Problema con la apertura de puertos (Doble WAN)

Buenas tardes foreros, estoy empezando en el mundo de la maravillosa marca Mikrotik y aprovechando que en la empresa tengo una configuración que me da la oportunidad a probar muchas cosas, he probado a configurar dos WAN, pero ahi no es donde vienen mis problemas, los problemas vienen cuando intento abrir puertos.

Os pongo en contexto

WAN 1: 192.168.0.1
WAN 2: 192.168.2.1
LAN: 192.168.1.1

Luego tengo dentro de la LAN varios servidores entre ellos dos NAS Synology a los que quiero acceder desde el exterior y para ello quiero abrir el puerto 5006 pero por más que intento abrirlo no puedo conectarme. He probado por si era cosa de los servidores pero tampoco me esta funcionando el puerto de la conexión remota.

NAS 1: 192.168.1.203
NAS 2: 192.168.1.207

NO ENTIENDO PORQUE SI QUE SE RECIBEN LOS PAQUETES EN ESE PUERTO PERO NO TERMINA DE CONECTAR.

Os dejo la configuración que tengo porque siendo nuevo seguro que la he piciado en todo:

Código:
# model = RB960PGS
# serial number = HCW084ZJ3DE
/ip firewall address-list
add address=192.168.1.0/24 comment=lan list=lans
add address=88.12.27.29 list=wans
add address=192.168.0.0/24 comment=WAN1 list=redGeneral
add address=192.168.1.0/24 comment=LAN1 list=redGeneral
add address=192.168.2.0/24 comment=WAN2 list=redGeneral
/ip firewall filter
add action=accept chain=forward comment="Comunicacion interna" disabled=yes \
    dst-address-list=redGeneral dst-port=5006 protocol=tcp src-address-list=\
    redGeneral
add action=accept chain=input dst-port=1194 protocol=tcp
add action=accept chain=output dst-port=5006 protocol=tcp
/ip firewall mangle
add action=accept chain=prerouting dst-address=192.168.0.0/24 in-interface=\
    ether1
add action=accept chain=prerouting dst-address=192.168.2.0/24 in-interface=\
    ether2
add action=mark-connection chain=prerouting connection-mark=no-mark \
    in-interface=ether1 new-connection-mark=ISP1_conn passthrough=yes
add action=mark-connection chain=prerouting connection-mark=no-mark \
    in-interface=ether2 new-connection-mark=ISP2_conn passthrough=yes
add action=mark-connection chain=prerouting connection-mark=no-mark \
    dst-address-type=!local in-interface=ether5 new-connection-mark=ISP1_conn \
    passthrough=yes per-connection-classifier=both-addresses:2/0
add action=mark-connection chain=prerouting connection-mark=no-mark \
    dst-address-type=!local in-interface=ether5 new-connection-mark=ISP2_conn \
    passthrough=yes per-connection-classifier=both-addresses:2/1
add action=mark-routing chain=prerouting connection-mark=ISP1_conn \
    in-interface=ether5 new-routing-mark=to_ISP1 passthrough=no
add action=mark-routing chain=prerouting connection-mark=ISP2_conn \
    in-interface=ether5 new-routing-mark=to_ISP2 passthrough=no
add action=mark-routing chain=output connection-mark=ISP1_conn \
    new-routing-mark=to_ISP1 passthrough=no
add action=mark-routing chain=output connection-mark=ISP2_conn \
    new-routing-mark=to_ISP2 passthrough=no
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=masquerade chain=srcnat out-interface=ether2
add action=dst-nat chain=dstnat comment="NAS Marketing" dst-port=5006 \
    protocol=tcp to-addresses=192.168.1.207 to-ports=5006
add action=dst-nat chain=dstnat dst-port=5016 in-interface=all-ethernet \
    protocol=tcp to-addresses=192.168.1.203 to-ports=5016
add action=masquerade chain=srcnat dst-address=192.168.1.207
add action=dst-nat chain=dstnat dst-port=1194 protocol=tcp to-ports=1194
 
Ojo con ese nat, que estás secuestrando el tráfico. Necesitas especificar el in-interface o el dst-address para que ese nat funcione como debe. Y, si es doble WAN y tienes otro NAT por encima (parece, porque tus IPs WAN no son públicas, sino privadas), asegúrate de abrir sendos routers que tengas por encima.

