Mikrotik rb4011 + Gpon uFiber nano g + tlf voIP + Wifi AP Nano HD

Hola,

En casa tengo fibra O2 600/600

Me he trasladado recientemente, y he aprovechado para hacer una renovación tecnológica siguiendo consejos vistos en internet y algunos amigos que me aconsejaron la compra del mikrotik junto al punto de acceso Ubiquiti UniFi UAP-nanoHD, y una ONOT uFiber Nano G

Después de mucho leer y pelearme "solo" con este tema, conseguí sacar la idONT del hGU de Movistar , y ponersela a la ONT uFiber , y haciendo un batiburrillo de Internet, mas foros y bastantes tutoriales di con este foro, y con una configuración que, tras muchas pruebas sin éxito, conseguí que el mikrotik y la ONT funcionaran y poder tener internet en toda la casa.

Pero, como sabéis, porque he liado un poquito algunos otros hilos, no consigo ponerlo "fino", a parte de no saber exactamente que hago y como hacerlo.

Mi escenario ideal sería conseguir (como hasta ahora tenía) , el acceso desde el exterior de un servidor PLEX que tengo en mi LAN (192.168.1.222), conseguir que el tlf que he comprado (yasink t42s) reciba y haga llamadas (y conectando un rj11 a la parte traser adel yasink , dar señal a otros telefonos inhalambricos analogicos antiguos (no se si esto es posible)

La parte wifi la tengo solucionada con el AP NAno HD .

Mi esquema es como sigue:

ONT (192.168.10.1) -> eth10 -> RB4011 (192.168.1.1)->AP Wifi eth4

Os pego mi configuracion:

Código: 
# dec/24/2020 08:39:25 by RouterOS 6.48
# software id = 3XC7-U6FZ
#
# model = RB4011iGS+
# serial number = B8FE0XXXXX
/interface bridge
add admin-mac=C4:AD:34XX:XX:XX auto-mac=no name=bridge-ISP
/interface ethernet
set [ find default-name=ether1 ] comment=LAN
set [ find default-name=ether10 ] comment=WAN
/interface vlan
add interface=ether10 name=vlan3 vlan-id=3
add interface=ether10 name=vlan6 vlan-id=6
/interface pppoe-client
add add-default-route=yes disabled=no interface=vlan6 keepalive-timeout=60 \
    name=pppoe-out1 user=adslppp@telefonicanetpa
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool1 ranges=192.168.1.2-192.168.1.200
add name=vpn ranges=192.168.89.2-192.168.89.255
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=bridge-ISP lease-time=12h \
    name="DHCP Server"
/ppp profile
set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
    sword,web,sniff,sensitive,api,romon,dude,tikapp"
/dude
set enabled=yes
/interface bridge port
add bridge=bridge-ISP interface=ether2
add bridge=bridge-ISP interface=ether3
add bridge=bridge-ISP interface=ether4
add bridge=bridge-ISP interface=ether5
add bridge=bridge-ISP interface=ether6
add bridge=bridge-ISP interface=ether7
add bridge=bridge-ISP interface=ether8
add bridge=bridge-ISP interface=ether9
add bridge=bridge-ISP interface=sfp-sfpplus1
add bridge=bridge-ISP interface=ether1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set enabled=yes use-ipsec=yes
/interface list member
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=ether6 list=LAN
add interface=ether7 list=LAN
add interface=ether8 list=LAN
add interface=ether9 list=LAN
add interface=sfp-sfpplus1 list=LAN
add interface=ether1 list=WAN
add interface=ether10 list=LAN
/interface pptp-server server
set enabled=yes
/interface sstp-server server
set default-profile=default-encryption enabled=yes
/ip address
add address=192.168.1.1/24 comment=defconf interface=ether1 network=\
    192.168.1.0
add address=192.168.10.2/24 interface=ether1 network=192.168.10.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf interface=ether10
add add-default-route=no disabled=no interface=vlan3 use-peer-ntp=no
/ip dhcp-server lease
add address=192.168.1.16 client-id=1:66:bd:dd:5a:e7:e7 mac-address=\
    66:BD:DD:5A:E7:E7 server="DHCP Server"
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf dns-server=1.1.1.1,1.0.0.1 \
    gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1
/ip dns static
add address=192.168.10.2 name=router.lan
add address=10.34.255.134 name=telefonica.net
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 \
    protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp
add action=accept chain=input comment=\
    "Acepta el trafico de la vlan del telefono" in-interface=vlan3 \
    src-address=10.0.0.0/8
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=set-priority chain=postrouting new-priority=4 out-interface=vlan3 \
    passthrough=yes
add action=set-priority chain=postrouting new-priority=1 out-interface=\
    pppoe-out1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out1
add action=dst-nat chain=dstnat comment=XPENOLOGY dst-port=5000-5004 \
    in-interface=pppoe-out1 protocol=udp to-addresses=192.168.1.222 to-ports=\
    5000-5004
add action=dst-nat chain=dstnat dst-port=5000-5004 in-interface=pppoe-out1 \
    protocol=tcp to-addresses=192.168.1.222 to-ports=5000-5004
add action=dst-nat chain=dstnat comment=\
    "Regla para PLEX de XPENOLOGY en 192.168.1.222" dst-port=32400 \
    in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.222 to-ports=\
    32400
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
    192.168.89.0/24
add action=dst-nat chain=dstnat comment="VOIP o2 hacia iPhone de Jordi" \
    dst-port=5060 in-interface=pppoe-out1 protocol=udp to-addresses=\
    192.168.1.20 to-ports=5060
add action=masquerade chain=srcnat out-interface=vlan3
add action=masquerade chain=srcnat comment="default configuration" \
    out-interface=pppoe-out1
add action=masquerade chain=srcnat comment="default configuration" \
    out-interface=vlan3
/ip firewall service-port
set sip ports=5060,5070
/ip route
add disabled=yes distance=1 gateway=192.168.1.1
/ip upnp
set enabled=yes
/ppp secret
add name=vpn
add name=obeliscum profile=default-encryption
/routing rip interface
add interface=vlan3 passive=yes receive=v2
/routing rip network
add network=10.0.0.0/8
/system clock
set time-zone-name=Europe/Madrid
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
 
