Ayuda para crear Vlans en mi red

Hola, si alguien pudiera ayudarme a crear una nueva estructura en mi red ahora que tengo desde el lunes unos días libres se lo agradecería.
Actualmente tengo un Mikrotik RB4011 con dos bridges ( uno para IPTV y el otro para mi LAN) me gustaría hacer unos cambios con el objetivo de crear una red para invitados e IOT y otra para mi Lan además de poder hacer llegar la conexion IPTV de Movistar al Switch gestionable para dar señal a otro deco que se encuentra en mi habitación por lo que supongo que debería hacerlo todo en un bridge.
La red IOT y de invitados sólo necesitaría que llegara al AP Unifi por el puerto SFP-plus


Diagrama sin título.drawio(3).png

Mi export actual del mikrotik es:

Código:
/interface bridge
add name=Bridge
add igmp-snooping=yes mtu=1500 name=IPTV-Bridge protocol-mode=none
add admin-mac=74:4D:28:85:F2:31 auto-mac=no name=bridge-loopback
/interface ethernet
set [ find default-name=ether1 ] name=Gateway-e1
set [ find default-name=ether2 ] name=LAN-e2
set [ find default-name=ether3 ] name=LAN-e3
set [ find default-name=ether4 ] name=LAN-e4
set [ find default-name=ether5 ] name=LAN-e5
set [ find default-name=ether6 ] name=LAN-e6
set [ find default-name=ether7 ] name=LAN-e7
set [ find default-name=ether8 ] name=LAN-e8
set [ find default-name=ether9 ] name=LAN-e9
set [ find default-name=ether10 ] comment="Nintendo switch" name=LAN-e10
set [ find default-name=sfp-sfpplus1 ] advertise=10000M-full \
    auto-negotiation=no
/interface wireguard
add listen-port=15535 mtu=1420 name=nordvpn
add listen-port=12345 mtu=1420 name=wireguard-rw
add listen-port=12347 mtu=1420 name=wireguard-sts-eoip
/interface eoip
add local-address=172.16.0.1 mac-address=FE:01:D1:F3:8D:FC mtu=1500 name=\
    eoip-tunnel-over-wg-sts remote-address=172.16.0.2 tunnel-id=0
/interface vlan
add interface=Gateway-e1 name=Internet-vlan6 vlan-id=6
add interface=Gateway-e1 name=Iptv-vlan2 vlan-id=2
add disabled=yes interface=Gateway-e1 name=Voip-vlan3 vlan-id=3
/interface pppoe-client
add add-default-route=yes allow=pap,chap disabled=no interface=Internet-vlan6 \
    keepalive-timeout=60 max-mru=1492 max-mtu=1492 name=pppoe-out1 user=\
    adslppp@telefonicanetpa
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add comment="Vlan2 (Iptv) & Vlan3 (Voip)" name=Vlan2&3
add name=IOT
add name=VPN
/ip dhcp-server option
add code=240 name=Movistar_decoder_option value=\
    "':::::239.0.2.10:22222:v6.0:239.0.2.30:22222'"
/ip pool
add comment="Pool for IPTV-Bridge subnet, common hosts (192.168.88.2-126)" \
    name=IPTV-subnet-pool ranges=192.168.10.50-192.168.10.126
add comment="Pool for IPTV-bridge subnet, Movistar Decoders" name=\
    IPTV-decoder-pool ranges=192.168.10.200-192.168.10.206
add name=pool-bridge ranges=192.168.88.30-192.168.88.126
/ip dhcp-server
add address-pool=IPTV-subnet-pool interface=IPTV-Bridge lease-time=22h name=\
    IPTV-dhcp-server
add address-pool=pool-bridge interface=Bridge lease-time=30m name=server1
/port
set 0 name=serial0
set 1 name=serial1
/routing rip instance
add afi=ipv4 disabled=no name=rip
/routing table
add fib name=nordvpn
/system logging action
set 0 memory-lines=100
/interface bridge port
add bridge=IPTV-Bridge ingress-filtering=no interface=LAN-e2
add bridge=Bridge ingress-filtering=no interface=LAN-e5
add bridge=Bridge ingress-filtering=no interface=LAN-e6
add bridge=Bridge ingress-filtering=no interface=LAN-e7
add bridge=Bridge ingress-filtering=no interface=LAN-e8
add bridge=Bridge comment="nintendo switch" ingress-filtering=no interface=\
    LAN-e10
add bridge=Bridge ingress-filtering=no interface=LAN-e9
add bridge=Bridge ingress-filtering=no interface=sfp-sfpplus1
add bridge=IPTV-Bridge ingress-filtering=no interface=LAN-e3
add bridge=Bridge ingress-filtering=no interface=LAN-e4
add bridge=IPTV-Bridge interface=eoip-tunnel-over-wg-sts
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ip settings
set max-neighbor-entries=8192 tcp-syncookies=yes
/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192
/interface list member
add interface=Gateway-e1 list=WAN
add interface=pppoe-out1 list=WAN
add interface=Iptv-vlan2 list=Vlan2&3
add interface=Voip-vlan3 list=Vlan2&3
add interface=IPTV-Bridge list=LAN
add interface=Bridge list=LAN
add interface=wireguard-rw list=LAN
add interface=eoip-tunnel-over-wg-sts list=LAN
add interface=eoip-tunnel-over-wg-sts2 list=LAN
add interface=nordvpn list=WAN
/interface ovpn-server server
set auth=sha1,md5
/interface wireguard peers
add allowed-address=192.168.50.2/32 comment=ordenador interface=wireguard-rw \
    public-key="PCKwZu6ePLGjat8+JJqpNR8m0g5/9q6cH1P0iIrO1B8="
add allowed-address=192.168.50.3/32,192.168.88.0/24 comment=movil interface=\
    wireguard-rw public-key="zwGbL1Eu6KETs8WquEJquesh2eBVtjDQ7D/KHjtfoW8="
add allowed-address=192.168.50.4/32 comment=tablet interface=wireguard-rw \
    public-key="JF4imZivtji1r5k0Vv+U+qBL9JHyuNTqmd1bjZGfJ24="
add allowed-address=192.168.50.5/32 comment=nvidiashield interface=\
    wireguard-rw public-key="6ECoXzWmxK9wTBxe/GNDOosmGP2ab5UEn2EGZ4N+fkI="
add allowed-address=192.168.50.8/32 comment=papa interface=wireguard-rw \
    public-key="4SrlaMWJvgCRgZ5mVs3Fz2H2NUtUR86MurtLwNvloA4="
add allowed-address=192.168.50.9/32 comment=xiaomibox interface=wireguard-rw \
    public-key="k67Jt1Gwn53GY1hLhdS4slI77/ZWMRO0anPj7Bwt2jU="
add allowed-address=172.16.0.2/32,192.168.87.0/24 comment=routerwireguard \
    endpoint-address=8aff09168b1c.sn.mynetname.net endpoint-port=12347 \
    interface=wireguard-sts-eoip persistent-keepalive=1m public-key=\
    "STVKpOMBNPWN1lpBxoeBefbgr8qe+GCh43W7Nt4z0Xg="
add allowed-address=172.16.1.2/32,192.168.1.0/24 comment=router2 disabled=yes \
    endpoint-address=642e076ad042.sn.mynetname.net endpoint-port=12348 \
    interface=wireguard-sts-eoip2 public-key=\
    "X8rP4AFXdbFS1fMCPPwHsfmGMaJq8zNlbHz1BmckvUo="
add allowed-address=192.168.50.10/32 comment=Roberto interface=wireguard-rw \
    public-key="rc48xQrMgVUCDKjuQjJMqNO2VWmwWUXrB9/eDtOm+CA="
add allowed-address=172.16.3.2/32 disabled=yes endpoint-address=\
    d7180dbd05b7.sn.mynetname.net endpoint-port=12350 interface=\
    wireguard-sts-eoip3 public-key=\
    "+kppNpPyyLXrf+FVhzn63KvbCocqXrW+t8rPW17tsFs="
add allowed-address=0.0.0.0/0 endpoint-address=jfk-330-wg.whiskergalaxy.com \
    endpoint-port=65142 interface=nordvpn public-key=\
    "B8Oyz2mKiUvv3iMiKt7/rhLccCB3KcAYnCj5+fO4hHM="
/ip address
add address=192.168.100.2/24 comment="Router's address from ONT. Huawei's ONT \
    HG8240H access through 192.168.100.1" interface=Gateway-e1 network=\
    192.168.100.0
add address=192.168.10.1/24 comment="IPTV subnet" interface=IPTV-Bridge \
    network=192.168.10.0
add address=ipdeiptv/10 comment="My Telefonica's IPTV address" interface=\
    Iptv-vlan2 network=10.64.0.0
add address=192.168.88.1/24 comment=BRIDGE interface=Bridge network=\
    192.168.88.0
add address=192.168.50.1/24 interface=wireguard-rw network=192.168.50.0
add address=172.16.0.1/30 interface=wireguard-sts-eoip network=172.16.0.0
