Quiero probar con mikrotik

Mañana intento detallar algo más
Con RIP no he conseguido nada. Sin RIP se genera una dirección en IGM Proxy, dejando en Pref.Source cada una de las 5 direcciones en 1. Es decir, si la la red es 10.2.2.0 en Pref.Source 10.2.2.1
 
Hola!

Es este post de hace mucho tiempo se hace referencia a rutas de Vodafone TV. En lugar de poner 10.x.x.x utilizo esas rutas. Es más fácil comprender

Rutas estáticas:
10.8.57.0/24
10.8.58.0/24
10.8.59.0/24
10.15.220.0/24
10.179.32.0/23

Lo que comentaba. Con RIP activo bastante tiempo no se generan rutas. Después otras pruebas fueron con las 5 rutas activas y RIP desactivado :

* Pref.Source en blanco. No genera rutas en IGM Proxy, MFC
* Pref.Source con IP tivo. No genera rutas en IGM Proxy, MFC
* Pref.Source con rango IP tivo terminada en 1. No genera rutas en IGM Proxy, MFC
* Pref.Source con 10.8.57.1; 10.8.58.1; 10.8.59.1; 10.15.220.1; 10.179.32.1. Sí genera 1 ruta en IGM Proxy, MFC

En cada cambio reinicio de MK y deco TV pero no ONT. El deco muestra información de la conexión a internet y en todas las pruebas dice que no tiene conexión

He cargado la configuración del compañero de bandaancha. Con esta dice que sí tiene conexión a internet, se visualiza la guía, grabaciones, etc aunque no se ve imagen. He comparado ambas configuraciones. Tecleo lo que he visto pero sin saber lo que escribo :)

Una diferencia que creo entendí es que nosotros para un mayor rendimiento separamos ether2 del bridge para activar ahí IGM Snooping en lugar de hacerlo en todo el bridge, por lo que algunas diferencias serán basadas en eso.

* Vlan con id 20 dentro del bridge
* No hay lista de interfaces
* Ambos pool en red 192.168.0
* Dhcp server solo en bridge
* Neighbour discovery vacío
* IP address solo en bridge
* Dhcp server network. En una de las redes hay DNS (google)
* Firewall filter con menos reglas
* Firewall mangle no tiene passthrough=yes
* Firewall masquerade diferentes
* Routing IGMM Proxy en bridge

Escribo todo esto por si nos ayuda pero ni caso si no tiene ninguna utilidad
Gracias!
 
Hola. Buenas noches. Disculpa la tardanza en contestarte, pero con lo de la nevada he estado toda el día ocupado.

Vamos por partes:

Rutas estáticas:
10.8.57.0/24
10.8.58.0/24
10.8.59.0/24
10.15.220.0/24
10.179.32.0/23
Te subo al final una nueva configuración, con lo de bridge-LAN a una vlan. No entiendo muy bien porqué es esto, pero por si acaso. También hemos eliminado la separación del bridge en dos partes, para hacerlo lo más parecido al compañero de bandaancha.eu, a ver que pasa, tras lo que me has dicho. He puesto estas rutas estáticas, pero si tu tienes otras, cámbialas (puede que Vodafone baje rutas distintas dependiendo de la zona, o haya variado algo su CDN).

* Pref.Source con 10.8.57.1; 10.8.58.1; 10.8.59.1; 10.15.220.1; 10.179.32.1. Sí genera 1 ruta en IGM Proxy, MFC
Si el IGMP-proxy genera MFC con el pref-source a esos valores, es que ese debe ser el camino.

He cargado la configuración del compañero de bandaancha. Con esta dice que sí tiene conexión a internet, se visualiza la guía, grabaciones, etc aunque no se ve imagen. He comparado ambas configuraciones. Tecleo lo que he visto pero sin saber lo que escribo :)
Si se ve la guía, grabaciones y tal, es que ese es el camino, y hay que ir tirando de ese hilo. Por eso he cambiado la config.

