Fibra/Cable

Configuración router neutro EdgeRouter-X con fibra Vodafone simétrica indirecta NEBA de Movistar

sysadmin 13 noviembre 2019 03:31 ✎

⋮

Hace poco tuve problemas con varias fibras ópticas de 100 Mbps simétricas de Vodafone al instalar routers neutros Ubiquiti EdgeRouter-X.

Con el Router de Vodafone, las velocidades eran correctas (100/100). En cambio, con el EdgeRouter-X configurado con la VLAN 24 para el adaptador de red conectado al ONT las velocidades que tenía eran de 60/70 Mbps de bajada y 1,5 Mbps de subida, es decir, un drama.

El problema era que evidentemente Vodafone no da soporte a equipos que no sean los suyos, y con Ubiquiti ha sido un dolor de muelas enviar cada dos por tres los informes diagnósticos del mismo router para que revisaran las configuraciones (que tampoco les ayudaron a determinar cuál podía ser el problema) y tampoco había en las páginas de soporte ninguna anotación a este tipo de configuración específica. La pista que ayudaría a determinar cuál era el problema lo encontré aquí mismo, en bandaancha.

Solución

La solución, por si alguien se encuentra en la misma situación, era la priorización de paquetes en la VLAN 24 que es la que utiliza Vodafone en las fibras indirectas que provee Movistar (NEBA).

Aquí se pueden ver perfectamente las VLAN que utiliza cada proveedor de Internet en las fibras ópticas directas (es decir, cableadas por ellos mismos), las indirectas mediante NEBA (es decir, las que utilizan las fibras de otros proveedores), y sus valores de priorización en el marcado de paquetes.

wiki.bandaancha.st/Identificadores_VLAN_…radores_FTTH

En el caso de Vodafone, si utilizas la fibra óptica directa, se deberá configurar la VLAN 100, con prioridad 0 (es decir, se puede omitir la configuración de la priorización si se desea, ya que 0 es el valor por defecto en los paquetes que se trasmiten a internet)

En mi caso, la fibra de Vodafone utiliza NEBA (es decir, la fibra de Movistar) y la VLAN que hay que configurar es la 24, con prioridad 3

En los EdgeRouter-X, para configurar la priorización de paquetes en el adaptador de red VLAN que hará de WAN (eth0) y que posteriormente llamará mediante PPPoE para establecer la conexión, hay que rellenar el campo egress-qos con los valores 0:3 1:3 2:3 3:3 4:3 5:3 6:3 7:3, es decir, "forzamos" a que todos los paquetes que salgan por ese adaptador de red se establezcan con prioridad 3.

La configuración del adaptador quedaría así:

interfaces {
ethernet eth0 {
duplex auto
speed auto
vif 24 {
description "Internet (PPPoE)"
egress-qos "0:3 1:3 2:3 3:3 4:3 5:3 6:3 7:3"
pppoe 0 {
default-route auto
firewall {
in {
ipv6-name WANv6_IN
name WAN_IN
}
local {
ipv6-name WANv6_LOCAL
name WAN_LOCAL
}
}
mtu 1492
name-server auto
password ******pass*******
user-id usuariofibra@vodafone
}
}
}

Se puede configurar el adaptador de red de forma sencilla mediante el "Treeview" de la web de configuración:

Como añadido, para que el router intente "descargar" de la CPU todos aquellos procesos que pueda hacer directamente el hardware del equipo, se puede configurar el "offload" tanto de IPSec como de hwnat. Esto mejorará el rendimiento del equipo:

Hay que tener en cuenta que una vez configurado el equipo, hay que reiniciarlo par que se apliquen los cambios.

El firmware que se ha utilizado en el EdgeRouter-X es el v2.0.6

Espero que esto le pueda ayudar a alguien en el futuro.

Un saludo

Offtopic: El motivo de tener que cambiar los routers de Vodafone a neutros fue porque los Routers de Vodafone no son compatibles con servidores VPN detrás del Router (VPN Passthrough). Otro drama, ya que cualquier router doméstico de hoy en día permite hacerlo.

