¿Cómo extender la cobertura wifi manteniendo las mismas características? (DHCP, ACL, acceso a puertos físicos...)

¡Hola!

He descubierto los routers Mikrotik este mes. Madre mía, qué pasada. No entiendo cómo he podido pasarme los últimos ~15 años peleando con routers domésticos de mierder tanto o más caros que siempre acaban malfuncionando por uno o por otro. He comprado un RB4011iGS+5Hac y me he pasado las dos últimas semanas trasteando y aprendiendo un montón. Todo va genial, ya está instalado y funcionando como yo quiero, básicamente un "home AP Dual router on steroids".

Pero ahora necesito ampliar la cobertura de la wifi. He leído e investigado por todas partes pero no he podido encontrar una respuesta segura y definitiva que se ajuste a mi caso concreto, así que os lo pongo en este fantástico foro por si me podéis echar una mano.

Resumiendo, el RB4011 está conectado por cable al router de Lowi, que tiene la wifi desactivada. Sólo se usa la wifi del Mikrotik, donde se gestiona de forma centralizada. Lo que necesito es ampliar la cobertura de la wifi, pero manteniendo las mismas características controladas desde el RB4011 con total transparencia, incluyendo todo esto que ya está funcionando:

- DHCP con las reservas estáticas.
- Wifi principal (Main) y wifi de invitados (Guest), ambas en dual band (2 y 5 GHz).
- Lista de acceso (ACL) en la wifi principal.
- Clientes aislados en la wifi de invitados. Límite de descarga de 30 Mbps por cliente.
- Los clientes en la wifi de invitados sólo tienen acceso a internet y al puerto físico ETH9 del RB4011 (Smart TV).

Como ventaja, puedo llevar un cable de ethernet a prácticamente cualquier parte de la casa. Mi idea es comprar un AP, llevarlo a otro punto donde hay baja cobertura, y conectarlo por cable al RB4011 en el puerto PoE. Pero a partir de ahí no sé cuál es la mejor forma de configurarlo para solamente extender la cobertura, manteniendo los mismos SSIDs, claves, lista de acceso, etc. He leído acerca de repetidores, WDS, Mesh, CAPsMan, bridge stations y más, pero sigo sin tenerlo nada claro.

Así de primeras, pienso que una solución pasaría por usar un repetidor "tonto" de la señal. Esto reduciría a la mitad la velocidad entre el AP y los clientes ("halving"), lo cual quizás se evitaría si se pueden usaran canales diferentes para comunicar RB4011 <-> AP y AP <-> clientes. Aunque de esta forma cablear el AP al router no supondría ninguna ventaja en cuanto a poder llevar datos por el cable en vez de por el aire.

¿Alguna idea o sugerencia? Os incluyo a continuación todos los detalles de mi configuración. El AP (marcado "??") aún no está comprado:
1667224999367.png

- WAN en el puerto SFP1 (módulo LAN de 1Ghz). Configuración DHCP dinámica, aunque se le asigna una IP estática desde el router de Lowi.
- Todos los puertos excepto SFP1 en el mismo bridge, incluyendo WLANs. Todo en el mismo espacio de direcciones y con un único servidor de DHCP.
- Servidor DHCP con reservas estáticas para determinados dispositivos.
- Wifi principal (SSID "Main") con clave. Lista de acceso (ACL) aceptando sólo los dispositivos autorizados.
- Wifi de invitados (SSID "Guest") con clave y límite de velocidad. Cualquier dispositivo con la clave puede conectarse.
- Ambas wifis disponibles en 5Ghz y 2Ghz, compartiendo los SSIDs en ambas bandas para que cada dispositivo se conecte a la que quiera.

Filtros a nivel de bridge (Bridge > Filters):
- El puerto físico ETH1 tiene acceso normal a la LAN, pero no puede salir por la WAN (bloqueo en Firewall).
- Los clientes conectados a la wifi Guest:
1) No pueden verse entre ellos.
2) Tienen acceso LAN al puerto físico ETH9 (ej. para mandar videos a la TV).
3) Velocidad de descarga limitada a 30 Mbps (limitado en la ACL).

Dejo el export aquí por si fuera de utilidad.
¡Muchas gracias!