Mañana echamos un rato con esto y lo dejamos fino. Pasad buena noche, y felices fiestas!

Saludos!
 
Buenos días @vorlander, y feliz Navidad!

Cuando quieras nos liamos con esto. Una pregunta, antes de empezar. La ONT, ¿ha de ir en ether10, de manera obligatoria? Lo pregunto por si lo tienes así montado por aprovechar el PoE-out del mikrotik y alimentar la ONT (no sé si son compatibles) o simplemente decidiste que la ONT iba en ese puerto. Lo digo porque la configuración por defecto te deja todo montado en ether1. No es problema alguno cambiarlo, pero va a resultar más sencillo si sigues el setup "estándar"

Saludos!
 
pokoyo dijo:
Buenos días @vorlander, y feliz Navidad!

Cuando quieras nos liamos con esto. Una pregunta, antes de empezar. La ONT, ¿ha de ir en ether10, de manera obligatoria? Lo pregunto por si lo tienes así montado por aprovechar el PoE-out del mikrotik y alimentar la ONT (no sé si son compatibles) o simplemente decidiste que la ONT iba en ese puerto. Lo digo porque la configuración por defecto te deja todo montado en ether1. No es problema alguno cambiarlo, pero va a resultar más sencillo si sigues el setup "estándar"

Saludos!
Haz clic para expandir...
Buenos dias y feliz navidad para ti (y para todos) igualmente !!

No, la ONT puede ir en cualquier puerto que me digáis.
Está en la eth10 porque, efectivamente como indicas, quería aprovechar el PoE de ese puerto, lamentablemente no son compatibles, pero como ya la había puesto ahí, pues se así se quedó..
 
vorlander dijo:
Buenos dias y feliz navidad para ti (y para todos) igualmente !!

