Nuevo y con todo por hacer

Encuen · 1 Julio 2022

Buenas a todos.

Hace 4 días decidí pasarme a la vida en manual y olvidarme de la vida en Auto (HGU) tras sufrir problemas con la redirección de puertos del HGU, el 443 etc, nada nuevo... así que me puse a leer y tras la planificación inicial de poner un router neutro y con la premisa de haber oído hablar de los Mikrotik... aquí estoy, fascinado tras leer creo que todos los hilos sobre configuraciones, setups, etc. intentando ver la luz...

Es encomiable el trabajazo que os pegáis para explicar las cosas, sinceramente alucinante.

Para no aburrir, e ir al grano, os comento lo que tengo/necesito:

Casa/oficina con 2 plantas:
-- ARRIBA: entrada de línea, HGU Mitrastar + Mikrotik Hex S RB760iGS + Switch QNAP qsw-1208-8c (10Gb, 12 puertos, no gestionable) + QNAP NAS + 2 PCs + AP Ubiquiti 6 LR. El servidor y los Pcs están en 10Gb etc por necesidad del trabajo, el resto 1Gb.

De esta planta sale un único cable de red (no puedo meter otro más porque va por dentro de la casa y no hay hueco) hasta la planta de abajo.

-- ABAJO: EL cable llega a un SWITCH UBIQUITI 16 PoE al que se conecta el DescoTV + TV y más aparatos + otro AP Ubiquiti + 2 cámaras

Movistar lo tengo con todo: Internet, TV y Teléfono.
Internet con IP fija.

He probado a montar una ONT de Huawei HG8240H (original de Movistar), con su IDONT puesto, pero no consigo que funcione el tlf, y tras leer los 2/3 hilos y alguna web más sobre lo que pasa con las OLT etc, dudo que lo pueda poner en marcha(mañana va a probar el técnico de Movistar a meter el SIP desde la central a ver...), por lo que me imagino que tendré que poner el HGU en monopuesto y pasar tlf por el HGU, y no sé si tv también, aunque con la limitación de tener un único cable que baja a la planta de abajo, no se si habrá alguna opción.

Me imagino que tras todo lo que he leído, y corregirme si me equivoco, todo lo que pueda meter por el Switch/es, mejor.

El objetivo principal de liarla parda como dicen en mi casa es que tengo clientes que acceden a mi servidor desde sus oficinas, alojo 5-6 webs etc. (de ahí la historia a la hora de enmascarar y redireccionar puertos, IP etc...)

Pues con toda esa info, tengo un palet de dudas, conocimientos de cacharreo en redes el justo, pero me atrevo con lo que sea. Mi Mikrotik-empanada es inmensa, hasta el punto de que tras upgradear el router a la 7.3.1 (10 minutos xa saber dónde meterlo etc..) no sé ni cómo poner la IP fija (quick set, Address Acq... Static, si, pero el Gateway npi), es un ejemplo.

Agradecería infinito la ayuda, sinceramente.

Muchísimas gracias.

pokoyo · 1 Julio 2022

Encuen dijo:
Buenas a todos.

Hace 4 días decidí pasarme a la vida en manual y olvidarme de la vida en Auto (HGU) tras sufrir problemas con la redirección de puertos del HGU, el 443 etc, nada nuevo... así que me puse a leer y tras la planificación inicial de poner un router neutro y con la premisa de haber oído hablar de los Mikrotik... aquí estoy, fascinado tras leer creo que todos los hilos sobre configuraciones, setups, etc. intentando ver la luz...

Es encomiable el trabajazo que os pegáis para explicar las cosas, sinceramente alucinante.

Para no aburrir, e ir al grano, os comento lo que tengo/necesito:

Casa/oficina con 2 plantas:
-- ARRIBA: entrada de línea, HGU Mitrastar + Mikrotik Hex S RB760iGS + Switch QNAP qsw-1208-8c (10Gb, 12 puertos, no gestionable) + QNAP NAS + 2 PCs + AP Ubiquiti 6 LR. El servidor y los Pcs están en 10Gb etc por necesidad del trabajo, el resto 1Gb.

De esta planta sale un único cable de red (no puedo meter otro más porque va por dentro de la casa y no hay hueco) hasta la planta de abajo.

-- ABAJO: EL cable llega a un SWITCH UBIQUITI 16 PoE al que se conecta el DescoTV + TV y más aparatos + otro AP Ubiquiti + 2 cámaras

Movistar lo tengo con todo: Internet, TV y Teléfono.
Internet con IP fija.

He probado a montar una ONT de Huawei HG8240H (original de Movistar), con su IDONT puesto, pero no consigo que funcione el tlf, y tras leer los 2/3 hilos y alguna web más sobre lo que pasa con las OLT etc, dudo que lo pueda poner en marcha(mañana va a probar el técnico de Movistar a meter el SIP desde la central a ver...), por lo que me imagino que tendré que poner el HGU en monopuesto y pasar tlf por el HGU, y no sé si tv también, aunque con la limitación de tener un único cable que baja a la planta de abajo, no se si habrá alguna opción.

Me imagino que tras todo lo que he leído, y corregirme si me equivoco, todo lo que pueda meter por el Switch/es, mejor.

El objetivo principal de liarla parda como dicen en mi casa es que tengo clientes que acceden a mi servidor desde sus oficinas, alojo 5-6 webs etc. (de ahí la historia a la hora de enmascarar y redireccionar puertos, IP etc...)

Pues con toda esa info, tengo un palet de dudas, conocimientos de cacharreo en redes el justo, pero me atrevo con lo que sea. Mi Mikrotik-empanada es inmensa, hasta el punto de que tras upgradear el router a la 7.3.1 (10 minutos xa saber dónde meterlo etc..) no sé ni cómo poner la IP fija (quick set, Address Acq... Static, si, pero el Gateway npi), es un ejemplo.

Agradecería infinito la ayuda, sinceramente.

Muchísimas gracias.

Me tienes a tu disposición, dime dónde quieres llegar, y así haremos.

Lo primero es dibujar el setup: ¿te importa hacer un boceto de cómo tienes los equipos conectados por planta y a dónde quieres llegar? Me queda claro que quieres meter un 760 en la ecuación (al lado del resto de equipos se verá ridículo, pero tiempo tienes de meter algo más grande).

