Escribo esto para aportar mi experiencia y por si puede ayudar a alguien, ya que he leído posts y posts y no he visto la solución en ningún lado, se me ha ocurrido ahora mismo después de romperme la cabeza 6h probando DNS PROXY, routing estático, configurar la vlan de IPTV en mi FW junto la de INET, etc.
Mi problema era el siguiente:
- Hasta hace 3 días tenía el router de Movistar en modo puente para la vlan 6 hacia mi firewall y las vlan 2 y 3 en el router para IPTV y VOZ.
- Del router saco 1 cable para la wan hacia el FW (para la PPOE) y otro lo meto en mi switch1 y lo pongo en modo acceso, tageo la vlan 1 (que es la que le había puesto) y la bajo hasta el salón a mi switch2 en el cual la entrego sin tag en el puerto que va iba al deco.
Me han entregado el deco UHD 4K hace 3 días y cual es mi sorpresa que al conectarlo en la misma situación que el antiguo me ocurre lo siguiente:
- No veo los canales autonómicos (el resto sí)
- No me va nada relacionado con internet (Netflix, Disney+, etc.)
Tras revisar miles de posts y páginas web, solo leía cosas sobre "IGMP, DNS PROXY, meter rutas hacia los DNS de googe, etc", y ya en el declive al borde de la locura se me ha ocurrido lo siguiente (Al final más sencillo es lo que siempre funciona):
# Como el router Askey no me dejaba poner una ruta por defecto 0.0.0.0 hacia la IP LAN de mi FW dentro de la 192.168.1.0/24 (esa misma vlan1, la tengo configurada en la LAN del FW y la paso tageada por el LAGG hacia el switch, por lo que soy otro equipo más dentro de esa red y puedo acceder al router de movistar desde mi red local del FW por ejemplo), me fijé en una cosa. La parte "Default Gateway" sólo me dejaba seleccionar interfaces WAN (solo salía la de fibra) por lo que tampoco podía poner la 192.168.1.X (que era la IP de mi FW en la LAN) como gateway. Así que finalmente lo he solucionado así:
- Configurar en el menú LAYER 2 INTERFACE cualquier puerto LAN del router en modo capa 2:
- Tras esto, es tan sencillo como crearnos una nueva red LAN contra el Firewall para que ésta sea nuestra "IP PUBLICA" (el NAT lo hace el FW):
Le dais a añadir como si fueseis a crear un brige, seleccionáis ahora sí la nueva interfaz que hemos creado antes:
Seleccionamos IPV4 OVER ETHERNET, prioridad de VLAN y VLAN (yo he puesto la 200, poner la que queráis)
- Y por último, configuramos la capa 3 con el direccionamiento nuevo que hemos creado en el FW (con un /30 llega), siendo el FW la 192.168.2.1 y el router la 192.168.2.2:
Le decimos que queremos hacer NAT con ella, solo esa opción de las que salen.
Ahora ya sí por último configuramos esta nueva interfaz, como DEFAULT GATEWAY:
Tras esto, he conectado 1 cable desde ese puerto 1 (es el LAN2) hacia el switch y ese puerto del switch lo he configurado con la VLAN200 TAGEADA (importante esto, la estamos pasando tageada desde el router de movistar, tenemos que llevarla tageada hasta el FW, ya que también hemos configurado VLAN en él y sale tageada por el LAGG que tengo).
En el FW (en vuestro caso cualquier router neutro o firewall donde podáis jugar con las vlanes) simplemente configuramos el otro extremo:
Un permit IP y listo:
Ahora sí, reseteo al deco y la parte de internet ya la hace el FW nateando con su PPOE a través de esta "interfaz puente" que hemos creado a modo de WAN.
¡¡¡¡¡¡¡¡TENGO EL DECO UHD FUNCIONANDO COMPLETO CON EL ROUTER DE MOVISTAR EN MODO BRIDGE EN LA VLAN6 DE INET Y MANTENIENTO IPTV Y VOIP EN EL ROUTER DE MOVISTAR!!!!!!!!