Una diferencia que creo entendí es que nosotros para un mayor rendimiento separamos ether2 del bridge para activar ahí IGM Snooping en lugar de hacerlo en todo el bridge, por lo que algunas diferencias serán basadas en eso.
Lo separamos para que el resto del bridge pueda aprovechar el Hardware Offloading y vaya más rápido. Esto es incompatible con usar la opción del IGMP-snooping (que hay que usarlo para que los paquetes de multicast solo vayan al desco, o a quien lo demande, pero no inunden la red, en especial, la parte de WiFi. Vamos a probar, como te decía, con el bridge completo y activando el IGMP-snooping, a ver que pasa.

* Vlan con id 20 dentro del bridge
Esto no sé porqué lo pone. Lo he puesto en la config, por si acaso, pero no le veo mucho sentido ¿qué opinas, @pokoyo ?

No hay lista de interfaces
Esto no es relevante, no pasa nada. En principio, seguimos con ellas.

* Ambos pool en red 192.168.0
* Dhcp server solo en bridge
* Neighbour discovery vacío
* IP address solo en bridge
puesto. Vamos a ver que pasa. Lo más relevante es tener una única interfaz (bridge-LAN), con su DHCP server, claro
* Dhcp server network. En una de las redes hay DNS (google)
Está usando el DNS de google. Eso da igual. Yo he puesto el que es por defecto de Vodafone, en el pppoe, pero, después de probar esto, se pude cambiar a lo que quieras.
* Firewall filter con menos reglas
* Firewall mangle no tiene passthrough=yes
* Firewall masquerade diferentes
He puesto las reglas de filtrado estándar. Debería de funcionar con ellas. En el mangle, por defecto (si no se especifica), es passthrough=yes

* Routing IGMM Proxy en bridge
Lógicamente, hay que poner la interfaz de salida correspondiente. Ahora sería el bridge-LAN completo.

Fíjate que los puertos del bridge que he puesto son de ether2 a ether5. Pon los que tengas en tu router (los de wireless y demás no lo he incluido: solo tienes que ponerlo.

Aquí va la config:

/interface bridge
add comment=defconf name=bridge-LAN igmp-snooping=yes
/interface vlan
add interface=ether1 name=internet vlan-id=100
add interface=ether1 name=tivo vlan-id=105
add interface=bridge-LAN name=LAN vlan-id=20
/interface pppoe-client
add add-default-route=yes disabled=no interface=internet keepalive-timeout=60 \
max-mru=1492 max-mtu=1492 name=pppoe-out1 password=ELQUETRAIA \
use-peer-dns=yes user=VFHXXXXXXX@Vodafone
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/ip dhcp-server option
add code=12 name=option_para_tivo value="'TIVO'"
/ip pool
add name=lan-pool ranges=192.168.0.2-192.168.0.250
add name=iptv-pool ranges=192.168.0.251-192.168.0.253
/ip dhcp-server
add address-pool=lan-pool disabled=no interface=bridge-LAN name=dhcp-lan
/interface bridge port
add bridge=bridge-LAN comment=defconf interface=ether2
add bridge=bridge-LAN comment=defconf interface=ether3
add bridge=bridge-LAN comment=defconf interface=ether4
add bridge=bridge-LAN comment=defconf interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=none
/interface list member
add comment=defconf interface=bridge-LAN list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.0.1/24 comment=defconf interface=bridge-LAN network=\
192.168.0.0
/ip dhcp-client
add add-default-route=no disabled=no interface=tivo use-peer-dns=no \
use-peer-ntp=no
/ip dhcp-server network
add address=192.168.0.251/32 dhcp-option=option_para_tivo gateway=192.168.0.1 \
netmask=24
add address=192.168.0.0/24 comment=defconf gateway=192.168.0.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.0.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=accept chain=input in-interface=tivo
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=set-priority chain=postrouting comment="Prioritise Iptv packets" \
new-priority=4 out-interface=tivo
add action=set-priority chain=postrouting new-priority=0 out-interface=\
pppoe-out1
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat out-interface=tivo
add action=dst-nat chain=dstnat comment="VOD Desco" dst-address-type=local \
in-interface=tivo to-addresses=192.168.0.251
/ip route
add distance=1 dst-address=10.8.57.0/24 gateway=tivo pref-source=10.8.57.1
add distance=1 dst-address=10.8.58.0/24 gateway=tivo pref-source=10.8.58.1
add distance=1 dst-address=10.8.59.0/24 gateway=tivo pref-source=10.8.59.1
add distance=1 dst-address=10.15.220.0/24 gateway=tivo pref-source=10.15.220.1
add distance=1 dst-address=10.179.32.0/23 gateway=tivo pref-source=10.179.32.1
/routing igmp-proxy
set query-interval=30s quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=tivo upstream=yes
add interface=bridge-LAN

Y a continuación el fichero. Prueba esto, adaptando a tus rutas estáticas, si no son esas, tus puertos y al wifi y dime que resulta. Intuyo que andamos ya cerca.