Me comentas también que tienes IP estática. Hasta donde yo sé, vamos a trabajar igual que si fuera dinámica, porque creo tu operador, corrígeme si me equivoco, la entrega por PPPoE igualmente. La única salvedad es que nuestras reglas de NAT van a ser ligeramente distintas, aprovechando ese puntito extra de la conexión estática.

Tema switches: sí, todo lo que puedas, al switch. Idealmente al router sólo iría un cable, el del switch qnap. Si el router fuera 10G, podrías incluso mantener dicha troncal, pero tampoco tiene mucho sentido si la línea de salida no lo es.
El switch PoE de abajo, ¿es gestionable? Porque nos vendría de lujo para poder chutarle la tv por una vlan aparte.

Por último: no te ofusques en cambiar el HGU por una ONT. En tu caso, teniendo TV, probablemente pierdas más que ganes. Si te lo hacen, bien. Sino, también. Como no me gusta demasiado configurar la tv en Mikrotik, casi mejor si lo dejas y podemos hacer la config de los dos cables (ya entenderás a qué me refiero).

Primeros pasos: de momento, no conectes el mikrotik a tu infraestructura, que ya la tendrás funcionando. Si ya has actualizado el equipo a la última versión estable (7.3.1 ahora mismo, aunque tiene algún bug, nos vale), dale un System -> Reset configuration y no marques ninguna opción. Hecho esto, y cuando el equipo reinicie, accede a él vía winbox (IP 192.168.88.1) y ejecuta el quick set. Simplemente selecciona como tipo de conexión PPPoE, e introduce usuario y contraseña del mismo, sin tocar nada más. Le das aplicar.
Ahora navegas a System -> Users y añades un usuario propio con permisos del grupo "full", y borras el usuario "admin". Y listo.

Ese equipo ya estaría listo para poner el HGU en monopuesto y colocarlo detrás. Ahora simplemente dime qué puertos tenemos que abrir y dónde, y lo vamos configurando, para que quede todo listo antes de que hagas el cambio de equipos.

Saludos!

Encuen · 1 Julio 2022

Muchas gracias por la rápida respuesta.

Por un lado adjunto el diagrama. El switch de la planta baja si lo paso primero por el Switch Qnap, la app de Ubiquity no me muestra la topología, pero lo he cambiado hace un rato y funciona todo correctamente, por lo que si consideráis que es mejor para el rendimiento lo paso por el switch Qnap primero, lo único es que no veo el esquema, y para mi es irrelevante (rendimiento/fiabilidad > postureo). A saber si cuando meta el Mikrotik será visible, pero es mi última prioridad.

pokoyo dijo:
El switch PoE de abajo, ¿es gestionable? Porque nos vendría de lujo para poder chutarle la tv por una vlan aparte.

El switch de la planta baja es el Ubiquity USW-Lite-16-PoE (https://store.ui.com/collections/unifi-network-switching/products/usw-lite-16-poe) es gestionable (así que suerte que tengo).

pokoyo dijo:
Como no me gusta demasiado configurar la tv en Mikrotik, casi mejor si lo dejas y podemos hacer la config de los dos cables (ya entenderás a qué me refiero).

Sí, precisamente comentaba lo del "único cable que va hacia la planta baja" porque vi la configuración de dos cables, y pensé que si el tema era tirar dos cables del HGU a la planta baja no podría, si es que va por ahí esa setup, pero desconozco donde irían, pero cuando toque ya me diréis.

pokoyo dijo:
Primeros pasos: de momento, no conectes el mikrotik a tu infraestructura, que ya la tendrás funcionando. Si ya has actualizado el equipo a la última versión estable (7.3.1 ahora mismo, aunque tiene algún bug, nos vale), dale un System -> Reset configuration y no marques ninguna opción. Hecho esto, y cuando el equipo reinicie, accede a él vía winbox (IP 192.168.88.1) y ejecuta el quick set. Simplemente selecciona como tipo de conexión PPPoE, e introduce usuario y contraseña del mismo, sin tocar nada más. Le das aplicar.
Ahora navegas a System -> Users y añades un usuario propio con permisos del grupo "full", y borras el usuario "admin". Y listo.

Lo tengo conectado a otra tarjeta de red directo al PC y nada más, como leí en los primeros pasos. Actualizado a la 7.3.1, reseteado, datos PPPoE de telefónica metidos. Usuario creado y admin eliminado. Soy de los que se comía todo lo que había en plato de pequeño.

Y ahora sobre los puertos.
Lo "único" que necesito de acceso desde el exterior son 3 puertos (luego ya iría añadiendo más cuando vea cómo va para afinar la configuración, necesidades, etc.). Los dos primeros son para navegación web (80 y 443) para que el Apache que tengo en el QNAP (actualmente 192.168.1.100 que pasaría a ser la 198.168.88.100, supongo) se los coma por los puertos de escucha del apache 4488 y 448. [80>4488 y el 443>448]. Aquí lanzo una pregunta que no sé si procede o no: ¿En el apache debería hacer Reverse Proxy para enmascarar esos puertos o el propio router podría hacerlo?

El tercer puerto sería para gestionar el servidor de forma remota, supongamos el 45000 y para crear enlaces de carpetas compartidas a los clientes del trabajo y que accedan por ahí.

Creo que no se me olvida nada

Gracias de nuevo.

pokoyo · 1 Julio 2022

Perfecto, te veo lanzadísimo! El esquema está perfecto, mantenlo así. Si el switch de abajo es gestionable, nos viene que ni pintado para montar la config de los dos cables, y dejar al HGU con lo que mejor sabe hacer: encargarse de la IPTV. Los dos cables van del HGU al mikrotik, no hacia abajo, descuida (ves si quieres echándole un vistazo https://www.adslzone.net/foro/mikrotik.199/nueva-config-hgu-movistar-doscables.584235/)

Encuen dijo:
Lo tengo conectado a otra tarjeta de red directo al PC y nada más, como leí en los primeros pasos. Actualizado a la 7.3.1, reseteado, datos PPPoE de telefónica metidos. Usuario creado y admin eliminado. Soy de los que se comía todo lo que había en plato de pequeño

Ya veo ya, jejeje, a tope!

