VPN tras HGU
- Iniciador del tema spm000
- Fecha de inicio
Creo que funciona.
Aquí va el export
He seguido el manual que indicaste.
El cliente lo he creado en un iPhone con la aplicación.
He generado un par de clave y he metido la pública al añadir el peer.
He activado la VPN y me conecto con la IP 192.168.50.2 y tengo la IP externa del router.
He accedido a los discos externos del equipo, poniendo directamente la iP del equipo.
¿Tengo que hacer algo con las IP de los equipos a los que quiero acceder por la VPN (ip fijas...)?
También accedo al HGU y al router (añadiendo la regla de input que acepta tráfico desde la ip del peer creado).
Muchas gracias
Aquí va el export
Código:
# jan/15/2023 17:33:46 by RouterOS 7.7
# software id = JICF-P2RJ
#
# model = RBD52G-5HacD2HnD
# serial number = numero_de_serie
/interface bridge
add admin-mac=18:FD:74:D8:9B:8B auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-g/n disabled=no distance=indoors \
frequency=2437 installation=indoor mode=ap-bridge ssid=mm14b-mk \
wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-n/ac channel-width=20/40/80mhz-XXXX \
disabled=no distance=indoors frequency=auto installation=indoor mode=\
ap-bridge ssid=mm14b-mk wireless-protocol=802.11
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=internet \
use-peer-dns=yes user=adslppp@telefonicanetpa
/interface wireguard
add listen-port=12345 mtu=1420 name=wireguard-rw
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
dynamic-keys supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=internet list=WAN
/interface ovpn-server server
set auth=sha1,md5
/interface wireguard peers
add allowed-address=192.168.50.2/32 comment=PeerRW interface=wireguard-rw \
public-key="clave_publica_del_cliente"
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
192.168.88.0
add address=192.168.1.2/24 interface=ether1 network=192.168.1.0
add address=192.168.50.1/24 interface=wireguard-rw network=192.168.50.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment="vpn: allow wireguard-rw" dst-port=\
12345 protocol=udp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
/ip route
add distance=2 gateway=192.168.1.1
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=RouterOS
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LANHe seguido el manual que indicaste.
El cliente lo he creado en un iPhone con la aplicación.
He generado un par de clave y he metido la pública al añadir el peer.
He activado la VPN y me conecto con la IP 192.168.50.2 y tengo la IP externa del router.
He accedido a los discos externos del equipo, poniendo directamente la iP del equipo.
¿Tengo que hacer algo con las IP de los equipos a los que quiero acceder por la VPN (ip fijas...)?
También accedo al HGU y al router (añadiendo la regla de input que acepta tráfico desde la ip del peer creado).
Muchas gracias
- Mensajes
- 14,173
Tiene buena pinta. El puerto puedes usar el que quieras, no es necesario que sea el 12345 del manual (recuerda, si lo cambias, cambiarlo tanto en la interfaz como en la regla de firewall), eso sí, usa siempre un puerto por encima del 1000 (te recomiendo incluso que sea por encima del 10000, y así evitas problemas con otros servicios).
Relativo a las IPs "estáticas" de los chismes: quita todo lo que tengas con IP estática y lo conviertes a DHCP. Luego, en IP -> DHCP Server -> Leases, localiza el dispositivo en cuestión y pulsas el botón "make static". Una vez convertida en entrada estática, la editas y le das la IP que quieras (te recomiendo de la .2 a la .9 que están fuera del pool dinámico).
Por lo demás, todo bien, ¿contento con el equipo?
El puerto ether2 es para cuando quieras llevarte el servicio de Movistar a otro domicilio, vía túnel.
Saludos!
Relativo a las IPs "estáticas" de los chismes: quita todo lo que tengas con IP estática y lo conviertes a DHCP. Luego, en IP -> DHCP Server -> Leases, localiza el dispositivo en cuestión y pulsas el botón "make static". Una vez convertida en entrada estática, la editas y le das la IP que quieras (te recomiendo de la .2 a la .9 que están fuera del pool dinámico).
