Asesoramiento sobre la reestructuración de la red de casa

Buenas de nuevo, abro este hilo para pedir ayuda con la configuración que abajo detallo, además de asesoramiento en cuanto a si está bien planteado, y/o si sería mejor hacer algo distinto o no hacer algo en particular. Sobretodo quería recibir ayuda con el tema de las VLANs, es decir, si no es mucho pedir, disponer de las líneas necesarias para configurar lo comentado.

He revisado ya varios videos en YouTube, y he visto algunos hilos de aquí, pero aún sigo tambaleándome con respecto a cómo integrar VLANs en mi setup.

Uno de los videos que seguí para configurar (sin VLANs), el cual me ayudó a entender varias cosas que desconocía (wlans adicionales, dhcps, pools, bridges...), pues hasta el momento no me había adentrado a crear nuevas redes, es: https://category5.tv/shows/clips_tech/episode/652-mikrotik-guest-wifi/

- - - - - - - - - - - - - - -

Mi red actual (casa) no es del todo grande, en cuando a número de dispositivos de refiere. Pero, me gustaría llevar a cabo esta configuración para, quizás, un futuro no muy lejano, y estar ya preparado.

Actualmente, cuento con algunos servidores, dos PCs, algunos móviles, 2 tv boxes (1 amazon fire tv, 1 xiaomi tv box), además de algunos dispositivos de domótica (enchufes, sensores, 1 hub, tiras led, etc), y otros periféricos. En total, contando dispositivos cableados y por wifi, diría que unos 20-25 que recuerde así rápido, quizás algunos más.

Hasta ahora, todos esos dispositivos estaban en la misma subred. Todos viéndose con todos. En la subred que todos suelen tener en los routers comerciales: 192.168.1.0.

- - - - - - - - - - - - - - -

Y, con ya habrán visto en otros hilos abiertos por mi en semanas anteriores, mi configuración actual de los routers es:
- Router ISP: modo ONT.
- Router MT: como router principal.

Y, dispongo de un switch (TL-SG108E) de 8 puertos al cual se conectan mis servidores y 1 PC, por si sirve de algo. Es gestionable, al menos en lo básico. Pero, me gustaría realizar la configuración íntegra de VLANs y todo en el MikroTik.

- - - - - - - - - - - - - - -

Bien, hace unos días me dispuse a cambiar todo esto, y reconfigurar mi red por completo.

Para ello, ya he diseñado más o menos por arriba cómo va a estar todo estructurado.

Me gustaría segmentar mi red en varias subredes, y de esta manera, separar el tráfico, y aislar a los dispositivos. Al mismo tiempo de tener todo más organizado. Entiendo que de esta forma también reduciría el posible broadcast de las redes. Mmm, ¿esto último es correcto?

- Dispondría de 5 redes wifi:
- - WLAN 1: Para los dispositivos de casa o uso personal (móviles, escáner, pórtatil, etc). [2.4/5Ghz]
- - WLAN 2: Para la domótica/IoT (enchufes, tiras led, hubs, etc). [2.4Ghz]
- - WLAN 3: Para los invitados. (2.4/5Ghz)

- Dispondría de 4 subredes LAN:
- - LAN 1 (10.10.10.0/24): sería la red principal, enlazada al WLAN 1, donde se conectarían todos mis dispositivos de uso general y privados.
- - LAN 2 (10.10.20.0/24): para los servidores únicamente.
- - LAN 3 (10.10.30.0/24): para los dispositivos de domótica/IoT, enlazada al WLAN 2. Aislada del acceso a internet.
- - LAN 4 (10.10.40.0/24): para los invitados, enlazada al WLAN 3. Aislada completamente del resto de las LANs, y con DNSs públicos.

Nota (1): Hay dos servicios en particular que pienso montar: PiHole y HomeAssistant, los cuales estoy indeciso en qué red meterlos, pues tendrán una función específica, pero uno de ellos necesitaría tener acceso a más de una red. Por una parte, PiHole, pienso que debería tener acceso (o me gustaría) a la LAN 1, pero a ninguna otra subred, pues considero que no sería necesario (por el momento), ni tampoco de las otras subredes (LAN3/4) a donde esté PiHole. Y, por otra, HomeAssistant, el cual estaría con los dispositivos de la LAN 3. El tema es que, no sé si meter cada servicio en su red y ya, o meter los dos en la red de servidores lo cual me gustaría y considero es lo más lógico, estándo en servidores, pues son, precisamente eso: servidores; y que desde ahí se comuniquen con las subredes necesarias.

Nota (2): Con respecto a la Nota (1), después de haber probado (y haber aprendido) a configurar el filtrado de tráfico de una subred a otra desde las reglas del firewall (forward), desconozco si podría aplicar el mismo tipo de filtrado/bloqueo con VLANs. Por ejemplo, desde LAN1 puedo comunicarme a LAN2, pero no viceversa, o desde LAN1 no puedo comunicarme a LAN2 y viceversa.

- Dispondría de una red específica para la VPN (wireguard), a través de la cual conectarme a casa y tener acceso a las LANs e internet (con PiHole).
- - VPN 1 (100.100.100.0/24).

Nota: La VPN ya está creada y funcionando. Solo falta ver si sería bueno aplicar alguna modificación de aislamiento como en las redes de arriba.


Infinitas gracias
 
Venga, vamos a ir desgranando lo que pides y haciéndonos un plan de ataque. Porque hay muchas cosas que más o menos las tienes claras, pero en otras me mezclas peras con manzanas.

Y, con ya habrán visto en otros hilos abiertos por mi en semanas anteriores, mi configuración actual de los routers es:
- Router ISP: modo ONT.
- Router MT: como router principal.

Y, dispongo de un switch (TL-SG108E) de 8 puertos al cual se conectan mis servidores y 1 PC, por si sirve de algo. Es gestionable, al menos en lo básico. Pero, me gustaría realizar la configuración íntegra de VLANs y todo en el MikroTik.
En ese caso, tu red se compone de router ISP + Mikrotik + Switch. Aparentemente (y lo digo porque en la documentación no hay rastro de la configuración de las mismas), tu switch soporta VLANs. Y eso de que las VLANs las quieres a nivel de mikrotik, me da que no va así: si al switch van físicamente conectados equipos que pretenden que estén en distinta VLAN (pc y servidores, en este caso), el switch ha de soportar VLANs, o ese setup no lo podrás hacer. Hay cero documentación del switch, así que lo de cómo configurar VLANs en él corre de tu parte. A él deberás hacer llegar un trunk (eso sí te digo yo cómo hacerlo) a uno de sus puertos, y luego desgranar ese trunk en puertos de acceso, para las vlans que le mandemos (en este caso, creo que dos). Lo dicho, ves documentándote en ese aspecto, porque lo vas a necesitar. Y recuerda: vlans y switches van siempre de la mano. De hecho, una VLAN es un elemento de capa 2, propio de un switch, más que de un router.

Me gustaría segmentar mi red en varias subredes, y de esta manera, separar el tráfico, y aislar a los dispositivos. Al mismo tiempo de tener todo más organizado. Entiendo que de esta forma también reduciría el posible broadcast de las redes. Mmm, ¿esto último es correcto?

- Dispondría de 5 redes wifi:
- - WLAN 1: Para los dispositivos de casa o uso personal (móviles, escáner, pórtatil, etc). [2.4/5Ghz]
- - WLAN 2: Para la domótica/IoT (enchufes, tiras led, hubs, etc). [2.4Ghz]
- - WLAN 3: Para los invitados. (2.4/5Ghz)

- Dispondría de 4 subredes LAN:
- - LAN 1 (10.10.10.0/24): sería la red principal, enlazada al WLAN 1, donde se conectarían todos mis dispositivos de uso general y privados.
- - LAN 2 (10.10.20.0/24): para los servidores únicamente.
- - LAN 3 (10.10.30.0/24): para los dispositivos de domótica/IoT, enlazada al WLAN 2. Aislada del acceso a internet.
- - LAN 4 (10.10.40.0/24): para los invitados, enlazada al WLAN 3. Aislada completamente del resto de las LANs, y con DNSs públicos.
Reducirías el broadcast de cada red, no entre redes. El broadcast es el tráfico de consulta (por inundación) a todos los nodos de un mismo segmento de red, vía su dirección de broadcast. Si tienes muchos dispositivos y metes menos por subred, reduces el broadcast, puesto que un paquete de consulta a esa dirección llegará a menos clientes finales.

Según tu setup, tenemos 4 VLANs y 3 redes inalámbricas, independientemente de la frecuencia que usen para operar. Lo primero que tienes que montar es la tabla de VLANs. Es decir, qué puerto y wifi va con qué vlan, y cual de ellos va en modo acceso y cual en modo trunk. Trunk = un puerto que lleva más de una VLAN. Acceso = un puerto o wifi lista para consumo, asociado únicamente a una concreta. Ya sabemos que el puerto que va al switch es trunk. Te toca montar una tabla que represente dicha asociación, antes de empezar.

Tema segmentos de red: cíñete a subredes de tipo C para las VLANs, no hagas experimentos. La red de tu casa, a muchos dispositivos que tengas, sigue siendo una red pequeña, y no vas a necesitar manejar nada más que segmentos de tipo C (192.168.x.y). Lo digo porque te veo muy lanzado con los 10. y 100., y creo que no podrías haberlos elegido peor. Los segmentos 10.x se suelen usar a nivel de operador para sus distintos servicios. Es raro que te pase, porque tú estás detrás de un NAT, pero podría llegar a darse el caso (si por ejemplo trabajas con un router triple play de movistar) que tuvieras la mala suerte de colisionar uno de tus segmentos con unos suyo. Con la VPN, tres cuartos de lo mismo, el segmento 100.x se suele usar par CG-NAT, así que no es buena idea. Una propuesta:

LAN: 192.168.50.1/24
¿ Servidores? (prescindible): 192.168.60.1/24
IOT: 192.168.70.1/24
Invitados: 192.168.80.1/24
VPN: 192.168.90.1/24

Así tienes hueco para meter sucesivas subredes (.51, .52) si te da por aumentar la LAN. O varias VPN (.90, .91, etc) si te da por aumentar la VPN. La VPN la puedes considerar aparte, no tiene nada que ver con las VLANs, ni va a ir asociado a ninguna de ellas (es un elemento de capa 3).

