MANUAL: Mikrotik, configuraciones básicas ISPs - RouterOS v7
- Iniciador del tema pokoyo
- Fecha de inicio
Hola buenas no se creo que me falla algo
por el sfp1 esta la ont
por el sfp2 va al switch
por el sfp1 esta la ont
por el sfp2 va al switch
Código:
# mar/20/2022 18:12:04 by RouterOS 7.1.3
/interface bridge
add name=bridge1
/interface vlan
add interface=sfp-sfpplus1 name=vlan20 vlan-id=20
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.10.50-192.168.10.250
/ip dhcp-server
add address-pool=dhcp interface=sfp-sfpplus2 name=dhcp
/port
set 0 name=serial0
set 1 name=serial1
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether6
add bridge=bridge1 interface=ether7
add bridge=bridge1 interface=ether8
add bridge=bridge1 interface=ether9
add bridge=bridge1 interface=ether10
add bridge=bridge1 interface=ether11
add bridge=bridge1 interface=ether12
add bridge=bridge1 interface=ether13
add bridge=bridge1 interface=ether14
add bridge=bridge1 interface=ether15
add bridge=bridge1 interface=ether16
add bridge=bridge1 interface=sfp-sfpplus1
/interface detect-internet
set detect-interface-list=all lan-interface-list=LAN wan-interface-list=WAN
/interface list member
add interface=vlan20 list=WAN
add interface=bridge1 list=LAN
add interface=sfp-sfpplus2 list=LAN
/ip address
add address=192.168.10.1/24 disabled=yes interface=bridge1 network=\
192.168.10.0
add address=192.168.10.1/24 interface=sfp-sfpplus2 network=192.168.10.0
/ip cloud
set ddns-enabled=yes ddns-update-interval=5m
/ip dhcp-client
add interface=vlan20 use-peer-dns=no
/ip dhcp-server network
add address=192.168.10.0/24 dns-server=192.168.10.2 gateway=192.168.10.1 \
netmask=24 wins-server=192.168.10.4
/ip dns
set allow-remote-requests=yes use-doh-server=https://1.1.1.1/dns-query \
verify-doh-cert=yes
/ip firewall address-list
add address=192.168.10.0/24 list=allowed_to_router
add address=download.mikrotik.com list=allowed_to_router
add address=cloud.mikrotik.com list=allowed_to_router
add address=1.1.1.1 list=DNS
add address=8.8.8.8 list=DNS
/ip firewall filter
add action=accept chain=input comment="default configuration" disabled=yes \
protocol=icmp
add action=accept chain=input comment="default configuration" \
connection-state=established disabled=yes
add action=accept chain=input comment="default configuration" \
connection-state=related disabled=yes
add action=accept chain=forward comment="default configuration" \
connection-state=established disabled=yes
add action=accept chain=forward comment="default configuration" \
connection-state=related disabled=yes
add action=drop chain=forward comment="default configuration" \
connection-state=invalid in-interface-list=WAN
add action=drop chain=input in-interface-list=WAN protocol=icmp
add action=accept chain=input src-address-list=allowed_to_router
add action=accept chain=input disabled=yes src-address-list=DNS
add action=accept chain=input disabled=yes in-interface-list=WAN protocol=udp \
src-address-list=DNS src-port=53
add action=drop chain=input in-interface-list=WAN protocol=icmp \
src-address-list=!DNS
add action=drop chain=input src-address-list=!DNS
add action=accept chain=forward comment=Proteccion connection-state=\
established,related disabled=yes
add action=drop chain=forward connection-state=invalid
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
add action=dst-nat chain=dstnat comment=HTTP dst-port=80 in-interface-list=\
WAN protocol=tcp to-addresses=192.168.10.2 to-ports=80
add action=dst-nat chain=dstnat comment=HTTPS dst-port=443 in-interface-list=\
WAN protocol=tcp to-addresses=192.168.10.2 to-ports=443
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set pptp disabled=yes
/ip route
add distance=255 gateway=255.255.255.255
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip upnp
set show-dummy-rule=no
/system clock
set time-zone-name=Europe/Madrid
/system ntp client
set enabled=yes
/system ntp client servers
add address=time.cloudflare.com
Última edición:
KDL
Usuari@ ADSLzone
- Mensajes
- 170
Prueba a sacar el sfp1 del bridge
- Mensajes
- 11,600
Buenos días KDL!