Código:
# oct/31/2022 15:06:11 by RouterOS 6.49.7
# software id = 3Z6E-7N4W
#
# model = RB4011iGS+5HacQ2HnD
# serial number = XXXX
/interface bridge
add admin-mac=DC:2C:6E:E6:F3:31 auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=5ghz-a/n/ac channel-width=\
    20/40/80mhz-XXXX country=spain default-authentication=no disabled=no \
    distance=indoors frequency=auto installation=indoor mode=ap-bridge \
    secondary-frequency=auto ssid=Main wireless-protocol=802.11
set [ find default-name=wlan2 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
    country=spain default-authentication=no disabled=no distance=indoors \
    frequency=auto installation=indoor mode=ap-bridge ssid=Main \
    wireless-protocol=802.11
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add name=LAN-ENT
add name=NOWAN
add name=WLAN-ENT
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk comment=\
    "Main WiFi" mode=dynamic-keys supplicant-identity=MikroTik
add authentication-types=wpa-psk,wpa2-psk comment=\
    "Guest / Entertainment WiFi" mode=dynamic-keys name=profile \
    supplicant-identity=MikroTik
/interface wireless
add disabled=no mac-address=DE:2C:6E:E6:F3:3B master-interface=wlan1 name=\
    wlan3 security-profile=profile ssid=Guest
add disabled=no mac-address=DE:2C:6E:17:B5:28 master-interface=wlan2 name=\
    wlan4 security-profile=profile ssid=Guest
/ip pool
add name=dhcp ranges=192.168.50.100-192.168.50.150
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface bridge filter
add action=accept chain=forward comment=\
    "Allow LAN-ENT <-> WLAN-ENT communication" in-interface-list=LAN-ENT \
    out-interface-list=WLAN-ENT
add action=accept chain=forward in-interface-list=WLAN-ENT \
    out-interface-list=LAN-ENT
add action=drop chain=forward comment=defconf disabled=yes in-interface=wlan3
add action=drop chain=forward disabled=yes out-interface=wlan3
add action=drop chain=forward comment=defconf disabled=yes in-interface=wlan4
add action=drop chain=forward disabled=yes out-interface=wlan4
add action=drop chain=forward comment="WLAN-ENT client isolation" \
    in-interface-list=WLAN-ENT
add action=drop chain=forward out-interface-list=WLAN-ENT
add action=mark-packet chain=input comment=\
    "Mark NOWAN to be dropped in firewall" in-interface-list=NOWAN \
    new-packet-mark=nowan
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=ether9
add bridge=bridge comment=defconf interface=ether10
add bridge=bridge comment=defconf disabled=yes interface=sfp-sfpplus1
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
add bridge=bridge interface=wlan3
add bridge=bridge interface=wlan4
add bridge=bridge interface=ether1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment="Entertainment port" interface=ether9 list=LAN-ENT
add comment="No WAN access" interface=ether1 list=NOWAN
add comment="Entertainment / Guest WiFi 5Ghz" interface=wlan3 list=WLAN-ENT
add comment="Entertainment / Guest WiFi 2Ghz" interface=wlan4 list=WLAN-ENT
add comment="Read System > Note for changing WAN port" interface=sfp-sfpplus1 \
    list=WAN
add comment="Pi-Hole port (DNS). WLAN-ENT needs this." interface=ether2 list=\
    LAN-ENT
/interface wireless access-list
add ap-tx-limit=30000000 comment="defconf - Guest 5 GHz" interface=wlan3
add ap-tx-limit=30000000 comment="defconf - Guest 2 GHz" interface=wlan4
add comment="Steam Deck" mac-address=2C:3B:70:A9:F7:9B vlan-mode=no-tag
add comment="EdyMountain wireless" mac-address=A4:34:D9:13:07:3B vlan-mode=\
    no-tag
add comment="Google Pixel 5" mac-address=60:B7:6E:02:59:D8 vlan-mode=no-tag
add comment="Samsung Galaxy Tab S3" mac-address=D0:7F:A0:37:BB:5F vlan-mode=\
    no-tag
/ip address
add address=192.168.50.254/24 comment=defconf interface=bridge network=\
    192.168.50.0
/ip cloud
set ddns-enabled=yes ddns-update-interval=8h
/ip dhcp-client
add comment=defconf disabled=no interface=sfp-sfpplus1
/ip dhcp-server lease
add address=192.168.50.183 client-id=1:a4:34:d9:13:7:3b comment=\
    "EdyMountain wireless" mac-address=A4:34:D9:13:07:3B server=defconf
add address=192.168.50.182 client-id=1:80:fa:5b:24:63:4 comment=\
    "EdyMountain wired" mac-address=80:FA:5B:24:63:04 server=defconf
add address=192.168.50.180 comment=EdyStone mac-address=70:4D:7B:71:17:75
add address=192.168.50.190 comment="Eyesynth Zybo" mac-address=\
    00:0A:35:00:01:22
add address=192.168.50.191 comment="Eyesynth Odroid" mac-address=\
    01:1E:06:35:DD:8B
add address=192.168.50.160 comment="ABB Welcome - IP Gateway" mac-address=\
    80:7A:7F:02:9A:B7
add address=192.168.50.252 comment="NETWORK | Pi-Hole" mac-address=\
    B8:27:EB:0E:89:2C
add address=192.168.50.231 comment=PiNodeLink mac-address=5C:85:7E:4F:B1:EB
add address=192.168.50.212 client-id=1:70:af:24:15:a0:6b comment=\
    "Phillips TV 9000" mac-address=70:AF:24:15:A0:6B server=defconf
/ip dhcp-server network
add address=192.168.50.0/24 comment=defconf dns-server=192.168.50.252 \
    gateway=192.168.50.254 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.50.254 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=drop chain=forward comment="Drop all out coming from NOWAN" \
    out-interface-list=WAN packet-mark=nowan
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat comment="Port Mapping Example" disabled=yes \
    dst-port=3824 protocol=udp to-addresses=192.168.50.182 to-ports=3824
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge type=internal
add interface=sfp-sfpplus1 type=external
/system clock
set time-zone-name=Europe/Madrid
/system leds
add interface=wlan2 leds="wlan2_signal1-led,wlan2_signal2-led,wlan2_signal3-le\
    d,wlan2_signal4-led,wlan2_signal5-led" type=wireless-signal-strength
add interface=wlan2 leds=wlan2_tx-led type=interface-transmit
add interface=wlan2 leds=wlan2_rx-led type=interface-receive
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
 
