MANUAL: FTTH Movistar/Jazztel/Orange con router Ubiquiti Edg

Hola a todos,

Desde hace mucho tiempo uso un ER-Lite 3 junto con la ONT Alcatel 1240-GT de Movistar (con la configuración de Movistar proporcionada por @Begepeich ). Al intentar subir de velocidad a 1GB, me indican que deben quitarme la ONT y el Router y sustituirla por un HGU Smart Wifi. Les he indicado si podrían dejarme la ONT o si es posible configurar el HGU sólo como ONT para poder seguir utilizando el ER-Lite 3, pero me dicen que no. Mis dudas son las siguiente:

1. ¿Es posible configurar el HGU para que actúe sólo como ONT? Si no es posible, ¿Qué ONT me recomendáis (lo más económica posible) que me permita seguir disfrutando del ER-Lite 3 y funcione con los canales de Movistar? He visto la ONT Ubiquiti Ufiber Loco y una Huawei HG 8240H (de segunda mano), pero no sé si son lo que necesito o hay otras mejores por el mismo precio (50€ la Ufiber nueva y 20€ la Huawei se segunda mano).

2. Ahora tengo ONT + Router + Deco. ¿Debería intentar quedarme con el Deco para ver los canales de Movistar o es posible configurar el HGU sólo para ver los canales de Movistar y que el resto de servicios los dé el ER-Lite 3?

No sé si me compensa seguir usando el ER-Lite 3 o directamente quitar todo y dejar el HGU de Movistar. ¿Qué opináis?.

Un saludo y muchas gracias
 
Última edición:
Hola a todos,

Desde hace mucho tiempo uso un ER-Lite 3 junto con la ONT Alcatel 1240-GT de Movistar (con la configuración de Movistar proporcionada por @Begepeich ). Al intentar subir de velocidad a 1GB, me indican que deben quitarme la ONT y el Router y sustituirla por un HGU Smart Wifi. Les he indicado si podrían dejarme la ONT o si es posible configurar el HGU sólo como ONT para poder seguir utilizando el ER-Lite 3, pero me dicen que no. Mis dudas son las siguiente:

1. ¿Es posible configurar el HGU para que actúe sólo como ONT? Si no es posible, ¿Qué ONT me recomendáis (lo más económica posible) que me permita seguir disfrutando del ER-Lite 3 y funcione con los canales de Movistar?

2. Ahora tengo ONT + Router + Deco. ¿Debería intentar quedarme con el Deco para ver los canales de Movistar o es posible configurar el HGU sólo para ver los canales de Movistar y que el resto de servicios los dé el ER-Lite 3?

No sé si me compensa seguir usando el ER-Lite 3 o directamente quitar todo y dejar el HGU de Movistar. ¿Qué opináis?.

Un saludo y muchas gracias

Hola,

Yo estando en una situación casi igual, ya por el aumento a 600Mb la ONT de alcatel no daba el rendimiento suficiente y me compré de segunda mano una Huawei 8240H de color negro por 15 o 20 € (creo que también hay blancas, y otros modelos, solo te indico la que yo compré y me funciona muy bien.

Yo no tengo 1Giga pero supongo que también servirá, que la Alcatel no llegaba a la velocidad eso seguro.
 
Hola,

Yo estando en una situación casi igual, ya por el aumento a 600Mb la ONT de alcatel no daba el rendimiento suficiente y me compré de segunda mano una Huawei 8240H de color negro por 15 o 20 € (creo que también hay blancas, y otros modelos, solo te indico la que yo compré y me funciona muy bien.

Yo no tengo 1Giga pero supongo que también servirá, que la Alcatel no llegaba a la velocidad eso seguro.
¿Si adquiero un Huawei HG 8240H no tendré que hacer nada más que configurarlo como ONT para que tu configuración de Movistar siga funcionando en el ER-Lite 3?
 
Hola,

Yo estando en una situación casi igual, ya por el aumento a 600Mb la ONT de alcatel no daba el rendimiento suficiente y me compré de segunda mano una Huawei 8240H de color negro por 15 o 20 € (creo que también hay blancas, y otros modelos, solo te indico la que yo compré y me funciona muy bien.

Yo no tengo 1Giga pero supongo que también servirá, que la Alcatel no llegaba a la velocidad eso seguro.
Y respecto al Deco, entiendo que el HGU no puede configurarse sólo para dar este servicio. Debería quedarme el Deco que tengo actualmente ¿verdad?
 
Y respecto al Deco, entiendo que el HGU no puede configurarse sólo para dar este servicio. Debería quedarme el Deco que tengo actualmente ¿verdad?

Si, me parece mejor opción. Desconozco lo que habría que hacer o si puede dejarse solo como deco.

Respecto a lo de configurar la huawei como ONT y que siga funcionando el ERL, correcto tambien.
 
Hola a tod@s
soy cliente de Movistar hace mucho. La ONT que me pusieron desde el inicio era una Huawei modelo HG8240. Ya estuve con el Mikrotik RB-750 (que me encantaba) cuando el plan era el de 100MB simétricos. Al llegar la actualización de Movistar para 300MB simétricos, me pasé al PFSense en un pcEngine APU2C4, la ONT , la misma, HG8240, el switch EdgeSwitch (POE), el switch Mikrotik RB260 y el deco Arris. Todo funcionaba perfectamente, Internet, IPTV (VOD y canales) con el mismo decoder Arris de hoy y el telefono. Al actualizaren mi plan para 600MB simétricos seguí con todo igual.

Este año, al cambiarme de piso, y ademas con la actualización de la línea a 1GB simétricos, tuve que darme de baja en Movistar y darme de alta en un nuevo contrato, pues trasladar mi linea antigua a mi nueva dirección (250 metros de distancia) tardaría más. La baja y la alta me tardaron 1 día.

