RB4011 con orange Neba

hola buenas, ya tengo en mis manos el rb4011 saber que estoyt con orange neba 600/600, quiero dejar el livebox para el tlf y el asus ac87u como AP. El problema es cuando conecto el livebox al switch me quedo sin internet y tampoco tengo acceso al asus para configurarlo. Os paso un export haber si me podeis ayudar. Gracias
 

Adjuntos

  • configuracion.txt
    4.5 KB · Visitas: 92
Qué pinta el switch en la ecuación? Pinta un esquema rápido de cómo lo tienes conectado, y qué pretendes.

Saludos!
 
Qué pinta el switch en la ecuación? Pinta un esquema rápido de cómo lo tienes conectado, y qué pretendes.

Saludos!
Tengo un switch tplink entre la ont y los 2 routers para que el livebox se quede con el tlf fijo, como han echo otros usuarios en este foro para no perder el fijo. Tengo internet en el mikrotik , pero cuando conecto el livebox al switch pierdo internet en los dos router, no se si tengo que clonar la mac del livebox en el mikrotiky si es asi como clono la mac en el mikrotik ?
 
Enchufa primero el de Orange y mira si funciona conectado al switch con la ONT, y el teléfono se queda funcionando. Si lo hace, enchufa luego ether1 del mikrotik al switch y configura la vlan correspondiente en ese puerto.

Recuerda que al switch iría el cable que viene de la ONT y los dos que van a los puertos WAN de sendos routers. En ningún momento va un cable que salga de la LAN de ninguno de los dos equipos.

Saludos!
 
Enchufa primero el de Orange y mira si funciona conectado al switch con la ONT, y el teléfono se queda funcionando. Si lo hace, enchufa luego ether1 del mikrotik al switch y configura la vlan correspondiente en ese puerto.

Recuerda que al switch iría el cable que viene de la ONT y los dos que van a los puertos WAN de sendos routers. En ningún momento va un cable que salga de la LAN de ninguno de los dos equipos.

Saludos!
lo tengo como has comentado , pero cuando conecto el livebox al switch me quedo sin internet en el mikrotik, decir que el mikrotik esta en la ip 88.1 y el livebox 1.1. En otro post un usuario clono la mac del livebox en el mikrotik y le funciono.
 
Si te lees bien el post, llegarás a la conclusión de que el clonado de mac NO es necesario en ese setup.

Sigue los pasos que te digo, conecta primero el router de la operadora al switch, y este a la ONT, sin estar el mikrotik en la ecuación. Cuando veas que el router de la operadora levanta, tiene IP pública, navega y el teléfono funciona, conectas el mikrotik al switch. A ver qué hace.

Saludos!
 
Si te lees bien el post, llegarás a la conclusión de que el clonado de mac NO es necesario en ese setup.

Sigue los pasos que te digo, conecta primero el router de la operadora al switch, y este a la ONT, sin estar el mikrotik en la ecuación. Cuando veas que el router de la operadora levanta, tiene IP pública, navega y el teléfono funciona, conectas el mikrotik al switch. A ver qué hace.

Saludos!
Gracias por contestar, en el post 26 de ese hilo pone que cuando clono la mac del livebox en el mikrotik le funciona el fijo.
Acabo de probar el livebox al switch y tengo internet y voz , puedo recibir llamadas y hacer desde el fijo. Pero cuando conecto luego el mikrotik al switch , ya no puedo hacer llamadas en el fijo , solo recibirlas y el livebox tiene todos los leds en verde, decir que tengo clonado la mac por que antes sin clonado cuando estaban conectados los 2 al switch no tenia internet.
 
Al final ont-livebox-mikrotik, de otra manera no funcionaba y perdia el fijo . Asi que me quedare asi hasta buscar otra solucion.
 
El firewall lo dejo por defecto o toco algo para mejorar la seguridad?
Que vpn me aconsejais para conectarme desde fuera con el iphone ? Para que funcione el vpn con la ip privada tendria que activar alguna ddns ?
 