add address=100.80.15.170 interface=nordvpn network=100.80.15.170
/ip cloud
set ddns-enabled=yes ddns-update-interval=1m
/ip dhcp-client
add add-default-route=no disabled=yes interface=Voip-vlan3 use-peer-ntp=no
/ip dhcp-server config
set store-leases-disk=never
/ip dhcp-server lease
**BORRADO
/ip dhcp-server matcher
add address-pool=IPTV-decoder-pool code=60 name=Movistar-Decoder server=\
    IPTV-dhcp-server value="[IAL]"
/ip dhcp-server network
add address=192.168.10.0/24 comment=\
    "IPTV-Bridge common hosts subnet (192.168.88.2-126)" gateway=192.168.10.1 \
    netmask=24
add address=192.168.10.200/29 comment="IPTV-Bridge subnet for decoders" \
    dhcp-option=Movistar_decoder_option dns-server=172.26.23.3 gateway=\
    192.168.10.1 netmask=24
add address=192.168.88.0/24 dns-server=192.168.88.5,192.168.88.1 gateway=\
    192.168.88.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,1.1.1.1
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall address-list
add XXXXXXX.sn.mynetname.net list=public-ip
add address=216.218.206.0/24 comment="Blocked external address list" list=\
    Blocked_address_list
add address=146.88.240.0/24 list=Blocked_address_list
add address=192.168.88.3 list="equipos no accesibles"
add address=192.168.88.5 list="equipos no accesibles"
add address=192.168.88.1 list="equipos no accesibles"
add address=192.168.50.3 disabled=yes list="vpn no confiable"
add address=172.16.0.2 list="vpn no confiable"
add address=192.168.50.10 list="vpn no confiable"
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=accept chain=input comment="iptv: accept multicast igmp traffic" \
    in-interface=Iptv-vlan2 protocol=igmp
add action=accept chain=input comment="voip: accept rip multicast traffic" \
    dst-address=224.0.0.9 dst-port=520 in-interface-list=Vlan2&3 protocol=udp
add action=accept chain=input comment=\
    "Accept vlan2 & 3  (Iptv & Voip) multicast & broadcast traffic" disabled=\
    yes dst-address-type=!unicast in-interface-list=Vlan2&3
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="Allow IPSec" disabled=yes dst-port=\
    500,4500 protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input comment=\
    "Allow decrypted IpSec traffic from Playa to router HQ" disabled=yes \
    ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=drop chain=input comment=\
    "Drop attackers from Blocked address list" src-address-list=\
    Blocked_address_list
add action=accept chain=input comment="vpn: allow wireguard-rw" dst-port=\
    12345,12347,12348,12350,15535 protocol=udp
add action=accept chain=input comment="vpn: allow wireguard-sts-eoip" \
    disabled=yes dst-port=12347 protocol=udp
add action=accept chain=input comment=GRE protocol=gre
add action=drop chain=input comment="VPN: block router" dst-address-list=\
    "equipos no accesibles" src-address-list="vpn no confiable"
add action=drop chain=forward comment="VPN: block equipos sensibles" \
    disabled=yes dst-address-list="equipos no accesibles" src-address-list=\
    "vpn no confiable"
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward connection-state=\
    established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all new from WAN not DSTNATed" connection-nat-state=\
    !dstnat connection-state=new in-interface-list=WAN
add action=drop chain=forward comment=\
    "Drop all new unicast traffic from vlan3 & 2 (Voip & Iptv) not DSTNATed" \
    connection-nat-state=!dstnat connection-state=new dst-address-type=\
    unicast in-interface-list=Vlan2&3
add action=drop chain=forward comment="access only to WAN" disabled=yes \
    dst-address=192.168.88.0/24 dst-address-list="" out-interface-list=\
    *2000014 src-address-list=""
add action=accept chain=forward comment=\
    "VPN: block road warriors to have only internet" disabled=yes \
    dst-address=192.168.88.73 src-address=192.168.50.3
add action=accept chain=forward disabled=yes dst-address=192.168.88.72 \
    in-interface=wireguard-rw
/ip firewall mangle
add action=set-priority chain=postrouting comment="Prioritise Voip packets" \
    disabled=yes new-priority=5 out-interface=Voip-vlan3 passthrough=yes
add action=set-priority chain=postrouting comment="Prioritise Iptv packets" \
    new-priority=4 out-interface=Iptv-vlan2 passthrough=yes
add action=set-priority chain=postrouting new-priority=1 out-interface=\
    pppoe-out1
add action=add-src-to-address-list address-list=vod-receiver \
    address-list-timeout=1m chain=postrouting comment="RTSP - VOD Movistar" \
    connection-state=new disabled=yes dst-port=554 out-interface=Iptv-vlan2 \
    protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=\
    192.168.88.0/24 src-address=192.168.88.0/24
add action=masquerade chain=srcnat comment=\
    "defconf: masq. non  ipsec WAN traffic" ipsec-policy=out,none \
    out-interface-list=WAN
add action=masquerade chain=srcnat comment=\
    "masq. vlan2 & vlan3 (Iptv & Voip)" out-interface-list=Vlan2&3
add action=dst-nat chain=dstnat comment=nginx dst-address-list=public-ip \
    dst-port=443 protocol=tcp to-addresses=192.168.88.5 to-ports=443
add action=dst-nat chain=dstnat comment=wireguard dst-address-list=public-ip \
    dst-port=51820 protocol=udp to-addresses=192.168.88.5 to-ports=51820
add action=dst-nat chain=dstnat comment=openvpn dst-address-list=public-ip \
    dst-port=1195 protocol=udp to-addresses=192.168.88.3
add action=dst-nat chain=dstnat comment="puerto qbittorrent" \
    dst-address-list=public-ip dst-port=5999 protocol=tcp to-addresses=\
    192.168.88.5 to-ports=5999
add action=dst-nat chain=dstnat comment="plex debian" dst-address-list=\
    public-ip dst-port=32401 protocol=tcp to-addresses=192.168.88.5 to-ports=\
    32400
add action=dst-nat chain=dstnat comment="emule tcp" disabled=yes \
    dst-address-list=public-ip dst-port=49054 protocol=tcp to-addresses=\
    192.168.88.3 to-ports=49054
add action=dst-nat chain=dstnat comment="emule tcp" disabled=yes \
    dst-address-list=public-ip dst-port=49055 protocol=udp to-addresses=\
    192.168.88.3 to-ports=49055
/ip firewall service-port
set ftp disabled=yes
set rtsp disabled=no
/ip route
add disabled=no distance=1 dst-address=192.168.87.0/24 gateway=172.16.0.2 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add dst-address=0.0.0.0/0 gateway=nordvpn routing-table=nordvpn
/ip service
/ip upnp
set show-dummy-rule=no
/ip upnp interfaces
add interface=pppoe-out1 type=external
add interface=IPTV-Bridge type=internal
/routing igmp-proxy
set query-interval=30s quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=Iptv-vlan2 upstream=yes
add interface=IPTV-Bridge
/routing rip interface-template
add disabled=no instance=rip interfaces=Iptv-vlan2 mode=passive \
    source-addresses=""
/routing rule
add action=lookup-only-in-table disabled=no src-address=192.168.88.90/32 \
    table=nordvpn
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=casa
/system ntp client
set mode=broadcast
/system resource irq rps
set sfp-sfpplus1 disabled=no

