08b - Configuración router neutro MikroTik

Volver al curso

Recuerda lo esencial:

• Tu operadora te otorgará una única IP pública, que se asigna a la interfaz GPON (WAN). Todas las demás IPs (192.168.0.1, 2… 254) son privadas.
  • Un equipo con IP privada puede acceder Internet, pero desde fuera de la red no se puede establecer conexión con el… a menos que abras puertos (port forward) o abras DMZ.

Tu IP pública puede ser:

• Estática (siempre la misma). Esto se paga a 25 €/mes (más barato en operadoras low-cost). Casi imprescindible si quieres montar un servidor web o ToIP mínimamente profesional.
• Dinámica (cambia cada cierto tiempo o cuando dejes el router desconectado unos minutos). Puedes acceder a tu red desde el exterior, pero si te cambian la IP, no tienes forma de saber la nueva IP. A menos que te instales un DNS dinámico (DDNS) que la compruebe periódicamente. La asignación de dirección IP se realiza mediante dos protocolos posibles:
  • Cliente DHCP (el mismo protocolo que en redes locales).
  • Cliente PPPoE.

 La triple VLAN

Según la titularidad de la red, tenemos dos tipos de operadores:

• Fibra directa: Operadores que esa zona en concreto tienen su propia red de fibra óptica. Por lo general son las grandes (Movistar, Vodafone, Orange), pero puedes encontrarte con zonas en las que existan operadoras locales con red propia. Los equipos OLT ya no son tan caros.
• Fibra indirecta (NEBA, el mercado mayorista de banda ancha): Operadoras que alquilan su red a otras. La Ley obliga a ofrecer en alquiler las redes. Esto supone una oportunidad de negocio para las operadoras pequeñas, y también limita el cableado en la vía pública.

Los operadores en general ofrecen tres servicios diferentes: teléfono, Internet, TV. En ocasiones también VoD, que se engloba dentro de Internet general. Para garantizar el funcionamiento de cada servicio sin dejar de lado la privacidad, tu conexión a Internet en realidad se parte en tres conexiones:

• Internet: el ancho de banda contratado.
• VoIP: Menos de 1 Mbps. Es poco, pero con la VLAN se garantiza ese anchod e banda.
• IPTV: Sobre 5 Mbps para SDTV, de 10 a 30 Mbps para HDTV/4K.

La IP pública realmente sólo es para el servicio de Internet. En el resto de servicios te dan CG-NAT (IP privada).

Identificadores VLAN. Fuente: Wiki Bandaancha

Telefonía IP??? Pero si mi router tiene RJ-11 para conectar teléfono analógico

Eso no es sólo un RJ-11, es. un ATA (Analog Terminal Adapter). Básicamente es un cliente SIP que convierte la señal VoIP en telefonía IP.

Realmente, si logras sacar las claves SIP del router, puedes usarlas con otro teléfono IP (un Linksys, un softphone…).

La polémica del CG-NAT

Hemos dicho que la IP de WAN para el servicio de Internet es una IP pública (dinámica o estática). La verdad es que cada vez quedan menos direcciones IPv4, y las operadoras no pueden dar una a cada subscriptor. La solución: darte una IP privada, y que tu IP pública se comparta con un número indeterminado de usuarios (normalmente en la misma OLT).

Por suerte, normalmente te darán una IP pública (dinámica) si la pides, normalmente sin coste. En el caso de tu teléfono móvil, no te dan opción: o aceptas CG-NAT, o pagas IP estática.

Configuración MikroTik (resumida)

Crear bridge de interfaces LAN y asignarle puertos:

/interface bridge
add name=bridgeLAN

/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=wlan1

Configura la Wi-Fi:

/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
    disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=\
    miWi-Fi wireless-protocol=802.11

/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik

El puerto ether1 no forma parte del bridge porque lo usaremos para WAN. Vamos a crear una lista de interfaces para trabajar con más claridad (OPCIONAL):

/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN

/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN

Asignamos IPs de LAN. La parte de WAN la puedes ver en detalle, para cada operadora, en este enlace.

/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0

La parte LAN debería tener un servidor DHCP para entregar IPs automáticamente a los clientes:

/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf

/ip dhcp-clientrout
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=\
    ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router.lan

Y ahora la NAT (IMPORTANTÍSIMA). Todos los equipos de la LAN deben salir a Internet a través de la IP de WAN del router:

/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN

El firewall también es importante. Para prevenir intrusiones, en general debermos “dropear” las conexiones que entren de WAN:

/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN

Más info

• Así de malos (o de buenos) son los routers que te da tu operadora (2020) (Xataka)
• La CNMC lanza la consulta pública sobre la regulación de los mercados mayoristas de banda ancha (CNMC)
• Qué es CG-NAT y por qué compartes la IP pública (ADSL Zone)
• Sustitución de router Movistar con equipo MikroTik (Alex Ariza)
• MANUAL: Mikrotik, configuraciones básicas ISPs (ADSL Zone)

Volver al curso