El firewall lo dejo por defecto o toco algo para mejorar la seguridad?
Deshabilita las reglas de VPN que no vayas a usar, especialmente PPTP. Me refiero a estas líneas:
Código:
/ip firewall filter
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 \
    protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp

Que vpn me aconsejais para conectarme desde fuera con el iphone ?
Si lo quieres hacer rápido, L2TP/IPSec, que ya lo tienes montado. Si lo quieres hacer muy seguro (con certificados, nada de contraseñas) y que vuele la VPN, IKEv2. Aunque esta última es algo más compleja de montar.
Para que funcione el vpn con la ip privada tendria que activar alguna ddns ?
Ya lo tienes activo. Puedes ver tu nombre DDNS en el apartado IP -> Cloud, o tirando el siguiente comando por consola. Es básicamente el número de serie de tu equipo, + sn.mynetname.net
Código:
:put [/ip cloud get dns-name]

Saludos!
 
Hola de nuevo, de momento ya tengo solucion para poner de router principal el mikrotik y el livebox conectado al mikrotik sin perder el fijo. Lo que hize fue resetear el livebox sin conectarlo a la ont y entrar en http://192.168.1.1/wanconfiglbp.htm poner la Vlan en -1 para que el livebox se quede como un router neutro y asi al tener internet desde el mikrotik levantar la voip.

mi firewall esta asi ahora, algo que cambiar ? Borrar algun puerto ?

# mar/30/2021 14:05:55 by RouterOS 6.48.1
# software id = E699-F73I
#
# model = RB4011iGS+
# serial number = D0000D91AB8B
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 \
protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
192.168.89.0/24
# mar/30/2021 14:11:33 by RouterOS 6.48.1
# software id = E699-F73I
#
# model = RB4011iGS+
# serial number = D0000D91AB8B
/interface bridge
add admin-mac=08:55:31:A2:01:D8 auto-mac=no comment=defconf name=bridge
/interface vlan
add interface=ether1 name=internet vlan-id=20
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
add name=vpn ranges=192.168.89.2-192.168.89.255
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/ppp profile
set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=ether9
add bridge=bridge comment=defconf interface=ether10
add bridge=bridge comment=defconf interface=sfp-sfpplus1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set enabled=yes use-ipsec=yes
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=internet list=WAN
add interface=ether1 list=WAN
/interface pptp-server server
set enabled=yes
/interface sstp-server server
set default-profile=default-encryption enabled=yes
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
192.168.88.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf disabled=no interface=ether1
add disabled=no interface=internet
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 \
protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
192.168.89.0/24
/ppp secret
add name=vpn
/system clock
set time-zone-name=Europe/Madrid
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
 
Genial, esa es buena, de esa manera ni necesitas el switch. Buen aporte!

El firewall no veo que lo hayas tocado. Ya te comenté, deshabilita los puertos de las VPN's que no uses, poco más que hacer.

Saludos!
 
Genial, esa es buena, de esa manera ni necesitas el switch. Buen aporte!

El firewall no veo que lo hayas tocado. Ya te comenté, deshabilita los puertos de las VPN's que no uses, poco más que hacer.

Saludos!
Gracias, ahora para acceder desde fuera a la red , monto una vpn o abro algun puerto ? Ayer intente montar el ikev2 para ios , pero no me funciono.
 
Gracias, ahora para acceder desde fuera a la red , monto una vpn o abro algun puerto ? Ayer intente montar el ikev2 para ios , pero no me funciono.
Tienes ya tres VPN's montadas. Al marcar el "tick" de VPN en el quick set, montas un servidor PPTP, otro L2TP/IPSEc y un tercero SSTP. Por eso te comentaba que, lo que no vayas a usar, tanto deshabilites el servicio como cierres los puertos (quites las reglas o las comentes) en el firewall

IKEv2 son palabras mayores, para cuando tengas más soltura. Si estás recién aterrizado en el mundo mikrotik, prueba L2TP/IPSec que va muy bien y lo tienes ya montado.