Suerte!!
 

Adjuntos

  • FurnyVodafoneV4.txt
    4.1 KB · Visitas: 18
Ah! otra cosa que se me olvidaba. Ahora que no tiene pool ni dhcp propia la interfaz tivo, cuando enchufes el desco, debes fijarte el /ip DHCP-server leases que dirección concreta le asigna el DHCP. Entonces, pinchas en esa interfaz y la haces estática (make-static), das a apply, sales y vuelves a entrar y le cambias la IP del desco a 192.168.0.251, que así quedará estática al desco. Das apply y sales. Entonces, apagas el desco y lo desenchufas. Lo vuelves a enchufar, le pones en on y entonces habrá pillado la IP correcta (te lo dice en leases, en la columna "Active Address", que debe ser 192.168.0.251.

Suerte. Ya me dices.
 
Lo de la vlan 20 en el bridge no tiene ningún sentido. Puede que él la use como su vlan local, pero ni aún así se haría de esa forma. Yo lo ignoraría.

Saludos!
 
Hola. Buenas noches. Disculpa la tardanza en contestarte, pero con lo de la nevada he estado toda el día ocupado.
Pfff. Espero que todo lo tengas en orden. Muchas gracias por tu tiempo

Y a continuación el fichero. Prueba esto, adaptando a tus rutas estáticas, si no son esas, tus puertos y al wifi y dime que resulta. Intuyo que andamos ya cerca.
He hecho todos los cambios con la diferencia de dejar la red en 192.168.88. en lugar de 192.168.0. por comodidad solo. También he dejado IP estática en 251 y nada más. IGMP Proxy, MFC está inundado de direcciones.

Me temo que en algo has fallado y tengo que corregirte "intuyo que andamos ya cerca" es algo impreciso porque has dado en el clavo jeje. ¡Se ven los canales! (exceptuando las grabaciones)

Ahora es tarde y he de dejarlo. A ver mañana si puedo ir jugando con algo.

Sin palabras estoy. Enhorabuena
Gracias
 
Si es que el @furny es mucho @furny. Y, encima en esto de la TV por internet, lo tiene bien controlado.

Enhorabuena a los dos, a uno por la currada y al otro por ser muy buen alumno e ir probando configuraciones. Seguro que además has ido aprendiendo un montón con el proceso, de cómo está montado RouterOS y cómo manejarte por los menús y terminal @noriega. Espero te valga de rodaje y cuando te decidas a comprar un equipo más grande, si escoges mikrotik, vayas sobre rodado.

Saludos!
 
Pfff. Espero que todo lo tengas en orden. Muchas gracias por tu tiempo


He hecho todos los cambios con la diferencia de dejar la red en 192.168.88. en lugar de 192.168.0. por comodidad solo. También he dejado IP estática en 251 y nada más. IGMP Proxy, MFC está inundado de direcciones.

Me temo que en algo has fallado y tengo que corregirte "intuyo que andamos ya cerca" es algo impreciso porque has dado en el clavo jeje. ¡Se ven los canales! (exceptuando las grabaciones)

Ahora es tarde y he de dejarlo. A ver mañana si puedo ir jugando con algo.

Sin palabras estoy. Enhorabuena
Gracias
Estupendo!. Ahora queda refinarlo un poco, y ver porque no va lo de las grabaciones. Puede que se deba al cambio de las direcciones de red. Me explico: puse las direcciones del Bridge a 192.168.0.0 porque, al integrar ya ether2 en el bridge, y como el espacio de direcciones debe ser único, poder asignar al desco 192.168.0.251. Si el desco y la regla dst-nat están apuntando a 192.168.0.251 y el bridge estuviera apuntando a la red 192.168.88.0, habría conflicto y puede que por ello no funcionen algunas cosas. Por otro lado, si el desco Y el bridge estuvieran dentro de 192.168.88.0, puede que internamente al desco no le guste su dirección 192.168.88.251, aunque sería raro. Por eso lo puse todo a la red 192.168.0.0, para eliminar incertidumbres y acotar al maximo. Prueba, pues, por favor, con todo a 192.168.0, como propuse.

