Mikrotik RB750GR3 vers 7.1.1 con Digi 1gb

Dejo por aquí mi configuración, no estoy muy puesto en Mikrotik y sobre todo me preocupa el nivel de seguridad del firewall, está con las reglas básicas que trae por defecto. El otro problema es que no accedo a la VPN Wireguard que tengo levantado en una máquina virtual en Synology y aunque voy a migrarla al Mikrotik me gustaría poder tener este servicio en Synology más que nada por quitarle carga..... Por otro lado, los resultados, buenísimos, supera los 900mb tanto en bajada como en subida en los test de velocidad con el procesador al 60%.... De momento pinta muy muy bien y vengo del Asus Ax56u.... He montado este Mikrotik con 2 Xiaomi ax1800 en mesh con backhaul a través de cable y la red por ahora va impecable....

Dejo el export por aquí:

# dec/29/2021 12:53:16 by RouterOS 7.1.1

# software id = PRPJ-I4B7

#

# model = RB750Gr3

# serial number = xxxxxxxxxxx

/interface bridge

add admin-mac=xxxxxxxxxxxxxxxx auto-mac=no comment=defconf name=bridge \

protocol-mode=none

/interface vlan

add interface=ether1 name=vlan20 vlan-id=20

/interface pppoe-client

add add-default-route=yes disabled=no interface=vlan20 keepalive-timeout=\

disabled name=pppoe-out1 user=xxxxxxxxxxx@digi

/interface list

add comment=defconf name=WAN

add comment=defconf name=LAN

/interface lte apn

set [ find default=yes ] ip-type=ipv4

/interface wireless security-profiles

set [ find default=yes ] supplicant-identity=MikroTik

/ip pool

add name=dhcp ranges=192.168.2.15-192.168.2.254

/ip dhcp-server

add address-pool=dhcp interface=bridge name=defconf

/port

set 0 name=serial0

/routing bgp template

set default as=65530 disabled=no name=default output.network=bgp-networks

/routing ospf instance

add name=default-v2

/routing ospf area

add disabled=yes instance=default-v2 name=backbone-v2

/interface bridge port

add bridge=bridge comment=defconf ingress-filtering=no interface=ether2

add bridge=bridge comment=defconf ingress-filtering=no interface=ether3

add bridge=bridge comment=defconf ingress-filtering=no interface=ether4

add bridge=bridge comment=defconf ingress-filtering=no interface=ether5

/ip neighbor discovery-settings

set discover-interface-list=LAN

/ipv6 settings

set disable-ipv6=yes max-neighbor-entries=8192

/interface list member

add comment=defconf interface=bridge list=LAN

add comment=defconf interface=ether1 list=WAN

add interface=pppoe-out1 list=WAN

/ip address

add address=192.168.2.1/24 comment=defconf interface=ether2 network=\

192.168.2.0

/ip cloud

set ddns-enabled=yes

/ip dhcp-client

add comment=defconf interface=ether1

/ip dhcp-server network

add address=192.168.2.0/24 comment=defconf gateway=192.168.2.1 netmask=24

/ip dns

set allow-remote-requests=yes servers=192.168.2.8

/ip dns static

add address=192.168.2.1 comment=defconf name=router.lan

/ip firewall address-list

add address=xxxxxxxxxxxxxx.sn.mynetname.net list=public-ip

