MANUAL: FTTH Movistar/Jazztel/Orange con router Ubiquiti Edg

Sobre esta segunda parte
Explica lo que puedas y cual es el objetivo final, lo que quieres bloquear, y también si tienes claro que es lo que quieres exponer a internet y lo que no. En la mayoría de los casos para una red como la tuya actual me parece raro que con el FW integrado del router y teniendo en cuenta que todo esta detrás de NAT no te lleguie a cubrir las necesidades. Es por esto el preguntarte un poco más, lo mismo se trata de potencia o funcionalidades extra que quieres tener e implementar en el OPNsense
Despues de revisar varias recomendaciones, parece que hay un cierto consenso en la ganancia de poner un sistema tipo pfSense/OPNsense . Las interfaces gráficas pemiten trabajar de forma mas facil una vez se entiende. Reconozco que es controvertido y sobre todo requiere tiempo o contratar a alguien que te lo organice. ...

El primer problema a resolver es que los dos firewall requieren 2 tarjetas físicas de red.
NIC1. ONT>>> Router>>> OPNsense en una Raspberry o mini PC o maquina virtual
NIC2. OPNsense>>> Switch>> LAN2

En mis dos redes actuales tengo solo una NIC con todas tus reglas puestas. Todos los puntos de acceso, NAS y PCs que acceden lo hacen a traves de la LAN 1 eth1 (192.168.1.1/25).

El lio lo he organizado al poner la segunda tarjeta NIC e intentar separar el router/OPNsense en un rango de IPs y la LAN2 en un segundo rango y conectarla al switch. Todos los dispositivos de la LAN2 deberian salir por el router despues del filtrado por OPNsense y al revés (WAN>> eth0>>> OPNsense>>>LAN2.

He intentado organizarlo en una máquina virtual pero no he conseguido nada por la mala definicion de la red fisica.
Si nos olvidmaos de OPNsense, seria separar en una primera fase el acceso a internet y eth0 a la NIC1. NIC2 conectado a eth1 y al swithc con todos los dispositivos menos el router colgando del swithc pero con salida por la dirección del router de la NIC1: 192.168.1.1.
No se si lo he entendido/explicado bien, pero en este lio estoy...

Gracias
 
Última edición:
Sobre esta segunda parte

Despues de revisar varias recomendaciones, parece que hay un cierto consenso en la ganancia de poner un sistema tipo pfSense/OPNsense . Las interfaces gráficas pemiten trabajar de forma mas facil una vez se entiende. Reconozco que es controvertido y sobre todo requiere tiempo o contratar a alguien que te lo organice. ...

El primer problema a resolver es que los dos firewall requieren 2 tarjetas físicas de red.
NIC1. ONT>>> Router>>> OPNsense en una Raspberry o mini PC o maquina virtual
NIC2. OPNsense>>> Switch>> LAN2

En mis dos redes actuales tengo solo una NIC con todas tus reglas puestas. Todos los puntos de acceso, NAS y PCs que acceden lo hacen a traves de la LAN 1 eth1 (192.168.1.1/25).

El lio lo he organizado al poner la segunda tarjeta NIC e intentar separar el router/OPNsense en un rango de IPs y la LAN2 en un segundo rango y conectarla al switch. Todos los dispositivos de la LAN2 deberian salir por el router despues del filtrado por OPNsense y al revés (WAN>> eth0>>> OPNsense>>>LAN2.

He intentado organizarlo en una máquina virtual pero no he conseguido nada por la mala definicion de la red fisica.
Si nos olvidmaos de OPNsense, seria separar en una primera fase el acceso a internet y eth0 a la NIC1. NIC2 conectado a eth1 y al swithc con todos los dispositivos menos el router colgando del swithc pero con salida por la dirección del router de la NIC1: 192.168.1.1.
No se si lo he entendido/explicado bien, pero en este lio estoy...

Gracias
Te has planteado que quizá, simplemente metiendo otro tipo de router, obtengas la granularidad que necesitas? No es que no me guste ubiquiti y sus equipos, pero hablando de routing y de poder montar un firewall y/o NAT a tu medida, se me ocurre que mikrotik tiene bastante más flexibilidad dándote la posibilidad de tocar RouterOS a tu antojo. Te quitas de líos, de pfsenses, máquinas virtuales, dobles tarjetas de red y demás inventos que vas a montar sólo por mantener el router que tienes. Obviamente vas a necesitar saber lo que estás tocando, pero desde luego que lo que quieres se puede hacer.