Por lo demás, todo bien, ¿contento con el equipo?
El puerto ether2 es para cuando quieras llevarte el servicio de Movistar a otro domicilio, vía túnel.
Saludos!
Pues la verdad es que muy contento.
Tenía ganas de montar la VPN y olvidarme de abrir puertos para acceder al equipo.
Voy seguir estudiando
la configuración montada para tener claro qué hace cada cosa.
He puesto esas IP fijas en leases.
Supongo que lo suyo ahora es hacer un export de la configuración para importarla en caso de que algo falle.
¿Es así cómo se hace el backup para hacer un restore?
¿O hay una opción de backup?
Sobre lo de ether2, la verdad es que ya me está apeteciendo ponerme con ello.
Pero creo que antes voy a echarle un ojo a lo de Pi-hole que leí en el hilo de la VPN.
¿Se puede montar en uno de lo equipos que tengo encendido permanentemente?
Creo que voy a seguir preguntando.
Un saludo
Tenía ganas de montar la VPN y olvidarme de abrir puertos para acceder al equipo.
Voy seguir estudiando
la configuración montada para tener claro qué hace cada cosa.
He puesto esas IP fijas en leases.
Supongo que lo suyo ahora es hacer un export de la configuración para importarla en caso de que algo falle.
¿Es así cómo se hace el backup para hacer un restore?
¿O hay una opción de backup?
Sobre lo de ether2, la verdad es que ya me está apeteciendo ponerme con ello.
Pero creo que antes voy a echarle un ojo a lo de Pi-hole que leí en el hilo de la VPN.
¿Se puede montar en uno de lo equipos que tengo encendido permanentemente?
Creo que voy a seguir preguntando.
Un saludo
- Mensajes
- 14,173
No, un export es una cosa, un backup es otra bien distinta. Los backups son binarios específicos para restaurar hasta el último bit de configuración del equipo, incluidas creenciales, usuarios, certificados, etc. Un export es un fichero de texto plano donde sacas tu configuración actual, que te puede valer de guía o como salto a otro equipo mikrotik. Un backup no lo puedes hacer en un equipo y restaurarlo en otro distinto, pero con un export sí que podrías migrara entre dos equipos distintos, simplemente adaptando el código del mismo.
Los backups se hacen el el apartado "Files". Ahí tienes la opción tanto del backup como del restore. Y, como buena práctica, bájalos del router, no los dejes sólo en el disco de estos, mantén siempre una copia en local.
Si quires un export completo, ejecuta este comando, para que se incluyan también datos sensibles (por defecto no los contiene). Estos, obviamente, no los compartas con nadie.
El pi-hole lo puedes correr como un contenedor docker donde quieras.
Saludos!
Los backups se hacen el el apartado "Files". Ahí tienes la opción tanto del backup como del restore. Y, como buena práctica, bájalos del router, no los dejes sólo en el disco de estos, mantén siempre una copia en local.
Si quires un export completo, ejecuta este comando, para que se incluyan también datos sensibles (por defecto no los contiene). Estos, obviamente, no los compartas con nadie.
Código:
/export show-sensitive file=configEl pi-hole lo puedes correr como un contenedor docker donde quieras.
Saludos!
Aqui estoy de nuevo.
He tardado poco en liarme con otra cosa.
Voy a intentar Paco-Pepe.
He leído el hilo correspondiente y de lo que he entendido veo que mi instalación tendra alguna diferencia.
¿Me hechas una mano para configurarlo?
En mi caso yo seré Paco, con el equipo que acabamos de configurar.
Pretendo llevar a casa de Pepe un mk para poner detrás del router de su operadora Orange y pinchar en ese mk el deco gorrón.
Pepe no se tendría que notar nada extraño.
Quiero administrar a Pepe desde mi casa (Pepe no tiene que acceder a nada. Es el que no sabe nada en esta historia).
Ademas, me gustaría un segundo deco en mi casa.
¿Es factible esta instalación?
¿Que equipo le llevo a Pepe? ¿Bastaria un hAP lite?
He tardado poco en liarme con otra cosa.
