Problema con red un poco compleja

Buenas!

Lo primero agradeceros el foro recopilando la informacion y el conocimiento que compartis, yo he leido mucho y ahora es la primera vez que escribo

Vereis yo tengo una red un poco compleja en casa porque tengo una casa grande domotizada , hasta hace unas semanas tenia el router todo en 1 que pone O2
pero estas vacaciones ha sido un infierno porque se ha jodido como 3 veces y me ha tocado pedir favores para que vayan a reiniciarlo y he decidido dar un paso mas alla y cambiarlo.

Aparte de esos elementos ya descritos tengo 2 switches mas : Uno de 8 puertos PoE para las camaras y otro cisco de 16 puertos que conecta con todos los puntos RJ45 que puse en la reforma de la casa. Tambien he dejado un router TPLink antiguo que tengo
como red wifi 2,4GHz porque tengo elementos domoticos que no son compatibles con redes 5GHz

En primer lugar decidi quitar los 3 repetidores wifi que tenia por la casa y hacer una red mesh y compre el google router y una ont de ubiquiti.
Tras varios intentos vi que no me podia valer como router ppal por el identificador de vlan asi que decidi usarlo en modo bridge para los dispositivos "humanos" y meter un router mas serio entre la ONT y el resto de la casa.

Fue cuando compre el Mikrotik Hex S para ponerlo a controlar a todos los actores en escena , yo no tenia ni idea de RouterOS pero como soy un optimista dije que ya aprenderia como he aprendido con lo demas

El tema es que tras varios hilos y paginas consegui configurarlo todo y funcionaba estable , pero tenia un problema que las pruebas de velocidad no me pasaban de 90M ni en la red cableada ni en la movil asi que decidi cortar por lo sano
hice backup de mi configuracion y fusile el script de configuracion que compartis , asi hacia tabula rasa y deberia ir todo bien . Pues mi gozo en un pozo , sigue con los 90M , pero es que ademas ahora los elementos de la red cableada no los veo
desde la red movil y es una jodienda , no me gustaria tener que migrar todos los elementos de la red cableada al nuevo segmento de red por varios motivos.

Y para colmo de males tuve el error de novato de no guardarme el backup en local en lugar de en el router , por lo que lo he perdido


Entonces tengo 2 problemas a ver si me podeis echar una mano:
*) Como puedo poner el bridge o lo que sea necesario sobre la configuracion base para que las 2 redes 192.168.1.X y 192.168.88.X se puedan ver
*) Como puedo mejorar el rendimiento de la red en velocidad , honestamente esto es ya mas por cabezoneria que otra cosa porque con 90M voy sobrao. Debe ser un problema de parametrizacion de algun tipo porque con la ONT me media los 600M que debo tener

Muchas gracias!

Router deja únicamente el mikrotik, y el resto, como mucho, como AP's en modo bridge. Y, si me pides opinión seria, yo pondría a la venta ONT, router Google TP-LINK y el AP de Ubiquiti, y con lo que saques por ellos compraba un par de cAP-AC's, para manejarlos desde el mikrotik vía CAPsMAN, separando el tráfico (tráfico de IOT separado del tuyo local). Y el HGU, en monopuesto (para cuando se te joda algo no tengas que andar tirando de armario para volver a montar el HGU antes de llamar a telefónica), que hace perfectamente de ONT y no da problema.

No obstante, vamos por el principio, pásanos un export de ese router, qué configuración tiene y de dónde te puede venir el problema de la velocidad.

Saludos!

pokoyo dijo:

Router deja únicamente el mikrotik, y el resto, como mucho, como AP's en modo bridge. Y, si me pides opinión seria, yo pondría a la venta ONT, router Google TP-LINK y el AP de Ubiquiti, y con lo que saques por ellos compraba un par de cAP-AC's, para manejarlos desde el mikrotik vía CAPsMAN, separando el tráfico (tráfico de IOT separado del tuyo local). Y el HGU, en monopuesto (para cuando se te joda algo no tengas que andar tirando de armario para volver a montar el HGU antes de llamar a telefónica), que hace perfectamente de ONT y no da problema.

No obstante, vamos por el principio, pásanos un export de ese router, qué configuración tiene y de dónde te puede venir el problema de la velocidad.

Saludos!

Haz clic para expandir...

Buenas!