Ahora me pusieron el HGU (Askey) con el decoder Arris. Los dos funcionan perfectamente, en cuanto a TV. Pero como de costumbre y por temas de mis escenario de uso, el HGU es inaceptable. Por eso tengo mi red configurada con:

- ONT Huawei HG8240;
- EdgeRouter4 como router;
- switch Mikrotik RB260;
- switch EdgeSwitch 8-Port (POE);
- Ubiquiti Unifi AP;

- Decoder Arris STIH207-0

Tengo en mi LAN, las VLAN:
VLAN 15 - network 192.168.15.0/24
VLAN 16 - network 192.168.16.0/24
VLAN 20 - network 192.168.20.0/24
VLAN 25 - network 192.168.1.0/24 - IPTV Movistar - Para el Decoder Arris
VLAN 30 - network 192.168.30.0/24

El decoder lo tengo configurado para funcionar en la red 192.168.1.x (VLAN25), y sea en un puerto del switch Mikrotik, que en el EdgeSwitch, lo que anteriormente funcionaba con pfsense, ahora me presenta el problema de los canales en directo. Tengo el IGMP proxy configurado en las interfaces de la vlan2 de la WAN y en la vlan25 de la LAN.

La internet con 1 GB simétricos sin problemas. En cuanto a la tv, el VOD funciona perfectamente, pero los canales en directo son mi problema. Los canales funcionan perfectamente hasta que pasen 5 minutos, más o menos. De 5 en 5 minutos el canal se congela y al cambiarlo a otro ya se descongela por los próximos 5 minutos cuando vuelve a congelar hasta que cambiemos el canal. Da igual el canal que sea. Así se queda, congelando de 5 en 5 minutos.

Al final me parece que algo me escapa.
Si alguien tuviera el tiempo y pudiera opinar acerca de mi configuración, os agradezco por adelantado!