Voy a intentar Paco-Pepe.
He leído el hilo correspondiente y de lo que he entendido veo que mi instalación tendra alguna diferencia.
¿Me hechas una mano para configurarlo?
En mi caso yo seré Paco, con el equipo que acabamos de configurar.
Pretendo llevar a casa de Pepe un mk para poner detrás del router de su operadora Orange y pinchar en ese mk el deco gorrón.
Pepe no se tendría que notar nada extraño.
Quiero administrar a Pepe desde mi casa (Pepe no tiene que acceder a nada. Es el que no sabe nada en esta historia).
Ademas, me gustaría un segundo deco en mi casa.
¿Es factible esta instalación?
¿Que equipo le llevo a Pepe? ¿Bastaria un hAP lite?
- Mensajes
- 14,173
Sí, se puede. Es un setup radicalmente distinto al que se explica en el manual, pero podemos intentarlo.
La primera pregunta que te tienes que hacer y responder es "¿cómo va a consumir Pepe el servicio?” Si lo hará vía desco, tenemos que montar una configuración relativamente compleja. No obstante, si te apañas con verlo desde la app, el setup es bastante más simple.
Saludos!
- Mensajes
- 14,173
Vale, pues nos vamos a ayudar mútuamente, porque hay un setup que aún no he podido probar y que me pica la curiosidad por probar, y tú eres el candidato perfecto. ¿te parece bien?
Paso a explicarte el famoso puerto ether2, y por qué lo dejamos libre. Ahora mismo, el HGU se queda con el manejo de las VLANs, y lo único que puentea hacia abajo es la conexión PPPoE (la de internet), cuando lo pones en monopuesto. Esto hace que, si tú pinchas un desco a tu mikrotik, aunque tengas el servicio justo por encima disponible, no funcione. La manera que hacer que eso funcione es puentear lo que viene del HGU (ether1) en un bridge que acepte IGMP Snooping, con cualquier otro puerto que enganche a dicho bridge. Pero, ¿cual es el problema? que cuando metes ether1 en un bridge, el cliente PPPoE se queja de que está corriendo sobre una interfaz slave (esclava del bridge). La única manera que se me ocurre de hacer eso ahora mismo con tu setup es sacar ether2 del bridge actual y llevarlo a uno nuevo, con IGMP snooping, y conectar un segundo cable al desde el HGU a ether2. Esto no sería necesario si el tráfico viniera por VLANs, pero como no lo hace (recordemos que las VLANs las desmonta el HGU) pues no te queda otra que hacer esta pequeña chapuza. En ese nuevo bridge, iría ether2 y cualquier puerto que quieras usar para conectar un desco, bien sea local (otro etherX que saquemos del bridge principal dediquemos a un desco) o remoto (un EoIP).
Así que, tu setup, pasaría por hacer lo siguiente (no lo apliques aún, que primero quiero probar lo otro que comento, ahora te lo detallo al final)
Montar una nueva interfaz wireguard para un site to site y direccionarla adecuadamente.
Crear un nuevo bridge para propagar el IPTV, un nuevo EoIP sobre las direcciones del túnel wireguard y cambiar ether2 de bridge.
Modificamos la regla de firewall que creaste, para añadir el nuevo puerto 12346. Al mismo tiempo, permitimos el tráfico que viene por dicha nueva interfaz y es de tipo GRE (túnel EoIP).
Y, para paco, habríamos terminado. Nos quedaría algún fleco como meter la subred de Pepe en una ruta, si quieres administrarlo en remoto, pero de igual forma llegarías a ese router por la IP del túnel 172.17.0.2. En este momento, unirías con un nuevo cable ether2 del Mikrotik y cualquier puerto del HGU
Para Pepe, nos basaríamos en una configuración por defecto, + wireguard + bridge-iptv + eoip. Te recomiendo un equipo algo más potente para él, los hAP-lite se llevan mal con la v7 por falta de recursos. Algo así como un hAP-ac2 o un RB750 si no necesitas wifi. Cuando tengas el equipo me dices, y montamos Pepe acorde.
