¡Hola!
He descubierto los routers Mikrotik este mes. Madre mía, qué pasada. No entiendo cómo he podido pasarme los últimos ~15 años peleando con routers domésticos de mierder tanto o más caros que siempre acaban malfuncionando por uno o por otro. He comprado un RB4011iGS+5Hac y me he pasado las dos últimas semanas trasteando y aprendiendo un montón. Todo va genial, ya está instalado y funcionando como yo quiero, básicamente un "home AP Dual router on steroids".
Pero ahora necesito ampliar la cobertura de la wifi. He leído e investigado por todas partes pero no he podido encontrar una respuesta segura y definitiva que se ajuste a mi caso concreto, así que os lo pongo en este fantástico foro por si me podéis echar una mano.
Resumiendo, el RB4011 está conectado por cable al router de Lowi, que tiene la wifi desactivada. Sólo se usa la wifi del Mikrotik, donde se gestiona de forma centralizada. Lo que necesito es ampliar la cobertura de la wifi, pero manteniendo las mismas características controladas desde el RB4011 con total transparencia, incluyendo todo esto que ya está funcionando:
- DHCP con las reservas estáticas.
- Wifi principal (Main) y wifi de invitados (Guest), ambas en dual band (2 y 5 GHz).
- Lista de acceso (ACL) en la wifi principal.
- Clientes aislados en la wifi de invitados. Límite de descarga de 30 Mbps por cliente.
- Los clientes en la wifi de invitados sólo tienen acceso a internet y al puerto físico ETH9 del RB4011 (Smart TV).
Como ventaja, puedo llevar un cable de ethernet a prácticamente cualquier parte de la casa. Mi idea es comprar un AP, llevarlo a otro punto donde hay baja cobertura, y conectarlo por cable al RB4011 en el puerto PoE. Pero a partir de ahí no sé cuál es la mejor forma de configurarlo para solamente extender la cobertura, manteniendo los mismos SSIDs, claves, lista de acceso, etc. He leído acerca de repetidores, WDS, Mesh, CAPsMan, bridge stations y más, pero sigo sin tenerlo nada claro.
Así de primeras, pienso que una solución pasaría por usar un repetidor "tonto" de la señal. Esto reduciría a la mitad la velocidad entre el AP y los clientes ("halving"), lo cual quizás se evitaría si se pueden usaran canales diferentes para comunicar RB4011 <-> AP y AP <-> clientes. Aunque de esta forma cablear el AP al router no supondría ninguna ventaja en cuanto a poder llevar datos por el cable en vez de por el aire.
¿Alguna idea o sugerencia? Os incluyo a continuación todos los detalles de mi configuración. El AP (marcado "??") aún no está comprado:
- WAN en el puerto SFP1 (módulo LAN de 1Ghz). Configuración DHCP dinámica, aunque se le asigna una IP estática desde el router de Lowi.
- Todos los puertos excepto SFP1 en el mismo bridge, incluyendo WLANs. Todo en el mismo espacio de direcciones y con un único servidor de DHCP.
- Servidor DHCP con reservas estáticas para determinados dispositivos.
- Wifi principal (SSID "Main") con clave. Lista de acceso (ACL) aceptando sólo los dispositivos autorizados.
- Wifi de invitados (SSID "Guest") con clave y límite de velocidad. Cualquier dispositivo con la clave puede conectarse.
- Ambas wifis disponibles en 5Ghz y 2Ghz, compartiendo los SSIDs en ambas bandas para que cada dispositivo se conecte a la que quiera.
Filtros a nivel de bridge (Bridge > Filters):
- El puerto físico ETH1 tiene acceso normal a la LAN, pero no puede salir por la WAN (bloqueo en Firewall).
- Los clientes conectados a la wifi Guest:
1) No pueden verse entre ellos.
2) Tienen acceso LAN al puerto físico ETH9 (ej. para mandar videos a la TV).
3) Velocidad de descarga limitada a 30 Mbps (limitado en la ACL).
Dejo el export aquí por si fuera de utilidad.
¡Muchas gracias!
He descubierto los routers Mikrotik este mes. Madre mía, qué pasada. No entiendo cómo he podido pasarme los últimos ~15 años peleando con routers domésticos de mierder tanto o más caros que siempre acaban malfuncionando por uno o por otro. He comprado un RB4011iGS+5Hac y me he pasado las dos últimas semanas trasteando y aprendiendo un montón. Todo va genial, ya está instalado y funcionando como yo quiero, básicamente un "home AP Dual router on steroids".
Pero ahora necesito ampliar la cobertura de la wifi. He leído e investigado por todas partes pero no he podido encontrar una respuesta segura y definitiva que se ajuste a mi caso concreto, así que os lo pongo en este fantástico foro por si me podéis echar una mano.