Yo de ti le buscaba otro uso al equipo que tienes, y exploraría lo que puede ofrecerte un mikrotik cualquiera a cambio. Si quieres abre un post al respecto en el sub de la marca y lo vemos, a ver qué buscas concretamente y qué equipo te podría resolver ese problema.

Saludos!
 
@pocoyo. Muchas gracias por tu respuesta.
No tenia clara la idea de que un router de otro tipo podia solventar el tema...
Creia que Ubiquiti era de alguna forma la solucion low-cost a Cisco.
Si he visto que algunos usuarios sugieren cambiar el router por un miniPC con OPNsense, pFsense instalado que asumo que es algo que sustituiria al ER-6P tal comos tu sugieres.
El problema es que he invertido bastante en tecnologia de Ubiquiti (routers, switch, APCs, etc). Fue una decisión que tome en base a la lectura de estos foros. Es evidente que lo que tenia configurado como uns sitema seguro ha fallado de forma estrepitosa. Se que no es problema del hardware...
Por otra parte me he pasado muchas horas intentando entender el sistema operativo EdgeOS . Soy aficionado a configurarme las redes, pero todo esto creo que me sobrepasa. Me da mucha pereza empezar con otro sistema operativo....
De todas maneras me paso por el foro que tu gestionas de MicroTik y veo por donde van los tiros

Gracias de nuevo
 
Pues yo te animo a que lo hagas. Si Ubiquiti es la low-cost de Cisco, mikrotik sería la de ubiquiti, pero dándote en un router de 60€ la misma funcionalidad (o similar) que un cisco de varios miles de €. Sé que da pereza, pero te animo a que cojas una RB750gr3, que para un entorno doméstico es más que suficiente, y que lo pruebes. O símplemente que lo emules en virtualbox o GNS3 y trastées un poco con él. Sé que has hecho una inversión fuerte viendo tus equipos, pero créeme que a nivel de routing merecen la pena.

Saludos!
 
Te has planteado que quizá, simplemente metiendo otro tipo de router, obtengas la granularidad que necesitas? No es que no me guste ubiquiti y sus equipos, pero hablando de routing y de poder montar un firewall y/o NAT a tu medida, se me ocurre que mikrotik tiene bastante más flexibilidad dándote la posibilidad de tocar RouterOS a tu antojo. Te quitas de líos, de pfsenses, máquinas virtuales, dobles tarjetas de red y demás inventos que vas a montar sólo por mantener el router que tienes. Obviamente vas a necesitar saber lo que estás tocando, pero desde luego que lo que quieres se puede hacer.

Yo de ti le buscaba otro uso al equipo que tienes, y exploraría lo que puede ofrecerte un mikrotik cualquiera a cambio. Si quieres abre un post al respecto en el sub de la marca y lo vemos, a ver qué buscas concretamente y qué equipo te podría resolver ese problema.

Saludos!

Hola

@pokoyo , Mi anterior post @Bangali fue un poco en esa linea, es decir, que entendía que lo mismo no sería necesario añadir un extra a base de maquinas virtuales, PFsense o similares Etc a pesar del problema que sufrió el cual no achaco inicialmente al hardware.

Pero por otro lado, tampoco veo la necesidad de sustituir su router, el ER6P me parece es un gran cacharro, mejor que el mio y yo tengo suficiente, supongo que le habrá costado en torno a 300€. Es muy potente, con 6 puertos independientes para hacer todo el routing que quiera, y por supuesto Firewall, NAT, Etc.

Yo uso tanto Mikrotik (hAP ac "RB962xx") el cual lo tengo ahora mismo de AP (también tuve un RB951Gxx,) y por otro lado tengo el Edgerouter que ahí sigue el mismo equipo dando servicio conectado a la ONT desde hace 7 años.

Quiero decir con esto, que el crear el hilo es su día fue circunstancial, aportar o compartir lo montado con otro fabricante que funcionaba con los 3 servicios que mete Movistar y con alguna cosa extra que no me cubría Mikrotik. Toda esta ultima información solo la añado por si acaso, ya que preferiría que nadie me etiquete como defensor de ninguna marca. Debatir sobre SO, capacidades, funciones, etc o lo que sea de estos cacharros, eso si que sin problema.

