MANUAL: Mikrotik, configuraciones básicas ISPs

Pero si que te hago una recomendación: y es que en el firewall pongas en la cadena de input, justo después de aceptar las conexiones established, relate, untracked, las 2 reglas de vlan 2 y 3, antes de las reglas de vpn y del resto.
Así lo haré.
Muchas gracias por tus consejos.
Saludos.
 
Muchas gracias.

Olvidé preguntarte que en tu script no veo donde se pone la puerta de enlace de Movistar tv.

En el hgu tiene dirección ip, máscara de red y puerta de enlace, pero en tu script solo están los dos primeros parámetros.

muchas gracias
En el MK no se pone. La calcula solo. Sólo necesitas conocer la interfaz, la dirección que te asigna Movistar, la máscara y la red a la que pertenece. A ver, con la regla:

/ip address
add address=10.146.abc.123/9 comment="My Telefonica's IPTV address" interface=vlan2 network=10.128.0.0

lo que hacemos es asignarle a la interfaz vlan2 precisamente la dirección que te da Movistar. Con la máscara de red, en el ejemplo /9, extraemos de la dirección la red a la que pertenece, en el ejemplo 10.128.0.0 (esto lo explico aquí ). El MK envía los paquetes destinados a la red 10.128.0.0 a través de la vlan2. Si te das cuenta, en /ip address no hay donde poner el gateway (puerta de enlace). Pero, sin embargo, aparece en /ip routes dinámicamente como 10.128.0.1, en otras rutas para alcanzar otras redes (esto lo hace RIP, que lo has activado unas cuantas reglas más adelante).

Saludos!!!
 
Con meter un segundo switch y un segundo cable valdría, ¿no? Lo digo porque eso es relativamente barato.

Saludos!

Pues, si. Eso me temo. Y el bonding también restringe el HW Offloading, efectivamente. Piénsate cambiar la topología de la red y tirar algún cable mas. Los canales multicast en HD no requieren más de 8 Mbps cada uno, pero a algunos WiFi APs les sientan fatal y son la causa de cuelgues y errores en la red. Por ello es aconsejable separar el tráfico multicast del resto y que vaya en cable separado solo a los dispositivos que requieran ese tráfico.

suerte!!!
Hola, Al final voy a aislar el trafico multicast para el VLC con una raspberry pi. Quiero montar un nuevo bridge para activar el hardware offloading en los demás puertos de ethernet donde no va a pasar el tráfico multicast pero por más que lo intento no lo consigo.
Lo que pretendo es tener do bridges que tengan el mismo ip addres, que esten ambos bridges en el segmento 192.168.88.1, realizando estos pasos pero no logro que funciones:
-1º) Creo nuevo Bridge
2º) Al nuevo bridge le añado un puerto ethernet para probar.
3º) Añado al interface list Lan el nuevo bridge.
4º) En el IP adrres copio el que tengo 192.168.88..0/24 pero eligo la nueva interfaz (Aquí creo que meto la pata porque pretendo que el bridge 1 y bridge 2 tenga el mismo rango de ip).
/ip address
add address=192.168.88.1/24 comment="IPTV subnet" interface=IPTV-Bridge \
network=192.168.88.0
add address=192.168.88.1/24 comment="IPTV subnet" interface=Bridge2 \
network=192.168.88.0

add address=10.86.yy.xx/10 comment="My Telefonica's IPTV address" interface=\
Iptv-vlan2 network=10.64.0.0
5º) Conecto el portatil al puerto ethernet dandole una ip estativa para probar sin el dhcp server pero no consigo que acceda a internet ni al propio router.
Puedo hacer lo que pretendo, es decir, dos bridges con el mismo rango de ip, variando sólo que uno tenga activado el igmp snooping y el otro no.
Actualmente tengo la configuración que está puesta un poco más arriba (todo los puertos montan un bridge con opción multidescodificador). Adjunto la configuración actual por si sirviera:

Código:
# dec/29/2020 14:58:21 by RouterOS 6.48
# software id = ZHHJ-5EFR
#
# model = RB4011iGS+
# serial number = B8F6
/interface bridge
add igmp-snooping=yes name=IPTV-Bridge protocol-mode=none
/interface ethernet
set [ find default-name=ether1 ] name=Gateway-e1
set [ find default-name=ether2 ] name=LAN-e2
set [ find default-name=ether3 ] name=LAN-e3
set [ find default-name=ether4 ] name=LAN-e4
set [ find default-name=ether5 ] name=LAN-e5
set [ find default-name=ether6 ] name=LAN-e6
set [ find default-name=ether7 ] name=LAN-e7
set [ find default-name=ether8 ] name=LAN-e8
set [ find default-name=ether9 ] name=LAN-e9
set [ find default-name=ether10 ] name=LAN-e10
/interface vlan
add interface=Gateway-e1 name=Internet-vlan6 vlan-id=6
add interface=Gateway-e1 name=Iptv-vlan2 vlan-id=2
add disabled=yes interface=Gateway-e1 name=Voip-vlan3 vlan-id=3
/interface pppoe-client
add add-default-route=yes allow=pap,chap disabled=no interface=Internet-vlan6 \
    keepalive-timeout=60 max-mru=1492 max-mtu=1492 name=pppoe-out1 user=\
    adslppp@telefonicanetpa
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add comment="Vlan2 (Iptv) & Vlan3 (Voip)" name=Vlan2&3
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-server option
add code=240 name=Movistar_decoder_option value=\
    "':::::239.0.2.10:22222:v6.0:239.0.2.30:22222'"
/ip pool
add comment="Pool for IPTV-Bridge subnet, common hosts (192.168.88.2-126)" \
    name=IPTV-subnet-pool ranges=192.168.88.2-192.168.88.126
add comment="Pool for IPTV-bridge subnet, Movistar Decoders" name=\
    IPTV-decoder-pool ranges=192.168.88.200-192.168.88.206
/ip dhcp-server
add address-pool=IPTV-subnet-pool disabled=no interface=IPTV-Bridge \
    lease-time=22h name=IPTV-dhcp-server
/interface bridge port
add bridge=IPTV-Bridge interface=LAN-e2
add bridge=IPTV-Bridge interface=LAN-e5
add bridge=IPTV-Bridge interface=LAN-e3
add bridge=IPTV-Bridge interface=LAN-e4
add bridge=IPTV-Bridge interface=LAN-e6
add bridge=IPTV-Bridge interface=LAN-e7
add bridge=IPTV-Bridge interface=LAN-e8
add bridge=IPTV-Bridge interface=LAN-e10
add bridge=IPTV-Bridge interface=LAN-e9
/ip neighbor discovery-settings
set discover-interface-list=none
/ip settings
set tcp-syncookies=yes
/interface detect-internet
set detect-interface-list=all
/interface list member
add interface=Gateway-e1 list=WAN
add interface=pppoe-out1 list=WAN
add interface=Iptv-vlan2 list=Vlan2&3
add interface=Voip-vlan3 list=Vlan2&3
add interface=IPTV-Bridge list=LAN
/ip address
add address=192.168.100.2/24 comment="Router's address from ONT. Huawei's ONT \
    HG8240H access through 192.168.100.1" interface=Gateway-e1 network=\
    192.168.100.0
add address=192.168.88.1/24 comment="IPTV subnet" interface=IPTV-Bridge \
    network=192.168.88.0
add address=10.86.yy.xx/10 comment="My Telefonica's IPTV address" interface=\
    Iptv-vlan2 network=10.64.0.0
/ip cloud
set ddns-enabled=yes ddns-update-interval=1m
/ip dhcp-client
add add-default-route=no interface=Voip-vlan3 use-peer-ntp=no
/ip dhcp-server config
set store-leases-disk=never
/ip dhcp-server lease
xxxxxx
/ip dhcp-server network
add address=192.168.88.0/25 comment=\
    "IPTV-Bridge common hosts subnet (192.168.88.2-126)" dns-server=\
    192.168.88.2,192.168.88.1 gateway=192.168.88.1 netmask=24
add address=192.168.88.200/29 comment="IPTV-Bridge subnet for decoders" \
    dhcp-option=Movistar_decoder_option dns-server=172.26.23.3 gateway=\
    192.168.88.1 netmask=24
/ip dhcp-server vendor-class-id
add address-pool=IPTV-decoder-pool name=Movistar-Decoder server=\
    IPTV-dhcp-server vid="[IAL]"
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,1.1.1.1
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall address-list
add address=bxxxxx0a1728fb.sn.mynetname.net list=public-ip
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=accept chain=input comment=\
    "Accept vlan2 & 3  (Iptv & Voip) multicast & broadcast traffic" \
    dst-address-type=!unicast in-interface-list=Vlan2&3
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward connection-state=\
    established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all new from WAN not DSTNATed" connection-nat-state=\
    !dstnat connection-state=new in-interface-list=WAN
add action=drop chain=forward comment=\
    "Drop all new unicast traffic from vlan3 & 2 (Voip & Iptv) not DSTNATed" \
    connection-nat-state=!dstnat connection-state=new dst-address-type=\
    unicast in-interface-list=Vlan2&3
/ip firewall mangle
add action=set-priority chain=postrouting comment="Prioritise Voip packets" \
    disabled=yes new-priority=5 out-interface=Voip-vlan3 passthrough=yes
add action=set-priority chain=postrouting comment="Prioritise Iptv packets" \
    new-priority=4 out-interface=Iptv-vlan2 passthrough=yes
