Blackhold

Añadiendo una RB750G como router neutro en una Fibra Óptica de Telefonica

Posted on setembre 5th, 2012 by admin

Esta tarde he tenido en casa la visita de unos hombres vestidos de azul con mangas verdes con el logo de telefonica estampado en la armilla. Después de varios meses de espera, y tras quince días después de la colocación de un torpedo de fibra en la azotea de mi edificio ha llegado la nueva tecnología a mi hogar.

He estado pendiente de todos los detalles, pero la instalación en la vivienda tampoco tiene mucho misterio, se pasa un cable de arriba a la azotea hasta la entrada de la casa, como se pasa cable de fibra nuevo lo puedes pasar por donde quieras, pero imagino que por costumbre este suele entrar por donde esta el antiguo PTR. Cuatro agujeritos, que el cable quede escondidito y ala, a fusionar el cable, ponerlo en una cajita para que no se despegue la soldadura y a conectarlo a un conversor de fibra a ethernet (ONT1240), de ahí un router cutre de estos que tiene la costumbre de poner telefonica y la telefonía colgando del ONT, la propia roseta donde enchufabas el router ADSL ahora pasa a ser el PTR (¡ah! ¡y se han terminado los microfiltros!).
Así que una de las dudas que tenía era si realmente con la fibra sacaban el cobre y la respuesta es SI.

Tras la instalación ha empezado la tarea de cambiar el truñorouter por una cosa un poco mas interesante, uno de los problemas del truñorouter es que no funcionaba bien la redirección de puertos y tampoco podía asignar IPs a MACs, así que he empezado a buscar cacharros un poco mas dignos que tenía por casa pero el único que me valía era una RB750G que estaba en la caja de juguetes para hacer experimentos. Muchos de los routers que tenía no tenían interfaz wan o si lo tenían no permitían configurar VLAN.


¿Porqué las VLAN? pues la VLAN3 se usa para los datos de VoIP y la VLAN6 para los datos de internet. Imagino que si quieres mas servicios te los irán activando en otras VLAN (imagenios & co.).

Buscando me he encontrado con este manual: http://www.adslzone.net/postt311611.html

Explica de forma clara y sencilla como resetear la RB en base a un fichero de configuración.

El primer paso es acceder a la RB (y te recomiendan actualizar a la ultima versión de firmware), si accedes a ella con la configuración by default, te enchufas al puerto ether2 y accedes a ella por la IP 192.168.88.1 con el winbox. Luego vas a “files” y cargas un fichero, por ejemplo “config.rsc” con este contenido:

/interface ethernet
set 0 name=ether1-gateway speed=1Gbps
set 1 name=ether2-master-local speed=1Gbps
set 2 master-port=ether2-master-local name=ether3-slave-local speed=1Gbps
set 3 master-port=ether2-master-local name=ether4-slave-local speed=1Gbps
set 4 master-port=ether2-master-local name=ether5-slave-local speed=1Gbps
/interface vlan
add interface=ether1-gateway l2mtu=1516 name=vlan6 vlan-id=6
add interface=ether1-gateway l2mtu=1516 name=vlan3 vlan-id=3
/interface pppoe-client
add add-default-route=yes disabled=no interface=vlan6 name=pppoe-out1 
    password=adslppp use-peer-dns=yes user=adslppp@telefonicanetpa
/ip pool
add name=default-dhcp ranges=192.168.1.10-192.168.1.99
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=ether2-master-local name=
    default
/ppp profile
set 1 dns-server=192.168.1.1 local-address=192.168.1.1 remote-address=
    default-dhcp
/interface pptp-server server
set authentication=mschap2 enabled=yes
/ip address
add address=192.168.1.1/24 interface=ether2-master-local
add address=192.168.100.10/24 interface=ether1-gateway
/ip dhcp-client
add add-default-route=no disabled=no interface=vlan3 use-peer-ntp=no
/ip dhcp-server network
add address=192.168.1.0/24 comment="default configuration" dns-server=
    192.168.1.1 gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes max-udp-packet-size=512
/ip dns static
add address=192.168.1.1 name=router
/ip firewall filter
add chain=input comment="default configuration" protocol=icmp
add chain=input comment="default configuration" connection-state=established
add chain=input comment="default configuration" connection-state=related
add chain=input dst-port=23,1723,8080,8291 in-interface=pppoe-out1 protocol=
    tcp
add action=drop chain=input in-interface=pppoe-out1
/ip firewall mangle
add action=set-priority chain=postrouting new-priority=4 out-interface=vlan3
add action=set-priority chain=postrouting new-priority=1 out-interface=
    pppoe-out1
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" 
    out-interface=pppoe-out1 to-addresses=0.0.0.0
add action=masquerade chain=srcnat comment="default configuration" 
    out-interface=ether1-gateway to-addresses=0.0.0.0
add action=masquerade chain=srcnat comment="default configuration" 
    out-interface=vlan3 to-addresses=0.0.0.0
add action=dst-nat chain=dstnat disabled=yes dst-port=80 in-interface=
    pppoe-out1 protocol=tcp to-addresses=192.168.1.125 to-ports=80
add action=dst-nat chain=dstnat disabled=yes dst-port=21 in-interface=
    pppoe-out1 protocol=tcp to-addresses=192.168.1.125 to-ports=21
/ip service
set www port=8080
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=pppoe-out1 type=external
add interface=ether2-master-local type=internal
/routing rip interface
add interface=vlan3 passive=yes receive=v2
/routing rip network
add network=10.0.0.0/8
/system clock
set time-zone-name=Europe/Madrid
/system ntp client
set enabled=yes mode=unicast primary-ntp=163.117.202.33 secondary-ntp=
    89.248.104.162