Gracias
 
Tienes mucha chicha metida, como para andar migrando a la torera. Guarda backup, y sigue estos pasos:
  • Reset al equipo, y le dejas que cargue la config por defecto (con la .88 sobre el bridge)
  • Elige las vlans a usar y su direccionamiento, y evita el segmento .88.
  • Crea los servidores DHCP sobre cada VLAN, usando el botón "DHCP Setup".
  • Crea las vlans que vayas a usar e tu red, todas sobre el bridge principal
  • Mete la vlan principal (la que vaya a ser tu acceso), en la lista LAN (donde de momento estará el bridge)
  • Da de alta las VLANs en la tabla del bridge, una a una. Todas las vlans van taggeadas sobre el bridge y, además, sobre el que sea puerto o puertos que vayas a considerar "trunk" (que llevan más de una vlan).
  • En la pestaña de Bridge -> Ports, edita cada puerto, siguiendo el siguiente esquema: si es puerto de acceso, en su PVID mapeas al VLAN a la que accede y como frame type pones "admit-only-untagged-and-priority-tagged". Si es puerto trunk, no toques el PVID, pero cambia el frame types a "admit-only-vlan-tagged". En todos ellos, marca la opción de "Ingress filtering" (viene marcada por defecto).
  • Crea las reglas de filtrado en el firewall que consideres necesario para cada VLAN. O, si sólo quieres evitar que ciertas VLAN accedan a nada que no sea internet, mételas en una lista de interfaces, y crea una única regla que dropee tódo tráfico que venga con origen esa lista de VLANS y destino distinto de la WAN.
  • Activa el bridge-vlan-filtering: en ese momento te desconectarás del equipo, y sólo accederás vía la VLAN que metiste en la lista LAN, únicamente desde los puertos de acceso donde mapeaste dicha VLAN.