No, la ONT puede ir en cualquier puerto que me digáis.
Está en la eth10 porque, efectivamente como indicas, quería aprovechar el PoE de ese puerto, lamentablemente no son compatibles, pero como ya la había puesto ahí, pues se así se quedó..
Haz clic para expandir...
Correcto, es lo que me temía, que los PoE de ambos equipos no son compatibles. Pues, si puedes, planta por favor la ONT en el puerto 1, que va a ser por defecto siempre nuestro WAN, y arrancamos con la configuración.

Para empezar, guarda, si no lo has hecho ya, un backup de la configuración que tienes ahora. Lo siguiente un reset al equipo, dejándole que cargue la configuración por defecto: simplemente vas a System -> Reset configuration y no marcas nada. Usa ether2 para conectar a él un cable de red a un equipo que pueda manejar el router por cable.

Una vez reiniciado, se habrá aplicado el script de autoconfiguración. La siguiente vez que entres en winbox, te preguntará si lo quieres mantener, y le dices que sí, que OK.

Tras esto, vas y ejecutas el quick set. Creo que tu equipo era un 4011 sin wifi, así que el quick set se parecerá a esto:
1608894082408.png


Seleccionas:
  • Modo de trabajo: router
  • Internet: adquisición por PPPoE con su usuario y contraseña
  • En local network: defines el detalle de tu rango de subred local. Por defecto, el mikrotik arranca en la 192.168.88.1/24, pero puedes poner ahí la que más te guste (creo que antes tenías la 192.168.1.1/24) definida.
  • MAC Address: ignoras mi pantallazo, y respetas la que tú tengas ahí.
  • Marcas las opciones del DHCP server y NAT. El rango del DHCP server, acorde con la subred LAN que hayas definido (si la cambias a la 192.168.1.1, el rango podría ser el 192.168.1.2-192.168.1.254)
  • A tu elección: Marcas o no la pestaña de VPN para que genere dichos servidores (si no los vas a usar, no lo marques)
  • Pon en ese momento una contraseña fuerte al usuario admin. Luego, en algún momento, puedes crear un usuario nuevo en System -> Users, darle permisos del grupo "full" y borrar el usuario admin.

Y aplicas los cambios.Una vez hecho esto, desconecta y conecta el cable de ether2 para que referesque el servidor dhcp si cambiaste el rango y reconecta a winbox. Tendras el router en un estado casi operativo. Nos quedan las vlans:

VLAN de internet: Definir la VLAN con ID=6
Para realizar este paso, abrimos winbox y navegamos hasta la pestaña "Interfaces" -> "VLAN", y damos de alta la VLAN 6, por donde llega tu servicio a internet. La interfaz física sobre la que aplicar dicha VLAN es la que va conectada a la ONT, en este caso, sería ether1
1608894576655.png


Una vez hecho esto, lo único que nos queda es editar la interfaz PPPoE que ha creado el quick set, para decirle que el servicio no llega por ether1, sino por la nueva vlan creada. Para ello, navegas hasta la interfaz PPPoE, que la tendrás en la lista de interfaces en Interfaces -> Interface y le das doble click para editarla. Donde pone ether1, pones la nueva interfaz creada internet.
1608894743158.png


Una vez hecho eso, compruebas que la interfaz levanta y obtiene ip pública. Lo puedes ver en la pestaña status de la propia interfaz pppoe-out1. Ya deberías tener navegación a internet y una configuración digna de un backup, así que es hora de guardarse una copia (backup + export)

Si has llegado hasta aquí, dime, y seguimos con la configuración del VoIP.

Saludos!
 
Bueno, ante todo muchas gracias ...... he podido hacer un poquito después de la comida navideña ...... vamos a por el voIP ??

p.d.: se me olvidaba comentar que tenemos Xbox en casa, habría que marear los puertos para que funcione bien la consola, o bien hacer UPNP para que se abran según los solicite la consola
 
vorlander dijo:
Bueno, ante todo muchas gracias ...... he podido hacer un poquito después de la comida navideña ...... vamos a por el voIP ??
Haz clic para expandir...
Y? funciona? Porque es lo más importante.

vorlander dijo:
p.d.: se me olvidaba comentar que tenemos Xbox en casa, habría que marear los puertos para que funcione bien la consola, o bien hacer UPNP para que se abran según los solicite la consola
Haz clic para expandir...
Esto lo tienes detallado en los tips&tricks. Si sabes los puertos que quieres abrir, mejor ábrelos a mano y no uses UPnP.