Espero que le sirva a alguien de ayuda, y perdón si estoy publicando algo mal, me he creado la cuenta ahora simplemente por si pudiese ayudar a alguien, bienvenido sea.
He tardado porque he realizado un cambio de sistema operativo en mi firewall (nada que ver con esto), por lo que ahora veréis imagenes distintas, pero he conseguido simplificar completamente la configuración, mejorandola y QUE FUNCIONE ABSOLUTAMENTE TODO.
Voy a intentar hacerlo lo menos "técnico" posible para que sea accesible a todo el mundo. Si os quedáis con dudas no os cortéis en preguntarme.
*** Veréis que hablo de "TESA", es una manía de donde trabajaba antes (que seguramente la tengan muchos técnicos en España), en la cual básicamente significa "Telefónica de España Sociedad Anónima" (antes de Movistar). Además me resulta más cómodo de escribir, por lo que ya sabéis, a partir de aquí si veis "TESA", es "Movistar". 😋
***INET=INTERNET
Comenzamos de nuevo. 🙌
Debemos reunir los siguientes requisitos para poder darle salida a internet al deco 4K de Movistar si tenemos el router en modo Bridge (VLAN6_PPPOE) y por lo cual la LAN de TESA no sale a internet, sólo llega a IPTV por la vlan de IPTV (VLAN2):
Router de Movistar en modo bridge para la VLAN de Internet VLAN6 (podemos tener pasada también la de voz, el estado de la misma no afecta para nada a este tutorial), lógicamente la de IPTV estará en el router, si no ya os estaría funcionando si la tuvieseis en el mismo equipo que el INET..
Deco 4K de Movistar 😅
Un equipo que nos deje realizar configuraciones a nivel de puerto físico (GigabitEthernet) y a nivel 2 (VLAN). Esto es importante ya que necesitamos realizar un circuito físico aislado del resto de nuestra LAN. Con esto me refiero a que ese equipo debe poder dejar configurar VLANes en este caso en la LAN del mismo, para así separar ambos entornos aunque estemos conectados al mismo equipo, y no causar bucles tampoco.
Algo de paciencia.
El escenario de conexionado sería el siguiente. Donde FW OPNSENSE podéis cambiarlo por vuestro router/firewall en vuestro caso. Lo importante es fijarse que al router/firewall van 2 cables desde el router de TESA (WAN con el bridge y el nuevo que conectaremos para montar la WAN pero en este caso del router de TESA, no la WAN de nuestro router).
La parte del bridge obviamente no la voy a comentar, por lo cual damos por hecho que teneis el bridge con la VLAN6 conectado por cable a vuestro router/firewall, por lo que esa primera conexión la damos como COMPLETADA.
La tercera conexión, que es la que va al deco 4K (o si lo tenéis por wifi) la damos por completada también, ya que es la LAN del router de TESA por donde va a recibir IPTV y cuando acabemos, Internet.
Por lo tanto, comenzamos. Primero debemos ir al router de TESA a opciones avanzadas y vamos a configurar el circuito de nivel 2 y le vamos a asignar un puerto:
(en mi caso, seleccioné eth3/eth3, me volví loco ya que parece ser que los números no corresponden con los puertos LAN como deberían. Para que quede claro, por lo menos en mi router, el puerto eth3 hace referencia al ULTIMO PUERTO LAN, EL 4 DE LOS DE COLOR AMARILLO). Añado, que el Bridge lo tengo en el puerto LAN1 y el Deco en el LAN2, por si os interesa copiarlo.