Hoy tengo un ratito para que nos metamos con eso. ¿te animas? Hazle un backup y export a tu configuración, que nos ponemos con ello.
Ojo que vamos a romper todo, pero descuida que lo dejaremos funcionando.
Saludos!
Hoy tengo un ratito para que nos metamos con eso. ¿te animas? Hazle un backup y export a tu configuración, que nos ponemos con ello.
Ojo que vamos a romper todo, pero descuida que lo dejaremos funcionando.
Saludos!
KDL
Usuari@ ADSLzone
- Mensajes
- 170
Hola, por mi perfecto pero hasta las 14:30 que llego a casa no voy a poder probarlo.
Te cuelgo mi configuración y te comento varias cosas.
Código:
# mar/23/2022 10:53:55 by RouterOS 7.1.3
# software id =
#
# model = RouterBOARD 3011UiAS
# serial number =
/disk
set usb1 disabled=no
set usb1-part1 disabled=no name=disk6
/interface bridge
add name=bridge1
add name=bridge2-iptv
add name=bridge3-livebox
/interface ethernet
set [ find default-name=ether1 ] name=ether1-wan
set [ find default-name=ether2 ] name=ether2-iptv-decoder
set [ find default-name=ether3 ] name=ether3-local
set [ find default-name=ether4 ] name=ether4-local
set [ find default-name=ether5 ] name=ether5-local
set [ find default-name=ether6 ] name=ether6-local
set [ find default-name=ether7 ] name=ether7-local
set [ find default-name=ether8 ] name=ether8-local
set [ find default-name=ether9 ] name=ether9-local
set [ find default-name=ether10 ] name=ether10-local-livebox poe-out=off
/interface vlan
add interface=ether10-local-livebox name=vlan1-livebox vlan-id=832
add interface=ether1-wan name=vlan832-internet vlan-id=832
add interface=ether1-wan name=vlan838-iptv vlan-id=838
/interface list
add name=WAN
add name=LAN
/interface lte apn
set [ find default=yes ] ip-type=ipv4
/ip pool
add name=dhcp ranges=192.168.10.2-192.168.10.150
add name=iptv-orange ranges=192.168.40.0/30
add name=poolvoip ranges=192.168.2.100-192.168.2.110
/ip dhcp-server
add add-arp=yes address-pool=dhcp bootp-support=dynamic interface=bridge1 \
name=dhcp
add address-pool=iptv-orange allow-dual-stack-queue=no interface=bridge2-iptv \
name=iptv-orange
add address-pool=poolvoip bootp-support=dynamic interface=bridge3-livebox \
name=voip
/port
set 0 name=serial0
/routing bgp template
set default disabled=no output.network=bgp-networks
/interface bridge port
add bridge=bridge1 interface=ether3-local
add bridge=bridge1 ingress-filtering=no interface=ether4-local
add bridge=bridge1 ingress-filtering=no interface=ether5-local
add bridge=bridge1 ingress-filtering=no interface=ether6-local
add bridge=bridge1 ingress-filtering=no interface=ether7-local
add bridge=bridge1 ingress-filtering=no interface=ether8-local
add bridge=bridge1 ingress-filtering=no interface=ether9-local
add bridge=bridge3-livebox interface=ether10-local-livebox
add bridge=bridge3-livebox interface=vlan1-livebox
add bridge=bridge2-iptv interface=ether2-iptv-decoder
/interface bridge settings
set use-ip-firewall-for-pppoe=yes use-ip-firewall-for-vlan=yes
/ip settings
set max-neighbor-entries=8192 tcp-syncookies=yes
/ipv6 settings
set max-neighbor-entries=8192
/interface detect-internet
set detect-interface-list=all
/interface l2tp-server server
set default-profile=default use-ipsec=yes
/interface list member
add interface=ether1-wan list=WAN
add interface=bridge1 list=LAN
/ip address
add address=192.168.10.1/24 comment="default configuration" interface=bridge1 \
network=192.168.10.0
add address=10.20.30.40 interface=vlan838-iptv network=10.20.30.40
add address=192.168.40.1/30 comment="Deco ETH2" interface=bridge2-iptv \
network=192.168.40.0
add address=192.168.2.1/24 comment="livebox configuration" interface=\
bridge3-livebox network=192.168.2.0
/ip cloud
set ddns-enabled=yes ddns-update-interval=1m
/ip dhcp-client
add interface=vlan832-internet use-peer-dns=no use-peer-ntp=no
add interface=ether1-wan
/ip dhcp-server network
add address=192.168.2.0/24 comment=Livebox dns-server=\
