MANUAL: Mikrotik, configuraciones básicas ISPs

En mi caso por tres razones: la primera porque el comtrend que tenia de Movistar era una patata: el MK no se cae ni empujándolo por un barranco. Así pude sustituir por completo el router de Movistar, y el MK lo tengo bajo mi control exclusivo (ademas, elimino un equipo de la red que lo único que puede hacer es fallar). Lo segundo, puedo pasar el voip de vlan3 a toda mi red y usar el teléfono fijo en toda la casa, por wifi con Softphone, e incluso fuera de casa, con la VPN. Y con un túnel Eoip me puedo llevar las tres vlan’s también a donde quiera (veraneo, vacaciones). Pero reconozco que si no se usa el fijo y si uno se conforma con el Movistar+ (over-The-top) y no quiere cacharrear, poner el HGU en monopuesto es una solución respetable.

Gracias furny! Bueno a mi me encanta el cacharreo, pero es verdad que tengo muchas cosas pendientes y no me quería embarcar en esto a no ser que realmente obtuviera mejoras. Además de que supone un pequeño desembolso en adquirir una ONT.

A mí en general me va bien. He notado mucho cambio al meter el HGU en monopuesto y usar el Mikrotik cómo gestor, pero ahora mismo todo me va sobresaliente.

Sí que puedo decir que hay una cosa que me mosquea un poco, no es nada grave pero es algo que me mosquea: Cada 2-3 noches, el HGU pierde la conexión a Internet y se vuelve a conectar. Es como si se reiniciara solo, no se lo que hace, pero se que los logs de mi chismes domóticos empiezan a escupir lineas y obtengo una nueva IP pública, y siempre ocurre sobre las 3-5 de la mañana. No se si prescindir del HGU en modo monopuesto podría solucionar este problema, porque de ser así lo cambiaría sin dudar.

¿Sabéis si este problema se podría solucionar con una ONT propia y haciendo que el Mikrotik gestione todas las VLANs?
 
Última edición:
¡Buenas chicos!

Bueno, pues al final me he embarcado en esto. Quiero comprobar por mi mismo si mejora, así que he pillado una ONT de Huawei, la EG8120L, con toma de teléfono (muy baratita, por cierto) y la he configurado siguiendo el post de @stargate4you.

Ahora paso al la parte del Mikrotik, pero aquí me surgen un par de dudas, ya que yo parto de la configuración del QuickSet, y veo que hay cosas que no las tengo exáctamente igual que como define el compañero. A ver si me lo pudiérais aclarar. Os cuento:

stargate4you dijo:
Código:
# Configurar la interfaz PPPoE para que use la VLAN 6 internet.
/interface pppoe-client
add add-default-route=yes allow=pap,chap disabled=no interface=vlan6 \
    keepalive-timeout=60 max-mru=1492 max-mtu=1492 name=pppoe-out1 password=\
    adslppp use-peer-dns=yes user=adslppp@telefonicanetpa

Vale aquí la duda que tengo es sobre el permitir solo pap y chap. El QuickSet también me agrega mschap1 y mschap2 (que entiendo que son más modernos). ¿No pasa nada si los defino, verdad?

Otra cosa que veo diferente es el keepalive-timeout, que lo tengo a 10. ¿Es necesario subirlo a 60?

stargate4you dijo:
Código:
# Enmascarar las conexiones PPPoE y vlan3 voip.
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" \
    out-interface=pppoe-out1

Con respecto a enmascarar las conexion PPPOE, veo que el compañero solo enmascara la interfaz pppoe-out1, sin embargo a mí el QuickSet me creó esta regla de NAT enmascarando la lista WAN, que está compuesta de la interfaz pppoe-out1 y ether1. ¿Es necesario modificarlo o me puede valer la regla que yo tengo?

stargate4you dijo:
Código:
# Puertos del servicio voip.
/ip firewall service-port
set sip disabled=yes ports=5060,5070

Esto no termino de entenderlo. ¿Qué sentido tiene definir los puertos del servicio de VOIP deshabilitados?

Todo lo demás lo entiendo. Pues si podéis, ya me decís chicos. Muchas gracias!!
 
Vale aquí la duda que tengo es sobre el permitir solo pap y chap. El QuickSet también me agrega mschap1 y mschap2 (que entiendo que son más modernos). ¿No pasa nada si los defino, verdad?

