Mikrotik hex vs 4011 IPSec + dudas

Fonex · 8 Febrero 2021

Buenos días a todos,

Mi nombre es Sergio y estoy estoy mirando para mejorar mi conectividad y cyber seguridad en casa (piso de 120m2).

Actualmente tengo operador O2 600/600 y quiero sustituir HGU ya que el wifi se cae por motivo desconocido con 25 clientes.

Ahora tengo:

- Ufiber Nano G
- HGU Movistar
- Ubi AC 6 Lite
- Switch ZyXEL GS108B
- NAS QNAP
- router pendiente de comprar

Viendo diferentes opciones veo que lo más optimo hoy en día es AC 6 Lite y un router neutro de Mikrotik. Objetivos:

1) Mejorar conectividad y estabilidad wifi. Entiendo que Ubi AC 6 Lite vale para este fin.
2) Privacidad, que el operador no vea el trafico y logs se quedan localmente. Necesito poder cifrar todo el trafico que sale de ese router sin usar un proveedor externo de VPN. Trafico tanto de wifi como de LAN. Viendo las características de Mikrotik veo que ofrece IPSec y que se podría configurar enrutando todo el trafico de VLANs por el túnel IPSec.

Dudas:

1) Con un modelo Hex podría cifrar todo el trafico y llegar a 600/600mbps que ofrece O2? Según doc oficial solo llega a 400mbps, también con previsión de conexiones 1GB.
2) Me han comentado que Netflix no funciona con vpn o trafico cifrado. Si es así entiendo que se podría crear un vlan especifico para smart tv que conecto por cable separado y que el trafico de allí no se cifra con IPSec?
3) Con Mikrotik se puede hacer link aggregation?
4) Es aconsejable mantener HGU en monopuesto, se pierde privacidad/rendimiento? Me da un poco de miedo que movistar puede cambiar las claves en cualquier momento y como ahora estamos muchas veces teletrabajando desde casa si te pillan durante el día, te quedas sin internet hasta reconfigurar GPON...

¿Algún otro consejo para conseguir los objetivos propuestos?

Si hex se queda corto para el cifrado entiendo que el siguiente modelo es 4011 verdad?

Muchas gracias a todos!
Un saludo

pokoyo · 8 Febrero 2021

Hola Sergio, bienvenido al foro.

Fonex dijo:
Actualmente tengo operador O2 600/600 y quiero sustituir HGU ya que el wifi se cae por motivo desconocido con 25 clientes.

Correcto. El servidor DHCP del HGU es una porquería. Si no fuera por eso, el router sería medio decente, pero desde luego no es algo que brille en ese equipo.

Fonex dijo:
1) Mejorar conectividad y estabilidad wifi. Entiendo que Ubi AC 6 Lite vale para este fin.

Perfecto, buen equipo. Además, nuevecito y a un precio más que razonable. Sacrificas los chains, sólo es un 2x2, pero tienes wifi6. Si no tienes cincuenta o más clientes inalámbricos en casa, más que suficiente.

Fonex dijo:
2) Privacidad, que el operador no vea el trafico y logs se quedan localmente. Necesito poder cifrar todo el trafico que sale de ese router sin usar un proveedor externo de VPN. Trafico tanto de wifi como de LAN. Viendo las características de Mikrotik veo que ofrece IPSec y que se podría configurar enrutando todo el trafico de VLANs por el túnel IPSec.

Aquí creo que no te sigo, o patinas en entender cómo funciona una VPN. El equipo utiliza IPSec para cifrar el tráfico de la VPN, claro. Pero la VPN al final es un túnel entre A y B. No cifras el canal (internet) sino lo que va dentro del túnel. Es decir, si montas un servidor VPN en el mikrotik, y te conectas desde fuera de tu casa a él con el móvil, dicho tráfico entre el móvil y el router estará cifrado. Pero cuando el tráfico salga a internet, saldrá en claro (todo lo claro que tú lo uses, obviamente, que para cifrar ese tráfico ya estás https). Puedes hacer algo más por securizar tu navegación, como usar DoH para las DNS's. Pero dado que los paquetes IP tienen direcciones de origen y destino, tu operador, si quiere, SIEMPRE va a saber dónde te conectas.
Cuando usas VPN's externas, pasa exactamente lo mismo: le ocultas el tráfico que va por el canuto hasta el servidor VPN que sea, pero allí todo ese contenido sale en claro a internet. Es decir, no solucionas nada. Le quitas de ver a tu operador, para darle de ver a una empresa privada que no sabes ni como usa tus datos de navegación. No obstante, te animo a que esto lo hablemos por separado, para que entiendas bien el concepto. Aun así, instala el mikrotik, que no te vas a arrepentir.

