MANUAL: Mikrotik, configuraciones básicas ISPs

Pues ni idea que esta pasando... es que tengo 2 decos... y estan los dos iguales... me resulta raro que tenga avería en 2 dispositivos a la vez.
 
Pues ni idea que esta pasando... es que tengo 2 decos... y estan los dos iguales... me resulta raro que tenga avería en 2 dispositivos a la vez.
Pues sí que es raro. Supongo que tienes la configuración de los dos descos, dos bridges, que es, básicamente, la que aún tengo funcionando. Yo estoy, eso sí, con el RouterOS longterm 6.47.9. Si quires, pásame un /export hide-sensitive y le hecho un vistazo, por si se te hubiera escapado o alterado algo.
 
Al configurar para O2 con rotuer Huawei hay un orden que admite mi terminal la subrayada en rojo. en Ip firewall filter: place-before=[find where chain=input and comment="defconf: drop invalid" y no se dónde escribirlo sin ser por el terminal pues por el ventanas no sale donde poner place before nada.
 

Adjuntos

  • Captura1.JPG
    Captura1.JPG
    154.1 KB · Visitas: 54
Eso pasa si has tocado las reglas por defecto que mete el mikrotik, y no encuentra esa regla de drop. No es mayor problema, quítale la parte del "place before... " a la instrucción, y una vez dada de alta la regla, te vas a IP -> Firewall, la localizas y la subes arriba del todo, justo detrás de la regla de "drop invalid".

Si tienes dudas, pásame o un export de como tienes el firewall ahora mismo y te digo donde meterla.

Saludos!
 
Muy amable pero al buscar el drop invalid que me dices y ver que no lo tengo me ha entrado cangüelo y he recargado una copia de seguridad antigua que veo que sí tiene los drop de marras y me vuelvo al HGU de movistar. Al meno guardo la copia del Huawei por si un día se muere el HGU. Gracias
 
Las reglas de firewall "base" deberías tenerlas ahí, independientemente de que vayas con el HGU o con la ONT. La regla que tratas de meter es adicional, para permitir el tráfico RIP para tener teléfono en la LAN.

Si quieres las reglas por defecto, son estas:
Código:
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
 
alguna tenía pero todas esas ni de coña. Me viene de lujo. En el mangle hay alguna regla "obligatoria". Gracias
 

Adjuntos

  • Captur5.JPG
    Captur5.JPG
    68.7 KB · Visitas: 55
Claro; tu problema viene de haberle cambiado el nombre a los comentarios, de ahí que el place-before, con la cláusula del when que busca por comentario, no te funcionase.

De cualquier forma, las tienes casi bien. Borra el primer fasttrack, que lo tienes repetido y el drop que le haces a la red de invitados, bájala abajo, con el resto de las reglas de forward (el orden importa sólo dentro de cada chain, es decir las de input van por un lado, y las de forward por otro)

De cualquier forma, viendo las originales, es fácil hacerte una idea de cómo tienen que quedar las tuyas.

Saludos!
 
¿Os sigue funcionando correctamente el IPTV de movistar?

Funcionar al final funciona, pero la navegación en los menús y el encendido va súper lento... incluso el.cambio de canal va fatal.

Incluso tengo problemas en el encendido desde cero (quitar cable ac) de los decos, me da la sensación que el router esta cortando algún tráfico... pero ni idea como revisar los logs en el mikrotik.

Sent from my SM-N950F using Tapatalk
Hola
A mi me está funcionando correctamente, excepto si hago un uso intensivo de la red IPSEC que el procesador se poner al 100% y la TV Pixela muchisimo
Voy a cambiar el hAP ac por un hAPac3 para ver si funciona mejor
Por lo demas me funcina Ok incluso con un DECO conectado por EOIP sobre un tunel PPTP server.
 
@pokoyo

Podemos añadir la configuración para Digi, ya que últimamente hay más foreros que están en esta compañía. Y más ahora que les facilitan los datos necesarios para usar su propio router. He ido recopilando los datos necesarios para levantar la conexión.
Me baso en la teoría ya que yo no tengo conexión a Digi, pero es un comienzo para facilitarles la utilización de los routers Mikrotik.
Y si hay alguien que lo tenga en marcha que nos diga si falta algo.
¿ Qué te parece ? Puedes añadir/rectificar lo que consideres oportuno.

