Asesoramiento sobre infraestructura de casa

Después de revisar la configuración, te digo los cambios que yo haría. Esto ya, a gusto de consumidor; es como las lentejas: quien quiere las come, quien no... ya sabes.

Código:
/caps-man channel
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ceee \
    frequency=5180 name="5Ghz (FA)"
Si vas a usar canales de 80MHz de ancho (no muy recomendable si tienes más de un AP en casa), no los fijes el canal a todos el mismo y lo extiendas por arriba. Pon el canal en automático, y la extensión también. Es decir:
Código:
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=XXXX name="5Ghz (FA)"

Código:
/caps-man datapath
add client-to-client-forwarding=yes local-forwarding=yes name=\
    datapath-domotica
Ese datapath no se usa, lo puedes borrar.

Código:
/caps-man rates
add basic=24Mbps name="Rates g/n-only " supported=\
    5.5Mbps,11Mbps,6Mbps,9Mbps,12Mbps,18Mbps,24Mbps,36Mbps,48Mbps
Esto no tiene ningún sentido. El supported rates y el basic rates han de llevar correlación. Es decir, si pones como supported rates 5,5Mbps, deberías bajar el basic rate a ese valor. Además, ese valor es un valor de wifi "b", así que estás degradando por completo esa banda. Yo probaría a ver si los clientes de domótica se conectan con este setup de rates que te voy a pasar a continuación (6Mbps como rate básico, de 6 en adelante como soportado).
Código:
/caps-man rates
add basic=6Mbps name=gn-only supported=\
    6Mbps,9Mbps,12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps
Si ves que ni por esas eres capaz de conectar los clientes, directamente borra esa entrada de rates y no la referencies en tu configuración, y deja que los AP's trabajen soportando todo rate que puedan. Pero no montes configuraciones extrañas, que lo único que puedes causar es que los AP's la líen y no conecte nadie.

Código:
/caps-man security
add authentication-types=wpa-psk,wpa2-psk encryption=aes-ccm name=\
    security-profile-guests passphrase=xxxxxxxxx
add authentication-types=wpa-psk,wpa2-psk encryption=aes-ccm name=\
    security-profile-lan passphrase=xxxxxxxxxxx
add authentication-types=wpa-psk,wpa2-psk encryption=aes-ccm name=\
    security-profile-domotica passphrase=xxxxxxxxxxxx
Elimina WPA-PSK de tu red. Si tienes dispositivos que aún no soportan WPA2, mejor tíralos por la ventana o mételos en una red totalmente aislada de lo demás. Para ello, simplemente desmarca wpa-psk de los security profiles y déjalos únicamente con wpa2-psk.

Código:
/caps-man configuration
add channel="5Ghz (FA)" country=no_country_set datapath=datapath-lan \
    hw-retries=4 installation=any name=home-wifi-5ghz-cfg security=\
    security-profile-lan ssid=MkSuperWiFi
add channel=channel1 country=spain datapath=datapath-guests mode=ap name=\
    wifi-guests-CH1 rates="Rates g/n-only " security=security-profile-guests \
    ssid=Mk_guests
add channel=channel1 country=no_country_set datapath=datapath-lan hw-retries=\
    4 installation=any mode=ap name=home-wifi-2ghz-cfg-CH1 rates=\
    "Rates g/n-only " security=security-profile-lan ssid=MkSuperWiFi
add channel=channel1 country=no_country_set datapath=datapath-lan hw-retries=\
    4 installation=any mode=ap name="wifi-domotica HUAWEI-CH1" rates=\
    "Rates g/n-only " rates.vht-basic-mcs="" security=\
    security-profile-domotica ssid=HUAWEI-z6y6
add channel=channel6 country=no_country_set datapath=datapath-lan hw-retries=\
    4 installation=any mode=ap name=home-wifi-2ghz-cfg-CH6 rates=\
    "Rates g/n-only " security=security-profile-lan ssid=MkSuperWiFi
add channel=channel11 country=no_country_set datapath=datapath-lan \
    hw-retries=4 installation=any mode=ap name=home-wifi-2ghz-cfg-CH11 rates=\
    "Rates g/n-only " security=security-profile-lan ssid=MkSuperWiFi
add channel=channel6 country=no_country_set datapath=datapath-lan hw-retries=\
    4 installation=any mode=ap name="wifi-domotica HUAWEI-CH6" rates=\
    "Rates g/n-only " security=security-profile-domotica ssid=HUAWEI-z6y6
add channel=channel11 country=no_country_set datapath=datapath-lan \
    hw-retries=4 installation=any mode=ap name="wifi-domotica HUAWEI-CH11" \
    rates="Rates g/n-only " rates.vht-basic-mcs="" security=\
    security-profile-domotica ssid=HUAWEI-z6y6
Aquí te toca hacer una buena limpieza. Te recomiendo setear el país en todas las configuraciones y no jugar a meterle configuración aquí si ya la has dado de alta en otros apartados. CAPsMAN funciona por prioridades, quiere decir, que según avanzas de derecha a izquierda por las pestañas, cuanto más a la izquierda, más prioridad. Esto significa que si tú das de alta una configuración donde referencias a un canal que diste de alta en la pestaña "channels" y luego pones el canal a mano en la configuración, manda lo que pongas a mano, puesto que lo estás poniendo en la pestaña de configurations, que está más a la izquierda que la de channels. Yo aquí haría limpieza gorda, y me aseguraría de que todas las configuraciones tuvieran "country=spain" como país de referencia, puesto que ese valor es el que te va a marcar la regulación que se le aplica al AP.

Código:
/ip dhcp-server option
add code=6 name=DNS_MK value="'192.168.1.10'"
Este invento del dhcp options para asignar un DNS condicional te sobra. Además, no lo usas.

Código:
/ip dhcp-server
add add-arp=yes address-pool=dhcp disabled=no interface=bridge-lan name=\
    dhcp-lan
La opción de "add-arp=yes" te sobra, no la necesitas ahí en absoluto.