El RB750Gr3 si no me equivoco es el equipo que sacó Mikrotik en 2016 para "competir" en lo mas low cost, lleva un hardware idéntico al ERX de 2015. ¿no? Mi duda sería que le aportaría ahora sobre el asunto al que esta dándole unas vueltas @Bangali cambiar un ER6P por ese equipo.
 
Hola
@pokoyo , Mi anterior post @Bangali fue un poco en esa linea, es decir, que entendía que lo mismo no sería necesario añadir un extra a base de maquinas virtuales, PFsense o similares Etc a pesar del problema que sufrió el cual no achaco inicialmente al hardware. Pero por otro lado, tampoco veo la necesidad de sustituir su router, el ER6P me parece es un gran cacharro, mejor que el mio y yo tengo suficiente, supongo que le habrá costado en torno a 300€. Es muy potente, con 6 puertos independientes para hacer todo el routing que quiera, y por supuesto Firewall, NAT, Etc.

@Begepeich . Estoy de acuerdo en que mi problema no fue el hardware sino mi desconocimiento del tema.....
ER-6P: cuando ubiquiti abrio su tienda online en Europa lo compre por unos 250 €.
Quizas no seria mala idea paras todo este hilo a un foro selectivo para Ubiquiti como tienen otras marcas aqui. Es mas facil buscar informacion
MicroTik vs Ubiquiti? Dejo este debate a vosotros los expertos
De todas formas es muy bueno tener este tipo de foros para ir aprendiendo. Cualquier usuari tiene en su casa un monton de dispositivos, algunos relaciondos con el trabajo, expuestos a cualquier desaprensivo....

Aprovecho para a ver si me podeis echar una mano en aclarar una duda....
En el ER-6P he conseguido al final bloquear el puerto 22 y tenerlo solo accesible para determinadas IPs. Tengo un NAT hecho al NAS para determinadas IPs y todo lo demas cerrado.
Quizas el problema, al menos para mi es el tema de entender las interfaces y las VLANs y el in/out.
Tengo O2 con IP dinámica y las interfaces definidas como:
ppoe
eth0
con dos VLANs: 0.3 (internet) y 0.6 (Voip)
eth1. LAN 1 (192.168.1.1/24)
En la configuracion ahora tengo esto que os copio:

Screen.png


Creo que lo he hecho mal....
Si quiero aplicar reglas al firewall para que impida el accceso de un dispositivo de la LAN1 a internet, la regla debo aplicarla a la interface eth0.6/out o eth1/out?
Si quiero bloquear de la WAN a la LAN, la regla esta definida ahora como ppoe/in. No deberias ser eth0/in?

Gracias por vuestra ayuda
 
Hola

@pokoyo , Mi anterior post @Bangali fue un poco en esa linea, es decir, que entendía que lo mismo no sería necesario añadir un extra a base de maquinas virtuales, PFsense o similares Etc a pesar del problema que sufrió el cual no achaco inicialmente al hardware.

Pero por otro lado, tampoco veo la necesidad de sustituir su router, el ER6P me parece es un gran cacharro, mejor que el mio y yo tengo suficiente, supongo que le habrá costado en torno a 300€. Es muy potente, con 6 puertos independientes para hacer todo el routing que quiera, y por supuesto Firewall, NAT, Etc.

Yo uso tanto Mikrotik (hAP ac "RB962xx") el cual lo tengo ahora mismo de AP (también tuve un RB951Gxx,) y por otro lado tengo el Edgerouter que ahí sigue el mismo equipo dando servicio conectado a la ONT desde hace 7 años.

Quiero decir con esto, que el crear el hilo es su día fue circunstancial, aportar o compartir lo montado con otro fabricante que funcionaba con los 3 servicios que mete Movistar y con alguna cosa extra que no me cubría Mikrotik. Toda esta ultima información solo la añado por si acaso, ya que preferiría que nadie me etiquete como defensor de ninguna marca. Debatir sobre SO, capacidades, funciones, etc o lo que sea de estos cacharros, eso si que sin problema.

El RB750Gr3 si no me equivoco es el equipo que sacó Mikrotik en 2016 para "competir" en lo mas low cost, lleva un hardware idéntico al ERX de 2015. ¿no? Mi duda sería que le aportaría ahora sobre el asunto al que esta dándole unas vueltas @Bangali cambiar un ER6P por ese equipo.
Está claro que necesidad de cambiar un router por otro no hay ninguna. Y descuida que yo tampoco soy un talibán de Mikrotik. Es más, me gustan mucho ambas marcas, y creo que a nivel wifi Ubiquiti está un paso por delante de mikrotik.