Código:
# Damos de alta la vlan 20.
/interface vlan
add interface=ether1 name=vlan20 vlan-id=20

# Configurar la interfaz PPPoE para que use la VLAN 20 internet.
/interface pppoe-client
add add-default-route=yes allow=pap,chap disabled=no interface=vlan20 \
    keepalive-timeout=60 max-mru=1492 max-mtu=1492 name=pppoe-out1 password=\
    passwordDigi use-peer-dns=yes user=user@digi

# Añadimos a  la lista WAN el interface PPPoE para que el firewall/nat funcione correctamente.
/interface list member
add interface=pppoe-out1 list=WAN

Y de paso que tengan la configuración para usar el fijo mediante el router del operador.

Código:
#Añadir servidor PPPoE para utilizar el fijo mediante el propio router de Digi

#1. En Interfaces→VLAN→Add New creamos una nueva VLAN con VLAN ID 20 y la interface que utilices para conectar el router de Digi.
# Separado del bridge principal. En este ejemplo usamos el puerto ether5, se puede cambiar por cualquier otro.

/interface vlan
add interface=ether5 name=vlan_router_digi vlan-id=20

#2. En IP→Pool→Add New creamos un pool de direcciones para el servidor.

/ip pool
add name=pool_pppoe_server ranges=10.0.1.200-10.0.1.254

#3. Crear servidor PPP, en PPP→Profiles→Add new creamos un nuevo perfil

/ppp profile
add local-address=10.0.1.1 name=pppoe_server_digi remote-address=\
    pool_pppoe_server

#4. PPP→Secrets→Add new vamos a añadir el user/password

/ppp secret
add name=user@digi password=passwordDigi profile=pppoe_server_digi service=pppoe

#5. Crear el servidor, PPP→PPPoE Servers→Add New

/interface pppoe-server server
add default-profile=pppoe_server_digi disabled=no interface=vlan_router_digi \
    service-name=servicio_router_digi

Saludos.
 
@pokoyo

Podemos añadir la configuración para Digi, ya que últimamente hay más foreros que están en esta compañía. Y más ahora que les facilitan los datos necesarios para usar su propio router. He ido recopilando los datos necesarios para levantar la conexión.
Me baso en la teoría ya que yo no tengo conexión a Digi, pero es un comienzo para facilitarles la utilización de los routers Mikrotik.
Y si hay alguien que lo tenga en marcha que nos diga si falta algo.
¿ Qué te parece ? Puedes añadir/rectificar lo que consideres oportuno.

Código:
# Damos de alta la vlan 20.
/interface vlan
add interface=ether1 name=vlan20 vlan-id=20

# Configurar la interfaz PPPoE para que use la VLAN 20 internet.
/interface pppoe-client
add add-default-route=yes allow=pap,chap disabled=no interface=vlan20 \
    keepalive-timeout=60 max-mru=1492 max-mtu=1492 name=pppoe-out1 password=\
    passwordDigi use-peer-dns=yes user=user@digi

# Añadimos a  la lista WAN el interface PPPoE para que el firewall/nat funcione correctamente.
/interface list member
add interface=pppoe-out1 list=WAN

Y de paso que tengan la configuración para usar el fijo mediante el router del operador.

Código:
#Añadir servidor PPPoE para utilizar el fijo mediante el propio router de Digi

#1. En Interfaces→VLAN→Add New creamos una nueva VLAN con VLAN ID 20 y la interface que utilices para conectar el router de Digi.
# Separado del bridge principal. En este ejemplo usamos el puerto ether5, se puede cambiar por cualquier otro.

/interface vlan
add interface=ether5 name=vlan_router_digi vlan-id=20

#2. En IP→Pool→Add New creamos un pool de direcciones para el servidor.

/ip pool
add name=pool_pppoe_server ranges=10.0.1.200-10.0.1.254

#3. Crear servidor PPP, en PPP→Profiles→Add new creamos un nuevo perfil

/ppp profile
add local-address=10.0.1.1 name=pppoe_server_digi remote-address=\
    pool_pppoe_server

#4. PPP→Secrets→Add new vamos a añadir el user/password

/ppp secret
add name=user@digi password=passwordDigi profile=pppoe_server_digi service=pppoe

#5. Crear el servidor, PPP→PPPoE Servers→Add New

/interface pppoe-server server
add default-profile=pppoe_server_digi disabled=no interface=vlan_router_digi \
    service-name=servicio_router_digi

Saludos.
Hola!

Yo estoy con Digi y la conexión VLAN + PPPoE que propones es correcta, ésta es la mía por si quieres comparar:

Bash:
/interface vlan
add interface=ether1 name=vlan20 vlan-id=20

/interface pppoe-client
add add-default-route=yes disabled=no interface=vlan20 max-mru=1492 max-mtu=\
    1492 name=pppoe-out1 password=xUYW6sXT user=7XXXXXXX9@digi

/interface list member
add interface=pppoe-out1 list=WAN

No tengo fijo pero es interesante esa configuración de servidor PPPoE para que puedas conectar el router de DIGI en cualquier puerto como si fuera un ATA.