Fonex dijo:
1) Con un modelo Hex podría cifrar todo el trafico y llegar a 600/600mbps que ofrece O2? Según doc oficial solo llega a 400mbps, también con previsión de conexiones 1GB.

No sé donde estás mirando, pero un hEX mueve más de 1Gbps en routing, y casi 2Gbps en bridging. Mira la columna de los Mbps con MTU a 1500, que es como de normal vas a usar el router.

Fonex dijo:
2) Me han comentado que Netflix no funciona con vpn o trafico cifrado. Si es así entiendo que se podría crear un vlan especifico para smart tv que conecto por cable separado y que el trafico de allí no se cifra con IPSec?

Como te he dicho antes, no entiendes cómo funciona una VPN. No tienes porqué cifrar nada de ese tráfico, a menos que tu router sea un cliente de otro servidor VPN remoto. Y sí, podrías hacer que una conexión en particular no saliera por la VPN, jugando con las rutas.

Fonex dijo:
3) Con Mikrotik se puede hacer link aggregation?

Sí. Interface -> bonding

Fonex dijo:
4) Es aconsejable mantener HGU en monopuesto, se pierde privacidad/rendimiento? Me da un poco de miedo que movistar puede cambiar las claves en cualquier momento y como ahora estamos muchas veces teletrabajando desde casa si te pillan durante el día, te quedas sin internet hasta reconfigurar GPON...

Eso no se de dónde te lo has sacado, pero no ocurre jamás. Tu IDONT es único para ti como usuario, es lo que te identifica como cliente. No va a cambiar jamás. Es más, lo necesitas para configurar cualquier otro chisme que vayas a poner en sustitución del HGU. No obstante, si tienes una ONT, probaría a ver cómo funciona la conexión con ella. Aunque ya te digo que las nano G como la que tienes ya están reportando que no se comportan bien con conexiones de 1Gbps. No obstante, pruébalo.
No obstante, eso de mantener o no el HGU porque te vayan a "reconfigurar el GPON" olvídate, que no es así.

Fonex dijo:
¿Algún otro consejo para conseguir los objetivos propuestos?

Si hex se queda corto para el cifrado entiendo que el siguiente modelo es 4011 verdad?

No, no te quedas corto con un hEX. Pero sí que me plantearía un hEX-S, especialmente porque el AP que vas a montar soporta PoE pasivo y ese router lo da en el puerto 5. Así, en teoría y si los consumos/voltajes son compatibles, te ahorras el inyector PoE y un enchufe, y puedes alimentar el AP directamente desde el puerto 5 del router, usando la propia alimentación del router.

Un 4011 es una burrada para un entorno doméstico, ya lo que comentado por aquí muchas veces. Hay quien dice "burro grande, ande o no ande", pero creo que, a menos que lo necesites por puertos, yo no lo veo necesario para tu setup, y me decantaría por un RB760iGS (hEX-S) o un RB750gr3 (hEX). Ojo con no coger la versión lite del hEX (RB750r2), que lleva puertos 10/100.

Saludos!

Fonex · 8 Febrero 2021

pokoyo dijo:
Hola Sergio, bienvenido al foro.

Correcto. El servidor DHCP del HGU es una porquería. Si no fuera por eso, el router sería medio decente, pero desde luego no es algo que brille en ese equipo.

