Problema con red un poco compleja

Buenas!

Lo primero agradeceros el foro recopilando la informacion y el conocimiento que compartis, yo he leido mucho y ahora es la primera vez que escribo :)

Vereis yo tengo una red un poco compleja en casa porque tengo una casa grande domotizada , hasta hace unas semanas tenia el router todo en 1 que pone O2
pero estas vacaciones ha sido un infierno porque se ha jodido como 3 veces y me ha tocado pedir favores para que vayan a reiniciarlo y he decidido dar un paso mas alla y cambiarlo.

Aparte de esos elementos ya descritos tengo 2 switches mas : Uno de 8 puertos PoE para las camaras y otro cisco de 16 puertos que conecta con todos los puntos RJ45 que puse en la reforma de la casa. Tambien he dejado un router TPLink antiguo que tengo
como red wifi 2,4GHz porque tengo elementos domoticos que no son compatibles con redes 5GHz

En primer lugar decidi quitar los 3 repetidores wifi que tenia por la casa y hacer una red mesh y compre el google router y una ont de ubiquiti.
Tras varios intentos vi que no me podia valer como router ppal por el identificador de vlan asi que decidi usarlo en modo bridge para los dispositivos "humanos" y meter un router mas serio entre la ONT y el resto de la casa.

Fue cuando compre el Mikrotik Hex S para ponerlo a controlar a todos los actores en escena , yo no tenia ni idea de RouterOS pero como soy un optimista dije que ya aprenderia como he aprendido con lo demas :)

El tema es que tras varios hilos y paginas consegui configurarlo todo y funcionaba estable , pero tenia un problema que las pruebas de velocidad no me pasaban de 90M ni en la red cableada ni en la movil asi que decidi cortar por lo sano
hice backup de mi configuracion y fusile el script de configuracion que compartis , asi hacia tabula rasa y deberia ir todo bien . Pues mi gozo en un pozo , sigue con los 90M , pero es que ademas ahora los elementos de la red cableada no los veo
desde la red movil y es una jodienda , no me gustaria tener que migrar todos los elementos de la red cableada al nuevo segmento de red por varios motivos.

Y para colmo de males tuve el error de novato de no guardarme el backup en local en lugar de en el router , por lo que lo he perdido :(


Entonces tengo 2 problemas a ver si me podeis echar una mano:
*) Como puedo poner el bridge o lo que sea necesario sobre la configuracion base para que las 2 redes 192.168.1.X y 192.168.88.X se puedan ver
*) Como puedo mejorar el rendimiento de la red en velocidad , honestamente esto es ya mas por cabezoneria que otra cosa porque con 90M voy sobrao. Debe ser un problema de parametrizacion de algun tipo porque con la ONT me media los 600M que debo tener

Muchas gracias!
 

Adjuntos

  • red.PNG
    red.PNG
    267.8 KB · Visitas: 64
Router deja únicamente el mikrotik, y el resto, como mucho, como AP's en modo bridge. Y, si me pides opinión seria, yo pondría a la venta ONT, router Google TP-LINK y el AP de Ubiquiti, y con lo que saques por ellos compraba un par de cAP-AC's, para manejarlos desde el mikrotik vía CAPsMAN, separando el tráfico (tráfico de IOT separado del tuyo local). Y el HGU, en monopuesto (para cuando se te joda algo no tengas que andar tirando de armario para volver a montar el HGU antes de llamar a telefónica), que hace perfectamente de ONT y no da problema.

No obstante, vamos por el principio, pásanos un export de ese router, qué configuración tiene y de dónde te puede venir el problema de la velocidad.

Saludos!
 
Router deja únicamente el mikrotik, y el resto, como mucho, como AP's en modo bridge. Y, si me pides opinión seria, yo pondría a la venta ONT, router Google TP-LINK y el AP de Ubiquiti, y con lo que saques por ellos compraba un par de cAP-AC's, para manejarlos desde el mikrotik vía CAPsMAN, separando el tráfico (tráfico de IOT separado del tuyo local). Y el HGU, en monopuesto (para cuando se te joda algo no tengas que andar tirando de armario para volver a montar el HGU antes de llamar a telefónica), que hace perfectamente de ONT y no da problema.

No obstante, vamos por el principio, pásanos un export de ese router, qué configuración tiene y de dónde te puede venir el problema de la velocidad.

