Comprobación seguridad configuración red doméstica

Hola.

Lo primero agradecer la información que estáis aportando sobre Mikrotik, que ha hecho posible que me animara a comprar un roter RB4011iGS+RM que de no estar, nunca me habría atrevido.

Aprovechando la paga extra, he hecho un esfuerzo económico y he decidido comprar este modelo, ya que me he planteado que "no se suele escatimar" en la compra de un buen teléfono móvil cada tres años y por otro lado nos duele gastarnos dinero en un buen router que en teoría, es para usarlo muchísimos años.

Aunque tengo funcionando al 80% lo que quería hacer, os adjunto la configuración por si le pudiérais revisarla a ver si he hecho alguna animalada a nivel de seguridad, etc,

Se trata de una red doméstica, pero con la peculiaridad de que me gusta cacharrear y siempre estoy añadiendo cosas.

Lo que más me ha costado es hacer funcionar un punto de acceso (es un modelo de empresa de la marca Cisco que compré de segunda mano), que aunque es algo antiguo funciona muy bien.
El AP, está conectado al puerto Ether4.


La topología es la siguiente.

Wan --> ETHER1 (está conectada al router del operador, con idea de poner este en modo bridge cuando tenga certeza que la configuración del Mikrotik es segura).

bridgeLAN_1 --> ETHER2, ETHER3, ETHER4, ETHER5 (PC sobremesa, Porátil cole, Impresora WiFi, Teléfonos padres, etc.).

Vlan2 --> Para dar WiFi a varios sensores de temperatura de construcción casera tipo Arduino (ESP8266).
Tengo pendiente poder asignarle el puerto ETHER6, para conectar una Raspberry Pi (de momento no tengo claro como hacerlo).

Vlan3 --> Para dar Wifi al teléfono del chaval e invitados (como se instala de todo en el móvil, no quiero que se conecte a la red principal).

Vlan4 --> Para hacer pruebas de vez en cuando (la activo y desactivo en el AP, según las necesidades).

ETHER6 --> Pendiente de conectar una Raspberry Pi a la Vlan2.

ETHER7, ETHER8 --> Sin uso (Reserva).

ETHER9 --> Red aislada por cable para dar servicio al Android TV y algún otro dispositivo que esté conectado a la TV mediante un switch (Multimedia_TV).

ETHER10 --> Red aislada por cable para posibles pruebas de dispositivos que no quiero que vean el resto de la red.

He asignado IPs estáticas tanto al AP como a la impresora.