Código:
/caps-man access-list
add action=reject allow-signal-out-of-range=10s disabled=no interface=any \
    signal-range=-120..-75 ssid-regexp=""
add allow-signal-out-of-range=10s comment="Google Home .36" disabled=no \
    mac-address=7C:2E:BD:1B:72:10 ssid-regexp=""
¿Qué hace (o cual es la intención) de la segunda regla? Si lo que pretendes es que al google home no le aplique la regla de reject previa para obligarle a saltar de AP, pon esa regla delante de la otra. Si es un resquicio de configuarción que ya no usas, bórralo.

Código:
/caps-man provisioning
add action=create-dynamic-enabled comment="APs a 5Ghz" hw-supported-modes=\
    an,ac master-configuration=home-wifi-5ghz-cfg name-format=prefix-identity \
    name-prefix=5ghz
add action=create-dynamic-enabled comment=Mk_Principal hw-supported-modes=\
    g,gn master-configuration=home-wifi-2ghz-cfg-CH6 name-format=\
    prefix-identity name-prefix=2ghz radio-mac=08:55:31:4B:56:F7 \
    slave-configurations="wifi-domotica HUAWEI-CH6"
add action=create-dynamic-enabled comment=Mk_Buhardilla hw-supported-modes=\
    g,gn master-configuration=home-wifi-2ghz-cfg-CH11 name-format=\
    prefix-identity name-prefix=2ghz radio-mac=08:55:31:4F:E4:96 \
    slave-configurations="wifi-domotica HUAWEI-CH11"
add action=create-dynamic-enabled comment=Mk_Garaje hw-supported-modes=g,gn \
    master-configuration=home-wifi-2ghz-cfg-CH1 name-format=prefix-identity \
    name-prefix=2ghz radio-mac=08:55:31:4B:44:EC slave-configurations=\
    "wifi-domotica HUAWEI-CH1"
Lo que te comentaba antes cuando definías el canal de 5GHz: mejor en auto. La primera regla de provisioning la tienes hecha sin dirección MAC, es decir, le aplica a cualquier AP que soporte wifi de 5GHz (hw-supported-modes=an,ac), así que mejor modifica el canal de 5GHz y lo dejas en auto (sin especificar el frecuency). Sospecho que lo hiciste así porque sólo tienes un equipo que soporta AC, pero corrígelo igualmente, que mañana montas otro, esto se te pasa, y la lías en esa banda.
Con respecto a las otras: como ya estás filtrando por dirección MAC y asociando cada regla de provisioning a un radio concreto, el filtro de "hw-supported-modes=g,gn" te sobra.
Como contrapartida de lo anterior, muy bien usados los canales 1, 6 y 11 para cada equipo. Esa wifi de 2,4Ghz va a quedar de cine para domótica.

Código:
/interface bridge port
add bridge=bridge-lan interface=ether2
add bridge=bridge-lan interface=ether3
add bridge=bridge-lan interface=ether4
add bridge=bridge-lan interface=ether5
add bridge=bridge-lan interface=wlan2
add bridge=bridge-lan interface=wlan1
Sospecho que wlan1 y wlan2 no necesitas meterlas en el bridge principal / bridge invitados, al estar manejadas por CAPsMAN. Cuando en el datapath indicas "local-forwarding=no, bridge=bridge-lan" ó "local-forwarding=no, bridge=bridge-guests" lo que haces el equipo es añadir las interfaces que vaya creando CAPsMAN dinámicamente a los bridges que indicas. Si por el contrario usaras "local-forwarding=yes", en ese caso sí que tendría sentido que metieras las interfaces wlan a mano en los puertos del bridge, puesto que se estarían comportando como interfaces locales. Como hemos visto que la única configuración de datapath que tienes creada que usa "local-forwarding=yes" no se usa, yo quitaría los puertos de las dos redes inalámbricas del bridge. Cuando lo hagas, en esa misma pestaña ports, verás que se añaden ellos solitos dinámicamente, con una "D" delante.

Código:
/ip dhcp-server network
add
add address=192.168.1.0/24 dns-server=192.168.1.1,78.136.107.50,84.232.73.171 \
    gateway=192.168.1.10 netmask=24
add address=192.168.99.0/24 dns-server=\
    192.168.1.1,78.136.107.50,84.232.73.171 gateway=192.168.99.1
Nuestra famosa regla fantasma sobra (la primera línea). Luego veo que usas los mismos servidores DNS en ambas redes. ¿Porqué no ponerlos en IP -> DNS y dejar sin especificar el DNS en el DHCP? De esa manera, conseguirás exactamente el mismo resultado que tienes ahora, pero, además, usarás la caché DNS del mikrotik, haciendo que la resolución de nombres vuele. Si esos dos servidores DNS son los que entrega tu proveedor, supongo que ya los tendrás dinámicamente en IP -> DNS añadidos, aunque no estaría de más que ahí pusieras un par de servidores públicos propios, estáticos (tipo los de google, cloudflare, etc) por si en algún momento los que entrega tu proveedor fallan. Yo dejaría las entradas del DHCP así:
Código:
/ip dhcp-server network
add address=192.168.1.0/24 gateway=192.168.1.10
add address=192.168.99.0/24 gateway=192.168.99.1

Código:
/ip dns
set allow-remote-requests=yes
Lo que te comentaba antes. Complementarios a los DNS que estás obteniendo del client dhcp que corre sobre ether1 o ahora sobra la vlan de internet, yo aquí metería unos estáticos propios, tal que el router siempre tenga salida a internet, le entregue tu proveedor o no DNS's propios. Dejaría los DNS de esta manera:
Código:
/ip dns set allow-remote-requests=yes servers=1.1.1.2,1.0.0.2

Código:
/ip firewall filter
add action=accept chain=input comment="allow IPsec" dst-port=4500,500 \
    protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=forward comment="block guests accesing LAN" \
    dst-address=192.168.1.0/24 src-address=192.168.99.0/24
add action=drop chain=forward comment="block LAN accesing guests" \
    dst-address=192.168.99.0/24 src-address=192.168.1.0/24
Aquí es donde nos metemos en harina. Te faltan la mitad de reglas de firewall, especialmente las del chain de forward. Te dejo aquí debajo cómo pondría yo tu firewall, partiendo de la configuración por defecto de mikrotik, y aplicando sobre ella tus particularidades (que usas l2tp/ipsec y que bloqueas el tráfico entre la red de invitados y la principal)
Código:
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="Allow IPSec" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="allow L2TP" dst-port=1701 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=drop chain=forward comment="block guests accesing LAN" \
    dst-address=192.168.1.0/24 src-address=192.168.99.0/24
add action=drop chain=forward comment="block LAN accesing guests" \
    dst-address=192.168.99.0/24 src-address=192.168.1.0/24