Con respecto al acceso entre VLANS: idéntico, necesitas montar una tabla que deje claramente reflejado qué tipo de acceso tiene cada VLAN, o si hay o no algún tipo de comunicación inter-vlan (que la hay, si vas a montar una dedicada a servidores). Yo esa VLAN me la ahorraba (no estás en una empresa como para necesitar segejante segmentación, keep it simple...), y metía el pi-hole en la LAN y el adward en la de IoT, permitiendo que los dispositivos finales a los que van asociados esos servidores se comunicasen con ellos vía su propia VLAN, y no con tráfico inter-vlan (ese tráfico dentro de la propia vlan sale gratis, mientras que el inter-vlan hay que currárselo a nivel de firewall).
Tampoco me queda muy claro que la vlan de IoT no tenga acceso a internet. ¿Pretendes que sólo lo tenga el Adward y desde él manejes todos los dispositivos? Ojo con esto, que hay chismes de IoT muy cabrones, y sin salida a internet no funcionan. No obstante, si ese es tu planteamiento, se puede hacer vía DHCP: no se entrega DNS a esa subred, y se crea un lease estático para el Adward, donde sí que se manden esos detalles del servidor DNS, para ese equipo concreto, y así ese equipo sale a fuera pero el resto no.

A bote pronto, la comunicación más clara que veo es que desde tu LAN (VLAN LAN) vas a querer llegar a tu Adward (VLAN IoT), como poco.

Ves macerando esto, montando las tablas que te digo, y nos metemos con ello.

Saludos!
 
En ese caso, tu red se compone de router ISP + Mikrotik + Switch. Aparentemente (y lo digo porque en la documentación no hay rastro de la configuración de las mismas), tu switch soporta VLANs. Y eso de que las VLANs las quieres a nivel de mikrotik, me da que no va así: si al switch van físicamente conectados equipos que pretenden que estén en distinta VLAN (pc y servidores, en este caso), el switch ha de soportar VLANs, o ese setup no lo podrás hacer. Hay cero documentación del switch, así que lo de cómo configurar VLANs en él corre de tu parte. A él deberás hacer llegar un trunk (eso sí te digo yo cómo hacerlo) a uno de sus puertos, y luego desgranar ese trunk en puertos de acceso, para las vlans que le mandemos (en este caso, creo que dos). Lo dicho, ves documentándote en ese aspecto, porque lo vas a necesitar. Y recuerda: vlans y switches van siempre de la mano. De hecho, una VLAN es un elemento de capa 2, propio de un switch, más que de un router.
Bueno, me he tomado unos días para estudiar un poco de VLANS y su configuración, y me he enterado de varias cosas que desconocía, y otras que no las tenía del todo asentadas. Pero, aún sigo un poco descarrilado en aplicarlo en RouterOS.
Con respecto al Switch que tengo, ya aprendí a configurar las VLANS: configurar un puerto trunk (desde router) y sus vlans (tagged) correspondientes. Solo falta aplicar lo aprendido.

Reducirías el broadcast de cada red, no entre redes. El broadcast es el tráfico de consulta (por inundación) a todos los nodos de un mismo segmento de red, vía su dirección de broadcast. Si tienes muchos dispositivos y metes menos por subred, reduces el broadcast, puesto que un paquete de consulta a esa dirección llegará a menos clientes finales.
Habiéndome documentado un poco más, entiendo, ahora, que el broadcast (entre redes) se podrá controlar aplicando las vlans y 'vlan-filtering' sobre dicho bridge. Es decir, configurando adecuadamente las vlans de cada red, y sus correspondientes reglas en el cortafuegos, podré hacer que el posible broadcast no pase de una subred a otra, y viceversa. De este modo, la única forma de que dos dispositivos se comunique entre dos redes de diferentes vlans (doble dirección), es que dicha comunicación tenga un destino específico, es decir, un equipo destino.

Es correcto esto que he comentado arriba? O estoy volviendo a mezclar peras con manzanas? hehe

Otra cosa, con respecto a esto...
Se me ha metido en la cabeza el intentar reducir el posible broadcast entre los diferentes dispositivos de mis redes (entre si), pero, consideras realmente necesario esto? O no es realmente un problema, si quiera, a considerar? Supongo, si no es realmente importante, o que no afecte mucho al rendimiento de la red, quitaría complejidad al setup.

Tema segmentos de red: cíñete a subredes de tipo C para las VLANs, no hagas experimentos. La red de tu casa, a muchos dispositivos que tengas, sigue siendo una red pequeña, y no vas a necesitar manejar nada más que segmentos de tipo C (192.168.x.y). Lo digo porque te veo muy lanzado con los 10. y 100., y creo que no podrías haberlos elegido peor. Los segmentos 10.x se suelen usar a nivel de operador para sus distintos servicios. Es raro que te pase, porque tú estás detrás de un NAT, pero podría llegar a darse el caso (si por ejemplo trabajas con un router triple play de movistar) que tuvieras la mala suerte de colisionar uno de tus segmentos con unos suyo. Con la VPN, tres cuartos de lo mismo, el segmento 100.x se suele usar par CG-NAT, así que no es buena idea. Una propuesta:

LAN: 192.168.50.1/24
¿ Servidores? (prescindible): 192.168.60.1/24
IOT: 192.168.70.1/24
Invitados: 192.168.80.1/24
VPN: 192.168.90.1/24

Así tienes hueco para meter sucesivas subredes (.51, .52) si te da por aumentar la LAN. O varias VPN (.90, .91, etc) si te da por aumentar la VPN. La VPN la puedes considerar aparte, no tiene nada que ver con las VLANs, ni va a ir asociado a ninguna de ellas (es un elemento de capa 3).
Ya he rediseñado la red, y he vuelto, tal como me recomendaste, al grupo C. En el digramma que muestro más abajo se ve la configuración final de la subred que me gustaría montar.

Según tu setup, tenemos 4 VLANs y 3 redes inalámbricas, independientemente de la frecuencia que usen para operar. Lo primero que tienes que montar es la tabla de VLANs. Es decir, qué puerto y wifi va con qué vlan, y cual de ellos va en modo acceso y cual en modo trunk. Trunk = un puerto que lleva más de una VLAN. Acceso = un puerto o wifi lista para consumo, asociado únicamente a una concreta. Ya sabemos que el puerto que va al switch es trunk. Te toca montar una tabla que represente dicha asociación, antes de empezar.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -​
Con respecto al acceso entre VLANS: idéntico, necesitas montar una tabla que deje claramente reflejado qué tipo de acceso tiene cada VLAN, o si hay o no algún tipo de comunicación inter-vlan (que la hay, si vas a montar una dedicada a servidores). Yo esa VLAN me la ahorraba (no estás en una empresa como para necesitar segejante segmentación, keep it simple...), y metía el pi-hole en la LAN y el adward en la de IoT, permitiendo que los dispositivos finales a los que van asociados esos servidores se comunicasen con ellos vía su propia VLAN, y no con tráfico inter-vlan (ese tráfico dentro de la propia vlan sale gratis, mientras que el inter-vlan hay que currárselo a nivel de firewall).
Tampoco me queda muy claro que la vlan de IoT no tenga acceso a internet. ¿Pretendes que sólo lo tenga el Adward y desde él manejes todos los dispositivos? Ojo con esto, que hay chismes de IoT muy cabrones, y sin salida a internet no funcionan. No obstante, si ese es tu planteamiento, se puede hacer vía DHCP: no se entrega DNS a esa subred, y se crea un lease estático para el Adward, donde sí que se manden esos detalles del servidor DNS, para ese equipo concreto, y así ese equipo sale a fuera pero el resto no.

A bote pronto, la comunicación más clara que veo es que desde tu LAN (VLAN LAN) vas a querer llegar a tu Adward (VLAN IoT), como poco.
Primeramente de nada, comentar que he hecho dos diagramas:
- Diagrama (1): Aplicando lo que pretendia, en un principio. Pero, después de revisar y revisar el esquema, creo va a ser más fácil, y sin tanto quebradero de cabeza, seguir el Diagrama (2).
Este diagrama consiste en 4 redes (VLANS), desde la 192.168.10.x a 192.168.40.x.
Lo que busco en este tipo de red, es que los servidores estén en su propia red (192.168.30.x), pero puedan comunicarse con el resto de redes, por el tema del Pi-hole que tendrá acceso a la VLAN10, y el Home Assistant que tendrá acceso a la VLAN20 (192.168.20.x).
Y, las VLANS punteadas, tanto de Pi-hole como Home Assistant, significa que no estoy seguro de si meterlas en la VLAN10 y VLAN20, respectivamente, o dejar dicho servidores dentro de la su VLAN30. Bueno, un lío heheh.

- Diagrama (2): Esta, creo, me convence más que la anterior, por su simpleza (creo), y que todo sigue estando separado realmente.
Creo el digrama no requiere de mucha explicación, salvo algunas cositas que me gustaría aclarar más abajo en la sección de notas.