Saludos!
 
Ojo con ese nat, que estás secuestrando el tráfico. Necesitas especificar el in-interface o el dst-address para que ese nat funcione como debe. Y, si es doble WAN y tienes otro NAT por encima (parece, porque tus IPs WAN no son públicas, sino privadas), asegúrate de abrir sendos routers que tengas por encima.

Saludos!
Cierto, se me ha olvidado comentar que los puertos de los ISP estan abiertos correctamente ya que si conecto servidores si que puedo conectarme remotamente.
En que regla es en la que tengo que especificar el dst-address?

Por cierto muchas gracias por leerme !
 
Cierto, se me ha olvidado comentar que los puertos de los ISP estan abiertos correctamente ya que si conecto servidores si que puedo conectarme remotamente.
En que regla es en la que tengo que especificar el dst-address?

Por cierto muchas gracias por leerme !
En las de NAT de apertura de puertos. Tu dat-nat es la IP WAN que tiene em equipo, para casa conexión.

Y, si te quieres ahorrar el NAT en el Mikrotik, mete rutas estáticas en los routers de operadora, u las mandas al mikrotik.

Saludos!
 
El problema es que uno de los routers no lo puedo gestionar como quiero porque se gestiona mediante el servicio técnico de Vodafone.
Mañana investigare lo de las rutas estáticas aunque querría aprender bien bien como funciona el Mikrotik porque es la primera vez que toco uno y estoy flipando.
 
Actualización:

He seguido probando como me dijo el usuario pokoyo poniendo el dst-address pero me sigue sin funcionar, ya supongo que el problema no tiene que estar en el Mikrotik porque sino con lo que he estado investigando por ahí me tendría que estar funcionando.
Os dejo adjunto el archivo de configuración por si le queréis pegar un ojo.

Código:
# model = RB960PGS
# serial number = HCW084ZJ3DE
/ip firewall address-list
add address=192.168.1.0/24 comment=lan list=lans
add address=88.27.29.12 list=wans
add address=192.168.0.0/24 comment=WAN1 list=redGeneral
add address=192.168.1.0/24 comment=LAN1 list=redGeneral
add address=192.168.2.0/24 comment=WAN2 list=redGeneral
/ip firewall filter
add action=accept chain=forward comment="Comunicacion interna" disabled=yes \
    dst-address-list=redGeneral dst-port=5006 protocol=tcp src-address-list=\
    redGeneral
add action=accept chain=input dst-port=1194 protocol=tcp
add action=accept chain=output dst-port=5006 protocol=tcp
/ip firewall mangle
add action=accept chain=prerouting dst-address=192.168.0.0/24 in-interface=\
    ether1
add action=accept chain=prerouting dst-address=192.168.2.0/24 in-interface=\
    ether2
add action=mark-connection chain=prerouting connection-mark=no-mark \
    in-interface=ether1 new-connection-mark=ISP1_conn passthrough=yes
add action=mark-connection chain=prerouting connection-mark=no-mark \
    in-interface=ether2 new-connection-mark=ISP2_conn passthrough=yes
add action=mark-connection chain=prerouting connection-mark=no-mark \
    dst-address-type=!local in-interface=ether5 new-connection-mark=ISP1_conn \
    passthrough=yes per-connection-classifier=both-addresses:2/0
add action=mark-connection chain=prerouting connection-mark=no-mark \
    dst-address-type=!local in-interface=ether5 new-connection-mark=ISP2_conn \
    passthrough=yes per-connection-classifier=both-addresses:2/1
add action=mark-routing chain=prerouting connection-mark=ISP1_conn \
    in-interface=ether5 new-routing-mark=to_ISP1 passthrough=no
add action=mark-routing chain=prerouting connection-mark=ISP2_conn \
    in-interface=ether5 new-routing-mark=to_ISP2 passthrough=no
add action=mark-routing chain=output connection-mark=ISP1_conn \
    new-routing-mark=to_ISP1 passthrough=no
add action=mark-routing chain=output connection-mark=ISP2_conn \
    new-routing-mark=to_ISP2 passthrough=no
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=masquerade chain=srcnat out-interface=ether2
add action=dst-nat chain=dstnat comment="NAS Marketing" dst-address=\
    192.168.0.223 dst-port=5006 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.1.207 to-ports=5006
add action=dst-nat chain=dstnat dst-address=192.168.0.223 dst-port=5016 \
    protocol=tcp to-addresses=192.168.1.203 to-ports=5016
 
