Problema con la apertura de puertos (Doble WAN)

Hola buenos dias.
Actualizo, he hecho los pasos que me dijo el gran maestro POKOYO y ya tengo el router limpio, actualizado y con el pirmer ISP conectado, ahora a ver como lo pongo en modo bridge y lo configuro para que vaya todo bien.

Por cierto de segmento de la LAN he puesto la 192.168.100.0
 
Última edición:
Hola buenos dias.
Actualizo, he hecho los pasos que me dijo el gran maestro POKOYO y ya tengo el router limpio, actualizado y con el pirmer ISP conectado, ahora a ver como lo pongo en modo bridge y lo configuro para que vaya todo bien.

Por cierto de segmento de la LAN he puesto la 192.168.100.0
Buenos días! Revisa los post anteriores, ese es uno de los segmentos a evitar. No es muy usado por routers, pero sí por ONTs. Si estás a tiempo de cambiarlo, vuelve a darle reset y plántale si quieres 99 o el 101, pero evita el 100.

Una vez hecho y corregido el pequeño bug del quick set, en este post tienes la configuración que necesita el mikrotik, partiendo de la config por defecto, para movistar/o2, con su router en modo monopuesto: https://www.adslzone.net/foro/mikro...figuraciones-basicas-isps-routeros-v7.580707/

Simplemente crearías un cliente PPPoE (ignora la parte de la vlan6), con los datos mencionados, sobre ether1, y andando. El cliente DHCP que ahora mismo tienes en ese puerto, lo eliminarías, y el recién creado cliente ppp lo meterías en la lista WAN. Si todo ha ido bien, deberías tener una IP pública en IP > Address. Y, claro está, deberías estar navegando.

Saludos!
 
Buenos días! Revisa los post anteriores, ese es uno de los segmentos a evitar. No es muy usado por routers, pero sí por ONTs. Si estás a tiempo de cambiarlo, vuelve a darle reset y plántale si quieres 99 o el 101, pero evita el 100.

Una vez hecho y corregido el pequeño bug del quick set, en este post tienes la configuración que necesita el mikrotik, partiendo de la config por defecto, para movistar/o2, con su router en modo monopuesto: https://www.adslzone.net/foro/mikro...figuraciones-basicas-isps-routeros-v7.580707/

Simplemente crearías un cliente PPPoE (ignora la parte de la vlan6), con los datos mencionados, sobre ether1, y andando. El cliente DHCP que ahora mismo tienes en ese puerto, lo eliminarías, y el recién creado cliente ppp lo meterías en la lista WAN. Si todo ha ido bien, deberías tener una IP pública en IP > Address. Y, claro está, deberías estar navegando.

Saludos!
ACTUALIZO:

Perfecto, en la address list ya tengo la ip publica y estoy conectado a internet sin problemas voy a ver ahora si los de vodafone me dejan cambiar el router y poner uno autogestionable para probar tambien a meter ese router y ver mas adelante el tema del balanceo o el failover.

1661931254525.png



Por cierto ahora para el tema de configurar los puertos lo tendria que hacer de forma normal y en principio me tendria que dejar conectarme sin problema no??
 
A qué te refieres con meterlo en la lista WAN osea tengo ya creado el cliente PPPoE y he eliminado el cliente por default que salía en el DHCP. Por cierto no he borrado nada de la configuración por defecto y están los bridge
Los? Será el (en singular) bridge. ¿No?

Las listas las tienes en Interfaces > Interface lists > Members. Verás que ether1 pertenece a la lista WAN. Lo cambias por la interfaz de tipo ppp.

Tras el cambio, deberías estar navegando.

Saludos!
 
Los? Será el (en singular) bridge. ¿No?

Las listas las tienes en Interfaces > Interface lists > Members. Verás que ether1 pertenece a la lista WAN. Lo cambias por la interfaz de tipo ppp.

Tras el cambio, deberías estar navegando.

Saludos!
Buah si perfecto muchísimas gracias porque ya esta esa parte funcionando de lujo y acabo de ver que has subido una configuración de red como la que yo tengo aquí es decir un cliente puesto en bridge (PPPoE) y otro en DHCP para hacerle el failover que es lo que comentamos ayer.