# jul/16/2021 09:22:28 by RouterOS 6.47.9
# software id = 644C-56Z6
#
# model = RB4011iGS+
# serial number = F0XXXXXXA0B
/interface bridge
add name=bridgeLAN_1
/interface ethernet
set [ find default-name=ether1 ] comment=WAN
/interface vlan
add interface=bridgeLAN_1 name=vlan2 vlan-id=2
add interface=bridgeLAN_1 name=vlan3 vlan-id=3
add interface=bridgeLAN_1 name=vlan4 vlan-id=1
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool1 ranges=192.168.21.10-192.168.21.254
add name=dhcp_pool9 ranges=192.168.9.2-192.168.9.6
add name=dhcp_pool102 ranges=192.168.102.2-192.168.102.254
add name=dhcp_pool103 ranges=192.168.103.2-192.168.103.254
add name=dhcp_pool104 ranges=192.168.104.2-192.168.104.6
add name=dhcp_pool10 ranges=192.168.10.2-192.168.10.6
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=bridgeLAN_1 name=dhcp1
add address-pool=dhcp_pool9 disabled=no interface=ether9 name=dhcp9
add address-pool=dhcp_pool102 disabled=no interface=vlan2 name=dhcp2
add address-pool=dhcp_pool103 disabled=no interface=vlan3 name=dhcp3
add address-pool=dhcp_pool104 disabled=no interface=vlan4 name=dhcp4
add address-pool=dhcp_pool10 disabled=no interface=ether10 name=dhcp10
/interface bridge port
add bridge=bridgeLAN_1 interface=ether2
add bridge=bridgeLAN_1 interface=ether3
add bridge=bridgeLAN_1 interface=ether4
add bridge=bridgeLAN_1 interface=ether5
/interface list member
add interface=ether1 list=WAN
add list=LAN
/ip address
add address=192.168.21.1/24 comment="Red Principal" interface=bridgeLAN_1 \
network=192.168.21.0
add address=192.168.9.1/29 comment=Multimedia_TV interface=ether9 network=\
192.168.9.0
add address=192.168.102.1/24 comment="Red Sensores" interface=vlan2 network=\
192.168.102.0
add address=192.168.103.1/24 comment=Invitados interface=vlan3 network=\
192.168.103.0
add address=192.168.104.1/24 comment=Pruebas interface=vlan4 network=\
192.168.104.0
add address=192.168.10.1/29 comment=Cacharrear interface=ether10 network=\
192.168.10.0
/ip dhcp-client
add disabled=no interface=ether1
/ip dhcp-server lease
add address=192.168.21.3 client-id=1:54:a2:74:12:c7:18 mac-address=\
54:A2:74:12:C7:18 server=dhcp1
add address=192.168.21.233 client-id=1:0:80:92:bb:db:83 mac-address=\
00:80:92:BB:DB:83 server=dhcp1
/ip dhcp-server network
add address=192.168.9.0/24 dns-server=1.1.1.1,9.9.9.9 gateway=192.168.9.1
add address=192.168.10.0/24 dns-server=1.1.1.1,9.9.9.9 gateway=192.168.10.1
add address=192.168.21.0/24 dns-server=1.1.1.1,9.9.9.9 gateway=192.168.21.1 \
netmask=24
add address=192.168.101.0/24 dns-server=1.1.1.1,9.9.9.9 gateway=192.168.101.1
add address=192.168.102.0/24 dns-server=1.1.1.1,9.9.9.9 gateway=192.168.102.1
add address=192.168.103.0/24 dns-server=1.1.1.1,9.9.9.9 gateway=192.168.103.1
add address=192.168.104.0/24 dns-server=1.1.1.1,9.9.9.9 gateway=192.168.104.1
/ip dns
set allow-remote-requests=yes
/ip firewall filter
add action=drop chain=input in-interface=ether1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
/system clock
set time-zone-name=Europe/Madrid
/system identity


He estado mirando el tutorial de Pokoyo de Vlan y y algunos otros hilos sobre este tema y gracias a ello parece que funciona, pero no tengo claro del todo si está bien configurado.

Mencionar que he tenido que activar la función "Untagged VLAN" en el menú "VLAN and IPv4 Address" del AP para que funcione.
Si no lo hacía, perdía la conexión con el AP y para poder recuperarla tenía que conectarme a mi anterior router.
Creo que por aquí puede venir el problema, por tema de Target / untarget ¿?.

Saludos.
 
Hola @Capa8, bienvenido al foro.

La configuración del router es escasa y no está lista para que lo abras a internet; prácticamente no tienes firewall. Las VLANs las tienes configuradas sobre el bridge, pero luego no activas el bridge vlan filtering, así que como si no las tuvieras.

Revisa los distintos manuales y familiarízate con la configuración por defecto que monta el router recién reseteado (sin marcar el "No default configuration"). Y, sobre esa configuración, que ya viene perfectamente preparada para exponerla a internet, trabajas en lo que quieras.

Te puedo ir guiando, pero te recomendaría que miraras primero los manuales con calma, y luego nos metemos con lo que quieras. Antes de empezar a trabajar con VLANs a nivel LAN, te recomendaría que vieras cómo puedes simplemente aislar un puerto del router sin usar VLANs, y ponerlo a correr en un segmento de red distintos. Una vez veas cómo funciona eso, ya nos metemos con las VLANs a nivel bridge.

Saludos!
 
Hola @Capa8, bienvenido al foro.

La configuración del router es escasa y no está lista para que lo abras a internet; prácticamente no tienes firewall. Las VLANs las tienes configuradas sobre el bridge, pero luego no activas el bridge vlan filtering, así que como si no las tuvieras.

Revisa los distintos manuales y familiarízate con la configuración por defecto que monta el router recién reseteado (sin marcar el "No default configuration"). Y, sobre esa configuración, que ya viene perfectamente preparada para exponerla a internet, trabajas en lo que quieras.

Te puedo ir guiando, pero te recomendaría que miraras primero los manuales con calma, y luego nos metemos con lo que quieras. Antes de empezar a trabajar con VLANs a nivel LAN, te recomendaría que vieras cómo puedes simplemente aislar un puerto del router sin usar VLANs, y ponerlo a correr en un segmento de red distintos. Una vez veas cómo funciona eso, ya nos metemos con las VLANs a nivel bridge.