Para el VoIP no me voy a parar tanto con pantallazos, creo que se entiende la idea. Los comandos no son más que lo mismo hecho directamente, lo cual puedes replicar por winbox buscando el menú correspondiente a dicho comando. Para dar de alta el VoIP, necesitamos:
  • Dar de alta la vlan 3 (ya sabes cómo se hace, igual que la 6)
  • Crear un cliente dhcp para obtener una dirección para esa interfaz, sin ruta por defecto (enrutará por RIP)
  • Establecer las prioridades del tráfico en reglas de postrouting en mangle
  • Añadir la regla de firewall que permita el tráfico de entrada al router para la voip, y ponerla en el lugar adecuado.
  • Natear (enmascarar) el tráfico voip, para que salga correctamente del router hacia internet
  • Deshabilitar los helpers de los puertos del VoIP en Mikrotik, para evitar posibles problemas
  • Añadir la nueva interfaz a RIP y levantar RIP sobre la red que se usará para VoIP, 10.0.0.0/8

En esencia, punto por punto, estos comandos. Puedes ejecutarlos desde terminal o, como te comentaba antes, ir localizando sus menús y hacerlo a mano. Como prefieras, tú decides.
Código: 
# Dar de alta la vlans 3 para el voip
/interface vlan add interface=ether1 name=voip vlan-id=3

# Crear un cliente dhcp para la vlan 3 del teléfono voip.
/ip dhcp-client add add-default-route=no disabled=no interface=voip

# Establecer la prioridad de las conexiones en mangle
/ip firewall mangle
add action=set-priority chain=postrouting new-priority=4 out-interface=voip
add action=set-priority chain=postrouting new-priority=1 out-interface=pppoe-out1

# Aceptar el tráfico de entrada para la vlan3 en el firewall
/ip firewall filter
add action=accept chain=input comment="Acepta el trafico de la vlan del telefono" \
    in-interface=voip src-address=10.0.0.0/8 \
    place-before=[find where chain=input and comment="defconf: drop invalid"]

# Enmascarar el tráfico saliente de la vlan3, el voip.
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" \
    out-interface=voip place-before=1

# Deshabilitar los puertos del servicio VoIP, que no nos den la lata
/ip firewall service-port
set sip disabled=yes ports=5060,5070

# Añadir la interfaz de la VoIP al protocolo RIP.
/routing rip interface
add interface=voip passive=yes receive=v2

# Indicar la red en la que correrá RIP.
/routing rip network
add network=10.0.0.0/8

Saludos!
 
pokoyo dijo:
Y? funciona? Porque es lo más importante.


Esto lo tienes detallado en los tips&tricks. Si sabes los puertos que quieres abrir, mejor ábrelos a mano y no uses UPnP.

Para el VoIP no me voy a parar tanto con pantallazos, creo que se entiende la idea. Los comandos no son más que lo mismo hecho directamente, lo cual puedes replicar por winbox buscando el menú correspondiente a dicho comando. Para dar de alta el VoIP, necesitamos:
  • Dar de alta la vlan 3 (ya sabes cómo se hace, igual que la 6)
  • Crear un cliente dhcp para obtener una dirección para esa interfaz, sin ruta por defecto (enrutará por RIP)
  • Establecer las prioridades del tráfico en reglas de postrouting en mangle
  • Añadir la regla de firewall que permita el tráfico de entrada al router para la voip, y ponerla en el lugar adecuado.
  • Natear (enmascarar) el tráfico voip, para que salga correctamente del router hacia internet
  • Deshabilitar los helpers de los puertos del VoIP en Mikrotik, para evitar posibles problemas
  • Añadir la nueva interfaz a RIP y levantar RIP sobre la red que se usará para VoIP, 10.0.0.0/8