Código:
/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=\
    192.168.1.0/24 src-address=192.168.1.0/24
add action=masquerade chain=srcnat out-interface-list=WAN
add action=dst-nat chain=dstnat comment="nginx80 hairpin NAT" \
    dst-address-list=public-ip dst-port=80 protocol=tcp to-addresses=\
    192.168.1.251 to-ports=80
add action=dst-nat chain=dstnat comment="nginx443 hairpin NAT" \
    dst-address-list=public-ip dst-port=443 protocol=tcp to-addresses=\
    192.168.1.251 to-ports=443
add action=dst-nat chain=dstnat comment="WireGuard hairpin NAT" \
    dst-address-list=public-ip dst-port=51820 protocol=udp to-addresses=\
    192.168.1.251 to-ports=51820
add action=dst-nat chain=dstnat comment="paradox hairpin NAT" \
    dst-address-list=public-ip dst-port=10000 protocol=udp to-addresses=\
    192.168.1.199 to-ports=10000
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
    192.168.89.0/24
El NAT, tres cuartos de lo mismo, lo tienes un poco hecho unos zorros. Te paso cómo lo quedaría yo. Me faltaría saber en qué puerto de administración escucha el NGINX que tienes montado, y para el cual abres el 443. Lo que se suele hacer es abrir el 443 "de cara a fuera" (tráfico https a tu dominio https://midominio.com) y luego mandarlo al que sea puerto de administración https interno del equipo que lo antienda, que suele ser distinto del 443. Imaginemos que ese puerto es el 12345, para que veas cómo quedaría. El puerto 80 directamente lo quito, puesto que lo usa el propio router para su administración web, así que no debería estar abierto jamás. Y los puertos que abres donde puerto de origen y destino coinciden, te puedes ahorrar el "to-ports" Con todas esas consideraciones, tu NAT quedaría así (acuérdate de cambiar el 12345 del nginx por el que sea que use para su administración web https)
Código:
/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin dst-address=\
    192.168.1.0/24 src-address=192.168.1.0/24
add action=masquerade chain=srcnat comment=masquerade ipsec-policy=out,none \
    out-interface-list=WAN
add action=masquerade chain=srcnat comment=masquerade-vpn src-address=\
    192.168.89.0/24
add action=dst-nat chain=dstnat comment=Nginx dst-address-list=public-ip \
    dst-port=443 protocol=tcp to-addresses=192.168.1.251 to-ports=12345
add action=dst-nat chain=dstnat comment=WireGuard dst-address-list=public-ip \
    dst-port=51820 protocol=udp to-addresses=192.168.1.251
add action=dst-nat chain=dstnat comment=Paradox dst-address-list=public-ip \
    dst-port=10000 protocol=udp to-addresses=192.168.1.199

Código:
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge-lan type=internal
add interface=ether1 type=external
Y, por último, si vas a usar apertura de puertos manual usando la tabla de NAT, deshabilita el UPnP. Si en algún momento lo quieres usar para ver si algún dispositivo necesita abrir un puerto o está intentando salir a internet por donde tú no controlas, recuerda que ahora tu interface externa es "internet", no "ether1". No obstante, yo te aconsejo desactivarlo por completo.

Y con esto, completamos la revisión de la configuración. He echado un buen ratito en ello, espero sepas apreciarlo. Ninguno de mis comentarios va con mala leche, ojo, simplemente resalto lo que veo y yo cambiaría.

Así que nada, si te surge alguna duda me dices, sino, ya tienes trabajo para toda la tarde dejando ese router fino.

Saludos!
desde luego va a tener la tarde divertida :ROFLMAO: :ROFLMAO:
 
Después de revisar la configuración, te digo los cambios que yo haría. Esto ya, a gusto de consumidor; es como las lentejas: quien quiere las come, quien no... ya sabes.
Para mi eres Dios, sigo tus recomendaciones a rajatabla (tengo dos hAP ac2 (uno router y otro AP) y un AP hAP mini)
Código:
/caps-man channel
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ceee \
    frequency=5180 name="5Ghz (FA)"
Si vas a usar canales de 80MHz de ancho (no muy recomendable si tienes más de un AP en casa), no los fijes el canal a todos el mismo y lo extiendas por arriba. Pon el canal en automático, y la extensión también. Es decir:
Código:
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=XXXX name="5Ghz (FA)"
Estuve haciendo pruebas y no me soporta esta config, no levanta la red si no coloco extension=Ceee (ademas la frecuency que ve mi movil xiaomi note10 estuve haciendo pruebas y solo veia la 5180)
Código:
/caps-man datapath
add client-to-client-forwarding=yes local-forwarding=yes name=\
    datapath-domotica
Ese datapath no se usa, lo puedes borrar.

Código:
/caps-man rates
add basic=24Mbps name="Rates g/n-only " supported=\
    5.5Mbps,11Mbps,6Mbps,9Mbps,12Mbps,18Mbps,24Mbps,36Mbps,48Mbps
Esto no tiene ningún sentido. El supported rates y el basic rates han de llevar correlación. Es decir, si pones como supported rates 5,5Mbps, deberías bajar el basic rate a ese valor. Además, ese valor es un valor de wifi "b", así que estás degradando por completo esa banda. Yo probaría a ver si los clientes de domótica se conectan con este setup de rates que te voy a pasar a continuación (6Mbps como rate básico, de 6 en adelante como soportado).
Código:
/caps-man rates
add basic=6Mbps name=gn-only supported=\
    6Mbps,9Mbps,12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps
Si ves que ni por esas eres capaz de conectar los clientes, directamente borra esa entrada de rates y no la referencies en tu configuración, y deja que los AP's trabajen soportando todo rate que puedan. Pero no montes configuraciones extrañas, que lo único que puedes causar es que los AP's la líen y no conecte nadie.