Por otro lado, ¿como has dejado la regla?
add interface=bridge-LAN name=LAN vlan-id=20
¿la has mantenido o la has eliminado? ¿te funciona bien internet, navegas normalmente?

Otra cosa, ¿has dejado los servidores por defecto de Vodafone que da el pppoe?.

si queres, sube un /export hide-sensitive de la configuración, para ver cómo podemos mejorarla.

Saludos y enhorabuena, tú. Buen trabajo y buena paciencia
 
Ah. Otra cosa. Comprueba que tienes todas las rutas estáticas correctas, no se hubiera colado algún error, y que has extraído todas, como aconsejaba el compañero de bandaancha.eu, extrayendolas del router de Vodafone:

“Esta IP 10.X.X.0/24 se consigue entrando en el router de Vodafone como administrador en el apartado SettingsStatic Routing”

ya me dices. Suerte!
 
Por otro lado, ¿como has dejado la regla?
¿la has mantenido o la has eliminado? ¿te funciona bien internet, navegas normalmente?
Esa estoy seguro de que la podéis eliminar. Una VLAN no funciona en un bridge, a menos que le actives el bridge-vlan-filtering. Y, por si cabe alguna duda, es mala práctica meterla como un puerto más.

Saludos!
 
Si es que el @furny es mucho @furny. Y, encima en esto de la TV por internet, lo tiene bien controlado
Buffff! Me sonrojas. No te creas que se tanto, es cuestión de leer, estudiar, equivocarse y probar.

y de este caso de Vodafone, aun queda un poco para tenerlo bien pillado.

saludos
 
Esa estoy seguro de que la podéis eliminar. Una VLAN no funciona en un bridge, a menos que le actives el bridge-vlan-filtering. Y, por si cabe alguna duda, es mala práctica meterla como un puerto más.

Saludos!
Si, si. Estoy contigo. Totalmente de acuerdo. Pero es que ya andaba mosqueado y no sabía si era una errata del compi de bandaancha o algo que yo no entendía de Vodafone.
 
Podría venir de la vlan que usan los de neba, cuando no tienen cobertura directa. Pero, sinceramente, no sé qué pinta en el bridge.

Saludos!
 
Si es que el @furny es mucho @furny. Y, encima en esto de la TV por internet, lo tiene bien controlado.
Además de que no ha pensado en rendirse y paciencia sin límites como tú

Seguro que además has ido aprendiendo un montón con el proceso, de cómo está montado RouterOS y cómo manejarte por los menús y terminal @noriega. Espero te valga de rodaje y cuando te decidas a comprar un equipo más grande, si escoges mikrotik, vayas sobre rodado.
No hay vuelta atrás. Será Mikrotik solo me falta decidir el modelo, me aconsejaste ac3. Tengo que ver si será mejor Mikrotik sin wifi y utilizar el Sercomm de Vodafone como AP y cuando se pueda algún Ubiquiti. Tengo que darle alguna vuelta aún. Por los menús y terminal voy ganando agilidad pero queda mucho todavía

Estupendo!. Ahora queda refinarlo un poco, y ver porque no va lo de las grabaciones. Puede que se deba al cambio de las direcciones de red. Me explico: puse las direcciones del Bridge a 192.168.0.0 porque, al integrar ya ether2 en el bridge, y como el espacio de direcciones debe ser único, poder asignar al desco 192.168.0.251. Si el desco y la regla dst-nat están apuntando a 192.168.0.251 y el bridge estuviera apuntando a la red 192.168.88.0, habría conflicto y puede que por ello no funcionen algunas cosas. Por otro lado, si el desco Y el bridge estuvieran dentro de 192.168.88.0, puede que internamente al desco no le guste su dirección 192.168.88.251, aunque sería raro. Por eso lo puse todo a la red 192.168.0.0, para eliminar incertidumbres y acotar al maximo. Prueba, pues, por favor, con todo a 192.168.0, como propuse.
Lo dejé ahí por no cambiar también el Sercomm. Ahora he cambiado todo y Sercomm está en 192.168.1.0 y Mikrotik en 192.168.0.0 La red del Sercomm diría que no influye porque iniciando como usuario normal nos permite cambiar la red. Solo modificando la dirección del router automáticamente cambia el rango para las direcciones del deco

