MANUAL: Mikrotik, configuraciones básicas ISPs - RouterOS v7

Después de unos días con esta configuración (ONT+Livebox DMZ- Mikrotik) funciona muy bien y me voy a quedar con ella. Quería además poner el desco en la misma subred del mikrotik y buscando he visto este hilo en este mismo foro y funciona perfectamente https://www.adslzone.net/foro/mikrotik.199/dudas-sobre-configuracion-igmp.574509/

La verdad es que el desco de Orange funciona más que correctamente, al menos para lo que yo requiero,
Cómo lo has dejado al final? Dale un export a la config del Mikrotik, que la veamos.

Saludos!
 
Cómo lo has dejado al final? Dale un export a la config del Mikrotik, que la veamos.

Saludos!
Código:
# apr/08/2022 11:41:31 by RouterOS 7.2
# software id = JW5P-I0WT
#
# model = RouterBOARD 3011UiAS
# serial number =
/interface bridge
add admin-mac=XX:XX:XX:XX:XX:XX auto-mac=no comment=defconf igmp-snooping=yes \
    name=bridge-internet
/interface ethernet
set [ find default-name=ether1 ] arp=proxy-arp name=ether1-wan
set [ find default-name=ether2 ] name=ether2-local
set [ find default-name=ether3 ] name=ether3-local
set [ find default-name=ether4 ] name=ether4-local
set [ find default-name=ether5 ] name=ether5-local
set [ find default-name=ether6 ] name=ether6-local
set [ find default-name=ether7 ] name=ether7-local
set [ find default-name=ether8 ] name=ether8-local
set [ find default-name=ether9 ] name=ether9-local
set [ find default-name=ether10 ] name=ether10-local
/disk
set usb1 disabled=no
set usb1-part1 disabled=no name=disk5
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.10.2-192.168.10.150
/ip dhcp-server
add address-pool=default-dhcp bootp-support=dynamic interface=bridge-internet \
    name=lan
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge-internet comment=defconf interface=ether2-local
add bridge=bridge-internet comment=defconf interface=ether3-local
add bridge=bridge-internet comment=defconf interface=ether4-local
add bridge=bridge-internet comment=defconf interface=ether5-local
add bridge=bridge-internet comment=defconf interface=ether6-local
add bridge=bridge-internet comment=defconf interface=ether7-local
add bridge=bridge-internet comment=defconf interface=ether8-local
add bridge=bridge-internet comment=defconf interface=ether9-local
add bridge=bridge-internet comment=defconf interface=ether10-local
add bridge=bridge-internet comment=defconf interface=sfp1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge-internet list=LAN
add comment=defconf interface=ether1-wan list=WAN
/interface ovpn-server server
set auth=sha1,md5
/ip address
add address=192.168.10.1/24 comment=defconf interface=bridge-internet \
    network=192.168.10.0
add address=10.10.0.1/24 interface=wireguard1 network=10.10.0.0
/ip cloud
set ddns-enabled=yes ddns-update-interval=1m
/ip dhcp-client
add comment=defconf interface=ether1-wan
/ip dhcp-server network
add address=192.168.10.0/24 comment=defconf dns-server=\
    192.168.10.40,192.168.10.33,192.168.10.1 gateway=192.168.10.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1
/ip dns static
add address=192.168.10.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="Allow OpenVPN" dst-port=1194 protocol=\
    tcp
add action=accept chain=input comment="Winbox Remoto" dst-port=8291 \
    in-interface=ether1-wan protocol=tcp
add action=accept chain=input comment=webfig dst-port=81 in-interface=\
    ether1-wan protocol=tcp
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input disabled=yes in-interface-list=WAN protocol=\
    igmp
add action=accept chain=input comment="vpn: allow wireguard-rw" dst-port=\
    12531 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=drop chain=input comment="Intentos fallidos de conexion FTP" \
    content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m dst-port=21 \
    protocol=tcp src-address-list=ftp_blacklist
add action=drop chain=input comment="Proteccion VSC contra ataques via SSH" \
    dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
    address-list-timeout=1w3d chain=input comment=\
    "Proteccion VSC contra ataques via SSH parte 2" connection-state=new \
    dst-port=22 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
    address-list-timeout=1m chain=input comment=\
    "Proteccion VSC contra ataques via SSH parte 3" connection-state=new \
    dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
    address-list-timeout=1m chain=input comment=\
    "Proteccion VSC contra ataques via SSH parte 4" connection-state=new \
    dst-port=22 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
    address-list-timeout=1m chain=input comment=\
    "Proteccion VSC contra ataques via SSH parte 5" connection-state=new \
    dst-port=22 protocol=tcp
add action=add-src-to-address-list address-list="Lista Negra" \
    address-list-timeout=1d chain=input comment="Deteccion de DOS" \
    connection-limit=100,32
add action=tarpit chain=input comment=\
    "*************Impedir Atacante DOS genere nuevas conecxiones" protocol=\
    tcp src-address-list="Lista Negra"
add action=accept chain=output comment="Intentos fallidos de conexion FTP" \
    content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m protocol=\
    tcp
add action=add-dst-to-address-list address-list=ftp_blacklist \
    address-list-timeout=3h chain=output comment=\
    "Tiempo de bloqueo ataques FTP" content="530 Login incorrect" protocol=\
    tcp
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-mark=!multicast \
    connection-nat-state=!dstnat connection-state=new in-interface-list=WAN \
    log=yes log-prefix="NO NAT->"
add action=drop chain=forward comment=\
    "*************BLOCK SPAMMERS OR INFECTED USERS" dst-port=25 protocol=tcp \
    src-address-list=spammer
add action=add-src-to-address-list address-list=spammer address-list-timeout=\
    none-dynamic chain=forward comment=\
    "Detect and add-list SMTP virus or spammers" connection-limit=30,32 \
    dst-port=25 limit=20,5:packet protocol=tcp
add action=drop chain=forward comment="Block Atacante DOS" protocol=tcp \
    src-address-list="Lista Negra"
/ip firewall mangle
add action=mark-connection chain=prerouting dst-address=224.0.0.0/4 \
    new-connection-mark=multicast passthrough=yes
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface=ether1-wan
add action=redirect chain=dstnat comment="DNS cach\E9" dst-port=53 \
    in-interface=bridge-internet protocol=udp to-ports=53
add action=redirect chain=dstnat comment="Redirecci\F3n a Webproxi" dst-port=\
    80 in-interface=bridge-internet protocol=tcp to-ports=8080
/ip proxy
set cache-on-disk=yes cache-path=disk4 enabled=yes max-cache-object-size=\
    4096KiB port=8080
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/routing igmp-proxy
set quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=ether1-wan upstream=yes
add interface=bridge-internet
/system clock
set time-zone-name=Europe/Madrid
/system routerboard settings
set auto-upgrade=yes
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