Por cierto decirte si eres de Valencia voy a tener que invitarte a unas cervezas.
 
Vale, paso a paso, no me corras. Siguiente paso, antes si quiera de que hables con Vodafone, es sacar el puerto 2 del bridge principal y reservarlo para la segunda WAN. Los paso serían

- Saca el puerto del bridge (Bridge > Ports > localiza ether2 > botón (-) para quitarlo)
- Conecta el router de vodafone a ether2
- Crea un cliente DHCP en ether2, con distancia = 2 (IP -> DHCP Client > (+) > Interface = ether2, distance = 2)
- Mete ether2 en la lista WAN.

Sólo con eso, deberías tener un failover (si tiras del cable en ether1, deberías empezar a salir por ether2)

Por cierto decirte si eres de Valencia voy a tener que invitarte a unas cervezas.
Si sigues queriendo cuando acabes, me puedes invitar una igualmente, ya te diré cómo.

Salduos!
 
Vale, paso a paso, no me corras. Siguiente paso, antes si quiera de que hables con Vodafone, es sacar el puerto 2 del bridge principal y reservarlo para la segunda WAN. Los paso serían

- Saca el puerto del bridge (Bridge > Ports > localiza ether2 > botón (-) para quitarlo)
- Conecta el router de vodafone a ether2
- Crea un cliente DHCP en ether2, con distancia = 2 (IP -> DHCP Client > (+) > Interface = ether2, distance = 2)
- Mete ether2 en la lista WAN.

Sólo con eso, deberías tener un failover (si tiras del cable en ether1, deberías empezar a salir por ether2)


Si sigues queriendo cuando acabes, me puedes invitar una igualmente, ya te diré cómo.

Salduos!
En el dhcp client tengo que dejar el que se creo por defecto con el ether1?

Creo que no ya que hemos puesto el de movistar en modo bridge no?
 
De mi post previo:

Simplemente crearías un cliente PPPoE (ignora la parte de la vlan6), con los datos mencionados, sobre ether1, y andando. El cliente DHCP que ahora mismo tienes en ese puerto, lo eliminarías, y el recién creado cliente ppp lo meterías en la lista WAN. Si todo ha ido bien, deberías tener una IP pública en IP > Address. Y, claro está, deberías estar navegando.

Saludos!
 
De mi post previo:

Simplemente crearías un cliente PPPoE (ignora la parte de la vlan6), con los datos mencionados, sobre ether1, y andando. El cliente DHCP que ahora mismo tienes en ese puerto, lo eliminarías, y el recién creado cliente ppp lo meterías en la lista WAN. Si todo ha ido bien, deberías tener una IP pública en IP > Address. Y, claro está, deberías estar navegando.

Saludos!
Va casi perfecto, lo unico es que estoy probando a el dhcp auto y no me da dirección al equipo que tengo conectado
 
Va casi perfecto, lo unico es que estoy probando a el dhcp auto y no me da dirección al equipo que tengo conectado
No te sigo. No sé si me estás hablando del dhcp-client de ethe2 (para el router de vodafone) o el servidor dhcp del bridge. Adjunta un export porfa.

Saludos!
 
Y otra pregunta es si quiero poner de principal el otro router de proveedor solo tendría que cambiar la distancia en el dhcp client?
Exacto. Si quieres salir por Vodafone como principal y por Movistar como secundaria, invierte las distancias: vodafone (cliente dhcp) = 1, movistar (cliente pppoe) = 2

Del servidor dhcp del bridge para conectar ahora equipos a la red y que les asigne una ip
¿Cómo te estás conectando al router sino? Entiendo que ahora mismo tienes un cable a un equipo, conectado directo a alguno de los puertos 3-5 del router. Esos puertos pertenecen al bridge, y deben de tener encima el DHCP server entregando direcciones en ese segmento de red.

Sino lo dicho, export completo, que lo revisamos. Es un buen momento para guardar un backup y export, una vez revisado.

Saludos!
 
Exacto. Si quieres salir por Vodafone como principal y por Movistar como secundaria, invierte las distancias: vodafone (cliente dhcp) = 1, movistar (cliente pppoe) = 2


¿Cómo te estás conectando al router sino? Entiendo que ahora mismo tienes un cable a un equipo, conectado directo a alguno de los puertos 3-5 del router. Esos puertos pertenecen al bridge, y deben de tener encima el DHCP server entregando direcciones en ese segmento de red.