Encuen dijo:
Y ahora sobre los puertos.
Lo "único" que necesito de acceso desde el exterior son 3 puertos (luego ya iría añadiendo más cuando vea cómo va para afinar la configuración, necesidades, etc.). Los dos primeros son para navegación web (80 y 443) para que el Apache que tengo en el QNAP (actualmente 192.168.1.100 que pasaría a ser la 198.168.88.100, supongo) se los coma por los puertos de escucha del apache 4488 y 448. [80>4488 y el 443>448]. Aquí lanzo una pregunta que no sé si procede o no: ¿En el apache debería hacer Reverse Proxy para enmascarar esos puertos o el propio router podría hacerlo?

Se puede hacer como quieras, pero si tienes opción de un proxy reverso en el qnap que puedas configurar, mejor que mejor. Vas a simplificar el tema puertos al máximo y te va a permitir configurar subdominios para alojar tantas webs como quieras, manteniendo abiertos únicamente el 80 y el 443 (y yo el 80 me lo calzaba, https para todo con un certificado de tipo wildcard y lo tienes montado en un periquete). Ya veremos esto, descuida.

Si no quieres cambiar el rango de IPs de los chismes que tengas estáticos en casa, ponemos el router a funcionar en el rango que ya tienes. Pero te diría que evites los comunes, incluso que evites el .88 de mikrotik, puesto que a la que compres otro chisme de la marca, ya la tienes liada. Y, de aquí en adelante, nada de IPs estáticas metidas a piñón en los equipos finales, las que necesites estáticas, se reservan por DHCP en el mikrotik y andando, que para eso has montado un buen router.

Lo único que no me gusta es lo último que has planteado: acceso remoto a un fileserver vía mapeo de puertos. Hay una forma mucho mejor y más segura de hacer eso, simplemente montando una VPN.

Si mañana por la mañana tienes un rato, lo apañamos todo. Ves mirando por tu lado como taggear un puerto en el switch ubiquiti para usar una vlan concreta, y cómo montar el proxy reverso en qnap (en synology se hace desde la parte de aplicaciones, supongo que este será similar ). Lo guapo del proxy reverso es que no hace falta montar la web en https para que funcione por ese protocolo, con mapear el proxy reverso te vale, aunque el destino sea http plano.

Saludos!

Encuen · 2 Julio 2022

pokoyo dijo:
Si no quieres cambiar el rango de IPs de los chismes que tengas estáticos en casa, ponemos el router a funcionar en el rango que ya tienes. Pero te diría que evites los comunes, incluso que evites el .88 de mikrotik

Lo cambio todo a 192.168.10.xxx por ejemplo, sin problema.

pokoyo dijo:
Y, de aquí en adelante, nada de IPs estáticas metidas a piñón en los equipos finales

Ya las estoy quitando todas... tienes una bola de cristal?

pokoyo dijo:
simplemente montando una VPN.

Lo tenía pensado para después de tener la "primera fase" apañada y funcionando, pero si es mejor, lo pongo.

pokoyo dijo:
Ves mirando por tu lado como taggear un puerto en el switch ubiquiti para usar una vlan concreta

He visto esto, pero no se si estoy poniendo bien lo que serían los parámetros, fijo que tiene 20 errores

(el DHCP server IP no se cuál sería, imagino que el MK -futuro 192.168.10.1),. y el rango de DHCP no se si habría que dejarlo así o acotarlo o hacer un cocido con él...

Investigando el Reverse Proxy en QNAP....

pokoyo · 2 Julio 2022

Buenos días, revisemos esto:

Encuen dijo:
Lo cambio todo a 192.168.10.xxx por ejemplo, sin problema.

Si lo haces, sigue estos pasos: reset al equipo y, desde el quick set, cambias tanto la dirección del router como el rango del DHCP (defines como conexión PPPoE con user/password, como antes). Una vez hecho, y por fuera del quick set, tenemos que corregir un pequeño bug que tiene el quick set desde hace un tiempo (lo tengo reportado, pero se ve que está en su última lista de prioridades), que deja como IP 192.168.88.1 el DNS que entrega por DHCP. Para corregirlo, ya en la interfaz general de winbox (fuera del quick set), navegas a IP -> DHCP Server -> Networks (pestaña) y verás que el campo address tiene la 192.168.10.0/24, el campo gateway tiene la 192.168.10.1, sin embargo, en DNS Servers, sigue teniendo la 192.168.88.1. Esa última IP hay que cambiarla por 192.168.10.1

Una vez los clientes empiecen a conectarse al router por DHCP, fijas las IP's que quieras en la pestaña "Leases" de ese mismo menú. Para fijar una IP, una vez localizada entre la lista de leases (préstamos) que tiene el dhcp server, das doble click en esa entrada y pulsas el botón "make static". Hecho. esto, cierras y vuelves a abrir la misma entrada, y ahora verás que es editable. Por defecto, el router mantiene un pequeño pool de direcciones (de la .2 a la .9) antes del pool dhcp (puedes ver el tamaño del pool en IP -> Pool). Yo suelo agrandar ese espacio, dependiendo de los cacharos que quieras tener por IP reservada, hasta por ejemplo el 20 0 25, quedando un pool 192.168.10.20 - 192.168.10.254. Pues, las que voy reservando en el DHCP, las voy metiendo en ese espacio, tal que me resulte muy sencillo identificar si la IP de un chisme está reservada o no. Como ves, aquí puedes jugar y reservar IPs tanto dento como fuera del Pool del DHCP, el router no se queja por eso. Si lo haces de este modo, de un simple vistazo verás que si la IP va de la .2 a la .19, es reservada, y si es cualquier otra superior, es dinámica y susceptible de cambiar.

Encuen dijo:
He visto esto, pero no se si estoy poniendo bien lo que serían los parámetros, fijo que tiene 20 errores (el DHCP server IP no se cuál sería, imagino que el MK -futuro 192.168.10.1),. y el rango de DHCP no se si habría que dejarlo así o acotarlo o hacer un cocido con él...