add action=set-priority chain=postrouting new-priority=1 out-interface=\
    pppoe-out1
add action=add-src-to-address-list address-list=vod-receiver \
    address-list-timeout=1m chain=postrouting comment="RTSP - VOD Movistar" \
    connection-state=new dst-port=554 out-interface=Iptv-vlan2 protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=\
    192.168.88.0/25 src-address=192.168.88.0/25
add action=masquerade chain=srcnat comment=\
    "defconf: masq. non  ipsec WAN traffic" ipsec-policy=out,none \
    out-interface-list=WAN
add action=masquerade chain=srcnat comment=\
    "masq. vlan2 & vlan3 (Iptv & Voip)" out-interface-list=Vlan2&3
add action=dst-nat chain=dstnat comment=nginx dst-address-list=public-ip \
    dst-port=80 protocol=tcp to-addresses=192.168.88.2 to-ports=80
add action=dst-nat chain=dstnat comment=nginx dst-address-list=public-ip \
    dst-port=443 protocol=tcp to-addresses=192.168.88.2 to-ports=443
add action=dst-nat chain=dstnat comment="puerto qbittorrent" dst-port=5999 \
    protocol=tcp to-addresses=192.168.88.2
add action=dst-nat chain=dstnat comment="plex debian" dst-port=32401 \
    in-interface-list=WAN protocol=tcp to-addresses=192.168.88.2 to-ports=\
    32400
add action=dst-nat chain=dstnat comment=wireguard dst-address-list=public-ip \
    dst-port=25626 protocol=udp to-addresses=192.168.88.2 to-ports=25626
add action=dst-nat chain=dstnat comment=openvpn dst-port=1195 protocol=udp \
    to-addresses=192.168.88.3
add action=dst-nat chain=dstnat comment="VOD Script" dst-address-type=local \
    in-interface=Iptv-vlan2 to-addresses=192.168.88.206
add action=dst-nat chain=dstnat disabled=yes dst-port=53 protocol=tcp \
    to-addresses=192.168.88.1 to-ports=53
add action=dst-nat chain=dstnat disabled=yes dst-port=53 protocol=udp \
    to-addresses=192.168.88.1 to-ports=53
add action=dst-nat chain=dstnat comment="plex synology" disabled=yes \
    dst-port=5222 in-interface-list=WAN protocol=tcp to-addresses=\
    192.168.88.3 to-ports=32400
add action=dst-nat chain=dstnat comment=tvheadend disabled=yes dst-port=5666 \
    protocol=tcp to-addresses=192.168.88.2 to-ports=5666
add action=dst-nat chain=dstnat dst-port=5777 protocol=tcp to-addresses=\
    192.168.88.2 to-ports=5777
add action=dst-nat chain=dstnat comment=acestream disabled=yes dst-port=10001 \
    protocol=tcp to-addresses=192.168.88.25 to-ports=10001
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes port=8228
set ssh disabled=yes
set winbox port=8111
/ip upnp
set allow-disable-external-interface=yes enabled=yes
/ip upnp interfaces
add interface=pppoe-out1 type=external
add interface=IPTV-Bridge type=internal
/routing igmp-proxy
set query-interval=30s quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=Iptv-vlan2 upstream=yes
add interface=IPTV-Bridge
/routing rip interface
add interface=Voip-vlan3 passive=yes receive=v2
add interface=Iptv-vlan2 passive=yes receive=v2
/routing rip network
add network=10.0.0.0/8
add network=172.26.0.0/16
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=MK-router
/system package update
set channel=development
/system scheduler
add interval=6s name=vod on-event=vod policy=read,write start-time=startup
/system script
add dont-require-permissions=no name=vod owner=admin policy=read,write \
    source=":local iplist [:len [/ip firewall address-list find list=\"vod-rec\
    eiver\"]]\
    \n:local rules [:len [/ip firewall nat find where comment=\"VOD Script\"]]\
    \n#:log info \"VODScript: IPs in list are \$iplist !\"\
    \n#:log info \"VODScript: Rules are \$rules !\"\
    \n:if (\$iplist = 0 and \$rules > 0) do={\
    \n\t#/ip firewall nat remove [find comment=\"VOD Script\"];\
    \n\t#:log info \"VODScript: Rule removed !\"\
    \n} else {\
    \n\t:local ipadressnew [/ip firewall address-list get [:pick [/ip firewall\
    \_address-list find list=\"vod-receiver\"] (\$iplist-1)] address]\
    \n\t:local ipadressold \"None\"\
    \n\t#:log info \"VODScript: IP address new is \$ipadressnew !\"\
    \n\t:if (\$iplist > 0 ) do {\
    \n\t\tif (\$rules > 0 ) do {\
    \n\t\t\t:set ipadressold [/ip firewall nat get [find comment=\"VOD Script\
    \"] to-addresses] \
    \n\t\t\t#:log info \"VODScript: IP address old is \$ipadressold !\"\
    \n\t\t}\
    \n\t\t:if (\$ipadressnew != \$ipadressold) do={\
    \n\t\t\tif (\$rules > 0 ) do {\
    \n\t\t\t\t/ip firewall nat remove [find comment=\"VOD Script\"];\
    \n\t\t\t}\
    \n\t\t\t/ip firewall nat add action=dst-nat chain=dstnat comment=\"VOD Scr\
    ipt\" dst-address-type=local in-interface=Iptv-vlan2 to-addresses=\$ipadre\
    ssnew\
    \n\t\t\t:log info \"VODScript: IP address changed from \$ipadressold to \$\
    ipadressnew !\"\
    \n\t\t}\
    \n\t}\
    \n}"
 