Notas:
· El 'Router (AP)', perteneciente a la VLAN10, conectado al puerto del hAP ac2 (nº 3), es un simple router de operadora que me sobró hace ya tiempo (ADSL), pero que lo aprovecho como un AP. Con DHCP desactivado. está ubicado en otra habitación, en la otra punta de la casa, por medio de un PLC para dar cobertura a esa zona. Como tal, deseo que todo dispositivo que se conecte a él por WiFi, esté dentro de VLAN10.
· Como puerto troncal para las VLANs, para conectar el router y el switch, usaría el nº 2 del router, al nº 1 del switch.
· Me gustaría que desde la 192.168.10.x tenga acceso al servidor ubicado en la 192.168.20.x, y por tanto, a sus dispositivos; que la red 192.168.30.x no tenga acceso a ninguna de las redes 192.168.10.x ni 192.168.20.x.
· En el primer post había comentado la idea de bloquear el acceso a internet a la red de domótica (192.168.20.x), pero voy a hacerte caso pokoyo, y lo dejaré para el setup tal como mencionas: permitir acceso a internet, pues algunos dispositivos pueden presentar problemas.
· Creo, me he equivocado en la VLAN30 (roja) que sale del puerto nº2 (router) al nº1 (switch), por la troncal. Pues, no pienso conectar nada en ningún puerto del switch referente a la red de invitados. Lo que sí quise hacer, pero lo reflejé mal (estaría pensando en otra cosa :ROFLMAO:), es poder usar el puerto nº3 (router) por donde sale la VLAN10 al AP para tener dos redes wifi en el mismo AP: General e Invitados, cada una con su VLAN. Pero aquí, creo debería modificar algo más con respecto a la troncal que sale por el puerto 2 del mikrotik (¿2 troncales, quizás?: troncal-1 del p2 router al p1 switch, y troncal-2 del p3 router al ap). Pero, dado que dicho router que uso de ap no soporta VLANS, debería de adquirir uno que si, si lo que pretendo es usar el mismo router con diferentes VLANS. De todos modos, por el momento, hasta que compre un AP como tal, me ceñiré a que por el puerto nº3 (router) saldrá la VLAN10, y listo.

Otras dudas:
A: Sería conveniente montar dos bridges, uno para la red general y otro para las vlans? Tomando en cuenta que la red general (192.168.10.x) no vaya sobre ninguna vlan realmente. Es decir, un supuesto caso de solo existir las VLANs 10 (20=domótica) y 20 (30=invitados). O puede ir todo sobre un único bridge? Pues, he visto que en varios tutos montan un bridge separado (bridge-vlans) solo para las redes que van a llevar vlans.
 

Adjuntos

  • diagram1.jpg
    diagram1.jpg
    211.4 KB · Visitas: 109
  • diagram2.jpg
    diagram2.jpg
    205.2 KB · Visitas: 111
Última edición:
Aquí el export de mi configuración actual, omitiendo algunos datos no relevantes.
Dejo el apartado de firewall (ipv6) por si es necesario, pero no hago uso de dichas IPs.

Código:
/interface bridge
add admin-mac=<OCULTO> auto-mac=no name=bridge

/interface ethernet
set [ find default-name=ether1 ] name=ether1-wan
set [ find default-name=ether2 ] name=ether2-switch
set [ find default-name=ether3 ] name=ether3-ap

/interface wireguard
add listen-port=<OCULTO> mtu=1420 name=vpn-casa

/interface vlan
add interface=ether1-wan name=vlan-isp vlan-id=832

/interface list
add name=WAN
add name=LAN

/interface wireless
set [ find default-name=wlan1 ] band=2ghz-g/n country=spain \
    default-authentication=no disabled=no distance=indoors frequency=2437 \
    mode=ap-bridge name=wlan1-2g security-profile=protegido ssid=\
    <OCULTO> wps-mode=disabled
set [ find default-name=wlan2 ] band=5ghz-n/ac channel-width=20/40/80mhz-eCee \
    country=spain default-authentication=no disabled=no distance=indoors \
    frequency=5200 mode=ap-bridge name=wlan2-5g security-profile=protegido \
    ssid=<OCULTO>-5G wps-mode=disabled
add default-authentication=no keepalive-frames=disabled mac-address=\
    <OCULTO> master-interface=wlan1-2g multicast-buffering=disabled \
    name=wlan3 security-profile=invitados ssid=<OCULTO>-INVITADOS wds-cost-range=\
    0 wds-default-cost=0 wps-mode=disabled
    
/ip pool
add name=pool-lan ranges=192.168.10.11-192.168.10.254

/ip dhcp-server
add address-pool=pool-lan interface=bridge name=dhcp-bridge

/interface bridge port
add bridge=bridge interface=ether2-switch
add bridge=bridge interface=ether3-ap
add bridge=bridge interface=ether4
add bridge=bridge interface=ether5
add bridge=bridge interface=wlan1-2g
add bridge=bridge interface=wlan2-5g

/ip neighbor discovery-settings
set discover-interface-list=LAN

/interface list member
add interface=bridge list=LAN
add interface=ether1-wan list=WAN
add interface=*F list=LAN
add interface=vpn-casa list=LAN

/ip address
add address=192.168.10.1/24 comment=Lan interface=bridge network=\
    192.168.10.0
add address=192.168.100.1/24 comment=VPN interface=vpn-casa network=\
    192.168.100.0

/ip dhcp-client
add comment=defconf interface=vlan-isp use-peer-dns=no
    
/ip dhcp-server network
add address=192.168.10.0/24 comment=Lan dns-server=192.168.10.5 gateway=\
    192.168.10.1
    
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1

/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment=vpn-casa dst-port=<OCULTO> protocol=udp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN

/ip firewall nat
add action=masquerade chain=srcnat comment="NAT Loopback (2)" disabled=yes \
    dst-address=192.168.1.0/24 src-address=192.168.1.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface=vlan-isp
add action=dst-nat chain=dstnat comment=qBittorrent dst-port=<OCULTO> \
    in-interface=vlan-isp protocol=tcp to-addresses=192.168.10.2 to-ports=\
    6881
add action=dst-nat chain=dstnat comment="Nginx Proxy (1)" disabled=yes \
    dst-port=80 in-interface=vlan-isp protocol=tcp to-addresses=192.168.10.3 \
    to-ports=<OCULTO>
add action=dst-nat chain=dstnat comment="Nginx Proxy (2)" disabled=yes \
    dst-port=443 in-interface=vlan-isp protocol=tcp to-addresses=192.168.10.3 \
    to-ports=<OCULTO>
add action=dst-nat chain=dstnat comment="NAT Loopback (1)" disabled=yes \
    dst-address-list=public-ip dst-port=443 protocol=tcp to-addresses=\
    192.168.10.3 to-ports=<OCULTO>

/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6

/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
 
Habiéndome documentado un poco más, entiendo, ahora, que el broadcast (entre redes) se podrá controlar aplicando las vlans y 'vlan-filtering' sobre dicho bridge. Es decir, configurando adecuadamente las vlans de cada red, y sus correspondientes reglas en el cortafuegos, podré hacer que el posible broadcast no pase de una subred a otra, y viceversa. De este modo, la única forma de que dos dispositivos se comunique entre dos redes de diferentes vlans (doble dirección), es que dicha comunicación tenga un destino específico, es decir, un equipo destino.

Es correcto esto que he comentado arriba? O estoy volviendo a mezclar peras con manzanas? hehe
No, no es correcto, no has afianzado el concepto broadcast. Te lo intento explicar de nuevo, con un ejemplo: imagina la red más común, 192.168.1.0, con máscara 255.255.255.0 (es decir, 192.168.1.0/24). Esa subred tiene 256 direcciones, de las cuales dos son especiales: la dirección de red (la primera) y la de broadcast (la última). En dicha subred, la dirección de red es la 192.168.1.0, y la de broadcast la 192.168.1.255, siendo las direcciones de la .1 a la .254 las usables por los hosts de dicha subred. Cuando en una subred intentas buscar algo de lo cual desconoces el destino, envías una petición a la dirección de broadcast o difusión. Esta, al recibir una petición, la reenviará a todo host presente en esa subred (a los 254 hosts disponibles, si la red estuviese completa). Imagina ahora que la red crece, y en lugar de ser un /24, es un /20. Con esa máscara, en lugar de tener 8 bits para direccionar hosts, tienes 12. Y con 12 bits se pueden direccionar 2^12 -2 hosts = 4094 hosts. Conforme las redes van creciendo, el tráfico de broadcast se vuelve cada vez más y más grande, puesto que cada petición a la dirección de broadcast tendrá que llegar a más dispositivos, generando un tráfico innecesario (puede que esas 4000 y pico máquinas no todas deban verse entre sí). Ahí es donde entran las VLANs en juego para que, haciendo pedacitos con subredes más pequeñas, seas capaz de manejar los 4000 y pico equipos, todos físicamente conectados al mismo enorme teórico switch (en verdad, a una cascada de ellos). Sin VLANs, necesitarías un switch por cada cachito de subred, y un cable entre switch y router por cada pedazo. Las VLANs no sólo ayudan a reducir el broadcast, sino a mezclar varios segmentos lógicos en un mismo dispositivo físico. Recuerda que, siempre que hablemos de VLANs, piensa en un switch no en un router. En tu router mikrotik podrías perfectamente montar una subred por cada puerto y no necesitas usar vlans para nada. Pero eso no puede hacerse en un switch, y para eso se inventaron esas etiquetas. En un router se direccionan las VLANs, pero nada más. Donde trabjas realmente con ellas es a nivel de switch. Si quieres hacer un ejemplo, una vez tengas el setup de vlans en tu switch, establece IPs a mano en un par de ordenadores de tu casa, dentro del mismo segmento, y conéctalos entre sí al switch. Primero lo haces usando dos puertos de acceso de una misma VLAN. Y luego dos que pertenezcan a distinta VLAN. Verás que en el primer caso los equipos se ven entre ellos, y en el segundo no.

Entre distitas subredes no existe broadcast. Hay otro tipo de tráfico multidifusión, pero ese es otro tema para otro día.
Otra cosa, con respecto a esto...
Se me ha metido en la cabeza el intentar reducir el posible broadcast entre los diferentes dispositivos de mis redes (entre si), pero, consideras realmente necesario esto? O no es realmente un problema, si quiera, a considerar? Supongo, si no es realmente importante, o que no afecte mucho al rendimiento de la red, quitaría complejidad al setup.
En una red pequeña, el broadcast no es problema. Lo empieza a ser cuanto más grande es la red. No obstante, si quieres reducir al máximo el broadcast, usa subredes más pequeñas, ajustadas al número de hosts a direccionar. Pero vamos, no te vuelvas loco con este tema, que a menos que tengas centenares de dispositivos, esto no creo que sea un problema en tu caso.