Partiendo de la premisa que estás contento con el Mikrotik y que tu siguiente equipo seguirá los pasos del primero, y comprarás otro de la marca:
- La rápida: replicas todo lo que tienes salvo el DHCP en el nuevo AP y andando. Montar un AP en mikrotik, partiendo de cero configuración es tan sencillo como crear un bridge y meter todos los puertos dentro. ¿Problema? te va a dar la lata el tema del filtrado a nivel de bridge para independizar ambas redes, puesto que ahí no hay puertos WAN separados del bridge principal. O tiras de ingenio y DHCP releay para sacar un puerto del bridge y luego aplicar el mismo filtro que tienes en el principal, o lo que filtres se va a quedar sin conexión si lo haces en forward.
- Migras a CAPsMAN, que es la manera buena de hacerlo. El 4011 sería tu manager + CAP y el nuevo equipo, tu segundo CAP. Metes la red de invitados en una vlan, tu red en otra, y haces las cosas bien hechas (un setup mucho más sólido que el que planteas). Te tocará jugar con el firewall para permitir dichas comunicaciones extra que pretendes (aunque yo no permitiría nada desde la red de invitados hasta mi red local, invitados significa invitados) y andando.

Yo empezaría por migrar mi red a VLANs + CAPsMAN y, una vez controles la red wifi de ese equipo como un CAP, meter un segundo CAP es dar de alta una regla de provisioning nueva... poca cosa. Lo más difícil, que es el cableado, parece que ya lo tienes solventado.

Saludos!
 
¡Gracias por el aporte! Claro, la idea es comprar otro Mikrotik para ampliar la cobertura WiFi. Te comento mis impresiones.

- La rápida: replicas todo lo que tienes salvo el DHCP en el nuevo AP y andando. Montar un AP en mikrotik, partiendo de cero configuración es tan sencillo como crear un bridge y meter todos los puertos dentro.
Descarto esta opción porque tendría que tener configuraciones por duplicado, y eso es justo lo que pretendo evitar (además de los problemas asociados que mencionas).