No, no puedes. De hecho, es uno de los principales errores del top ten de mikrotik:

Simplemente crea un segundo bridge con otra IP y otro servidor DHCP y listo.

Saludos!
 
No, no puedes. De hecho, es uno de los principales errores del top ten de mikrotik:

Simplemente crea un segundo bridge con otra IP y otro servidor DHCP y listo.

Saludos!
Si, nada más empezar el vídeo lo explica, gracias.
Ahora en unos días me llega un segundo Mikrotik para seguir tu manual de los túneles :)
 
No, no puedes. De hecho, es uno de los principales errores del top ten de mikrotik:

Simplemente crea un segundo bridge con otra IP y otro servidor DHCP y listo.

Saludos!
Exacto: para poder manejar una interfaz en nivel 3 (red) debe tener asignada una dirección IP (que es de nivel 3, claro) y esta debe ser única.
 
Hola a todos.
Pues ya he puesto el hap ac2 a un familiar con la configuración para Movistar TV multidesco y todo funcionando a la primera teniendo los datos necesarios para configurar el apartado de la televisión. Me preocupaba un poco también el alcance del WiFi y por eso estos últimos días estaba batallando con CAPsMAN. Pero oye, muy bien también en este apartado, hemos decidido dejar únicamente el hAP AC2 de momento sin compañía. Así que gracias por la ayuda que nos prestáis a todos. Me parece que va a ser un gran cambio para ellos después de tener el Comtrend.
Gracias.
 