BocaDePez 13 noviembre 2019 22:52

⋮

Con prioridad 3 la descarga esta OK pero la subida se queda en 100Mbps y no 600

BocaDePez 5 diciembre 2019 21:10

⋮

Vengo a añadir, yo lo tenía configurado así también pero desde hace unos días se me ha empezado a quedar la subida a 50mb clavados.

Leyendo las especificaciones de NEBA veo que QoS 3 es tráfico Gold, 5 Real Time, y 0 Best Effort. Este QoS en subida viene, sorpresa, definido por el CPE.

En mi caso al ponerlo a 5 la velocidad baja a 2M de subida por lo que me cuadra que sea por esto (50mb Gold y 2M Real Time es lo que tiene el perfil f2 de NEBA Local de Movistar). Al quitar el egress-qos ha vuelto a 600, así que QoS 3 debe ser para NEBA provincial probablemente.

✖

sysadmin 5 diciembre 2019 23:14

⋮

Muy interesante

Buscando información sobre los perfiles NEBA me encuentro estos cuadros actualizados a Abril 2019

cnmc.es/sites/default/files/2423136_42.pdf

Teniendo en cuenta que en mi caso eran perfiles empresariales con fibras de 100Mbps simétricas, y que solo funcionaban bien con un QoS 3 (Gold), deben ser g14 o g17

BocaDePez 8 septiembre 2020 17:28

⋮

Yo tuve el mismo problema, probé con prioridad 0 y me subió de 50MB.

BocaDePez 13 enero 2020 16:34

⋮

Hola, Muchas gracias por los aportes. Son muy útiles para los que dependemos de operadores de internet en nuestros negocios.

Podrían indicarme si, además de la configuración de VLANs hay que configurar algo más, cómo pppoe client o algo así?

En mi caso tengo Orange y Vodafone y no he podido hacer que ninguno funciono con mi router Mikrotik.

muchas gracias por sus respuestas.

✖

sysadmin 3 febrero 2020 14:29

⋮

Hola,

Esta configuración que ves es para routers EdgeRouter-X de la marca Ubiquiti, no para Mikrotik.

Para Mikrotik, en el caso de que debas configurar una VLAN en el adaptador WAN (sea el que sea, normalmente se utiliza ether1), los pasos serían:

1. En el apartado Interfaces, en la pestaña VLAN añadir la VLAN que sea (24 por ejemplo) y asociarlo al adaptador WAN

Interface -> pestaña VLAN -> Añadir:

VLAN ID:24
Interface: ether1

2. Luego, para realizar la conexión PPPoE, en Interfaces, añadir un nuevo interface PPPoE Client con la configuración de usuario y password de Vodafone y asociarlo al Interface VLAN que has creado (vlan24 por ejemplo), NO al adaptador WAN(ether1). Con esto, si vas al listado de IP -> Addresses ya deberías ver la IP pública. Ahora, si necesitas que la red interna (supongamos el rango 192.168.1.x con la IP 192.168.1.1 en el adaptador ether2) tenga salida a internet, deberás añadir una regla NAT Masquerade al Firewall, que se hace:

1. Ir a IP -> Firewall -> NAT -> Añadir con la configuración:

Pestaña general:
Chain: srcnat
Out Interface: pppoeout (o el nombre que le hayas dado al interface que hace la llamada PPPoE Client)

Pestaña Action:
Action: masquerade

Con esto, todo el tráfico de la LAN (192.168.1.x) que intente salir a internet, podrá hacerlo

Si además, necesitas configurar QoS en la VLAN, deberás hacerlo dentro del Firewall, en la pestaña Mangle, que es el apartado que permite "modificar" los paquetes antes de enviarlos a internet.

✖

filamento 6 febrero 2020 15:58

⋮

Yo aún no he podido echar a andar los Mikrotik con Vodafone o Lowi, pero con la información que habéis aportado en este hilo (la cual os agradezco muchísimo), y con la que aportó el usuario "sindy" en los foros de Mikrotik (ese tío es un verdadero crack, por cierto, es de los más expertos de allí!), creo que se puede hacer:

forum.mikrotik.com/viewtopic.php?t=150640

Lo probaré la semana que viene (en una línea Lowi con fibra indirecta NEBA) y os cuento qué tal va.