La regla igmp la tengo en disabled. La puse ayer siguiendo el hilo del multicast pero no parece ser necesario y me reduce la velocidad. Échale un vistazo al firewall que seguro que es francamente mejorable
 
Yo haría el firewall por defecto, montaría una VPN para acceder al equipo en remoto (nada de abrir puertos en input tipo el de winbox, webfig o demás) y, para el tráfico que has marcando en mangle, añadiría una regla de accept antes de las de drop de forward... y nada más.

Saludos!
 
Hola a todos. Llevo varios años con una configuración operativa de movistar via router mikrotik (manteniendo el ONT de Movistar) que más o menos ha funcionado bien. La voz la tenemos conectada a un Freepbx (Asterisk) y desde hace algunos meses no conseguimos que se registre y por tanto no podemos usar la voz.

He buscado si había habido algún update a la configuración de la parte SIP pero no encuentro nada.

He revisado esta configuración y creo que en la parte del mikrotik está todo correcto es sobre como verificarlo y/o si hay una información actualizada sobre la configuración SIP asociada. En la parte del router he cambiado la conexión RIP a pasiva que no la tenía activada como única diferencia destacable.

1649778690196.png


Que me genera dos rutas que entiendo correctas.
1649778759706.png

Que a su vez genera correctamente entiendo la ruta:ç
1649779649759.png


El cliente DHCP me conecta y asigna IP correctamente

En el firewall de mikrotik tengo habilitado en el forward los puertos 5060 a 6070 desde la IP interna del servidor asterisk

Y si hago un traza desde el mikrotik sin asignar origen o desde la vlan de voz hacía la IP que tengo configurada para el proxy SIP en asterisk funciona correctamente a 10.31.255.134

Eso si, si la hago indicando el origen en el bridge local o la IP del servidor, no me funciona por lo que no se si el fallo está en el enrutamiento o en la configuración SIP de asterisk.

Un telnet desde el servidor interno no funciona pero no se si el SIP debería contestar al telnet
telnet 10.31.255.134 5070
Trying 10.31.255.134...
telnet: Unable to connect to remote host: Connection refused

El ping si que funciona.

1649779276969.png

¿Debería esa traza desde el mikrotik funcionar también para que la configuración esté correcta?

¿Hay alguna configuración actualizada en referencia a la parte SIP para asterisk publicada o ha cambiado algo en la misma recientemente?

Aunque entiendo que no estará relacionado, alguna configuración detallada para conectar por PJSIP en lugar de SIP Legacy?

Gracias anticipadas.
 