Por otro lado, ¿como has dejado la regla?
¿la has mantenido o la has eliminado? ¿te funciona bien internet, navegas normalmente?
Anoche lo mantuve todo. Ahora ya está suprimida. Internet bien, ahora lo dejaré el resto del día conectado para comprobar la estabilidad. También el deco encendido pero sin ver la imagen en todo momento. Velocidad inferior, entiendo que debido a los puertos Fast Ethernet. La captura es conectado al Sercomm porque da algo más de velocidad que conectado a la Wifi del hAP mini
1610287415363.png


Otra cosa, ¿has dejado los servidores por defecto de Vodafone que da el pppoe?.
Sí. Si permanece estable ya probaremos con otros

Ah. Otra cosa. Comprueba que tienes todas las rutas estáticas correctas, no se hubiera colado algún error, y que has extraído todas, como aconsejaba el compañero de bandaancha.eu, extrayendolas del router de Vodafone:

“Esta IP 10.X.X.0/24 se consigue entrando en el router de Vodafone como administrador en el apartado SettingsStatic Routing”
Todas las rutas son correctas. Por si acaso, he comprobado de nuevo que sigan siendo las mismas. Para mí que no cambian nunca.

He probado, por si había suerte :), a desactivar las rutas y activar RIP pero no ha funcionado.

Resumen por si me he dejado algo por responder o me le liado al escribir

* RouterOS stable 6.47.7
* Mikrotik 192.168.0.0
* Sercomm 192.168.1.0
* Vlan Bridge no existe
* Ruta estática deco 192.168.0.251
* DNS operador
* 5 rutas correctas
* Wan Sercomm a Mikrotik para que funcione el teléfono fijo
* Grabaciones dice servidor no encontrado

Gracias furny, gracias pokoyo

Por si acaso, si puedes revisa las reglas del FW porque las eliminé y las fui agregando una a una desde terminal
Código:
# jan/10/2021 13:38:24 by RouterOS 6.47.7
# software id = 5T2U-CPXV
#
# model = RB931-2nD
# serial number = XXXX
/interface bridge
add admin-mac=XXXX auto-mac=no igmp-snooping=yes name=bridge-LAN
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-onlyn country=spain disabled=no \
    distance=indoors frequency=auto installation=indoor mode=ap-bridge ssid=\
    MikroTik station-roaming=enabled wireless-protocol=802.11
/interface pwr-line
set [ find default-name=pwr-line1 ] disabled=yes
/interface vlan
add interface=ether1 mtu=1492 name=internet vlan-id=100
add interface=ether1 name=tivo vlan-id=105
/interface pppoe-client
add add-default-route=yes disabled=no interface=internet keepalive-timeout=60 \
    max-mru=1492 max-mtu=1492 name=pppoe-out1 use-peer-dns=yes user=\
    XXXXX@vodafone
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=\
    dynamic-keys supplicant-identity=MikroTik
/ip dhcp-server option
add code=12 name=option_para_tivo value="'TIVO'"
/ip pool
add name=lan-pool ranges=192.168.0.21-192.168.0.50
add name=iptv-pool ranges=192.168.0.251-192.168.0.253
/ip dhcp-server
add address-pool=lan-pool disabled=no interface=bridge-LAN name=dhcp-lan
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
    sword,web,sniff,sensitive,api,romon,dude,tikapp"
/interface bridge port
add bridge=bridge-LAN interface=ether2
add bridge=bridge-LAN interface=ether3
add bridge=bridge-LAN interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=none
/interface list member
add interface=bridge-LAN list=LAN
add interface=ether1 list=WAN
add interface=pppoe-out1 list=WAN
/ip address
add address=192.168.0.1/24 interface=bridge-LAN network=192.168.0.0
/ip dhcp-client
add add-default-route=no disabled=no interface=tivo use-peer-dns=no \
    use-peer-ntp=no
/ip dhcp-server lease
add address=192.168.0.251 client-id=XXXX mac-address=\
    XXXX server=dhcp-lan
/ip dhcp-server network
add address=192.168.0.0/24 comment=defconf gateway=192.168.0.1
add address=192.168.0.251/32 dhcp-option=option_para_tivo gateway=192.168.0.1 \
    netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.0.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=accept chain=input in-interface=tivo
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=set-priority chain=postrouting comment="Prioritise Iptv packets" \
    new-priority=4 out-interface=tivo
add action=set-priority chain=postrouting new-priority=0 out-interface=\
    pppoe-out1
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat out-interface=tivo
add action=dst-nat chain=dstnat comment="VOD Desco" dst-address-type=local \
    in-interface=tivo to-addresses=192.168.0.251
/ip route
add distance=1 dst-address=10.8.57.0/24 gateway=tivo pref-src=10.8.57.1
add distance=1 dst-address=10.8.58.0/24 gateway=tivo pref-src=10.8.58.1
add distance=1 dst-address=10.8.59.0/24 gateway=tivo pref-src=10.8.59.1
add distance=1 dst-address=10.15.220.0/24 gateway=tivo pref-src=10.15.220.1
add distance=1 dst-address=10.179.32.0/23 gateway=tivo pref-src=10.179.32.1
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=tivo upstream=yes
add interface=bridge-LAN
/system clock
set time-zone-name=Europe/Madrid
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
 