Vas mal por ahí. Esa es la página de admin del controller, no del switch en concreto. Y creo que tu modelo de switch, por lo que he estado mirando en la web del fabricante, no lleva VLANs (o al menos yo no he encontrado ningún datasheet o manual donde diga que las lleva). Si esto es así, tenemos dos opciones:

- a) cambiar el HGU por una ONT y configurar la parte de TV en el router de mikrotik
- b) coger un mikrotik más grande para alinearlo con lo que tienes arriba montado y bajar el hEX-S abajo como switch con soporte para VLANs.

Ya me dices tú por dónde tiramos. Si quieres, y no te importa dejar a la familia sin movistar plus (lo podrás seguir viendo vía app, pero no vía desco), puedes probar a montar momentáneamente el mikrotik y ver cómo se comporta la red, aprovechando que es fin de semana y le causarás menos dolor de cabeza a los que tienen las webs contigo (sorry, we're under maintenance

) Para ello, sólo necesitas logarte en el HGU y ponerlo en monopuesto, desde la interfaz principal. Hecho esto, conecta el puerto 1 del HGU a la boca 1 del hEX-S, y saldrá andando.

Saludos!

Encuen · 2 Julio 2022

Buenas, me estoy poniendo ahora, no he podido antes.

pokoyo dijo:
Una vez hecho, y por fuera del quick set, tenemos que corregir un pequeño bug que tiene el quick set

Súper bien explicado y resuelto, me he ido al rango 192.168.100.xxx, caprichos...

pokoyo dijo:
Vas mal por ahí. Esa es la página de admin del controller, no del switch en concreto. Y creo que tu modelo de switch, por lo que he estado mirando en la web del fabricante, no lleva VLANs (o al menos yo no he encontrado ningún datasheet o manual donde diga que las lleva).

Navegando por intenet sí veo que tenga VLANs el switch, documentación explícita de Ubiquiti no hay como tal, llevan la impronta de Apple de 3 dibujitos por manual y hale, pero en foros, vídeos de Yotube etc sí meten VLANs, lo único que confunde un poco porque no existe interfaz como tal del switch, se hace desde la interfaz del controller.

En este Vídeo de Crosstalk Solutions de Youtube (un tío que seguí bastante cuando monté la red hace un año y explica y habla muy bien) se puede ver, pero ojo, que yo no sabía lo que era una VLAN hasta hace 3 días

, y seguramente esté confundido, pero aquí y allá la gente mete VLANs etiquetadas.

En este enlace en español también explica cómo hay que hacer la configuración, si es que funcionaría en mi caso, esperemos que si.

En cualquier caso, como dices, monto la red primero y luego ya nos peleamos con la IPTV y la VLAN, que sin tv se puede vivir unas horas/días y nadie se muere. Prioridad RED > Puertos > acceso a las webs > ... > IPTV

Voy a conectar y te cuento. Una vez más, gracias

pokoyo · 2 Julio 2022

Perfecto, si soporta vlans, mejor que mejor. Desde el momento en el que tienes que pasar más de un servicio por un único cable, necesitas usar VLANs (tal y como te llegan a ti por la fibra).

Lo que persigo es que el Mikrotik controle la red, pero de la IPTV se siga encargando el HGU. Si tuvieras el desco arriba, sería tan fácil como dejar el desco conectado al HGU. Pero como lo tienes debajo y no tienes la opción de pasar otro cable, tu mejor opción es encapsular ese tráfico en una VLAN. Abajo, recuperarás ese tráfico encapsulado, quitándole el tag de VLAN y asociándolo a un puerto concreto donde va conectado el desco.

Pero la pantalla que me enseñaste se usa para definir una red entera, con su DHCP y todo el jaleo. En nuestro caso, lo único que necesitamos es etiquetar un puerto concreto del switch para una vlan específica (la 22 o la que se te ocurra para este propósito, el número es lo de menos).

Saludos!

Encuen · 2 Julio 2022

Pues esto funciona...

El tema VLAN para la IPTV lo dejo para mañana. Ahora voy a pelearme para abrir puertos y redirigirlos al NAS, de momento para dejar las webs operativas.

Encuen · 3 Julio 2022

Los dominios públicos ya acceden al Apache del NAS, lo conseguí tras leer el truco del Hairpin NAT que viene en Tips & tricks, si me limitaba a redirigir los puertos me aparecía la pantalla del login del router.

Ahora mi duda es de concepto: En este momento el tráfico de entrada por 80 y 443 se va al NAS a los puertos 4488 y 448, hasta ahí es así. Pero la parte del proxy inverso del QNAP. ¿Debería quedar así? Como no es algo que se pueda comprobar por sí mismo si funciona o no...

No sé si estoy diciendo una barbaridad o no

Gracias!!

pokoyo · 3 Julio 2022

Buenos días compi.

Cuando puedas, pásame un export de cómo queda tu router ahora mismo, que tenemos que hace run pequeño cambio. Si tienes IP estática, no te conviene trabajar con reglas de masquerade en el nat, mucho menos eficiente que una regla de src-nat a la IP concreta que tengas contratada. Te paso un ejemplo de cómo quedaría tu regla de masquerade, convertida en una regla de src-nat:
Ahora mismo, tendrás algo así:

Código:

/ip firewall nat
add action=masquerade chain=srcnat ipsec-policy=out,none out-interface-list=WAN

Y tenemos que conseguir que quede algo así:

Código:

/ip firewall nat
add action=src-nat chain=srcnat ipsec-policy=out,none out-interface=pppoe-out1 to-addresses=AA.BB.CC.DD

Siendo AA.BB.CC.DD tu IP pública. Si quieres, puedes dejar ambas reglas en el NAT, una seguida de la otra (primero la cd src-nat, luego la de masquerade) tal que si algún día te da por prescindir de la IP pública estática (ya hablaremos de ello, te la puedes ahorrar ahora), simplemente elimines la primera regla del NAT y la segunda la dejes funcionando tal y como te la creó el router originalmente.

Al igual que antes, teniendo IP pública estática, las reglas de apertura de puertos cambian un pelín, pudiendo ser mucho más específicas, incluida la del hairpin NAT, que se hace de otra manera.