En esencia, punto por punto, estos comandos. Puedes ejecutarlos desde terminal o, como te comentaba antes, ir localizando sus menús y hacerlo a mano. Como prefieras, tú decides.
Código: 
# Dar de alta la vlans 3 para el voip
/interface vlan add interface=ether1 name=voip vlan-id=3

# Crear un cliente dhcp para la vlan 3 del teléfono voip.
/ip dhcp-client add add-default-route=no disabled=no interface=voip

# Establecer la prioridad de las conexiones en mangle
/ip firewall mangle
add action=set-priority chain=postrouting new-priority=4 out-interface=voip
add action=set-priority chain=postrouting new-priority=1 out-interface=pppoe-out1

# Aceptar el tráfico de entrada para la vlan3 en el firewall
/ip firewall filter
add action=accept chain=input comment="Acepta el trafico de la vlan del telefono" \
    in-interface=voip src-address=10.0.0.0/8 \
    place-before=[find where chain=input and comment="defconf: drop invalid"]

# Enmascarar el tráfico saliente de la vlan3, el voip.
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" \
    out-interface=voip place-before=1

# Deshabilitar los puertos del servicio VoIP, que no nos den la lata
/ip firewall service-port
set sip disabled=yes ports=5060,5070

# Añadir la interfaz de la VoIP al protocolo RIP.
/routing rip interface
add interface=voip passive=yes receive=v2

# Indicar la red en la que correrá RIP.
/routing rip network
add network=10.0.0.0/8

Saludos!
Haz clic para expandir...
La primera parte ha funcionado perfectamente .....MIL GRACIAS !!!!!


La parte del voIP no me queda clara ....... en que puerto deberé conectar el tlf para que reciba Y haga llamadas ?? ..... veo que creas una interface que se llama “voIP” , pero a que puerto ethX va asignada ?? .....no se si me explico .....

A ver si puedo dejarlo todo funcionando esta noche, porque hoy ha sido de locos en casa , sin poder probar nada, y con la angustia de haceros perder el tiempo a vosotros (sobre todo a pokoyo) y no conectarme a dar novedades .....las fechas no ayudan en absoluto xDDDD
 
El teléfono lo puedes conectar a cualquier puerto. Tu red entera tiene voip. La vlan se crea sobre el puerto WAN, por donde te llega el servicio. Pero, a nivel LAN, en cualquiera de los puertos del 2 al 10 que conformarán tu bridge principal; la LAN

Saludos!
 
Buenos dias ,


A ver si hoy puedo dedicar un rato mas "seguido" que no sea entre bocados al turron y niños correteando por aqui....xDD

Cosas que ayer no me di cuenta y veo ahora :

- El tlf voIP no me funciona (descuelgo y da tono de linea) pero ni recibo ni hago llamadas.

- Internet no funciona a traves de las interfaces ETH , tan solo tengo internet a traves de wifi

- Tengo un sistema de video camaras (FOSCAM) que van por wifi grabando a un "grabador" local ....ls camaras van por wifi y el grabador va por cable al router mikrotik (todo por DHCP)

.....de las 4 camaras tan solo funciona 1, aunque han cambiado las IP de todas las camaras (veo las IP porque el grabador las "detecta" , pero ninguna da imagen , como si no se loguinaran correctamente.
He modificado las IP pero sigo sin imagen.


EDIT !!:

Creo que he visto el error , pero no se arreglarlo.

En las concesiones de IP veo que a muchos aparatos (incluso algunos wifi), les ha concedido IP en el rango original del mikrotik (192.168.88.X/24) ......no les está cambiando al rango actual de 192.168.1.X/24

En DHCP Server lo unico que tengo es el 192.168.1.X/24
 
Última edición:
Pues reset y a empezar desde el principio. Cuando confirmes que tienes internet con el primer paso, te metes con el segundo.

Las cámaras déjalas en dhcp y luego reserva las direcciones en los leases del mismo; no las pongas a manija estáticas.

Saludos!
 
pokoyo dijo:
Pues reset y a empezar desde el principio. Cuando confirmes que tienes internet con el primer paso, te metes con el segundo.