/ip firewall filter

add action=accept chain=input comment=\

"defconf: accept established,related,untracked" connection-state=\

established,related,untracked

add action=drop chain=input comment="defconf: drop invalid" connection-state=\

invalid

add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp

add action=accept chain=input comment=\

"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1

add action=drop chain=input comment="defconf: drop all not coming from LAN" \

in-interface-list=!LAN

add action=accept chain=forward comment="defconf: accept in ipsec policy" \

ipsec-policy=in,ipsec

add action=accept chain=forward comment="defconf: accept out ipsec policy" \

ipsec-policy=out,ipsec

add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \

connection-state=established,related hw-offload=yes

add action=accept chain=forward comment=\

"defconf: accept established,related, untracked" connection-state=\

established,related,untracked

add action=drop chain=forward comment="defconf: drop invalid" \

connection-state=invalid

add action=drop chain=forward comment=\

"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \

connection-state=new in-interface-list=WAN

/ip firewall nat

add action=masquerade chain=srcnat comment=hairpin-nat dst-address=\

192.168.2.0/24 src-address=192.168.2.0/24

add action=masquerade chain=srcnat comment="defconf: masquerade" \

ipsec-policy=out,none out-interface-list=WAN

add action=dst-nat chain=dstnat comment=SYNOLOGY-Admin dst-address-list=\

public-ip dst-port=5000,5001 protocol=tcp to-addresses=192.168.2.2

add action=dst-nat chain=dstnat comment=WireGuard dst-address-list=public-ip \

dst-port=51821 protocol=tcp to-addresses=192.168.2.8

add action=dst-nat chain=dstnat comment=WireGuard dst-address-list=public-ip \

dst-port=51820 protocol=udp to-addresses=192.168.2.8

/ip firewall service-port

set ftp disabled=yes

set tftp disabled=yes

set irc disabled=yes

set h323 disabled=yes

set sip disabled=yes

set pptp disabled=yes

/system clock

set time-zone-name=Europe/Madrid

/tool mac-server

set allowed-interface-list=LAN

/tool mac-server mac-winbox

set allowed-interface-list=LAN



Muchas Gracias!!!!!
 
Dejo por aquí mi configuración, no estoy muy puesto en Mikrotik y sobre todo me preocupa el nivel de seguridad del firewall, está con las reglas básicas que trae por defecto. El otro problema es que no accedo a la VPN Wireguard que tengo levantado en una máquina virtual en Synology y aunque voy a migrarla al Mikrotik me gustaría poder tener este servicio en Synology más que nada por quitarle carga..... Por otro lado, los resultados, buenísimos, supera los 900mb tanto en bajada como en subida en los test de velocidad con el procesador al 60%.... De momento pinta muy muy bien y vengo del Asus Ax56u.... He montado este Mikrotik con 2 Xiaomi ax1800 en mesh con backhaul a través de cable y la red por ahora va impecable....

Dejo el export por aquí:

# dec/29/2021 12:53:16 by RouterOS 7.1.1

# software id = PRPJ-I4B7

#

# model = RB750Gr3

# serial number = xxxxxxxxxxx

/interface bridge

add admin-mac=xxxxxxxxxxxxxxxx auto-mac=no comment=defconf name=bridge \

protocol-mode=none

/interface vlan

add interface=ether1 name=vlan20 vlan-id=20

/interface pppoe-client

add add-default-route=yes disabled=no interface=vlan20 keepalive-timeout=\

disabled name=pppoe-out1 user=xxxxxxxxxxx@digi

/interface list

add comment=defconf name=WAN

add comment=defconf name=LAN

/interface lte apn

set [ find default=yes ] ip-type=ipv4

/interface wireless security-profiles

set [ find default=yes ] supplicant-identity=MikroTik

/ip pool

add name=dhcp ranges=192.168.2.15-192.168.2.254

/ip dhcp-server

add address-pool=dhcp interface=bridge name=defconf

/port

set 0 name=serial0

/routing bgp template

set default as=65530 disabled=no name=default output.network=bgp-networks

/routing ospf instance

add name=default-v2

/routing ospf area

add disabled=yes instance=default-v2 name=backbone-v2

/interface bridge port

add bridge=bridge comment=defconf ingress-filtering=no interface=ether2

add bridge=bridge comment=defconf ingress-filtering=no interface=ether3

add bridge=bridge comment=defconf ingress-filtering=no interface=ether4

add bridge=bridge comment=defconf ingress-filtering=no interface=ether5

/ip neighbor discovery-settings

set discover-interface-list=LAN

/ipv6 settings

set disable-ipv6=yes max-neighbor-entries=8192

/interface list member

add comment=defconf interface=bridge list=LAN

add comment=defconf interface=ether1 list=WAN

add interface=pppoe-out1 list=WAN

/ip address

add address=192.168.2.1/24 comment=defconf interface=ether2 network=\

192.168.2.0

/ip cloud

set ddns-enabled=yes

/ip dhcp-client

add comment=defconf interface=ether1

/ip dhcp-server network

add address=192.168.2.0/24 comment=defconf gateway=192.168.2.1 netmask=24

/ip dns

set allow-remote-requests=yes servers=192.168.2.8

/ip dns static

add address=192.168.2.1 comment=defconf name=router.lan

/ip firewall address-list

add address=xxxxxxxxxxxxxx.sn.mynetname.net list=public-ip

/ip firewall filter

add action=accept chain=input comment=\

"defconf: accept established,related,untracked" connection-state=\

established,related,untracked

add action=drop chain=input comment="defconf: drop invalid" connection-state=\

invalid

add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp

add action=accept chain=input comment=\

"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1

add action=drop chain=input comment="defconf: drop all not coming from LAN" \

in-interface-list=!LAN

add action=accept chain=forward comment="defconf: accept in ipsec policy" \

ipsec-policy=in,ipsec

add action=accept chain=forward comment="defconf: accept out ipsec policy" \

ipsec-policy=out,ipsec

add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \

connection-state=established,related hw-offload=yes

add action=accept chain=forward comment=\

"defconf: accept established,related, untracked" connection-state=\

established,related,untracked

add action=drop chain=forward comment="defconf: drop invalid" \

connection-state=invalid

add action=drop chain=forward comment=\

"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \

connection-state=new in-interface-list=WAN

/ip firewall nat

add action=masquerade chain=srcnat comment=hairpin-nat dst-address=\

192.168.2.0/24 src-address=192.168.2.0/24

add action=masquerade chain=srcnat comment="defconf: masquerade" \

ipsec-policy=out,none out-interface-list=WAN

add action=dst-nat chain=dstnat comment=SYNOLOGY-Admin dst-address-list=\

public-ip dst-port=5000,5001 protocol=tcp to-addresses=192.168.2.2

add action=dst-nat chain=dstnat comment=WireGuard dst-address-list=public-ip \

dst-port=51821 protocol=tcp to-addresses=192.168.2.8

add action=dst-nat chain=dstnat comment=WireGuard dst-address-list=public-ip \

dst-port=51820 protocol=udp to-addresses=192.168.2.8

/ip firewall service-port

set ftp disabled=yes

set tftp disabled=yes

set irc disabled=yes

set h323 disabled=yes

set sip disabled=yes

set pptp disabled=yes

/system clock

set time-zone-name=Europe/Madrid

/tool mac-server

set allowed-interface-list=LAN

/tool mac-server mac-winbox

set allowed-interface-list=LAN



Muchas Gracias!!!!!

Referente al Wireguard, yo lo tenía como tú en un linux server en synology, y en cuanto pude lo pasé el Mikrotik el servidor Wireguard. Tengo el mismo router Mikrotik que tú, y la carga de cpu es mínima…. Y el synology agradece mucho más créeme que le quites la maquina virtual que la carga que va a tener el mikrotik….

Yo ahora mismo, con el wireguard funcionando, la carga de cpu del router no pasa del 2%….
 
La config está bien. Se le puede dar una vuelta de tuerca más, pero por el firewall no te preocupes, que el que trae por defecto el equipo es bueno.

WireGuard no te funciona porque tienes un puerto TCP abierto, y el protocolo va por UDP.

Saludos!
 