Sino lo dicho, export completo, que lo revisamos. Es un buen momento para guardar un backup y export, una vez revisado.

Saludos!

Perfecto ha sido momentaneo no se porque pero he vuelto a probar y si que da direcciones dentro del rango que le he puesto en el pool.

Te dejo la configuracion por si ves algo raro, he abierto el puerto 3389 para ver si funcionaba sin problemas la apertura de puertos.

Faltaria ver como hago para quitarme las IP fijas que tengo puestas en todos los equipos y poner dinamicas reservadas.

Voy a seguir investigando!

Código:
# aug/31/2022 11:09:57 by RouterOS 7.4.1
# software id = 6JTD-CCJ5
#
# model = RB960PGS
# serial number = HCW084ZJ3DE
/interface bridge
add admin-mac=18:FD:74:62:6B:B8 auto-mac=no comment=defconf name=bridge
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=internet \
    use-peer-dns=yes user=autosolar@autosolar
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=PoolLAN ranges=192.168.101.210-192.168.101.254
/ip dhcp-server
add address-pool=PoolLAN interface=bridge name=LAN
/interface bridge port
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=sfp1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add interface=ether2 list=WAN
add interface=internet list=WAN
/ip address
add address=192.168.101.1/24 comment=defconf interface=bridge network=\
    192.168.101.0
/ip dhcp-client
add default-route-distance=2 interface=ether2
/ip dhcp-server network
add address=192.168.101.0/24 comment=defconf dns-server=192.168.101.1 \
    gateway=192.168.101.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat dst-address=xxx.xxx.xxx.xxx dst-port=3389 \
    protocol=tcp to-addresses=192.168.101.254 to-ports=3389
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/system clock
set time-zone-name=Europe/Madrid
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
 
Perfecto, lo tienes muy limpito. Tienes aún un resto de la config por defecto en el dns. Verás que existe una entrada estática que pone router.lan, asociada a la 192.168.88.1. Esa IP habría que cambiarla por la 192.168.101.1, lo tienes en el menú IP > DNS > Static.

Por lo demás, veo que has creado ya el hueco en el pool para las primeras 99 direcciones, asignando el pool de la 101 en adelante, sospecho que para meter las IPs de la .2 a la .100 como reservadas. Para hacer ese paso, es bien sencillo. Vas poniendo los equipos en modo dhcp automático, uno por uno. Tal y como cojan IP del pool, verás una entrada aparecer en IP > DHCP Server > Leases. Las entradas, inicialmente, tendrán un flag “D”, indicando que son entradas dinámicas. Localizada la entrada que quieres pasar de dinámica a reservada, simplemente pulsas doble click en la entrada dinámica (usando winbox) y verás un botón que pone “Make static”. Lo pulsas y ya la tendrías reservada. Cierras, u ahora vuelves a darle doble click para volver a ver la entrada reservada, ya sin el flag “D”. En ese momento, verás que los campos se han vuelto editables, y puedes vincular esa entrada a la IP que quieras, dentro o fuera del pool. Le pones por ejemplo la 192.168.101.2, y aceptas.

Y así… sucesivamente, con todos los equipos que tengas de manera estática.

Mikrotik tiene un DHCP server excelente, y ese equipo es más que capaz de manejar 100 leases sin despeinarse. Así que créeme si te digo que no hay razón alguna para manejar equipos con IP estática (de la que pones a capón en los equipos finales) en una red Mikrotik.

Una vez tengas eso funcionando, me dices, y te digo los siguientes pasos, relativos al NAT, apertura de puertos, y cómo proceder con el rouer de Vodafone.

Saludos!
 
Puedo tener dos pools diferentes uno en cada puerto físico??

Por ejemplo tener en el pool del ether5 a todos los equipos con las direcciones que vayan de la 192.168.101.2 a la 192.168.101.200 y luego tener otro pool en la ether4 para los servidores e impresoras que vayan de la 192.168.101.210 a la 192.168.101.250.