Código:
/caps-man security
add authentication-types=wpa-psk,wpa2-psk encryption=aes-ccm name=\
    security-profile-guests passphrase=xxxxxxxxx
add authentication-types=wpa-psk,wpa2-psk encryption=aes-ccm name=\
    security-profile-lan passphrase=xxxxxxxxxxx
add authentication-types=wpa-psk,wpa2-psk encryption=aes-ccm name=\
    security-profile-domotica passphrase=xxxxxxxxxxxx
Elimina WPA-PSK de tu red. Si tienes dispositivos que aún no soportan WPA2, mejor tíralos por la ventana o mételos en una red totalmente aislada de lo demás. Para ello, simplemente desmarca wpa-psk de los security profiles y déjalos únicamente con wpa2-psk.

Código:
/caps-man configuration
add channel="5Ghz (FA)" country=no_country_set datapath=datapath-lan \
    hw-retries=4 installation=any name=home-wifi-5ghz-cfg security=\
    security-profile-lan ssid=MkSuperWiFi
add channel=channel1 country=spain datapath=datapath-guests mode=ap name=\
    wifi-guests-CH1 rates="Rates g/n-only " security=security-profile-guests \
    ssid=Mk_guests
add channel=channel1 country=no_country_set datapath=datapath-lan hw-retries=\
    4 installation=any mode=ap name=home-wifi-2ghz-cfg-CH1 rates=\
    "Rates g/n-only " security=security-profile-lan ssid=MkSuperWiFi
add channel=channel1 country=no_country_set datapath=datapath-lan hw-retries=\
    4 installation=any mode=ap name="wifi-domotica HUAWEI-CH1" rates=\
    "Rates g/n-only " rates.vht-basic-mcs="" security=\
    security-profile-domotica ssid=HUAWEI-z6y6
add channel=channel6 country=no_country_set datapath=datapath-lan hw-retries=\
    4 installation=any mode=ap name=home-wifi-2ghz-cfg-CH6 rates=\
    "Rates g/n-only " security=security-profile-lan ssid=MkSuperWiFi
add channel=channel11 country=no_country_set datapath=datapath-lan \
    hw-retries=4 installation=any mode=ap name=home-wifi-2ghz-cfg-CH11 rates=\
    "Rates g/n-only " security=security-profile-lan ssid=MkSuperWiFi
add channel=channel6 country=no_country_set datapath=datapath-lan hw-retries=\
    4 installation=any mode=ap name="wifi-domotica HUAWEI-CH6" rates=\
    "Rates g/n-only " security=security-profile-domotica ssid=HUAWEI-z6y6
add channel=channel11 country=no_country_set datapath=datapath-lan \
    hw-retries=4 installation=any mode=ap name="wifi-domotica HUAWEI-CH11" \
    rates="Rates g/n-only " rates.vht-basic-mcs="" security=\
    security-profile-domotica ssid=HUAWEI-z6y6
Aquí te toca hacer una buena limpieza. Te recomiendo setear el país en todas las configuraciones y no jugar a meterle configuración aquí si ya la has dado de alta en otros apartados. CAPsMAN funciona por prioridades, quiere decir, que según avanzas de derecha a izquierda por las pestañas, cuanto más a la izquierda, más prioridad. Esto significa que si tú das de alta una configuración donde referencias a un canal que diste de alta en la pestaña "channels" y luego pones el canal a mano en la configuración, manda lo que pongas a mano, puesto que lo estás poniendo en la pestaña de configurations, que está más a la izquierda que la de channels. Yo aquí haría limpieza gorda, y me aseguraría de que todas las configuraciones tuvieran "country=spain" como país de referencia, puesto que ese valor es el que te va a marcar la regulación que se le aplica al AP.
Te paso como ha quedado, creo que es lo que me has recomendado
Código:
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2412 name=channel1
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2437 name=channel6
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2462 name=channel11
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2442 name=channel7
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2472 name=channel13
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=XXXX name=\
    "5Ghz (FA)"
/caps-man datapath
add bridge=bridge-guests client-to-client-forwarding=no local-forwarding=no \
    name=datapath-guests
add bridge=bridge-lan client-to-client-forwarding=yes local-forwarding=no \
    name=datapath-lan
/caps-man rates
add basic=6Mbps name="Rates g/n-only " supported=\
    6Mbps,9Mbps,12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm name=\
    security-profile-guests passphrase=xxxxxxxxx
add authentication-types=wpa2-psk encryption=aes-ccm name=\
    security-profile-lan passphrase=xxxxxxxxxxxxxx
add authentication-types=wpa2-psk encryption=aes-ccm name=\
    security-profile-domotica passphrase=xxxxxxxxxxxxxx
/caps-man configuration
add channel=channel1 country=spain datapath=datapath-lan mode=ap name=\
    home-wifi-5ghz-cfg security=security-profile-lan ssid=MkSuperWiFi
add channel=channel1 country=spain datapath=datapath-guests name=\
    wifi-guests-CH1 rates="Rates g/n-only " security=security-profile-guests \
    ssid=Mk_guests
add channel=channel1 country=spain datapath=datapath-lan mode=ap name=\
    home-wifi-2ghz-cfg-CH1 rates="Rates g/n-only " security=\
    security-profile-lan ssid=MkSuperWiFi
add channel=channel1 country=spain datapath=datapath-lan name=\
    "wifi-domotica HUAWEI-CH1" rates="Rates g/n-only " rates.vht-basic-mcs="" \
    security=security-profile-domotica ssid=HUAWEI-z6y6
add channel=channel6 country=spain datapath=datapath-lan mode=ap name=\
    home-wifi-2ghz-cfg-CH6 rates="Rates g/n-only " security=\
    security-profile-lan ssid=MkSuperWiFi
add channel=channel11 country=spain datapath=datapath-lan mode=ap name=\
    home-wifi-2ghz-cfg-CH11 rates="Rates g/n-only " security=\
    security-profile-lan ssid=MkSuperWiFi
add channel=channel6 country=spain datapath=datapath-lan name=\
    "wifi-domotica HUAWEI-CH6" rates="Rates g/n-only " security=\
    security-profile-domotica ssid=HUAWEI-z6y6
add channel=channel11 country=spain datapath=datapath-lan name=\
    "wifi-domotica HUAWEI-CH11" rates="Rates g/n-only " rates.vht-basic-mcs=\
    "" security=security-profile-domotica ssid=HUAWEI-z6y6
add channel=channel11 country=spain datapath=datapath-guests name=\
    wifi-guests-CH11 rates="Rates g/n-only " security=security-profile-guests \
    ssid=Mk_guests
add channel=channel6 country=spain datapath=datapath-guests name=\
    wifi-guests-CH6 rates="Rates g/n-only " security=security-profile-guests \
    ssid=Mk_guests
add channel=channel1 country=spain datapath=datapath-lan name=\
    home-wifi-2ghz-only4 rates="Rates g/n-only " security=\
    security-profile-lan ssid=MkSuperWiFi
add channel=channel1 country=spain datapath=datapath-lan name=\
    "wifi-domotica HUAWEI-only4" rates="Rates g/n-only " rates.vht-basic-mcs=\
    "" security=security-profile-domotica ssid=HUAWEI-z6y6