Otra cosa que veo diferente es el keepalive-timeout, que lo tengo a 10. ¿Es necesario subirlo a 60?
Déjalo como te viene, esa configuración por defecto.

Con respecto a enmascarar las conexion PPPOE, veo que el compañero solo enmascara la interfaz pppoe-out1, sin embargo a mí el QuickSet me creó esta regla de NAT enmascarando la lista WAN, que está compuesta de la interfaz pppoe-out1 y ether1. ¿Es necesario modificarlo o me puede valer la regla que yo tengo?
Lo correcto es enmascarar la lista WAN. Ether1 la puedes dejar dentro de la lista WAN si vas a querer acceder a ella por IP privada, para llegar desde el cualquier cliente del router a la ONT. Tienes el cómo en el post de tips&tricks

Esto no termino de entenderlo. ¿Qué sentido tiene definir los puertos del servicio de VOIP deshabilitados?
Supongo que esto es para que la VoIP no de problemas con el SIP AGL, pero es algo que puedes obviar, no creo que lo necesites hacer.

Saludos!
 
Déjalo como te viene, esa configuración por defecto.
Hecho

Lo correcto es enmascarar la lista WAN. Ether1 la puedes dejar dentro de la lista WAN si vas a querer acceder a ella por IP privada, para llegar desde el cualquier cliente del router a la ONT. Tienes el cómo en el post de tips&tricks
Si, así lo hice en su día, y la verdad es que me encanta poder acceder a la ONT desde cualquier IP privada. Ya no se vivir sin eso, y quiero mantenerlo

Supongo que esto es para que la VoIP no de problemas con el SIP AGL, pero es algo que puedes obviar, no creo que lo necesites hacer.
He visto que el QuickSet ya monta puertos de servicio SIP, aunque con otros puertos. Creo que el objetivo de @stargate4you simplemente era deshabilitar esos puertos, seguramente por lo que indicas, que no de problemas con el SIP AGL. Así que simplemente lo he deshabilitado.

Y nada, todo funcionando a la primera. Así da gusto... Muchas gracias por todo!!!
 
Os dejo cómo quedaría la configuración en O2 respetando al máximo la configuración del QuickSet, por si le puede servir a alguno :)

02 (Grupo Telefónica, España) [by @stargate4you]
Conexión WAN:
ONT Huawei EG8120L
Tipo de conexión WAN: PPPoE: usuario (adslppp@telefonicanetpa) y contraseña (adslppp)
VLAN Internet: 6
VLAN Teléfono: 3
VLAN TV: N/A

Configuración

Código:
# Dar de alta las vlans 3 voip y 6 internet.
/interface vlan
add interface=ether1 name=vlan3 vlan-id=3
add interface=ether1 name=vlan6 vlan-id=6

# Configurar la interfaz PPPoE para que use la VLAN 6 internet.
/interface pppoe-client
add add-default-route=yes disabled=no interface=vlan6 name=pppoe-out1 password=adslppp use-peer-dns=yes \
    user=adslppp@telefonicanetpa

# Añadimos a  la lista WAN el  interface PPPoE  para que el firewall/nat funcione correctamente.
/interface list member
add interface=pppoe-out1 list=WAN

# Crear un cliente dhcp para la vlan 3 del teléfono voip.
/ip dhcp-client
add add-default-route=no dhcp-options=hostname,clientid disabled=no interface=vlan3 use-peer-ntp=no

# Establecer la prioridad de las conexiones vlans.
/ip firewall mangle
add action=set-priority chain=postrouting new-priority=4 out-interface=vlan3
add action=set-priority chain=postrouting new-priority=1 out-interface-list=WAN passthrough=yes

# Enmascarar las conexiones PPPoE y vlan3 voip.
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none \
    out-interface-list=WAN
add action=masquerade chain=srcnat comment="vlan3 voip configuration" out-interface=vlan3

# Puertos del servicio voip.
/ip firewall service-port
set sip disabled=yes ports=5060,5070

# Añadir la vlan 3 de voz protocolo RIP.
/routing rip interface
add interface=vlan3 passive=yes receive=v2

# Indicar la red en la que correrá RIP.
/routing rip network
add network=10.0.0.0/8
 
He visto que el QuickSet ya monta puertos de servicio SIP, aunque con otros puertos. Creo que el objetivo de @stargate4you simplemente era deshabilitar esos puertos, seguramente por lo que indicas, que no de problemas con el SIP AGL. Así que simplemente lo he deshabilitado.

