MANUAL: Mikrotik, configuraciones básicas ISPs

Acabo de ver la configuracion de @furny y he visto que tiene eso solucionado con script y reglas de fw? lo que pasa es que no´se como añadir eso a mi actual configuracion... y no me gustaria machacar por completo lo que tengo montado... ver si el me puede ayudar con esto.
 
@pokoyo, me esta pasando una cosa muy rara... soy cliente Movistar, y al dia de hoy tengo 2 decos UHD instalados en mi casa... tengo TV en los 2, pero no tengo acceso al VOD... actualiza la guia, el listado de VOD, pero no puedo cargar el video.

Te suena el problema?

tiene toda la pinta de que no tienes configurado el VOD par dos descos con Movistar. Yo te puedo ayudar a montarlo, pero básicamente es seguir la configuración que está subida para dos descos. Mírate primero como funciona grandes rasgos la configuración de RouterOS de Mikrotik. Este fin de semana estoy fuera, salvo quizá el domingo por la tarde. Entonces, si antes me bajas tu configuración actual (/export hide-sensitive file=patata.rsc) y públicas patata.rsc, voy y te echo una mano. No es tan complicado. Ya verás.

saludos.
 
Esto es lo que tengo ahora mismo... tendrá mucha basura de muchas pruebas y las reglas de FW estan una basura, pero...

Mi idea es:
- 10.10.10.0/24 para LAN
- 10.0.7.0/24 para VPN (pendiente de migrar de openVPN para IKE2)
- FW por default + reglas movistar + permitir puertos internos + vpn (pendiente de añadir reglas de bloqueo de malware, ads, trakers y auto blacklist)
 

Adjuntos

  • RB4011iGS_Movistar_TripleVLAN_vdias.txt
    8.4 KB · Visitas: 50
Última edición:
@furny has podido revisar esto?
Hola @vdias. Sí, ya lo he visto, y, efectivamente, tienes bastante lío.

Lo primero: el equipo que tienes es un cañón, el RB4011iGS+ Yo no lo conozco en detalle, pero partiendo de la configuración por defecto, como dice @pokoyo al principio del hilo, se pude ir construyendo lo que pides. Si hay algún detalle de tu equipo que desconozca, seguro que él u otro forero nos lo puede aclarar (no creo que haya diferencias fundamentales).

Lo segundo es que no me parece una buena idea las direcciones de LAN y VPN que has elegido. Es que Movistar usa para Voip (vlan3) precisamente las direcciones de la red 10.0.0.0/8. También la utiliza para enumerar los descos, a través de vlan2. Tampoco se deben usar con Movistar las direcciones de red 172.20.0.0/10, pues las usa para los DNS y los servidores de IPTV. Yo usaría para LAN la 192.168.88.0/24 (en el fichero que subí en este hilo para dos descos usaba la 192.168.7.0/24) y para VPN 192.168.89.0/24 (puede usar otras del rango 192.168.xx.xx, siempre que no las usen las ONT's de Movistar. Alcatel-Lucent es la 192.168.1.0/24 y Huawei 192.168.100.0/24, p.e.)

Por lo tanto, yo iría poco a poco, partiendo de un reset al MK para que cargue la configuración por defecto, como dice @pokoyo en el hilo de "primeros pasos", pero sin cargar ningún VPN, ya que quieres configurar IKEv2 más tarde y el QuickSet no lo monta.
El pool del DHCP ponlo, por ejemplo desde 192.168.88.30-192.168.199, para dejar hueco arriba para estáticas y abajo para descos y otros menesteres.

Cuando lo tengas así, te ayudo a meter las reglas para Voip y IPTV para dos descos, pero básicamente es lo que se describe en esta configuración de aquí: #8. Podemos meter las reglas con Winbox, Webfig o con el terminal, como te veas más cómodo (a mí me gusta más lo último y si acaso reposicionar en el orden correcto las de firewall después arrastrándolas desde winbox o webfig).

Cuando estés listo, nos ponemos manos a la obra. Ahora mismo, tengo libre un buen rato, si quieres.

Suerte!!
 
Jejeje, qué manía tienes de usar direcciones tipo A y B para vuestras LAN... si para eso tenemos las tipo C!

Coincido con @furny. Si bien no conozco de primera mano aún ese equipo, se debe de configurar igual que cualquier otro mikrotik. Yo empezaría por un quick set y luego desde ahí vas metiendo lo demás.

Saludos!
 
Dejé de usar las 192.168... hace muchos años porque entraban en conflicto con algunas redes internas de clientes a los cuales me conectaba por VPN. ;)

La ONT que tengo es una Huawei (192.168.100.0/24), pero la verdad es que en el momento que pincho la fibra dejo de tener acceso a la misma para configuración.

Ver se quito los crios del medio tempranito y hago la "migración" fuera de horario "laboral" a un nuevo rango... ;)

¿Os suena si es posible virtualizar Mikrotik, para ir montando todo en un LAB y despues simplesmente migrar al mikrotik "core" de mi casa?
 