La sugerencia venía hecha para que trasteara con un equipo diferente, que creo ofrece la granularidad que necesita para la parte de firewall y vlans. Y porque es una solución barata, si la comparo con el esfuerzo de montar un pfsense o cualquier otra máquina virtual en medio para hacer esa gestión. Es sólo una sugerencia. Mikrotik no es nada bonito, pero los export de las configuraciones se leen muy bien, y, supongo que será por la costumbre, a mi me resultan mucho más sencillas de entender este tipo de reglas:
1623165793043.png


¿Quiere decir con esto que prefiero que él use un equipo a otro? Ni ni mucho menos, pero creo que es una buena opción para tener en cuenta.

Saludos!
 
Hola

Aprovecho para a ver si me podeis echar una mano en aclarar una duda....
En el ER-6P he conseguido al final bloquear el puerto 22 y tenerlo solo accesible para determinadas IPs. Tengo un NAT hecho al NAS para determinadas IPs y todo lo demas cerrado.
Quizas el problema, al menos para mi es el tema de entender las interfaces y las VLANs y el in/out.
Tengo O2 con IP dinámica y las interfaces definidas como:
ppoe
eth0
con dos VLANs: 0.3 (internet) y 0.6 (Voip)
eth1. LAN 1 (192.168.1.1/24)
En la configuracion ahora tengo esto que os copio:

Ver el adjunto 83139

Creo que lo he hecho mal....
Si quiero aplicar reglas al firewall para que impida el accceso de un dispositivo de la LAN1 a internet, la regla debo aplicarla a la interface eth0.6/out o eth1/out?
Si quiero bloquear de la WAN a la LAN, la regla esta definida ahora como ppoe/in. No deberias ser eth0/in?

Gracias por vuestra ayuda

En un inicio, si la configuración la tienes basada en la de la guía, la configuración que dejo de firewalll es super simple, sería:

- Trafico desde internet destinado al propio Router("INTERNET_LOCAL"): todo bloqueado, a excepcion del icmp (ping) o el trafico que el mismo origine(el router).
- Por otro lado, explico que si alguien quiere abrir el acceso a la gestión del router desde fuera (internet) ya sea por ssh puerto 22 o por https puerto 443, pues que ya dejo la regla del FW creada pero deshabilitada, y solo habría que habilitarla para el que así lo quiera. Y hago la advertencia de que al menos si alguien la habilita pues que por lo menos tenga cambiadas las claves por defecto.

Eso es todo. Es decir, a partir de ahí luego cada cual puede hacerlo crecer como quiera, pero en principio la config ya te contempla que no tengas el router abierto, sea por el puerto 22 u otro. (no se si te referías a eso)

Ahora lo suyo es que recuperemos las preguntas que te hacía para ver cual es la idea de lo que quieres hacer, qué quieres proteger, que quieres publicar, que quieres prohibir radicalmente, Etc. Todo esto independientemente de cómo o incluso con qué se haga luego, tener claro la idea.

Respecto a lo de las reglas e interfaces, unas aclaraciones para ver si te ayudan:

- in o out -> Se refiere al sentido del trafico que cruzaría por ahí. Ej. "Eth1 in" es trafico que llega desde tu LAN y entra por ese interfaz.
- Local -> Se refiere al propio Router, trafico destinado o que atiende el propio router.
- eth0 -> En tu caso es Interfaz fisica que conecta con la ONT, pero poco puede hacerse a nivel lógico de FW puesto no lleva ni direccion IP
- eht0.6 -> Interfaz sobra la que se etiqueta la vlan 6 de la interfaz eth0 y a su vez sobre la que se monta luego el interfaz pppoe0
- pppoe0 -> Este es el interfaz que negocia la IP pública, en definitiva es el interfaz de internet a todos los efectos.
 
Por cierto @Bangali se me olvidó lo mismo parte de tu pregunta.

Para que un equipo( o un rango como en el ejemplo), no puedan salir a internet, un sitio donde puedes poner la regla viendo tu esquema de red podría ser en Eth1 IN .

set firewall name ETH1_IN default-action accept
set firewall name ETH1_IN description 'Trafico entrante desde la LAN1'
set firewall name ETH1_IN rule 1 action drop
set firewall name ETH1_IN rule 1 protocol all
set firewall name ETH1_IN rule 1 log disable
set firewall name ETH1_IN rule 1 source address 192.168.1.240-192.168.1.250

set interfaces ethernet eth1 firewall in name ETH1_IN

Puedes meterlo por terminal para ver luego como queda todo en el Web UI.