Buenas,

ahora he podido echar un vistazo completo a tu configuración, y creo que estás empezando la casa por el tejado. Me explico: antes de montar un dual WAN ni nada por el estilo, lo primero es empezar por lo más básico: un router con una conexiones a internet (WAN), al cual le añades una segunda conexión.

Yo empezaría por pintarlo, dejando claro los segmentos de red WAN que tienes encima y qué son (son routers de operadora, son ONTs, se pueden tocar, no se pueden tocar, etc). Si por ejemplo tienes equipos que se pueden poner en modo bridge y hacer que la IP pública pase al Mikrotik, te sugiero enfáticamente hacerlo (quizá no de entrada, para no dejar sin servicio a lo que ya tienes montado y funcionando, pero sí de cara a una instalación final).

Otro consejo que te doy es que tu red LAN difiera de las 192.168.0.X o 192.168.1.X, etc. Como ves, es tremendamente fácil que colisione con las de un router de operador, y eso te puede dar la lata... mucho. Pon algo como 192.168.185.x o similar, (tienes para elegir el tercer octeto, hasta el 255). Por defecto, mikrotik usa la 192.168.88.X

Yo daría un frenado, resetearía ese equipo sin marcar la opción del "no default configuration" y conectaría uno de los routers de operadora a su puerto WAN (ether1) . Hecho esto, pasaría por el quick set y cambiaría el segmento .88 por el que más te guste, siguiendo la recomendación de evitar los más bajos. (.0, .1, .2)

Hecho esto, asegúrate de que el equipo está en la última versión de firmware, en System -> Packages -> Check for updates (y actualiza firmware en System -> Routerboard -> Upgrade), actualmente la 7.4.1 cuando te escribo este post.

Hecho esto, si quieres, me pasas un export, y te digo cómo meter la siguiente WAN. No obstante, si puedes decirme los equipos que tienes encima, sus proveedores y lo que dejan y no hacer con ellos (quizá vodafone te pueda poner el equipo en bridge, lo preguntaste?), vamos montando lo que sea que quieras.

Saludos!
 
A ver te comento, mi idea es tener los dos routers de las compañías en modo bridge, pero solo puedo gestionar el de Movistar, mi duda es si lo pongo en modo bridge para ir haciendo cosas fastidiare toda la configuración que tengo en el Mikro o seguirá habiendo internet porque tiene la otra conectada como antes??

Si quieres ahora luego te comento bien la estructura que hay montada
 
Fácil, empieza por el que sí que puedes gestionar tú, el de movistar, y deja el resto de chismes conectado al de vodafone mientras. Ese es muy fácil ponerlo en monopuesto y que te pase la conexión a internet para abajo (ip pública).

Pero hay que poner ese mikrotik en modo router, antes de dar un paso más, como lo tienes es un peligro (no hay firewall).

Saludos!
 
A qué te refieres con modo router?? Perdona por tanta pregunta pero estoy empezando en esto de redes más grandes.

Lo que no entiendo tampoco es porque el mikrotik cuando intento conectarme si que muestra como le llegan paquetes , es decir eso en teoria es que el router del proveedor si que esta dejando pasar la conexion no?
 