Código:
firewall {
    all-ping enable
    broadcast-ping disable
    group {
        address-group Local_DNS_Servers {
            address 192.168.15.10
            description "Local DNS Servers"
        }
        network-group PROTECTED_LANS {
            description "Protected Local Networks"
            network 192.168.2.0/24
            network 192.168.15.0/24
            network 192.168.20.0/24
            network 192.168.30.0/24
            network 192.168.16.0/24
            network 192.168.1.0/24
        }
        network-group PROTECTED_LANS_FOR_IPTV {
            description "Protected LAN for IPTV"
            network 192.168.15.0/24
            network 192.168.16.0/24
            network 192.168.20.0/24
            network 192.168.30.0/24
        }
    }
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians disable
    name WAN_LOCAL {
        default-action drop
        description "WAN to Router"
        rule 1 {
            action accept
            description "Allow established/related"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 2 {
            action drop
            description "Drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
        rule 3 {
            action accept
            description "Allow ICMP"
            disable
            log disable
            protocol icmp
        }
        rule 4 {
            action accept
            description "permitir gestion remota"
            destination {
                port 22,443
            }
            disable
            log disable
            protocol tcp
        }
    }
    name VLAN15_IN {
        default-action accept
        description ""
        rule 10 {
            action accept
            description "Allow established/related"
            disable
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            disable
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    name VLAN15_LOCAL {
        default-action drop
        description ""
        rule 1 {
            action accept
            description "Allow established/related"
            disable
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 2 {
            action drop
            description "Drop invalid state"
            disable
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
        rule 3 {
            action accept
            description "Allow ICMP"
            disable
            log disable
            protocol icmp
        }
        rule 4 {
            action accept
            description "Allow admin 443"
            destination {
                port 443
            }
            disable
            log disable
            protocol tcp
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
    }
    name VLAN16_IN {
        default-action accept
        description ""
        rule 10 {
            action drop
            description ISOLATE_VLAN16
            destination {
                group {
                    network-group PROTECTED_LANS
                }
            }
            log disable
            protocol all
        }
        rule 20 {
            action accept
            description "Allow established/related"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 30 {
            action drop
            description "Drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    name VLAN16_LOCAL {
        default-action drop
        description ""
        rule 1 {
            action accept
            description "Allow DNS"
            destination {
                port 53
            }
            log disable
            protocol udp
        }
        rule 2 {
            action accept
            description "Allow DHCP"
            destination {
                port 67
            }
            log disable
            protocol udp
        }
    }
    name VLAN20_IN {
        default-action accept
        description ""
        rule 10 {
            action drop
            description ISOLATE_VLAN20
            destination {
                group {
                    network-group PROTECTED_LANS
                }
            }
            log disable
            protocol all
        }
        rule 20 {
            action accept
            description "Allow established/related"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 30 {
            action drop
            description "Drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    name VLAN20_LOCAL {
        default-action drop
        description ""
        rule 1 {
            action accept
            description "Allow DNS"
            destination {
                port 53
            }
            log disable
            protocol udp
        }
        rule 2 {
            action accept
            description "Allow DHCP"
            destination {
                port 67
            }
            log disable
            protocol udp
        }
        rule 3 {
            action accept
            description "Allow ICMP"
            destination {
                group {
                    address-group NETv4_eth1.20
                }
            }
            log disable
            protocol icmp
        }
    }
    name VLAN25_IN {
        default-action accept
        description ""
        rule 10 {
            action drop
            description ISOLATE_VLAN20
            destination {
                group {
                    network-group PROTECTED_LANS_FOR_IPTV
                }
            }
            disable
            log disable
            protocol all
        }
        rule 20 {
            action accept
            description "Allow established/related"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 30 {
            action drop
            description "Drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    name VLAN25_LOCAL {
        default-action drop
        description ""
        rule 1 {
            action accept
            description "Allow DNS"
            destination {
                port 53
            }
            log disable
            protocol udp
        }
        rule 2 {
            action accept
            description "Allow DHCP"
            destination {
                port 67
            }
            log disable
            protocol udp
        }
        rule 3 {
            action accept
            description "Allow ICMP"
            destination {
                group {
                    address-group NETv4_eth1.20
                }
            }
            log disable
            protocol icmp
        }
    }
    name VLAN30_IN {
        default-action accept
        description ""
        rule 10 {
            action accept
            description Local_DNS_Server_15_5
            destination {
                group {
                    address-group Local_DNS_Servers
                }
                port 53
            }
            log disable
            protocol udp
        }
        rule 20 {
            action drop
            description ISOLATE_VLAN30
            destination {
                group {
                    network-group PROTECTED_LANS
                }
            }
            log disable
            protocol all
        }
        rule 30 {
            action drop
            description "Drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
        rule 40 {
            action accept
            description "Allow established/related"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
    }
    name VLAN30_LOCAL {
        default-action drop
        description ""
        rule 1 {
            action accept
            description "Allow DNS"
            destination {
                port 53
            }
            log disable
            protocol udp
        }
        rule 2 {
            action accept
            description "Allow DHCP"
            destination {
                port 67
            }
            log disable
            protocol udp
        }
    }
    name WAN_IN {
        default-action drop
        description ""
        rule 1 {
            action accept
            description "Allow established/related"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 2 {
            action drop
            description "Drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    options {
        mss-clamp {
            interface-type pppoe
            mss 1452
        }
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}
interfaces {
    ethernet eth0 {
        duplex auto
        speed auto
        vif 2 {
            address 10.x.x.x/y (modificado por privacidad)
            description MovistarTV
        }
        vif 3 {
            address dhcp
            description Voip
            dhcp-options {
                default-route no-update
                default-route-distance 210
                name-server update
            }
        }
        vif 6 {
            description Internet
            pppoe 0 {
                default-route force
                firewall {
                    in {
