Presentacion y unas preguntas

mrmarble · 28 Abril 2022

Buenas a todos! Soy de España y me dedico al desarrollo de software, pero de redes entiendo poco

Llevo ya una semana trasteando con mi nuevo Mikrotik RB5009UG+S+IN y una ONT Ubiquiti Loco siguiendo los manuales que hay en el foro y con ayuda de san Google lo configure todo y tengo acceso a Internet sin problemas. Me surgen un par de dudas respecto a la ONT y sobre VLANs, dejo aqui mi config (he omitido los scripts y los leases de dhcp):

NGINX:

# apr/28/2022 09:47:55 by RouterOS 7.2.1
# software id = YCKV-FGWZ
#
# model = RB5009UG+S+
# serial number = EC190F4AE01B
/interface bridge
add name=bridge-ISP
/interface ethernet
set [ find default-name=ether1 ] comment=WAN
set [ find default-name=ether2 ] comment=LAN
set [ find default-name=ether3 ] comment=LAN
set [ find default-name=ether4 ] comment=LAN
set [ find default-name=ether5 ] comment=LAN
set [ find default-name=ether6 ] comment=LAN
set [ find default-name=ether7 ] comment=LAN
set [ find default-name=ether8 ] comment=LAN
set [ find default-name=sfp-sfpplus1 ] comment=LAN
/interface vlan
add interface=ether1 name=vlan3-telefono vlan-id=3
add interface=ether1 name=vlan6-internet vlan-id=6
/interface pppoe-client
add add-default-route=yes disabled=no interface=vlan6-internet name=internet user=adslppp@telefonicanetpa
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=192.168.1.2-192.168.1.254
/ip dhcp-server
add address-pool=dhcp_pool0 interface=bridge-ISP lease-script="\r\
    \n\r\
    \n# Created Jotne 2021 v1.0\r\
    \n# Modified by diamuxin\r\
    \n\r\
    \n/ip dhcp-server lease\r\
    \n# Test if this is a Bound session and the lease is a dynamic one.\r\
    \n# Do not change older reservation.\r\
    \n:if ((\$leaseBound=1) && ([find where dynamic mac-address=\$leaseActMAC]!=\"\")) do={\r\
    \n\r\
    \n    # Get the lease number\r\
    \n    :local Lease [find mac-address=\$leaseActMAC]\r\
    \n\r\
    \n    # Get date, time and Device name\r\
    \n    :local date [/system clock get date]\r\
    \n    :local time [/system clock get time]\r\
    \n    :local DeviceName [/system identity get name]\r\
    \n\r\
    \n    # Make the lease static\r\
    \n    make-static \$Lease\r\
    \n\r\
    \n    # Get host name\r\
    \n    :local Name [get \$Lease host-name ]\r\
    \n\r\
    \n    # Add date and time as a comment to show when it was seen first time\r\
    \n    comment comment=\"\$date \$time \$Name\" \$Lease\r\
    \n\r\
    \n    :delay 2s\r\
    \n    # START Send Telegram Module\r\
    \n    :local MessageText \"\\E2\\84\\B9 \$DeviceName: Info DHCP %0D%0A Nombre: \$Name %0D%0A IP: \$leaseActIP %0D%0A MAC: \$leaseActMAC %0D%0A Comentario: \$comment\";\r\
    \n    :local SendTelegramMessage [:parse [/system script  get MyTGBotSendMessage source]];\r\
    \n    \$SendTelegramMessage MessageText=\$MessageText;\r\
    \n    #END Send Telegram Module\r\
    \n\r\
    \n    # Send a message to the log\r\
    \n    :log info message=\"DHCP Info: IP=\$leaseActIP MAC=\$leaseActMAC name=\$Name\"\r\
    \n}\r\
    \n\r\
    \n" name=dhcp1
/routing rip instance
add afi=ipv4 disabled=no name=rip
/interface bridge port
add bridge=bridge-ISP interface=ether2
add bridge=bridge-ISP interface=ether3
add bridge=bridge-ISP interface=ether4
add bridge=bridge-ISP interface=ether5
add bridge=bridge-ISP interface=ether6
add bridge=bridge-ISP interface=ether7
add bridge=bridge-ISP interface=ether8
/interface list member
add interface=ether1 list=WAN
add interface=internet list=WAN
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=ether6 list=LAN
add interface=ether7 list=LAN
add interface=ether8 list=LAN
/ip address
add address=192.168.1.1/24 interface=bridge-ISP network=192.168.1.0
add address=192.168.10.1/24 comment=ont interface=ether1 network=192.168.10.0
/ip cloud
set ddns-enabled=yes ddns-update-interval=1d
/ip dhcp-client
add add-default-route=no interface=vlan3-telefono use-peer-dns=no use-peer-ntp=no
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.140 gateway=192.168.1.1
add address=192.168.10.0/24 gateway=192.168.10.1
/ip dns
set servers=1.1.1.1
/ip firewall address-list
add address=173.245.48.0/20 comment="Cloudflare edge nodes" list=Cloudflare
add address=103.21.244.0/22 comment="Cloudflare edge nodes" list=Cloudflare
add address=103.22.200.0/22 comment="Cloudflare edge nodes" list=Cloudflare
add address=103.31.4.0/22 comment="Cloudflare edge nodes" list=Cloudflare
add address=141.101.64.0/18 comment="Cloudflare edge nodes" list=Cloudflare
add address=108.162.192.0/18 comment="Cloudflare edge nodes" list=Cloudflare
add address=190.93.240.0/20 comment="Cloudflare edge nodes" list=Cloudflare
add address=188.114.96.0/20 comment="Cloudflare edge nodes" list=Cloudflare
add address=197.234.240.0/22 comment="Cloudflare edge nodes" list=Cloudflare
add address=198.41.128.0/17 comment="Cloudflare edge nodes" list=Cloudflare
add address=162.158.0.0/15 comment="Cloudflare edge nodes" list=Cloudflare
add address=104.16.0.0/13 comment="Cloudflare edge nodes" list=Cloudflare
add address=104.24.0.0/14 comment="Cloudflare edge nodes" list=Cloudflare
add address=172.64.0.0/13 comment="Cloudflare edge nodes" list=Cloudflare
/ip firewall filter
add action=accept chain=input comment="voip: accept rip multicast traffic" dst-address=224.0.0.9 dst-port=520 in-interface=vlan3-telefono protocol=udp
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" disabled=yes in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=accept chain=forward connection-nat-state=dstnat connection-state=new in-interface=ether1
/ip firewall mangle
add action=set-priority chain=postrouting new-priority=1 out-interface=internet
add action=set-priority chain=postrouting new-priority=4 out-interface=vlan3-telefono
/ip firewall nat
add action=masquerade chain=srcnat comment="pppoe: masq public ip" out-interface=internet
add action=masquerade chain=srcnat comment="voip: masq voip" out-interface=vlan3-telefono
add action=dst-nat chain=dstnat comment="Server https" dst-port=443 in-interface=internet protocol=tcp src-address-list=Cloudflare to-addresses=192.168.1.220 to-ports=443
add action=dst-nat chain=dstnat comment="Server http" dst-port=80 in-interface=internet protocol=tcp src-address-list=Cloudflare to-addresses=192.168.1.220 to-ports=80
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh address=192.168.1.0/24
set api disabled=yes
set api-ssl disabled=yes
/routing rip interface-template
add instance=rip interfaces=vlan3-telefono mode=passive
/snmp
set enabled=yes
/system clock
set time-zone-name=Europe/Madri