Con los cAP-ACs puedo gestionar redes wifi en 2GHz?
el HGU en monopuesto va bien ? porque si es asi puedo devolver aun la ONT
Adjunto el export , aunque me parece que saca poca info

aug/28/2021 20:45:26 by RouterOS 6.47.9
# software id = 7XS7-EI8J
#
# model = RB760iGS
# serial number = E1F10E004667
/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=\
192.168.88.0/24 src-address=192.168.88.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="default configuration" \
out-interface=pppoe-out1
add action=masquerade chain=srcnat comment="default configuration" \
out-interface=vlan3
add action=dst-nat chain=dstnat comment=Web-Admin dst-address-list=public-ip \
dst-port=443 protocol=tcp to-addresses=192.168.1.189 to-ports=3000
add action=dst-nat chain=dstnat dst-port=3000 in-interface-list=all protocol=\
tcp to-addresses=192.168.1.189 to-ports=3000

Sí, el HGU en monopuesto va bien. Al final es el mikrotik el que maneja la red, así que mientras al otro no le falte corriente, mucho más no necesita hacer.
Y los APs que te digo son doble banda, 2,4 y 5GHz, así que tendrías ambas redes emitiendo al unísono, y en cada AP.

Ese router así es un peligro público. No llevas firewall, la versión de RouterOS está desactualizada y dime por Dios que por lo menos le pusiste una password al usuario admin (sino estás a pelo expuesto a internet)

Léete el manual de primeros pasos, actualiza el equipo, crea un usuario con todos los permisos y borra admin, y no partas de un router sin configuración si no tienes experiencia. Deja que el router coja la configuración por defecto y, para cualquier particularidad, usa el quick setup. Hecho esto, sólo tienes que hacer unas pequeñas modificaciones para crear la vlan para navegar y el cliente PPPoE y estás andando.

Saludos!

froiland78 dijo:

Buenas!

Con los cAP-ACs puedo gestionar redes wifi en 2GHz?
el HGU en monopuesto va bien ? porque si es asi puedo devolver aun la ONT
Adjunto el export , aunque me parece que saca poca info

aug/28/2021 20:45:26 by RouterOS 6.47.9
# software id = 7XS7-EI8J
#
# model = RB760iGS
# serial number = E1F10E004667
/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=\
192.168.88.0/24 src-address=192.168.88.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="default configuration" \
out-interface=pppoe-out1
add action=masquerade chain=srcnat comment="default configuration" \
out-interface=vlan3
add action=dst-nat chain=dstnat comment=Web-Admin dst-address-list=public-ip \
dst-port=443 protocol=tcp to-addresses=192.168.1.189 to-ports=3000
add action=dst-nat chain=dstnat dst-port=3000 in-interface-list=all protocol=\
tcp to-addresses=192.168.1.189 to-ports=3000

Haz clic para expandir...

Tu red no es compleja.. es un setup más común de ll que te piensas..

Yo, por ejemplo, tengo domotica variada, pcs, portatiles, un par de nas,…. Y mi setup es:

ONT (que hasta hace poco tenía el HGU en monopuesto) conectado a un mikrotik y del mikrotik salen dos switch donde tengo los cableado y un AP Ubiquiti para el wifi (emite en doble banda, y a parte, una red de invitados para el que viene de fuera, no ande metido en mi red interna)

Y todo lo q te digo, con un quicksetup y la plantilla de serie, lo tienes funcionando en un periquete…

froiland78 dijo:

Buenas!

Lo primero agradeceros el foro recopilando la informacion y el conocimiento que compartis, yo he leido mucho y ahora es la primera vez que escribo

Vereis yo tengo una red un poco compleja en casa porque tengo una casa grande domotizada , hasta hace unas semanas tenia el router todo en 1 que pone O2
pero estas vacaciones ha sido un infierno porque se ha jodido como 3 veces y me ha tocado pedir favores para que vayan a reiniciarlo y he decidido dar un paso mas alla y cambiarlo.

Aparte de esos elementos ya descritos tengo 2 switches mas : Uno de 8 puertos PoE para las camaras y otro cisco de 16 puertos que conecta con todos los puntos RJ45 que puse en la reforma de la casa. Tambien he dejado un router TPLink antiguo que tengo
como red wifi 2,4GHz porque tengo elementos domoticos que no son compatibles con redes 5GHz

En primer lugar decidi quitar los 3 repetidores wifi que tenia por la casa y hacer una red mesh y compre el google router y una ont de ubiquiti.
Tras varios intentos vi que no me podia valer como router ppal por el identificador de vlan asi que decidi usarlo en modo bridge para los dispositivos "humanos" y meter un router mas serio entre la ONT y el resto de la casa.

