-telefono mode=passive



Digimobil (Internet IPv4 + IPv6, Fibra Neba / SMART) [original from @diamuxin, updated by @pokoyo]
Conexión WAN:
ONT Huawei EchoLife HG8010H
Tipo de conexión WAN: PPPoE: Usuario (XXXXXXXX) y contraseña (YYYYYYYY) proporcionados por la operadora
VLAN Internet: 20
VLAN Teléfono: N/A
VLAN TV: N/A

Configuración
Código:
# Añadimos la VLAN del servicio de internet a la interfaz ether1
/interface/vlan
add interface=ether1 name=vlan20-internet vlan-id=20

# Creamos la conexión PPPoE, sobre la vlan previamente creada.
# Usuario y contraseña proporcionado por Digimobil desde atención al cliente previa solicitud.
# Usuario: XXXXXXXXX
# Contraseña: YYYYYYYYY
/interface/pppoe-client
add add-default-route=yes disabled=no interface=vlan20-internet \
  name=internet use-peer-dns=yes user=XXXXXXXXX@digi \
  password=YYYYYYYYY

# Modificamos la lista WAN con la nueva interfaz de acceso a internet,
# para que apliquen correctamente las reglas de Firewall / NAT sobre ella
/interface/list/member
set [find where interface=ether1 and list=WAN] interface=internet


################################
# Configuración IPv6 (OPCIONAL)
################################
# Activamos el cliente DHCP para solicitar la delegación de prefijos en la interfaz pppoe
/ipv6/dhcp-client
add add-default-route=no interface=internet pool-name=pool6 request=address,prefix

# Asignamos el pool6 de direcciones, creado automáticamente, a la interfaz bridge local
/ipv6/address
add from-pool=pool6 interface=bridge

# Reiniciamos la interfaz del PPPoE, para que nos empiece a entregar las direcciones IPv6
/interface/pppoe-client
set [find where name=internet] disabled=yes
/delay 5
/interface/pppoe-client
set [find where name=internet] disabled=no



Vodafone / Lowi Neba (Internet) [original from @Dexter91 & @ectoplasma, updated by @pokoyo]
Conexión WAN:
ONT Nokia G-010G-P
Tipo de conexión WAN: PPPoE: Usuario (XXXXXXXX) y contraseña (YYYYYYYY) extraidos del router de la operadora. Info aquí
VLAN Internet: 24 / 20
VLAN Teléfono: N/A
VLAN TV: N/A

Configuración
Código:
# Añadimos la VLAN del servicio de internet (24 normalmente, aunque también puede venir por la 20)
/interface/vlan
add interface=ether1 name=vlan2x-internet vlan-id=24

# Configurar la interfaz PPPoE para que use la vlan2x-internet
# Usuario y contraseña extraídos de los equipos originales de Vodafone / Lowi
# Usuario: XXXXXXXXX
# Contraseña: YYYYYYYYY
/interface/pppoe-client
add add-default-route=yes disabled=no interface=vlan2x-internet \
  name=internet use-peer-dns=yes user=XXXXXXXXX \
  password=YYYYYYYYY

# Modificamos la lista WAN con la nueva interfaz de acceso a internet,
# para que apliquen correctamente las reglas de Firewall / NAT sobre ella
/interface/list/member
set [find where interface=ether1 and list=WAN] interface=internet


...

Id enviándolas, y las vamos publicando.

Gracias, un saludo!
Hola, estoy intentando configurar Digi siguiendo el tuto, todo bien hasta este punto:

set [find where interface=ether1 and list=WAN] interface=internet
¿qué hay que poner entre los corchetes? si lo lanzo tal cual me dice "input does not match any value of interface"

no tengo internet para navegar pero mensajeros como Telegram si funcionan... raro de narices.

Por resumir, lo que quiero es cambiar el router de Digi que viene con ONT integrada por una Ubiquiti Loco y por un MK HAP AC2, algo me falla en la config del MK pues conectado directamente a la ONT Ubiquiti navego y estoy escribiendo este post.