                        name WAN_IN
                    }
                    local {
                        name WAN_LOCAL
                    }
                }
                mtu 1492
                name-server auto
                password adslppp
                user-id adslppp@telefonicanetpa
            }
        }
    }
    ethernet eth1 {
        address 192.168.2.1/24
        description LAN
        duplex auto
        speed auto
        vif 15 {
            address 192.168.15.1/24
            description VLAN15_LAN
        }
        vif 16 {
            address 192.168.16.1/24
            description VLAN16_LAN_PRINTERS
            firewall {
                in {
                    name VLAN16_IN
                }
                local {
                    name VLAN16_LOCAL
                }
            }
        }
        vif 20 {
            address 192.168.20.1/24
            description VLAN20_GUESTS
            firewall {
                in {
                    name VLAN20_IN
                }
                local {
                    name VLAN20_LOCAL
                }
            }
            mtu 1500
        }
        vif 25 {
            address 192.168.1.1/24
            description VLAN25_IPTV_INT
            mtu 1500
        }
        vif 30 {
            address 192.168.30.1/24
            description VLAN30_IOT
            firewall {
                in {
                    name VLAN30_IN
                }
                local {
                    name VLAN30_LOCAL
                }
            }
            mtu 1500
        }
    }
    ethernet eth2 {
        disable
        duplex auto
        speed auto
    }
    loopback lo {
    }
}
port-forward {
    auto-firewall disable
    hairpin-nat disable
    lan-interface eth1
    wan-interface pppoe0
}
protocols {
    igmp-proxy {
        interface eth0.2 {
            alt-subnet 0.0.0.0/0
            role upstream
            threshold 1
        }
        interface eth0.3 {
            role disabled
            threshold 1
        }
        interface eth1.25 {
            alt-subnet 192.168.1.0/24
            role downstream
            threshold 1
        }
        interface pppoe0 {
            role disabled
            threshold 1
        }
    }
    rip {
        interface eth0.3
        interface eth0.2
        passive-interface default
    }
}
service {
    dhcp-server {
        disabled false
        global-parameters "option option-deco code 240 = string;"
        global-parameters "class "decos" { match if substring (option vendor-class-identifier , 0, 5) = "[IAL]"; }"
        global-parameters "log-facility local2;"
        hostfile-update disable
        shared-network-name DHCP_LAN {
            authoritative disable
            disable
            subnet 192.168.2.0/24 {
                default-router 192.168.2.1
                dns-server 8.8.8.8
                lease 86400
                start 192.168.2.20 {
                    stop 192.168.2.120
                }
                static-mapping MockDesktop01 {
                    ip-address 192.168.2.30
                    mac-address mock
                }
            }
        }
        shared-network-name DHCP_VLAN15 {
            authoritative enable
            subnet 192.168.15.0/24 {
                default-router 192.168.15.1
                dns-server 192.168.15.10
                dns-server 8.8.8.8
                domain-name mockhome.lan
                lease 86400
                start 192.168.15.20 {
                    stop 192.168.15.120
                }
                static-mapping NAS_MOCK01 {
                    ip-address 192.168.15.121
                    mac-address mock1
                }
                static-mapping NAS_MOCK02 {
                    ip-address 192.168.15.122
                    mac-address mock2
                }
                static-mapping 001vm {
                    ip-address 192.168.15.55
                    mac-address mock3
                }
                static-mapping compMock04 {
                    ip-address 192.168.15.29
                    mac-address mock4
                }
                static-mapping compMock05 {
                    ip-address 192.168.15.28
                    mac-address mock5
                }
            }
        }
        shared-network-name DHCP_VLAN16_PRINTERS {
            authoritative disable
            subnet 192.168.16.0/24 {
                default-router 192.168.16.1
                lease 86400
                start 192.168.16.11 {
                    stop 192.168.16.15
                }
            }
        }
        shared-network-name DHCP_VLAN20_GUESTS {
            authoritative enable
            subnet 192.168.20.0/24 {
                default-router 192.168.20.1
                dns-server 192.168.20.1
                dns-server 8.8.8.8
                lease 86400
                start 192.168.20.20 {
                    stop 192.168.20.100
                }
            }
        }
        shared-network-name DHCP_VLAN25_IPTV {
            authoritative enable
            subnet 192.168.1.0/24 {
                default-router 192.168.1.1
                domain-name 192.168.1.1
                lease 86400
                subnet-parameters "option option-deco ":::::239.0.2.10:22222:v6.0:239.0.2.30:22222";"
                subnet-parameters "pool {"
                subnet-parameters "allow members of "decos";"
                subnet-parameters "range 192.168.1.200 192.168.1.210;"
                subnet-parameters "option domain-name-servers 172.26.23.3;"
                subnet-parameters " }"
            }
        }
        shared-network-name DHCP_VLAN30_IOT {
            authoritative enable
            subnet 192.168.30.0/24 {
                default-router 192.168.30.1
                dns-server 192.168.30.1
                dns-server 8.8.8.8
                lease 86400
                start 192.168.30.10 {
                    stop 192.168.30.100
                }
            }
        }
        static-arp disable
        use-dnsmasq disable
    }
    dns {
        forwarding {
            cache-size 4096
            listen-on eth1
            listen-on eth1.20
            listen-on eth1.30
            listen-on eth1.15
            listen-on eth1.16
            listen-on eth1.25
        }
    }
    gui {
        http-port 80
        https-port 443
        older-ciphers enable
    }
    nat {
        rule 3 {
            description VOD_Imagenio_VLAN25
            destination {
                group {
                    address-group ADDRv4_eth0.2
                }
            }
            inbound-interface eth0.2
            inside-address {
                address 192.168.1.200
            }
            log disable
            protocol tcp_udp
            type destination
        }
        rule 5000 {
            description Masq_Internet
            log disable
            outbound-interface pppoe0
            protocol all
            type masquerade
        }
        rule 5001 {
            description Masq_Voip
            log disable
            outbound-interface eth0.3
            protocol all
            type masquerade
        }
        rule 5002 {
            description Masq_TV
            log disable
            outbound-interface eth0.2
            protocol all
            type masquerade
        }
    }
    ssh {
        port 22
        protocol-version v2
    }
    ubnt-discover {
        disable
    }
    unms {
        disable
    }
    upnp2 {
        listen-on eth1
        nat-pmp enable
        secure-mode disable
        wan pppoe0
    }
}
system {
    analytics-handler {
        send-analytics-report false
    }
    config-management {
    }
    conntrack {
        expect-table-size 4096
        hash-size 4096
        table-size 32768
        tcp {
            half-open-connections 512
            loose enable
            max-retrans 3
        }
    }
    crash-handler {
        send-crash-report false
    }
    host-name Router
    login {
        user RouterAdminMock {
            authentication {
                encrypted-password ENCRYPTED_PASSWORD_MOCK
                plaintext-password ""
            }
            full-name UserMock
            level admin
        }
    }
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    offload {
        hwnat disable
        ipsec enable
        ipv4 {
            forwarding enable
            pppoe enable
            vlan enable
        }
        ipv6 {
            forwarding disable
        }
    }
    static-host-mapping {
    }
    syslog {
        file dhcpd.log {
            archive {
                files 5
                size 5000
            }
            facility local2 {
                level debug
            }
        }
        global {
            facility all {
                level notice
            }
            facility protocols {
                level debug
            }
        }
    }
    time-zone Europe/Madrid
}