Saludos!
Buenas!

Con los cAP-ACs puedo gestionar redes wifi en 2GHz?
el HGU en monopuesto va bien ? porque si es asi puedo devolver aun la ONT
Adjunto el export , aunque me parece que saca poca info :(

aug/28/2021 20:45:26 by RouterOS 6.47.9
# software id = 7XS7-EI8J
#
# model = RB760iGS
# serial number = E1F10E004667
/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=\
192.168.88.0/24 src-address=192.168.88.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="default configuration" \
out-interface=pppoe-out1
add action=masquerade chain=srcnat comment="default configuration" \
out-interface=vlan3
add action=dst-nat chain=dstnat comment=Web-Admin dst-address-list=public-ip \
dst-port=443 protocol=tcp to-addresses=192.168.1.189 to-ports=3000
add action=dst-nat chain=dstnat dst-port=3000 in-interface-list=all protocol=\
tcp to-addresses=192.168.1.189 to-ports=3000
 
Sí, el HGU en monopuesto va bien. Al final es el mikrotik el que maneja la red, así que mientras al otro no le falte corriente, mucho más no necesita hacer.
Y los APs que te digo son doble banda, 2,4 y 5GHz, así que tendrías ambas redes emitiendo al unísono, y en cada AP.

Ese router así es un peligro público. No llevas firewall, la versión de RouterOS está desactualizada y dime por Dios que por lo menos le pusiste una password al usuario admin (sino estás a pelo expuesto a internet)

Léete el manual de primeros pasos, actualiza el equipo, crea un usuario con todos los permisos y borra admin, y no partas de un router sin configuración si no tienes experiencia. Deja que el router coja la configuración por defecto y, para cualquier particularidad, usa el quick setup. Hecho esto, sólo tienes que hacer unas pequeñas modificaciones para crear la vlan para navegar y el cliente PPPoE y estás andando.

Saludos!
 
Buenas!

Con los cAP-ACs puedo gestionar redes wifi en 2GHz?
el HGU en monopuesto va bien ? porque si es asi puedo devolver aun la ONT
Adjunto el export , aunque me parece que saca poca info :(

aug/28/2021 20:45:26 by RouterOS 6.47.9
# software id = 7XS7-EI8J
#
# model = RB760iGS
# serial number = E1F10E004667
/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=\
192.168.88.0/24 src-address=192.168.88.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="default configuration" \
out-interface=pppoe-out1
add action=masquerade chain=srcnat comment="default configuration" \
out-interface=vlan3
add action=dst-nat chain=dstnat comment=Web-Admin dst-address-list=public-ip \
dst-port=443 protocol=tcp to-addresses=192.168.1.189 to-ports=3000
add action=dst-nat chain=dstnat dst-port=3000 in-interface-list=all protocol=\
tcp to-addresses=192.168.1.189 to-ports=3000

Tu red no es compleja.. es un setup más común de ll que te piensas..

Yo, por ejemplo, tengo domotica variada, pcs, portatiles, un par de nas,…. Y mi setup es:

ONT (que hasta hace poco tenía el HGU en monopuesto) conectado a un mikrotik y del mikrotik salen dos switch donde tengo los cableado y un AP Ubiquiti para el wifi (emite en doble banda, y a parte, una red de invitados para el que viene de fuera, no ande metido en mi red interna)

Y todo lo q te digo, con un quicksetup y la plantilla de serie, lo tienes funcionando en un periquete…
 
Buenas!

Lo primero agradeceros el foro recopilando la informacion y el conocimiento que compartis, yo he leido mucho y ahora es la primera vez que escribo :)

Vereis yo tengo una red un poco compleja en casa porque tengo una casa grande domotizada , hasta hace unas semanas tenia el router todo en 1 que pone O2
pero estas vacaciones ha sido un infierno porque se ha jodido como 3 veces y me ha tocado pedir favores para que vayan a reiniciarlo y he decidido dar un paso mas alla y cambiarlo.