Lo que quiero que pruebes: idealmente, me gustaría conseguir este setup = HGU (monopuesto) -> Mikrotik (router + IGMP Proxy) -> desco Movistar, sin tener que usar dos cables. Esto simplificaría un montón los setups de muchísima gente, que simplemente tendrían que poner el HGU en monopuesto para funcionar, pudiendo colgar el desco tanto del HGU como del Mikrotik, si así lo desean.
Para probar esto, necesito que guardes un backup de lo que tienes ahora mismo (antes de aplicar lo que ponía arriba para el futuro Paco / Pepe) y aplicar la siguiente configuración en el Mikrotik. Luego, restaurarás el backup si esto no funciona como debe.
Si esto funciona (es posible que te mande algún retoque más), ahora mismo podrías conectar el desco a cualquier puerto del mikrotik y, sin tocar nada más, debería funcionar igual que si lo conectas al HGU.
¿podrías probarlo, por favor?
Gracias!
Paso a explicarte el famoso puerto ether2, y por qué lo dejamos libre. Ahora mismo, el HGU se queda con el manejo de las VLANs, y lo único que puentea hacia abajo es la conexión PPPoE (la de internet), cuando lo pones en monopuesto. Esto hace que, si tú pinchas un desco a tu mikrotik, aunque tengas el servicio justo por encima disponible, no funcione. La manera que hacer que eso funcione es puentear lo que viene del HGU (ether1) en un bridge que acepte IGMP Snooping, con cualquier otro puerto que enganche a dicho bridge. Pero, ¿cual es el problema? que cuando metes ether1 en un bridge, el cliente PPPoE se queja de que está corriendo sobre una interfaz slave (esclava del bridge). La única manera que se me ocurre de hacer eso ahora mismo con tu setup es sacar ether2 del bridge actual y llevarlo a uno nuevo, con IGMP snooping, y conectar un segundo cable al desde el HGU a ether2. Esto no sería necesario si el tráfico viniera por VLANs, pero como no lo hace (recordemos que las VLANs las desmonta el HGU) pues no te queda otra que hacer esta pequeña chapuza. En ese nuevo bridge, iría ether2 y cualquier puerto que quieras usar para conectar un desco, bien sea local (otro etherX que saquemos del bridge principal dediquemos a un desco) o remoto (un EoIP).
Así que, tu setup, pasaría por hacer lo siguiente (no lo apliques aún, que primero quiero probar lo otro que comento, ahora te lo detallo al final)
Montar una nueva interfaz wireguard para un site to site y direccionarla adecuadamente.
Código:
/interface wireguard
add listen-port=12346 name=wg-sts-pepe
/interface wireguard peers
add allowed-address=0.0.0.0/0 comment=Pepe interface=wg-sts-pepe public-key="XXX"
/ip address
add interface=wg-sts-pepe address=172.17.0.1/30Crear un nuevo bridge para propagar el IPTV, un nuevo EoIP sobre las direcciones del túnel wireguard y cambiar ether2 de bridge.
Código:
/interface bridge
add name=bridge-iptv igmp-snooping=yes
/interface eoip
add local-address=172.17.0.1 mtu=1500 name=eoip-pepe remote-address=172.17.0.2 tunnel-id=0
/interface bridge port
set [find interface=ether2] bridge=bridge-iptv
add interface=eoip-pepe bridge=bridge-iptvModificamos la regla de firewall que creaste, para añadir el nuevo puerto 12346. Al mismo tiempo, permitimos el tráfico que viene por dicha nueva interfaz y es de tipo GRE (túnel EoIP).