Si optas por un equipo sin wifi, mira el hEX (RB750gr3) o el hEX-S (RB760iGS). Ambos equipos similares y muy capaces como routers. Ambos, con puertos gigabit ethernet.

Las gracias a @furny sobre todo, que es el que se ha dado la currada. Yo he estado de miranda estaba vez. Cuando lo dejéis fino (incluso después de que tengas el equipo definitivo, no hay prisa), no dejéis de mover la configuración final al manual de las configuraciones básicas de los ISPs, que seguro que esto le viene bien a más de uno.

Saludos, y que lo disfrutes!
 
Me alegro de que vaya bien, de verdad. Has hecho un buen trabajo, paciente y decidido. No te quites méritos, que los tienes.

A ver:

Grabaciones dice servidor no encontrado
Esto me mosquea. Puede ser debido a:

a) que haya que meter una dirección de DNS (al servidor de grabaciones de vodafone, cuyo nombre no está en los DNS que da por defecto para el pppoe -esto puede ocurrir: lo hace así Movistar- y cuya dirección desconocemos) en la regla:
/ip dhcp-server network
add address=192.168.0.251/32 dhcp-option=option_para_tivo gateway=192.168.0.1 \
netmask=24 dns-server=172.xx.yy.zz
Deberíamos averiguar si en el Sercomm aparece unas direcciones de DNS distintas de las que te está dando el pppoe en: IP -> DNS -> Dynamic Servers. A ver si puedes averiguar algo.

b) podría deberse a que estamos filtrando algo que no debemos. Fíjate si en el firewall filter, en la regla
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
cuenta paquetes o no. Normalmente, la cuenta de paquetes es 0. Pero si contase algo, es que estamos filtrando, quizá algo que no debemos. Dimelo y te digo como descubrir lo que filtra.

c) Esta regla, esta bien como está ahora:

add action=dst-nat chain=dstnat comment="VOD Desco" dst-address-type=local \ in-interface=tivo to-addresses=192.168.0.251

Sin embargo, pudiera ser, aunque lo dudo, que lo de dst-type-local le molestara. Prueba a ver así:
add action=dst-nat chain=dstnat comment="VOD Desco" in-interface=tivo to-addresses=192.168.0.251

d) Esto es para probar sólo, por si filtráramos algo que no debemos, pero es PELIGROSO, pues dejas abierto el router a los piratas externos. NO ELIMINES la regla. Deshabilítala, pruebas si funciona grabaciones y después vuelves a habilitarla y me dices. Si te funcionara con con la regla deshabilitada, tendríamos que analizar que paquetes se estarían eliminando, para identificarlos y ajustarla, pero eso, en una segunda etapa, si fuera necesario.

e) Por último, se me ocurre que nos falta o hay algún error en alguna de las rutas estáticas. Esto va a ser más difícil, pues ya lo has comprobado, el compi de bandaancha.eu hablaba de 5 rutas y en otros sitios también había 5.