Pero no tengo RED ni 2Ghz ni de 5Ghz (solo tengo red en el hAP mini a 2Ghz, no tiene 5GHz)

1612093699936.png



Código:
/ip dhcp-server option
add code=6 name=DNS_MK value="'192.168.1.10'"
Este invento del dhcp options para asignar un DNS condicional te sobra. Además, no lo usas.

Código:
/ip dhcp-server
add add-arp=yes address-pool=dhcp disabled=no interface=bridge-lan name=\
    dhcp-lan
La opción de "add-arp=yes" te sobra, no la necesitas ahí en absoluto.

Código:
/caps-man access-list
add action=reject allow-signal-out-of-range=10s disabled=no interface=any \
    signal-range=-120..-75 ssid-regexp=""
add allow-signal-out-of-range=10s comment="Google Home .36" disabled=no \
    mac-address=7C:2E:BD:1B:72:10 ssid-regexp=""
¿Qué hace (o cual es la intención) de la segunda regla? Si lo que pretendes es que al google home no le aplique la regla de reject previa para obligarle a saltar de AP, pon esa regla delante de la otra. Si es un resquicio de configuarción que ya no usas, bórralo.

Código:
/caps-man provisioning
add action=create-dynamic-enabled comment="APs a 5Ghz" hw-supported-modes=\
    an,ac master-configuration=home-wifi-5ghz-cfg name-format=prefix-identity \
    name-prefix=5ghz
add action=create-dynamic-enabled comment=Mk_Principal hw-supported-modes=\
    g,gn master-configuration=home-wifi-2ghz-cfg-CH6 name-format=\
    prefix-identity name-prefix=2ghz radio-mac=08:55:31:4B:56:F7 \
    slave-configurations="wifi-domotica HUAWEI-CH6"
add action=create-dynamic-enabled comment=Mk_Buhardilla hw-supported-modes=\
    g,gn master-configuration=home-wifi-2ghz-cfg-CH11 name-format=\
    prefix-identity name-prefix=2ghz radio-mac=08:55:31:4F:E4:96 \
    slave-configurations="wifi-domotica HUAWEI-CH11"
add action=create-dynamic-enabled comment=Mk_Garaje hw-supported-modes=g,gn \
    master-configuration=home-wifi-2ghz-cfg-CH1 name-format=prefix-identity \
    name-prefix=2ghz radio-mac=08:55:31:4B:44:EC slave-configurations=\
    "wifi-domotica HUAWEI-CH1"
Lo que te comentaba antes cuando definías el canal de 5GHz: mejor en auto. La primera regla de provisioning la tienes hecha sin dirección MAC, es decir, le aplica a cualquier AP que soporte wifi de 5GHz (hw-supported-modes=an,ac), así que mejor modifica el canal de 5GHz y lo dejas en auto (sin especificar el frecuency). Sospecho que lo hiciste así porque sólo tienes un equipo que soporta AC, pero corrígelo igualmente, que mañana montas otro, esto se te pasa, y la lías en esa banda.
Con respecto a las otras: como ya estás filtrando por dirección MAC y asociando cada regla de provisioning a un radio concreto, el filtro de "hw-supported-modes=g,gn" te sobra.
Como contrapartida de lo anterior, muy bien usados los canales 1, 6 y 11 para cada equipo. Esa wifi de 2,4Ghz va a quedar de cine para domótica.

Código:
/interface bridge port
add bridge=bridge-lan interface=ether2
add bridge=bridge-lan interface=ether3
add bridge=bridge-lan interface=ether4
add bridge=bridge-lan interface=ether5
add bridge=bridge-lan interface=wlan2
add bridge=bridge-lan interface=wlan1
Sospecho que wlan1 y wlan2 no necesitas meterlas en el bridge principal / bridge invitados, al estar manejadas por CAPsMAN. Cuando en el datapath indicas "local-forwarding=no, bridge=bridge-lan" ó "local-forwarding=no, bridge=bridge-guests" lo que haces el equipo es añadir las interfaces que vaya creando CAPsMAN dinámicamente a los bridges que indicas. Si por el contrario usaras "local-forwarding=yes", en ese caso sí que tendría sentido que metieras las interfaces wlan a mano en los puertos del bridge, puesto que se estarían comportando como interfaces locales. Como hemos visto que la única configuración de datapath que tienes creada que usa "local-forwarding=yes" no se usa, yo quitaría los puertos de las dos redes inalámbricas del bridge. Cuando lo hagas, en esa misma pestaña ports, verás que se añaden ellos solitos dinámicamente, con una "D" delante.