Tema proxy reverso: la gracia de un proxy reverso es poder exponer varias webs a internet usando un mismo dominio, incluso si esos recursos no son seguros (no tienen https y un certificado propio). La idea es la siguiente:

Es decir, tú a internet expones un único punto, el Proxy. Y, detrás, puede haber un webserver, 10, 100 o lo que te parezca. La terminación del TLS (el certificado del navegador) termina en el Proxy, no en el webserver, de tal manera que el webserver lo puedes tener como te de la gana, mientras que el proxy esté correctamente securizado. La comunicación con el webserver siempre es interna, y sólo la hace el proxy (puedes restringir el tráfico únicamente a la IP del proxy o a la red local, que sí que accederían directos al webserver). Imaginemos que tienes el dominio "pericopalotes.com" y que quieres exponer tres webs a internet. El único puerto que abrirías en el router sería el 443, hacia la IP del proxy reverso. Ahí se terminaría la validación del certificado, tu petición de internet llegaría hasta ahí. Ahora, el proxy reverso, basándose en unas reglas (normalmente por subdominio o por path) decidiría a cuál de los virtualhost le tiraría la petición. En tu tabla del proxy reverso, tendrías algo así:

Nombre de la regla	Origen	Destino
La web de los párajos	https://www.pericopalotes.com/pajaros	192.168.10.10:1234
La web de los gatos	https://www.pericopalotes.com/gatos	192.168.10.10:1235
La web de los perros	https://www.pericopalotes.com/perros	192.168.10.10:1236
El router, expuesto de forma segura	https://router.pericopalotes.com	192.168.10.1:80

Y así sucesivamente. Como ves, de lo que se trata es de darle un patrón a identificar al proxy, bien sea por path (/pajaros, /perros, /gatos) o por subdominio (xxx/yyy/zzz.pericoeldelospalotes.com). De esta manera, tú expones un único puerto a internet, el 443 y sólo para el proxy reverso. Securizas ese endpoint con su certificado, y de lo demás te olvidas (como ves, los targets son IP's locales y a un puerto concreto, ni si quiera https). Los endpoints a los que apuntan pueden ser distintas máquinas de tu red local, contenedores docker, otra web que no alojes tú... en fin, lo que se te plante.

De la manera que tú lo montas, has de tener cuidado con cada instancia del apache que tengas expuesta a internet. Con un proxy, sólo necesitas atender correctamente el proxy, y puedes incluso cerrar el tráfico del webserver únicamente a la red local, que es desde donde va a recibir la petición (la petición web termina en el proxy, y el proxy lanza su propia petición).

Según me pintas tu tabla, ahora mismo tu proxy reverso no pinta nada, porque sólo añade una capa. Pero, si lo planificas y lo montas bien de cara a futuro, puedes montar lo que quieras dentro de casa y exponerlo de manera segura a internet, siempre y cuando el qnap esté actualizado y el proxy reverso bien securizado.

Saludos!

Encuen · 4 Julio 2022

Buenas noches.

Disculpar la falta de agilidad para responder, pero niños+verano es una bomba nuclear a las horas normales

. Adjunto el export a ver qué tal.

Código:

# jul/04/2022 03:32:35 by RouterOS 7.3.1
# software id = 7HE5-FCXH
#
# model = RB760iGS
# serial number = HCG085FCP0N
/interface bridge
add admin-mac=18:FD:74:0B:60:BD auto-mac=no comment=defconf name=bridge
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 user=\
    adslppp@telefonicanetpa
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.1.20-192.168.1.254
/ip dhcp-server
add address-pool=dhcp interface=bridge name=defconf
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=sfp1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=pppoe-out1 list=WAN
/ip address
add address=192.168.1.1/24 comment=defconf interface=bridge network=\
    192.168.1.0
/ip arp
add address=192.168.1.3 comment="switch 16 PoE Lite" interface=bridge \
    mac-address=78:45:58:B1:42:4D
add address=192.168.1.5 comment="AP despacho" interface=bridge mac-address=\
    78:45:58:D4:0D:C1
add address=192.168.1.6 comment="AP cocina" interface=bridge mac-address=\
    78:45:58:69:C5:98
add address=192.168.1.2 comment="Unify Cloud Key Gen2" interface=bridge \
    mac-address=78:45:58:8F:0F:1D
add address=192.168.1.15 comment="CAM G3 Sal\F3n" interface=bridge \
    mac-address=68:D7:9A:E2:7F:7D
add address=192.168.1.100 comment="QNAP NAS" interface=bridge mac-address=\
    XX:XX:XX:XX:XX:XX
add address=192.168.1.200 comment=Movistar+ interface=bridge mac-address=\
    8C:61:A3:58:F7:C3
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf disabled=yes interface=ether1
/ip dhcp-server lease
add address=192.168.1.12 client-id=1:b0:6e:bf:a5:d9:3b mac-address=\
    B0:6E:BF:A5:D9:3B server=defconf
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf dns-server=192.168.1.1 gateway=\
    192.168.1.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.4.4,1.1.1.1
/ip dns static
add address=192.168.1.1 comment=defconf name=router.lan
/ip firewall address-list
add address=xxxxxxxxxxx.sn.mynetname.net list=public-ip
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment=hairspin-nat dst-address=\
    192.168.1.0/24 src-address=192.168.1.0/24
add action=src-nat chain=srcnat comment="NAT IP FIJA" ipsec-policy=out,none \
    out-interface=pppoe-out1 to-addresses=XX.POCOYO-ERES-UN-CRACK.XX
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat comment="80 a 4488" dst-port=80 in-interface=\
    pppoe-out1 log=yes protocol=tcp to-addresses=192.168.1.100 to-ports=4488
add action=dst-nat chain=dstnat comment="443 a 448" dst-port=443 \
    in-interface=pppoe-out1 log=yes protocol=tcp to-addresses=192.168.1.100 \
    to-ports=448
add action=dst-nat chain=dstnat comment=Web-Admin dst-address-list=public-ip \
    dst-port=443 protocol=tcp to-addresses=192.168.1.100 to-ports=448
add action=dst-nat chain=dstnat dst-address-list=public-ip dst-port=80 \
    protocol=tcp to-addresses=192.168.1.100 to-ports=4488
add action=dst-nat chain=dstnat comment="Teamspeak 3" dst-port=9987 protocol=\
    udp to-addresses=192.168.1.100 to-ports=9987
add action=dst-nat chain=dstnat dst-port=10011 protocol=tcp to-addresses=\
    192.168.1.100 to-ports=10011
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/system clock
set time-zone-name=Europe/Madrid
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Lo del NAT lo he entendido y ya está aplicado, lo del proxy más o menos. Entiendo el concepto, pero no sé ni cómo implementarlo, todavía me estoy haciendo a la interfaz, conceptos y mecánicas totalmente diferentes respecto de los routers de compañías, etc. Y llevo 3 días contados. La curva de aprendizaje no es sencilla, pero no será por falta de ganas

pokoyo dijo:
si algún día te da por prescindir de la IP pública estática (ya hablaremos de ello, te la puedes ahorrar ahora)