Resumiendo, el RB4011 está conectado por cable al router de Lowi, que tiene la wifi desactivada. Sólo se usa la wifi del Mikrotik, donde se gestiona de forma centralizada. Lo que necesito es ampliar la cobertura de la wifi, pero manteniendo las mismas características controladas desde el RB4011 con total transparencia, incluyendo todo esto que ya está funcionando:
- DHCP con las reservas estáticas.
- Wifi principal (Main) y wifi de invitados (Guest), ambas en dual band (2 y 5 GHz).
- Lista de acceso (ACL) en la wifi principal.
- Clientes aislados en la wifi de invitados. Límite de descarga de 30 Mbps por cliente.
- Los clientes en la wifi de invitados sólo tienen acceso a internet y al puerto físico ETH9 del RB4011 (Smart TV).
Como ventaja, puedo llevar un cable de ethernet a prácticamente cualquier parte de la casa. Mi idea es comprar un AP, llevarlo a otro punto donde hay baja cobertura, y conectarlo por cable al RB4011 en el puerto PoE. Pero a partir de ahí no sé cuál es la mejor forma de configurarlo para solamente extender la cobertura, manteniendo los mismos SSIDs, claves, lista de acceso, etc. He leído acerca de repetidores, WDS, Mesh, CAPsMan, bridge stations y más, pero sigo sin tenerlo nada claro.
Así de primeras, pienso que una solución pasaría por usar un repetidor "tonto" de la señal. Esto reduciría a la mitad la velocidad entre el AP y los clientes ("halving"), lo cual quizás se evitaría si se pueden usaran canales diferentes para comunicar RB4011 <-> AP y AP <-> clientes. Aunque de esta forma cablear el AP al router no supondría ninguna ventaja en cuanto a poder llevar datos por el cable en vez de por el aire.
¿Alguna idea o sugerencia? Os incluyo a continuación todos los detalles de mi configuración. El AP (marcado "??") aún no está comprado:
- WAN en el puerto SFP1 (módulo LAN de 1Ghz). Configuración DHCP dinámica, aunque se le asigna una IP estática desde el router de Lowi.
- Todos los puertos excepto SFP1 en el mismo bridge, incluyendo WLANs. Todo en el mismo espacio de direcciones y con un único servidor de DHCP.
- Servidor DHCP con reservas estáticas para determinados dispositivos.
- Wifi principal (SSID "Main") con clave. Lista de acceso (ACL) aceptando sólo los dispositivos autorizados.
- Wifi de invitados (SSID "Guest") con clave y límite de velocidad. Cualquier dispositivo con la clave puede conectarse.
- Ambas wifis disponibles en 5Ghz y 2Ghz, compartiendo los SSIDs en ambas bandas para que cada dispositivo se conecte a la que quiera.
Filtros a nivel de bridge (Bridge > Filters):
- El puerto físico ETH1 tiene acceso normal a la LAN, pero no puede salir por la WAN (bloqueo en Firewall).
- Los clientes conectados a la wifi Guest:
1) No pueden verse entre ellos.
2) Tienen acceso LAN al puerto físico ETH9 (ej. para mandar videos a la TV).
3) Velocidad de descarga limitada a 30 Mbps (limitado en la ACL).
Dejo el export aquí por si fuera de utilidad.
¡Muchas gracias!
Código:
# oct/31/2022 15:06:11 by RouterOS 6.49.7
# software id = 3Z6E-7N4W
#
# model = RB4011iGS+5HacQ2HnD
# serial number = XXXX
/interface bridge
add admin-mac=DC:2C:6E:E6:F3:31 auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=5ghz-a/n/ac channel-width=\
20/40/80mhz-XXXX country=spain default-authentication=no disabled=no \
distance=indoors frequency=auto installation=indoor mode=ap-bridge \
secondary-frequency=auto ssid=Main wireless-protocol=802.11
set [ find default-name=wlan2 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
country=spain default-authentication=no disabled=no distance=indoors \
frequency=auto installation=indoor mode=ap-bridge ssid=Main \
wireless-protocol=802.11
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add name=LAN-ENT
add name=NOWAN
add name=WLAN-ENT
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk comment=\
"Main WiFi" mode=dynamic-keys supplicant-identity=MikroTik
add authentication-types=wpa-psk,wpa2-psk comment=\
"Guest / Entertainment WiFi" mode=dynamic-keys name=profile \
supplicant-identity=MikroTik
/interface wireless
add disabled=no mac-address=DE:2C:6E:E6:F3:3B master-interface=wlan1 name=\
wlan3 security-profile=profile ssid=Guest
add disabled=no mac-address=DE:2C:6E:17:B5:28 master-interface=wlan2 name=\
wlan4 security-profile=profile ssid=Guest
/ip pool
add name=dhcp ranges=192.168.50.100-192.168.50.150