Las cámaras déjalas en dhcp y luego reserva las direcciones en los leases del mismo; no las pongas a manija estáticas.

Saludos!
Haz clic para expandir...


Vale ...... corregido el error ..... la definir el DHCP se me paso cambiar los dos rangos ...... por lo que lo definí como :

192.168.1.0/24-192.168.88.0/24

Está claro ue con prisas y gente correteando no se pueden hacer las cosas.

Bien, creo que ahora lo tengo todo bien ...... me falta gestionar los puertos NAT (creo que eso lo tengo ya bastante entendido)

Donde se te invita a las birras ??
 
Leete el post de los tips&tricks y aplica el hairpinNAT. Una vez lo tengas, en la última instrucción de ese post, se detalla cómo se abre un puerto. Abrir uno, o abrir diez, es repetir esa última instrucción.

Saludos!
 
Ah! y la birra cuando tú quieras. El mundo es un pañuelo, no te extrañe que coincidas en alguna ocasión conmigo. Y, en ese caso, la aceptaré encantado.

Saludos!
 
vorlander dijo:
La primera parte ha funcionado perfectamente .....MIL GRACIAS !!!!!


La parte del voIP no me queda clara ....... en que puerto deberé conectar el tlf para que reciba Y haga llamadas ?? ..... veo que creas una interface que se llama “voIP” , pero a que puerto ethX va asignada ?? .....no se si me explico .....

A ver si puedo dejarlo todo funcionando esta noche, porque hoy ha sido de locos en casa , sin poder probar nada, y con la angustia de haceros perder el tiempo a vosotros (sobre todo a pokoyo) y no conectarme a dar novedades .....las fechas no ayudan en absoluto xDDDD
Haz clic para expandir...
Pregunta .....para que es útil para mi el hairpinNAT ?? .....no tiene nada que ver con los puertos , es así ??

he hecho lo de poder acceder aa la ONT en la 192.168.10.1 y funciona bien ......
 
Para, por ejemplo, abrir el puerto 443 y exponer una web, a la cual tú puedas acceder desde dentro tu red con su dominio público, sin “secuestrar” dicho tráfico internamente (si pruebas a abrir el puerto 80 o 443 verás que la lías y secuestras tanto el tráfico de entrada como el de salida, y te quedas sin navegación).

El hairpinNAT, en otros router conocido también como “nat loopback”, es algo que suele venir implementado de serie, pero es tu decisión si lo aplicas o no en un mikrotik.

Lo bueno de esa regla es que, según está explicada en el manual, introduce una cosa interesante: el uso de una lista pública para hacer la trampa de resolver tu IP pública cuando es dinámica. Las reglas de NAT, cuando eres una entidad y tienes una IP estática, son relativamente sencillas. Pero con IP dinámica la cosa se complica. Si aplicas el hairpin NAT, como pasas a tener una lista “public-ip” que resuelve tu IP pública en cualquier momento, la puedes usar para que las reglas de mapeo de puertos sean más correctas, porque especificas en qué sentido va la regla (tráfico con cualquier origen y con destino tu IP pública), es decir, sentido internet -> red local. Si miras otros manuales, verás que la manera de abrir puertos es especificar el in-interface o similar, que no siempre se cumple. De la manera que está explicado en el manual, las reglas no fallan, ni tienes de regalo el tema del hairpin.

Saludos!
 
pokoyo dijo:
Para, por ejemplo, abrir el puerto 443 y exponer una web, a la cual tú puedas acceder desde dentro tu red con su dominio público, sin “secuestrar” dicho tráfico internamente (si pruebas a abrir el puerto 80 o 443 verás que la lías y secuestras tanto el tráfico de entrada como el de salida, y te quedas sin navegación).

El hairpinNAT, en otros router conocido también como “nat loopback”, es algo que suele venir implementado de serie, pero es tu decisión si lo aplicas o no en un mikrotik.