Código:
/ip firewall filter
set [find comment="vpn: allow wireguard-rw"] dst-port=12345-12346
add action=accept chain=input comment="iptv: allow gre for eoip" in-interface=wg-sts-pepe protocol=gre place-before=[find comment="vpn: allow wireguard-rw"]Y, para paco, habríamos terminado. Nos quedaría algún fleco como meter la subred de Pepe en una ruta, si quieres administrarlo en remoto, pero de igual forma llegarías a ese router por la IP del túnel 172.17.0.2. En este momento, unirías con un nuevo cable ether2 del Mikrotik y cualquier puerto del HGU
Para Pepe, nos basaríamos en una configuración por defecto, + wireguard + bridge-iptv + eoip. Te recomiendo un equipo algo más potente para él, los hAP-lite se llevan mal con la v7 por falta de recursos. Algo así como un hAP-ac2 o un RB750 si no necesitas wifi. Cuando tengas el equipo me dices, y montamos Pepe acorde.
Lo que quiero que pruebes: idealmente, me gustaría conseguir este setup = HGU (monopuesto) -> Mikrotik (router + IGMP Proxy) -> desco Movistar, sin tener que usar dos cables. Esto simplificaría un montón los setups de muchísima gente, que simplemente tendrían que poner el HGU en monopuesto para funcionar, pudiendo colgar el desco tanto del HGU como del Mikrotik, si así lo desean.
Para probar esto, necesito que guardes un backup de lo que tienes ahora mismo (antes de aplicar lo que ponía arriba para el futuro Paco / Pepe) y aplicar la siguiente configuración en el Mikrotik. Luego, restaurarás el backup si esto no funciona como debe.
Código:
/interface bridge
set 0 igmp-snooping=yes
/ip/dhcp-server/option
add code=240 name=opch-imagenio value="':::::239.0.2.29:22222'"
/ip/pool
set [find name=default-dhcp] ranges=192.168.88.10-192.168.88.239
add name=iptv-dhcp ranges=192.168.88.241-192.168.88.254
/ip/dhcp-server/matcher
add address-pool=iptv-dhcp code=60 name=descos server=defconf \
value="[IAL]"
/ip/dhcp-server/network
add address=192.168.88.240/28 comment=iptv-network \
dhcp-option=opch-imagenio dns-server=172.26.23.3 \
gateway=192.168.88.1 netmask=24
/ip route
add dst-address=172.23.0.0/16 gateway=192.168.1.1
add dst-address=172.26.0.0/16 gateway=192.168.1.1
/ip firewall filter
add action=accept chain=input comment="input: allow traffic from HGU" in-interface=ether1 \
place-before=[find comment="defconf: drop all not coming from LAN"]
/routing/igmp-proxy
set query-interval=30s quick-leave=yes
/routing/igmp-proxy/interface
add alternative-subnets=0.0.0.0/0 interface=ether1 upstream=yes
add interface=bridge
/ip/firewall/service-port
set [find name=rtsp] disabled=noSi esto funciona (es posible que te mande algún retoque más), ahora mismo podrías conectar el desco a cualquier puerto del mikrotik y, sin tocar nada más, debería funcionar igual que si lo conectas al HGU.
¿podrías probarlo, por favor?
Gracias!
Me parece perfecto.
hacia las 16:30 me pongo con ello.
Si no lo he entendido mal, tengo que aplicar el último código que pones.
Supongo que sobre la configuración actual, ¿no?
Te comentó que ahora dispongo de un RB750 que me prestaron.
para el futuro ¿serviría un mAP?
También tengo en casa un router 4G que nos puede servir para hacer las pruebas (faltaría el segundo desco, pero podemos cambiar el actual de equipo).
hacia las 16:30 me pongo con ello.
Si no lo he entendido mal, tengo que aplicar el último código que pones.
Supongo que sobre la configuración actual, ¿no?
Te comentó que ahora dispongo de un RB750 que me prestaron.
para el futuro ¿serviría un mAP?
También tengo en casa un router 4G que nos puede servir para hacer las pruebas (faltaría el segundo desco, pero podemos cambiar el actual de equipo).
Te comento algunas cosillas que cambié en el código
Lo cambié por
porque en IP Pool, la entrada que había era dhcp con addresses 192.168.88.10-192.168.88.254
Código:
set [find name=default-dhcp] ranges=192.168.88.10-192.168.88.239
Código:
set [find name=dhcp] ranges=192.168.88.10-192.168.88.239porque en IP Pool, la entrada que había era dhcp con addresses 192.168.88.10-192.168.88.254
He metido las instrucciones que indicas.