Por cierto la network que utiliza DIGI para la IP pública es 10.0.0.1

29xTCxyoZM.png


Y la parte para IPv6 también está publicada en este hilo: https://www.adslzone.net/foro/mikrotik.199/mikrotik-hex-como-gestiona-ipv6.568804/#post-3578328

S@lu2.
 
Última edición:
Mañana la paso a la primera página.

Saludos, y gracias a ambos!
 
Muy buenas.

Soy nuevo usuario de Mikrotik; acabo de comprarme el modelo RB4011IGS+RM y pretendo sustituir con él a una máquina que tengo ahora gestionando mi red con Opnsense.

Soy usuario de Movistar fibra y tengo su router HGU en modo monopuesto. Cuando instale el mikrotik, pienso dejar en principio el HGU tal y como está y dejar que mi nueva adquisición se limite a gestionar la parte de "internet", dejando que el hgu siga gestionando la TV (tal y como se recomienda en este foro). El tfno no me interesa.

Sin embargo, estoy pensando que en un futuro me interesaría prescindir totalmente del HGU, siguiendo las configuraciones de este hilo y es ahí donde veo un problema. En la configuración de movistar triple vlan se habla de "Añadir la ip de IPTV, extraída de un backup del router" y eso parece que ya no se puede hacer porque el backup de la configuración del HGU parece estar cifrado ahora y porque la página de Noltari ya no existe.

Cómo podría conseguir esa IP? Veo que en la sección de configuración avanzada del router hay una página con muchas ips asociadas a las distintas vlans pero no tengo muy claro si podría sacar algo de ahí...

Por cierto, tengo una ONT que compré hace tiempo en ebay y nunca llegúe a probar, el modelo Huawei Echolife HG8240H. Si alguien me pudiera confirmar que es compatible con Movistar fibra... Gracias.
 
En la configuración de movistar triple vlan se habla de "Añadir la ip de IPTV, extraída de un backup del router" y eso parece que ya no se puede hacer porque el backup de la configuración del HGU parece estar cifrado ahora y porque la página de Noltari ya no existe.

Está explicado en otro hilo del foro, no me acuerdo dónde.
Te paso la explicación para sacar los datos iptv de un HGU. Así te sirve de referencia y ejemplo.

Router HGU

Accedemos al router HGU de Movistar desde la IP 192.168.1.1, iniciamos sesión y en el menú lateral nos vamos a "Configuración avanzada", pulsamos "Aceptar" y nos vamos a "Avanced Setup", dentro vamos al submenú "WAN Service". Aquí anotamos la IP de la interfaz "veip0.3", la IP normalmente debería empezar por 10.XXX.XXX.XXX .

Otros datos podemos averiguarlos viendo la tabla de rutas para obtener la máscara de red y la red.

Una vez hecho esto vamos al menú "Device Info" y al submenú "Route". Una vez allí buscamos la primera línea que pone "veip0.3" en el apartado "Interface" y anotamos lo que vemos en "Subnet Mask",tiene que empezar por 255.XXX.XXX.XXX.




Normalmente tienen una máscara de red :

/9 = 255.128.0.0
/10 = 255.192.0.0

Si ya tenemos la IP ahora sabremos cual es su máscara y red.

En el ejemplo de la imagen sería.

IP: 12.34.56.78 (ejemplo)(obtenida anteriormente)
Máscara de red: 255.192.0.0 que es igual a /10
Red: 10.64.0.0

Tendríamos la IP 12.34.56.78/10 perteneciente a la red 10.64.0.0 y con estos datos ya tenemos lo que necesitamos para introducirlos en la configuración de otro router.


Por cierto, tengo una ONT que compré hace tiempo en ebay y nunca llegúe a probar, el modelo Huawei Echolife HG8240H. Si alguien me pudiera confirmar que es compatible con Movistar fibra... Gracias.

Tiene que ser compatible porque es uno de los modelos de ONT que monta o montaba Movistar en sus instalaciones.

Saludos.
 
Hola otra vez,

Pues me he liado la manta a la cabeza y al final he desempolvado y conectado la ONT HG8240H y ya está funcionando con mi flamante 4011.
He seguido las instrucciones para la configuración de Movistar con triple vlan de @furny con los apuntes de @stargate4you y me ha funcionado de impresión y a la primera !!!

Pero ahora tengo una duda de novato:

¿Como creo nuevas redes asignadas a bocas del router?