Última edición:
A qué te refieres con modo router?? Perdona por tanta pregunta pero estoy empezando en esto de redes más grandes.
Descuida, pregunta lo que quieras. Estás empezando, es normal que tengas muchas preguntas.
Me refiero a que ese equipo, si estás adjuntando toda su configuración, ahora mismo no es nada. Ni es un switch (no tiene bridge) ni un router (firewall, nat, dhcp, dns, LAN y WAN bien diferenciadas, etc). Es un equipo recién reseteado, sin configuración, y con cuatro comandos encima. Y, para colmo, no empezaste por algo sencillito, sino por un dual wan con marcado de paquetes… partiendo de un equipo sin configuración. Creo que eso no te lo monto ni yo del tirón, sin meter antes un par de gazapos gordos. Así que, mejor, empecemos la casa por los cimientos, no por el tejado.

Lo que no entiendo tampoco es porque el mikrotik cuando intento conectarme si que muestra como le llegan paquetes , es decir eso en teoria es que el router del proveedor si que esta dejando pasar la conexion no?
Que le lleguen paquetes no es significativo, lo hará tal cual tenga un enlace físico (un cable conectado). Pero, de ahí a que haga lo que debe, hay un mundo.

Insisto, da un paso atrás: resetea el router y NO marques la opción del “No default configuration”, solo apta para expertos. Deja que el router ejecute el script de auto-configuración, y le das un export. Verás que hay cosas como un puerto WAN (ether1), sobre el que corre un cliente dhcp. Verás un bridge, aglutinando el resto de puertos, con un servidor dhcp sobre él, entregando direcciones automáticamente. Verás un segmento de red LAN definido en las direcciones del router (IP > Address), verás un firewall como dios manda, impidiendo el acceso al router desde nada que no sea la LAN (bridge), nateando la lista de interfaces WAN, etc.

Y, si no lo has hecho aún, aprovecha para actualizar el equipo como te digo, tanto software como firmware, a la última versión estable.

Saludos!
 
Vale lo que voy a hacer pues es empezar de 0 y voy a poner uno de los routers (el que puedo gestionar) en modo bridge para comenzar la configuración como toca.
Primero voy a resetear todo y despues actualizar el sistema y luego a ver si me aclaro.

Cuando tenga el router del proveedor en modo bridge supongo que si lo conecto no se conectara directo y ya no?
Tendré que configurar los puertos físicos.
 
Ni si quieras pongas el equipo que tienes por encima en bridge aún. Eso lo haremos a continuación de tener nuestro segmento LAN bien definido. De entrada, simplemente conecta ese router al puerto ether1, tal y como está ahora mismo, y tú conectate a cualquier de los puertos del 2 al 5. Tras el reset, si le dejas que cargue la config original por defecto, tendrás en ese equipo final una IP del estilo 192.168.88.X, y estarás navegando por internet, sin hacer absolutamente nada más.

Saludos!
 
Me corres mucho! Primero, resetea el equipo sin marcar la opción que te he dicho. Luego, conéctalo (ether1 -> router de movistar). Luego comprueba que un equipo conectado a cualquiera de los otros puertos LAN (3-5; el 2 lo sacaremos para la segunda WAN) navega con una IP 192.168.88.x.

Hecho lo anterior, procede:

- Actualiza el router (system -> pacakges -> check for updates). A la última versión estable, 7.4.1
- Hecho lo anterior, sube la versión de firmware. (System -> Routerboard -> Upgrade) y reinicia.
- Elige un segmento LAN diferente de ninguno de los segmentos comunes. 192.168.185.x, por ejemplo.
- Ve al quick set y aplica ese segmento LAN. Donde veas un .88, metes un .185 (o lo que sea que elijas, menor a 255)
- Una vez aplicado eso, hay que corregir un pequeño bug que tiene el quick set, en el servidor DHCP. Irías a IP > DHCP Server > Networks y edita la entrada que allí ves y, donde ves 192.168.88.1, pones 192.168.185.1 (o la que sea que hayas elegido como IP del router).

Cuando tengas todo esto hecho, dime.

Saludos!
 