- Diagrama (1): Aplicando lo que pretendia, en un principio. Pero, después de revisar y revisar el esquema, creo va a ser más fácil, y sin tanto quebradero de cabeza, seguir el Diagrama (2).
Este diagrama consiste en 4 redes (VLANS), desde la 192.168.10.x a 192.168.40.x.
Lo que busco en este tipo de red, es que los servidores estén en su propia red (192.168.30.x), pero puedan comunicarse con el resto de redes, por el tema del Pi-hole que tendrá acceso a la VLAN10, y el Home Assistant que tendrá acceso a la VLAN20 (192.168.20.x).
Y, las VLANS punteadas, tanto de Pi-hole como Home Assistant, significa que no estoy seguro de si meterlas en la VLAN10 y VLAN20, respectivamente, o dejar dicho servidores dentro de la su VLAN30. Bueno, un lío heheh.

- Diagrama (2): Esta, creo, me convence más que la anterior, por su simpleza (creo), y que todo sigue estando separado realmente.
Creo el digrama no requiere de mucha explicación, salvo algunas cositas que me gustaría aclarar más abajo en la sección de notas.
Diagrama 2, es mucho más correcto. Luego, cuando entiendas cómo va el tema, lo complicas lo que quieras. Pero date cuenta de que las VLANs están hechas para separar tráfico. Si al final acabas comunicándolas entre sí... es que el diseño de VLANs no está bien hecho, puesto que valen justo para lo contrario. Y, lo que digo siempre: no es lo mismo un setup en una empresa, donde sí que tiene sentido que los servidores estén en una VLAN dedicada, aunque sus clientes estén en otra, que tu casa. En tu casa, busca la simplicidad: lo que necesite estar comunicado, dentro de la misma VLAN, y de lo que no me fíe, en una aparte... y no necesitas más.

· El 'Router (AP)', perteneciente a la VLAN10, conectado al puerto del hAP ac2 (nº 3), es un simple router de operadora que me sobró hace ya tiempo (ADSL), pero que lo aprovecho como un AP. Con DHCP desactivado. está ubicado en otra habitación, en la otra punta de la casa, por medio de un PLC para dar cobertura a esa zona. Como tal, deseo que todo dispositivo que se conecte a él por WiFi, esté dentro de VLAN10.
En ese caso, tu ether3 sería un puerto de acceso PVID=10.

· Como puerto troncal para las VLANs, para conectar el router y el switch, usaría el nº 2 del router, al nº 1 del switch.
Perfecto. Ese puerto iría como tagged en la definición de VLANs del bridge, al igual que el propio bridge.

· Me gustaría que desde la 192.168.10.x tenga acceso al servidor ubicado en la 192.168.20.x, y por tanto, a sus dispositivos; que la red 192.168.30.x no tenga acceso a ninguna de las redes 192.168.10.x ni 192.168.20.x.
Bien, se hace vía firewall. Permitiremos la conectividad desde la vlan10 (o desde una IP concreta de dicha VLAN) a la IP concreta del servidor en la VLAN 20. Lo de acceso a sus clientes no me queda claro. Entiendo que te falta por pintar otro punto inalámbrico para la domótica, asignado a la vlan20, donde se conectarían los chismes de domótica para hablar con el HA.

· En el primer post había comentado la idea de bloquear el acceso a internet a la red de domótica (192.168.20.x), pero voy a hacerte caso pokoyo, y lo dejaré para el setup tal como mencionas: permitir acceso a internet, pues algunos dispositivos pueden presentar problemas.
Prueba primero así y luego si queires le damos sólo salida al server, a ver cómo se comporta. Desde luego, el que tú planteas es el setup ideal: que el servidor de domótica tenga acceso a internet, pero no los dispositivos domóticos finales, que sólo hablarían con el servidor. Pero, como de entrada no me fío que eso te salga bien a la primera, vamos paso a paso, que tiempo tienes de restringir el acceso.

· Creo, me he equivocado en la VLAN30 (roja) que sale del puerto nº2 (router) al nº1 (switch), por la troncal. Pues, no pienso conectar nada en ningún puerto del switch referente a la red de invitados. Lo que sí quise hacer, pero lo reflejé mal (estaría pensando en otra cosa :ROFLMAO:), es poder usar el puerto nº3 (router) por donde sale la VLAN10 al AP para tener dos redes wifi en el mismo AP: General e Invitados, cada una con su VLAN. Pero aquí, creo debería modificar algo más con respecto a la troncal que sale por el puerto 2 del mikrotik (¿2 troncales, quizás?: troncal-1 del p2 router al p1 switch, y troncal-2 del p3 router al ap). Pero, dado que dicho router que uso de ap no soporta VLANS, debería de adquirir uno que si, si lo que pretendo es usar el mismo router con diferentes VLANS. De todos modos, por el momento, hasta que compre un AP como tal, me ceñiré a que por el puerto nº3 (router) saldrá la VLAN10, y listo.
En ese caso, la vlan30 se quedaría únicamente taggeada en el bridge, pero no en ningún puerto físico. Puedes tener perfectamente dos puertos trunk, como sería el caso que describes, pero mientras no tengas un AP que lo soporte, está bien como lo pintas en el diagrama 2, asignado a la vlan 10 en modo acceso.

¿te atreves a hacer el setup con lo que has leído hasta ahora o necesitas un empujoncito? Te recomendaría usar temporalmente un direccionamiento distinto para la red lan, hasta que tengas montado el setup de vlans definitivo. Porque, si cambias ahora la 192.168.10.x del bridge a una VLAN, es muy probable que te quedes sin acceso al chisme. O puedes crearla una IP de loopback al bridge, en otro segmento, y hacer la configuradción de VLANs conectado a dicha IP del bridge, tal que no se viera afectado por el cambio que vas a tener que hacer al llevarte ese segmento a su vlan correspondiente. También te recomiendo montar la tabla de VLANs y/o subredes, para que veas dónde tienes que ir cosiendo cada puerto.

Saludos!
 
No, no es correcto, no has afianzado el concepto broadcast. Te lo intento explicar de nuevo, con un ejemplo: imagina la red más común, 192.168.1.0, con máscara 255.255.255.0 (es decir, 192.168.1.0/24). Esa subred tiene 256 direcciones, de las cuales dos son especiales: la dirección de red (la primera) y la de broadcast (la última). En dicha subred, la dirección de red es la 192.168.1.0, y la de broadcast la 192.168.1.255, siendo las direcciones de la .1 a la .254 las usables por los hosts de dicha subred. Cuando en una subred intentas buscar algo de lo cual desconoces el destino, envías una petición a la dirección de broadcast o difusión. Esta, al recibir una petición, la reenviará a todo host presente en esa subred (a los 254 hosts disponibles, si la red estuviese completa). Imagina ahora que la red crece, y en lugar de ser un /24, es un /20. Con esa máscara, en lugar de tener 8 bits para direccionar hosts, tienes 12. Y con 12 bits se pueden direccionar 2^12 -2 hosts = 4094 hosts. Conforme las redes van creciendo, el tráfico de broadcast se vuelve cada vez más y más grande, puesto que cada petición a la dirección de broadcast tendrá que llegar a más dispositivos, generando un tráfico innecesario (puede que esas 4000 y pico máquinas no todas deban verse entre sí). Ahí es donde entran las VLANs en juego para que, haciendo pedacitos con subredes más pequeñas, seas capaz de manejar los 4000 y pico equipos, todos físicamente conectados al mismo enorme teórico switch (en verdad, a una cascada de ellos). Sin VLANs, necesitarías un switch por cada cachito de subred, y un cable entre switch y router por cada pedazo. Las VLANs no sólo ayudan a reducir el broadcast, sino a mezclar varios segmentos lógicos en un mismo dispositivo físico. Recuerda que, siempre que hablemos de VLANs, piensa en un switch no en un router. En tu router mikrotik podrías perfectamente montar una subred por cada puerto y no necesitas usar vlans para nada. Pero eso no puede hacerse en un switch, y para eso se inventaron esas etiquetas. En un router se direccionan las VLANs, pero nada más. Donde trabjas realmente con ellas es a nivel de switch. Si quieres hacer un ejemplo, una vez tengas el setup de vlans en tu switch, establece IPs a mano en un par de ordenadores de tu casa, dentro del mismo segmento, y conéctalos entre sí al switch. Primero lo haces usando dos puertos de acceso de una misma VLAN. Y luego dos que pertenezcan a distinta VLAN. Verás que en el primer caso los equipos se ven entre ellos, y en el segundo no.

Entre distitas subredes no existe broadcast. Hay otro tipo de tráfico multidifusión, pero ese es otro tema para otro día.
Mejor explicado imposible, gracias pokoyo :D.
Seguiré documentándome más de todos modos...

En una red pequeña, el broadcast no es problema. Lo empieza a ser cuanto más grande es la red. No obstante, si quieres reducir al máximo el broadcast, usa subredes más pequeñas, ajustadas al número de hosts a direccionar. Pero vamos, no te vuelvas loco con este tema, que a menos que tengas centenares de dispositivos, esto no creo que sea un problema en tu caso.
Estás en lo cierto, no voy a ir por ese camino. No es necesario en absoluto. Me había obsesionado XD.

Bien, se hace vía firewall. Permitiremos la conectividad desde la vlan10 (o desde una IP concreta de dicha VLAN) a la IP concreta del servidor en la VLAN 20. Lo de acceso a sus clientes no me queda claro. Entiendo que te falta por pintar otro punto inalámbrico para la domótica, asignado a la vlan20, donde se conectarían los chismes de domótica para hablar con el HA.
Con el tema de acceso por parte de los clientes, me referia a que los clientes, por si solos, no tuviesen la posibilidad de acceder a ninguna subred que no sea donde están. Quien tenga acceso fuera de esa red sería el servidor que gestiona los dispositivos de esa red. O tampoco es realmente necesario hacer algo así?