Una vez hecho esto, me pasas el export, y lo revisamos. Y estarías en disposición de ponerle igmp-snooping al bridge principal, y dar de alta el resto de la configuración de tu proveedor.

Si tienes dudas con las VLANs, tienes un manual en las chinchetas que puedes seguir, donde puedes ir viendo los pasos (simplemente ignora lo de hacerlos en distintos bridges, en tu caso iría todo en uno).

Saludos!
 
Tienes mucha chicha metida, como para andar migrando a la torera. Guarda backup, y sigue estos pasos:
  • Reset al equipo, y le dejas que cargue la config por defecto (con la .88 sobre el bridge)
  • Elige las vlans a usar y su direccionamiento, y evita el segmento .88.
  • Crea los servidores DHCP sobre cada VLAN, usando el botón "DHCP Setup".
  • Crea las vlans que vayas a usar e tu red, todas sobre el bridge principal
  • Mete la vlan principal (la que vaya a ser tu acceso), en la lista LAN (donde de momento estará el bridge)
  • Da de alta las VLANs en la tabla del bridge, una a una. Todas las vlans van taggeadas sobre el bridge y, además, sobre el que sea puerto o puertos que vayas a considerar "trunk" (que llevan más de una vlan).
  • En la pestaña de Bridge -> Ports, edita cada puerto, siguiendo el siguiente esquema: si es puerto de acceso, en su PVID mapeas al VLAN a la que accede y como frame type pones "admit-only-untagged-and-priority-tagged". Si es puerto trunk, no toques el PVID, pero cambia el frame types a "admit-only-vlan-tagged". En todos ellos, marca la opción de "Ingress filtering" (viene marcada por defecto).
  • Crea las reglas de filtrado en el firewall que consideres necesario para cada VLAN. O, si sólo quieres evitar que ciertas VLAN accedan a nada que no sea internet, mételas en una lista de interfaces, y crea una única regla que dropee tódo tráfico que venga con origen esa lista de VLANS y destino distinto de la WAN.
  • Activa el bridge-vlan-filtering: en ese momento te desconectarás del equipo, y sólo accederás vía la VLAN que metiste en la lista LAN, únicamente desde los puertos de acceso donde mapeaste dicha VLAN.

Una vez hecho esto, me pasas el export, y lo revisamos. Y estarías en disposición de ponerle igmp-snooping al bridge principal, y dar de alta el resto de la configuración de tu proveedor.

Si tienes dudas con las VLANs, tienes un manual en las chinchetas que puedes seguir, donde puedes ir viendo los pasos (simplemente ignora lo de hacerlos en distintos bridges, en tu caso iría todo en uno).

Saludos!
Gracias, en un par de días me pongo a ello y te expongo los resultados, voy a intentar usar un mikrotik que tengo para pruebas por si acaso la lío. Un saludo

Enviado desde mi M2101K6G mediante Tapatalk
 
Gracias, en un par de días me pongo a ello y te expongo los resultados, voy a intentar usar un mikrotik que tengo para pruebas por si acaso la lío. Un saludo

Enviado desde mi M2101K6G mediante Tapatalk
Guarda backup antes de nada, porfa.

Saludos!
 