El segmento de la lan lo puedo dejar en .1.xxx ?? Lo digo porque tengo muchos equipos ya configurados con ese segmento. (Unos 120 equipos...)
 
El segmento de la lan lo puedo dejar en .1.xxx ?? Lo digo porque tengo muchos equipos ya configurados con ese segmento. (Unos 120 equipos...)
Poder puedes, pero hay algo que no me cuadra: ¿qué equipo está entregando ahora mismo ese direccionamiento, dado que el mikrotik no lo está haciendo? Dibújame la infraestructura que tienes anda, antes de que liemos ninguna.

Saludos!
 
Poder puedes, pero hay algo que no me cuadra: ¿qué equipo está entregando ahora mismo ese direccionamiento, dado que el mikrotik no lo está haciendo? Dibújame la infraestructura que tienes anda, antes de que liemos ninguna.

Saludos!
Te dejo una foto con un pequeño esquema, despues de los servidores tambien estan el resto de equipos de la empresa (impresoras y equipos normales) con ip fija todos

E5AF7E75-AB25-484E-8B9F-4A80DDA386E8.jpeg
 
Te dejo una foto con un pequeño esquema, despues de los servidores tambien estan el resto de equipos de la empresa (impresoras y equipos normales) con ip fija todos

Ver el adjunto 98667
Olvídate del mikrotik, que ahora mismo es un chisme “nuevo” que quieres meter en una red existente. Quiero saber cómo era hasta ahora, antes de meter el mikrotik. La idea final la tengo clara, un dual wan (luego discutiremos si balanceado o simplemente con failover).

Me gustaría saber quien asignaba las direcciones 192.168.1.x en la red, antes de meter el mikrotik en la ecuación. Ahora mismo, mirando el export que me mandabas, ahí no hay servidor dhcp ni nada que se le parezca. Y, si me dices que tienes 120 equipos direccionados A MANO, tenemos desde luego mucho que hacer.

Se puede hacer lo que pides, por su puesto, pero no es nada recomendable. ¿Sabes lo que pasaría si le pones ese segmento de red y el router de movistar resetea a fábrica por cualquier actualización de firmware o manipulación manual? Que tendrías el mismo segmento de red en dos routers encadenados entre sí, dejando tirada toda la red. Te recomiendo enfáticamente que el Mikrotik trabaje en un segmento distinto, bien diferenciado de los usuales 192.168.0.x, 192.168.1.x, 192.168.2.x, 192.168.100.x, etc.

Además, de esa manera, forzarás a ir pasando los equipos a DHCP, reservando sus IPs luego vía el propio servidor, en lugar de meterlas a mano en los dispositivos.

Saludos!
 
Olvídate del mikrotik, que ahora mismo es un chisme “nuevo” que quieres meter en una red existente. Quiero saber cómo era hasta ahora, antes de meter el mikrotik. La idea final la tengo clara, un dual wan (luego discutiremos si balanceado o simplemente con failover).

Me gustaría saber quien asignaba las direcciones 192.168.1.x en la red, antes de meter el mikrotik en la ecuación. Ahora mismo, mirando el export que me mandabas, ahí no hay servidor dhcp ni nada que se le parezca. Y, si me dices que tienes 120 equipos direccionados A MANO, tenemos desde luego mucho que hacer.

Se puede hacer lo que pides, por su puesto, pero no es nada recomendable. ¿Sabes lo que pasaría si le pones ese segmento de red y el router de movistar resetea a fábrica por cualquier actualización de firmware o manipulación manual? Que tendrías el mismo segmento de red en dos routers encadenados entre sí, dejando tirada toda la red. Te recomiendo enfáticamente que el Mikrotik trabaje en un segmento distinto, bien diferenciado de los usuales 192.168.0.x, 192.168.1.x, 192.168.2.x, 192.168.100.x, etc.

Además, de esa manera, forzarás a ir pasando los equipos a DHCP, reservando sus IPs luego vía el propio servidor, en lugar de meterlas a mano en los dispositivos.

