Hola!
Me gustaría hacer un añadido al post original, con una casuística que se me ha dado con otro
post del foro. Son de estas cosas que no caes hasta que te toca lidiar con un chisme LTE. Nos vamos a basar en al siguiente foto:
Ver el adjunto 97755
Problema: cuando pones un dispositivo LTE en modo passthrough (modo en el que la IP pública se envía al siguiente equipo), no sólo pierdes la administración de ese equipo (ya hemos visto cómo solucionarlo, está explicado en el manual del primer post), sino que ese dispositivo, al hacer passthrough, se queda sin internet él mismo. Lo que a priori parece una ventaja (no nos tenemos que preocupar de la config de firewall de ese equipo, no lleva NAT, no está como tal accesible desde internet) tiene una gran pega: ¿qué pasa cuando tienes que actualizar ese equipo? Las actualizaciones de la routerboard son relativamente sencillas de meter, con bajar el fichero y subirlo al winbox nos vale. Pero, ¿qué pasa con el firmware del módem, que se actualiza vía OTA? Ahí la hemos cagado... ¿No sería más cómodo si ese equipo tuviera además una configuración que le permitiera acceder a internet en un momento dado? Como podréis intuir, los tiros van por aquí. Para esto, tenemos varias soluciones:
A) La perezosa: me la pela el doble NAT y tengo los dos equipos como router... Pshh...¿funciona?... el resto me da igual, me la pela.
B) La borrica: mantenemos el equipo en modo router con todas sus opciones aunque no lo usemos como tal. Cuando necesitemos acceder a internet, cambiamos el APN y dejamos a toda la familia sin internet, actualizamos, y andando... Bueno, y volvemos a poner el APN de tipo passthrough para que no nos chille la familia por dejarles sin Netflix
C) La elegante: que es la que os vengo a presentar. Simplemente añadiendo una ruta por defecto, solucionamos el tema en la SXT.
La pregunta es ¿a dónde apunto esa ruta por defecto? La SXT ha dejado de tener control de la IP pública, así que por mucho que la apuntemos a la VLAN, a la LTE o a cualquier otra interfaz, no vas a sacar nada en claro. A la IP a la que tenemos que apuntar es a la de administración del router interno, la que comparte en segmento con la SXT. Esas dos rutas están conectadas, así que si le metemos una ruta por defecto a la SXT diciendo que, lo que no encuentre, se lo tire al router que tiene debajo (suena raro, normalmente solemos ir para arriba), el router de abajo verá la petición y, como viene de un nodo que él considera LAN y que está directamente conectado, preguntará a su ruta por defecto, sacando el tráfico por la VLAN 25. Dicho tráfico dará la vuelta a la SXT, y saldrá por el canuto del passthrough.
Código:
/ip route
add gateway=192.168.190.2
Tan simple como eso. Si además de eso le metemos un DNS a la SXT en IP->DNS, y un par de reglas de firewall básicas, tendremos un equipo que podrá acceder a internet con total normalidad, haciendo un loopback a sí mismo (llamo al vecino que me devuelve el canuto que necesito par salir).
Os dejo una configuración básica de una SXT para que podáis usarla en ese modo, considerando que las IPs de administración de los equipos son la 192.168.190.1/30 (Chisme LTE) y 192.168.190.2/30 (Router)
Código:
###################################
####### VARIABLES A MODIFICAR #####
###################################
:local pin 1234
###################################
/interface vlan
add interface=ether1 name=vlan-lte vlan-id=25
/ip address
add address=192.168.190.1/30 interface=ether1
/ip firewall filter
add action=accept chain=input comment=\
"aceptamos el trafico ya estableciodo o relacionado" connection-state=\
established,related,untracked
add action=drop chain=input comment="rechazamos el trafico invalido" connection-state=\
invalid
add action=accept chain=input comment="aceptamos el ping" protocol=icmp
add action=drop chain=input comment="rechazamos todo lo que no venga de red local" \
src-address=!192.168.0.0/16
/ip route
add gateway=192.168.190.2
/ip dns
set servers=8.8.8.8,8.8.4.4
/interface lte apn
add copy-from=0 name=default-passthrough passthrough-interface=vlan-lte passthrough-mac=auto
:delay 30
/interface lte
set [ find ] apn-profiles=default-passthrough name=lte1 pin=$pin
Espero que os guste!