Saludos!
 
Si no te quieres complicar la vida con el tema de las VPN,
te aconsejo "WireGuard", es sencilla de configurar y además, rapidísima.

Ahora mismo tienes tres opciones posibles:

1) Te haces con un HaP-Mini (sale unos 20 pavos), le instalas el firmware 7.1beta5 y corres la VPN desde ahí (conectándolo a un puerto eth de tu router principal). Por supuesto, te valdrá cualquier otro router mikrotik que tengas arrimado en un cajón.

2) Te haces con una Rapsberry 3 (sale unos 25 pavos), instalas la VPN, y lo conectas a un puerto eth de tu router principal.

3) (Esta opción no es aconsejable) Actualizar tu router principal con la 7.1beta5 y configura la VPN en él. Recuerda (sólo tú eres el responsable de hacerlo), los resultados serán impredecibles. Instalar versiones no estables en tu router, te traerá más problemas que otra cosa.

Yo uso la segunda opción, y estoy más que satisfecho con los resultados.
Una vez configurado (son pocos pasos), no necesita volverse a tocar más.
-mientras la versión 7 de RouterOS no salga de la beta, yo seguiré como lo tengo-

Como ves, tienes donde elegir.
Pero (insisto) que sea la opción 1 o 2.
Suerte y saludos.
 
Tiene una bestia de router. Déjale que pruebe algo con IPSec en ese bicho, que los resultados tienen que ser más que buenos.

A mi también me gusta WireGuard, pero por no andar comprando más cacharros, que aproveche la aceleración hardware que lleva ese equipo para ipsec.

Saludos.
 
Tiene una bestia de router.
Es un pepino, cierto.
El cambiar mi 3011 por un 4011 ha sido brutal.
Es que ni se despeina, aunque lo exprima.
Y yo recién empiezo con el.

Déjale que pruebe algo con IPSec en ese bicho, que los resultados tienen que ser más que buenos.
Por supuesto. Es más, estos "cacharritos" están hechos para experimentar con ellos.
Yo andé usando IPSec con otra marca de router por un tiempo, y tampoco tengo quejas.
Pero una vez probé WireGuard, me encantó (es fácil, va a la primera, y es muy rápido).

pero por no andar comprando más cacharros
Claro, como te lo diría. Aunque una raspberry nunca está de más.
La idea es que hagan estable la 7.1 para tener todo unificado.
Será una autentica gozada.

que aproveche la aceleración hardware que lleva ese equipo para ipsec
Irá más que sobrado con este pequeño-gran router.
Saludos.
 
Última edición:
Buenas , despues de un par de meses ya no me funciona el fijo con la configuracion ont-mikrotik- livebox , el livebox lo tenia en vlan -1 para que este en modo neutro y asi recibir internet desde el mikrotik. Desde hace unos dias el livebox ya no recibe internet del mk, no se si se debe a que actualizaron el livebox para quitar esa opcion o que el mikrotik cambiaron algo. Tengo la ultima version estable del mk. Alguna idea de que puede ser ? Gracias
 
Vuelve a conectar el de Orange, por si necesita registrar algo, y vuelves a montarlo luego como lo tenías, a ver qué hace. Que yo sepa, no han cambiado nada, al menos a nivel mikrotik.

Saludos!
 
Vuelve a conectar el de Orange, por si necesita registrar algo, y vuelves a montarlo luego como lo tenías, a ver qué hace. Que yo sepa, no han cambiado nada, al menos a nivel mikrotik.

Saludos!
Buenas, he conectado el router d orange a la ont , despues de cambiar la vlan a automatico y recibe ip y funciona el tlf. Pero cuando lo pongo como antes con vlan -1 para que sea como un router neutro concectado con el mikrotik no recibe ip.
 
Arriba