Una vez asignado el puerto físico a un circuito de nivel 2 (podéis ir conectando si quereis este puerto ya a vuestro router/firewall, pero queda mucho para que funcione), nos vamos a crear la nueva conexión WAN para el router de TESA:
En mi caso, ya la tengo creada, por eso no puedo enseñaros el paso completo porque no quiero tocar nada, que está funcionando todo bien 🤣. Como veis en la imagen, sale el puerto que hemos creado antes, la VLAN200 (podéis usar cualquiera, si queréis, usar la 200), prioridad 4 (la tuve que subir porque se me colgaban algunas películas, así priorizamos el tráfico de esa VLAN), activamos todas las opciones restantes. Os tiene que quedar como en la foto que he pasado.
Ahora os enseño lo que me deja ver si le doy a "Edit", para que os guíe un poco más:
Ya casi tenemos el router de TESA listo, vamos a finalizar configurandole la parte MUY IMPORTANTE de los DNS.
Olvidaros de ponerle los de google, cloudfare, etc. Compróbadísimo que para que funcione todo en el deco, hay que poner los de movistar, ya que ataca a dominios suyos propios y me da que google no los tiene. Fue configurarlos y ya me iban todos los menús del deco por completo.
Por lo que nos vamos a aquí y configuramos los DNS de Movistar. Hacemos lo mismo en la parte LAN (tranquilos, en vuestra red de internet vais a poder seguir usando los de google o los que sea, esto solo es para el router de Movistar, no tiene que ver con vuestra red de casa).
He tenido que configurarle el DNS proxy también. Para los que no sepáis que es esto, simplemente hacemos que el router de Movistar actue como servidor DNS (un equipo en la LAN de Movistar no hará consultas DNS a servidores externos configurados en la LAN, si no que el propio router de TESA (192.168.1.1) será el servidor DNS que salga a los equipos que cojan IP en la LAN de TESA. En esta imagen le estamos diciendo que queremos activarlo, y nos pide que le demos un NOMBRE al servidor, poned lo que querais (no pongáis dns.google logicamente...) Por ultimo nos pide que nos inventemos el nombre de dominio que usará para resolver consultas en la LAN. Como se ve en la foto, poned lo que queráis, como si queréis poner eso mismo, lo importante es que acabe en .arpa en dominio:
Por último, por si acaso no está activado, confirmad que tengáis aquí el puerto que habéis configurado):
Con todo esto hemos acabado con el router de Movistar, hemos hecho lo siguiente:
Crear el nuevo puerto de salida de inernet en el router, el cual conectaremos a nuestro Router/Firewall
Indicarle al router de TESA que a partir de ahora su ruta por defecto 0.0.0.0 0.0.0.0 (todo lo desconocido, que no esté en sus tablas de rutas, o sea, en este caso internet) la tiene en la interfaz Eth3.
Configurar los DNS de Movistar
Configurar DNS PROXY
Ahora viene lo que igual se os complica, ya que en mi caso tengo un Firewall con OPNSENSE y la interfaz cambiará, etc. Pero el tema redes es el mismo, sí o sí necesitais un equipo que os deje crear VLAN, configurar un puerto concreto para una VLAN (ya veis que hasta el router de Movistar ha dejado hacerlo sin problema, ya que ahora haremos lo mismo pero con el direccionamiento contrario en nuestro equipo) y con eso lo tenéis solucionado, ya que lo único que cambiará es el menú desde donde lo hagáis.
Comenzamos creando en nuestro equipo la VLAN 200, que configuramos antes en el RT de TESA. Tenemos que configurarla con los mismos parámetros, si antes le pusimos prioridad 4, aquí tenemos que poner la misma.
Aquí vemos que he accedido al menú VLAN, le he dado a crear nueva y he completado esos datos asignando aquí el puerto que voy a usar para esa VLAN en mi equipo, donde irá conectado ese cable que hemos puesto antes al configurarle la nueva WAN al router de TESA, tras eso guardamos.