Hola a todos,

Tengo un RB2011UiAS-2HnD que usaba como switch conectado al livebox ahora he pillado un SFP XPON de Aliexpres para sustituir el livebox de orange y la verdad que funciona de maravilla, pero tengo un problema a la hora de configurar los puertos.

Tengo en otra habitación (Despacho) un WS-C3560CG con un trunk hacia el puerto 1 del mikrotik, todo lo que esta conectado aquí funciona entrega DHCP etc...

Pero en el router los otros puertos no hay manera de que entregue DHCP , no reconoce la red. Es algún tema de la config pero no veo el problema.

He probado varias configuraciones como crear varios bridges, indicar el PVID la vlan correspondiente, pero no hay manera.

Ahora mismo tengo las interfaces así.
1649850509429.png

1649850555821.png

Agradecería cualquier aporte, gracias por anticipado!!
 
Necesitas definir la VLAN 66, taggeada sobre el bridge y los puertos trunk (bridge, ether1) en Bridge -> VLANs y activar el bridge-vlan-filtering en el propio bridge.

Saludos!
 
Hola a todos,

Tengo un RB2011UiAS-2HnD que usaba como switch conectado al livebox ahora he pillado un SFP XPON de Aliexpres para sustituir el livebox de orange y la verdad que funciona de maravilla, pero tengo un problema a la hora de configurar los puertos.

Tengo en otra habitación (Despacho) un WS-C3560CG con un trunk hacia el puerto 1 del mikrotik, todo lo que esta conectado aquí funciona entrega DHCP etc...

Pero en el router los otros puertos no hay manera de que entregue DHCP , no reconoce la red. Es algún tema de la config pero no veo el problema.

He probado varias configuraciones como crear varios bridges, indicar el PVID la vlan correspondiente, pero no hay manera.

Ahora mismo tengo las interfaces así.
Ver el adjunto 94125

Ver el adjunto 94128

Agradecería cualquier aporte, gracias por anticipado!!

¿enlace del SFP XPON de Aliexpres?
 
¿enlace del SFP XPON de Aliexpres?

Es bastante sencillo de configurar, la única pega que no levanta la GUI hasta que le conectas la fibra.

Este es el enlace de un colega explicando como configurarlo, se lo pillo hace tiempo el modelo es el mismo lo único que cambia es el firmware.


Y si tu ISP es orange, únicamente con la contraseña es suficiente.

1650968825559.png
 

Adjuntos

  • 1650968428441.png
    1650968428441.png
    69.8 KB · Visitas: 30

Es bastante sencillo de configurar, la única pega que no levanta la GUI hasta que le conectas la fibra.

Este es el enlace de un colega explicando como configurarlo, se lo pillo hace tiempo el modelo es el mismo lo único que cambia es el firmware.


Y si tu ISP es orange, únicamente con la contraseña es suficiente.

Ver el adjunto 94485

¿Funciona con movistar?

Me vendria de lujo para jubilar el telefono y pasarme tambien a un VoIP.
 
Última edición:
¿Funciona con movistar?

Me vendria de lujo para jubilar el telefono y pasarme tambien a un VoIP.
Entiendo que si, Movistar usa el idont para autenticar que es lo mismo que la contraseña de Orange en ASCII, pero creo recordar que Movistar está en hexa.

De todas formas puedes cambiar muchos parámetros del sfp, como el número de serie si fuera necesario para autenticar poniendo el de tu ont actual.
 
buenas, unas dudas que tengo, en casa de Paco quieren cambiar su HGU por un mikrotik, el cual me dona para poder ver movistar, quiere seguir utilizando su teléfono y no estoy seguro de que la vaya a funcionar con una ONT HG8240H, qué es más recomendable?, en monopuesto o quitarle las VLAN de internet y tv para que estas las gestione mikrotik?. a su vez tiene un cable de la planta baja a la primera en la cual tiene un PC y desearía poner otro deco. Serviría la opción de multideco con brige? poniendo un switch sin gestión en la primera planta para conectar ambos? gracias anticipadas
 
buenas, unas dudas que tengo, en casa de Paco quieren cambiar su HGU por un mikrotik, el cual me dona para poder ver movistar, quiere seguir utilizando su teléfono y no estoy seguro de que la vaya a funcionar con una ONT HG8240H, qué es más recomendable?, en monopuesto o quitarle las VLAN de internet y tv para que estas las gestione mikrotik?. a su vez tiene un cable de la planta baja a la primera en la cual tiene un PC y desearía poner otro deco. Serviría la opción de multideco con brige? poniendo un switch sin gestión en la primera planta para conectar ambos? gracias anticipadas
Monopuesto + los descos y el teléfono al HGU.

Saludos!
 
Monopuesto + los descos y el teléfono al HGU.