Gracias de antemano
 
Hazlo a mano. Mete la interfaz del pppoe en la lista WAN.

Saludos!
 
Hola, estoy intentando configurar Digi siguiendo el tuto, todo bien hasta este punto:

set [find where interface=ether1 and list=WAN] interface=internet
¿qué hay que poner entre los corchetes? si lo lanzo tal cual me dice "input does not match any value of interface"

no tengo internet para navegar pero mensajeros como Telegram si funcionan... raro de narices.

Por resumir, lo que quiero es cambiar el router de Digi que viene con ONT integrada por una Ubiquiti Loco y por un MK HAP AC2, algo me falla en la config del MK pues conectado directamente a la ONT Ubiquiti navego y estoy escribiendo este post.

Gracias de antemano
Puedes hacerlo "a mano" con webfig. Ve a http://192.168.88.1/webfig/#Interfaces.Interface_List y añade una nueva entrada (o modifica la de ether1) de la forma que ves en la figura:

Captura de pantalla 2022-03-10 a las 22.02.30.png
 
Sí, lo es. Tan sólo tendrás que cambiar tu usuario y contraseña del PPPoE.

Saludos!
Buenas!! He cambiado el router y ahora no tengo acceso a internet. Os expongo mi configuracion a ver si podeis ayudarme. Gracias.
jan/03/1970 00:36:06 by RouterOS 7.1.1
# software id = 8KJY-3BYE
#
# model = RB760iGS
# serial number = E1F10E737853
/interface bridge
add admin-mac=xxxxxxxxxx auto-mac=no comment=defconf name=bridge
/interface vlan
add interface=ether1 name=vlan20 vlan-id=20
/interface pppoe-client
add ac-name=ftth add-default-route=yes disabled=no interface=vlan20 max-mru=\
1492 max-mtu=1492 name=pppoe-out1 service-name=ftth user=xxxxxxxxxx
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=sfp1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=pppoe-out1 list=WAN
/ip address
add address=192.168.1.1/24 comment=defconf interface=bridge network=192.168.1.0
/ip dhcp-client
add comment=defconf interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=\
192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" \
connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\
out,none out-interface-list=WAN
/ipv6 address
add address=::1 from-pool=pool6 interface=bridge
/ipv6 dhcp-client
add interface=pppoe-out1 pool-name=pool6 rapid-commit=no request=address,prefix \
use-peer-dns=no
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
33434-33534 protocol=udp
add action=accept chain=input comment=\
"defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
ipsec-esp
add action=accept chain=input comment=\
"defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
"defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" \
src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" \
dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 \
protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
ipsec-esp
add action=accept chain=forward comment=\
"defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
"defconf: drop everything else not coming from LAN" in-interface-list=!LAN
/ipv6 nd
set [ find default=yes ] disabled=yes
add interface=bridge
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
 
era problema de DNS, quiero cambiar el segmento de red pero cuando lo hago no funciona la connexion... sabeis porque puede ser???
Sí, por un bug del quick set (la primera pantalla que parece un asistente rápido). Lo cambia todo menos el parámetro “Networks” del DHCP.

Dale reset, pasa por el quick ser y ponle el rango que quieras (asegúrate de que lo cambias también en la parte del pool del DHCP). Hecho esto, nos olvidamos del quick set y vamos com Winbox a IP > DHCP Server > Networks. Allí tendrás que modificar la entrada que allí aparece y, donde veas que se ha quedado puesta la IP 192.168.88.1, la cambias por la que hayas elegido para tu segmento LAN.

Saludos!
 
ISP= ORANGE
Conexión= 1Gbps simétrico
Versión Software mikrotik= V 7.1.3


Bueno, pues me animo a subir mi configuración (aviso no soy nada experto) pero antes un breve explicación de como tengo el tinglado.