Fue cuando compre el Mikrotik Hex S para ponerlo a controlar a todos los actores en escena , yo no tenia ni idea de RouterOS pero como soy un optimista dije que ya aprenderia como he aprendido con lo demas

El tema es que tras varios hilos y paginas consegui configurarlo todo y funcionaba estable , pero tenia un problema que las pruebas de velocidad no me pasaban de 90M ni en la red cableada ni en la movil asi que decidi cortar por lo sano
hice backup de mi configuracion y fusile el script de configuracion que compartis , asi hacia tabula rasa y deberia ir todo bien . Pues mi gozo en un pozo , sigue con los 90M , pero es que ademas ahora los elementos de la red cableada no los veo
desde la red movil y es una jodienda , no me gustaria tener que migrar todos los elementos de la red cableada al nuevo segmento de red por varios motivos.

Y para colmo de males tuve el error de novato de no guardarme el backup en local en lugar de en el router , por lo que lo he perdido


Entonces tengo 2 problemas a ver si me podeis echar una mano:
*) Como puedo poner el bridge o lo que sea necesario sobre la configuracion base para que las 2 redes 192.168.1.X y 192.168.88.X se puedan ver
*) Como puedo mejorar el rendimiento de la red en velocidad , honestamente esto es ya mas por cabezoneria que otra cosa porque con 90M voy sobrao. Debe ser un problema de parametrizacion de algun tipo porque con la ONT me media los 600M que debo tener

Muchas gracias!

Haz clic para expandir...

Porqué tienes dos segmentos de red?? Por algo en especial?

Buenas!

He usado el quicksetup y ahora veo ambas intranets entre ellas, usuario securizado (siempre) y revisando el log que no tengo sorpresas
He cambiado el rango de red del quicksetup al 192.168.1.X en lugar del .88 que viene por defecto
Lo unico que no me chuta bien es la velocidad , hare el cambio de los bridges por APs pero eso no justifica que en la red cableada me salga tambien los 90M

# aug/28/2021 21:55:15 by RouterOS 6.47.9
# software id = 7XS7-EI8J
#
# model = RB760iGS
# serial number = E1F10E004667
/interface bridge
add admin-mac=2C:C8:1B:69:43:CC auto-mac=no comment=defconf name=bridge
/interface vlan
add interface=ether1 name=vlan6 vlan-id=6
/interface pppoe-client
add add-default-route=yes allow=pap,chap disabled=no interface=vlan6 name=\
pppoe-out1 use-peer-dns=yes user=adslppp@telefonicanetpa
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.1.10-192.168.1.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=sfp1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=pppoe-out1 list=WAN
/ip address
add address=192.168.1.1/24 comment=defconf interface=ether2 network=\
192.168.1.0
/ip dhcp-client
add comment=defconf interface=ether1
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf gateway=192.168.1.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.1.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
add address=::224.0.0.0/100 comment="defconf: other" list=bad_ipv6
add address=::127.0.0.0/104 comment="defconf: other" list=bad_ipv6
add address=::/104 comment="defconf: other" list=bad_ipv6
add address=::255.0.0.0/104 comment="defconf: other" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
33434-33534 protocol=udp
add action=accept chain=input comment=\
"defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
ipsec-esp
add action=accept chain=input comment=\
"defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
"defconf: drop everything else not coming from LAN" in-interface-list=\
!LAN
add action=accept chain=forward comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
"defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
ipsec-esp
add action=accept chain=forward comment=\
"defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
"defconf: drop everything else not coming from LAN" in-interface-list=\
!LAN
/system clock
set time-zone-name=Europe/Madrid
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

huzoaaz dijo:

Porqué tienes dos segmentos de red?? Por algo en especial?

Haz clic para expandir...

Pues puse 2 segmentos por aislar la zona mesh del resto de cableado , pero si va a ser complicar la peli , lo dejo en 1

froiland78 dijo:

Pues puse 2 segmentos por aislar la zona mesh del resto de cableado , pero si va a ser complicar la peli , lo dejo en 1

Haz clic para expandir...

Perdona que siga preguntando: aislar por algo en particular?

Zona mesh te refieres a la parte inalambrica?

huzoaaz dijo:

Perdona que siga preguntando: aislar por algo en particular?

Zona mesh te refieres a la parte inalambrica?