En el post de Tips & Tricks, hay un comentario sobre como acceder a la ONT a traves del router, he seguido la guia pero no consigo acceder, la ONT tiene la IP 192.168.10.2 y la interfaz eth1 tiene la 192.168.10.1, desde mi pc puedo hacer un ping a 192.168.10.1, pero 192.168.10.2 no responde, si hago un ping desde el mikrotik responde sin problemas (incluso probe con /tool/fetch a acceder al portal web de la ont y sin problemas) no se que puede estar pasando, lo estuve mirando con un amigo que tiene el mismo setup (router+ont) y el puede acceder sin problemas.

Sobre las reglas del firewall, esta regla que viene configurada por defecto add action=drop chain=input comment="defconf: drop all not coming from LAN" disabled=yes in-interface-list=!LAN al activarla se me cae medio internet, no entiendo por que, las listas de LAN y WAN estan bien (creo)

El tema de las VLANs es mas una consulta que un problema, me gustaria segmentar la red, ya que tengo varios dispositivos de IoT y un servidor en casa para media y domotica, mi router wifi es un TP-Link Deco M4 (mesh) en modo AP que no tiene configuracion para VLANs, no se si soporta enviar los tags, pero bueno mi duda principal es si puedo crear un bridge con varias VLANs asociadas a la misma interfaz del router y asignar los dispositivos a una VLAN en concreto, por ejemplo VLANs para IoT, Invitados y usuarios, donde por defecto al conectarse un dispositivo nuevo, el DHCP lo configura en la VLAN de invitados y yo manualmente lo muevo a la que corresponda (o lo dejo en invitados), lei el post sobre VLAN bridge pero no lo entendi muy bien.