Hola, primero agradecerte la ayuda.He aprovechado el equipo de pruebas y he realizado los pasos que me has indicado. Si me confirmas que está correcto el tema de las Vlan lo siguiente no creo que tendría problemas.
He tomado el puerto 5 como Trunk para enlazar con el Switch.
He creado una interfaz llamada Isolate para meter la vlan-invitados y de esa manera no se conecten a mi red, solo conexión a Internet.
Con esta configuración he leído que pierdo el Hw Offloading, con el RB4011 no perdería mucho no?
Edito: Conectado el router con el export me coge bien las IP pero la TV no sé porqué no consigo que no funcione, por más que repaso no sé que puede fallar
Edito 2: Ya di con el fallo de la TV, con la configuración que he exportado más abajo sin conectar todo funciona perfectamente. Me faltaría probar que funciona el puerto Trunk que lleva bien las 2 Vlan al swtich, no sé si ves algo que no debiera en las Vlan para que no funcionen correctamente o algo que mejorar.
En el /interface list member no sé si está correcto o no hace falta poner el ether1 en él.
Código:
/interface bridge
add admin-mac=08:55:31:CD:D3:57 auto-mac=no comment=defconf frame-types=\
    admit-only-vlan-tagged igmp-snooping=yes name=bridge vlan-filtering=yes
/interface vlan
add arp=reply-only interface=bridge name=vlan-invitados vlan-id=66
add interface=bridge name=vlan-lan vlan-id=88
add interface=ether1 name=vlan2-iptv vlan-id=2
add interface=ether1 name=vlan6-internet vlan-id=6
/interface pppoe-client
add add-default-route=yes disabled=no interface=vlan6-internet name=internet \
    use-peer-dns=yes user=adslppp@telefonicanetpa
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add name=ISOLATED
add comment=vlans-iptv-voip name=VLANs2&3
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-server option
add code=240 name=opch-imagenio value="':::::239.0.2.29:22222'"
/ip pool
add name=pool-invitados ranges=192.168.80.10-192.168.80.32
add name=pool-lan ranges=192.168.81.35-192.168.81.135
add name=iptv-dhcp ranges=192.168.81.241-192.168.81.254
/ip dhcp-server
add add-arp=yes address-pool=pool-invitados interface=vlan-invitados name=\
    dhcp-invitados
add address-pool=pool-lan interface=vlan-lan name=dhcp-lan
/routing rip instance
add afi=ipv4 disabled=no name=rip
/interface bridge port
add bridge=bridge comment=defconf frame-types=\
    admit-only-untagged-and-priority-tagged interface=ether2 pvid=88
add bridge=bridge comment=defconf frame-types=\
    admit-only-untagged-and-priority-tagged interface=ether3 pvid=88
add bridge=bridge comment=defconf frame-types=\
    admit-only-untagged-and-priority-tagged interface=ether4 pvid=88
add bridge=bridge comment=defconf frame-types=admit-only-vlan-tagged \
    interface=ether5
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface bridge vlan
add bridge=bridge comment=invitados tagged=bridge vlan-ids=66
add bridge=bridge comment=casa tagged=bridge vlan-ids=88
/interface list member
add comment=defconf disabled=yes interface=bridge list=LAN
add comment=defconf interface=internet list=WAN
add interface=vlan-lan list=LAN
add interface=vlan-invitados list=ISOLATED
add interface=vlan2-iptv list=VLANs2&3
add interface=ether1 list=WAN
/ip address
add address=192.168.80.1/24 interface=vlan-invitados network=192.168.80.0
add address=192.168.81.1/24 interface=vlan-lan network=192.168.81.0
add address=10.86xxxxx1/10 interface=vlan2-iptv network=10.64.0.0
/ip dhcp-client
add comment=defconf interface=ether1
/ip dhcp-server matcher
add address-pool=iptv-dhcp code=60 name=descos server=dhcp-lan value="[IAL]"
/ip dhcp-server network
add address=192.168.80.0/24 dns-server=8.8.8.8 gateway=192.168.80.1
add address=192.168.81.0/24 dns-server=8.8.8.8 gateway=192.168.81.1
add address=192.168.81.240/28 comment=iptv-network dhcp-option=opch-imagenio \
    dns-server=172.26.23.3 gateway=192.168.81.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment="iptv: accept multicast igmp traffic" \
    in-interface=vlan2-iptv protocol=igmp
add action=accept chain=input comment="voip: accept rip multicast traffic" \
    dst-address=224.0.0.9 dst-port=520 in-interface-list=VLANs2&3 protocol=\
    udp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=reject chain=forward comment="vlans: can only access internet" \
    in-interface-list=ISOLATED out-interface-list=!WAN reject-with=\
    icmp-network-unreachable
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="VLANs2&3: masquerade" \
    out-interface-list=VLANs2&3
/ip firewall service-port
set rtsp disabled=no
/routing igmp-proxy
set query-interval=30s quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=vlan2-iptv upstream=yes
add interface=vlan-lan
/routing rip interface-template
add instance=rip interfaces=vlan2-iptv mode=passive
/system clock
set time-zone-name=Europe/Madrid
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
 
Última edición:
Te falta taggear las dos vlans sobre el puerto 5, que es el que consideras como trunk. Donde pones esto:
Código:
/interface bridge vlan
add bridge=bridge comment=invitados tagged=bridge vlan-ids=66
add bridge=bridge comment=casa tagged=bridge vlan-ids=88

Deberías tener esto, si ether5 es trunk:
Código:
/interface bridge vlan
add bridge=bridge comment=invitados tagged=bridge,ether5 vlan-ids=66
add bridge=bridge comment=casa tagged=bridge,ether5 vlan-ids=88

Consejo: esto, es jodidamente confuso. Si tú te apañas, way, pero ojo con estas cosa que inducen a error.
  • vlan invitados, ID = 66, direccionamiento = .80
  • vlan lan, ID = 88, direccionamiento = .81

Respondiendo a tu pregunta:
Con esta configuración he leído que pierdo el Hw Offloading, con el RB4011 no perdería mucho no?
La pierdes por el igmp-snooping, pero no por las vlans en la v7. Es decir, ese equipo es compatible con hardware offloading en la v7, incluso filtrando vlans. Si quieres y tu setup lo permite (conectas el desco directo a un puerto untagged del router), podrías crear un segundo bridge sólo para el tráfico multicast y mantener el hardware offloading en el principal. No obstante, ese equipo tiene chicha más que de sobra para tirar, incluso sin hardware offloading.

Con respecto a las listas, en la WAN únicamente debería estar la interfaz pppoe, ether1 no pinta nada ahí.

Saludos!
 
Hola, he borrado un post anterior que había redactado ya que me he puesto con el equipo de pruebas y creo que he solucionado algunas dudas que tenía.

Te he hecho caso y he modificado las VLAN a 80 (192.168.80.1) y 81 (192.168.81.1).

Lo tengo funcionando todo sobre un mismo bridge, perdiendo el HW offloading. Si hiciera dos bridges (uno con la IPTV por ejemlpo puerto 2) y otro bridge con la lan e invitados podría llevar todo (iptv, lan e invitados) a través del puerto 5 que es el trunk con un sólo cable al switch o necesitaría uno por cada bridge?

1ºSobre el tunel EOIP me surge la duda si hace falta añadirla en el /interface bridge vlan o se puede omitir(lo he probado de ambas maneras y el tunel eoip me sale como RS pero no he podido probarlo al no haber nadie en la otra casa).