Haz clic para expandir...

En realidad la idea original es que fuera una red mesh a partir del google router pero al ponerlo en modo bridge ya no es mesh. La red wifi IOT nunca estuvo en ese segmento.

froiland78 dijo:

En realidad la idea original es que fuera una red mesh a partir del google router pero al ponerlo en modo bridge ya no es mesh. La red wifi IOT nunca estuvo en ese segmento.

Haz clic para expandir...

Si quieres mi consejo, metete con un setup como el q te he comentado que tengo yo…..

Parte del mikrotik actualizado y con el quicksetup y la plantilla que carga…. Y ya verás lo fino q va a ir todo..

Mira los manuales de por aqui….

Si si , eso es lo que hecho ahora y debe ser lo que sale en el ultimo export que te comparti. Ahora mismo parece que funciona todo ok solo falta el tema del tunning

froiland78 dijo:

Si si , eso es lo que hecho ahora y debe ser lo que sale en el ultimo export que te comparti. Ahora mismo parece que funciona todo ok solo falta el tema del tunning

Haz clic para expandir...

Tiene mucho tunning, créeme…. Pero partiendo de la base que ya tienes, con un firewall funcionando, puedes meterte con configurar un servidor VPN, por ejemplo, aprovechando la ddns que da Mikrotik…

Pero lo demás, con la base ya tienes mucho hecho..

Cualquier cosa, comenta… que aquí hay gente que sabe porrón y medio (los que han montado los manuales)…. Gente muy maja y con ganas de ayudar….

Haz caso a los consejos que te den, y lo puedes dejar fino fino, tanto el mikrotik como la red en general…..

huzoaaz dijo:

Tiene mucho tunning, créeme…. Pero partiendo de la base que ya tienes, con un firewall funcionando, puedes meterte con configurar un servidor VPN, por ejemplo, aprovechando la ddns que da Mikrotik…

Pero lo demás, con la base ya tienes mucho hecho..

Cualquier cosa, comenta… que aquí hay gente que sabe porrón y medio (los que han montado los manuales)…. Gente muy maja y con ganas de ayudar….

Haz caso a los consejos que te den, y lo puedes dejar fino fino, tanto el mikrotik como la red en general…..

Haz clic para expandir...

Muchas gracias! Seguire percutiendo

Bueno

Ya me he puesto a hacer pruebas completas desde dentro y fuera de la casa y estoy teniendo problemas con la redireccion de puertos

Necesito redirigir varios puertos para :

Domotica (Loxone)
Servidor de estadisticas (Grafana)
Visor de camaras (blueIris)

He configurado el redireccionado de puertos como lo hacia antes y solo me funciona Loxone a traves de su app , pero los otros 2 no abren en el navegador .

He probado con la opcion detallada en tips and tricks(Truco: Hairpin NAT [NAT Loopback]) y no me funciona ni el de loxone. Debo tener algo incompatible


adjunto

Pásame un export del equipo completo y lo miro. ¿cómo lo tienes ahora, con el HGU en monopuesto o con la ONT?

Por otro lado, yo pensaría en ir montando una VPN. Te cuesta dos clicks desde el quick set, y te evita abrir puertos para un montón de servicios que NO deberían estar expuestos a internet. Recuerda que, si llegas tú, llega cualquiera.

Saludos!

Buenas

De momento sigo con la misma configuracion hw que ayer, voy a echar un ojo a lo de la vpn pero el problema de la vpn no es mi movil , es el de mi mujer etc
Actualizacion , he conseguido acceder usando el https://serial.sn.mynetname.net en lugar de la ipwan a pelo , esa solucion es mas elegante y me vale
Sigo percutiendo

Saludos

Pero dime por dios que tienes el equipo actualizado, con una contraseña de admin fuerte, y con la configuración por defecto, en lugar de arrancar desde cero. ¿Es así?

Saludos!

Buenas!

Si , si eso esta desde ayer , la version del firmware es de Febrero de este año , luego cuando lo tenga todo estable actualizo a la ultima version estable.

Saludos

froiland78 dijo:

Buenas!

Si , si eso esta desde ayer , la version del firmware es de Febrero de este año , luego cuando lo tenga todo estable actualizo a la ultima version estable.

Saludos

Haz clic para expandir...

De febrero de este año? La versión estable es de hace una semana o menos!

Anda, selecciona la rama estable en la actualización de paquetes, no la long term.

Saludos!