Perfecto, buen equipo. Además, nuevecito y a un precio más que razonable. Sacrificas los chains, sólo es un 2x2, pero tienes wifi6. Si no tienes cincuenta o más clientes inalámbricos en casa, más que suficiente.

Aquí creo que no te sigo, o patinas en entender cómo funciona una VPN. El equipo utiliza IPSec para cifrar el tráfico de la VPN, claro. Pero la VPN al final es un túnel entre A y B. No cifras el canal (internet) sino lo que va dentro del túnel. Es decir, si montas un servidor VPN en el mikrotik, y te conectas desde fuera de tu casa a él con el móvil, dicho tráfico entre el móvil y el router estará cifrado. Pero cuando el tráfico salga a internet, saldrá en claro (todo lo claro que tú lo uses, obviamente, que para cifrar ese tráfico ya estás https). Puedes hacer algo más por securizar tu navegación, como usar DoH para las DNS's. Pero dado que los paquetes IP tienen direcciones de origen y destino, tu operador, si quiere, SIEMPRE va a saber dónde te conectas.
Cuando usas VPN's externas, pasa exactamente lo mismo: le ocultas el tráfico que va por el canuto hasta el servidor VPN que sea, pero allí todo ese contenido sale en claro a internet. Es decir, no solucionas nada. Le quitas de ver a tu operador, para darle de ver a una empresa privada que no sabes ni como usa tus datos de navegación. No obstante, te animo a que esto lo hablemos por separado, para que entiendas bien el concepto. Aun así, instala el mikrotik, que no te vas a arrepentir.

No sé donde estás mirando, pero un hEX mueve más de 1Gbps en routing, y casi 2Gbps en bridging. Mira la columna de los Mbps con MTU a 1500, que es como de normal vas a usar el router.
Ver el adjunto 78388

Como te he dicho antes, no entiendes cómo funciona una VPN. No tienes porqué cifrar nada de ese tráfico, a menos que tu router sea un cliente de otro servidor VPN remoto. Y sí, podrías hacer que una conexión en particular no saliera por la VPN, jugando con las rutas.

Sí. Interface -> bonding

Eso no se de dónde te lo has sacado, pero no ocurre jamás. Tu IDONT es único para ti como usuario, es lo que te identifica como cliente. No va a cambiar jamás. Es más, lo necesitas para configurar cualquier otro chisme que vayas a poner en sustitución del HGU. No obstante, si tienes una ONT, probaría a ver cómo funciona la conexión con ella. Aunque ya te digo que las nano G como la que tienes ya están reportando que no se comportan bien con conexiones de 1Gbps. No obstante, pruébalo.
No obstante, eso de mantener o no el HGU porque te vayan a "reconfigurar el GPON" olvídate, que no es así.

No, no te quedas corto con un hEX. Pero sí que me plantearía un hEX-S, especialmente porque el AP que vas a montar soporta PoE pasivo y ese router lo da en el puerto 5. Así, en teoría y si los consumos/voltajes son compatibles, te ahorras el inyector PoE y un enchufe, y puedes alimentar el AP directamente desde el puerto 5 del router, usando la propia alimentación del router.

Un 4011 es una burrada para un entorno doméstico, ya lo que comentado por aquí muchas veces. Hay quien dice "burro grande, ande o no ande", pero creo que, a menos que lo necesites por puertos, yo no lo veo necesario para tu setup, y me decantaría por un RB760iGS (hEX-S) o un RB750gr3 (hEX). Ojo con no coger la versión lite del hEX (RB750r2), que lleva puertos 10/100.

Saludos!

Antes de nada muchas gracias por tu gran ayuda en este foro!!

Sobre velocidad de hex estaba mirando la tabla con IPSec pensando que necesitaba cifrar el trafico, pero veo que estoy equivocado.

De IDONT he visto igual en el algún foro, pero lo mismo era información errónea si no se cambia la clave mucho mejor. Ahora como O2 no ofrece 1Gbps pues no puedo probar con Nano G esa velocidad, solo 600/600. Tenia entendido que usar ONT propia es mejor que de HGU, pero visto lo visto no me quedan claras las ventajas y desventajas de cada opción. Lo mismo puedo vender Nano G y con eso comprar hex s jeje

Si he mirado bien HEX-S no puede alimentar el AP de Ubi, necesita 802.3af PoE; 48V, 0.32A PoE y Mikrotik dice PoE out Passive PoE up to 57V.