He pinchado el desco en una boca del switch conectado al mk.
Aparentemente funciona normal, aparece el menú y al seleccionar un canal, se empieza a reproducir....
PERO A LOS 6-8 SEGUNDOS, SE QUEDA CONGELADA LA TRANSMISIÓN.
Si cambias a otro canal, empieza la reproducción y se vuelve a parar a los pocos segundos.
Ahí va el export.
Espero instrucciones.
He pinchado el desco en una boca del switch conectado al mk.
Aparentemente funciona normal, aparece el menú y al seleccionar un canal, se empieza a reproducir....
PERO A LOS 6-8 SEGUNDOS, SE QUEDA CONGELADA LA TRANSMISIÓN.
Si cambias a otro canal, empieza la reproducción y se vuelve a parar a los pocos segundos.
Ahí va el export.
Espero instrucciones.
Código:
# jan/16/2023 17:42:56 by RouterOS 7.7
# software id = JICF-P2RJ
#
# model = RBD52G-5HacD2HnD
# serial number = xxxxxxxxxx
/interface bridge
add admin-mac=18:FD:74:D8:9B:8B auto-mac=no comment=defconf igmp-snooping=yes \
name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-g/n disabled=no distance=indoors \
frequency=2437 installation=indoor mode=ap-bridge ssid=mm14b-mk \
wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-n/ac channel-width=20/40/80mhz-XXXX \
disabled=no distance=indoors frequency=auto installation=indoor mode=\
ap-bridge ssid=mm14b-mk wireless-protocol=802.11
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=internet \
use-peer-dns=yes user=adslppp@telefonicanetpa
/interface wireguard
add listen-port=12345 mtu=1420 name=wireguard-rw
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
dynamic-keys supplicant-identity=MikroTik
/ip dhcp-server option
add code=240 name=opch-imagenio value="':::::239.0.2.29:22222'"
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.239
add name=iptv-dhcp ranges=192.168.88.241-192.168.88.254
/ip dhcp-server
add address-pool=dhcp interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defcon interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=internet list=WAN
/interface ovpn-server server
set auth=sha1,md5
/interface wireguard peers
add allowed-address=192.168.50.2/32 comment=PeerRW interface=wireguard-rw \
public-key="la clave publica"
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
192.168.88.0
add address=192.168.1.2/24 interface=ether1 network=192.168.1.0
add address=192.168.50.1/24 interface=wireguard-rw network=192.168.50.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-server lease
add address=192.168.88.2 client-id=1:c:4d:e9:c9:5a:20 mac-address=\
0C:4D:E9:C9:5A:20 server=defconf
add address=192.168.88.3 client-id=1:c8:bc:c8:a1:92:f mac-address=\
C8:BC:C8:A1:92:0F server=defconf
/ip dhcp-server matcher
add address-pool=iptv-dhcp code=60 name=descos server=defconf value="[IAL]"
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
add address=192.168.88.240/28 comment=iptv-network dhcp-option=opch-imagenio \
dns-server=172.26.23.3 gateway=192.168.88.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment="vpn: allow wireguard-rw" dst-port=\
12345 protocol=udp
add action=accept chain=input src-address=192.168.50.2
add action=accept chain=input comment="input: allow traffic from HGU" \
in-interface=ether1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
/ip firewall service-port
set rtsp disabled=no
/ip route
add distance=2 gateway=192.168.1.1
add dst-address=172.23.0.0/16 gateway=192.168.1.1
add dst-address=172.26.0.0/16 gateway=192.168.1.1
/routing igmp-proxy
set query-interval=30s quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=ether1 upstream=yes
add interface=bridge
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=RouterOS
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN- Mensajes
- 14,173
Tienes igmp snooping habilitado en las propiedades del bridge? Si es así, prueba a deshabilitarle el rtsp en IP > Firewall > Services.
Saludos!
Está habilitado el igmp snooping en el bridge.
he deshabilitad rtsp y sigue igual. Se para a los pocos segundos.