Luego vas a System > Reset Configuration y activas los checkbox “No default configuration” y “Run After Reset” e indicas el fichero de configuración que has subido. A continuación pulsas el botón “Reset Configuration”. Este fichero de configuración lo he pegado tal cual sin hacer ningún cambio y ha funcionado, así que supongo que esta es una configuración estándar a muchos de los dispositivos que se instalan.

Nota: Tanto los pasos de cargar el firmware o el fichero de configuración, si estás usando winbox bajo Wine, lo mejor es acceder por FTP a la RB.

Ahora mismo ya tenemos la RB preparada para enchufar a la ether1 el cable que viene del ONT y a la ether2 la red local de nuestra casa (esta configuración, nos deja los puertos ether3, ether4 y ether5 como esclavos de ether2, así que podríamos colgar directamente los dispositivos de la RB).
Si miramos un poco la configuración, lo que se ha hecho ha sido configurar un tunel pppoe sobre la VLAN6 y sin definir la dirección IP (así que esta nos vendrá dada desde la central).

Luego un par de recomendaciones de seguridad, ir a system > users y cambiar el password por defecto de admin y la otra es deshabilitar si lo deseamos la configuración remota del router (Telnet, web y Winbox), para ello se tienen que desahabilitar las reglas de IP > Firewall > Filter Rules.

Redirección de puertos:
Si tenemos un “mini datacenter” en casa, varias maquinas, una sola IP, nos interesará poder redireccionar puertos, esto es realmente simple:

IP > Firewall > NAT

añadimos una nueva regla

General > Chain: dstnat
General > Dst. Address: Nuestra ip pública
General > Protocol: tcp
General > Dst. Port: Puerto externo
Action > Action: dst-nat
Action > To Adresses: IP interna en la red LAN
Action > To Ports: Puerto interno

Repetimos este paso para todos los puertos que queramos redireccionar (os recomiendo hacer uso del botón “Comment” ;)

Finalmente tendremos que añadir una regla de masquerade en src para que los equipos de la red local puedan acceder desde la red local a los servicios que están en otras máquinas accediendo por la IP pública (por ejemplo, quiero acceder a un servidor web que tengo a otra maquina, el DNS me resuelve con la IP pública, pero sin el masquerade a la que vuelven los paquetes del server no tienen muy claro donde ir):

IP > Firewall > NAT

añadimos una nueva regla:

General > Chain: srcnat
General > Out. Interface: ether2
Action > Action: masquerade

Y hasta aquí es todo! :)

Otros links de interés:
Fichero de configuración con una RB con wifi (por ejemplo la 751)
Hacer lo mismo que este manual pero con un tomato, un dd-wrt o un openwrt

No puedo cerrar este post sin dar las gracias al proyecto guifi.net que me ha permitido adquirir los conocimientos para administrar estos dispositivos como si de un juego se tratase :)

« »

guy fawkes