Vale si con el tema de IPSec estoy equivocado entonces claramente me quedo con hex/s ya que 4011 para mi caso de uso no me va aportar prácticamente nada y son 170€ vs 60€

huzoaaz · 8 Febrero 2021

Fonex dijo:
Antes de nada muchas gracias por tu gran ayuda en este foro!!

Sobre velocidad de hex estaba mirando la tabla con IPSec pensando que necesitaba cifrar el trafico, pero veo que estoy equivocado.

De IDONT he visto igual en el algún foro, pero lo mismo era información errónea si no se cambia la clave mucho mejor. Ahora como O2 no ofrece 1Gbps pues no puedo probar con Nano G esa velocidad, solo 600/600. Tenia entendido que usar ONT propia es mejor que de HGU, pero visto lo visto no me quedan claras las ventajas y desventajas de cada opción. Lo mismo puedo vender Nano G y con eso comprar hex s jeje

Si he mirado bien HEX-S no puede alimentar el AP de Ubi, necesita 802.3af PoE; 48V, 0.32A PoE y Mikrotik dice PoE out Passive PoE up to 57V.

Vale si con el tema de IPSec estoy equivocado entonces claramente me quedo con hex/s ya que 4011 para mi caso de uso no me va aportar prácticamente nada y son 170€ vs 60€

Yo tengo el hgu en monopuesto, un mikrotik Hex y funciona perfectamente. Tengo configurado Ipsec y sin problemas... he tenido 600/600 sin problemas, y ahora voy de sobra con 300/300 (y con un buen montón de dispositivos y servicios funcionando simultáneamente) y el Hex ni se despeina.....

pokoyo · 8 Febrero 2021

Si no te molesta el HGU por "trasto grande", yo vendría la ONT y pondría el HGU en monopuesto. Ese equipo se va a quedar con la gestión de las VLANs y la parte del gpon, y además el teléfono fijo, si lo tienes, seguirá funcionando tal cual en él. Detrás conectaría un hEX-S y andando.

Y, si las especificaciones de la web de ubiquiti son correctas, ese equipo no sólo acepta PoE af, sino también PoE pasivo

Yo, por la diferencia de precio entre un hEX (RB750gr3) y un hEX-S (RB760iGS), me la jugaba a por el segundo. Es más, dado que el hEX-S admite PoE IN por el puerto 1 de tipo af/at y va a sacar por la salida el mismo voltaje y 500mA de potencia, enchufaría el inyector del AP al puerto 1, y el AP directo al puerto 5. Lo digo porque es posible que la fuente de alimentación del mikrotik no te de para el AP, pero el propio inyector del AP sí que da suficiente chicha como para prender ambos.

Saludos!

Fonex · 8 Febrero 2021

huzoaaz dijo:
Yo tengo el hgu en monopuesto, un mikrotik Hex y funciona perfectamente. Tengo configurado Ipsec y sin problemas... he tenido 600/600 sin problemas, y ahora voy de sobra con 300/300 (y con un buen montón de dispositivos y servicios funcionando simultáneamente) y el Hex ni se despeina.....

Genial entonces y tu IpSec como utilizas para VPN o tienes otro caso de uso?

huzoaaz · 8 Febrero 2021

Fonex dijo:
Genial entonces y tu IpSec como utilizas para VPN o tienes otro caso de uso?

Pues lo uso para lo que se suele usar: conectarme desde cualquier dispositivos fuera de mi red a mi red local de forma segura, y asi accedo accedo a todos mis recursos locales: servidor, equipo de trabajo, nas,.... toda mi red interna como si estuviera en local...

