Esas ñapas son consejos de un tal
Rodrigo Anrrango, y viendo su perfil de conocimiento sobre Mikrotik algo sabrá.
Yo no me lo he inventado y los conocimientos los he obtenido del blog de una de sus empresas
https://www.smartisp.us/como-resolver-nat-sobre-nat-en-mikrotik/
Pero supongo que tu estás como mínimo a la altura del Sr Anrrango.
Saludos
Macho, tú y yo empezamos con mal pie, y no enderezamos ¿eh?
No dudo del conocimiento del señor Rodrigo Anrrango, tan conocido en su casa a la hora de comer como yo en la mía. Pero sí dudo de que hayas conseguido absorber dicho conocimiento extraído de ese vídeo. Vuelve a ver el vídeo, mira la foto del
esquema del compañero, y dime quien es en ese esquema, "Core Matriz" y "Core Ciudad 1", si lo extrapolamos a este ejemplo. Y ahora, sin tocar el hAP-lite, dime, ¿cómo lo hacemos?
Aparte de esto, los ejemplos hay que saber entenderlos, para poder aplicarlos. En ese vídeo nos hablan de cómo conectar los
routers core de un ISP, con una subred /30 (dos equipos, broadcast y red), poco o nada que ver con un router tipo CPE que te instala el cliente en tu casa, como es ese hAP-lite.
Además, de la manera que planteas, mañana quieres abrir un puerto y le vas a tener que decir al ISP que te lo abra, porque acabas de quitarte tu NAT, el que tú controlas, para pasar a tener el del operador, el cual no controlas. Por si fuera poco, necesitas que el router del operador conozca tu segmento LAN
PRIVADO y, si usas las reglas de firewall por defecto, ese tráfico estaría parado por el "drop all from WAN not DSTNATed" del chain de forward, como es lógico, puesto que no confías en ningún tráfico que venga de internet a menos que lo hayas nateado tú mismo.
En un setup donde tú controlas ambos equipos, y quieres centralizar la configuración en uno de ellos, ahí sí tendría sentido lo que dices, pero en este caso... lo siento, pero no lo veo.
Sigo pensando que es mucha mejor idea decirle al operador que te haga una DMZ a la IP que te entrega y listo. A partir de ahí, el firewall lo controlas tú en el 3011, tanto a nivel de filtrado como a nivel de NAT. Y es tan simple como meter esta regla en el router del operador:
Código:
add action=accept chain=dstnat dst-address=IP_WAN_3011
Donde
IP_WAN_3011 es la IP que el 3011 tiene como pública en ether1, pero que es una IP privada del rango 192.168.88.0/24 del hAP-lite. Con eso, todo tráfico entrante en el hAP-lite, acabará por defecto en el 3011, el cual ahora puede tener su firewall y NAT a su antojo, sin depender de nada ni nadie.
No obstante, esto es mikrotik, y las cosas hay muchas maneras de solucionarlas... claro está, si sabes lo que estás haciendo.
Saludos!
tengo un RB760IGS que me recomendaste como principal así que tampoco me atrevo a ir probando versiones no estables, supongo que de momento tendré que tirar por IKEv2 u OpenVPN.