A la larga puede dar problemas el SIP ALG por eso está deshabilitado.
Los problemas comunes asociados con SIP ALG incluyen:
Los teléfonos suenan, pero no hay audio cuando la llamada está conectada (ya sea con audio unidireccional o sin audio).
Problemas esporádicos con teléfonos que no suenan.
Teléfonos aleatorios que pierden su conexión o no se registran en la central.
Yo tengo el fijo conectado directamente a la ONT, pero también he probado con una aplicación voip en el móvil y se registra correctamente. Podemos usar las dos variantes al mismo tiempo.

Saludos.
 
Buenas tardes.
Quiero ir haciendo pruebas con el hap mini mientras pueda pedirme el hAP ac3 y tengo algunas dudas.
Para poner el hap mini de router neutro detras del zte de yoigo con bridge que opcion me recomendáis con el quick set ???
Ap home ???
despues tengo que seguir las mismas opciones que si fuera a funcionar detras dem zte sin bridge pero en este caso añadirle la opción de Vlan 20 en la seccion de la ether1-Wan ??
y crearle un DHCP para ese mismo ether1,ya que sera el mini el que maneje la red ??
Alguna cosa mas se me olvida ??
 
Buenas tardes.
Quiero ir haciendo pruebas con el hap mini mientras pueda pedirme el hAP ac3 y tengo algunas dudas.
Para poner el hap mini de router neutro detras del zte de yoigo con bridge que opcion me recomendáis con el quick set ???
Ap home ???
despues tengo que seguir las mismas opciones que si fuera a funcionar detras dem zte sin bridge pero en este caso añadirle la opción de Vlan 20 en la seccion de la ether1-Wan ??
y crearle un DHCP para ese mismo ether1,ya que sera el mini el que maneje la red ??
Alguna cosa mas se me olvida ??
gracias y saludos
 
Sí, como Home AP. Si consigues poner el ZTE en modo puente, la configuración de masmóvil/pepephone la tienes en el post de configuraciones básicas. Resumiendo, y si partimos de la configuración por defecto del quick set:
  • Dar de alta la vlan 20 sobre ether1
  • Meter la nueva interfaz dentro de la lista WAN
  • Editar el cliente DHCP, quitando que corra sobre ether1, y seleccionando que corra en su lugar sobre la nueva interfaz de la vlan 20.
Poco más que hacer, es una configuración muy muy simple.

Saludos!
 
Sí, como Home AP. Si consigues poner el ZTE en modo puente, la configuración de masmóvil/pepephone la tienes en el post de configuraciones básicas. Resumiendo, y si partimos de la configuración por defecto del quick set:
  • Dar de alta la vlan 20 sobre ether1
  • Meter la nueva interfaz dentro de la lista WAN
  • Editar el cliente DHCP, quitando que corra sobre ether1, y seleccionando
Saludos!
a ver si después puedo probarlo...
Gracias por la paciencia
 
acabo de hacer una prueba y no salio bien
te pongo el export a ver si tu ves algo mal....
# software id = 5S2M-3S4B
#
# model = RB931-2nD
# serial number = B7B10*******
/interface bridge
add name=bridge1
/interface wireless
set [ find default-name=wlan1 ] disabled=no mode=ap-bridge ssid=MikroTik \
wireless-protocol=802.11
/interface ethernet
set [ find default-name=ether1 ] comment=WAN
set [ find default-name=ether2 ] comment=LAN
/interface vlan
add interface=ether1 name=internet vlan-id=20
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys name=\
profile1 supplicant-identity="" wpa2-pre-shared-key=********
/ip pool
add name=dhcp_pool0 ranges=192.168.88.2-192.168.88.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=bridge1 lease-time=1d10m \
name=dhcp1
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=wlan1
/interface list member
add interface=ether1 list=WAN
add list=LAN
add interface=internet list=WAN
/ip address
add address=192.168.88.1/24 interface=ether2 network=192.168.88.0
/ip dhcp-client
add disabled=no interface=ether1
add disabled=no interface=internet
/ip dhcp-server network
add address=192.168.88.0/24 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
gracias y saludos
 
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1

Y eso también está mal.