Con respecto al AP donde los dispositivos se conectaría, este AP sería el propio hAP ac2, pues no dispongo de un AP dedicado. Por eso, dibujé una línea azul, correspondiente a la VLAN20, que sale por detrás del router mikrotik.

En ese caso, la vlan30 se quedaría únicamente taggeada en el bridge, pero no en ningún puerto físico. Puedes tener perfectamente dos puertos trunk, como sería el caso que describes, pero mientras no tengas un AP que lo soporte, está bien como lo pintas en el diagrama 2, asignado a la vlan 10 en modo acceso.

¿te atreves a hacer el setup con lo que has leído hasta ahora o necesitas un empujoncito? Te recomendaría usar temporalmente un direccionamiento distinto para la red lan, hasta que tengas montado el setup de vlans definitivo. Porque, si cambias ahora la 192.168.10.x del bridge a una VLAN, es muy probable que te quedes sin acceso al chisme. O puedes crearla una IP de loopback al bridge, en otro segmento, y hacer la configuradción de VLANs conectado a dicha IP del bridge, tal que no se viera afectado por el cambio que vas a tener que hacer al llevarte ese segmento a su vlan correspondiente. También te recomiendo montar la tabla de VLANs y/o subredes, para que veas dónde tienes que ir cosiendo cada puerto.
Tendré en cuenta lo comentado sobre la VLAN para invitados en caso de adquirir un AP que lo soporte, gracias!

Intentaré montar todo por mi solo, según me has recomendado y he visto en varios hilos, a ver si sale. Y, tomo nota de la recomendación sobre no utilizar no hacer las pruebas sobre el bridge principal (y);). Intentaré crear un bridge separado, y usar las interfaces que quedan libres, y pruebo.
 
Bueno, te cuento pokoyo...

Aquí expongo lo que he probado con una nueva interfaz wifi que he habilitado (virtual) para hacer pruebas, simulando que se trata de la de Invitados.
He incluido solo aquellas partes que he modificado, y he resaltado en color aquellas modificaciones que he aplicado, con respecto a cómo lo tenia antes.

- - - - - - - - - - - - - - -
/interface bridge
add admin-mac=<OCULTO> auto-mac=no name=bridge
add name=bridge-vlans vlan-filtering=yes

/interface vlan
add interface=ether1-wan name=vlan-isp vlan-id=832

add interface=bridge-vlans name=vlan-guests vlan-id=30

/interface wireless
set [ find default-name=wlan1 ] band=2ghz-g/n country=spain \
default-authentication=no disabled=no distance=indoors frequency=2437 \
mode=ap-bridge name=wlan1-2g security-profile=protegido ssid=\
<OCULTO>wps-mode=disabled
set [ find default-name=wlan2 ] band=5ghz-n/ac channel-width=20/40/80mhz-eCee \
country=spain default-authentication=no disabled=no distance=indoors \
frequency=5200 mode=ap-bridge name=wlan2-5g security-profile=protegido \
ssid=<OCULTO>-5G wps-mode=disabled

add default-authentication=no disabled=no keepalive-frames=disabled \
mac-address=<OCULTO> master-interface=wlan1-2g \
multicast-buffering=disabled name=wlan3-2g security-profile=invitados \
ssid=<OCULTO> vlan-id=30 vlan-mode=use-tag wds-cost-range=0 \
wds-default-cost=0 wps-mode=disabled


/ip pool
add name=pool-lan ranges=192.168.10.11-192.168.10.254
add name=pool-guests ranges=192.168.30.2-192.168.30.254

/ip dhcp-server
add address-pool=pool-lan interface=bridge name=dhcp-bridge
add address-pool=pool-guests interface=vlan-guests name=dhcp-guests

/interface bridge port
add bridge=bridge interface=ether2-switch
add bridge=bridge interface=ether3-ap
add bridge=bridge interface=ether4
add bridge=bridge interface=ether5
add bridge=bridge interface=wlan1-2g
add bridge=bridge interface=wlan2-5g
add bridge=bridge-vlans interface=wlan3-2g pvid=30

/interface bridge vlan
add bridge=bridge-vlans tagged=bridge-vlans,wlan3-2g vlan-ids=30

/ip address
add address=192.168.10.1/24 comment=Lan interface=bridge network=192.168.10.0
add address=192.168.100.1/24 comment=VPN interface=vpn-casa network=\
192.168.100.0
add address=192.168.30.1/24 interface=vlan-guests network=192.168.30.0

/ip dhcp-server network
add address=192.168.10.0/24 comment=Lan dns-server=192.168.10.5 gateway=\
192.168.10.1
add address=192.168.30.0/24 gateway=192.168.30.1

- - - - - - - - - - - - - - -

El resultado: puedo conectar a la red correctamente, tengo acceso a internet, pero sigo pudiendo acceder a los dispositivos de otras subredes: 192.168.10.x, en este caso.

¿En qué he fallado en este caso?
 
La regla de firewall que impide que las VLANs se conecten a anda que no sea internet. Delante de esta regla, pondremos sus exepciones.
Código:
/interface list
add name=VLANS
/interface list member
add interface=vlan-guests list=VLANS
/ip firewall filter
add action=reject chain=forward comment="vlans: can only access internet" in-interface-list=\
    VLANS out-interface-list=!WAN reject-with=icmp-network-unreachable
Esto es así porque, como te comentaba antes, las VLANs son una cosa de un switch, no de un router. Y, por defecto, mikrotik las comunica todas entre sí (hace forwarding automático entre vlans) cuando las das de alta a nivel de router.


Por otro lado, necesitas trabajar en un único bridge si vas a querer pasar un sólo cable al switch. Puedes crear un segundo bridge de apoyo, como loopback, para crearle una IP y conectarte al router usando dicha IP (configurando una de ese segmento manualmente en tu tarjeta de red). De esta manera, una vez muevas tu LAN a una VLAN, borrarías ese bridge quedando únicamente uno. Vas a perder el hardware offloading, porque el hAP-ac2 no soporta dicha funcionalidad cuando usas vlan filtering en el bridge, pero si quieres el setup que planteas, no te queda otra.
Una vez pasada tu LAN a VLAN, recuerda actualizar la lista LAN, para no perder acceso en input al router (donde ponías interface=bridge, list=LAN, ahora sería interface=vlan-lan, list =LAN).

Además, te puedes ahorrar una cosa a nivel inalámbrico. Ahora mismo estás diciendo que el puerto inalámbrico es taggueado y sin taggear a la vez. Si lo declaras en la lista de bridge vlans como tagged, has de marcarlo como tienes en la interfaz inalámbrica, como vlan-id=30 mode=use tag. Sin embargo, como a todas luces ese puerto es acceso, basta con que mapees el puerto con su PVID correspondiente (como también has hecho) y tagges la vlan sólo en el bridge, sin tocar la parte de la interfaz inalámbrica. Quedaría así:
Código:
# Wifi, sin el use tag
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-g/n country=spain \
default-authentication=no disabled=no distance=indoors frequency=2437 \
mode=ap-bridge name=wlan1-2g security-profile=protegido ssid=\
<OCULTO>wps-mode=disabled
set [ find default-name=wlan2 ] band=5ghz-n/ac channel-width=20/40/80mhz-eCee \
country=spain default-authentication=no disabled=no distance=indoors \
frequency=5200 mode=ap-bridge name=wlan2-5g security-profile=protegido \
ssid=<OCULTO>-5G wps-mode=disabled
add default-authentication=no disabled=no keepalive-frames=disabled \
mac-address=<OCULTO> master-interface=wlan1-2g \
multicast-buffering=disabled name=wlan3-2g security-profile=invitados \
ssid=<OCULTO>  wds-cost-range=0 wds-default-cost=0 wps-mode=disabled

# Bridge vlan filtering, con la vlan taggeada sólo sobre el bridge
/interface bridge vlan
add bridge=bridge-vlans tagged=bridge-vlans vlan-ids=30

# Puerto en el bridge, asociado a la vlan30 en modo acceso (tal y como lo tienes ya)
/interface bridge port
add bridge=bridge-vlans interface=wlan3-2g pvid=30

Saludos!
 
He intentado, pero no logro montar todo, porque hay algunas cosas que se me escapan. Se que es mucho pedir, y además con lo de la VPN del otro hilo.

Pero, pediría el favor de, si es posible, obtener el setup completo para reconvertir mi configuración actual de red a una con VLANs, coincidiendo en lo posible, con lo comentado sobre el diagrama 2. O al menos con los ajustes necesarios solo para algunas de las VLANs, para luego yo, poder replicar las restantes en base a cómo se crearon el resto.