Aquí mi topología de red que como véis no es nada compleja

mitopologia.JPG



Se trata de sustituir el livebox de la compañía por el mikrotik pero al mismo tiempo usar el Livebox (modelos sin ONT, probados el 2 y el 6+) para tener wifi y teléfono. Además siguiendo las configuraciones que ha publicado la usuaria noemi-abril en su github https://github.com/noemi-abril/ROS71-1OrangeTVwIGMP/blob/main/orangetv1deco.rsc poder usar el deco de Orange con el mikrotik (aviso de que a mi no me funciona del todo).

Varias consideraciones:

1.- El livebox antes de conectarlo así hay que sincronizarlo con la ONT para que descargue los datos SIP. Lo conectamos del puerto 10 del MKT al puerto wan del livebox. Conectamos también un cable de cualquier boca lan del livebox a cualquiera de las bocas lan de la 3 a la 9 del mikrotik y así tenemos el livebox en modo switch y AP de forma que todo lo que se conecta al livebox estará dentro de nuestra red.
En el Livebox hay que desmarcar el servidor dhcp, firewall, etc.. (el trabajo lo va a hacer el miktrotik) y es recomendable asignarle una IP del pool de la red principal para entrar a gestionarlo.

2.- El deco TV se debe conectar a la boca dos del mikrotik y en el apartado leases se le debe asignar la ip que viene en la configuración. De primeras va a tener otra porque yo he quitado la mac del mio. Cuando arranque veréis el deco conectado, fijáis la ip en leases y luego la cambiáis por la de la configuración. recomendable apagar el deco con el botón trasero para que los cambio tengan efecto. Como he dicho antes a mi el deco no me va muy fino, los canales OTT los veo todos pero los IPTV a veces si, a veces no (la mayor parte del tiempo).

3.- Los más expertos echadle un vistazo al firewall que me temo no esté muy fino.

Y sin más os dejo el código y espero vuestros sabios consejos y ya os consultaré problemas y alguna prueba que quiero hacer.