Si te fijas hay una acción por defecto, que en este caso es "accept", de esa forma solo pongo esa unica regla de lo que quiero denegar exactamente, que luego ya sé que lo que no caiga en la regla se aceptará, pero también se pueden segun interesa plantearlo al revés.
 
Por cierto @Bangali se me olvidó lo mismo parte de tu pregunta.
Para que un equipo( o un rango como en el ejemplo), no puedan salir a internet, un sitio donde puedes poner la regla viendo tu esquema de red podría ser en Eth1 IN .
Puedes meterlo por terminal para ver luego como queda todo en el Web UI.
Si te fijas hay una acción por defecto, que en este caso es "accept", de esa forma solo pongo esa unica regla de lo que quiero denegar exactamente, que luego ya sé que lo que no caiga en la regla se aceptará, pero también se pueden segun interesa plantearlo al revés.

@Begepeich
Gracias por toda esta información y tu inestimable ayuda! De momento he dejado estas cuatro reglas en la interface INTERNET_LOCAL (ppoe/local) que te copio por si puedes revisarlas cuando tengas un momento . Asumo que ahora el puerto 22 esta abierto solo en el router para acceso remoto si tuviera una IP fija. Si lo verifico en Shields up efectivamente me sale abierto.

Ahora quiero dirigir todo lo que llegue por este puerto al NAS (192.168.1.44) para rsync. Para ello he creado una NAT que esta también en el codigo que te pongo abajo.
Si lo he entendido bien, para dejar que este trafico pase del router>>> NAS (192.168.1.44) asumo que debo hacer una regla en la interface WAN_IN que debe aplicarse a las interface eth0. Es esto correcto?

Gracias

Código:
firewall {
    all-ping enable
    broadcast-ping disable
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians disable
    name INTERNET_LOCAL {
        default-action drop
        description "Trafico de internet a Router"
        rule 1 {
            action accept
            description "Permitir establecidas o relativas"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 2 {
            action drop
            description "Deniega no validas"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
        rule 3 {
            action accept
            description "permite icmp"
            log disable
            protocol icmp
        }
        rule 4 {
            action accept
            description SSH
            destination {
                port 22
            }
            log disable
            protocol tcp_udp
            source {
                port 22
            }
            state {
                established enable
                invalid disable
                new enable
                related enable
            }
        }
    