/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:suspend@1:system@5:ubnt-l2tp@1:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@2:ubnt-util@1:vrrp@1:vyatta-netflow@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v2.0.9 */
 
Hola a tod@s
soy cliente de Movistar hace mucho. La ONT que me pusieron desde el inicio era una Huawei modelo HG8240. Ya estuve con el Mikrotik RB-750 (que me encantaba) cuando el plan era el de 100MB simétricos. Al llegar la actualización de Movistar para 300MB simétricos, me pasé al PFSense en un pcEngine APU2C4, la ONT , la misma, HG8240, el switch EdgeSwitch (POE), el switch Mikrotik RB260 y el deco Arris. Todo funcionaba perfectamente, Internet, IPTV (VOD y canales) con el mismo decoder Arris de hoy y el telefono. Al actualizaren mi plan para 600MB simétricos seguí con todo igual.

Este año, al cambiarme de piso, y ademas con la actualización de la línea a 1GB simétricos, tuve que darme de baja en Movistar y darme de alta en un nuevo contrato, pues trasladar mi linea antigua a mi nueva dirección (250 metros de distancia) tardaría más. La baja y la alta me tardaron 1 día.

Ahora me pusieron el HGU (Askey) con el decoder Arris. Los dos funcionan perfectamente, en cuanto a TV. Pero como de costumbre y por temas de mis escenario de uso, el HGU es inaceptable. Por eso tengo mi red configurada con:

- ONT Huawei HG8240;
- EdgeRouter4 como router;
- switch Mikrotik RB260;
- switch EdgeSwitch 8-Port (POE);
- Ubiquiti Unifi AP;

- Decoder Arris STIH207-0

Tengo en mi LAN, las VLAN:
VLAN 15 - network 192.168.15.0/24
VLAN 16 - network 192.168.16.0/24
VLAN 20 - network 192.168.20.0/24
VLAN 25 - network 192.168.1.0/24 - IPTV Movistar - Para el Decoder Arris
VLAN 30 - network 192.168.30.0/24

El decoder lo tengo configurado para funcionar en la red 192.168.1.x (VLAN25), y sea en un puerto del switch Mikrotik, que en el EdgeSwitch, lo que anteriormente funcionaba con pfsense, ahora me presenta el problema de los canales en directo. Tengo el IGMP proxy configurado en las interfaces de la vlan2 de la WAN y en la vlan25 de la LAN.

La internet con 1 GB simétricos sin problemas. En cuanto a la tv, el VOD funciona perfectamente, pero los canales en directo son mi problema. Los canales funcionan perfectamente hasta que pasen 5 minutos, más o menos. De 5 en 5 minutos el canal se congela y al cambiarlo a otro ya se descongela por los próximos 5 minutos cuando vuelve a congelar hasta que cambiemos el canal. Da igual el canal que sea. Así se queda, congelando de 5 en 5 minutos.