Código:
# mar/17/2022 16:27:02 by RouterOS 7.1.3
# software id =
#
# model = RouterBOARD 3011UiAS
# serial number =
/interface bridge
add arp=proxy-arp name=bridge1
add name=bridge2-iptv
add arp=proxy-arp name=bridge3-livebox
/interface ethernet
set [ find default-name=ether1 ] name=ether1-wan
set [ find default-name=ether2 ] name=ether2-iptv-decoder
set [ find default-name=ether3 ] name=ether3-local
set [ find default-name=ether4 ] name=ether4-local
set [ find default-name=ether5 ] name=ether5-local
set [ find default-name=ether6 ] name=ether6-local
set [ find default-name=ether7 ] name=ether7-local
set [ find default-name=ether8 ] name=ether8-local
set [ find default-name=ether9 ] name=ether9-local
set [ find default-name=ether10 ] name=ether10-local-livebox poe-out=off
/interface vlan
add interface=ether10-local-livebox name=vlan1-livebox vlan-id=832
add interface=ether1-wan name=vlan832-internet vlan-id=832
add interface=ether1-wan name=vlan838-iptv vlan-id=838
/disk
set usb1 disabled=no
set usb1-part1 disabled=no name=disk5
/interface list
add name=WAN
add name=LAN
/interface lte apn
set [ find default=yes ] ip-type=ipv4
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.10.2-192.168.10.150
add name=iptv-orange ranges=192.168.40.0/30
add name=poolvoip ranges=192.168.2.100-192.168.2.110
/ip dhcp-server
add address-pool=dhcp bootp-support=dynamic interface=bridge1 name=dhcp
add address-pool=iptv-orange allow-dual-stack-queue=no interface=bridge2-iptv \
    name=iptv-orange
add address-pool=poolvoip bootp-support=dynamic interface=bridge3-livebox \
    name=voip
/port
set 0 name=serial0
/routing bgp template
set default disabled=no output.network=bgp-networks
/interface bridge port
add bridge=bridge2-iptv ingress-filtering=no interface=ether2-iptv-decoder
add bridge=bridge2-iptv ingress-filtering=no interface=vlan838-iptv
add bridge=bridge1 ingress-filtering=no interface=ether3-local
add bridge=bridge1 ingress-filtering=no interface=ether4-local
add bridge=bridge1 ingress-filtering=no interface=ether5-local
add bridge=bridge1 ingress-filtering=no interface=ether6-local
add bridge=bridge1 ingress-filtering=no interface=ether7-local
add bridge=bridge1 ingress-filtering=no interface=ether8-local
add bridge=bridge1 ingress-filtering=no interface=ether9-local
add bridge=bridge3-livebox interface=ether10-local-livebox
add bridge=bridge3-livebox interface=vlan1-livebox
add bridge=bridge3-livebox interface=vlaniptv-livebox
/interface bridge settings
set use-ip-firewall-for-pppoe=yes use-ip-firewall-for-vlan=yes
/ip settings
set max-neighbor-entries=8192 tcp-syncookies=yes
/ipv6 settings
set max-neighbor-entries=8192
/interface detect-internet
set detect-interface-list=all
/interface list member
add interface=ether1-wan list=WAN
add interface=bridge2-iptv list=LAN
/ip address
add address=192.168.10.1/24 comment="default configuration" interface=bridge1 \
    network=192.168.10.0
add address=10.20.30.40 interface=vlan838-iptv network=10.20.30.40
add address=192.168.40.1/30 comment="Deco ETH2" interface=bridge2-iptv \
    network=192.168.40.0
add address=192.168.2.1/24 comment="livebox configuration" interface=\
    bridge3-livebox network=192.168.2.0
/ip cloud
set ddns-enabled=yes ddns-update-interval=1m
/ip dhcp-client
add interface=vlan832-internet use-peer-dns=no use-peer-ntp=no
add interface=ether1-wan
/ip dhcp-server lease
add address=192.168.40.2 allow-dual-stack-queue=no client-id=\
    xxxxxxxxxx:be comment="Deco Orange" mac-address=xxxxxxxxx \
    server=iptv-orange
/ip dhcp-server network
add address=192.168.2.0/24 comment=Livebox dns-server=\
    62.36.225.150,62.37.228.20 gateway=192.168.2.1 netmask=24
add address=192.168.10.0/24 comment=Default dns-server=\
    62.37.228.20,62.36.225.150 gateway=192.168.10.1 netmask=24
add address=192.168.40.2/32 comment="Deco Orange" dns-server=\
    62.37.228.20,62.36.225.150 gateway=192.168.40.1 netmask=30 ntp-server=\
    95.39.224.42,5.56.160.3
/ip dns
set servers=62.36.225.150,62.37.228.204
/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=\
    established,related hw-offload=yes
add chain=forward comment="default configuration" connection-state=\
    established
add action=accept chain=input comment=Default connection-state=established
add action=accept chain=input comment=ICMP protocol=icmp
add action=accept chain=input comment="IGMP for IPTV" protocol=igmp
add action=accept chain=input comment="UDP for IPTV" protocol=udp
add action=accept chain=input comment="Allow OpenVPN" dst-port=1194 protocol=\
    tcp
add action=accept chain=input comment="Winbox Remoto" dst-port=8291 \
    in-interface=bridge1 protocol=tcp
add action=accept chain=input comment=webfig dst-port=81 in-interface=\
    vlan832-internet protocol=tcp