62.36.225.150,62.37.228.20 gateway=192.168.2.1 netmask=24
add address=192.168.10.0/24 comment=Default dns-server=\
192.168.10.40,192.168.10.33,192.168.10.1 gateway=192.168.10.1 netmask=24
add address=192.168.40.2/32 comment="Deco Orange" dns-server=\
62.37.228.20,62.36.225.150 gateway=192.168.40.1 netmask=30 ntp-server=\
95.39.224.42,5.56.160.3
/ip dns
set servers=62.36.225.150,62.37.228.204
/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=\
established,related hw-offload=yes
add chain=forward comment="default configuration" connection-state=\
established
add action=accept chain=input comment=Default connection-state=established
add action=accept chain=input comment=ICMP protocol=icmp
add action=accept chain=input comment="IGMP for IPTV" protocol=igmp
add action=accept chain=input comment="UDP for IPTV" protocol=udp
add action=accept chain=input comment="Allow OpenVPN" dst-port=1194 protocol=\
tcp
add action=accept chain=input comment="Winbox Remoto" dst-port=8291 \
in-interface=bridge1 protocol=tcp
add action=accept chain=input comment=webfig dst-port=81 in-interface=\
vlan832-internet protocol=tcp
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 \
protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="SERVIDOR L2TP" in-interface=\
vlan832-internet protocol=ipsec-esp
add action=accept chain=input comment="SERVIDOR L2TP" in-interface=\
vlan832-internet protocol=ipsec-ah
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp
add action=accept chain=input comment=Broadcast dst-address-type=broadcast
add action=drop chain=input comment="default configuration" in-interface=\
vlan832-internet
add action=drop chain=input comment="Intentos fallidos de conexion FTP" \
content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m dst-port=21 \
protocol=tcp src-address-list=ftp_blacklist
add action=drop chain=input comment="Proteccion VSC contra ataques via SSH" \
dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=drop chain=input comment="Bloqueo de Ping" in-interface=bridge1 \
packet-size=128-65535 protocol=icmp
add action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=1w3d chain=input comment=\
"Proteccion VSC contra ataques via SSH parte 2" connection-state=new \
dst-port=22 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m chain=input comment=\
"Proteccion VSC contra ataques via SSH parte 3" connection-state=new \
dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
address-list-timeout=1m chain=input comment=\
"Proteccion VSC contra ataques via SSH parte 4" connection-state=new \
dst-port=22 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
address-list-timeout=1m chain=input comment=\
"Proteccion VSC contra ataques via SSH parte 5" connection-state=new \
dst-port=22 protocol=tcp
add action=tarpit chain=input comment=\
"*************Impedir Atacante DOS genere nuevas conecxiones" protocol=\
tcp src-address-list="Lista Negra"
add action=add-src-to-address-list address-list="Lista Negra" \
address-list-timeout=1d chain=input comment="Deteccion de DOS" \
connection-limit=100,32
add action=drop chain=input comment="Bloqueo Webproxy Externo" disabled=yes \
dst-port=8282 in-interface=bridge1 protocol=tcp
add action=drop chain=input comment="Bloqueo DNS cache extern" disabled=yes \
dst-port=53 in-interface=bridge1 protocol=udp
add action=accept chain=forward comment="UDP for IPTV" protocol=udp
add action=drop chain=forward comment="default configuration" \
connection-state=invalid
add action=drop chain=forward comment=\
"*************BLOCK SPAMMERS OR INFECTED USERS" dst-port=25 protocol=tcp \
src-address-list=spammer
add action=add-src-to-address-list address-list=spammer address-list-timeout=\
none-dynamic chain=forward comment=\
"Detect and add-list SMTP virus or spammers" connection-limit=30,32 \
dst-port=25 limit=20,5:packet protocol=tcp
add action=drop chain=forward comment="Block Atacante DOS" protocol=tcp \
src-address-list="Lista Negra"