Al final me parece que algo me escapa.
Si alguien tuviera el tiempo y pudiera opinar acerca de mi configuración, os agradezco por adelantado!


Código:
firewall {
all-ping enable
broadcast-ping disable
group {
address-group Local_DNS_Servers {
address 192.168.15.10
description "Local DNS Servers"
}
network-group PROTECTED_LANS {
description "Protected Local Networks"
network 192.168.2.0/24
network 192.168.15.0/24
network 192.168.20.0/24
network 192.168.30.0/24
network 192.168.16.0/24
network 192.168.1.0/24
}
network-group PROTECTED_LANS_FOR_IPTV {
description "Protected LAN for IPTV"
network 192.168.15.0/24
network 192.168.16.0/24
network 192.168.20.0/24
network 192.168.30.0/24
}
}
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians disable
name WAN_LOCAL {
default-action drop
description "WAN to Router"
rule 1 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
rule 3 {
action accept
description "Allow ICMP"
disable
log disable
protocol icmp
}
rule 4 {
action accept
description "permitir gestion remota"
destination {
port 22,443
}
disable
log disable
protocol tcp
}
}
name VLAN15_IN {
default-action accept
description ""
rule 10 {
action accept
description "Allow established/related"
disable
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
disable
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name VLAN15_LOCAL {
default-action drop
description ""
rule 1 {
action accept
description "Allow established/related"
disable
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "Drop invalid state"
disable
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
rule 3 {
action accept
description "Allow ICMP"
disable
log disable
protocol icmp
}
rule 4 {
action accept
description "Allow admin 443"
destination {
port 443
}
disable
log disable
protocol tcp
state {
established enable
invalid disable
new disable
related enable
}
}
}
name VLAN16_IN {
default-action accept
description ""
rule 10 {
action drop
description ISOLATE_VLAN16
destination {
group {
network-group PROTECTED_LANS
}
}
log disable
protocol all
}
rule 20 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 30 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name VLAN16_LOCAL {
default-action drop
description ""
rule 1 {
action accept
description "Allow DNS"
destination {
port 53
}
log disable
protocol udp
}
rule 2 {
action accept
description "Allow DHCP"
destination {
port 67
}
log disable
protocol udp
}
}
name VLAN20_IN {
default-action accept
description ""
rule 10 {
action drop
description ISOLATE_VLAN20
destination {
group {
network-group PROTECTED_LANS
}
}
log disable
protocol all
}
rule 20 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 30 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name VLAN20_LOCAL {
default-action drop
description ""
rule 1 {
action accept
description "Allow DNS"
destination {
port 53
}
log disable
protocol udp
}
rule 2 {
action accept
description "Allow DHCP"
destination {
port 67
}
log disable
protocol udp
}
rule 3 {
action accept
description "Allow ICMP"
destination {
group {
address-group NETv4_eth1.20
}
}
log disable
protocol icmp
}
}
name VLAN25_IN {
default-action accept
description ""
rule 10 {
action drop
description ISOLATE_VLAN20
destination {
group {
network-group PROTECTED_LANS_FOR_IPTV
}
}
disable
log disable
protocol all
}
rule 20 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 30 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name VLAN25_LOCAL {
default-action drop
description ""
rule 1 {
action accept
description "Allow DNS"
destination {
port 53
}
log disable
protocol udp
}
rule 2 {
action accept
description "Allow DHCP"
destination {
port 67
}
log disable
protocol udp
}
rule 3 {
action accept
description "Allow ICMP"
destination {
group {
address-group NETv4_eth1.20
}
}
log disable
protocol icmp
}
}
name VLAN30_IN {
default-action accept
description ""
rule 10 {
action accept
description Local_DNS_Server_15_5
destination {
group {
address-group Local_DNS_Servers
}
port 53
}
log disable
protocol udp
}
rule 20 {
action drop
description ISOLATE_VLAN30
destination {
group {
network-group PROTECTED_LANS
}
}
log disable
protocol all
}
rule 30 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
rule 40 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
}
name VLAN30_LOCAL {
default-action drop
description ""
rule 1 {
action accept
description "Allow DNS"
destination {
port 53
}
log disable
protocol udp
}
rule 2 {
action accept
description "Allow DHCP"
destination {
port 67
}
log disable
protocol udp
}
}
name WAN_IN {
default-action drop
description ""
rule 1 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
interface-type pppoe
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
duplex auto
speed auto
vif 2 {
address 10.x.x.x/y (modificado por privacidad)
description MovistarTV
}
vif 3 {
address dhcp
description Voip
dhcp-options {
default-route no-update
default-route-distance 210
name-server update
}
}
vif 6 {
description Internet
pppoe 0 {
default-route force
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
password adslppp
user-id adslppp@telefonicanetpa
}
}
}
ethernet eth1 {
address 192.168.2.1/24
description LAN
duplex auto
speed auto
vif 15 {
address 192.168.15.1/24
description VLAN15_LAN
}
vif 16 {
address 192.168.16.1/24
description VLAN16_LAN_PRINTERS
firewall {
in {
name VLAN16_IN
}
local {
name VLAN16_LOCAL
}
}
}
vif 20 {
address 192.168.20.1/24
description VLAN20_GUESTS
firewall {
in {
name VLAN20_IN
}
local {
name VLAN20_LOCAL
}
}
mtu 1500
}
vif 25 {
address 192.168.1.1/24
description VLAN25_IPTV_INT
mtu 1500
}
vif 30 {
address 192.168.30.1/24
description VLAN30_IOT
firewall {
in {
name VLAN30_IN
}
local {
name VLAN30_LOCAL
}
}
mtu 1500
}
}
ethernet eth2 {
disable
duplex auto
speed auto
}
loopback lo {
}
}
port-forward {
auto-firewall disable
hairpin-nat disable
lan-interface eth1
wan-interface pppoe0
}
protocols {
igmp-proxy {
interface eth0.2 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth0.3 {
role disabled
threshold 1
}
interface eth1.25 {
alt-subnet 192.168.1.0/24
role downstream
threshold 1
}
interface pppoe0 {
role disabled
threshold 1
}
}
rip {
interface eth0.3
interface eth0.2
passive-interface default
}
}
service {
dhcp-server {
disabled false
global-parameters "option option-deco code 240 = string;"
global-parameters "class "decos" { match if substring (option vendor-class-identifier , 0, 5) = "[IAL]"; }"
global-parameters "log-facility local2;"
hostfile-update disable
shared-network-name DHCP_LAN {
authoritative disable
disable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 8.8.8.8
lease 86400
start 192.168.2.20 {
stop 192.168.2.120
}
static-mapping MockDesktop01 {
ip-address 192.168.2.30
mac-address mock
}
}
}
shared-network-name DHCP_VLAN15 {
authoritative enable
subnet 192.168.15.0/24 {
default-router 192.168.15.1
dns-server 192.168.15.10
dns-server 8.8.8.8
domain-name mockhome.lan
lease 86400
start 192.168.15.20 {
stop 192.168.15.120
}
static-mapping NAS_MOCK01 {
ip-address 192.168.15.121
mac-address mock1
}
static-mapping NAS_MOCK02 {
ip-address 192.168.15.122
mac-address mock2
}
static-mapping 001vm {
ip-address 192.168.15.55
mac-address mock3
}
static-mapping compMock04 {
ip-address 192.168.15.29
mac-address mock4
}
static-mapping compMock05 {
ip-address 192.168.15.28
mac-address mock5
}
}
}
shared-network-name DHCP_VLAN16_PRINTERS {
authoritative disable
subnet 192.168.16.0/24 {
default-router 192.168.16.1
lease 86400
start 192.168.16.11 {
stop 192.168.16.15
}
}
}
shared-network-name DHCP_VLAN20_GUESTS {
authoritative enable
subnet 192.168.20.0/24 {
default-router 192.168.20.1
dns-server 192.168.20.1
dns-server 8.8.8.8
lease 86400
start 192.168.20.20 {
stop 192.168.20.100
}
}
}
shared-network-name DHCP_VLAN25_IPTV {
authoritative enable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
domain-name 192.168.1.1
lease 86400
subnet-parameters "option option-deco ":::::239.0.2.10:22222:v6.0:239.0.2.30:22222";"
subnet-parameters "pool {"
subnet-parameters "allow members of "decos";"
subnet-parameters "range 192.168.1.200 192.168.1.210;"
subnet-parameters "option domain-name-servers 172.26.23.3;"
subnet-parameters " }"
}
}
shared-network-name DHCP_VLAN30_IOT {
authoritative enable
subnet 192.168.30.0/24 {
default-router 192.168.30.1
dns-server 192.168.30.1
dns-server 8.8.8.8
lease 86400
start 192.168.30.10 {
stop 192.168.30.100
}
}
}
static-arp disable
use-dnsmasq disable
}
dns {
forwarding {
cache-size 4096
listen-on eth1
listen-on eth1.20
listen-on eth1.30
listen-on eth1.15
listen-on eth1.16
listen-on eth1.25
}
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 3 {
description VOD_Imagenio_VLAN25
destination {
group {
address-group ADDRv4_eth0.2
}
}
inbound-interface eth0.2
inside-address {
address 192.168.1.200
}
log disable
protocol tcp_udp
type destination
}
rule 5000 {
description Masq_Internet
log disable
outbound-interface pppoe0
protocol all
type masquerade
}
rule 5001 {
description Masq_Voip
log disable
outbound-interface eth0.3
protocol all
type masquerade
}
rule 5002 {
description Masq_TV
log disable
outbound-interface eth0.2
protocol all
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
ubnt-discover {
disable
}
unms {
disable
}
upnp2 {
listen-on eth1
nat-pmp enable
secure-mode disable
wan pppoe0
}
}
system {
analytics-handler {
send-analytics-report false
}
config-management {
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose enable
max-retrans 3
}
}
crash-handler {
send-crash-report false
}
host-name Router
login {
user RouterAdminMock {
authentication {
encrypted-password ENCRYPTED_PASSWORD_MOCK
plaintext-password ""
}
full-name UserMock
level admin
}
}
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
ipv6 {
forwarding disable
}
}
static-host-mapping {
}
syslog {
file dhcpd.log {
archive {
files 5
size 5000
}
facility local2 {
level debug
}
}
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone Europe/Madrid
}


