MANUAL: Mikrotik, Internet en casa con datos móviles

jfranar dijo:

Hola!!!
Por aquí un novato en el mundo Mikrotik y siguiendo vuestras explicaciones he conseguido configurar un router hAP-ac3 con una antena LHGG-LTE6 alimentada desde el POE del ether5 del router.
Tengo posibilidad de acceder a la configuración de ambos equipos, y aunque me costó un poco al principio porque no eliminaba las configuraciones por defecto que metía en los reseteos la antena, finalmente, eliminándola esa configuración por defecto e instalando según las instrucciones todo ha quedado funcionando, salvo por el tema de que la antena no tiene acceso a internet y por ejemplo y como mencionáis más arriba, las actualizaciones vía OTA o simplemente la configuración del reloj automáticamente, no se hacen en la antena al no tener esa salida a internet.
He intentado seguir las instrucciones que se han dejado previamente, pero no soy capaz de poder darle esa salida a internet a la antena al añadir la el enrutado hacía la ip de configuración compartida del router.

¿Sería posible que me pudiera orientar alguien en dónde estoy cometiendo el error?.

Muchas gracias

Haz clic para expandir...

pokoyo dijo:

La config de la antena es correcta, pero la del router no. En el router, parte de la configuración por defecto, que te va a resultar mucho más sencillo, y sobre ella, has te dar los siguientes pasos:
- Crear la vlan 66 sobre la interfaz ether5 que te une a la antena
- Meter dicha interfaz en la lista WAN
- Crear un cliente DHCP sobre dicha interfaz.
- Añadir la IP 192.168.2.2/24 (podría ser también un /30 en ambos equipos, porque no vas a usar más IPs) a la interfaz ether5.

Con eso deberías tener un router navegando y una antena con salida a internet. En la antena, te sobra la parte de las listas de interfaces, que no las vas a usar para nada, si te fijas en el setup de Julia, la SXT no trabaja con ellas.

Saludos!

Haz clic para expandir...

lergolas dijo:

Buenas tardes a todos.

En primer lugar, muchas gracias a @danisevic y a @pokoyo por este fantástico manual y las dudas y añadidos que se han ido haciendo.

Estoy es un lugar similar al de creador del manual, con adsl en el pueblo con velocidad de subida de 8Mb y de bajada de 0,8Mb. Además se comparte con otras 2 casas mediante un radioenlace con dispositivos Ubiquiti NanoStation M2. Podéis haceros una idea de la velocidad cuando hay varias personas conectadas...

Haciendo pruebas con un móvil y un router 4G por Orange me da prácticamente 100Mb de bajada y unos 30Mb de subida. La diferencia es abismal. La antena está a unos 400 metros de la casa, no estoy seguro de si tiene visibilidad directa o no, pero las medidas son desde la habitación donde está el router adsl ahora mismo.

Buscaba algo estable y robusto así que terminé en este hilo leyendo (casi estudiando) el manual y los diferentes añadidos y me decidí por comprar lo mismo que @danisevic una antena SXE LTE6 y un router hAP ac lite.
Nunca había trabajado con equipos Mikrotic y guau! que maravilla de dispositivos y SO, encantado con ello.

He seguido en manual paso a paso y he prescindido del Quick Set para no liarla (como recomienda @pokoyo en otro post), he configurado directamente las cosas desde el Webfig (la Terminal es el siguiente paso) y con algún que otro problemilla pero ya resuelto he conseguido tener internet en los dispositivos mediante una VLAN y acceder a la antena LTE desde la red interna sin problemas.

El último paso era dar acceso a internet a la antena para el tema de actualizaciones. De nuevo he seguido los pasos descritos por @pokoyo pero no consigo tener acceso a internet en ella. Si lanzo una búsqueda de paquetes nuevos me da el error "ERROR: could not resolve dns name" y si hago un ping desde la Terminal a las DNS de Google (las que tengo configuradas en la antena) me da un timeout.
Le he dado varias vueltas pero no consigo dar con la solución. He pensado que quizás sea que me falta alguna regla NAT en el Firewall y he intentado poner alguna para enmascarar el tráfico saliente pero no se conseguido que funcione.