En opnsense tenía varias redes, con su ip y su servidor dhcp pero en mikrotik no acabo de ver cómo hacerlo. De momento veo que si conecto un equipo a eth3, le asigna una ip en el rango 192.168.88.0/24 (el rango por defecto, entiendo) y no sé como cambiarlo... He estado intentando crear un bridge, asignarle un puerto y luego un servidor dhcp y al final he tenido que resetear la configuración y volver a empezar :rolleyes:

He estado leyendo el Mikrotik, bridge VLAN filtering de @pokoyo y no me queda claro si tendría que usar esa información y que tipo de bridge sería el que necesito.
 
Hola otra vez,

Pues me he liado la manta a la cabeza y al final he desempolvado y conectado la ONT HG8240H y ya está funcionando con mi flamante 4011.
He seguido las instrucciones para la configuración de Movistar con triple vlan de @furny con los apuntes de @stargate4you y me ha funcionado de impresión y a la primera !!!

Pero ahora tengo una duda de novato:

¿Como creo nuevas redes asignadas a bocas del router?

En opnsense tenía varias redes, con su ip y su servidor dhcp pero en mikrotik no acabo de ver cómo hacerlo. De momento veo que si conecto un equipo a eth3, le asigna una ip en el rango 192.168.88.0/24 (el rango por defecto, entiendo) y no sé como cambiarlo... He estado intentando crear un bridge, asignarle un puerto y luego un servidor dhcp y al final he tenido que resetear la configuración y volver a empezar :rolleyes:

He estado leyendo el Mikrotik, bridge VLAN filtering de @pokoyo y no me queda claro si tendría que usar esa información y que tipo de bridge sería el que necesito.
Muy fácil: quita el puerto que quieras separar del bridge principal. Una vez hecho, te vas a IP -> Address y crear una nueva subred /24 (o con las máscara que necesites), asignada al puerto que has sacado del bridge. Hecho eso, vas a IP -> DHCP Server y pulsas el botón de “dhcp setup”, que es una especie de wizard, seleccionas la interfaz sobre la que creaste la nueva red (el puerto que sacaste del bridge), y todo siguiente siguiente hasta el final.

Y con eso y un bizcocho, ya tienes una interfaz corriendo con otra subred. Te quedaría, llegado el caso y si lo necesitas, bloquear vía firewall la comunicación entre dichas dos subredes que, por defecto, van comunicadas entre sí.

Si sigues con dudas, mira el manual de tips&tricks, que me suena que había un ejemplo de esto mismo sobre cómo aislar un equipo en la red.

Saludos!
 
Muy fácil: quita el puerto que quieras separar del bridge principal. Una vez hecho, te vas a IP -> Address y crear una nueva subred /24 (o con las máscara que necesites), asignada al puerto que has sacado del bridge. Hecho eso, vas a IP -> DHCP Server y pulsas el botón de “dhcp setup”, que es una especie de wizard, seleccionas la interfaz sobre la que creaste la nueva red (el puerto que sacaste del bridge), y todo siguiente siguiente hasta el final.

Y con eso y un bizcocho, ya tienes una interfaz corriendo con otra subred. Te quedaría, llegado el caso y si lo necesitas, bloquear vía firewall la comunicación entre dichas dos subredes que, por defecto, van comunicadas entre sí.

Si sigues con dudas, mira el manual de tips&tricks, que me suena que había un ejemplo de esto mismo sobre cómo aislar un equipo en la red.

Saludos!
Perfecto, ya está. No me daba cuenta de que los interfaces 3 a 10 estaban asignados al bridge principal. Gracias ;-)

Me he encontrado otro problema que me está dando la lata.
Tengo un servidor web en una de mis redes internas y he redirigido los puertos 80 y 443 desde la interfaz pppoe al servidor en cuestión (192.168.20.4 en este caso). Cuando me conecto desde fuera de casa la cosa va bien, la redirección funciona, pero cuando me conecto desde casa no. Recuerdo que en pfsense/opnsense esto se solucionaba activando la "nat reflection" pero llevo un par de horas leyendo y no descubro como hacerlo en el 4011...
 
Perfecto, ya está. No me daba cuenta de que los interfaces 3 a 10 estaban asignados al bridge principal. Gracias ;-)

Me he encontrado otro problema que me está dando la lata.
Tengo un servidor web en una de mis redes internas y he redirigido los puertos 80 y 443 desde la interfaz pppoe al servidor en cuestión (192.168.20.4 en este caso). Cuando me conecto desde fuera de casa la cosa va bien, la redirección funciona, pero cuando me conecto desde casa no. Recuerdo que en pfsense/opnsense esto se solucionaba activando la "nat reflection" pero llevo un par de horas leyendo y no descubro como hacerlo en el 4011...
Hairpin NAT. Lo tienes también explicado en los tips&tricks.

Saludos!
 
Arriba