Si todo esto nos fallara, podríamos contactar al compi de bandaacha.eu para pedirle consejo, por si se nos escapa algo.

En otro orden de cosas. Tienes un fallo tonto en la config, pero no tienen que ver con esto.

esta regla está duplicada. Borra una de ellas:

/ip firewall nat add action=masquerade chain=srcnat comment="defconf: masquerade" \ ipsec-policy=out,none out-interface-list=WAN add action=masquerade chain=srcnat comment="defconf: masquerade" \ ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN

Por lo demás, coincido con el consejo de @pokoyo, como no: si no quieres un router con WiFi (a mi no me gustan, salvo para jugar o llevarse la red a cuestas con EoIP -hAP mini, p.e.-) la opción del hEX es magnífica. Por 50€ tienes un router gigabit (de verdad) que cuando Movistar me suba de 600 Mbps a1Gb va a gestionarlo sin despeinarse, con 4 núcleos y 250M de RAM. 7 usuarios, 30 dispositivos, 2 discos, VPN, EoiP, WebProxy, Kid control, DNS, etc. Y no consigo que las CPUs superen 15% de carga. Una risa.

Y decirte que me está encantando ayudarte, pues así yo también aprendo, que la experiencia es impagable, y además eres un excelente pupilo. Cuando lo tengamos fino, fino, subimos un tutorial, fijo.

Hala, a disfrutar. Ya me dirás. Saludos!!
 
a) que haya que meter una dirección de DNS (al servidor de grabaciones de vodafone, cuyo nombre no está en los DNS que da por defecto para el pppoe -esto puede ocurrir: lo hace así Movistar- y cuya dirección desconocemos) en la regla:
/ip dhcp-server network
add address=192.168.0.251/32 dhcp-option=option_para_tivo gateway=192.168.0.1 \
netmask=24 dns-server=172.xx.yy.zz
Deberíamos averiguar si en el Sercomm aparece unas direcciones de DNS distintas de las que te está dando el pppoe en: IP -> DNS -> Dynamic Servers. A ver si puedes averiguar algo.
No hay DNS diferentes pero me equivoqué al decir servidor no encontrado. Es "no se puede conectar con el servidor"

Normalmente, la cuenta de paquetes es 0. Pero si contase algo, es que estamos filtrando, quizá algo que no debemos. Dimelo y te digo como descubrir lo que filtra.
Como dices es 0
1610303734159.png


Sin embargo, pudiera ser, aunque lo dudo, que lo de dst-type-local le molestara. Prueba a ver así:
add action=dst-nat chain=dstnat comment="VOD Desco" in-interface=tivo to-addresses=192.168.0.251

d) Esto es para probar sólo, por si filtráramos algo que no debemos, pero es PELIGROSO, pues dejas abierto el router a los piratas externos. NO ELIMINES la regla. Deshabilítala, pruebas si funciona grabaciones y después vuelves a habilitarla y me dices. Si te funcionara con con la regla deshabilitada, tendríamos que analizar que paquetes se estarían eliminando, para identificarlos y ajustarla, pero eso, en una segunda etapa, si fuera necesario.
Probado con regla deshabilitada

e) Por último, se me ocurre que nos falta o hay algún error en alguna de las rutas estáticas. Esto va a ser más difícil, pues ya lo has comprobado, el compi de bandaancha.eu hablaba de 5 rutas y en otros sitios también había 5.
Estaría muy bien. Me extraña que no haya obtenido respuestas. Quizá me registre para lanzarle una invitación :)

esta regla está duplicada. Borra una de ellas:
Me imaginaba que algo había. Corregido

En algún momento probaré a sacar del bridge ether2 y aplicar ahí el IGMP Snooping. A ver si acierto y continúa funcionando