Como no se me ocurre nada más (en parte por mi desconocimiento de este sistema) recurro a vosotros a ver si podéis echarme una mano y ver donde está problema.

Os paso la configuración de ambos dispositivos mediante un export.

SXT-LTE6:

Código:

# nov/12/2022 23:53:20 by RouterOS 6.49.7
# software id = S94Z-0IWU
#
# model = RBSXTR

/interface bridge
add admin-mac=18:FD:74:5F:3D:D7 auto-mac=no comment=defconf name=bridge
/interface vlan
add interface=ether1 name=internet vlan-id=100
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface lte apn
set [ find default=yes ] apn=Lowi.es
add apn=datos name=Xenet passthrough-interface=internet passthrough-mac=00:00:00:00:00:00
/interface lte
set [ find ] allow-roaming=no apn-profiles=Xenet name=lte1
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf disabled=yes interface=ether1
add bridge=bridge comment=defconf interface=ether2
/interface detect-internet
set detect-interface-list=WAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=lte1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether1 network=192.168.88.0
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=accept chain=input connection-state=established,related,untracked
add action=accept chain=input protocol=icmp
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=drop chain=input connection-state=invalid
add action=drop chain=input src-address=!192.168.0.0/16
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" disabled=yes ipsec-policy=out,none out-interface-list=WAN
/ip route
add distance=1 gateway=192.168.88.2
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=RouterOS

hAP ac lite:

Código:

# nov/13/2022 16:34:17 by RouterOS 6.49.7
# software id = LYKW-1HWV
#
# model = RB952Ui-5ac2nD

/interface bridge
add admin-mac=DC:2C:6E:FB:BA:4B auto-mac=no comment=defconf name=bridge
/interface vlan
add interface=ether5 name=internet vlan-id=100
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk mode=dynamic-keys name=CASA supplicant-identity=MikroTik wpa2-pre-shared-key=**************
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX disabled=no distance=indoors frequency=auto installation=indoor mode=ap-bridge security-profile=CASA ssid=CASA_2G wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX disabled=no distance=indoors frequency=auto installation=indoor mode=ap-bridge security-profile=CASA ssid=CASA_5G wireless-protocol=802.11
/ip pool
add name=default-dhcp ranges=192.168.1.100-192.168.1.200
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
add bridge=bridge interface=ether1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface detect-internet
set detect-interface-list=WAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether5 list=WAN
add interface=internet list=WAN
/ip address
add address=192.168.1.1/24 comment=defconf interface=bridge network=192.168.1.0
add address=192.168.88.2/24 interface=ether5 network=192.168.88.0
/ip dhcp-client
add comment=defconf disabled=no interface=internet
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=RouterOS
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Espero que podáis ayudarme.

Muchas gracias una vez más por este gran trabajo.

Saludos!

Haz clic para expandir...

pokoyo dijo:

Tengo al compi @vorlander con el mismo problema. Mañana monto un esquema similar y os digo dónde está el problema. Es tema NAT seguro, pero no me atrevo a decirte la regla hasta que la pruebe.

Saludos!

Haz clic para expandir...

pokoyo dijo:

Muy simple: En el hAP, ve a interface list y quita ether5 de la lista WAN, dejando únicamente la interfaz vlan que corre sobre dicho puerto (internet). Com ambos equipos están directamente unidos entre sí por un cable, no necesitas en enmascarar el tráfico que sale por la interfaz física, puesto que ambas redes se conocen entre sí (tanto ether5 como el puerto que está al otro lado tienen una IP del mismo segmento).

Saludos!

Haz clic para expandir...

lergolas dijo:

Sí señor, era eso, así de simple.

Siguiendo el manual metí primero ether5 en la WAN y luego cuando creé la VLAN, simplemente la añadí a la lista pero no borré la ether5.

Una cosa más que se podría añadir al manual.

Muchas gracias por tu ayuda y por la rapidez en contestar.

Saludos!

Haz clic para expandir...