Darme lo que me da es urticaria cada vez que pago los 25 €+IVA a Movistar por la IP FIJA. Este hilo en el que comentabas del DDNS y el cname sería una opción... pero DEMASIADOS frentes abiertos recién aterrizado

De momento me voy a centrar en meter el proxy inverso y la IPTV, que somos muchos preguntando y sinceramente, a mi me da apuro cada vez que veo las respuestas tan detalladas.... infinitas gracias!!!

pokoyo · 4 Julio 2022

Encuen dijo:
Lo del NAT lo he entendido y ya está aplicado, lo del proxy más o menos. Entiendo el concepto, pero no sé ni cómo implementarlo, todavía me estoy haciendo a la interfaz, conceptos y mecánicas totalmente diferentes respecto de los routers de compañías, etc. Y llevo 3 días contados. La curva de aprendizaje no es sencilla, pero no será por falta de ganas

Olvídate si quieres de momento del proxy, si de momento sólo vas a exponer una web, no te compliques. Eso sí, asegúrate de que el servidor web está correctamente securizado.

Te digo cómo quedaría el NAT considerando 1.2.3.4 tu IP pública estática. No obstante, si te planteas quitarte los 25 lereles más iva de la IP estática, ni lo toques. Como ves, jugamos con el campo "dst-address=ippública" en lugar de con las interfaces.

Código:

/ip firewall nat
add action=src-nat chain=srcnat comment="NAT IP FIJA" ipsec-policy=out,none \
  out-interface=pppoe-out1 to-addresses=1.2.3.4
add action=masquerade chain=srcnat comment=hairpin dst-address=1.2.3.4 out-interface=bridge \
  protocol=tcp src-address=192.168.1.0/24
add action=dst-nat chain=dstnat comment="example port forward 80 a 4488" dst-port=80 dst-address=1.2.3.4 \
  protocol=tcp to-addresses=192.168.1.100 to-ports=4488
...
etc

Una pregunta, por curiosidad, ¿por qué los ARP estáticos? Si quieres fijar IP's, hazlo en IP -> DHCP Server -> Leases. Pero ojo con tocar la tabla ARP que la puedes liar.

Por otro lado, veo que elegiste el mismo rango de IP's que el HGU trae por defecto. ¿alguna razón de peso? (habíamos hablado del 192.168.10.x... curiosidad, más que nada)

Saludos!

Encuen · 5 Julio 2022

pokoyo dijo:
Te digo cómo quedaría el NAT considerando 1.2.3.4 tu IP pública estática. No obstante, si te planteas quitarte los 25 lereles más iva de la IP estática, ni lo toques. Como ves, jugamos con el campo "dst-address=ippública" en lugar de con las interfaces.

Te adjunto cómo lo he dejado, te comento más abajo:

Código:

# jul/05/2022 01:23:52 by RouterOS 7.3.1
# software id = 7HE5-FCXH
#
# model = RB760iGS
# serial number = HCG085FCP0N
/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=\
    192.168.1.0/24 src-address=192.168.1.0/24
add action=src-nat chain=srcnat comment="NAT IP FIJA" ipsec-policy=out,none \
    out-interface=pppoe-out1 to-addresses=XX.XX.XX.XX
add action=masquerade chain=srcnat comment="hairpin IP FIJA" dst-address=\
    XX.XX.XX.XX out-interface=bridge protocol=tcp src-address=\
    192.168.1.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat comment="port forward 80 a 4488" dst-address=\
    XX.XX.XX.XX dst-port=80 protocol=tcp to-addresses=192.168.1.100 \
    to-ports=4488
add action=dst-nat chain=dstnat comment="port forward 443 a 448" dst-address=\
    XX.XX.XX.XX dst-port=443 protocol=tcp to-addresses=192.168.1.100 \
    to-ports=448
add action=dst-nat chain=dstnat comment="80 a 4488 original" disabled=yes \
    dst-port=80 in-interface=pppoe-out1 log=yes protocol=tcp to-addresses=\
    192.168.1.100 to-ports=4488
add action=dst-nat chain=dstnat comment="443 a 448 original" disabled=yes \
    dst-port=443 in-interface=pppoe-out1 log=yes protocol=tcp to-addresses=\
    192.168.1.100 to-ports=448
add action=dst-nat chain=dstnat comment=Web-Admin dst-address-list=public-ip \
    dst-port=443 protocol=tcp to-addresses=192.168.1.100 to-ports=448
add action=dst-nat chain=dstnat dst-address-list=public-ip dst-port=80 \
    protocol=tcp to-addresses=192.168.1.100 to-ports=4488
add action=dst-nat chain=dstnat comment="Teamspeak 3" dst-port=9987 protocol=\
    udp to-addresses=192.168.1.100 to-ports=9987
add action=dst-nat chain=dstnat dst-port=10011 protocol=tcp to-addresses=\
    192.168.1.100 to-ports=10011

Te cuento: Si quito el primer "hairpin-nat" no veo las web desde mi PC, sólo con el segundo Hairpin no las veo, ni poniéndolo antes de la regla NAT IP FIJA ni después, necesito activarlo para poder verlas. (No sé porqué)
SObre los port forward: HE puesto las dos reglas como me has dicho ahora y bien (he dejado las antiguas desactivadas por si quito la IP Fija tenerlas a mano), pero las dos reglas que pone Web-Admin tengo que mantenerlas también porque sino no cargan las webs.

pokoyo dijo:
Una pregunta, por curiosidad, ¿por qué los ARP estáticos? Si quieres fijar IP's, hazlo en IP -> DHCP Server -> Leases. Pero ojo con tocar la tabla ARP que la puedes liar.