Por que si es así el primer pool de la ether5 lo dejo como esta, todo dinámico y el pool de la ether4 ya le reservo las direcciones para que se queden estáticas.

Por cierto el router de vodafone ya lo tengo conectado por dhcp, que dices que hay que configurarle más??
 
El Mikrotik es un chicle, puedes configurarlo como te de la gana. Pero eso no quiere decir que lo que hagas esté bien hecho. Y, lo que planteas, no tiene ningún sentido. Me explico: el bridge es una interfaz lógica que puentea interfaces físicas que o bien están en el mismo dominio de broadcast o están destinadas a comunicarse de una u otra manera entre sí. Quiere decir eso que los puertos 3, 4 y 5 se comportan ahora mismo tal y como se comportaría un par de puertos del switch que tienes justo debajo. No tiene sentido partir un pool en dos y tener dos servidores DHCP en distintos puertos (de hecho no puedes, porque tal cual pones un puerto debajo del bridge, lo conviertes en esclavo del mismo, siendo el bridge su interfaz maestra, y sobre la que opera el dhcp server).

Así que, para los leases, procede como te he dicho antes, siguiendo una regla muy básica:
- Lo que nesites que tenga IP "estática" (siempre la misma IP), lo reservas fuera del pool (IPs de la .2 a la .100 en tu caso)
- Lo que te de igual qué IP coja, déjalo totalmente en dinámico, dentro del pool (IPs de la .101 a la .254 en tu caso).

Otra cosa que te puede pasar es que tú quieras aprovechar los puertos 3 y 4 para otros menesteres, y únicamente uses el puerto 5 para comunicar el router con el switch. En ese caso, podrías incluso olvidarte de la interfaz bridge, sacar todos sus puertos de él, y mover el direccionamiento a ether5. Pero insisto que no tiene ningún sentido partir un pool en dos y darle la mitad a cada puerto, con servidores dhcp independientes.

Por cierto el router de vodafone ya lo tengo conectado por dhcp, que dices que hay que configurarle más??
Vale, pregunta. El router de vodafone, ¿es un único equipo? (router al que le llega la fibra directa a él) o son dos (router + ONT). Lo digo por saber si lo que tienes que pedir es que te lo pongan en bridge, o directamente que te den los datos del PPPoE y conectar la ONT al mikrotik.

De momento, y para no tener que manejar un doble NAT, pondría el router de vodafone en DMZ con el mikrotik, lo cual significa que le mandas todo el tráfico a este último.

Y, para la regla de NAT que has metido, vamos a retocarla un poco más adelante, porque ahora mismo la tienes para una IP que está sujeta a cambios (a menos que me digas que estás pagando por IP estática y es siempre la misma).

Saludos!
 
El Mikrotik es un chicle, puedes configurarlo como te de la gana. Pero eso no quiere decir que lo que hagas esté bien hecho. Y, lo que planteas, no tiene ningún sentido. Me explico: el bridge es una interfaz lógica que puentea interfaces físicas que o bien están en el mismo dominio de broadcast o están destinadas a comunicarse de una u otra manera entre sí. Quiere decir eso que los puertos 3, 4 y 5 se comportan ahora mismo tal y como se comportaría un par de puertos del switch que tienes justo debajo. No tiene sentido partir un pool en dos y tener dos servidores DHCP en distintos puertos (de hecho no puedes, porque tal cual pones un puerto debajo del bridge, lo conviertes en esclavo del mismo, siendo el bridge su interfaz maestra, y sobre la que opera el dhcp server).

Así que, para los leases, procede como te he dicho antes, siguiendo una regla muy básica:
- Lo que nesites que tenga IP "estática" (siempre la misma IP), lo reservas fuera del pool (IPs de la .2 a la .100 en tu caso)
- Lo que te de igual qué IP coja, déjalo totalmente en dinámico, dentro del pool (IPs de la .101 a la .254 en tu caso).

Otra cosa que te puede pasar es que tú quieras aprovechar los puertos 3 y 4 para otros menesteres, y únicamente uses el puerto 5 para comunicar el router con el switch. En ese caso, podrías incluso olvidarte de la interfaz bridge, sacar todos sus puertos de él, y mover el direccionamiento a ether5. Pero insisto que no tiene ningún sentido partir un pool en dos y darle la mitad a cada puerto, con servidores dhcp independientes.