add action=accept chain=output comment="Intentos fallidos de conexion FTP" \
content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m protocol=\
tcp
add action=add-dst-to-address-list address-list=ftp_blacklist \
address-list-timeout=3h chain=output comment=\
"Tiempo de bloqueo ataques FTP" content="530 Login incorrect" protocol=\
tcp
/ip firewall mangle
add action=set-priority chain=postrouting new-priority=1 out-interface=\
vlan832-internet passthrough=yes
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" \
out-interface=vlan832-internet
add action=masquerade chain=srcnat comment="default configuration" \
out-interface=ether1-wan
add action=masquerade chain=srcnat comment="default configuration" disabled=\
yes out-interface=bridge3-livebox
add action=redirect chain=dstnat comment="DNS cach\E9" dst-port=53 \
in-interface=bridge1 protocol=udp to-ports=53
add action=redirect chain=dstnat comment="Redirecci\F3n a Webproxi" dst-port=\
80 in-interface=bridge1 protocol=tcp src-address=192.168.10.0/24 \
to-ports=8080
/ip firewall service-port
set sip sip-direct-media=no
/ip proxy
set cache-on-disk=yes cache-path=disk4 enabled=yes max-cache-object-size=\
50000KiB port=8080
/ip route
add disabled=no distance=255 dst-address=0.0.0.0/0 gateway=255.255.255.255 \
routing-table=main suppress-hw-offload=no
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip upnp
set allow-disable-external-interface=yes enabled=yes
/routing igmp-proxy interface
add alternative-subnets=192.168.40.0/30 interface=bridge2-iptv
add alternative-subnets=192.168.40.0/30 interface=vlan832-internet upstream=yes
/system clock
set time-zone-name=Europe/Madrid
/system ntp client
set enabled=yes
/system ntp server
set manycast=yes
/system ntp client servers
add address=173.249.24.226
add address=129.6.15.29
/system package update
set channel=long-termHe intentado hacer lo de filtrar la vlan (he probado con el bridge3 del livebox)tal y como explica en el manual que colgaste pero en el momento en el que saco la vlan del bridge el router livebox deja de sincronizar.
Te he eliminado los leases por que no hay nada relevante y solo ocupan espacio tendría que tapar las mac de los múltiples cacharros que hay conectados. Eso las Ips las fijo todas en el lease del mikrotik.
"/ip firewall service-port
set sip sip-direct-media=no" Esta instrucción es para que el teléfono no dejase de funcionar cuando llamaban (se cortaba).
A por ello y gracias
- Mensajes
- 11,600
Vale, de momento te voy a pasar una config muy simple para que importes. La configuración aún no está completa, pero es lo mínimo que se despacha para configurar ambas VLANs y que tengas internet.
Esta config está hecha sobre la configuración por defecto del Mikrotik, así que la idea es:
Luego por último veremos si el direct-media lo necesitas realmente o no en la opción de SIP.
Saludos!
Esta config está hecha sobre la configuración por defecto del Mikrotik, así que la idea es:
- Que actualices a la última versión estable, a día de hoy, la 7.1.5
- Que le des un reset al equipo, sin marcar la opción de "no default configuration" (puedes marcar el "keep users" si ya tienes un usuario distinto de admin creado y con tu propia contraseña)
- Que subas el fichero .rsc que va dentro del zip al router (simplemente lo arrastras a winbox) y ejecutes desde terminal la siguiente instrucción:
import kdlorange.rsc
Luego por último veremos si el direct-media lo necesitas realmente o no en la opción de SIP.
Saludos!
KDL
Usuari@ ADSLzone
- Mensajes
- 170
1.- Actualizado a 7.1.5
2.- Cargado el script pero me da error "no souch item". Lo he cargado la manualmente desde consola corrigiendo algunos errores, "set 0" da error, por ejemplo.
3.- En cuanto a las DNS y NTP, puse las que tenía noemi en su configuración para el desco. El resto tengo las de Orange en IP-->DNS y luego para el resto de la red la ip de mi rapsberry (pihole).
4.- La VLAn de internet entrega las dns de Orange.