Aquí expongo mi configuración actual:
Código:
/interface bridge
add admin-mac=<OCULTO> auto-mac=no name=bridge

/interface ethernet
set [ find default-name=ether1 ] name=ether1-wan
set [ find default-name=ether2 ] name=ether2-switch
set [ find default-name=ether3 ] name=ether3-ap

/interface wireguard
add listen-port=51820 mtu=1420 name=vpn-casa
add listen-port=51821 mtu=1420 name=vpn-amigo

/interface vlan
add interface=ether1-wan name=vlan-isp vlan-id=832

/interface list
add name=WAN
add name=LAN
add name=VLANS

/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk mode=dynamic-keys name=protegido \
    supplicant-identity=""
add authentication-types=wpa2-psk mode=dynamic-keys name=invitados \
    supplicant-identity=""

/interface wireless
set [ find default-name=wlan1 ] band=2ghz-g/n country=spain \
    default-authentication=no disabled=no distance=indoors frequency=2437 \
    mode=ap-bridge name=wlan1-2g security-profile=protegido ssid=\
    <OCULTO> wps-mode=disabled
set [ find default-name=wlan2 ] band=5ghz-n/ac channel-width=20/40/80mhz-eCee \
    country=spain default-authentication=no disabled=no distance=indoors \
    frequency=5200 mode=ap-bridge name=wlan2-5g security-profile=protegido \
    ssid=<OCULTO>-5G wps-mode=disabled

/ip pool
add name=pool-lan ranges=192.168.10.11-192.168.10.254

/ip dhcp-server
add address-pool=pool-lan interface=bridge name=dhcp-bridge

/interface bridge port
add bridge=bridge interface=ether2-switch
add bridge=bridge interface=ether3-ap
add bridge=bridge interface=ether4
add bridge=bridge interface=ether5
add bridge=bridge interface=wlan1-2g
add bridge=bridge interface=wlan2-5g

/ip neighbor discovery-settings
set discover-interface-list=LAN

/interface list member
add interface=bridge list=LAN
add interface=ether1-wan list=WAN
add interface=*F list=LAN
add interface=vpn-casa list=LAN

/interface wireguard peers
add allowed-address=192.168.100.2/32 comment="Redmi Note 7" interface=\
    vpn-casa public-key="<OCULTO>"
add allowed-address=192.168.100.3/32 comment="Portatil" interface=vpn-casa \
    public-key="<OCULTO>"
add allowed-address=192.168.101.2/32 comment=Amigo interface=vpn-amigo \
    public-key="<OCULTO>"

/ip address
add address=192.168.10.1/24 comment=Lan interface=bridge network=192.168.10.0
add address=192.168.100.1/24 comment=VPN interface=vpn-casa network=\
    192.168.100.0
add address=192.168.101.1/24 interface=vpn-amigo network=192.168.101.0

/ip dhcp-client
add comment=defconf interface=vlan-isp use-peer-dns=no
    
/ip dhcp-server network
add address=192.168.10.0/24 comment=Lan dns-server=192.168.10.5 gateway=\
    192.168.10.1

/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" disabled=yes \
    dst-address=127.0.0.1
add action=accept chain=input comment=vpn dst-port=51820,51821 protocol=udp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    disabled=yes ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    disabled=yes ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=accept chain=forward dst-address=192.168.10.2 dst-port=8096 \
    protocol=tcp src-address=192.168.101.0/24
add action=accept chain=forward dst-address=192.168.10.3 dst-port=10019 \
    protocol=tcp src-address=192.168.101.0/24
add action=reject chain=forward reject-with=icmp-network-unreachable \
    src-address=192.168.101.0/24

/ip firewall nat
add action=masquerade chain=srcnat comment="NAT Loopback (2)" disabled=yes \
    dst-address=192.168.1.0/24 src-address=192.168.1.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface=vlan-isp
add action=dst-nat chain=dstnat comment=qBittorrent dst-port=6881 \
    in-interface=vlan-isp protocol=tcp to-addresses=192.168.10.2 to-ports=\
    6881
add action=dst-nat chain=dstnat comment="Nginx Proxy (1)" disabled=yes \
    dst-port=80 in-interface=vlan-isp protocol=tcp to-addresses=192.168.10.3 \
    to-ports=10080
add action=dst-nat chain=dstnat comment="Nginx Proxy (2)" disabled=yes \
    dst-port=443 in-interface=vlan-isp protocol=tcp to-addresses=192.168.10.3 \
    to-ports=10443
add action=dst-nat chain=dstnat comment="NAT Loopback (1)" disabled=yes \
    dst-address-list=public-ip dst-port=443 protocol=tcp to-addresses=\
    192.168.1.125 to-ports=10443

/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6

/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN

/system ntp client
set enabled=yes

/tool mac-server
set allowed-interface-list=LAN

/tool mac-server mac-winbox
set allowed-interface-list=LAN

Infinitas gracias.
 
Última edición:
He intentado, pero no logro montar todo, porque hay algunas cosas que se me escapan. Se que es mucho pedir, y además con lo de la VPN del otro hilo.

Pero, pediría el favor de, si es posible, obtener el setup completo para reconvertir mi configuración actual de red a una con VLANs, coincidiendo en lo posible, con lo comentado sobre el diagrama 2. O al menos con los ajustes necesarios solo para algunas de las VLANs, para luego yo, poder replicar las restantes en base a cómo se crearon el resto.

Aquí expongo mi configuración actual:
Código:
/interface bridge
add admin-mac=<OCULTO> auto-mac=no name=bridge

/interface ethernet
set [ find default-name=ether1 ] name=ether1-wan
set [ find default-name=ether2 ] name=ether2-switch
set [ find default-name=ether3 ] name=ether3-ap

/interface wireguard
add listen-port=51820 mtu=1420 name=vpn-casa
add listen-port=51821 mtu=1420 name=vpn-amigo

/interface vlan
add interface=ether1-wan name=vlan-isp vlan-id=832

/interface list
add name=WAN
add name=LAN
add name=VLANS

/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk mode=dynamic-keys name=protegido \
    supplicant-identity=""
add authentication-types=wpa2-psk mode=dynamic-keys name=invitados \
    supplicant-identity=""

/interface wireless
set [ find default-name=wlan1 ] band=2ghz-g/n country=spain \
    default-authentication=no disabled=no distance=indoors frequency=2437 \
    mode=ap-bridge name=wlan1-2g security-profile=protegido ssid=\
    <OCULTO> wps-mode=disabled
set [ find default-name=wlan2 ] band=5ghz-n/ac channel-width=20/40/80mhz-eCee \
    country=spain default-authentication=no disabled=no distance=indoors \
    frequency=5200 mode=ap-bridge name=wlan2-5g security-profile=protegido \
    ssid=<OCULTO>-5G wps-mode=disabled

/ip pool
add name=pool-lan ranges=192.168.10.11-192.168.10.254

/ip dhcp-server
add address-pool=pool-lan interface=bridge name=dhcp-bridge

/interface bridge port
add bridge=bridge interface=ether2-switch
add bridge=bridge interface=ether3-ap
add bridge=bridge interface=ether4
add bridge=bridge interface=ether5
add bridge=bridge interface=wlan1-2g
add bridge=bridge interface=wlan2-5g

/ip neighbor discovery-settings
set discover-interface-list=LAN

/interface list member
add interface=bridge list=LAN
add interface=ether1-wan list=WAN
add interface=*F list=LAN
add interface=vpn-casa list=LAN

/interface wireguard peers
add allowed-address=192.168.100.2/32 comment="Redmi Note 7" interface=\
    vpn-casa public-key="<OCULTO>"
add allowed-address=192.168.100.3/32 comment="Portatil" interface=vpn-casa \
    public-key="<OCULTO>"
add allowed-address=192.168.101.2/32 comment=Amigo interface=vpn-amigo \
    public-key="<OCULTO>"

/ip address
add address=192.168.10.1/24 comment=Lan interface=bridge network=192.168.10.0
add address=192.168.100.1/24 comment=VPN interface=vpn-casa network=\
    192.168.100.0
add address=192.168.101.1/24 interface=vpn-amigo network=192.168.101.0

/ip dhcp-client
add comment=defconf interface=vlan-isp use-peer-dns=no
   
/ip dhcp-server network
add address=192.168.10.0/24 comment=Lan dns-server=192.168.10.5 gateway=\
    192.168.10.1

/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" disabled=yes \
    dst-address=127.0.0.1
add action=accept chain=input comment=vpn dst-port=51820,51821 protocol=udp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    disabled=yes ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    disabled=yes ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=accept chain=forward dst-address=192.168.10.2 dst-port=8096 \
    protocol=tcp src-address=192.168.101.0/24
add action=accept chain=forward dst-address=192.168.10.3 dst-port=10019 \
    protocol=tcp src-address=192.168.101.0/24
add action=reject chain=forward reject-with=icmp-network-unreachable \
    src-address=192.168.101.0/24

/ip firewall nat
add action=masquerade chain=srcnat comment="NAT Loopback (2)" disabled=yes \
    dst-address=192.168.1.0/24 src-address=192.168.1.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface=vlan-isp
add action=dst-nat chain=dstnat comment=qBittorrent dst-port=6881 \
    in-interface=vlan-isp protocol=tcp to-addresses=192.168.10.2 to-ports=\
    6881
add action=dst-nat chain=dstnat comment="Nginx Proxy (1)" disabled=yes \
    dst-port=80 in-interface=vlan-isp protocol=tcp to-addresses=192.168.10.3 \
    to-ports=10080
add action=dst-nat chain=dstnat comment="Nginx Proxy (2)" disabled=yes \
    dst-port=443 in-interface=vlan-isp protocol=tcp to-addresses=192.168.10.3 \
    to-ports=10443
add action=dst-nat chain=dstnat comment="NAT Loopback (1)" disabled=yes \
    dst-address-list=public-ip dst-port=443 protocol=tcp to-addresses=\
    192.168.1.125 to-ports=10443

/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6

/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN

/system ntp client
set enabled=yes

/tool mac-server
set allowed-interface-list=LAN

/tool mac-server mac-winbox
set allowed-interface-list=LAN

Infinitas gracias.
Mañana le echamos un rato y lo ponemos bonito.

Saludos!
 
Te paso la configuración para pasar a vlans. Antes de ejecutarla, guarda backup y export de lo que tienes. Está basado en lo que me has mandado, así que si hay algún cambio desde ese export, puede que no funcione.

Para meterlo, simplemente copia y pega el contenido a un fichero con extensión .rsc, lo subes al router vía winbox (arrastrar y soltar) y, desde terminal, importas el fichero con el comando import fichero.rsc

Si no he metido ninguna errata en el código, en el log tendrás un mensaje "Configuracion correctamente migrada a vlans". Si falla, te tocará restaurar la copia de seguridad (el backup) y tendremos que ver en qué línea falló para corregirlo y repetir la operación.