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 \
    protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="SERVIDOR L2TP" in-interface=\
    vlan832-internet protocol=ipsec-esp
add action=accept chain=input comment="SERVIDOR L2TP" in-interface=\
    vlan832-internet protocol=ipsec-ah
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp
add action=accept chain=input comment=Broadcast dst-address-type=broadcast
add action=drop chain=input comment="default configuration" in-interface=\
    vlan832-internet
add action=drop chain=input comment="Intentos fallidos de conexion FTP" \
    content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m dst-port=21 \
    protocol=tcp src-address-list=ftp_blacklist
add action=drop chain=input comment="Proteccion VSC contra ataques via SSH" \
    dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=drop chain=input comment="Bloqueo de Ping" in-interface=bridge1 \
    packet-size=128-65535 protocol=icmp
add action=add-src-to-address-list address-list=ssh_blacklist \
    address-list-timeout=1w3d chain=input comment=\
    "Proteccion VSC contra ataques via SSH parte 2" connection-state=new \
    dst-port=22 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
    address-list-timeout=1m chain=input comment=\
    "Proteccion VSC contra ataques via SSH parte 3" connection-state=new \
    dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
    address-list-timeout=1m chain=input comment=\
    "Proteccion VSC contra ataques via SSH parte 4" connection-state=new \
    dst-port=22 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
    address-list-timeout=1m chain=input comment=\
    "Proteccion VSC contra ataques via SSH parte 5" connection-state=new \
    dst-port=22 protocol=tcp
add action=tarpit chain=input comment=\
    "*************Impedir Atacante DOS genere nuevas conecxiones" protocol=\
    tcp src-address-list="Lista Negra"
add action=add-src-to-address-list address-list="Lista Negra" \
    address-list-timeout=1d chain=input comment="Deteccion de DOS" \
    connection-limit=100,32
add action=drop chain=input comment="Bloqueo Webproxy Externo" disabled=yes \
    dst-port=8282 in-interface=bridge1 protocol=tcp
add action=drop chain=input comment="Bloqueo DNS cache extern" disabled=yes \
    dst-port=53 in-interface=bridge1 protocol=udp
add action=accept chain=forward comment="UDP for IPTV" protocol=udp
add action=drop chain=forward comment="default configuration" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "*************BLOCK SPAMMERS OR INFECTED USERS" dst-port=25 protocol=tcp \
    src-address-list=spammer
add action=add-src-to-address-list address-list=spammer address-list-timeout=\
    none-dynamic chain=forward comment=\
    "Detect and add-list SMTP virus or spammers" connection-limit=30,32 \
    dst-port=25 limit=20,5:packet protocol=tcp
add action=drop chain=forward comment="Block Atacante DOS" protocol=tcp \
    src-address-list="Lista Negra"
add action=accept chain=output comment="Intentos fallidos de conexion FTP" \
    content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m protocol=\
    tcp
add action=add-dst-to-address-list address-list=ftp_blacklist \
    address-list-timeout=3h chain=output comment=\
    "Tiempo de bloqueo ataques FTP" content="530 Login incorrect" protocol=\
    tcp
/ip firewall mangle
add action=set-priority chain=postrouting new-priority=1 out-interface=\
    vlan832-internet passthrough=yes
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" \
    out-interface=vlan832-internet
add action=masquerade chain=srcnat comment="default configuration" \
    out-interface=ether1-wan
add action=redirect chain=dstnat comment="DNS cach\E9" dst-port=53 \
    in-interface=bridge1 protocol=udp to-ports=53
add action=redirect chain=dstnat comment="Redirecci\F3n a Webproxi" dst-port=\
    80 in-interface=bridge1 protocol=tcp to-ports=8080
/ip firewall service-port
set sip sip-direct-media=no
/ip proxy
set cache-on-disk=yes cache-path=disk4 enabled=yes max-cache-object-size=\
    50000KiB port=8080
/ip route
add disabled=no distance=255 dst-address=0.0.0.0/0 gateway=255.255.255.255 \
    routing-table=main suppress-hw-offload=no
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip upnp
set allow-disable-external-interface=yes enabled=yes
/ip upnp interfaces
add interface=vlan832-internet type=external
add interface=bridge1 type=internal
/routing igmp-proxy interface
add alternative-subnets=192.168.40.0/30 interface=bridge2-iptv
add alternative-subnets=192.168.40.0/30 interface=vlan832-internet upstream=\
    yes
/system clock
set time-zone-name=Europe/Madrid
/system ntp client
set enabled=yes
/system ntp server
set manycast=yes
/system ntp client servers
add address=173.249.24.226
add address=129.6.15.29
 