Genial, me quedo más tranquilo, gracias!!!,

en cuanto a Wireguard tengo el 51820 en udp y el 51821 en tcp.... el TCP es para acceder a la interfaz gráfica (tal que así estaba en el Asus y funcionaba perfecto)

De todas formas, esta tarde miraré para pasarlo al Mikrotik :)
 
Genial, me quedo más tranquilo, gracias!!!,

en cuanto a Wireguard tengo el 51820 en udp y el 51821 en tcp.... el TCP es para acceder a la interfaz gráfica

De todas formas, esta tarde miraré para pasarlo al Mikrotik :)
WireGuard es UDP, no le des más vueltas. Olvídate del TCP (o abre ambos).

WireGuard securely encapsulates IP packets over UDP.

Saludos!
 
Ya he conseguido que funcione aunque no encuentro la lógica, he borrado todos los clientes de la vpn y los he vuelto a crear y ya funciona sin problema jeje... De todas formas probaré desde Mikrotik.... Mil gracias
 
Por cierto, en la v7 y en ese modelo de equipo, te puedes ahorrar el “protocol-mode=none” en el bridge. Ese modelo ya soporta R-STP, sin perder el hardware offloading.

Saludos!
 
Genial, me quedo más tranquilo, gracias!!!,

en cuanto a Wireguard tengo el 51820 en udp y el 51821 en tcp.... el TCP es para acceder a la interfaz gráfica (tal que así estaba en el Asus y funcionaba perfecto)

De todas formas, esta tarde miraré para pasarlo al Mikrotik :)

Ni te lo pienses, en serio…. date cuenta, que al final quitas un intermediario y vas directo contra el Router… en vez de cliente-router-synology, solamente cliente-router… Más limpio, te quitas maquinas virtuales, recursos del NAS, y le das algo de vidilla al mikrotik, que para el Wireguard, ni lo va a notar en rendimiento…. Se les puede exprimir muy muy mucho…. Y traga lo que no está escrito
 
Por cierto, en la v7 y en ese modelo de equipo, te puedes ahorrar el “protocol-mode=none” en el bridge. Ese modelo ya soporta R-STP, sin perder el hardware offloading.

Saludos!
Perdonad que me entrometa. Yo también tengo así configurado el bridge debido a la migración desde la versión 6

¿Cuál es la mejor forma de ponerle protocol-mode=rstp sin que se descuajeringue la red? Sólo si vale la pena, si no lo dejo como está con none...
 
Perdonad que me entrometa. Yo también tengo así configurado el bridge debido a la migración desde la versión 6

¿Cuál es la mejor forma de ponerle protocol-mode=rstp sin que se descuajeringue la red? Sólo si vale la pena, si no lo dejo como está con none...
No se descuajeringa nada, con ninguno de los dos modos. Pero ahora puedes hacer uso de rstp sin perder la aceleración a nivel hardware, en ese equipo. RSTP es el valor por defecto, el cual protege tu red de un posible bucle en L2.

Saludos!
 
No se descuajeringa nada, con ninguno de los dos modos. Pero ahora puedes hacer uso de rstp sin perder la aceleración a nivel hardware, en ese equipo. RSTP es el valor por defecto, el cual protege tu red de un posible bucle en L2.

Saludos!
Es que he intentado cambiarlo usando WebFig y se me ha colgado la red y he tenido que reiniciar el router (y me ha vuelto a salir con protocol-mode=none)
 
Es que he intentado cambiarlo usando WebFig y se me ha colgado la red y he tenido que reiniciar el router (y me ha vuelto a salir con protocol-mode=none)
Que se te cuelgue la red momentáneamente es normal, estás tocando ro bridge lan. Hazlo por consola, debería hacerlo y volver a la vida en unos segundos.

Saludos!
 
Que se te cuelgue la red momentáneamente es normal, estás tocando ro bridge lan. Hazlo por consola, debería hacerlo y volver a la vida en unos segundos.

Saludos!
Ok, tienes razón, ya funciona. Es que me he quedado sin red unos minutos y se ve que no tengo demasiada paciencia :)

¡Gracias!
 
Arriba