Hola a todos.
Pues ya he puesto el hap ac2 a un familiar con la configuración para Movistar TV multidesco y todo funcionando a la primera teniendo los datos necesarios para configurar el apartado de la televisión. Me preocupaba un poco también el alcance del WiFi y por eso estos últimos días estaba batallando con CAPsMAN. Pero oye, muy bien también en este apartado, hemos decidido dejar únicamente el hAP AC2 de momento sin compañía. Así que gracias por la ayuda que nos prestáis a todos. Me parece que va a ser un gran cambio para ellos después de tener el Comtrend.
Gracias.
Muy buenas noticias @stargate4you! Me alegra un montón que os vayáis atreviendo con estos proyectos personales, haciendo uso de estos chismes. Ahora, a cruzar los dedos y que no toque nada, porque sino estarás allí todos los días.

Saludos!
 
Ahora, a cruzar los dedos y que no toque nada, porque sino estarás allí todos los días.

Eso me han dicho en plan de broma. La suerte es que no saben ni entrar al router aunque les he dejado un papel con todos los usuarios y passwords, al menos para que a mí no se me olviden. He dejado montado CAPsMAN. Lo que más me preocupaba era el tema de la televisión que yo no había tocado hasta ahora.
Me he conectado por VPN a ver que tal les va y parece que todo está correcto en las pocas horas que llevan con el Mikrotik.

hapac2_wireless01.png


hapac2_wieless02.png


hapac2_interfaces01.png


Saludos y feliz año nuevo para todos.
 
Jejeje, eso tiene buena pinta. Montaste CAPsMAN solo por aprender, o tenías pensado montar varios APs por la casa?

Saludos!
 
Jejeje, eso tiene buena pinta. Montaste CAPsMAN solo por aprender, o tenías pensado montar varios APs por la casa?

Saludos!

Pensaba que les haría falta montar un CAPs pero al final no ha sido necesario, la señal wifi llega bien por todo el piso. Se ve que el Comtrend que tenían me tenía engañado con la poca cobertura que les daba. Y como lo monté con tu ayuda pues ahí lo he dejado. Está montado y además me ha permitido aprender y entender el sistema CAPsMAN, cómo no molesta y funciona, ahí se queda por si en un futuro les hiciera falta.
Saludos.
 
Pensaba que les haría falta montar un CAPs pero al final no ha sido necesario, la señal wifi llega bien por todo el piso. Se ve que el Comtrend que tenían me tenía engañado con la poca cobertura que les daba. Y como lo monté con tu ayuda pues ahí lo he dejado. Está montado y además me ha permitido aprender y entender el sistema CAPsMAN, cómo no molesta y funciona, ahí se queda por si en un futuro les hiciera falta.
Saludos.
Recuerda que siempre puedes replicar esa configuración sin CAPsMAN, y dejar ese equipo como AP normal, sin llegar a borrar la configuración que ya tienes. Y, si en un momento llegáis a necesitar un segundo, activas CAPsMAN y andando.

Saludos!
 
Buenas.
He conseguido dejar funcionando correctamente mi 750G r3 con la Configuración multi desco, multi-bridge, partiendo de la configuración base del quick set. by @furny

Pero tengo las siguientes dudas:
* Creo que habría que borrar en "DHCP Client" el interface ether1 ya que viene con el quick set y no se usa, habia algo mas que borrar pero no lo recuerdo.
* En (DHCP --> Networks), para que sirve la red "IPTV subnet for hosts?"/192.168.77.0, todos los equipos son asignados a la red 192.168.88.0 proveniente del quickset en lugar de esta y el deco es asignado a la red "IPTV subnet for descos"

Adicionalmente, he añadido lo siguiente al script ya que no viene en el quickset, por si queréis incluirlo:

# Filtro para ataques DDos
/ip firewall filter add chain=forward protocol=tcp tcp-flags=syn connection-state=new \
action=jump jump-target=SYN-Protect comment="SYN Flood protect" disabled=yes
/ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=syn limit=400,5 connection-state=new \
action=accept comment="" disabled=no
/ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=syn connection-state=new \
action=drop comment="" disabled=no
/ip settings
set tcp-syncookies=yes