/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:suspend@1:system@5:ubnt-l2tp@1:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@2:ubnt-util@1:vrrp@1:vyatta-netflow@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v2.0.9 */
Hola, yo tengo Movistar 1GB y TV también. Router Edgerouter 12 con edgeswitch 8 150W para repartir las vlan. En su momento probé a meter el igmp proxy en varias vlanes también pero así no funciona, probado y confirmado, tenía el mismo comportamiento que comentas, los canales en directo a los pocos minutos se congelaban. Al final opte por meter igmp proxy sólo en una vlan. Así funciona sin problemas.

Yo también tengo varias vlanes para repartir internet, pero para tv tiene que ser la misma vlan. Tengo 4 decos y de momento sin problemas.

Saludos,

Enviado desde mi SM-A315G mediante Tapatalk
 
Hola, yo tengo Movistar 1GB y TV también. Router Edgerouter 12 con edgeswitch 8 150W para repartir las vlan. En su momento probé a meter el igmp proxy en varias vlanes también pero así no funciona, probado y confirmado, tenía el mismo comportamiento que comentas, los canales en directo a los pocos minutos se congelaban. Al final opte por meter igmp proxy sólo en una vlan. Así funciona sin problemas.

Yo también tengo varias vlanes para repartir internet, pero para tv tiene que ser la misma vlan. Tengo 4 decos y de momento sin problemas.

Saludos,

Enviado desde mi SM-A315G mediante Tapatalk
Hola @sgtoartilleria,

muchas gracias por tu pronta respuesta. Después de tu comentario, echando un vistazo en mi configuración he notado que me habían escapado las interfaces eth0.3 y pppoe en el protocolo igmp-proxy. Las he eliminado.

En el edgeRouter4, ahora mismo, tengo solo las interfaces de upstream (vlan2 de movistar) y la de downstream para el igmp proxy.

Código:
igmp-proxy {
        interface eth0.2 {
            alt-subnet 0.0.0.0/0
            role upstream
            threshold 1
        }
        interface eth1.25 {
            alt-subnet 192.168.1.0/24
            role downstream
            threshold 1
        }
}

A ver si te sigo.
Lo que comentas es que tienes una solo vlan con el proxy igmp. Vale. Lo que tengo entendido es que el proxy igmp necesitaría al menos dos interfaces, una con perfil "upstream" y esa siempre será una solo, que en mi caso es la VLAN2 en eth0 (mi WAN con las 3 vlans de Movistar - interfaz eth0.2) y otra en la VLAN25 con perfil "downstream", donde está el deco.

En tu caso, tienes el upstream como el mio, en la VLAN2 desde tu interfaz WAN. Pero si he entendido tu comentario:

"Al final opte por meter igmp proxy sólo en una vlan. Así funciona sin problemas."

la tienes como mi configuración arriba, la interfaz con perfil downstream en una solo VLAN (en mi caso, está en la 25). ¿Verdad o me equivoco?
 
Hola Buenas,
Esta configuracion la he usado durante mucho tiempo y la TV no me ha dado ningun problema.
La VLAN 150 es en la que estan los decos de TV.

Código:
    igmp-proxy {
        interface eth0.2 {
            alt-subnet 0.0.0.0/0
            role upstream
            threshold 1
        }
        interface eth0.3 {
            role disabled
            threshold 1
        }
        interface eth1 {
            role disabled
            threshold 1
        }
        interface eth1.150 {
            role downstream
            threshold 1
        }
        interface eth1.160 {
            role disabled
            threshold 1
        }
        interface eth1.199 {
            role disabled
            threshold 1
        }
        interface eth2 {
            role disabled
            threshold 1
        }
        interface pppoe0 {
            role disabled
            threshold 1
        }
    }

Espero que os ayude.
Un Saludo.
 
Hola @sgtoartilleria,

muchas gracias por tu pronta respuesta. Después de tu comentario, echando un vistazo en mi configuración he notado que me habían escapado las interfaces eth0.3 y pppoe en el protocolo igmp-proxy. Las he eliminado.

En el edgeRouter4, ahora mismo, tengo solo las interfaces de upstream (vlan2 de movistar) y la de downstream para el igmp proxy.

Código:
igmp-proxy {
interface eth0.2 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth1.25 {
alt-subnet 192.168.1.0/24
role downstream
threshold 1
}
}

A ver si te sigo.
Lo que comentas es que tienes una solo vlan con el proxy igmp. Vale. Lo que tengo entendido es que el proxy igmp necesitaría al menos dos interfaces, una con perfil "upstream" y esa siempre será una solo, que en mi caso es la VLAN2 en eth0 (mi WAN con las 3 vlans de Movistar - interfaz eth0.2) y otra en la VLAN25 con perfil "downstream", donde está el deco.

En tu caso, tienes el upstream como el mio, en la VLAN2 desde tu interfaz WAN. Pero si he entendido tu comentario:

"Al final opte por meter igmp proxy sólo en una vlan. Así funciona sin problemas."

la tienes como mi configuración arriba, la interfaz con perfil downstream en una solo VLAN (en mi caso, está en la 25). ¿Verdad o me equivoco?
Hola, efectivamente, lo tengo igual, en el IGMP Proxy la vlan2 de movistar como upstream y una vlan como downstream. Entendí que ponías 2 vlanes como downstream que es justo lo que estuve probando yo y tenía el mismo comportamiento. Cada pocos minutos se cortaba hasta que cambiabas de canal. Debe ser otro el problema.

Saludos



Enviado desde mi SM-A315G mediante Tapatalk
 
Hola,
Tengo una configuracion de ER-6P>>Switch >>> >(PC, NAS, puntos de accesso, etc) en el rango 192.162.1.0/24 funcionado correctamente. Eth0 esta configurado con una IP estatica que viene de la ONT. Querria cambiar la configuracion y que todo el trafico del ER-6P fuera a un miniPC con OPNsense instalado como firewall pero no me queda claro el cableado y como configurar la red. He subido alguns pregunta a diferentes foros pero no lo consigo. Subo una imagen de mi configuracion actual.
Agradeceria links o consejos de como configurar el ER-6P pàra eu mande el trafico al OPNsense y este lo mande a la LAB filtrado.
Gracias
 

Adjuntos

  • Mynetwok_low.jpg
    Mynetwok_low.jpg
    227 KB · Visitas: 64
Bangali, si quieres que vaya todo el tráfico al opnsense entiendo que directamente podrías ponerlo sustituyendo al Router. O no he entendido del todo lo que planteas con "todo el tráfico"
 
Bangali, si quieres que vaya todo el tráfico al opnsense entiendo que directamente podrías ponerlo sustituyendo al Router. O no he entendido del todo lo que planteas con "todo el tráfico"

@Begeich. He mirado en Ubiquiti y parece que la mejor opcion es dejar el ER-ROUTER y poner detras un OPNsense o similares (entangle, pFsense, etc) separarando con 2 NICs la RED LAN de la WAN. La verdad es que todavia estoy algo confundido y necesito aclararme...
Este post es algo similar a lo que me ha ocurrido recientemente. Simplemente he seguido los diferentes hilos y estoy en fase de intentar evitar lo msimo otra vez. Esta claro que el problema no son los routers sino la necesidad de mejorar las defensas o que nos asesoren para haccerlo. El teletrabajo ha provocado muchos agujeros al menos en mi sistema...
 