5.- Despúes de cargar la configuración no tengo internet en ningun sitio. Lo que he visto es que me falta al pool, el dhcpserver y el network, no sé si querias que lo metiese yo a pelo.
KDL
Usuari@ ADSLzone
- Mensajes
- 170
- Mensajes
- 11,600
KDL
Usuari@ ADSLzone
- Mensajes
- 170
Código:
# jan/02/1970 00:01:14 by RouterOS 7.1.5
# software id =
#
# model = RouterBOARD 3011UiAS
# serial number =
/disk
set usb1 disabled=no
set usb1-part1 disabled=no name=disk1
/port
set 0 name=serial0Esto es todo
- Mensajes
- 11,600
Por estar ya seguros, te importa correr este comando, descargarte el fichero y adjuntarlo? El fichero lo tendrás en files y se llamará "autoconfig.txt"
Es básicamente para saber si ese modelo, al ser rackmount, carece de script de autoconfiguración, que es lo que sospecho.
Saludos!
Código:
system default-configuration script/print file=autoconfigEs básicamente para saber si ese modelo, al ser rackmount, carece de script de autoconfiguración, que es lo que sospecho.
Saludos!
KDL
Usuari@ ADSLzone
- Mensajes
- 170
Ahí lo tienes.
Sobre las 18:30 tendre que salir, déjame las pruebas que quieres que haga y cuando vuelva lo hago.
- Mensajes
- 11,600
Pues sí que tienes script de auto-configuración compi, así que me da que no estás siguiendo mis pasos.
Haz un upgrade del routerboard (System -> Routerboard -> Upgrade ) y reinicia, por si acaso.
Y, luego, System -> Reset configuration y NO MARQUES el "No Default Configuration". Es decir, tal que así:
Y, cuando vuelvas a entrar y te salga esta pantalla, pulsas OK
Saludos!
KDL
Usuari@ ADSLzone
- Mensajes
- 170
No, estoy siguiendo las indicaciones al pie de la letra, te lo aseguro.
Esto es lo que me sale de inicio.
¿Estará jodido el Mikrotik?
Enviado desde mi SM-N986B mediante Tapatalk
KDL
Usuari@ ADSLzone
- Mensajes
- 170
Ya he cargado tu configuración y tengo internet pero
1.- El livebox no sincroniza, no funciona el teléfono. En modo AP todos los cacharros conectados a cualquier puerto libre del Livebox, tienen internet. En modo router ningún aparato conectado al liveboz tiene internet.
2.- El Deco en el puerto 2 funciona como antes, canales OTT si, canales IPTV no. En el Livebox no funcionan.
3.- Las DNS que me preguntabas son las mismas en el CHCP client que en el IP DNS.
4.- No hay datos del desco conectado al livebox, no obtiene IP.
Te adjunto un export de como queda la configuración final.
1.- El livebox no sincroniza, no funciona el teléfono. En modo AP todos los cacharros conectados a cualquier puerto libre del Livebox, tienen internet. En modo router ningún aparato conectado al liveboz tiene internet.
2.- El Deco en el puerto 2 funciona como antes, canales OTT si, canales IPTV no. En el Livebox no funcionan.
3.- Las DNS que me preguntabas son las mismas en el CHCP client que en el IP DNS.
4.- No hay datos del desco conectado al livebox, no obtiene IP.
Te adjunto un export de como queda la configuración final.
Última edición:
KDL
Usuari@ ADSLzone
- Mensajes
- 170
No hay ninguna prisa, cuando se pueda.
Siguiendo esta guía tuya https://www.adslzone.net/foro/mikrotik.199/manual-mikrotik-bridge-vlan-filtering.564505/ he conseguido filtrar las vlan y que el livebox sincronice, así que ya tengo el teléfono. He añadido un adress, pool, network y server dhcp para la vlan del livebox y listo.
Esta configuración sólo me funciona con el livebox en modo AP, en modo router no sincroniza y nada de lo que está detrás adquiera IP ni salida a internet incluido el desco.
En cuanto a la TV tres cuartos de lo mismo, sólo se ven los canales OTT y no los IPTV. He probado a deshabilitar la Vlan 838 e igual, es decir, es como si al desco no estuviese llegando esa VLAN.
Te dejo la configuración