Saludos!
Gracias por tu respuesta Pocoyo.

Es lo que me temía y por eso tengo por medio el router de la operadora sin pasarlo a modo bridge.

Había leído que con las siguientes líneas ya funcionaba Internet y estabas protegido del exterior y por eso lo dejé así:

/ip firewall filter
add action=drop chain=input in-interface=ether1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1


Voy a hacer una copia de seguridad por si me lio y tengo que tirar atrás y ya me pongo de nuevo como me has indicado.

En principio ya creía tener las redes aisladas (entraba en cada una de las redes WiFi y hacía un escaneo de equipos y solamente me aparecían los de ese grupo) y las IPs si que eran las que les había asignado.

Los puertos ethernet 9 y 10 también en teoría están aislados y además lo que hice era asignar solamente cinco IPs, ya que son unas redes donde se van a conectar muy pocos dispositivos.

Saludos.

EDITADO:

Ya me he puesto manos a la obra y por no solamente copiar y pegar (intento entender lo que hago), he cargado la configuración inicial en modo router y he sacado el listado de la parte del firewall.

Luego buscando en Internet el significado de cada línea y teniendo en cuenta que este router no tiene WiFi y que de momento no voy a utilizar una VPN, he creado una lista con las reglas que pienso serían más aconsejables:

/ip firewall filter

/Añadir:


add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid

add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN

add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid

add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN


/NO añadir:

add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked

add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp

add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1

add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec

add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec

add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related

add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked



/ip firewall nat

/Añadir
(esta regla ya la tenía en mi configuración anterior):

add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN


¿Que os parece?.

Entiendo que estas reglas se pueden introducir desde el terminal (tal como están escritas), pero desde webfig no se como pegar texto en la ventana del terminal.

Saludos.
 
Última edición:
Hola @Capa8, bienvenido al foro.

La configuración del router es escasa y no está lista para que lo abras a internet; prácticamente no tienes firewall. Las VLANs las tienes configuradas sobre el bridge, pero luego no activas el bridge vlan filtering, así que como si no las tuvieras.

Revisa los distintos manuales y familiarízate con la configuración por defecto que monta el router recién reseteado (sin marcar el "No default configuration"). Y, sobre esa configuración, que ya viene perfectamente preparada para exponerla a internet, trabajas en lo que quieras.

Te puedo ir guiando, pero te recomendaría que miraras primero los manuales con calma, y luego nos metemos con lo que quieras. Antes de empezar a trabajar con VLANs a nivel LAN, te recomendaría que vieras cómo puedes simplemente aislar un puerto del router sin usar VLANs, y ponerlo a correr en un segmento de red distintos. Una vez veas cómo funciona eso, ya nos metemos con las VLANs a nivel bridge.

Saludos!

Hola.

Creo otro mensaje nuevo, ya que modifiqué el anterior para añadir más cosas y se ha quedado en cola, por tener la hora en el que se creó.

Tal como me dijiste, he empezado desde cero con la configuración por defecto y antes de seguir añadiendo más cosas, me gustaría entender que hace cada regla del firewall.

Buscando en Internet el significado de cada línea y teniendo en cuenta que este router no tiene WiFi, que de momento no voy a utilizar una VPN, y que no quiero que responda a los posibles pings que se le envíen desde el exterior, he creado una lista con las reglas que pienso serían más aconsejables (añadir o mantener en la configuración) y otras que como entiendo que no las utilizaré, mejor sería quitarlas (no añadir o borrar en la configuración), ya que entiendo que cuanto menos reglas que acepten cosas tenga la configuración, más seguro será el sistema.
Lo mismo estoy equivocado y no afecta en nada dejar toda la configuración por defecto tal cual, aunque no se utilice:

/ip firewall filter

/Añadir:


add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid

add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN

add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid

add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN


/NO añadir:

add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked

add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp

add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1

add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec

add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec

add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related

add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked



/ip firewall nat

/Añadir
(esta regla ya la tenía en mi configuración anterior):

add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN


¿Que os parece?.

Entiendo que estas reglas se pueden introducir desde el terminal (tal como están escritas), pero desde webfig no se como pegar texto en la ventana del terminal.