Muchas gracias y buen dia a todos.

pokoyo · 28 Abril 2022

Buenos días, bienvenido.

Pues has escogido la regla más delicada del firewall para deshabilitarla, yo que tú no la tocaría jamás. Es la que te protege de exponer el router a internet. Sin ella, cualquier IP pública es capaz de llegar a todos los servicios de tu router (winbox, webfig, vpn, dns, etc, etc). Esa regla la tienes que volver a poner YA.

Tu principal problema es la que tienes liada con la lista Cloudflare. ¿qué pretendes hacer con eso? Me da la sensación de que estás haciendo algo que no quieres hacer. Lo primero que tienes que hacer es deshabilitar esas dos reglas de NAT y volver a habilitar la regla del filter en input que para el tráfico de internet con destino tu router, la que has deshabilitado.

Hecho lo anterior, si quieres acceder a la ONT, sigue estos pasos:

Ve a Interface -> List -> Members y saca ether1 de la lista WAN.

En el firewall, mueve la regla del VoIP para que esté justo por encima de la de "drop all not coming from LAN" y vuelves a habilitar esa regla, como hemos mencionado antes. Y esta que tienes la última del firewall, la quitas, no pinta nada:

Código:

add action=accept chain=forward connection-nat-state=dstnat connection-state=new in-interface=ether1

Hecho lo anterior, creas una regla de NAT, para que cuando tú pidas acceder a la subred .10 (la de la ONT), cambies tu IP local por la IP .10.1, que tiene la interfaz ether1 asociada, dentro de ese rango (lo que está en el manual es la manera "guarra" de hacerlo, pero la buena es esta, ya lo corregiré cuando tenga un segundo).

Código:

/ip firewall nat
add chain=srcnat dst-address=192.168.10.0/24 action=src-nat to-addresses=192.168.10.1

Con eso tendrás el tema de la ONT resuelto. Aparte de eso, un par de comentarios:

La config la tienes bastante limpia, a falta del tema del Cloudflare, que ya nos explicarás qué pretendes hacer. Simplemente, unas sugerencias:

Nombre del bridge: has ido a escoger un nombre un tanto confuso. Tú no eres ningún ISP, ni ese bridge tiene relación alguna con un ISP. Ese bridge es tu LAN. Yo, le cambiaría el nombre.

Configuración DDNS: has fijado la actualización del DDNS en un día, manualmente. Normalmente eso no se toca, y dejas que sea el propio router el que haga esa comprobación (que si mal no recuerdo la hace cada 30 segundos). Si por lo que sea tu IP cambia, vas a estar un día entero sin actualizar el dominio DDNS. Yo no tocaría el valor de la actualización y lo dejaría tal y como viene por defecto. Que sea el propio router quien decida cuándo lo actualiza, tan pronto reciba un cambio de IP pública.

Firewall: no toques el orden de las reglas. Las nuevas reglas que metas en input han de ir justo por encima de la de "drop all not coming from LAN" y las de forward, normalmente, detrás de las que hay por defecto.

NAT: Ojo con abrir los puertos 80 y 443 que, si no lo haces bien, secuestrarás tu propia navegación web. Lee el tema del hairpin NAT en el manual de tips&tricks. Y porfa, aclárame qué pretendes hacer con la lista Cloudflare, porque me da que estás haciendo una burrada.

Mangle: las reglas son innecesarias, no necesitas marcar paquetes prioritarios.

DNS: si vuelves a poner en su sitio la regla del "drop all not coming from LAN" (verás que insisto mucho en el tema), podrás habilitar en IP -> DNS el "allow remote requests", permitiendo que el router se use como caché DNS. Por tu configuración del DHCP veo que ya tienes otro servidor DNS en la ip 192.168.1.140, y quizá no necesites lo anterior, pero simplemente por que sepas que lo tienes ahí.

Hecho todo lo anterior, si vas a querer segmentar la red, léete el manual de bridge vlan filtering. Solo que, en lugar de trabajar con dos bridges, vamos a trabajar únicamente con el bridge principal, puesto que tu hardware soporte offloading compatible con vlan filtering, así que no necesitas un segundo bridge para nada.