# Establecemos fecha y hora
/system clock
set time-zone-name=Europe/Madrid
/system ntp client
set enabled=yes primary-ntp=129.6.15.28 secondary-ntp=129.6.15.29

# Establecemos el nombre del router
/system identity
set name=Router-Core

# Habilitamos upnp
/ip upnp interfaces
add interface=bridge-iptv type=internal
add interface=pppoe-out1 type=external
/ip upnp set enabled=yes

# Habilitamos DDNS
/ip cloud set ddns-enabled=yes
 
Me alegro de que te haya sido útil el manual. Respondo a tus comentarios:
* Creo que habría que borrar en "DHCP Client" el interface ether1 ya que viene con el quick set y no se usa, habia algo mas que borrar pero no lo recuerdo.
Si seleccionas PPPoE como tipo de conexión en el quick set, no deberías tener ese cliente sobre ether1, salvo error en el script del quick set.

* En (DHCP --> Networks), para que sirve la red "IPTV subnet for hosts?"/192.168.77.0, todos los equipos son asignados a la red 192.168.88.0 proveniente del quickset en lugar de esta y el deco es asignado a la red "IPTV subnet for descos"
La 192.168.77.0/24 es la red que se definió para IPTV. El desco, obtiene una IP de ese rango por DHCP, no del rango principal. Si tienes un equipo al que quieres hacer llegar IPTV, lo conectarías a un switch enganchado a un puerto perteneciente al bridge IPTV en ese router, y obtendría una IP de este rango. Sólo los clientes conectados a los puertos del bridge principal obtendrían el rango principal del quick set 192.168.88.0/24.

# Filtro para ataques DDos
/ip firewall filter add chain=forward protocol=tcp tcp-flags=syn connection-state=new \
action=jump jump-target=SYN-Protect comment="SYN Flood protect" disabled=yes
/ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=syn limit=400,5 connection-state=new \
action=accept comment="" disabled=no
/ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=syn connection-state=new \
action=drop comment="" disabled=no
/ip settings
set tcp-syncookies=yes
No lo veo necesario para un router doméstico, a menos que expongas algún servicio a internet. En mi opinión, el firewall por defecto es más que suficiente para un usuario normal. No obstante, si quieres abrir un hilo aparte y explicar esta configuración y recomendarla, adelante. Pero, para el propósito de ese post, es innecesaria.

# Establecemos fecha y hora
/system clock
set time-zone-name=Europe/Madrid
/system ntp client
set enabled=yes primary-ntp=129.6.15.28 secondary-ntp=129.6.15.29
Ya estás habilitando IP -> Cloud más abajo, lo cual habilita por defecto el servidor de hora sincronizado con los equipos de mikrotik. No necesitas uno adicional. El time zone, desde hace unas versiones, va igual sincronizado.

# Establecemos el nombre del router
/system identity
set name=Router-Core
Esto lo haces ya en el quick set, en el campo "Router Identity"

# Habilitamos upnp
/ip upnp interfaces
add interface=bridge-iptv type=internal
add interface=pppoe-out1 type=external
/ip upnp set enabled=yes
El UPnP es un protocolo considerado inseguro. Si bien es cómodo, no lo recomiendo.

# Habilitamos DDNS
/ip cloud set ddns-enabled=yes
Si marcas la opción del VPN en el quick set, esto va habilitado por defecto.

Saludos!
 
Una consulta. En las configuraciones para MovistarTV cuando desde la operadora hacen alguna actualización de firmware del desco afecta en algo al estar conectado al Mikrotik. Lo digo porque como normalmente ellos controlan o tienen acceso a todos sus equipos ( desde la ont hasta el router y el desco ) no se si esto puede afectar de alguna manera al meter en la ecuación el Mikrotik. O si ha ellos les da por hacer algún cambio o actualización de sus sistemas puede interferir con nuestras configuraciones de alguna manera.
Saludos.
 