Código:
/ip dhcp-server network
add
add address=192.168.1.0/24 dns-server=192.168.1.1,78.136.107.50,84.232.73.171 \
    gateway=192.168.1.10 netmask=24
add address=192.168.99.0/24 dns-server=\
    192.168.1.1,78.136.107.50,84.232.73.171 gateway=192.168.99.1
Nuestra famosa regla fantasma sobra (la primera línea). Luego veo que usas los mismos servidores DNS en ambas redes. ¿Porqué no ponerlos en IP -> DNS y dejar sin especificar el DNS en el DHCP? De esa manera, conseguirás exactamente el mismo resultado que tienes ahora, pero, además, usarás la caché DNS del mikrotik, haciendo que la resolución de nombres vuele. Si esos dos servidores DNS son los que entrega tu proveedor, supongo que ya los tendrás dinámicamente en IP -> DNS añadidos, aunque no estaría de más que ahí pusieras un par de servidores públicos propios, estáticos (tipo los de google, cloudflare, etc) por si en algún momento los que entrega tu proveedor fallan. Yo dejaría las entradas del DHCP así:
Código:
/ip dhcp-server network
add address=192.168.1.0/24 gateway=192.168.1.10
add address=192.168.99.0/24 gateway=192.168.99.1

Código:
/ip dns
set allow-remote-requests=yes
Lo que te comentaba antes. Complementarios a los DNS que estás obteniendo del client dhcp que corre sobre ether1 o ahora sobra la vlan de internet, yo aquí metería unos estáticos propios, tal que el router siempre tenga salida a internet, le entregue tu proveedor o no DNS's propios. Dejaría los DNS de esta manera:
Código:
/ip dns set allow-remote-requests=yes servers=1.1.1.2,1.0.0.2
Cambiado, parece que ahora lo entiendo algo mejor.
Si quiero que todos mis dispositivos pasen por mi server PIHOLE que lo tengo en 192.168.1.1 donde es mejor incluirlo?

Código:
/ip firewall filter
add action=accept chain=input comment="allow IPsec" dst-port=4500,500 \
    protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=forward comment="block guests accesing LAN" \
    dst-address=192.168.1.0/24 src-address=192.168.99.0/24
add action=drop chain=forward comment="block LAN accesing guests" \
    dst-address=192.168.99.0/24 src-address=192.168.1.0/24
Aquí es donde nos metemos en harina. Te faltan la mitad de reglas de firewall, especialmente las del chain de forward. Te dejo aquí debajo cómo pondría yo tu firewall, partiendo de la configuración por defecto de mikrotik, y aplicando sobre ella tus particularidades (que usas l2tp/ipsec y que bloqueas el tráfico entre la red de invitados y la principal)
Código:
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="Allow IPSec" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="allow L2TP" dst-port=1701 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=drop chain=forward comment="block guests accesing LAN" \
    dst-address=192.168.1.0/24 src-address=192.168.99.0/24
add action=drop chain=forward comment="block LAN accesing guests" \
    dst-address=192.168.99.0/24 src-address=192.168.1.0/24

Código:
/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=\
    192.168.1.0/24 src-address=192.168.1.0/24
add action=masquerade chain=srcnat out-interface-list=WAN
add action=dst-nat chain=dstnat comment="nginx80 hairpin NAT" \
    dst-address-list=public-ip dst-port=80 protocol=tcp to-addresses=\
    192.168.1.251 to-ports=80
add action=dst-nat chain=dstnat comment="nginx443 hairpin NAT" \
    dst-address-list=public-ip dst-port=443 protocol=tcp to-addresses=\
    192.168.1.251 to-ports=443
add action=dst-nat chain=dstnat comment="WireGuard hairpin NAT" \
    dst-address-list=public-ip dst-port=51820 protocol=udp to-addresses=\
    192.168.1.251 to-ports=51820
add action=dst-nat chain=dstnat comment="paradox hairpin NAT" \
    dst-address-list=public-ip dst-port=10000 protocol=udp to-addresses=\
    192.168.1.199 to-ports=10000
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
    192.168.89.0/24
El NAT, tres cuartos de lo mismo, lo tienes un poco hecho unos zorros. Te paso cómo lo quedaría yo. Me faltaría saber en qué puerto de administración escucha el NGINX que tienes montado, y para el cual abres el 443. Lo que se suele hacer es abrir el 443 "de cara a fuera" (tráfico https a tu dominio https://midominio.com) y luego mandarlo al que sea puerto de administración https interno del equipo que lo antienda, que suele ser distinto del 443. Imaginemos que ese puerto es el 12345, para que veas cómo quedaría. El puerto 80 directamente lo quito, puesto que lo usa el propio router para su administración web, así que no debería estar abierto jamás. Y los puertos que abres donde puerto de origen y destino coinciden, te puedes ahorrar el "to-ports" Con todas esas consideraciones, tu NAT quedaría así (acuérdate de cambiar el 12345 del nginx por el que sea que use para su administración web https)
Código:
/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin dst-address=\
    192.168.1.0/24 src-address=192.168.1.0/24
add action=masquerade chain=srcnat comment=masquerade ipsec-policy=out,none \
    out-interface-list=WAN
add action=masquerade chain=srcnat comment=masquerade-vpn src-address=\
    192.168.89.0/24
add action=dst-nat chain=dstnat comment=Nginx dst-address-list=public-ip \
    dst-port=443 protocol=tcp to-addresses=192.168.1.251 to-ports=12345
add action=dst-nat chain=dstnat comment=WireGuard dst-address-list=public-ip \
    dst-port=51820 protocol=udp to-addresses=192.168.1.251
add action=dst-nat chain=dstnat comment=Paradox dst-address-list=public-ip \
    dst-port=10000 protocol=udp to-addresses=192.168.1.199
Dios que lio tenia, gracias
Código:
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge-lan type=internal
add interface=ether1 type=external
Y, por último, si vas a usar apertura de puertos manual usando la tabla de NAT, deshabilita el UPnP. Si en algún momento lo quieres usar para ver si algún dispositivo necesita abrir un puerto o está intentando salir a internet por donde tú no controlas, recuerda que ahora tu interface externa es "internet", no "ether1". No obstante, yo te aconsejo desactivarlo por completo.
Con upnp=enable veo estas conexiones que no conozco, supongo que te refieres a eso.
1612094458920.png

Y con esto, completamos la revisión de la configuración. He echado un buen ratito en ello, espero sepas apreciarlo. Ninguno de mis comentarios va con mala leche, ojo, simplemente resalto lo que veo y yo cambiaría.