Saludos!

mrmarble · 28 Abril 2022

pokoyo dijo:
Buenos días, bienvenido.

Pues has escogido la regla más delicada del firewall para deshabilitarla, yo que tú no la tocaría jamás. Es la que te protege de exponer el router a internet. Sin ella, cualquier IP pública es capaz de llegar a todos los servicios de tu router (winbox, webfig, vpn, dns, etc, etc). Esa regla la tienes que volver a poner YA.

Tu principal problema es la que tienes liada con la lista Cloudflare. ¿qué pretendes hacer con eso? Me da la sensación de que estás haciendo algo que no quieres hacer. Lo primero que tienes que hacer es deshabilitar esas dos reglas de NAT y volver a habilitar la regla del filter en input que para el tráfico de internet con destino tu router, la que has deshabilitado.

Hecho lo anterior, si quieres acceder a la ONT, sigue estos pasos:

Ve a Interface -> List -> Members y saca ether1 de la lista WAN.

En el firewall, mueve la regla del VoIP para que esté justo por encima de la de "drop all not coming from LAN" y vuelves a habilitar esa regla, como hemos mencionado antes. Y esta que tienes la última del firewall, la quitas, no pinta nada:

Código:

add action=accept chain=forward connection-nat-state=dstnat connection-state=new in-interface=ether1

Hecho lo anterior, creas una regla de NAT, para que cuando tú pidas acceder a la subred .10 (la de la ONT), cambies tu IP local por la IP .10.1, que tiene la interfaz ether1 asociada, dentro de ese rango (lo que está en el manual es la manera "guarra" de hacerlo, pero la buena es esta, ya lo corregiré cuando tenga un segundo).

Código:

/ip firewall nat add chain=srcnat dst-address=192.168.10.0/24 action=src-nat to-addresses=192.168.10.1

Con eso tendrás el tema de la ONT resuelto. Aparte de eso, un par de comentarios:

La config la tienes bastante limpia, a falta del tema del Cloudflare, que ya nos explicarás qué pretendes hacer. Simplemente, unas sugerencias:

Nombre del bridge: has ido a escoger un nombre un tanto confuso. Tú no eres ningún ISP, ni ese bridge tiene relación alguna con un ISP. Ese bridge es tu LAN. Yo, le cambiaría el nombre.

Configuración DDNS: has fijado la actualización del DDNS en un día, manualmente. Normalmente eso no se toca, y dejas que sea el propio router el que haga esa comprobación (que si mal no recuerdo la hace cada 30 segundos). Si por lo que sea tu IP cambia, vas a estar un día entero sin actualizar el dominio DDNS. Yo no tocaría el valor de la actualización y lo dejaría tal y como viene por defecto. Que sea el propio router quien decida cuándo lo actualiza, tan pronto reciba un cambio de IP pública.

Firewall: no toques el orden de las reglas. Las nuevas reglas que metas en input han de ir justo por encima de la de "drop all not coming from LAN" y las de forward, normalmente, detrás de las que hay por defecto.

NAT: Ojo con abrir los puertos 80 y 443 que, si no lo haces bien, secuestrarás tu propia navegación web. Lee el tema del hairpin NAT en el manual de tips&tricks. Y porfa, aclárame qué pretendes hacer con la lista Cloudflare, porque me da que estás haciendo una burrada.

Mangle: las reglas son innecesarias, no necesitas marcar paquetes prioritarios.

DNS: si vuelves a poner en su sitio la regla del "drop all not coming from LAN" (verás que insisto mucho en el tema), podrás habilitar en IP -> DNS el "allow remote requests", permitiendo que el router se use como caché DNS. Por tu configuración del DHCP veo que ya tienes otro servidor DNS en la ip 192.168.1.140, y quizá no necesites lo anterior, pero simplemente por que sepas que lo tienes ahí.

Saludos!

Gracias por la respuesta tan rapida!!
Me pongo a hacer los cambios que indicas, pero te aclaro antes lo de cloudflare.

Como he mencionado, tengo un servidor en casa (toda la configuracion aqui por si es de interes https://github.com/mrmarble/home-ops) el cual expone algunos servicios a internet, con la lista de cloudflare hago que esos servicios unicamente sean accesibles desde los nodos de cloudflare, para mayor seguridad, de esa forma no expongo los puertos a todo internet. La lista se va actualizando con un script de forma automatica, funcionar funciona, pero quiza esta mal configurado y estoy bloqueando otras cosas como comentas.