Código:
/interface bridge port
add bridge=bridge comment=defconf frame-types=\
    admit-only-untagged-and-priority-tagged interface=ether2 pvid=81
add bridge=bridge comment=defconf frame-types=\
    admit-only-untagged-and-priority-tagged interface=ether3 pvid=81
add bridge=bridge comment=defconf frame-types=\
    admit-only-untagged-and-priority-tagged interface=ether4 pvid=81
add bridge=bridge comment=defconf frame-types=admit-only-vlan-tagged \
    interface=ether5
add bridge=bridge comment=defconf disabled=yes interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=eoip-tunnel-over-wg-sts pvid=81
   
/interface bridge vlan
add bridge=bridge comment=invitados tagged=bridge,ether5 vlan-ids=80
add bridge=bridge comment=casa tagged=bridge,ether5 untagged=\
    eoip-tunnel-over-wg-sts vlan-ids=81

Gracias por la ayuda
 
Última edición:
Lo tengo funcionando todo sobre un mismo bridge, perdiendo el HW offloading. Si hiciera dos bridges (uno con la IPTV por ejemlpo puerto 2) y otro bridge con la lan e invitados podría llevar todo (iptv, lan e invitados) a través del puerto 5 que es el trunk con un sólo cable al switch o necesitaría uno por cada bridge?
Necesitarías uno para cada bridge, es decir, pierdes la gracia de las VLANs (todo en un mismo cable)

1ºSobre el tunel EOIP me surge la duda si hace falta añadirla en el /interface bridge vlan o se puede omitir(lo he probado de ambas maneras y el tunel eoip me sale como RS pero no he podido probarlo al no haber nadie en la otra casa).
Pues todo depende de quien seas tú, ¿paco o pepe? Si eres Paco, ese EoIP se añadiría a tu bridge como un puerto ethernet más, asociado a la vlan 81 (PVID=81), y no sería necesario añadirlo como untagged al bridge en su tabla de vlans, ya que se añade allí él solito de manera dinámica (como el resto de puertos), al meterle el PVID correspondiente.

Saludos!
 
Necesitarías uno para cada bridge, es decir, pierdes la gracia de las VLANs (todo en un mismo cable)


Pues todo depende de quien seas tú, ¿paco o pepe? Si eres Paco, ese EoIP se añadiría a tu bridge como un puerto ethernet más, asociado a la vlan 81 (PVID=81), y no sería necesario añadirlo como untagged al bridge en su tabla de vlans, ya que se añade allí él solito de manera dinámica (como el resto de puertos), al meterle el PVID correspondiente.

Saludos!
Sobre los túneles eoip mi domicilio es el que tiene Movistar. Solo habría que añadir en mi router está línea verdad??
/interface bridge port
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
interface=eoip-tunnel-over-wg-sts pvid=81

En el otro extremo del tunel no debería indicar ninguna Vlan?

Enviado desde mi M2101K6G mediante Tapatalk
 
Hola, ya he intentado hacer la migración pero me ha surgido una duda o problema.
Los dispositivos que están enlazados como Trunk no me aparecen en el servidor dhcp del mikrotik por lo que no puedo acceder a la configuración de estos facilmente.
Desde el mikrotik sale un puerto trunk con 2 VLAN a un switch pues éste no aparece en el dhcp server y para acceder a la configuración de éste tengo que dejar un puerto VLAN sin taggear para acceder desde una subnet que me ofrece el propio Switch. Todo lo que se conecta al Switch me aparece correctamente en el servidor DHCP del Mikrotik asignando bien si es la VLAN 80 u VLAN 81.
Con el punto de acceso Unifi me ocurre igual esta conectado por un puerto Trunk que lleva las dos VLAN pero desde la aplicación de la AP no me aparece para configurarlo ni aparece en el dhcp del Mikrotik, cualquier dispositivo que se conecta aparece en el DHCP del Mikrotik sin problemas.
He intentado hacer un dhcp lease manual con la mac pero no me ha servido de nada.
Como puedo conseguir que los dos dispositivos que están enlazados vía Trunk con las dos VLAN se le asigne en el Mikrotik una IP, supongo que se haran un lio porque le llegaran 2 VLAN.
He intentado por el Ejemplo al switch dejarlo con ip estática asignándole una IP y puerta de enlace de mi Vlan-Lan pero tampoco me ha servido :(
He probado a modificar el pvid ( de 1 a 81) del puerto trunk pero tampoco me ha servido


add bridge=bridge comment=defconf frame-types=admit-only-vlan-tagged \
interface=sfp-sfpplus1 pvid=81