Tras esto, nos asignamos el nuevo puerto para que nos salga la interfaz de la nueva VLAN, y le vamos a configurar el direccionamiento IP. Recordad que hemos usado un /30 (192.168.2.0 255.255.255.252) en el cual sólo hay 2 IPs útiles, 1 la hemos puesto en el router de TESA y la otra es la que configuramos en nuestro equipo. En este caso, TESA:192.168.2.2 y NUESTRO EQUIPO: 192.168.2.1):
AHORA IMPORTANTÍSIMO ESTE PASO. AUNQUE HEMOS ACTIVADO EL NAT EN EL ROUTER DE TESA, NO SÉ POR QUÉ SIGUEN LLEGANDO PAQUETES CON ORIGEN LA 192.168.1.X DESTINO 192.168.2.X, YA QUE AL ACTIVAR EL NAT SE SUPONE QUE NUESTRO EQUIPO SÓLO DEBERÍA VER A SU OTRO EQUIPO EN LA RED, LA 192.168.2.2.
Para solucionar esto, es tan sencillo como decirle a nuestro equipo: Para llegar a la red 192.168.1.0/24, tu siguiente salto es esta IP: 192.168.2.2 (Router de Movistar, esa IP está detrás de él). Esto lo conseguimos con una ruta estática:
¡Ya casi estamos!
En un usuario común, aquí os tendría que empezar a funcionar absolutamente todo, si sois como yo que tenéis firewall y cositas, debéis permitir en las reglas del firewall tanto la LAN de TESA como la red WAN nueva, para que se permita el tráfico:
Con todo esto, habremos finiquitado. Como veis creo que es un poco más sencillo que la última vez que comenté, a nivel de configuraciones.
Si tenéis alguna duda indicádmelo y podemos echarle un ojo, a ver si "en vuestro escenario" se puede hacer esto. Ya os digo que cualquier router tiene que dejaros crear una vlan y asignarla a un puerto físico, el resto como veis es configurar un direccionamiento IP sólo para esa nueva conexión, y decirle al router que todo lo que desconozca (IPTV lo sigue mandando por donde siempre, pero internet lo manda por el nuevo puerto) lo mande a la IP que hemos configurado en nuestro equipo. En nuestro equipo, como es una "LAN más", con realizarle el NAT para que salga a internet, ya estaría (esto en mi caso lo hace automáticamente el FW, en el vuestro seguramente también).
Espero no haber sido muy denso, pero es un tema el cual he estado probando mil cosas y por fin puedo decir que funciona al 100% (hasta me deja que el deco pueda actualizarse😁). Cualquier duda ya sabéis. Gracias.
***Se me han borrado todas las capturas al intentar editar el mensaje..... Mañana las vuelvo a hacer 😄
Ahora que he tenido un poco más de tiempo y escribo con mas calma, veo que efectivamente fui soltando el chorrón en lenguaje un poco técnico y con las capturas de pantalla que fui sacando en el momento, por lo que voy a hacer un tutorial como dios manda y actualizaré este hilo con él intentando explicarlo para quien no tiene concretamente un firewall Pfsense como yo.
También comentaros que tras publicar el post, efectivamente me funcionaba Disney+, Amazon Prime, pero Netflix no, fallaban 2 servidores de los 4 que checkea. Por lo que finalmente tuve que hacer unos cuantos cambios más y actualmente SÍ que confirmo que tengo absolutamente todo funcionando correctamente.
Eso sí, he tenido que poner como servidor DNS PROXY la IP del FW y alguna cosa más, pero nada complicado para el gran problema que solucionamos (mucha gente tiene el equipo en modo bridge y está como estaba yo antes de solucionar esto).
Así que dame unos días e intentaré subir un tutorial decente con su paso a paso y esquemas de red explicando el conexionado y demás cosas.
Jopetas, enhorabuena y gracias por tu aportación... pero para tipos -como yo- poco duchos en cuestiones de telecomunicaciones, esto es un auténtico camino de rosas, jejeje
Alguien puede traducir para probar lo mismo pero desde el nuevo router Smart Wifi 6? Yo no tengo un Firewall, sino un router neutro (ASUS RT-AX88U) con el que siempre me fue todo bien...