Los ARP estáticos están así claramente porque soy un manazas y lo he hecho ahí en lugar de en los Leases

. Ya he borrado los ARP estáticos para que los reasigne y en Leases van apareciendo, pero llevo 1h (con recarga bajada de 10 min a 1 minuto por acelerarlo) y hay 2 ó 3 que se quedan en waiting... y si los quito de Leases no aparecen. Pero funcionan, así que digo yo que aparecerán en algún momento.

pokoyo dijo:
Por otro lado, veo que elegiste el mismo rango de IP's que el HGU trae por defecto. ¿alguna razón de peso? (habíamos hablado del 192.168.10.x... curiosidad, más que nada)

Quería ponerlo en la 10, pero empezó a descojonarse todo lo de Ubiquiti, y los AP no los reconocía ni reasignándolos y ya me veía subido a la escalera desmontándolos para hacer el reset físico...., así que tuve que dejarlo en la .1 y tirar de Backup del controller de Ubiquiti. Cuando lo tenga todo funcionando y bien configurado ya lo cambiaré con más paciencia.

Una pregunta, que no he comentado hasta ahora pero busco y rebusco y no encuentro la información precisa, es sobre el MTU.
En la planta de arriba, todo lo que cuelga del Switch QNAP lo tengo con MTU 9000, el NAS con 10 Gb, la tarjeta de red de 10Gb, etc., y en la planta baja todo lo que cuelga del Switch Ubiquiti es MTU 1500 normal. La duda es:
- ¿Necesito que la salida SFP del Mikrotik, que es la que entra la Switch QNAP vaya a 9000? (Si es así tendría que poner un router con MTU >9000, como el RB5009, que era el que quería comprar al principio pero no hay stock en ninguna parte)
- Si es el caso, como espero, que se gestione en el Switch QNAP y no tengo que cambiar el router, convendría poner la NIC secundaria que tengo para navegar por internet con MTU 1500.
Esto da para otro hilo

Un saludo !!

pokoyo · 5 Julio 2022

Encuen dijo:
Te cuento: Si quito el primer "hairpin-nat" no veo las web desde mi PC, sólo con el segundo Hairpin no las veo, ni poniéndolo antes de la regla NAT IP FIJA ni después, necesito activarlo para poder verlas. (No sé porqué)
SObre los port forward: HE puesto las dos reglas como me has dicho ahora y bien (he dejado las antiguas desactivadas por si quito la IP Fija tenerlas a mano), pero las dos reglas que pone Web-Admin tengo que mantenerlas también porque sino no cargan las webs.

Mea culpa. Lo hice ayer deprisa y corriendo y me colé al montar la regla. La regla de hairpin siempre trabaja con direcciones locales, y de lo que se encarga es de devolver el tráfico por donde toca, por la IP pública, haciendo un masquerade. Bien hecho todo tu NAT, yo dejaría el NAT así:

Código:

/ip firewall nat
add action=src-nat chain=srcnat comment=nat-estatico ipsec-policy=out,none \
  out-interface=pppoe-out1 to-addresses=1.2.3.4
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=192.168.1.100 \
  out-interface-list=LAN protocol=tcp src-address=192.168.1.0/24
add action=masquerade chain=srcnat comment=nat-masquerade ipsec-policy=out,none \
  out-interface-list=WAN
add action=dst-nat chain=dstnat comment="forward 80 a 4488" dst-address-list=\
  public-ip dst-port=80 protocol=tcp to-addresses=192.168.1.100 to-ports=4488
add action=dst-nat chain=dstnat comment="forward 443 a 448" dst-address-list=\
  public-ip dst-port=443 protocol=tcp to-addresses=192.168.1.100 to-ports=448
add action=dst-nat chain=dstnat comment="Teamspeak 3" dst-address-list=\
  public-ip dst-port=9987 protocol=udp to-addresses=192.168.1.100 to-ports=9987
add action=dst-nat chain=dstnat comment="Open 10011"  dst-address-list=\
  public-ip dst-port=10011 protocol=tcp to-addresses=192.168.1.100 to-ports=10011

De esa manera, prácticamente no hace falta ni que toques las reglas cuando pases a IP dinámica. Con el truco de la lista "public-ip", las reglas de apertura de puertos "dst-nat" harán exactamente lo mismo con IP dinámica que con estática. Y, cuando tu IP cambie a dinámica, con comentar o eliminar la primera regla, deberías tenerlo todo funcionando de manera idéntica. La tercera regla, verás que ahora no recibe tráfico, y es normal, puesto que todo el tráfico que sale a internet lo hace por la primera. También he usado en el hairpin la lista LAN como filtro, en lugar del bridge, por si en algún momento quieres implementar VLANs (tu VLAN principal tendría que estar dentro de la lista LAN para que todo siga funcionando). Al igual que antes, cuando veas la IP 1.2.3.4 significa que ahí va tu IP pública estática.

Encuen dijo:
Los ARP estáticos están así claramente porque soy un manazas y lo he hecho ahí en lugar de en los Leases . Ya he borrado los ARP estáticos para que los reasigne y en Leases van apareciendo, pero llevo 1h (con recarga bajada de 10 min a 1 minuto por acelerarlo) y hay 2 ó 3 que se quedan en waiting... y si los quito de Leases no aparecen. Pero funcionan, así que digo yo que aparecerán en algún momento.

Los leases que se quedan en waiting son los de equipos que tienes con IP estática (no hacen petición DHCP) o simplemente que están apagados. Simplemente quita las IP's estáticas y los verás aparecer en la tabla. Vuelve a dejar el lease time a 10m, que sino vas a incrementar mucho el tráfico en la red de peticiones del DHCP, innecesarias.

Encuen dijo:
Quería ponerlo en la 10, pero empezó a descojonarse todo lo de Ubiquiti, y los AP no los reconocía ni reasignándolos y ya me veía subido a la escalera desmontándolos para hacer el reset físico...., así que tuve que dejarlo en la .1 y tirar de Backup del controller de Ubiquiti. Cuando lo tenga todo funcionando y bien configurado ya lo cambiaré con más paciencia.

Sospecho que por tener algo metido a manija con IP estática. No corre prisa, pero más temprano que tarde, evita esta subred, especialmente si tienes un HGU delante. En monopuesto, el DHCP del HGU sigue funcionando para la parte de TV, y usa exactamente el mismo rango. Si no quieres colisiones, te recomiendo enfáticamente mover la subred a otra distinta.