Dejo mi export por si tuviera algo mal.
Código:
/interface bridge
add admin-mac=74:4D:28:85:F2:31 auto-mac=no frame-types=\
    admit-only-vlan-tagged igmp-snooping=yes name=bridge vlan-filtering=yes
add name=bridge-loopback protocol-mode=none
/interface ethernet
set [ find default-name=ether10 ] poe-out=off
/interface wireguard
add listen-port=15535 mtu=1420 name=windscribe
add listen-port=12345 mtu=1420 name=wireguard-rw
add listen-port=12347 mtu=1420 name=wireguard-sts-eoip
/interface eoip
add local-address=172.16.0.1 mac-address=FE:01:D1:F3:8D:FC mtu=1500 name=\
    eoip-tunnel-over-wg-sts remote-address=172.16.0.2 tunnel-id=0
/interface vlan
add interface=bridge name=vlan-invitados vlan-id=80
add interface=bridge name=vlan-lan vlan-id=81
add interface=ether1 name=vlan2-iptv vlan-id=2
add interface=ether1 name=vlan6-internet vlan-id=6
/interface pppoe-client
add add-default-route=yes disabled=no interface=vlan6-internet name=internet \
    use-peer-dns=yes user=adslppp@telefonicanetpa
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add name=ISOLATED
add comment=vlans-iptv-voip name=VLANs2&3
/ip dhcp-server option
add code=240 name=opch-imagenio value="':::::239.0.2.29:22222'"
/ip pool
add name=pool-invitados ranges=192.168.80.10-192.168.80.32
add name=pool-lan ranges=192.168.81.35-192.168.81.135
add name=iptv-dhcp ranges=192.168.81.241-192.168.81.254
/ip dhcp-server
add address-pool=pool-invitados interface=vlan-invitados name=dhcp-invitados
add address-pool=pool-lan interface=vlan-lan name=dhcp-lan
/port
set 0 name=serial0
set 1 name=serial1
/routing rip instance
add afi=ipv4 disabled=no name=rip
/routing table
add fib name=windscribe
/interface bridge port
add bridge=bridge comment=defconf frame-types=\
    admit-only-untagged-and-priority-tagged interface=ether2 pvid=81
add bridge=bridge comment=defconf frame-types=\
    admit-only-untagged-and-priority-tagged interface=ether3 pvid=81
add bridge=bridge comment=defconf frame-types=\
    admit-only-untagged-and-priority-tagged interface=ether4 pvid=81
add bridge=bridge comment=defconf frame-types=\
    admit-only-untagged-and-priority-tagged interface=ether5 pvid=81
add bridge=bridge comment=defconf frame-types=\
    admit-only-untagged-and-priority-tagged interface=ether6 pvid=81
add bridge=bridge comment=defconf frame-types=\
    admit-only-untagged-and-priority-tagged interface=ether7 pvid=81
add bridge=bridge comment=defconf frame-types=admit-only-vlan-tagged \
    interface=sfp-sfpplus1 pvid=81
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=eoip-tunnel-over-wg-sts pvid=81
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=eoip-tunnel-over-wg-sts2 pvid=81
add bridge=bridge comment=defconf frame-types=\
    admit-only-untagged-and-priority-tagged interface=ether10 pvid=81
add bridge=bridge comment=defconf frame-types=\
    admit-only-untagged-and-priority-tagged interface=ether9 pvid=81
add bridge=bridge comment=defconf frame-types=\
    admit-only-untagged-and-priority-tagged interface=ether8 pvid=81
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ip settings
set max-neighbor-entries=8192 tcp-syncookies=yes
/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192
/interface bridge vlan
add bridge=bridge comment=invitados tagged=bridge,sfp-sfpplus1 vlan-ids=80
add bridge=bridge comment=casa tagged=bridge,sfp-sfpplus1 vlan-ids=81
/interface list member
add comment=defconf disabled=yes interface=bridge list=LAN
add comment=defconf interface=internet list=WAN
add interface=vlan-lan list=LAN
add interface=vlan-invitados list=ISOLATED
add interface=vlan2-iptv list=VLANs2&3
add interface=eoip-tunnel-over-wg-sts list=LAN
add interface=wireguard-rw list=LAN
add interface=eoip-tunnel-over-wg-sts2 list=LAN
add interface=windscribe list=WAN
/interface wireguard peers
add allowed-address=192.168.50.2/32 comment=ordenador interface=wireguard-rw \
    public-key="PCKwZu6ePLGjat8+JJqpNR8m0g5/9q6cH1P0iIrO1B8="
add allowed-address=192.168.50.3/32,192.168.81.0/24 comment=movil interface=\
    wireguard-rw public-key="zwGbL1Eu6KETs8WquEJquesh2eBVtjDQ7D/KHjtfoW8="
add allowed-address=192.168.50.4/32 comment=tablet interface=wireguard-rw \
    public-key="JF4imZivtji1r5k0Vv+U+qBL9JHyuNTqmd1bjZGfJ24="
add allowed-address=192.168.50.5/32 comment=nvidiashield interface=\
    wireguard-rw public-key="6ECoXzWmxK9wTBxe/GNDOosmGP2ab5UEn2EGZ4N+fkI="
add allowed-address=192.168.50.8/32 comment=papa interface=wireguard-rw \
    public-key="4SrlaMWJvgCRgZ5mVs3Fz2H2NUtUR86MurtLwNvloA4="
add allowed-address=192.168.50.9/32 comment=xiaomibox interface=wireguard-rw \
    public-key="k67Jt1Gwn53GY1hLhdS4slI77/ZWMRO0anPj7Bwt2jU="
add allowed-address=172.16.0.2/32,192.168.87.0/24 comment=routerwireguard \
    endpoint-address=8aff09168b1c.sn.mynetname.net endpoint-port=12347 \
    interface=wireguard-sts-eoip persistent-keepalive=1m public-key=\
    "STVKpOMBNPWN1lpBxoeBefbgr8qe+GCh43W7Nt4z0Xg="
add allowed-address=172.16.1.2/32,192.168.1.0/24 comment=router2 disabled=yes \
    endpoint-address=642e076ad042.sn.mynetname.net endpoint-port=12348 \
    interface=wireguard-sts-eoip2 public-key=\
    "X8rP4AFXdbFS1fMCPPwHsfmGMaJq8zNlbHz1BmckvUo="
add allowed-address=192.168.50.10/32 comment=Roberto interface=wireguard-rw \
    public-key="rc48xQrMgVUCDKjuQjJMqNO2VWmwWUXrB9/eDtOm+CA="
add allowed-address=172.16.3.2/32 disabled=yes endpoint-address=\
    d7180dbd05b7.sn.mynetname.net endpoint-port=12350 interface=\
    wireguard-sts-eoip3 public-key=\
    "+kppNpPyyLXrf+FVhzn63KvbCocqXrW+t8rPW17tsFs="
add allowed-address=0.0.0.0/0 endpoint-address=jfk-330-wg.whiskergalaxy.com \
    endpoint-port=65142 interface=windscribe public-key=\
    "B8Oyz2mKiUvv3iMiKt7/rhLccCB3KcAYnCj5+fO4hHM="
/ip address
add address=192.168.80.1/24 interface=vlan-invitados network=192.168.80.0
add address=192.168.81.1/24 interface=vlan-lan network=192.168.81.0
add address=10.86XXXX.81/10 interface=vlan2-iptv network=10.64.0.0
add address=192.168.50.1/24 interface=wireguard-rw network=192.168.50.0
add address=172.16.0.1/30 interface=wireguard-sts-eoip network=172.16.0.0
/ip cloud
set ddns-enabled=yes ddns-update-interval=1m
/ip dhcp-server matcher
add address-pool=iptv-dhcp code=60 name=descos server=dhcp-lan value="[IAL]"
/ip dhcp-server network
add address=192.168.80.0/24 dns-server=1.1.1.1 gateway=192.168.80.1
add address=192.168.81.0/24 dns-server=1.1.1.1 gateway=192.168.81.1
add address=192.168.81.240/28 comment=iptv-network dhcp-option=opch-imagenio \
    dns-server=172.26.23.3 gateway=192.168.81.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,1.1.1.1
/ip dns static
add address=192.168.81.1 comment=defconf name=router.lan
/ip firewall address-list
add address=xxxxx.sn.mynetname.net list=public-ip
add address=216.218.206.0/24 comment="Blocked external address list" list=\
    Blocked_address_list
add address=192.168.81.3 list="equipos no accesibles"
add address=192.168.81.5 list="equipos no accesibles"
add address=192.168.81.1 list="equipos no accesibles"
add address=192.168.50.3 disabled=yes list="vpn no confiable"
add address=172.16.0.2 list="vpn no confiable"
add address=192.168.50.10 list="vpn no confiable"
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment="iptv: accept multicast igmp traffic" \
    in-interface=vlan2-iptv protocol=igmp
add action=drop chain=input comment=\
    "Drop attackers from Blocked address list" src-address-list=\
    Blocked_address_list
add action=accept chain=input comment="voip: accept rip multicast traffic" \
    dst-address=224.0.0.9 dst-port=520 in-interface-list=VLANs2&3 protocol=\
    udp
add action=accept chain=input comment="vpn: allow wireguard-rw" dst-port=\
    12345,12347,12348,12350,15535 protocol=udp
add action=accept chain=input comment=GRE protocol=gre
add action=drop chain=input comment="VPN: block router" dst-address-list=\
    "equipos no accesibles" src-address-list="vpn no confiable"
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=accept chain=input comment="Allow IPSec" disabled=yes dst-port=\
    500,4500 protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input comment=\
    "Allow decrypted IpSec traffic from Playa to router HQ" disabled=yes \
    ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "Drop attackers from Blocked address list" src-address-list=\
    Blocked_address_lis
add action=reject chain=forward comment="vlans: can only access internet" \
    disabled=yes in-interface-list=ISOLATED out-interface-list=!WAN \
    reject-with=icmp-network-unreachable
/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=\
    192.168.81.0/24 src-address=192.168.81.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="VLANs2&3: masquerade" \
    out-interface-list=VLANs2&3
add action=dst-nat chain=dstnat comment=nginx disabled=yes dst-address-list=\
    public-ip dst-port=80 protocol=tcp to-addresses=192.168.81.73 to-ports=80
add action=dst-nat chain=dstnat comment=nginx dst-address-list=public-ip \
    dst-port=443 protocol=tcp to-addresses=192.168.81.5 to-ports=443
add action=dst-nat chain=dstnat comment=wireguard dst-address-list=public-ip \
    dst-port=51820 protocol=udp to-addresses=192.168.81.5 to-ports=51820
add action=dst-nat chain=dstnat comment=openvpn dst-address-list=public-ip \
    dst-port=1195 protocol=udp to-addresses=192.168.81.3
add action=dst-nat chain=dstnat comment="puerto qbittorrent" \
    dst-address-list=public-ip dst-port=5999 protocol=tcp to-addresses=\
    192.168.81.5 to-ports=5999
add action=dst-nat chain=dstnat comment="plex debian" dst-address-list=\
    public-ip dst-port=32401 protocol=tcp to-addresses=192.168.81.5 to-ports=\
    32400
add action=dst-nat chain=dstnat comment="emule tcp" disabled=yes \
    dst-address-list=public-ip dst-port=49054 protocol=tcp to-addresses=\
    192.168.81.3 to-ports=49054
add action=dst-nat chain=dstnat comment="emule tcp" disabled=yes \
    dst-address-list=public-ip dst-port=49055 protocol=udp to-addresses=\
    192.168.81.3 to-ports=49055
/ip firewall service-port
set rtsp disabled=no
/ip route
add disabled=no distance=1 dst-address=192.168.87.0/24 gateway=172.16.0.2 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add dst-address=0.0.0.0/0 gateway=windscribe routing-table=windscribe
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www port=8228
set ssh disabled=yes
set winbox port=8111
/routing igmp-proxy
set query-interval=30s quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=vlan2-iptv upstream=yes
add interface=vlan-lan
/routing rip interface-template
add instance=rip interfaces=vlan2-iptv mode=passive
/routing rule
add action=lookup-only-in-table disabled=no src-address=192.168.81.90/32 \
    table=windscribe
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=casa
/system ntp client
set mode=broadcast
/system ntp client servers
add address=es.pool.ntp.org
add address=hora.rediris.es
add address=hora.roa.es
/system resource irq rps
set sfp-sfpplus1 disabled=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
 