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface bridge filter
add action=accept chain=forward comment=\
"Allow LAN-ENT <-> WLAN-ENT communication" in-interface-list=LAN-ENT \
out-interface-list=WLAN-ENT
add action=accept chain=forward in-interface-list=WLAN-ENT \
out-interface-list=LAN-ENT
add action=drop chain=forward comment=defconf disabled=yes in-interface=wlan3
add action=drop chain=forward disabled=yes out-interface=wlan3
add action=drop chain=forward comment=defconf disabled=yes in-interface=wlan4
add action=drop chain=forward disabled=yes out-interface=wlan4
add action=drop chain=forward comment="WLAN-ENT client isolation" \
in-interface-list=WLAN-ENT
add action=drop chain=forward out-interface-list=WLAN-ENT
add action=mark-packet chain=input comment=\
"Mark NOWAN to be dropped in firewall" in-interface-list=NOWAN \
new-packet-mark=nowan
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=ether9
add bridge=bridge comment=defconf interface=ether10
add bridge=bridge comment=defconf disabled=yes interface=sfp-sfpplus1
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
add bridge=bridge interface=wlan3
add bridge=bridge interface=wlan4
add bridge=bridge interface=ether1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment="Entertainment port" interface=ether9 list=LAN-ENT
add comment="No WAN access" interface=ether1 list=NOWAN
add comment="Entertainment / Guest WiFi 5Ghz" interface=wlan3 list=WLAN-ENT
add comment="Entertainment / Guest WiFi 2Ghz" interface=wlan4 list=WLAN-ENT
add comment="Read System > Note for changing WAN port" interface=sfp-sfpplus1 \
list=WAN
add comment="Pi-Hole port (DNS). WLAN-ENT needs this." interface=ether2 list=\
LAN-ENT
/interface wireless access-list
add ap-tx-limit=30000000 comment="defconf - Guest 5 GHz" interface=wlan3
add ap-tx-limit=30000000 comment="defconf - Guest 2 GHz" interface=wlan4
add comment="Steam Deck" mac-address=2C:3B:70:A9:F7:9B vlan-mode=no-tag
add comment="EdyMountain wireless" mac-address=A4:34:D9:13:07:3B vlan-mode=\
no-tag
add comment="Google Pixel 5" mac-address=60:B7:6E:02:59:D8 vlan-mode=no-tag
add comment="Samsung Galaxy Tab S3" mac-address=D0:7F:A0:37:BB:5F vlan-mode=\
no-tag
/ip address
add address=192.168.50.254/24 comment=defconf interface=bridge network=\
192.168.50.0
/ip cloud
set ddns-enabled=yes ddns-update-interval=8h
/ip dhcp-client
add comment=defconf disabled=no interface=sfp-sfpplus1
/ip dhcp-server lease
add address=192.168.50.183 client-id=1:a4:34:d9:13:7:3b comment=\
"EdyMountain wireless" mac-address=A4:34:D9:13:07:3B server=defconf
add address=192.168.50.182 client-id=1:80:fa:5b:24:63:4 comment=\
"EdyMountain wired" mac-address=80:FA:5B:24:63:04 server=defconf
add address=192.168.50.180 comment=EdyStone mac-address=70:4D:7B:71:17:75
add address=192.168.50.190 comment="Eyesynth Zybo" mac-address=\
00:0A:35:00:01:22
add address=192.168.50.191 comment="Eyesynth Odroid" mac-address=\
01:1E:06:35:DD:8B
add address=192.168.50.160 comment="ABB Welcome - IP Gateway" mac-address=\
80:7A:7F:02:9A:B7
add address=192.168.50.252 comment="NETWORK | Pi-Hole" mac-address=\
B8:27:EB:0E:89:2C
add address=192.168.50.231 comment=PiNodeLink mac-address=5C:85:7E:4F:B1:EB
add address=192.168.50.212 client-id=1:70:af:24:15:a0:6b comment=\
"Phillips TV 9000" mac-address=70:AF:24:15:A0:6B server=defconf
/ip dhcp-server network
add address=192.168.50.0/24 comment=defconf dns-server=192.168.50.252 \
gateway=192.168.50.254 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.50.254 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=drop chain=forward comment="Drop all out coming from NOWAN" \
out-interface-list=WAN packet-mark=nowan
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat comment="Port Mapping Example" disabled=yes \
dst-port=3824 protocol=udp to-addresses=192.168.50.182 to-ports=3824
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge type=internal
add interface=sfp-sfpplus1 type=external
/system clock
set time-zone-name=Europe/Madrid
/system leds
add interface=wlan2 leds="wlan2_signal1-led,wlan2_signal2-led,wlan2_signal3-le\
d,wlan2_signal4-led,wlan2_signal5-led" type=wireless-signal-strength
add interface=wlan2 leds=wlan2_tx-led type=interface-transmit
add interface=wlan2 leds=wlan2_rx-led type=interface-receive
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