Fonex · 8 Febrero 2021

pokoyo dijo:
Si no te molesta el HGU por "trasto grande", yo vendría la ONT y pondría el HGU en monopuesto. Ese equipo se va a quedar con la gestión de las VLANs y la parte del gpon, y además el teléfono fijo, si lo tienes, seguirá funcionando tal cual en él. Detrás conectaría un hEX-S y andando.

Y, si las especificaciones de la web de ubiquiti son correctas, ese equipo no sólo acepta PoE af, sino también PoE pasivo
Ver el adjunto 78400

Yo, por la diferencia de precio entre un hEX (RB750gr3) y un hEX-S (RB760iGS), me la jugaba a por el segundo. Es más, dado que el hEX-S admite PoE IN por el puerto 1 de tipo af/at y va a sacar por la salida el mismo voltaje y 500mA de potencia, enchufaría el inyector del AP al puerto 1, y el AP directo al puerto 5. Lo digo porque es posible que la fuente de alimentación del mikrotik no te de para el AP, pero el propio inyector del AP sí que da suficiente chicha como para prender ambos.

Ver el adjunto 78406

Saludos!

Pues no tengo mucho espacio la verdad, cuanto menos cosas mejor, pero si no voy a ganar nada teniendo Nano G pues fuera entonces. Entiendo que el tema de latency teniendo HGU + hex s no se incrementa que tengo a unos aquí jugando y siempre se quejan del ping en sus juegos y eso que utilizan cable...

Pues AP 6 Lite viene sin inyector ahora...estaba esperando de ver que hago con router ya que sino me toca comprar por separado.

pokoyo · 8 Febrero 2021

El ping tiene que ver con la distancia a los servidores. Meter un cacharro o dos o tres en casa no vas a notar el ping, a menos que el chisme sea malo de narices, o te estés conectando de manera inalámbrica. Si quieres ir con el mejor ping, cable de red.

Y no, no vas a perder nada. Es más, vas a ganar estabilidad en la red, y mucha. Vas a saber lo que es un servidor dhcp funcionando como debe, una caché dns, etc.

Saludos!

Fonex · 8 Febrero 2021

pokoyo dijo:
El ping tiene que ver con la distancia a los servidores. Meter un cacharro o dos o tres en casa no vas a notar el ping, a menos que el chisme sea malo de narices, o te estés conectando de manera inalámbrica. Si quieres ir con el mejor ping, cable de red.

Y no, no vas a perder nada. Es más, vas a ganar estabilidad en la red, y mucha. Vas a saber lo que es un servidor dhcp funcionando como debe, una caché dns, etc.

Saludos!

De acuerdo, entonces a nivel de arquitectura seria mantener HGU de allí sacar cualquier cable, enchufar al hex s y luego de hex s un cable a mi switch y resto conectado a switch igual que tengo ahora verdad?

Luego por supuesto queda configurar HGU en monopuesto y hacer algo en hex pero eso ya toca investigar.

Si finalmente me quedo con Nano G, seria conectar directamente con hex s y configurar vlan y todo verdad? Entonces no hay ninguna ventaja por usar Nano G? Es que he visto tanta gente que esta poniendo y solo es por quitar HGU?

pokoyo · 8 Febrero 2021

Justo como describes. La única diferencia es el configurar o no la vlan en el mikrotik, dependiendo de si lo que tienes delante es el HGU en monopuesto o la Nano G.

Y, ventaja por usar la Nano G, mas allá de la comodidad por ser más pequeñita...ninguna. Es más, si tienes un problema con la conexión, te va a tocar pinchar el HGU antes de llamar a atención al cliente, porque sino, ni te lo van a mirar. Así que es bueno que lo tengas a mano.

Saludos!

Fonex · 8 Febrero 2021

Aclarado todo entonces, pues HGU en monopuesto y con Mikrotik Hex S de camino desde Amazon.

pokoyo · 8 Febrero 2021

Ves dándote una vuelta por los posts que están en las chinchetas, y tienes donde entretenerte mientras esperas y no.

Saludos!

Yoniper · 9 Febrero 2021

pokoyo dijo:
Y, ventaja por usar la Nano G, mas allá de la comodidad por ser más pequeñita...