interfaces {
    ethernet eth0 {
        description eth0
        duplex auto
        firewall {
            in {
                name WAN_IN
            }
        }
        poe {
            output off
        }
        speed auto
        vif 3 {
            address dhcp
            description Voip
            dhcp-options {
                default-route no-update
                default-route-distance 210
                name-server update
            }
        }
        vif 6 {
            description Internet
            firewall {
                out {
                    name WAN_OUT
                }
            }
            pppoe 0 {
                default-route force
                firewall {
                    in {
                    }
                    local {
                        name INTERNET_LOCAL
                    }
                    out {
                    }
                }
                mtu 1492
                name-server auto
                password adslppp
                user-id adslppp@telefonicanetpa
            }
        }
    }
    ethernet eth1 {
        address 192.168.1.1/24
        description "LAN 1 (eth1)"
        duplex auto
        poe {
            output off
        }
        speed auto
    }
    ethernet eth2 {
        address 10.0.0.1/24
        description "LAN 2 (eth2)"
        duplex auto
        poe {
            output off
        }
        speed auto
    }
    loopback lo {
    }
}
port-forward {
    auto-firewall enable
    hairpin-nat enable
    lan-interface eth1
    rule 1 {
        description Anydesk
        forward-to {
            address 192.168.1.38
            port 443
        }
        original-port 443
        protocol tcp_udp
    }
    rule 2 {
        description Anydesk
        forward-to {
            address 192.168.1.38
            port 6568
        }
        original-port 6568
        protocol tcp_udp
    }
    wan-interface pppoe0
}
protocols {
    rip {
        interface eth0.3
        passive-interface default
    }
}
service {
    dhcp-server {
        disabled false
        hostfile-update disable
        shared-network-name SecureNetDHCP {
            authoritative disable
            subnet 192.168.5.0/24 {
                default-router 192.168.5.1
                dns-server 8.8.8.8
                dns-server 8.8.4.4
                lease 86400
                start 192.168.5.38 {
                    stop 192.168.5.243
                }
            }
        }
        shared-network-name dhcp1 {
            authoritative disable
            subnet 192.168.1.0/24 {
                default-router 192.168.1.1
                dns-server 192.168.1.1
                lease 86400
                start 192.168.1.100 {
                    stop 192.168.1.199
                }
            }
        }
        static-arp disable
        use-dnsmasq disable
    }
    dns {
        dynamic {
            interface eth0 {
                service custom-noip {
                    host-name mydomain.org
                    login xxxxxx
                    password 123456
                    protocol noip
                    server mydomain.org
                }
            }
        }
        forwarding {
            cache-size 150
            listen-on eth1
        }
    }
    gui {
        http-port 80
        https-port 443
        older-ciphers enable
    }
    nat {
        rule 1 {
            description Port_22_SSH
            destination {
                port 22
            }
            inbound-interface pppoe0
            inside-address {
                address 192.168.1.44
                port 22
            }
            log disable
            protocol tcp_udp
            type destination
        }
        rule 5000 {
            description Masq_Internet
            log disable
            outbound-interface pppoe0
            protocol all
            type masquerade
        }
        rule 5001 {
            description Masq_Voip
            log disable
            outbound-interface eth0.3
            protocol all
            type masquerade
        }
    }
    ssh {
        port 22
        protocol-version v2
    }
    ubnt-discover {
        disable
    }
    ubnt-discover-server {
        disable
    }
    unms {
        disable
    }
    upnp2 {
        listen-on eth1
        nat-pmp enable
        secure-mode disable
        wan pppoe0
    }
}
system {
    analytics-handler {
        send-analytics-report false
    }
    config-management {
    }
    conntrack {
        expect-table-size 4096
        hash-size 4096
        table-size 32768
        tcp {
            half-open-connections 512
            loose enable
            max-retrans 3
        }
    }
    crash-handler {
        send-crash-report false
    }
    host-name ER-6P-BCN
    login {
        user xxxxx {
            authentication {
                encrypted-password $5$znrABgVmHQ6
                plaintext-password ""
            }
            full-name ""
            level admin
        }
    }
    name-server 1.1.1.1
    name-server 8.8.8.8
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    offload {
        hwnat disable
        ipsec enable
        ipv4 {
            forwarding enable
            pppoe enable
            vlan enable
        }
        ipv6 {
            forwarding disable
        }
    }
    static-host-mapping {
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level debug
            }
        }
    }
    time-zone Europe/Madrid
}


/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:suspend@1:system@5:ubnt-l2tp@1:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@2:ubnt-util@1:vrrp@1:vyatta-netflow@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v2.0.9-hotfix.1.5371035.210122.1015 */
 
@Begepeich
Gracias por toda esta información y tu inestimable ayuda! De momento he dejado estas cuatro reglas en la interface INTERNET_LOCAL (ppoe/local) que te copio por si puedes revisarlas cuando tengas un momento . Asumo que ahora el puerto 22 esta abierto solo en el router para acceso remoto si tuviera una IP fija. Si lo verifico en Shields up efectivamente me sale abierto.

Ahora quiero dirigir todo lo que llegue por este puerto al NAS (192.168.1.44) para rsync. Para ello he creado una NAT que esta también en el codigo que te pongo abajo.
Si lo he entendido bien, para dejar que este trafico pase del router>>> NAS (192.168.1.44) asumo que debo hacer una regla en la interface WAN_IN que debe aplicarse a las interface eth0. Es esto correcto?

Gracias

Bueno, a ver, ¿Tu lo que quieres es que tu router sea accesible desde internet (en su IP publica) por el puerto 22 o SSH? Si es que si, la regla en el INTERNET_LOCAL estaría bien.

Pero por otro lado, veo diferentes cosas a revisar o aclarar:

- ¿También quieres que tu NAS sea accesible desde internet a través de puerto 22 SSH?
En ese caso dos cosas.
1- Lo suyo es mapear los puertos que necesites a traves de menu de port forward por comodidad y tener esas reglas de NAT ahí, no hace falta entrar a la otra pestaña de NAT para eso.
2- Solo tienes una IP Publica de internet, por lo tanto, no puedes usar el mismo puerto para dos cosas, si abres ese mismo puerto hacía el NAS, lo que no te va responder desde fuera como SSH será el router. (Esto se debe a que lee antes la reglas de DNAT o el port forward, que la regla del INTERNET_LOCAL)

-El Anydesk lo he usado bastante y nunca he tenido que abrir ningún puerto para esto en el router ¿Es por alguna config tuya que lo necesitas así?