Encuen dijo:
Una pregunta, que no he comentado hasta ahora pero busco y rebusco y no encuentro la información precisa, es sobre el MTU.
En la planta de arriba, todo lo que cuelga del Switch QNAP lo tengo con MTU 9000, el NAS con 10 Gb, la tarjeta de red de 10Gb, etc., y en la planta baja todo lo que cuelga del Switch Ubiquiti es MTU 1500 normal. La duda es:
- ¿Necesito que la salida SFP del Mikrotik, que es la que entra la Switch QNAP vaya a 9000? (Si es así tendría que poner un router con MTU >9000, como el RB5009, que era el que quería comprar al principio pero no hay stock en ninguna parte)
- Si es el caso, como espero, que se gestione en el Switch QNAP y no tengo que cambiar el router, convendría poner la NIC secundaria que tengo para navegar por internet con MTU 1500.

No te líes a jugar con Jumbo Frames, que la vas a liar. Eso está muy bien hacerlo entre dos máquinas que tienen conexión directa, punto a punto. Pero cuando metes más máquinas que confluyen en un switch que no van a funcionar con ese MTU, la cosa empieza a darte dolores de cabeza, porque para comunicarse entre sí, esas máquinas van a fragmentar la información en cachitos más pequeños y por cada transmisión tuya, se van a provocar 6 retransmisiones. Lo que ganabas por un lado, lo vas a perder por el otro. Podrías hacer que toda la red local hablara con jumbo frames, pero igualmente vas a tener que partir esos paquetes en cachitos de 1500 (en tu caso de 1492) cuando salgas a internet. Y asegurarte muy bien de que eso sucede, o experimentarás una bajada de velocidad a lo bruto cuando esos chismes necesiten usar tu conexión (en local todo volará, eso sí)

Fija el MTU a 1500 (tamaño por defecto) y verás la red volar igualmente, si entre PC y NAS se habla a 10Gbps.

Saludos!

Encuen · 5 Julio 2022

pokoyo dijo:
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=192.168.1.100 \ out-interface-list=LAN protocol=tcp src-address=192.168.1.0/24

Buenos días.

He metido todas y todo ok excepto por esta, si la meto, dejo de ver las webs externas desde aquí. Te adjunto captura.

pokoyo dijo:
(tu VLAN principal tendría que estar dentro de la lista LAN para que todo siga funcionando).

Esto no sé cómo implementarlo, lo he buscado etc, pero ni idea. ¿Afectará esto a la "doscables" cuando le meta?

Este fin de semana pondré la IP en el .10, como dices es fundamental, pues a ello! Y el MTU ya lo tengo todo en 1500

Muchas gracias, una vez más!!

pokoyo · 5 Julio 2022

Borra (o comenta) todas tus reglas y mete de golpe las mías, a ver qué hace. Si el servidor está en la 192.168.1.100, esa regla de hairpin nat debería funcionar correctamente. ¿cómo estás probando el acceso a las webs desde dentro? ¿funciona por https sí y por http no?

Si lo que no te funciona es el puerto 80, asegúrate de que tienes el webfig corriendo en otro puerto, tipo el 8080 y 8443:

Código:

ip service
set www port=8080
set www-ssl port=8443

De esa manera te aseguras de que cuando intentes acceder a tu IP pública, a los puertos 80 y 443 sólo van mapeados a tu servidor.

Saludos!

Encuen · 6 Julio 2022

Buenas noches! Ya lo he hecho, quité todo y metí las tuyas, cambié el Webfig de 80 y 443 por 8080 y 8443. Reboot y Ding! Las NAT funcionando y puedo acceder tanto con http como https, desde dentro y desde fuera.
Sólo un detalle curioso: Puedo acceder a cualquier puerto que abra en el servidor desde dentro y desde fuera, pero curiosamente, no me deja abrir el Teamspeak (192.168.1.100:9987) desde mi equipo, con el Ts3 client normal, desde el exterior pueden conectar y funciona pero yo no puedo

Si activo el Hairpin-nat (old) que viene en mi captura con dst-address 192.168.1.0/24 sí conecto desde dentro.

Aprovecho para darte las gracias nuevamente por el esfuerzo desinteresado que haces ayudando a tanta gente, es para quitarse el sombrero

No solo resuelves, sino que explicas, con paciencia, enseñas, haces que den ganas de probar y probar cosas sin miedo, una pasada.

Me pongo con la VLAN y la doscables, cambiar todo a .10 y la VPN. ¡Esto es fascinante!

pokoyo · 6 Julio 2022

No se me ocurre el porqué no te pueda estar funcionando el hairpin para otros puertos. Si fuera para otras máquinas (si te fijas, en el hairpin vamos con origen nuestra subred completa y destino la IP del servidor concreta) lo entendería, pero siendo el mismo destino, entiendo que debería funcionar a la primera.

No obstante, si te funciona mejor la otra tegla de hairpin, déjala como está, porque si la idea es quitarte la IP pública estática a futuro, te va a venir casi mejor.

Para la dos cables, todo lo que necesitamos hacer el activar el vlan filtering en el bridge y taggear el puerto que vaya a ir como segundo cable al HGU, tal que el bridge pueda manejar los el tráfico de las dos subredes sin mezclarlo. En este punto, el movimiento lógico sería mover tu LAN a una VLAN también, así que cuando creas que estás preparado para el cambio dime, y en lugar de ponernos a cambiar un .1 por un .10, creamos una vlan para tu LAN y la direccionamos aparte, y cuando lo tengamos todo funcionando borramos el rastro de la .1.

Saludos!

Encuen · 7 Julio 2022

Hoy me pondré con las VLAN para la IPTV. Anoche hice reset a todo y lo metí desde cero sin backup ni nada, limpio, para poner la .10 y va como la seda (quitando lo del hairpin, que dejo las dos y funcionando), y en 10 minutos!!

Estuve mirando la doscables y en la config inicial marcaba ether2 y ether3, pero en mi caso debería marcar ether 1 y 2, supongo.

Un saludo!!

Nuevo y con todo por hacer

Usuari@ ADSLzone

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Usuari@ ADSLzone

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Adjuntos

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Similar threads