Buenas @Bangali, como comenta @Begepeich si vas a poner un OPnsense puedes quitar el rotuer y gestionar todo desde el OPNsense. Como dices la mejor opicon es dos tarjetas fisicas, una para la WAN y otra para la LAN tan solo te quedaria configura OPNsense para que use las VLAN de la ONT y crear la conexion PPPoP.
 
Buenas @Bangali, como comenta @Begepeich si vas a poner un OPnsense puedes quitar el rotuer y gestionar todo desde el OPNsense.

Uf... Demasiado complicado....
Intentare manejar mejor el firewall del ER-6P. Una duda. En la configuracion que utlizamos de Begepeich las reglas WAN_IN, INTERNET_LOCAL estan aplicadas a las interfaces ppoe0/local, ppoe0/in.
Si quiero bloquear que una maquina de la LAN (192.168.1.0/24) no tenga acceso a paginas web por el puerto 80, deberia configurar un grupo de reglas en la interface ppoe0/out o en eth1/out?
Gracias
 
Buenas @Bangali, como comenta @Begepeich si vas a poner un OPnsense puedes quitar el rotuer y gestionar todo desde el OPNsense. Como dices la mejor opicon es dos tarjetas fisicas, una para la WAN y otra para la LAN tan solo te quedaria configura OPNsense para que use las VLAN de la ONT y crear la conexion PPPoP.
Hola,
Despues de mirarlo mucho he aclarado que OPNsense requiere de 2 tarjetas de red (NIC) pero puedo dejar el router. En una deberia estar la WAN y en la otra la LAN. En mi configuracion actual de Begepeich tengo eth0 conectado a la ONT con ppoe y las VLAN correpondientes. Eth1 va al switch en el rango 192.168.1.1/24. El router es 192.168.1.1.
Para no tocar nada y dejar de backup eth1 querria configurar eth2 para la LAN con un rango de IPs distintos. El router estaria conectado al PC de momento con una maquina virtual con OPNsense. El trafico filtrado se iria a la segunda NIC que iria al switch para dar servicio a todos los dispositivos de la LAN.

Entre mis muchas dudas estan:
1. Que rango de IPs puede configurar en eth2? Eth1 la desconectaria para las pruebas
2. Las VLAN de voip e internet deberia redirigirlas al eth2?
3. Puedo dejar el router como 192.168.1.1?

Una imagen de la red con el diseño actual esta aqui

Gracias
 
Uf... Demasiado complicado....
Intentare manejar mejor el firewall del ER-6P. Una duda. En la configuracion que utlizamos de Begepeich las reglas WAN_IN, INTERNET_LOCAL estan aplicadas a las interfaces ppoe0/local, ppoe0/in.
Si quiero bloquear que una maquina de la LAN (192.168.1.0/24) no tenga acceso a paginas web por el puerto 80, deberia configurar un grupo de reglas en la interface ppoe0/out o en eth1/out?
Gracias

Por lo que comentabas supongo que has tenido algún tipo de problema o de ataque en tu red? Tienes mas o menos claro lo que sucedió o donde esta el fallo?

Explica lo que puedas y cual es el objetivo final, lo que quieres bloquear, y también si tienes claro que es lo que quieres exponer a internet y lo que no. En la mayoría de los casos para una red como la tuya actual me parece raro que con el FW integrado del router y teniendo en cuenta que todo esta detrás de NAT no te lleguie a cubrir las necesidades. Es por esto el preguntarte un poco más, lo mismo se trata de potencia o funcionalidades extra que quieres tener e implementar en el OPNsense
 
Por lo que comentabas supongo que has tenido algún tipo de problema o de ataque en tu red? Tienes mas o menos claro lo que sucedió o donde esta el fallo?

Explica lo que puedas y cual es el objetivo final, lo que quieres bloquear, y también si tienes claro que es lo que quieres exponer a internet y lo que no. En la mayoría de los casos para una red como la tuya actual me parece raro que con el FW integrado del router y teniendo en cuenta que todo esta detrás de NAT no te lleguie a cubrir las necesidades. Es por esto el preguntarte un poco más, lo mismo se trata de potencia o funcionalidades extra que quieres tener e implementar en el OPNsense
@Begepeich,
Gracias. Efectivamente fui afectado por el Ramsonware Revil. La verdad es que el tema es bastante sofisticado ya que empezo con errores de contraseña de windows, reseteo del ordenador, entrada en modo seguro, etc.. Afortunadamente no llego a encriptar todo el ordenador por que lo desconecté cuando intui que algo raro pasaba. Los backups a un NAS en Linux me salvaron la situación y no llegaron a llevarse ningun fichero. No se como entro, ni idea...
Solo puedeo decir y especular que por teletrabajo he utilizado varios ordenadores y aplicaciones de acceso remoto (TeamViewer, AnyDesk, Remote PC, etc.) y abrir puertos para que estas herramientas funcionaran....
Mi conocimiento de redes es basico, y lo he aprendido todo por estos foros y otros de Ubiquiti. El primer router lo compre por este hilo y desde entonces no me he movido.

La primera parte para incrementar mi seguridad de red ha sido instalar Wireguard en una distribucion en cloud gratuita en version limitada absolutamente recomendable. Tengo ahora una VPN y accedo a mis tres ordenadores remotos por el cliente de Windows 10 Remote Desktop. He eliminado todos los programas de acceso remoto y vuelto a cerrar casi todos los puertos.
La segunda parte, te la escribo mas tarde para no alargar demasiado este post.
Gracias!
 
Arriba