- Si usas DNS dinamico tienes que asociarlo a la interfaz pppoe0 que es la que tienen la Ip publica, si lo pones a la eth0 seguramente no te funcionará correctamente.


- No tienes nada mas de FW, todo lo de WAN_IN o WAN_out esta vacio de reglas y asociado a interfaces que no sirven.


Como te comentaba, explica dentro de lo que puedas que sería lo que quieres hacer.
 
@Begepeich. Gracias. Te respondo por partes

- ¿También quieres que tu NAS sea accesible desde internet a través de puerto 22 SSH? 1- Lo suyo es mapear los puertos que necesites a traves de menu de port forward por comodidad y tener esas reglas de NAT ahí, no hace falta entrar a la otra pestaña de NAT para eso.
Efectivamente. No hace falta que el puerto este abierto en el router. Quiero redirigirlo solo al NAS para utilizar rsync. En los foros de Ubiquiti, parece que el port forwarding lo consideran una 'mala práctica" y muy inseguro y por esto he intentado gestionarlo con NAT.

El Anydesk lo he usado bastante y nunca he tenido que abrir ningún puerto para esto en el router ¿Es por alguna config tuya que lo necesitas así?
Yo he tenido problemas en la conexion a mi ordenador no al reves. Desde soporte me dijero que hiciera esto

- Si usas DNS dinamico tienes que asociarlo a la interfaz pppoe0 que es la que tienen la Ip publica, si lo pones a la eth0 seguramente no te funcionará correctamente.
OK. Entiendo entonces que siempre que tenga que poner etho con IP dinamica, he de sustituirlo por ppoe. Correcto?

Gracias
 
Efectivamente. No hace falta que el puerto este abierto en el router. Quiero redirigirlo solo al NAS para utilizar rsync. En los foros de Ubiquiti, parece que el port forwarding lo consideran una 'mala práctica" y muy inseguro y por esto he intentado gestionarlo con NAT.

Si alguien lo ha comentado en los foros de Ubuiquiti no tiene mucho sentido (en mi opinion) si es que hablan inseguridad, puesto que es exactamente lo mismo, vamos que es el NAT puesto con otra "presentación" visual con menos opciones, ubicado en otra pestaña para simplificarlo y sirva para hacer específicamente ese tipo de NAT (destination port). Eso si, luego al mismo tiempo por supuesto siguen manteniendo el menu de NAT de siempre para hacer otras traducciones mas complejas o estas si te gustan más hacerlas por ahí, pero son lo mismo.


Yo he tenido problemas en la conexion a mi ordenador no al reves. Desde soporte me dijero que hiciera esto

Eso no se refiere a que haya que abrir puertos en el Router. Es por si no estuviese permitido en el propio Firewall de Windows.


OK. Entiendo entonces que siempre que tenga que poner etho con IP dinamica, he de sustituirlo por ppoe. Correcto?

pppoe0 si, en el propio dashboard en el router supongo que podrás ver que es en ese interfaz donde tienes la IP pública, que es la que querrás que actualice el dns dinamico cada vez que cambie.
 
Hola a todos.

Cuanto tiempo que no escribo. Sigo teniendo el Edgerouter Poe, ya han pasado algunos años pero continua vivo. Si es cierto que con un pendrive USB ya que la memoria original quedó inservible.

He contratado DIGI la fibra propia. Tengo los credenciales de usuario, contraseña y VLAN 20.
Navego y me funciona, pero la IPv6 no se utiliza, mientras que el router del operador si la emplea.

Me gustaría saber que tengo que hacer para habilitar la IPv6 y si de ese modo conseguiré mejor tráfico.

Gracias a todos.
 
OPNsense en una Raspberry o mini PC o maquina virtual
Si no me equivoco, ni PFsense ni OPNsense funcionan en Raspberry (incluída la 4 de 8Gb).
Había una versión antigua de OPNsense en 32bits adaptada a una Pi3, pero no me daría
mucha seguridad usarla.

Saludos.
 
Hola a todos.

Cuanto tiempo que no escribo. Sigo teniendo el Edgerouter Poe, ya han pasado algunos años pero continua vivo. Si es cierto que con un pendrive USB ya que la memoria original quedó inservible.

