Substituir Router Thomson por um Mikrotik

  • 1 Outubro 2018
  • 2 respostas
  • 1082 visualizações

O meu router Thomson decidiu entregar a alma ao criador.
Como tenho um mini servidor em casa onde tenho todas as minhas coisas, fui obrigado a por mãos á obra e configurar eu mesmo um Mikrotik. Como não consegui encontrar um guia passo-a-passo, decidi partilhar.

 

As configurações abaixo são, em parte, as configurações de fábrica adaptadas para replicar o funcionamento do router Thomson, incluíndo o serviço IPTV. De notar que o serviço de telefone não irá funcionar. Inclui também outras configurações como NTP, desativação de serviços desnecessários, etc. Para que tudo funcione, o router não deve ter qualquer configuração (mesmo as de fábrica), ou seja, deve fazer um reset sem as configurações de fábrica. Devem também substituir os campos demarcados com < > para se adaptarem á vossa realidade.

 

code:
/interface bridge
add auto-mac=yes fast-forward=no igmp-snooping=yes name=bridge

/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=<nome_da_rede> wireless-protocol=802.11

/interface vlan
add interface=ether1 name=internet vlan-id=12

/interface list
add name=WAN
add name=LAN

/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys supplicant-identity=MikroTik wpa2-pre-shared-key=<password_da_rede>

/ip pool
add name=default-dhcp ranges=192.168.1.1-192.168.1.200

/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf

/interface bridge port
add bridge=bridge interface=ether2
add bridge=bridge interface=ether3
add bridge=bridge interface=ether4
add bridge=bridge interface=ether5
add bridge=bridge interface=wlan1

/interface bridge settings
set allow-fast-path=no

/ip neighbor discovery-settings
set discover-interface-list=LAN

/interface list member
add interface=bridge list=LAN
add interface=internet list=WAN

/ip address
add address=192.168.1.254/24 interface=bridge network=192.168.1.0

/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=internet

/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.254 domain=home.lan gateway=192.168.1.254

/ip dns
set allow-remote-requests=yes cache-max-ttl=1d servers=1.1.1.1,1.0.0.1

/ip dns static
add address=192.168.1.254 name=home.lan

/ip firewall filter
add action=accept chain=input comment="Accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="Drop invalid" connection-state=invalid
add action=accept chain=input comment="Accept ICMP" protocol=icmp
add action=accept chain=input comment="IPTV: accept IGMP" protocol=igmp
add action=drop chain=input comment="Drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="IPTV: accept UDP forward" protocol=udp
add action=accept chain=forward comment="Accept out ipsec policy" ipsec-policy=out,ipsec
add action=accept chain=forward comment="Accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="Drop invalid" connection-state=invalid
add action=drop chain=forward comment="Drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

/ip firewall nat
add action=masquerade chain=srcnat comment="Masquerade" out-interface=internet src-address=192.168.1.0/24

/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes

/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes

/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=internet upstream=yes
add alternative-subnets=192.168.1.0/24 interface=bridge

/system clock
set time-zone-name=Europe/Lisbon

/system leds
add interface=internet leds=user-led type=interface-activity

/system ntp client
set enabled=yes server-dns-names=ntp02.oal.ul.pt,ntp04.oal.ul.pt

/system routerboard settings
set silent-boot=no

/tool mac-server
set allowed-interface-list=LAN

/tool mac-server mac-winbox
set allowed-interface-list=LAN
 

As configurações acima não contemplam as configurações para disponibilizar um serviço para a internet (um servidor Web, por exemplo). Para isso será necessário terem o serviço DynIP configurado na área de cliente. O endereço deste serviço (xxxxxxxx.dynip.sapo.pt) será necessário para configurar o reencaminhamento das portas nas regras NAT. Será também necessário criar uma regra NAT especial (que irá ficar sempre em primeiro na lista) para que as portas reencaminhadas para o servidor interno sejam acessíveis a partir da rede interna a partir do endereço externo (Hairpin NAT). 

 

code:
/ip firewall address-list
add address=<endereco>.dynip.sapo.pt list=internet-ip

/ip firewall nat
add action=masquerade chain=srcnat comment="Hairpin NAT" dst-address=192.168.1.0/24 src-address=192.168.1.0/24
add action=dst-nat chain=dstnat comment="Reencaminha a porta <XX> para o endereço 192.168.1.<**bleep**>" dst-address-list=internet-ip dst-port=<XX> protocol=tcp to-addresses=192.168.1.<**bleep**> to-ports=<XX>
Volto a referir que a regra "Hairpin NAT" deve ficar sempre em primeiro lugar. Em último lugar deve ficar a regra com o comentário "Masquerade" anteriormente. As restantes regras (reencaminhamentos) devem ficar entre estas duas.

 

Boa sorte.

2 respostas

Como tinhamos falado por MP, consegui por um Mikrotik hEX RB750Gr3 a funcionar perfeitamente com Meo Fibra 1 gigabit tirando claro as portas de telefone RJ11 que não preciso.

Peguei nas tuas confs, meti mais umas regras para fasttrack do tráfego (pena que com igmp proxy ligado não se possa usar hardware offloading no switch) e mais uns tweaks aqui e ali e está rock-solid :D

Vou tentar criar umas simple queues para garantir 10mbits na porta da meobox para não parar a TV mesmo quando estou a puxar pela ligação.
Se pretender ter o router da meo para ligar as box e manter o telefone (tal como na abordagem do firmware dos Router Asus), q alteracoes teria de fazer?

Obrigado

Responder