Vale, pregunta. El router de vodafone, ¿es un único equipo? (router al que le llega la fibra directa a él) o son dos (router + ONT). Lo digo por saber si lo que tienes que pedir es que te lo pongan en bridge, o directamente que te den los datos del PPPoE y conectar la ONT al mikrotik.

De momento, y para no tener que manejar un doble NAT, pondría el router de vodafone en DMZ con el mikrotik, lo cual significa que le mandas todo el tráfico a este último.

Y, para la regla de NAT que has metido, vamos a retocarla un poco más adelante, porque ahora mismo la tienes para una IP que está sujeta a cambios (a menos que me digas que estás pagando por IP estática y es siempre la misma).

Saludos!
Vale vale hare lo de dejar las IP que necesito estaticas fuera del pool, era una duda que yo tenia.

Luego respecto al router de vodafone es un router que esta conectado a una ONT lo que no habia pensado era la posibilidad de conectar directamente la ONT al mikrotik, de todas formas como tienen un servicio tecnico bastante pesimo de momento lo unico que puedo hacer es poner el router de vodafone en DMZ apuntando al mikrotik que eso lo voy a pedir esta misma tarde a ver si pueden hacerlo.

Dejo pendiente para más adelante pedir los datos de la ONT ya que tengo una reunion la semana que viene con la gente de Vodafone que querian venir a ver como lo teniamos montado para ofrecernos opciones.....

La IP que tiene configurada la NAT es estática ya que como es la fibra empresarial nos la meten en el precio.
 
Vale vale hare lo de dejar las IP que necesito estaticas fuera del pool, era una duda que yo tenia.

Luego respecto al router de vodafone es un router que esta conectado a una ONT lo que no habia pensado era la posibilidad de conectar directamente la ONT al mikrotik, de todas formas como tienen un servicio tecnico bastante pesimo de momento lo unico que puedo hacer es poner el router de vodafone en DMZ apuntando al mikrotik que eso lo voy a pedir esta misma tarde a ver si pueden hacerlo.

Dejo pendiente para más adelante pedir los datos de la ONT ya que tengo una reunion la semana que viene con la gente de Vodafone que querian venir a ver como lo teniamos montado para ofrecernos opciones.....

La IP que tiene configurada la NAT es estática ya que como es la fibra empresarial nos la meten en el precio.
A vodafone dile directamente que te dé los datos del PPPoE, que vas a montar tu propio equipo empresarial. Una vez lo tengas, la conexión sería ONT -> ether2, y te quitas el router de en medio. En el mikrotik, habría que configurar la VLAN sobre la que Vodafone entrega el servicio en el puerto ether2, y configurar el PPPoE de igual manera que telefónica, pero sobre la vlan, en lugar de ether2.

Con respecto al NAT y a la IP que dices que tienes estática. ¿te la da movistar o vodafone? ¿te dan estática ambos? Lo digo porque, si es estática, podemos modificar el NAT y convertir la regla de masquerade en una regla de source nat, mucho más eficiente. (no suele ser lo común en conexiones domésticas, por ser todas dinámicas).

Saludos!
 
A vodafone dile directamente que te dé los datos del PPPoE, que vas a montar tu propio equipo empresarial. Una vez lo tengas, la conexión sería ONT -> ether2, y te quitas el router de en medio. En el mikrotik, habría que configurar la VLAN sobre la que Vodafone entrega el servicio en el puerto ether2, y configurar el PPPoE de igual manera que telefónica, pero sobre la vlan, en lugar de ether2.

Con respecto al NAT y a la IP que dices que tienes estática. ¿te la da movistar o vodafone? ¿te dan estática ambos? Lo digo porque, si es estática, podemos modificar el NAT y convertir la regla de masquerade en una regla de source nat, mucho más eficiente. (no suele ser lo común en conexiones domésticas, por ser todas dinámicas).

Saludos!

Vale pues te digo, las dos IPs publicas de los ISP son estáticas porque utilizamos varias apps que lo requerían por lo que si me dices que pasando la nat que era dst a src va a ser más eficiente a ello que me pongo.
 
Arriba