He contratado DIGI la fibra propia. Tengo los credenciales de usuario, contraseña y VLAN 20.
Navego y me funciona, pero la IPv6 no se utiliza, mientras que el router del operador si la emplea.

Me gustaría saber que tengo que hacer para habilitar la IPv6 y si de ese modo conseguiré mejor tráfico.

Gracias a todos.
Hola.

Me respondo a mi mismo. En el menú GUI se puede ajustar DHCP para IPv6. Todo funciona correctamente.

Ajuste 2021-07-08.png

Os aconsejo la fibra de Digi, tiene las 3B´s.
El Edgerouter PoE ahí resiste como un campeón.

Un saludo y gracias a todos.

Digi speed test 2021-07-08.png
 
Os cuento algunas cosas.

Resulta que me he comprado una TV Samsung, la conecto a un switch que a la vez está conectado al Lite.
Una o dos veces al día la tele me dice que "El cable de red se ha desconectado", e inmediatamente "El cable de red se ha conectado", las apps siguen funcionando bien.

Se me ocurre quitarlo del switch y ponerlo a la eth2 del Lite, poniendo la dirección 192.168.2.1/24 y la 192.168.2.2 a la tele con salida por 192.168.2.1.

Pues al hacer esto de vez en cuando se me congela el Movistar, que está por HDMI, y que nunca le había pasado esto.

He reseteado el deco, pero nada.

Pues así que he devuelto la tele al switch y ya no se para el Movistar.

No sé si es que necesitaba hacer algo más en el router.

Saludos.
Y el problema era? Y qué tenía que ver con el hilo principal de este post?

Saludos!
 
Este hilo creo que es sobre el uso del Ubiquiti Edge Router (yo tengo el Lite) y su uso con Movistar y mi pregunta está relacionada con el uso de su eth2, configurándolo como subred 192.168.2.x. y conectando ahí un TV Samsung, que tenía en el switch que a su vez está conectado al Lite.

Al activar la eth2 hay algo en la configuración del Lite que hace que se me congele la imagen cuando uso el Movistar, que también está conectada al router (no uso el de Teléfonica, claro).

Mis conocimientos no dan para saber que puede ser.

Cuando he devuelto la TV al switch Movistar deja de congelarse, así que seguramente me falta cambiar algo en el Lite, pero no se que es.

Como este hilo es sobre esa familia de routers, por eso lo pregunto.

...
Correcto, mea culpa, lo confundí con otro hilo que no iba de lo mismo, y al hablar del “Lite” se me vino a la cabeza otro equipo. Sorry, aclarado queda.

Respecto a tu problema; tienes el igmp snooping funcionando el el router, para que maneje correctamente el tráfico multicast?

Saludos!
 
El switch sí lo tiene, pero el Lite tiene la configuración igmp proxy, sin la eth2.

igmp-proxy {
interface eth0.2 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth0.3 {
role disabled
threshold 1
}
interface eth1 {
role downstream
threshold 1
}
interface pppoe0 {
role disabled
threshold 1
}
Prueba a añadir el interfaz eth2 al igmp-proxy pero con role disabled. Digo esto suponiendo que no necesitas Movistar tv en dicho interfaz. En caso de que si, pues lo mismo, añadirlo pero con role downstream
 
Hola a todos.

Cuanto tiempo que no escribo. Sigo teniendo el Edgerouter Poe, ya han pasado algunos años pero continua vivo. Si es cierto que con un pendrive USB ya que la memoria original quedó inservible.

He contratado DIGI la fibra propia. Tengo los credenciales de usuario, contraseña y VLAN 20.
Navego y me funciona, pero la IPv6 no se utiliza, mientras que el router del operador si la emplea.

Me gustaría saber que tengo que hacer para habilitar la IPv6 y si de ese modo conseguiré mejor tráfico.

Gracias a todos.

Buenas, podrías contar cómo lo configuraste? Porque en mi caso con digi en NEBA no consigo salir a internet.

Tengo las credenciales PPPoE sacadas, usuario y contraseña.

Voy a wizard, basic setup, marco pppoe connection, pongo el usuario, contraseña, pongo que está en vlan y pongo 20, desmarco firewalls, DNS dejo en que lo provea el proveedor, dejo una sola red con dhcp y creo un usuario admin, reinicio.

Después de reiniciarse accedo al router pero no navego ni me devuelve pings, es decir no salgo a internet.

Qué puede ser?

Decir que antes tenía O2 con el mismo router funcionando sin problema.
 
Arriba