Respecto al dns si, tengo un Pi-hole configurado en la .1.140

pokoyo · 28 Abril 2022

Vale, ya te voy siguiendo. Antes de nada, montamos las VLANs y aíslas esa máquina en una VLAN aparte. Y, hecho esto, le abrimos los puertos que necesite. Podrías incluso hacerle una DMZ a la máquina en cuestión, siempre que luego lleve su firewall, fail2ban, etc...

Ya me contarás más del proyecto, parece interesante, te has montado hasta un cluster de kubernetes en tu propia máquina local. No sé qué persigues, pero desde luego es interesante.

Saludos!

mrmarble · 28 Abril 2022

pokoyo dijo:
Vale, ya te voy siguiendo. Antes de nada, montamos las VLANs y aíslas esa máquina en una VLAN aparte. Y, hecho esto, le abrimos los puertos que necesite. Podrías incluso hacerle una DMZ a la máquina en cuestión, siempre que luego lleve su firewall, fail2ban, etc...

Ya me contarás más del proyecto, parece interesante, te has montado hasta un cluster de kubernetes en tu propia máquina local. No sé qué persigues, pero desde luego es interesante.

Saludos!

Vale, pues ya he aplicado los cambios y puedo acceder a la ONT sin problema (por fin!!!!)

He movido la regla del firewall y he activado "drop all not coming from LAN", de momento sigo pudiendo navegar por internet, a ver si sigue asi (al activarla muchas peticiones se bloqueaban, por eso la quite), he eliminado las reglas de mangle (esto lo vi en una guia de como configurar el ISP antes de leer la de este foro).

Sobre el DDNS, mi servidor actualiza la ip de forma automatica con el dns de cloudflare, que es el que uso con mi propio dominio, active el del router por si acaso me hace falta, pero no le he dado uso aun y como era secundario no queria que el router gastase recursos en estar constantemente consultando la IP, pero lo he cambiado como dices.

El cluster de kubernetes de momento es un nodo, pero ira creciendo con el futuro, tengo montado Plex, home-assistant y alguna cosilla mas, esta todo ahi en el repo de github.

Lo del NAT es lo que vi al buscar "abrir puertos mikrotik", mirare lo de hairpin, pero me gusta eso que has comentado de la VLAN, pero me interesa poder acceder al resto de equipos de la red, ya que al ser un servidor, pues necesito el acceso para Plex o los diferentes dispositivos de IoT, como he dicho de redes voy justo, igual esto no bloquea nada de eso, pero no estoy seguro.

Respecto a los segmentos, yo habia pensado en estos:
VLAN 10 (10.10.0.0/24) -> Servidor/servicios (El cluster, pi-hole, octoprint para la impresora 3D)
VLAN 100 (10.100.0.0/24) -> Usuarios (moviles, portatiles, sobremesa)
VLAN 110 (10.110.0.0/24) -> Invitados (Portatil trabajo, invitados que vengan a casa)
VLAN 120 (10.120.0.0/24) -> IoT (Luces, TV, alexa...)

del 10 al 100 lo dejo libre por si en un futuro quiero meter alguna mas, como vpn de wireguard o algo asi.

pokoyo · 28 Abril 2022

mrmarble dijo:
Vale, pues ya he aplicado los cambios y puedo acceder a la ONT sin problema (por fin!!!!)

Genial.

mrmarble dijo:
He movido la regla del firewall y he activado "drop all not coming from LAN", de momento sigo pudiendo navegar por internet, a ver si sigue asi (al activarla muchas peticiones se bloqueaban, por eso la quite), he eliminado las reglas de mangle (esto lo vi en una guia de como configurar el ISP antes de leer la de este foro).

Perfecto. Las reglas de mangle estarán por ahí en alguna guía, pero no son necesarias.

mrmarble dijo:
Sobre el DDNS, mi servidor actualiza la ip de forma automatica con el dns de cloudflare, que es el que uso con mi propio dominio, active el del router por si acaso me hace falta, pero no le he dado uso aun y como era secundario no queria que el router gastase recursos en estar constantemente consultando la IP, pero lo he cambiado como dices.