Así que nada, si te surge alguna duda me dices, sino, ya tienes trabajo para toda la tarde dejando ese router fino.

Saludos!
Desde luego que lo aprecio, menuda currada, dime donde nos tomamos la caña y lo que haga falta.
Creo que tus comentarios/colaboración es irrepochable, tranquilo

Muchas Gracias de nuevo, siento darte mas curro.
 
Lo estudio y te contesto a la tarde. Sabiendo qué equipos tienes, es mas fácil ir al grano.

Saludos!
 
He probado, y tenia mal enlazado el Channels en Configuration
Código:
/caps-man configuration
add channel=channel1 country=spain datapath=datapath-lan mode=ap name=\
    home-wifi-5ghz-cfg security=security-profile-lan ssid=MkSuperWiFi

Corregido:
Código:
/caps-man configuration
add channel=5Ghz (FA) country=spain datapath=datapath-lan mode=ap name=\
home-wifi-5ghz-cfg security=security-profile-lan ssid=MkSuperWiFi

Lo he puesto bien y todo funciona pero solo si añado esto:
1612103111995.png


Si le quito an,ac mensaje de --NO SUPPORTED CHANNELS
Lo dejo con lo que tienes en la imagen y todo tal como me has citado y funciona:
1612103250469.png

Además, en 5Ghz me coge lo que fijaba antes en channels (5180 extension Ceee)
 
He borrado CAP interface, he provisioning de NUEVO , y a los 2 minutos aprox. a levantado la 5GHZ con otras frecuencias, y extensiones diferentes
1612103946180.png
1612106805576.png

1612106710040.png
1612106749718.png

AP "hAP ac2 principal" //////////////////////////////////////////////////////////////////////// AP "hAP ac2 garaje"

Me sigue cogiendo ancho canal 80Mhz pero como bien dices separado
 
Última edición:
Lo he puesto bien y todo funciona pero solo si añado esto:
Claro, esa regla tiene que tener ese filtro, porque no estás filtrando por MAC. Y qué pasa si le mandas la config de 5GHz al hAP-mini, pues que te dice que "not supported channel", obviamente, porque no tiene ese hardware. Donde te sobra el filtro es en las reglas de provisioning para las redes de 2,4GHz, donde ya estás especificando por cada chisme (por cada MAC) qué radio configuración le mandas. Es decir, en las de 2,4 lo quitas, y en la otra lo mantienes.

He borrado CAP interface, he provisioning de NUEVO , y a los 2 minutos aprox. a levantado la 5GHZ con otra frecuencia, ext
Sí, si el canal está en automático y es de tipo DFS, te tarda como poco un minuto en levantar la interfaz. Si además caes en una frecuencia entre la 5600 y la 5650 (usada por radares meteorológicos), se pone a buscar interferencias con radares y tarda 10min en levantar la interfaz. Es normativa, y esta gente la cumple a rajatablea. Si ves que te da guerra, baja el ancho de banda a 40MHz en la banda de 5GHz (extension=XX) y marca el tick de "Skip DFS channels" en la configuración del canal de 5GHz, así sólo usarás los cuatro primeros canales de la frecuencia de 5GHz.

Saludos!
 
Qué compi, cómo vas? Lo tienes ya o te puedo echar una mano en algo más? Dime, que ya estoy por aquí. Ante la duda, mándame un export completo.

Saludos!
 
Hola máquina,
parece que tienes mono....:ROFLMAO:
He probado 5Ghz con 40Mhz pero me conecta a mas velocidad con ancho de banda a 80MHz, ahora me ha salido este mensaje (pero creo que me advierte de lo que has comentado de los radares, supongo que no afecta al funcionamiento):
1612120511774.png
1612120564602.png


Luego he borrado CAP Interface y he Provisioning de nuevo y se ha quitado el mensaje.

Por lo demás creo que todo bien, he añadido unos scripts para ir jugueteando....
En el Firewall connections tengo un par de conexiones raras, pero al final deshabilitaré el UPnP como citas:
1612120691630.png


Ya que me lo pides te mando un export.
Gracias de nuevo.
 

Adjuntos

  • fino_filipino.txt
    13.6 KB · Visitas: 36
Última edición:
Lo que menos me sigue gustando es tu CAPsMAN. No soy capaz de leerlo de un plumazo. Te digo cómo lo dejaría yo, teniendo en cuenta tus equipos y tu configuración:
Código:
/caps-man rates
add name=g/n-rates basic=6Mbps supported=\
    6Mbps,9Mbps,12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps

/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=\
    2412,2437,2462 name=channel-auto-2ghz
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=XX name=\
    channel-auto-5ghz-noDFS skip-dfs-channels=yes

/caps-man configuration
add channel=channel-auto-5ghz-noDFS country=spain datapath=datapath-lan name=\
    home-wifi-5ghz-cfg rates=g/n-rates security=security-profile-lan \
    ssid=MkSuperWiFi
add channel=channel-auto-2ghz country=spain datapath=datapath-guests name=\
    guest-wifi-2ghz-cfg rates=g/n-rates security=security-profile-guests \
    ssid=Mk_guests
add channel=channel-auto-2ghz country=spain datapath=datapath-lan name=\
    domo-wifi-2ghz-cfg rates=g/n-rates security=security-profile-domotica \
    ssid=HUAWEI-z6y6

/caps-man provisioning
add action=create-dynamic-enabled comment=5ghz-provisioning hw-supported-modes=\
    ac,an master-configuration=home-wifi-5ghz-cfg name-format=prefix-identity \
    name-prefix=5ghz
add action=create-dynamic-enabled comment=2ghz-provisioning master-configuration=\
    guest-wifi-2ghz-cfg slave-configuration=domo-wifi-2ghz-cfg \
    name-format=prefix-identity name-prefix=2ghz

Rates:
- Intenta evitar espacios en los nombres. Esto, para todas las configuraciones

Canales:
- Ambos en modo automático. Para 2,4 le doy la lista a usar, para que sólo use el 1, el 6 o el 11
- Canal de 5GHz con ancho de 40, en lugar de 80 (XX, an lugar de XXXX)
- Evito canales DFS en 5GHz: sólo tienes dos AP's y emiten con 40 de ancho de banda. Malo será que no encuentren hueco. Además, los primeros canales, los no DFS, son los más compatibles con prácticamente cualquier dispositivo. Y arrancan al instante, aquí no hay tiempo de espera detectando radares.