Si optas por un equipo sin wifi, mira el hEX (RB750gr3) o el hEX-S (RB760iGS). Ambos equipos similares y muy capaces como routers. Ambos, con puertos gigabit ethernet.
Por lo demás, coincido con el consejo de @pokoyo, como no: si no quieres un router con WiFi (a mi no me gustan, salvo para jugar o llevarse la red a cuestas con EoIP -hAP mini, p.e.-) la opción del hEX es magnífica. Por 50€ tienes un router gigabit (de verdad) que cuando Movistar me suba de 600 Mbps a1Gb va a gestionarlo sin despeinarse, con 4 núcleos y 250M de RAM. 7 usuarios, 30 dispositivos, 2 discos, VPN, EoiP, WebProxy, Kid control, DNS, etc. Y no consigo que las CPUs superen 15% de carga. Una risa.
Ahora mismo creo que 1 de ellos es el candidato. Por lo que entiendo de las especificaciones la diferencia es "solo" PoE y el puerto SFP. Primero de todo a ver si me aclaro yo lo que quiero/necesito

Y decirte que me está encantando ayudarte, pues así yo también aprendo, que la experiencia es impagable, y además eres un excelente pupilo. Cuando lo tengamos fino, fino, subimos un tutorial, fijo.
Sin duda, habrá que compartirlo

Cualquier avance os cuento
Gracias
 
Ahora mismo creo que 1 de ellos es el candidato. Por lo que entiendo de las especificaciones la diferencia es "solo" PoE y el puerto SFP. Primero de todo a ver si me aclaro yo lo que quiero/necesito
Correcto. Si vas a montar AP en un futuro, y por un casual te planteas seguir en mikrotik, por la diferencia de precio, cogía el hex-s. Sino, el otro equipo es idéndito en hardware, salvo el sfp y el poe.

Saludos!
 
Es "no se puede conectar con el servidor"
Hummm?! ¿no será que espera un router de Vodafone? ¿Y si clonamos la mac del router Sercomm? ¿Que te parece, @pokoyo? (lo malo es que está usando el Sercomm para Voip, y no podemos usar dos macs idénticas a la vez, a menos que cambiemos la mac del Sercomm a otra, si se pudiera...)

Es que no me cuadra. A propósito, hemos dejado que entre todo desde la vlan de tivo al router:
/ip firewall filter
add action=accept chain=input in-interface=tivo
y en la cadena de forward no he puesto un filtro de cierre a esa vlan, también a propósito.

y hemos hecho pruebas abriendo el router por todos los lados, por si accedía al servidor por internet (vlan 100) y ni por esas le deja acceder al servidor de grabaciones.

O espera "a alguien concreto (mac)" el servidor, o nos falta una ruta, porque ahora no veo que le estemos capando el acceso por ningún lado. Lo del DNS no lo descarto tampoco, con esa respuesta. ¿podríamos ver la configuración del desco, por si tuviera por ahí "atornillada" una dirección o DNS con la que espera comunicarse? No tengo ni idea de los descos que usa Vodafone ¿ideas?
 
d) Esto es para probar sólo, por si filtráramos algo que no debemos, pero es PELIGROSO, pues dejas abierto el router a los piratas externos. NO ELIMINES la regla. Deshabilítala, pruebas si funciona grabaciones y después vuelves a habilitarla y me dices. Si te funcionara con con la regla deshabilitada, tendríamos que analizar que paquetes se estarían eliminando, para identificarlos y ajustarla, pero eso, en una segunda etapa, si fuera necesario.
Calla, que no te he dicho la regla que tienes que deshabilitar!!!. ¡Qué despiste!:

d) Esto es para probar sólo, por si filtráramos algo que no debemos, pero es PELIGROSO, pues dejas abierto el router a los piratas externos. NO ELIMINES la regla. Deshabilítala, pruebas si funciona grabaciones y después vuelves a habilitarla y me dices. Si te funcionara con con la regla deshabilitada, tendríamos que analizar que paquetes se estarían eliminando, para identificarlos y ajustarla, pero eso, en una segunda etapa, si fuera necesario.

add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN

Esta es la regla, que es la de cierre de la cadena de input. Haz la prueba, por favor, pero que no se te olvide volver a habilitarla después.

Disculpas!!
 
Arriba