Una consulta. En las configuraciones para MovistarTV cuando desde la operadora hacen alguna actualización de firmware del desco afecta en algo al estar conectado al Mikrotik. Lo digo porque como normalmente ellos controlan o tienen acceso a todos sus equipos ( desde la ont hasta el router y el desco ) no se si esto puede afectar de alguna manera al meter en la ecuación el Mikrotik. O si ha ellos les da por hacer algún cambio o actualización de sus sistemas puede interferir con nuestras configuraciones de alguna manera.
Saludos.
Pues esta pregunta supongo que quien mejor te la podrá responder es alguien que lleve tiempo con esto implementado, tipo @furny. Todo dependerá de como tengan configurados los descos las actualizaciones, y qué método usen para hacerlo. Inicialmente, si es vía HTTP, los descos tienen acceso a la red IPTV de la operadora, así que si el servidor de actualizaciones está ahí y es una llamada tipo http, ftp o similar, supongo que sí. Si tira de TR-069, sospecho que dependerá igualmente de cómo lo tengan configurado, pero es posible que esas fallen.

Saludos!
 
Una consulta. En las configuraciones para MovistarTV cuando desde la operadora hacen alguna actualización de firmware del desco afecta en algo al estar conectado al Mikrotik. Lo digo porque como normalmente ellos controlan o tienen acceso a todos sus equipos ( desde la ont hasta el router y el desco ) no se si esto puede afectar de alguna manera al meter en la ecuación el Mikrotik. O si ha ellos les da por hacer algún cambio o actualización de sus sistemas puede interferir con nuestras configuraciones de alguna manera.
Saludos.
Lo que controlan a tope es la ONT, que es, desde el punto de vista de arquitectura de red, parte de la red de la operadora. Con la ONT, hacen y deshacen, y si la cambia el usuario (cosa que en teoría no podría hacer), debe ser un modelo compatible con la OLT, que está al otro extremo, en la central de la operadora, podríamos decir. Pero ese par ONT-OLT forman un todo, junto con el resto de la red de la operadora. Y usan todo un conjunto de protocolos para controlar y bajar configuraciones a su antojo. El punto de terminación de red no es la roseta óptica, sino el rj45 de la ONT (puerto WAN) y rj11 para el teléfono (si lo hubiere).

El router es otro cantar. En Movistar, antes de la dichosa HGU, podías tener el router gestionable por la operadora (con TR-069), bajándote configuraciones y actualizaciones de firmare, o sacarlo de la gestión por completo (el portal de gestión de los routers, al cual pude tener acceso el usuario a través de la Web MiMovistar se llama Alejandra). Si se saca por completo, no hay problema. Incluso, puedes poner otro router, como hemos hecho muchos. Por supuesto, con la configuración que usamos en MK, la operadora no puede acceder a nuestro equipo, ni falta que le hace.

Los descos son más primitivos y no estoy muy seguro de que se haga alguna gestión remota desde Movistar, ni en LAN co router gestionado, ni sin el. Mas bien creo lo contrario. En mi configuración de mi MK, solo pueden acceder al desco, de los dos que tengo, que tenga la regla nat asignada para acceder desde la vlan de IPTV (Para VOD). Si no, solo pueden acceder en multicast, y en este caso, no hay posibilidad de tocar nada. Yo No he apreciado ninguna actualización de software del desco en años, salvo hace un año, que vinieron a instalarme el desco UHD, compatible con Netflix, actulizacion de HW, claro. No me suena que haya actualizaciones del firmware del desco.
 
@furny
Gracias por la explicación.
Y si lo que más control tienen es en la ONT, entonces puede afectar al resto de equipos que vienen por detrás de alguna forma o sólo afecta en la comunicación de OLT y ONT.
Saludos.
 
@furny
Gracias por la explicación.
Y si lo que más control tienen es en la ONT, entonces puede afectar al resto de equipos que vienen por detrás de alguna forma o sólo afecta en la comunicación de OLT y ONT.
Saludos.
Bueno, afecta del modo esperado, es decir, la "velocidad" contratada de la conexión a internet, los parámetros SIP del teléfono, si estás dado de alta, etc. Los servicios que se esperan de la operadora. Pero no en lo relativo a tu LAN.
 
Arriba