Código:
/interface vlan
add interface=bridge name=vlan-home vlan-id=10
add interface=bridge name=vlan-domotica vlan-id=20
add interface=bridge name=vlan-invitados vlan-id=30 arp=reply-only
/interface list
set [find name=VLANS] name=ISOLATED
/interface list member
add interface=vlan-home list=LAN
add interface=vlan-domotica list=ISOLATED
add interface=vlan-invitados list=ISOLATED
/interface wireless security-profiles
add copy-from=invitados name=domotica authentication-types=wpa2-psk wpa2-pre-shared-key="d0m0t1k4!"
/interface wireless
add master-interface=wlan1-2g name=wlan1-2g-domotica security-profile=\
  domotica ssid=WIFIDOMO
add master-interface=wlan1-2g name=wlan1-2g-invitados security-profile=\
  invitados ssid=WIFINVI
/interface bridge vlan
add bridge=bridge comment=home tagged=bridge,ether2 vlan-ids=10
add bridge=bridge comment=domotica tagged=bridge,ether2 vlan-ids=20
add bridge=bridge comment=invitados tagged=bridge vlan-ids=30
/interface bridge port
set [find interface=ether2-switch] frame-types=admit-only-vlan-tagged
set [find interface=ether3-ap] frame-types=admit-only-untagged-and-priority-tagged pvid=10
set [find interface=ether4] frame-types=admit-only-untagged-and-priority-tagged pvid=10
set [find interface=ether5] frame-types=admit-only-untagged-and-priority-tagged pvid=10
set [find interface=wlan1-2g] frame-types=admit-only-untagged-and-priority-tagged pvid=10
set [interface=wlan2-5g] frame-types=admit-only-untagged-and-priority-tagged pvid=10
add [interface=wlan1-2g-domotica] frame-types=admit-only-untagged-and-priority-tagged pvid=20
add [interface=wlan1-2g-invitados] frame-types=admit-only-untagged-and-priority-tagged pvid=30
/ip address
set [find interface=bridge] interface=vlan-home
add address=192.168.20.1/24 interface=vlan-domotica
add address=192.168.30.1/24 interface=vlan-invitados
/ip pool
set [find name=pool-lan] name=pool-home
add name=pool-domotica ranges=192.168.20.11-192.168.20.254
add name=pool-invitados ranges=192.168.30.11-192.168.30.254
/ip dhcp-server
set [find interface=bridge] interface=vlan-home name=dhcp-home
add address-pool=pool-domotica interface=vlan-domotica name=dhcp-domotica
add address-pool=pool-invitados interface=vlan-invitados name=dhcp-invitados add-arp=yes
/ip dhcp-server network
set [find comment=Lan] dns-server=192.168.10.5,192.168.10.1 comment=home
add address=192.168.20.0/24 comment=domotica dns-server=8.8.8.8,8.8.4.4 gateway=\
  192.168.20.1
add address=192.168.30.0/24 comment=invitados dns-server=8.8.8.8,8.8.4.4 gateway=\
  192.168.30.1 netmask=32
/ip firewall filter
add action=reject chain=forward comment="vlans: invitados y domotica solo acceden a internet" \
  in-interface-list=ISOLATED out-interface-list=!WAN reject-with=\
  icmp-network-unreachable
/interface bridge
set [find name=bridge] vlan-filtering=yes frame-types=admit-only-vlan-tagged
/log info "Configuracion correctamente migrada a vlans"

Saludos!
 
Te paso la configuración para pasar a vlans. Antes de ejecutarla, guarda backup y export de lo que tienes. Está basado en lo que me has mandado, así que si hay algún cambio desde ese export, puede que no funcione.

Para meterlo, simplemente copia y pega el contenido a un fichero con extensión .rsc, lo subes al router vía winbox (arrastrar y soltar) y, desde terminal, importas el fichero con el comando import fichero.rsc

Si no he metido ninguna errata en el código, en el log tendrás un mensaje "Configuracion correctamente migrada a vlans". Si falla, te tocará restaurar la copia de seguridad (el backup) y tendremos que ver en qué línea falló para corregirlo y repetir la operación.
Había decidido ponerme con ello este fin de semana, que no arriesgarme a tener un problema entre semana.
Pues bien, me he dispuesto a importar el script, pero me comunica que hay un error de sintaxis en la línea 28, correspondiente, aparentemente, al símbolo '=' de esa línea. Por tanto, no me deja continuar con el proceso.

Tras intentar ejecutar esa linea por separado, desde la terminal, lo mismo:
394860396305.JPG


Se me olvidó indicar que estoy en la última versión 7.6 de ROS, quizás haya cambiado algo con respecto a la anterior 7.5?

Update: Faltaba 'find', por lo tanto, no podía encontrar dicha interfaz. Pero, ahora falla las siguientes (29) con los corchetes.
Update2: He decidido hacerlo a mano, comando a comando. He podido. Solo falta probar y revisar todo. Ya volveré a comentar, quizás mañana, cómo ha ido.
 
Última edición:
Ves corrigiéndolo hasta que importe de un tirón. Pero, entre cada import, restaura el router a su configuración anterior, restaurando el backup que tengas.

Saludos!
 
Hola pokoyo, te cuento, después de probar un tiempo más...

Tuve que modificar el funcionamiento de la regla vlan20/30: solo acceso internet (vlans: invitados y domotica solo acceden a internet), pues la que me habías puesto en el script no bloqueaba el acceso de ninguna. Cambié el 'Out. Interface List' de !WAN a LAN, eliminando esa negación, y ahora funciona.
Bash:
# Línea original, no bloquea.
/ip firewall filter
add action=reject chain=forward comment="vlans: invitados y domotica solo acceden a internet" \
  in-interface-list=ISOLATED out-interface-list=!WAN reject-with=\
  icmp-network-unreachable

# Línea modificada, bloquea.
add action=reject chain=forward comment="vlan20/30: solo acceso internet" \
  in-interface-list=ISOLATED out-interface-list=LAN reject-with=\
  icmp-network-unreachable

Dió el caso que, desde que me importé tu script, y lo fui ajustando a mis necesidades, no volví a acceder por VPN a mis dispositivos. Por tanto, había pasado por alto que dicha conexión dejó de funcionar. El otro día me dispuse a conectar desde fuera, y me percaté de ello. Al volver a casa estuve probando varias combinaciones, como: crear regla de forward de la dirección vpn en cuestión a la subred de la VLAN a la que queria acceder, cambiar de posición, y nada. Se necesitaba hacer algo en particular con el tema de la VPN? A continuación, export de cómo tengo el firewall:
Código:
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" disabled=yes \
    dst-address=127.0.0.1
add action=accept chain=input comment=vpn dst-port=wg-port1,wg-port2 protocol=udp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    disabled=yes ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    disabled=yes ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=accept chain=forward comment="vpn-amigo: acceso a bookstack" \
    dst-address=192.168.10.3 dst-port=10019 protocol=tcp src-address=\
    192.168.101.0/24
add action=drop chain=forward comment=\
    "vpn-amigo: sin acceso al resto de la red e internet" src-address=\
    192.168.101.0/24
add action=accept chain=forward comment=\
    "spl-rpi-2: acceso a vlan10 (base de datos)" dst-address=192.168.10.3 \
    src-address=192.168.20.2
add action=accept chain=forward comment="spl-rpi-2: acceso a internet" \
    src-address=192.168.20.2
add action=drop chain=forward comment=\
    "vlan20: bloquear acceso internet (iot)" src-address=\
    192.168.20.0/24
add action=drop chain=forward comment="vlan20/30: solo acceso internet" \
    in-interface-list=ISOLATED out-interface-list=LAN

Nota: Se que con las reglas anteriores para bloquear/permitir el acceso a la VLAN principal y bloquear acceso a internet, no haría nada la última (vlan20/30: solo acceso a internet). Lo tengo que ajustar eso aún.
 
Última edición:
He vuelto a reestructurar las reglas de las vlans, sobretodo las correspondientes a la VLAN20 (IoT), y creo haber corregido lo que había hecho que no me funcionaba correctamente. (no lo había publicado aquí)
Tuve que modificar el funcionamiento de la regla vlan20/30: solo acceso internet (vlans: invitados y domotica solo acceden a internet), pues la que me habías puesto en el script no bloqueaba el acceso de ninguna. Cambié el 'Out. Interface List' de !WAN a LAN, eliminando esa negación, y ahora funciona.
Bash:
# Línea original, no bloquea.
/ip firewall filter
add action=reject chain=forward comment="vlans: invitados y domotica solo acceden a internet" \
  in-interface-list=ISOLATED out-interface-list=!WAN reject-with=\
  icmp-network-unreachable

# Línea modificada, bloquea.
add action=reject chain=forward comment="vlan20/30: solo acceso internet" \
  in-interface-list=ISOLATED out-interface-list=LAN reject-with=\
  icmp-network-unreachable
Dicho grupo de reglas me quedó de la siguiente manera:
Bash:
# Permito a HA acceder a su DB externa ubicada en un servidor de la VLAN10.
add action=accept chain=forward comment=\
    "spl-rpi-2: permitir acceso vlan10 (db home assistant)" dst-address=\
    192.168.10.3 dst-port=3307 protocol=tcp src-address=192.168.20.2
# Permitir a HA acceder a internet dentro de su propia red.
add action=accept chain=forward comment=\
    "spl-rpi-2: permitir acceso internet (home assistant)" src-address=\
    192.168.20.2
# Bloquear todo acceso que intente hacerse desde la VLAN20 hacia fuera (local).
add action=drop chain=forward comment="vlan20: bloquear acceso a lan" \
    in-interface=vlan-iot out-interface-list=LAN
# Bloquear todo acceso que intente salir a internet en la VLAN20.
add action=drop chain=forward comment="vlan20: bloquear acceso a internet" \
    in-interface=vlan-iot out-interface=vlan-isp
Y, aparentemente, todo funciona correctamente, y como deseaba.

Notas:
- He decidido retirar la VLAN20 de la lista de interfaces (ISOLATED), porque ahora se comporta de manera distinta a la de invitados, quedando ésta sin conexión al exterior (internet), pero permitiendo a su servidor seguir teniendo acceso: updates, integraciones, etc. Cosa que no pasaría en la red de invitados. Por ello, he creado reglas independientes para dicha VLAN, aunque haya acabado con varias.