Dale un reset a ese equipo y parte de la configuración por defecto + quick set. Te faltan muchas cosas de configuración, entre ellas todo el firewall. Parece que hubieras arrancado de un equipo sin configuración, con todo vacío, en lugar de hacerlo del script de inicio automático.

Saludos!
 
La pregunta es... porque hacen tanta referencia al quick set? Porque no ponen los scripts completos para una instalación limpia sin pasar por el QuickSet?
 
Y eso también está mal.

Dale un reset a ese equipo y parte de la configuración por defecto + quick set. Te faltan muchas cosas de configuración, entre ellas todo el firewall. Parece que hubieras arrancado de un equipo sin configuración, con todo vacío, en lugar de hacerlo del script de inicio automático.

Saludos!
Que te parece ahora ??
# software id = 5S2M-3S4B
#
# model = RB931-2nD
# serial number =
/interface bridge
add admin-mac=48:8F:5A:83:1D:D5 auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
disabled=no distance=indoors frequency=auto installation=indoor mode=\
ap-bridge ssid=MikroTik-831DD8 wireless-protocol=802.11
/interface vlan
add interface=ether1 name=vlan1 vlan-id=20
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=pwr-line1
add bridge=bridge comment=defconf interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether2 network=\
192.168.88.0
/ip dhcp-client
add comment=defconf disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
 
Que te parece ahora ??
# software id = 5S2M-3S4B
#
# model = RB931-2nD
# serial number =
/interface bridge
add admin-mac=48:8F:5A:83:1D:D5 auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
disabled=no distance=indoors frequency=auto installation=indoor mode=\
ap-bridge ssid=MikroTik-831DD8 wireless-protocol=802.11
/interface vlan
add interface=ether1 name=vlan1 vlan-id=20
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=pwr-line1
add bridge=bridge comment=defconf interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether2 network=\
192.168.88.0
/ip dhcp-client
add comment=defconf disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Ahora tiene mucha mejor pinta. De los tres pasos descritos, has ejecutado el primero, dando de alta la vlan. Te quedan los otros dos.

Saludos!
 
La pregunta es... porque hacen tanta referencia al quick set? Porque no ponen los scripts completos para una instalación limpia sin pasar por el QuickSet?
Por dos razones principales:
  • Porque practicamente todo el mundo en el foro, salvo contadas excepciones, sois juniors en mikrotik: si corro no os enteráis y os perdéis, y pierde el sentido de lo que hago. Además, las configuraciones caducan, y luego os pasa que os veo con scripts metidos en los equipos de hace 15 versiones de RouterOS, por copiar y pegar.
  • Unido a lo anterior, porque el propósito de este sub es meramente didáctico, para que la gente aprenda a manejar sus equipos: para configuraciones ad-hoc, ya tenéis a los consultores de mikrotik que os pueden poner un equipo como os de la real gana, y facturaros en consecuencia. Mi intención no es pisarle el trabajo a esa gente, a la cual respeto y admiro. Sería como pegarme un tiro en el pié.
Saludos!
 
¿Podrían subir la configuración Triple de Movistar pero solo con un bridge...?

Es que la actual configuración no es la mas idónea para usuarios que tengan un SW extra conectado.

Ahora mismo tengo la LAN segmentada, la LAN de la planta baja fuera del bridge IPTV, pero la LAN de la planta de arriba dentro del bridge IPTV.
 
Última edición:
¿Podrían subir la configuración Triple de Movistar pero solo con un bridge...?

Es que la actual configuración no es la mas idónea para usuarios que tengan un SW extra conectado.

Ahora mismo tengo la LAN segmentada, la LAN de la planta baja fuera del bridge IPTV, pero la LAN de la planta de arriba dentro del bridge IPTV.
Simplemente no saques ninguna interfaz fuera del bridge. Y, donde se usaba ether2 para la configuración propia de IPTV, usa el bridge. Te vas a quedar sin hardware offloading, pero por lo demás, es idéntico.

Saludos!
 
Pregunta... ahora que empezamos a hablar de 1GB en Movistar... que routers estan recomendados? Mi RB4011 no va a ser una cuello de botella, verdad?
 
Arriba