Configuración:
- Limpieza máxima. 3 wifis = 3 configuraciones. Todo en automático.

Aprovisionamiento:
- Como todos los equipos se van a comportar igual, dos reglas genéricas. La wifi de 5GHz, sólo para quien la soporte.

Si quieres aplicar esto, comenta todo lo que tienes en todos esos apartados, salvo en datapath y security, y provisiona de nuevo los equipos.

El resto del equipo está perfecto.

Saludos!
 
Lo que menos me sigue gustando es tu CAPsMAN. No soy capaz de leerlo de un plumazo. Te digo cómo lo dejaría yo, teniendo en cuenta tus equipos y tu configuración:
Código:
/caps-man rates
add name=g/n-rates basic=6Mbps supported=\
    6Mbps,9Mbps,12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps

/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=\
    2412,2437,2462 name=channel-auto-2ghz
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=XX name=\
    channel-auto-5ghz-noDFS skip-dfs-channels=yes

/caps-man configuration
add channel=channel-auto-5ghz-noDFS country=spain datapath=datapath-lan name=\
    home-wifi-5ghz-cfg rates=g/n-rates security=security-profile-lan \
    ssid=MkSuperWiFi
add channel=channel-auto-2ghz country=spain datapath=datapath-guests name=\
    guest-wifi-2ghz-cfg rates=g/n-rates security=security-profile-guests \
    ssid=Mk_guests
add channel=channel-auto-2ghz country=spain datapath=datapath-lan name=\
    domo-wifi-2ghz-cfg rates=g/n-rates security=security-profile-domotica \
    ssid=HUAWEI-z6y6

/caps-man provisioning
add action=create-dynamic-enabled comment=5ghz-provisioning hw-supported-modes=\
    ac,an master-configuration=home-wifi-5ghz-cfg name-format=prefix-identity \
    name-prefix=5ghz
add action=create-dynamic-enabled comment=2ghz-provisioning master-configuration=\
    guest-wifi-2ghz-cfg slave-configuration=domo-wifi-2ghz-cfg \
    name-format=prefix-identity name-prefix=2ghz

Rates:
- Intenta evitar espacios en los nombres. Esto, para todas las configuraciones
Ok, perfecto.
Canales:
- Ambos en modo automático. Para 2,4 le doy la lista a usar, para que sólo use el 1, el 6 o el 11
Ahora los dos APs y el router como seleccionan el canal?
Yo antes se lo prefijaba a cada uno de forma independiente, comprobando la señal de los canales que tenían cerca
- Canal de 5GHz con ancho de 40, en lugar de 80 (XX, an lugar de XXXX)
- Evito canales DFS en 5GHz: sólo tienes dos AP's y emiten con 40 de ancho de banda. Malo será que no encuentren hueco. Además, los primeros canales, los no DFS, son los más compatibles con prácticamente cualquier dispositivo. Y arrancan al instante, aquí no hay tiempo de espera detectando radares.
Si me funciona con 80 de ancho de banda, mejor no?

Configuración:
- Limpieza máxima. 3 wifis = 3 configuraciones. Todo en automático.

Aprovisionamiento:
- Como todos los equipos se van a comportar igual, dos reglas genéricas. La wifi de 5GHz, sólo para quien la soporte.

Si quieres aplicar esto, comenta todo lo que tienes en todos esos apartados, salvo en datapath y security, y provisiona de nuevo los equipos.

El resto del equipo está perfecto.

Saludos!
A funcionado a la perfección. Mil gracias.
 
Con 80MHz de ancho de banda de canal te vas a zampar 4 canales por cada AP. Eso significa que tienes que usar canales DFS sí o sí. Vas a coger más velocidad, obviamente, pero también más interferencia y vas a tener peor estabilidad. Y, con las conexiones que tenemos ahora mismo, a mi personalmente, me da lo mismo que me lleguen 100, 200 o 300 mbps por wifi: si quiero velocidad, uso cable y el resto no noto la diferencia. Pero esto ya, cada uno con su marcha, como mejor te venga. Con tu configuración, yo usaría mejor 40MHz de ancho de canal. Si estás cerca de los APs, puedes coger 300Mbps en wifi, y de normal te irá siempre o casi siempre por encima de los 200, velocidad más que de sobra para un dispositivo móvil, una tablet, un portátil, etc.

Ahora los APs seleccionan los canales según el uso que detecten, automáticamente, pero sólo de entre esos tres que están listados. Si ves que algún AP repite canal, usa el botón de “reselect channel” que tienes en la primera pestaña de CAP Interfaces en CAPsMAN.

Prueba la configuración y, si no te convence, con lo que hemos tocado, seguro que ya sabes ponerla a tu gusto. Al final, tocando se aprende.

Saludos!
 
Tienes más razón que un santo.
Claro claro como el agua.
Ahora, aprender si estoy aprendiendo.
Gracias máquina de nuevo

Enviado desde mi Mi Note 10 mediante Tapatalk
 
De nada, me alegro de poderte ayudar.

Saludos!
 
Hola de nuevo @pokoyo,
mira una penúltima consulta, la banda de 2Ghz la tengo con tu última config
Código:
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=\
    2412,2437,2462 name=channel-auto-2ghz
Tengo unos dispositivos en el jardin y no llega la señal muy bien, con lo cual voy a pillar otro hAP ac2 para cambiarlo por el mini actual y colocar este en el jardin como otro AP(con cable).

La pregunta es si tengo 4 o mas AP's debo añadir mas frecuencias(canales) o es mejor que se distribuyan en el canal 1,6 y 11 con el provisioning de forma automática?.
Lo digo pq al ser ancho de banda de 20Mhz se pueden repartir algún canal mas o es tontería?

Gracias y un saludo.
 
Repetirías el canal del AP que tengas más lejos. En 2,4GHz, considera que sólo existen esos canales.

Si vas a montar algo para exteriores, mira un wAP AC.

Saludos!
 
Arriba