Aparte de esos elementos ya descritos tengo 2 switches mas : Uno de 8 puertos PoE para las camaras y otro cisco de 16 puertos que conecta con todos los puntos RJ45 que puse en la reforma de la casa. Tambien he dejado un router TPLink antiguo que tengo
como red wifi 2,4GHz porque tengo elementos domoticos que no son compatibles con redes 5GHz

En primer lugar decidi quitar los 3 repetidores wifi que tenia por la casa y hacer una red mesh y compre el google router y una ont de ubiquiti.
Tras varios intentos vi que no me podia valer como router ppal por el identificador de vlan asi que decidi usarlo en modo bridge para los dispositivos "humanos" y meter un router mas serio entre la ONT y el resto de la casa.

Fue cuando compre el Mikrotik Hex S para ponerlo a controlar a todos los actores en escena , yo no tenia ni idea de RouterOS pero como soy un optimista dije que ya aprenderia como he aprendido con lo demas :)

El tema es que tras varios hilos y paginas consegui configurarlo todo y funcionaba estable , pero tenia un problema que las pruebas de velocidad no me pasaban de 90M ni en la red cableada ni en la movil asi que decidi cortar por lo sano
hice backup de mi configuracion y fusile el script de configuracion que compartis , asi hacia tabula rasa y deberia ir todo bien . Pues mi gozo en un pozo , sigue con los 90M , pero es que ademas ahora los elementos de la red cableada no los veo
desde la red movil y es una jodienda , no me gustaria tener que migrar todos los elementos de la red cableada al nuevo segmento de red por varios motivos.

Y para colmo de males tuve el error de novato de no guardarme el backup en local en lugar de en el router , por lo que lo he perdido :(


Entonces tengo 2 problemas a ver si me podeis echar una mano:
*) Como puedo poner el bridge o lo que sea necesario sobre la configuracion base para que las 2 redes 192.168.1.X y 192.168.88.X se puedan ver
*) Como puedo mejorar el rendimiento de la red en velocidad , honestamente esto es ya mas por cabezoneria que otra cosa porque con 90M voy sobrao. Debe ser un problema de parametrizacion de algun tipo porque con la ONT me media los 600M que debo tener

Muchas gracias!

Porqué tienes dos segmentos de red?? Por algo en especial?
 
Buenas!

He usado el quicksetup y ahora veo ambas intranets entre ellas, usuario securizado (siempre) y revisando el log que no tengo sorpresas :)
He cambiado el rango de red del quicksetup al 192.168.1.X en lugar del .88 que viene por defecto
Lo unico que no me chuta bien es la velocidad , hare el cambio de los bridges por APs pero eso no justifica que en la red cableada me salga tambien los 90M :)

# aug/28/2021 21:55:15 by RouterOS 6.47.9
# software id = 7XS7-EI8J
#
# model = RB760iGS
# serial number = E1F10E004667
/interface bridge
add admin-mac=2C:C8:1B:69:43:CC auto-mac=no comment=defconf name=bridge
/interface vlan
add interface=ether1 name=vlan6 vlan-id=6
/interface pppoe-client
add add-default-route=yes allow=pap,chap disabled=no interface=vlan6 name=\
pppoe-out1 use-peer-dns=yes user=adslppp@telefonicanetpa
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.1.10-192.168.1.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=sfp1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=pppoe-out1 list=WAN
/ip address
add address=192.168.1.1/24 comment=defconf interface=ether2 network=\
192.168.1.0
/ip dhcp-client
add comment=defconf interface=ether1
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf gateway=192.168.1.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.1.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
add address=::224.0.0.0/100 comment="defconf: other" list=bad_ipv6
add address=::127.0.0.0/104 comment="defconf: other" list=bad_ipv6
add address=::/104 comment="defconf: other" list=bad_ipv6
add address=::255.0.0.0/104 comment="defconf: other" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
33434-33534 protocol=udp
add action=accept chain=input comment=\
"defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
ipsec-esp
add action=accept chain=input comment=\
"defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
"defconf: drop everything else not coming from LAN" in-interface-list=\
!LAN
add action=accept chain=forward comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
"defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
ipsec-esp
add action=accept chain=forward comment=\
"defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
"defconf: drop everything else not coming from LAN" in-interface-list=\
!LAN
/system clock
set time-zone-name=Europe/Madrid
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
 
Perdona que siga preguntando: aislar por algo en particular?

Zona mesh te refieres a la parte inalambrica?
En realidad la idea original es que fuera una red mesh a partir del google router pero al ponerlo en modo bridge ya no es mesh. La red wifi IOT nunca estuvo en ese segmento.
 