Saludos!
gracias por contestar, "Monopuesto + los descos", un desco conectado al mikrotik? no? y en la planta primera que el swhit se podría conectar el pc y el desco? perdona que repregunte ya que no lo tengo claro y al estar lejos me quiero asegurar para llevarselo preparado lo mejor posible. gracias
 
gracias por contestar, "Monopuesto + los descos", un desco conectado al mikrotik? no? y en la planta primera que el swhit se podría conectar el pc y el desco? perdona que repregunte ya que no lo tengo claro y al estar lejos me quiero asegurar para llevarselo preparado lo mejor posible. gracias
No, olvídate de ese setup. Estoy dando por hecho que cuando dices:
a su vez tiene un cable de la planta baja a la primera en la cual tiene un PC y desearía poner otro deco
Quieres poner en ese cable un desco directo, reemplazando al PC, no un switch y por un lado el PC y por el otro el desco.

Tienes básicamente 3 setups que puedes hacer, combinando HGU y mikrotik.

a) HGU monopuesto (iptv + teléfono) + mikrotik (internet): todo lo que tire de internet, al mikrotik, menos los descos, que van directos al HGU.

b) HGU monopuesto (iptv + teléfono) + mikrotik, con la config dos cables (internet + IPTV puenteada): Puedes conectar descos directos por cable o wifi al mikrotik.

c) HGU (todos los servicios) en DMZ con el mikrotik: tienes una bonita doble NAT, a menos que uses rutas estáticas en el HGU. Con este setup sólo ganas algo si el equipo mikrotik hace de router, pero no vas a poder llevarte la parte IPTV más allá del HGU.

Es decir, en el momento que metes un tercer aparato, como un switch, o es gestionable y soporta VLANs, o el setup no nos vale. Lo mismo con un AP, si quieres convertir la señal del IPTV en wifi, y además quieres llevar internet por el mismo cable.

Saludos!
 
No, olvídate de ese setup. Estoy dando por hecho que cuando dices:

Quieres poner en ese cable un desco directo, reemplazando al PC, no un switch y por un lado el PC y por el otro el desco.

Tienes básicamente 3 setups que puedes hacer, combinando HGU y mikrotik.

a) HGU monopuesto (iptv + teléfono) + mikrotik (internet): todo lo que tire de internet, al mikrotik, menos los descos, que van directos al HGU.

b) HGU monopuesto (iptv + teléfono) + mikrotik, con la config dos cables (internet + IPTV puenteada): Puedes conectar descos directos por cable o wifi al mikrotik.

c) HGU (todos los servicios) en DMZ con el mikrotik: tienes una bonita doble NAT, a menos que uses rutas estáticas en el HGU. Con este setup sólo ganas algo si el equipo mikrotik hace de router, pero no vas a poder llevarte la parte IPTV más allá del HGU.

Es decir, en el momento que metes un tercer aparato, como un switch, o es gestionable y soporta VLANs, o el setup no nos vale. Lo mismo con un AP, si quieres convertir la señal del IPTV en wifi, y además quieres llevar internet por el mismo cable.

Saludos!
perfecta la explicación, le recomendaré uno baratito,

TP-Link TL-SG108E Unmanaged PRO Switch, 8 Puertos Gigabit inteligente, Plug&Play, Carcasa de Metal, VLAN, QoS, Software de Gestión Inteligente Fácil, Ver.6.0​

y con ese gestionable para que lo gestione el mikrotik los descos la opción B. eso es lo que explicas en el post La "doscables"? gracias.
 
perfecta la explicación, le recomendaré uno baratito,

TP-Link TL-SG108E Unmanaged PRO Switch, 8 Puertos Gigabit inteligente, Plug&Play, Carcasa de Metal, VLAN, QoS, Software de Gestión Inteligente Fácil, Ver.6.0​

y con ese gestionable para que lo gestione el mikrotik los descos la opción B. eso es lo que explicas en el post La "doscables"? gracias.
Joder, “unmanaged” en la descripción y soporta VLANs? Entonces es “managed”! Por algún lado tendrás que acceder a administrarlas! Jejejeje

Saludos!
 
Joder, “unmanaged” en la descripción y soporta VLANs? Entonces es “managed”! Por algún lado tendrás que acceder a administrarlas! Jejejeje

Saludos!
Me voy a pasar al hilo de los 2 cables, poner en monopuesto y en la primera planta pongo un mikrotik mini que tengo, allí preguntaré gracias por todo
 
Buenas!

Según veo en el post inicial, la única forma de tener teléfono es con Movistar/O2, ¿no?

Tengo dos líneas en un domicilio y me gustaría aprovechar para montar un failover, pero entiendo que si las dos están con movistar, de poco me va a servir...

Saludos!
 
Arriba