Última edición:
Cambiale la vlan de management al switch, de la 1 a la 81.

Saludos!
 
Cambiale la vlan de management al switch, de la 1 a la 81.

Saludos!
He estado buscando en la configuración del switch y no es posible cambiarle la vlan de administración, de hecho vienen predeterminado todos los puertos como untagged en Vlan 1 que son los únicos puertos al parecer accesibles para el management, por lo que he podido leer a alguno más que pregunta lo mismo y lo que hacen es dejar un puerto sólo para la administración.
He creado un ticket a Qnap ( el switch es QSW-M408-2C) a ver si hay alguna solución.
En cuanto al Ap unifi si he localizado cambiar el vlan management.

Enviado desde mi M2101K6G mediante Tapatalk
 
He estado buscando en la configuración del switch y no es posible cambiarle la vlan de administración, de hecho vienen predeterminado todos los puertos como untagged en Vlan 1 que son los únicos puertos al parecer accesibles para el management, por lo que he podido leer a alguno más que pregunta lo mismo y lo que hacen es dejar un puerto sólo para la administración.
He creado un ticket a Qnap ( el switch es QSW-M408-2C) a ver si hay alguna solución.
En cuanto al Ap unifi si he localizado cambiar el vlan management.

Enviado desde mi M2101K6G mediante Tapatalk
A mi me costó un huevo encontrarlo para los switches Linksys, estaba bien escondido. Otra opción es mantener la vlan por defecto en el bridge, así sí deberías poder mantener ese acceso.

Saludos!
 
Arriba