En realidad la idea original es que fuera una red mesh a partir del google router pero al ponerlo en modo bridge ya no es mesh. La red wifi IOT nunca estuvo en ese segmento.

Si quieres mi consejo, metete con un setup como el q te he comentado que tengo yo…..

Parte del mikrotik actualizado y con el quicksetup y la plantilla que carga…. Y ya verás lo fino q va a ir todo..

Mira los manuales de por aqui….
 
Si si , eso es lo que hecho ahora y debe ser lo que sale en el ultimo export que te comparti. Ahora mismo parece que funciona todo ok solo falta el tema del tunning :)
 
Si si , eso es lo que hecho ahora y debe ser lo que sale en el ultimo export que te comparti. Ahora mismo parece que funciona todo ok solo falta el tema del tunning :)

Tiene mucho tunning, créeme…. Pero partiendo de la base que ya tienes, con un firewall funcionando, puedes meterte con configurar un servidor VPN, por ejemplo, aprovechando la ddns que da Mikrotik…

Pero lo demás, con la base ya tienes mucho hecho..

Cualquier cosa, comenta… que aquí hay gente que sabe porrón y medio (los que han montado los manuales)…. Gente muy maja y con ganas de ayudar….

Haz caso a los consejos que te den, y lo puedes dejar fino fino, tanto el mikrotik como la red en general…..
 
Tiene mucho tunning, créeme…. Pero partiendo de la base que ya tienes, con un firewall funcionando, puedes meterte con configurar un servidor VPN, por ejemplo, aprovechando la ddns que da Mikrotik…

Pero lo demás, con la base ya tienes mucho hecho..

Cualquier cosa, comenta… que aquí hay gente que sabe porrón y medio (los que han montado los manuales)…. Gente muy maja y con ganas de ayudar….

Haz caso a los consejos que te den, y lo puedes dejar fino fino, tanto el mikrotik como la red en general…..
Muchas gracias! Seguire percutiendo :)
 
Bueno

Ya me he puesto a hacer pruebas completas desde dentro y fuera de la casa y estoy teniendo problemas con la redireccion de puertos

Necesito redirigir varios puertos para :

Domotica (Loxone)
Servidor de estadisticas (Grafana)
Visor de camaras (blueIris)

He configurado el redireccionado de puertos como lo hacia antes y solo me funciona Loxone a traves de su app , pero los otros 2 no abren en el navegador .

He probado con la opcion detallada en tips and tricks(Truco: Hairpin NAT [NAT Loopback]) y no me funciona ni el de loxone. Debo tener algo incompatible


adjunto
 

Adjuntos

  • puertos.PNG
    puertos.PNG
    10.7 KB · Visitas: 34
Pásame un export del equipo completo y lo miro. ¿cómo lo tienes ahora, con el HGU en monopuesto o con la ONT?

Por otro lado, yo pensaría en ir montando una VPN. Te cuesta dos clicks desde el quick set, y te evita abrir puertos para un montón de servicios que NO deberían estar expuestos a internet. Recuerda que, si llegas tú, llega cualquiera.

Saludos!
 
Buenas

De momento sigo con la misma configuracion hw que ayer, voy a echar un ojo a lo de la vpn pero el problema de la vpn no es mi movil , es el de mi mujer etc :)
Actualizacion , he conseguido acceder usando el https://serial.sn.mynetname.net en lugar de la ipwan a pelo , esa solucion es mas elegante y me vale :)
Sigo percutiendo

Saludos
 
Pero dime por dios que tienes el equipo actualizado, con una contraseña de admin fuerte, y con la configuración por defecto, en lugar de arrancar desde cero. ¿Es así?

Saludos!
 
Buenas!

Si , si eso esta desde ayer , la version del firmware es de Febrero de este año , luego cuando lo tenga todo estable actualizo a la ultima version estable.

Saludos
 
Buenas!

Si , si eso esta desde ayer , la version del firmware es de Febrero de este año , luego cuando lo tenga todo estable actualizo a la ultima version estable.

Saludos
De febrero de este año? La versión estable es de hace una semana o menos!

Anda, selecciona la rama estable en la actualización de paquetes, no la long term.

Saludos!
 
Arriba