Tienes las imágenes de cloud hosted router para jugar con ellas. Aunque sospecho te hace falta una licencia para usarlas.

Para evitar lo de la VPN y las direcciones tipo C, simplemente usa un rango raro dentro del segmento C, que tienes donde elegir.

A la ONT puedes seguir accediendo desde el mikrotik, si metes ether1 dentro de la lista WAN y configuras una dirección del ese rango sobre ether1. Yo lo tengo así configurado u llego perfectamente.

Saludos!
 
¿Os suena si es posible virtualizar Mikrotik, para ir montando todo en un LAB y despues simplesmente migrar al mikrotik "core" de mi casa?
No sé muy bien a que te refieres. En la web oficial de Mikrotik hay una máquina virtual de RouterOs para experimentar y probar, pero tienes sus limitaciones. Si te refieres inventarte una configuración en un fichero y después cargarla de golpe, eso es posible (si es demasiado gorda hay que subirla trozos y con pausas, pues en crear algunas interfaces puede tardar tiempo y dar errores si no). Lo mejor es: si algo te funciona haz un back up y exporta la configuración, para comparar. Después haces cambios (sobre Winbox, Webfig o terminal) y pruebas. A mi lo que más me gusta es usar el terminal, pues puedo ir copiando y pegando de un fichero, habiendo puesto antes el "Safe Mode", para no fastidiar algo en producción.
 
A la ONT puedes seguir accediendo desde el mikrotik, si metes ether1 dentro de la lista WAN y configuras una dirección del ese rango sobre ether1. Yo lo tengo así configurado u llego perfectamente.
Exacto!. Si te fijas en las configuraciones subidas en este hilo, en los comentarios se dice en la regla correspondiente como se accede a la ONT
 
Recordad también que hay un botón súper útil en estos cacharros, llamado “safe mode” el cual deshace los cambios que hagas si no los has confirmado en 10min, volviendo a pulsar dicho botón. Muy útil para cuando andas toqueteando y la lías parda dejándote a ti mismo fuera del router. A los 10min, si los cambios no se han confirmado pulsando el botón, se deshacen solos.

Saludos!
 
Pues nada... voy a lo loco...

LAN: 200.200.200.0/24
Pool LAN: 200.200.200.10-200.200.200.100
Pool TV: 200.200.200.200/30
VPN: 205.205.205.0/27

Creo que estas nunca las vi en ningún cliente... ;)
 
Pues nada... voy a lo loco...

LAN: 200.200.200.0/24
Pool LAN: 200.200.200.10-200.200.200.100
Pool TV: 200.200.200.200/30
VPN: 205.205.205.0/27

Creo que estas nunca las vi en ningún cliente... ;)
NO, no. Esas tampoco. Ese rango es de redes públicas. O sea, puede que quieras un día acceder a, no sé, el periódico de guatemala, que tenga, precisamente esa dirección, y no puedas. Para direcciones privadas hay que usar, 10.0.0.0/8, 172.16.0.0 a 172.31.255.255 y 192.168.xx.yy. Lo siento!! Y como Movistar te usa las de tipo A y B, te queda sólo las del último tipo.
 
.88 y .89 la tengo en el curro... paso de tonterias cuando me conecte a la VPN... por eso tiro tan alto en la interna.
 
la 200 está dentro de la clase C, no?
cierto. Es clase C. Pero de rango público, no privado. O sea, una persona o institución puede solicitar una dirección pública para que pueda ser accedido. Y te darán, por ejemplo, la 200.200.215.0. Esa dirección será tuya. Si, por el contrario, quieres que te asignen la 192.168.14.0 No te la asignan, porque es para uso en redes privadas (LAN o corporativas. Por eso usa telefónica la 10.0.0.0/8 para dirección are los descos o Voip de sus clientes)
 
En un principio el 200 le vale, es clase C. Aquí tiene más detalle de de dónde a dónde va cada rango
No, no es así. Insisto, eso son direcciones públicas. Por ejemplo: 200.204.21.0/24 son direcciones publicas de Telefonica de Brasil. Si tu quieres comunicarte con un cliente de telefónica en Brasil, y has usado ese rango para tu LAN, el router cree que es una dirección de tu lan y no se comunica. No sé si me explico, vaya.
 
No, no es así. Insisto, eso son direcciones públicas. Por ejemplo: 200.204.21.0/24 son direcciones publicas de Telefonica de Brasil. Si tu quieres comunicarte con un cliente de telefónica en Brasil, y has usado ese rango para tu LAN, el router cree que es una dirección de tu lan y no se comunica. No sé si me explico, vaya.

Correcto. Yo no me la jugaba. Dirección 192.168.X.Y

Saludos!
 
Revisar esto por favor... creo que no me he olvidado de nada...
 

Adjuntos

  • 192_168_200_0.txt
    8.6 KB · Visitas: 53
Arriba