Saludos!
Vale te comento, antes la red estaba exactamente igual pero con un router balanceador de la marca TP-link que desgraciadamente ya no esta entre nosotros y era el el que tenia el DHCP automático y daba las direcciones a todo, y cuando murió decidí organizar un poco la red poniendo direcciones IP fijas a todo.
Perdona que no te estaba mostrando el archivo de configuración que tocaba porque se mostraba solo el apartado de firewall te lo dejo abajo pegado.

Respecto a las WAN más adelante si quieres lo hablamos pero si la conexión es estable me gustaria que estuviera conectado con failover.


Código:
# model = RB960PGS
# serial number = HCW084ZJ3DE
/ip pool
add name=PoolDHCP ranges=192.168.1.210-192.168.1.250
add name=dhcp_pool1 ranges=192.168.1.210-192.168.1.254
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=ether5 name=dhcp1
/ip accounting web-access
set accessible-via-web=yes
/ip address
add address=192.168.1.1/24 comment="LAN PRINCIPAL" interface=ether5 network=\
    192.168.1.0
/ip dhcp-client
add disabled=no interface=ether1
add disabled=no interface=ether2
add interface=ether5
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes servers=192.168.0.223,192.168.2.205
/ip dns static
add address=8.8.8.8 name=general
add address=8.8.4.4 name=general2
/ip firewall address-list
add address=192.168.1.0/24 comment=lan list=lans
add address=88.27.29.12 list=wans
add address=192.168.0.0/24 comment=WAN1 list=redGeneral
add address=192.168.1.0/24 comment=LAN1 list=redGeneral
add address=192.168.2.0/24 comment=WAN2 list=redGeneral
/ip firewall filter
add action=accept chain=output disabled=yes dst-port=5006 protocol=tcp
/ip firewall mangle
add action=accept chain=prerouting dst-address=192.168.0.0/24 in-interface=\
    ether1
add action=accept chain=prerouting dst-address=192.168.2.0/24 in-interface=\
    ether2
add action=mark-connection chain=prerouting connection-mark=no-mark \
    in-interface=ether1 new-connection-mark=ISP1_conn passthrough=yes
add action=mark-connection chain=prerouting connection-mark=no-mark \
    in-interface=ether2 new-connection-mark=ISP2_conn passthrough=yes
add action=mark-connection chain=prerouting connection-mark=no-mark \
    dst-address-type=!local in-interface=ether5 new-connection-mark=ISP1_conn \
    passthrough=yes per-connection-classifier=both-addresses:2/0
add action=mark-connection chain=prerouting connection-mark=no-mark \
    dst-address-type=!local in-interface=ether5 new-connection-mark=ISP2_conn \
    passthrough=yes per-connection-classifier=both-addresses:2/1
add action=mark-routing chain=prerouting connection-mark=ISP1_conn \
    in-interface=ether5 new-routing-mark=to_ISP1 passthrough=no
add action=mark-routing chain=prerouting connection-mark=ISP2_conn \
    in-interface=ether5 new-routing-mark=to_ISP2 passthrough=no
add action=mark-routing chain=output connection-mark=ISP1_conn \
    new-routing-mark=to_ISP1 passthrough=no
add action=mark-routing chain=output connection-mark=ISP2_conn \
    new-routing-mark=to_ISP2 passthrough=no
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=masquerade chain=srcnat out-interface=ether2
add action=dst-nat chain=dstnat comment="NAS Marketing" dst-address=\
    192.168.0.210 dst-port=5006 protocol=tcp to-ports=5006
add action=dst-nat chain=dstnat dst-address=192.168.0.210 dst-port=5016 \
    protocol=tcp to-ports=5016
/ip route
add check-gateway=ping comment=RutaISP1 distance=1 gateway=192.168.0.1 \
    routing-mark=to_ISP1
add check-gateway=ping comment=RutaISP2 distance=1 gateway=192.168.2.1 \
    routing-mark=to_ISP2
/ip service
set telnet port=44
set www-ssl disabled=no
 
Arriba