Hola, os comento un problema que me está sucediendo y que lleva semanas volviéndome loco y luego una prueba que quiero hacer pero no doy con ello.

1.- De un tiempo a esta parte, noto que de repente equipos de mi red se quedan sin poder navegar, probablemente pierdan las dns y no puedan resolver. Es aleatorio, una vez uno, otra vez otro, etc... da igual las dns que ponga, da igual que con pihole o sin pihole, da igual que la ips sean estáticas en cada equipo o asignadas por el MKT en el leases, da igual pc, móvil o sistema operativo, etc... el resultado es que no puede navegar y se soluciona reiniciando el router. Una cosa curiosa es que cuando me sucede si uso una VPN (tengo AVG VPN) y me conecto y bingo puedo volver a navegar pero en cuanto desconecto la VPN volvemos a las andadas hasta que reinicio el router.

Esto me está sucediendo tanto en ROs 6 como en 7 y con instalaciones limpias. He probado a dejar el firewall al mínimo y ni por esas. ¿Alguna idea?

2.- Como no me funciona muy fina la configuración para el Deco he pensado que dado que tengo el Livebox detrás del mikrotik y metiendo la vlan 832 funciona el teléfono, a lo mejor metiendo tb la vlan 838 y conectando el deco al livebox podría funcionar. El problema es que no consigo que ningún aparato conectado al livebox tenga salida a internet (salvo cuando lo convierto en switch, claro).
 
Buenas @KDL !

El dibujo de la red que quedó de lujo, pero la implementación no la acompaña. Ese script de la tal noemi tiene fallos gordos. Las vlans no se meten en el bridge, se taggean sobre él, y luego se filtran. De hecho, es uno de los errores más comunes, recogido en la documentación oficial, como uno de los errores más comunes en L2.

El firewall también está hecho un cristo, es muy mejorable.

Te recomiendo rehacer esa configuración, partiendo de la config por defecto y. usando bridge vlan filtering. Viendo el script de gitthub, no se antoja complicado, parece que lo único que lleva es IGMP y un DNS concreto para el desco. Creo que no hace falta ni respetar las direcciones .30 o .40 que aparecen en IP -> Addresses.

Si quieres hacer de conejillo de indias dime, y la semana que viene le echamos un rato a esto, a ver qué sale. Esa configuración tiene muchísimo margen de mejora.

Saludos!
 
Buenas @KDL !

El dibujo de la red que quedó de lujo, pero la implementación no la acompaña. Ese script de la tal noemi tiene fallos gordos. Las vlans no se meten en el bridge, se taggean sobre él, y luego se filtran. De hecho, es uno de los errores más comunes, recogido en la documentación oficial, como uno de los errores más comunes en L2.

El firewall también está hecho un cristo, es muy mejorable.

Te recomiendo rehacer esa configuración, partiendo de la config por defecto y. usando bridge vlan filtering. Viendo el script de gitthub, no se antoja complicado, parece que lo único que lleva es IGMP y un DNS concreto para el desco. Creo que no hace falta ni respetar las direcciones .30 o .40 que aparecen en IP -> Addresses.

Si quieres hacer de conejillo de indias dime, y la semana que viene le echamos un rato a esto, a ver qué sale. Esa configuración tiene muchísimo margen de mejora.

Saludos!
Muchas gracias por responder y no me importa hacer de conejillo de indias, así aprendo y mejoro mi configuración
 
Arriba