Lo bueno de esa regla es que, según está explicada en el manual, introduce una cosa interesante: el uso de una lista pública para hacer la trampa de resolver tu IP pública cuando es dinámica. Las reglas de NAT, cuando eres una entidad y tienes una IP estática, son relativamente sencillas. Pero con IP dinámica la cosa se complica. Si aplicas el hairpin NAT, como pasas a tener una lista “public-ip” que resuelve tu IP pública en cualquier momento, la puedes usar para que las reglas de mapeo de puertos sean más correctas, porque especificas en qué sentido va la regla (tráfico con cualquier origen y con destino tu IP pública), es decir, sentido internet -> red local. Si miras otros manuales, verás que la manera de abrir puertos es especificar el in-interface o similar, que no siempre se cumple. De la manera que está explicado en el manual, las reglas no fallan, ni tienes de regalo el tema del hairpin.

Saludos!
Haz clic para expandir...
Ostras .....no he entendido nada :-O

Voy a leer de nuevo el hilo de trucos a ver si cazo algo xDDD

Yo tengo un dominio que pago anualmente (no es dyndns, ni nada), si hago eso puedo hacerme mis propios sub dominios internos, porque ejemplo plex.vorlander.es y redirigir las peticiones de esa web hacia IP y puertos concretos internos de mi LAN ??

Se me ocurre que podria tambien darme voIP en el movil cuando estoy fuera de casa ??..... pero sind ejar de funcionar el fijo cuando estoy dentro de la wifi de casa ??....o estoy diciendo tonterias ?
 
vorlander dijo:
Yo tengo un dominio que pago anualmente (no es dyndns, ni nada), si hago eso puedo hacerme mis propios sub dominios internos, porque ejemplo plex.vorlander.es y redirigir las peticiones de esa web hacia IP y puertos concretos internos de mi LAN ??
Haz clic para expandir...
No exactamente, pero puedes crear un su sub dominio tipo “router.vorlander.es” como CNAME de chorizo ddns que te regala mikrotik, así no te tienes que aprender ese chorizo para nada. El chorizo lo puedes ver en IP -> Cloud -> DDNS, que es básicamente el número de serie de tu equipo + .sn.mynetname.net. Luego, en tu casa, puedes montar un servidor con un proxy reverso si quieres aprovechar para algo más esos subdominios, para lo que comentabas de apuntarlos a un servicio y otro. O simplemente con reglas de NAT distintas para casa puerto y listo.


vorlander dijo:
Se me ocurre que podria tambien darme voIP en el movil cuando estoy fuera de casa ??..... pero sind ejar de funcionar el fijo cuando estoy dentro de la wifi de casa ??....o estoy diciendo tonterias ?
Haz clic para expandir...
Para eso no hace falta más que te conectes por VPN al router y ya tienes el fijo a mano desde cualquier app tipo Zoiper. Creo que @furny tiene algo así montado.

Saludos!
 
pokoyo dijo:
Para eso no hace falta más que te conectes por VPN al router y ya tienes el fijo a mano desde cualquier app tipo Zoiper. Creo que @furny tiene algo así montado
Haz clic para expandir...
Exacto. Se pueden hasta recibir llamadas del fijo en el iPhone, por la calle, si estás con la vpn conectada. Y también se reciben en casa, claro. Además, en el caso de Movistar creo que permite hasta 5 sesiones simultáneas. Es decir, que si hay alguien en casa en una conversación por el fijo, tu puedes iniciar otra llamada por Voip paralela (desde casa o desde fuera con la VPN).
 
Debes estar conectado o registrado para responder aquí.

Similar threads

P
Asesoramiento sobre reglas Firewall
Respuestas
1
Visitas
278
pokoyo
pokoyo
  • Anclado
MANUAL: Mikrotik, configuraciones básicas ISPs
15 16 17
Respuestas
322
Visitas
13,212
pokoyo
S
Novato con mikorik "empezando a lo grande"...
2 3 4
Respuestas
71
Visitas
3,310
roolezz
L
Mikrotik y Pihole DNS
Respuestas
16
Visitas
424
pokoyo
PortAsus
Configurar hEX RB750Gr3 y hAP ac2 (Wifi) para O2
2
Respuestas
23
Visitas
616
pokoyo
Arriba