Yo uso la Nano-G y va de fábula. Cero problemas con O2 a 600/600 y un RB3011 detrás.
Claro que también uso un ATA Grandstream (antes tenía un cisco) para la telefonía.

También está la opción económica de esaONT: la Nano-Loco.
Que no es POE, ni tiene display con info interactiva.

Como te comentan los compañeros, debes elegir según te parezca:
- Para andar por casa:
La opción HGU (modo bridge) + Router es la más sencilla y funciona perfecta.
- Para los más aventureros:
La opción ONT + Router + ATA requiere más mimos, pero funciona de vicio.

Saludos y adelante.

SHINZONITO · 9 Febrero 2021

Yoniper dijo:
Yo uso la Nano-G y va de fábula. Cero problemas con O2 a 600/600 y un RB3011 detrás.
Claro que también uso un ATA Grandstream (antes tenía un cisco) para la telefonía.

También está la opción económica de esaONT: la Nano-Loco.
Que no es POE, ni tiene display con info interactiva.

Como te comentan los compañeros, debes elegir según te parezca:
- Para andar por casa:
La opción HGU (modo bridge) + Router es la más sencilla y funciona perfecta.
- Para los más aventureros:
La opción ONT + Router + ATA requiere más mimos, pero funciona de vicio.

Saludos y adelante.

En mi caso yo uso ONT + router mikrotik y conecto la red que lleva la señal a los teléfonos a través de la propia salida de la ONT que, al menos en mi caso, sí que permite sacar la voz por ahí. Así me ahorro el ATA.

Yoniper · 9 Febrero 2021

SHINZONITO dijo:
En mi caso yo uso ONT + router mikrotik

Posiblemente tendrás un HG8240, y si es así, claro que te ahorras el ATA.
Si lo que buscas es que todo funcione sin complicaciones, déjalo tal cual.
Sólo configurar el Mikrotik y punto.
Suerte y saludos.

Fonex · 9 Febrero 2021

He visto por aquí mensajes que Nano G con 1gbps de movistar no llega con toda la capacidad...pero bueno ya lo he vendido jeje.

En principio me gustaría rematar HGU, pero tener ONT con la capacidad real de 1gbps mirando un poco al futuro. De momento sigo tirando con HGU hasta que haya más feedback de la gente, ademas de no aportar prácticamente nada.

Yoniper · 9 Febrero 2021

Según el fabricante de la Nano-G:
La velocidad de subida es de 1.244Gb
La velocidad de bajada es de 2.488Gb

Tienes datos del fabricante de la HGU para poder contrastar ?
Gracias y saludos.

SHINZONITO · 9 Febrero 2021

Yoniper dijo:
Posiblemente tendrás un HG8240, y si es así, claro que te ahorras el ATA.
Si lo que buscas es que todo funcione sin complicaciones, déjalo tal cual.
Sólo configurar el Mikrotik y punto.
Suerte y saludos.

Efectivamente, tal y como te he comentado hace un rato en el hilo de "securizar" DNS, tengo una Huawuei HG 8240H, que tiene salida para el teléfono, con lo que me evito un ATA.

Llevo ya bastantes meses así, lo que pasa es que, como había estado haciéndolo algunas perrerías, decidí este fin de semana hacerle un reseteo general al mikrotik y a partir de ahí es cuando tuve algún contratiempo que me ayudaron a solucionarlo algunos de los compañeros del foro. Aparte, ya he aprovechado para aplicar parte de los manuales de pokoyo, que tengo que meterle caña más a fondo

Fonex · 11 Febrero 2021

Ya tengo el cacharro en mi casa hex s!! Demasiado rápido ha sido, todavía no me ha dado tiempo a ver como se configura.

Mikrotik hex vs 4011 IPSec + dudas

Usuari@ ADSLzone

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Usuari@ ADSLzone

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Usuari@ ADSLzone

Usuari@ ADSLzone

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Usuari@ ADSLzone

Usuari@ ADSLzone

Usuari@ ADSLzone

Usuari@ ADSLzone

Usuari@ ADSLzone

Usuari@ ADSLzone

Similar threads