Gracias!

filamento 6 febrero 2020 15:53 ✎

⋮

Con fibra Orange tengo instalados varios Mikrotik funcionando muy bien. Usa esta config:

/interface vlan
add interface=ether1 name=vlan832orange vlan-id=832
/interface list member
add comment=defconf interface=vlan832orange list=WAN
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=vlan832orange use-peer-dns=no use-peer-ntp=no
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4

Y enchufa tu ONT al puerto 1 del Mikrotik

✖

sysadmin 6 febrero 2020 22:02 ✎

⋮

Como apunte adicional, es MUY importante crear reglas de firewall en Mikrotik, sobretodo si tienes la IP pública ahí.

Por defecto, Mikrotik va a dejarlo TODO abierto (web, ftp, winbox, api, http, etc)

La configuración más básica debe permitir SOLO el tráfico que esté relacionado (es decir, que antes se haya realizado de dentro a afuera) y bloquear TODO el tráfico de entrada

/ip firewall filter
add action=accept chain=input comment="Conexiones Relacionadas" connection-state=established,related in-interface=pppoe-out1
add action=drop chain=input comment="Bloquear todo desde WAN" in-interface=pppoe-out1

Como segundo punto importante (aunque parezca obvio) es añadir un buen password al usuario admin, ya que por defecto NO TIENE PASSWORD (recomendable también eliminar el propio usuario admin y crear uno nuevo con permisos administrativos)

A partir de ahí, ya puedes ir mirando si deshabilitar servicios propios de mikrotik, añadir reglas para abrir puertos, hacer DNAT, etc

✖

filamento 7 febrero 2020 21:08

⋮

No te preocupes, en las versiones modernas de Mikrotik ya la configuración por defecto de la última versión stable es bastante segura. No se queda nada abierto.

Para Orange solamente tienes que añadir las líneas que he puesto yo, no hace falta poner nada más. El resto se puede quedar tal y como viene con la config por defecto. (En esto Mikrotik ha mejorado mucho últimamente , y la config por defecto moderna hace la vida mucho más fácil!!)

✖

sysadmin 7 febrero 2020 22:41

⋮

✖

filamento 7 febrero 2020 23:21

⋮

filamento 17 febrero 2020 11:42 ✎

⋮

Ya he probado el Mikrotik con fibra de Lowi (indirecta via NEBA). Funciona perfectamente. Hay que resetear el Mikrotik a los valores de configuración por defecto, y luego añadir estas líneas:

/interface vlan
add interface=ether1 name=vlan24voda vlan-id=24
/interface pppoe-client
add add-default-route=yes allow=pap,chap disabled=no interface=vlan24voda keepalive-timeout=60 max-mru=1492 max-mtu=1492 name=pppoe-voda password=BLABLABL user=LWN1234567890@lowi
/interface list member
add interface=vlan24voda list=WAN
add interface=pppoe-voda list=WAN
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip firewall mangle add chain=postrouting action=set-priority new-priority=0 out-interface=vlan24voda
/ip firewall mangle add chain=postrouting action=set-priority new-priority=0 out-interface=pppoe-voda

Y finalmente conectar el Mikrotik a la ONT por el puerto ether1

✖

filamento 29 enero 2022 14:20

⋮

Perdón, me he dado cuenta casi dos años después, pero en la configuración que puse ahí arriba hay un error. La prioridad en las conexiones PPPoE desgraciadamente no se puede poner con el comando "IP firewall mangle", no funciona.

La forma correcta de cambiar la prioridad en conexiones PPPoE es ésta:

/interface ethernet switch rule add new-VLAN-priority=3 ports=switch1-cpu src-mac-address=mac:add:ress:of:eth:er1/FF:FF:FF:FF:FF:FF switch=switch1

Cambiando "mac:add:ress:of:eth:er1" por la dirección MAC verdadera del puerto Ether1 de vuestro Mikrotik.

BocaDePez 6 noviembre 2020 16:34

⋮

Alguien sabe la VLAN ID para Finetwork?

✖

Josh 6 noviembre 2020 17:06

⋮

Hilo nuevo con todos los datos. Aquí se habla de otra cosa.