- - - - - - - - - - - - - - - - - - - - -

Y, con respecto al tema de poder acceder a mi red LAN por VPN, sigo sin poder encontrar la solución.
Aprovecho para actualizar el estado de mi cortafuegos con los cambios anteriormente mencionados:
Bash:
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" disabled=yes \
    dst-address=127.0.0.1
add action=accept chain=input comment=vpn dst-port=vpn-port1,vpn-port2 protocol=udp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    disabled=yes ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    disabled=yes ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=accept chain=forward comment="vpn-amigo: acceso a bookstack" \
    dst-address=192.168.10.3 dst-port=10019 protocol=tcp src-address=\
    192.168.101.0/24
add action=drop chain=forward comment=\
    "vpn-amigo: sin acceso al resto de la red e internet" src-address=\
    192.168.101.0/24
add action=accept chain=forward comment=\
    "spl-rpi-2: permitir acceso vlan10 (db home assistant)" dst-address=\
    192.168.10.3 dst-port=3307 protocol=tcp src-address=192.168.20.2
add action=accept chain=forward comment=\
    "spl-rpi-2: permitir acceso internet (home assistant)" src-address=\
    192.168.20.2
add action=drop chain=forward comment="vlan20: bloquear acceso a lan" \
    in-interface=vlan-iot out-interface-list=LAN
add action=drop chain=forward comment="vlan20: bloquear acceso a internet" \
    in-interface=vlan-iot out-interface=vlan-isp
add action=drop chain=forward comment="vlan20/30: solo acceso internet" \
    disabled=yes in-interface-list=ISOLATED out-interface-list=!LAN

Notas:
- La última regla la tengo deshabilitada porque aún no la he ajustado, por tanto, no está en uso. La mantengo, simplemente, como referencia de tu configuración.
 
Perdona compi, que hasta ahora no había sacado un rato para revisar lo tuyo.
Tuve que modificar el funcionamiento de la regla vlan20/30: solo acceso internet (vlans: invitados y domotica solo acceden a internet), pues la que me habías puesto en el script no bloqueaba el acceso de ninguna. Cambié el 'Out. Interface List' de !WAN a LAN, eliminando esa negación, y ahora funciona.
Esto no es correcto. Si esa regla no funciona, hay que ver el porqué, pero recuerda que, en forward, todo lo que no bloquees explícitamente, está aceptado (es el comportamiento por defecto del firewall).
Revisando tu export original, veo que has modificado la regla de masquerde que aplicaba a la lista WAN y ahora aplica directamente a la interfaz vlan. Al mirar los miembros de la lista WAN, veo que, en lugar de tener la interfaz VLAN por donde te llega realmente internet, tienes el puerto físico ether1. Esa es la razón por la cual esa regla no funciona.

Para el tema de la VPN: revisa las listas de direcciones. De tu último export, veo esto:
Código:
/interface list member
add interface=bridge list=LAN
add interface=ether1-wan list=WAN
add interface=*F list=LAN
add interface=vpn-casa list=LAN

Esas listas, deberían estar así (cosiderando que la "vlan-home" aún no la has puesto a funcionar y que todo sigue a nivel de bridge como tráfico untagged)
Código:
/interface list member
add interface=vlan-isp list=WAN
add interface=bridge list=LAN
add interface=vpn-casa list=LAN
add interface=vlan-domotica list=ISOLATED
add interface=vlan-invitados list=ISOLATED

Y, tu firewall, de momento, con una única regla adicional (ahora después ajustaremos el tema de domótica/invitados). Basándome en lo primero que me pasaste y quitando las reglas que tienes deshabilitadas, el firewall debería quedar así:
Código:
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=vpn dst-port=wg-port1,wg-port2 protocol=udp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=reject chain=forward comment="vlans: invitados y domotica solo acceden a internet" \
  in-interface-list=ISOLATED out-interface-list=!WAN reject-with=\
  icmp-network-unreachable

Y, tu NAT, debería quedar así (luego metermos las reglas que necesites, hairpin... etc)
Código:
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN

Confírmame que eso funciona, VPN incluída, y seguimos con el resto.

Saludos!
 
Última edición:
Perdón debería de pedirte yo por el tiempo que me estás dando hehe. Enormemente agradecido ;)
Perdona compi, que hasta ahora no había sacado un rato para revisar lo tuyo.

Tienes razón, es más, durante el proceso de transición a VLANS, dicha interfaz (en las listas) no fue modificada. Se mantuvo intacta, pues originalmente, la tenía de ese modo.
Y, con respecto a la regla del NAT, ni recuerdo haberla modificado :ROFLMAO:. Originalmente, cuando no tenia las vlans implementadas la tenía como: out-interface=vlan832 (luego renombrada a vlan-isp).
Ya he aplicado la correción, cambiando 'ether1-wan' a 'vlan-isp' para la WAN.
Revisando tu export original, veo que has modificado la regla de masquerde que aplicaba a la lista WAN y ahora aplica directamente a la interfaz vlan. Al mirar los miembros de la lista WAN, veo que, en lugar de tener la interfaz VLAN por donde te llega realmente internet, tienes el puerto físico ether1. Esa es la razón por la cual esa regla no funciona.

Para el tema de la VPN: revisa las listas de direcciones. De tu último export, veo esto:
Código:
/interface list member
add interface=bridge list=LAN
add interface=ether1-wan list=WAN
add interface=*F list=LAN
add interface=vpn-casa list=LAN

Esas listas, deberían estar así (cosiderando que la "vlan-home" aún no la has puesto a funcionar y que todo sigue a nivel de bridge como tráfico untagged)
Código:
/interface list member
add interface=vlan-isp list=WAN
add interface=bridge list=LAN
add interface=vpn-casa list=LAN
add interface=vlan-domotica list=ISOLATED
add interface=vlan-invitados list=ISOLATED

Ajuste aplicado, y funcionando correctamente, en este caso y por el momento, para la red de invitados (solo). Me permite salir a internet usando las DNS públicas, y no tengo acceso a la LAN, ni al resto de redes.
Y, tu firewall, de momento, con una única regla adicional (ahora después ajustaremos el tema de domótica/invitados). Basándome en lo primero que me pasaste y quitando las reglas que tienes deshabilitadas, el firewall debería quedar así:
Código:
/ip firewall filter
(...)
add action=reject chain=forward comment="vlans: invitados y domotica solo acceden a internet" \
  in-interface-list=ISOLATED out-interface-list=!WAN reject-with=\
  icmp-network-unreachable

Lo he dejado tal como lo tenia antes, pues entiendo que actuaría igual que si lo pusiese sobre la lista de interfaz WAN. Total, solo tengo una interfaz asociada a esa lista, por lo que entiendo que apuntar directamente a la interfaz, manualmente, no cambia nada. Es decir: out-interface=vlan-isp es igual a out-interface-list=WAN, o no estoy errado?
Por otra parte, ¿cabe la posibilidad de que te hayas equivocado, y quisiste indicar en el script 'out-interface-list=WAN'?
Y, tu NAT, debería quedar así (luego metermos las reglas que necesites, hairpin... etc)
Código:
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface=WAN

Por una parte, confirmo lo siguiente:
- Usuarios conectados a la red invitados, con la regla firewall re-editada, pueden acceder a internet usando DNS públicos, pero sin acceso al resto de redes.
- La VPN ya me funciona.

Por otra:
Con respecto al VPN, no me había percatado que se me pasó modificar el script que tenía para actualizar los dominios DDNS (uso un servicio externo al de MT), cuando cambié todo a VLANs, pues, había una sección del mismo que apuntaba a la interfaz 'vlan832', la cual ya no coincidia porque la había renombrado. Además, coincidió que hace 2 semanas que renové mi plan del ISP (sustitución de router/ont), por lo que mi IP pública ya no era la misma. Ahí radicaba el problema principal, pues nunca iba a llegar a mi router desde fuera.
Confírmame que eso funciona, VPN incluída, y seguimos con el resto.
 
Lo he dejado tal como lo tenia antes, pues entiendo que actuaría igual que si lo pusiese sobre la lista de interfaz WAN. Total, solo tengo una interfaz asociada a esa lista, por lo que entiendo que apuntar directamente a la interfaz, manualmente, no cambia nada. Es decir: out-interface=vlan-isp es igual a out-interface-list=WAN, o no estoy errado?
Por otra parte, ¿cabe la posibilidad de que te hayas equivocado, y quisiste indicar en el script 'out-interface-list=WAN'?
Correcto todo. Corregido mi comentario. Y sí, si sólo vas a usar una WAN, lo mismo te da. Pero facilita mucho la lectura, puesto que unifica los comandos de firewall y nat (para todos iguales), independientemente de si tu WAN viene por un DHCP sobre una interfaz física, una VLAN o un cliente PPP. Pero déjalo como más te guste, mientras lo entiendas.

Por una parte, confirmo lo siguiente:
- Usuarios conectados a la red invitados, con la regla firewall re-editada, pueden acceder a internet usando DNS públicos, pero sin acceso al resto de redes.
- La VPN ya me funciona.
Perfecto.

Por otra:
Con respecto al VPN, no me había percatado que se me pasó modificar el script que tenía para actualizar los dominios DDNS (uso un servicio externo al de MT), cuando cambié todo a VLANs, pues, había una sección del mismo que apuntaba a la interfaz 'vlan832', la cual ya no coincidia porque la había renombrado. Además, coincidió que hace 2 semanas que renové mi plan del ISP (sustitución de router/ont), por lo que mi IP pública ya no era la misma. Ahí radicaba el problema principal, pues nunca iba a llegar a mi router desde fuera.
Bien visto, esa era complicada de adivinar por mi lado. Aunque uses uno externo, te recomiendo tener activado también el DDNS (a partir de él se actualiza también automáticamente la hora) como backup. Así, si te falla uno, siempre puedes tirar del otro.

Saludos!
 
Arriba