- Migras a CAPsMAN, que es la manera buena de hacerlo. El 4011 sería tu manager + CAP y el nuevo equipo, tu segundo CAP. Metes la red de invitados en una vlan, tu red en otra, y haces las cosas bien hechas (un setup mucho más sólido que el que planteas).
CAPsMAN + VLAN + Firewall parece una buena opción. No obstante todavía soy un completo novato en todo esto, y prefiero explorar y aprender bien las opciones más simples primero. Por otro lado, tenía entendido que usar VLANs deshabilita la aceleración por hardware en las boards que no tengan soporte hardware específico para esta característica, ¿es correcto? (puede que yo hubiera entendido algo mal).

yo no permitiría nada desde la red de invitados hasta mi red local, invitados significa invitados
Entiendo lo de separar completamente la red de invitados (empecé haciendo pruebas en esa dirección), pero en mi caso necesito que los invitados puedan mandar videos a la SmartTV sin secuestrarme el móvil. Al mismo tiempo, la propia SmartTV debe estar en la red principal para poder usar Steam Link con mi PC, que es el que mueve bien los juegos. Tener la wifi de invitados en la misma red pero dándoles acceso únicamente a un puerto físico determinado me parece una forma simple y eficiente de cubrir estas necesidades. Se usa el mismo tipo de filtrado que aísla a los invitados entre sí.

Por el momento, simplemente extender las WLANs actuales de alguna forma me está pareciendo la opción más atractiva si se pudiera hacer tal cual lo planteo. Vale que pierdo la ventaja de la conexión por cable, e incluso aceptaría perder la mitad de la velocidad si no hubiera ninguna forma de evitarlo. Por ejemplo supongamos que compro el hAP ax2 (o cualquier otro Mikrotik dual band). ¿Cuál sería el modo correcto de configurarlo como "repetidor de la señal", tal cual?
 
CAPsMAN + VLAN + Firewall parece una buena opción. No obstante todavía soy un completo novato en todo esto, y prefiero explorar y aprender bien las opciones más simples primero. Por otro lado, tenía entendido que usar VLANs deshabilita la aceleración por hardware en las boards que no tengan soporte hardware específico para esta característica, ¿es correcto? (puede que yo hubiera entendido algo mal).
El 4011 es una bestia. Incluso perdiendo el hardware offloading (que no lo pierdes, desde la v7 ya son compatibles también), podrías usarlo igualmente con ese setup.
Entiendo lo de separar completamente la red de invitados (empecé haciendo pruebas en esa dirección), pero en mi caso necesito que los invitados puedan mandar videos a la SmartTV sin secuestrarme el móvil. Al mismo tiempo, la propia SmartTV debe estar en la red principal para poder usar Steam Link con mi PC, que es el que mueve bien los juegos. Tener la wifi de invitados en la misma red pero dándoles acceso únicamente a un puerto físico determinado me parece una forma simple y eficiente de cubrir estas necesidades. Se usa el mismo tipo de filtrado que aísla a los invitados entre sí.
Casi que lo haría en dirección opuesta. Meter la TV en la red de invitados y permitir el acceso a una IP concreta (la de tu ordenador) de la red principal. Todo acceso por IP se puede hacer esa excepción, pero
Por el momento, simplemente extender las WLANs actuales de alguna forma me está pareciendo la opción más atractiva si se pudiera hacer tal cual lo planteo. Vale que pierdo la ventaja de la conexión por cable, e incluso aceptaría perder la mitad de la velocidad si no hubiera ninguna forma de evitarlo. Por ejemplo supongamos que compro el hAP ax2 (o cualquier otro Mikrotik dual band). ¿Cuál sería el modo correcto de configurarlo como "repetidor de la señal", tal cual?
De este párrafo no he entendido nada. Tal cual lo tienes, compras otro chisme, implementas lo mismo que tienes salvo el dhcp y firewall, con todos los puertos en el bridge, y ya tienes un AP. Pero tira vía CAPsMAN, que es la vía a seguir. Y, para poner un equipo en modo CAP (todos sus puertos en un mismo bridge y la parte wifi a disposición de manejo desde un CAPsMAN), solo tienes que hacer System -> Reset Configuration y marcar la opción "CAPS Mode".

Saludos!
 
Arriba