El DDNS no gasta recursos, descuida. Pero, si ya tienes otro, lo puedes deshabilitar. O crearle un CNAME desde tu dominio, y apuntarlo al chorizo de mikrotik. Pero no le pongas lo de actualizarlo de día en día, que créeme que no vas a notar nada.

mrmarble dijo:
Lo del NAT es lo que vi al buscar "abrir puertos mikrotik", mirare lo de hairpin, pero me gusta eso que has comentado de la VLAN, pero me interesa poder acceder al resto de equipos de la red, ya que al ser un servidor, pues necesito el acceso para Plex o los diferentes dispositivos de IoT, como he dicho de redes voy justo, igual esto no bloquea nada de eso, pero no estoy seguro.

Mírate el tema del hairpin nat. Si vas a abrir el 80 o el 443, es un "must". Luego, el tema de las VLANs, ya decides tú qué se comunica con qué. Lo digo porque lo de tener un equipo dentro de la red con esos dos puertos abiertos a internet y dentro de tu misma LAN... es un tanto delicado. Tienes que estar muy seguro de que ese equipo es seguro para hacer eso.

mrmarble dijo:
Respecto a los segmentos, yo habia pensado en estos:
VLAN 10 (10.10.0.0/24) -> Servidor/servicios (El cluster, pi-hole, octoprint para la impresora 3D)
VLAN 100 (10.100.0.0/24) -> Usuarios (moviles, portatiles, sobremesa)
VLAN 110 (10.110.0.0/24) -> Invitados (Portatil trabajo, invitados que vengan a casa)
VLAN 120 (10.120.0.0/24) -> IoT (Luces, TV, alexa...)

del 10 al 100 lo dejo libre por si en un futuro quiero meter alguna mas, como vpn de wireguard o algo asi.

Soy más de redes de tipo C, que para eso están. Que luego esas las usa tu operador para lo que sea y se lía (por ejemplo, la voip en movistar va en ese segmento 10.x.y.z)

Saludos!

mrmarble · 29 Abril 2022

pokoyo dijo:
Genial.

Perfecto. Las reglas de mangle estarán por ahí en alguna guía, pero no son necesarias.

El DDNS no gasta recursos, descuida. Pero, si ya tienes otro, lo puedes deshabilitar. O crearle un CNAME desde tu dominio, y apuntarlo al chorizo de mikrotik. Pero no le pongas lo de actualizarlo de día en día, que créeme que no vas a notar nada.

Mírate el tema del hairpin nat. Si vas a abrir el 80 o el 443, es un "must". Luego, el tema de las VLANs, ya decides tú qué se comunica con qué. Lo digo porque lo de tener un equipo dentro de la red con esos dos puertos abiertos a internet y dentro de tu misma LAN... es un tanto delicado. Tienes que estar muy seguro de que ese equipo es seguro para hacer eso.

Soy más de redes de tipo C, que para eso están. Que luego esas las usa tu operador para lo que sea y se lía (por ejemplo, la voip en movistar va en ese segmento 10.x.y.z)

Saludos!

Vale, sobre el tipo C no hay problema, use el tipo A por comodidad.

Para dejarlo claro entonces, creo una VLAN (id 10) donde meto el servidor y sigo el tutorial de hairpin nat, pero en lugar de utilizar un rango de ips, uso la VLAN y aplico reglas de firewall para que solo pueda acceder a las redes que necesito, en lugar de todo mi LAN.

Voy a probar a crear las VLANs siguiendo el tuto de bridge vlan, a ver si el router wifi lo soporta o tengo que flashearle openwrt

pokoyo · 29 Abril 2022

Yo usaría VLANs de la 100 en adalente, por evitar posibles conflictos con las bajitas, que suelen usar los operadores. (2, 3, 6, 20, etc).

Crearía por ejemplo:
Servidores: VLAN 101. Segmento 192.168.101.1/24
Usuarios: VLAN 102. Segmento 192.168.102.1/24
Invitados: VLAN 103. Segmento 192.168.103.1/24
IoT: VLAN 104. Segmento 192.168.104.1/24

No es en absoluto necesario que definas las VLANs ID macheando con el segmento de red, pero de esta manera es más sencillo identificarlas.

Saludos!

Presentacion y unas preguntas

mrmarble

Usuari@ ADSLzone

pokoyo

Moderador ADSLZone - Mikrotik ★★★★★

mrmarble

Usuari@ ADSLzone

pokoyo

Moderador ADSLZone - Mikrotik ★★★★★

mrmarble

Usuari@ ADSLzone

pokoyo

Moderador ADSLZone - Mikrotik ★★★★★

mrmarble

Usuari@ ADSLzone

pokoyo

Moderador ADSLZone - Mikrotik ★★★★★

Similar threads