Saludos.
 
Mal! De las reglas de firewall que monta la configuración original, no sobra ni una! Todas tienen su porqué. Te puedes ahorrar una, la de CAPsMAN, y aún así, no estorba.

Tengo por ahí un post con un compi que preguntaba lo mismo, y le expliqué una a una cada regla. Échale un vistazo aquí.

La regla de ping (la que acepta el ICMP en input) es más importante de lo que parece, puesto que se usa para descubrir el tamaño del MTU, así que tampoco sobra.

Lo dicho, las reglas puedes definir las que quieras y hacerlas a tu gusto. Pero eso implica que sepas muy muy bien lo que estás haciendo. Si no es el caso, o acabas de aterrizar en mikrotik, usa las reglas por defecto, que no molestan ni gota. Es más, diría que es una configuración extraordinaria, y válida para el 99% de las conexiones domésticas.

Saludos!
 
Mal! De las reglas de firewall que monta la configuración original, no sobra ni una! Todas tienen su porqué. Te puedes ahorrar una, la de CAPsMAN, y aún así, no estorba.

Tengo por ahí un post con un compi que preguntaba lo mismo, y le expliqué una a una cada regla. Échale un vistazo aquí.

La regla de ping (la que acepta el ICMP en input) es más importante de lo que parece, puesto que se usa para descubrir el tamaño del MTU, así que tampoco sobra.

Lo dicho, las reglas puedes definir las que quieras y hacerlas a tu gusto. Pero eso implica que sepas muy muy bien lo que estás haciendo. Si no es el caso, o acabas de aterrizar en mikrotik, usa las reglas por defecto, que no molestan ni gota. Es más, diría que es una configuración extraordinaria, y válida para el 99% de las conexiones domésticas.

Saludos!
Muchas gracias Pokoyo.

Eso es exactamente lo que quería entender.

Me voy a mirar el post que comentas a ver si entiendo un poco los conceptos, que como te digo es más que nada por intentar aprender algo y no solamente copiar y pegar.

Saludos.
 
Pero es que creo que lo estás haciendo al revés. En lugar de arrancar con un router sin configuración e ir metiéndola poco a poco, meramente copiando y pegando config, arranca mejor con un router con la configuración por defecto, hazle un export, y estúdiala. Te darás cuenta de que es una configuración muy buena y válida para muchos setup. Si quieres, incluso podemos abrir un post e ir desmenuzándola comando a comando, no me importa.

Saludos!
 
Pero es que creo que lo estás haciendo al revés. En lugar de arrancar con un router sin configuración e ir metiéndola poco a poco, meramente copiando y pegando config, arranca mejor con un router con la configuración por defecto, hazle un export, y estúdiala. Te darás cuenta de que es una configuración muy buena y válida para muchos setup. Si quieres, incluso podemos abrir un post e ir desmenuzándola comando a comando, no me importa.

Saludos!
Hola.

Correcto, en principio es lo que quería hacer y luego al cargar la configuración por defecto me surgió la duda que ya me aclaraste en tu anterior respuesta sobre el firewall, que para hacer un símil, me imaginaba una casa con muchas puertas que no se van a usar (los VPN, los ping, el WiFi, etc.) y para eso, quería quitarlas, desconociendo que sería peor el remedio que la enfermedad.

Ahora he vuelto a empezar a trabajar (nos están mandando de Erte a dos por tres) y tengo menos tiempo para trastear, pero en cuanto pueda me pongo de nuevo con ello, a ver si entiendo cada una de las líneas de configuración (me apoyaré en el enlace del post que me has indicado) y así tampoco os mareo con cosas que ya se han tratado anteriormente y solamente consulto las dudas de cosas no mencionadas..

Agradecerte enormemente la ayuda que me estás ofreciendo, ya que como te mencioné anteriormente, sin ella no me hubiera atrevido a comprar un router de este tipo, ya que como has podido observar no suelo coger el camino recto para hacer las cosas ;)

Saludos.
 
Hola.

Correcto, en principio es lo que quería hacer y luego al cargar la configuración por defecto me surgió la duda que ya me aclaraste en tu anterior respuesta sobre el firewall, que para hacer un símil, me imaginaba una casa con muchas puertas que no se van a usar (los VPN, los ping, el WiFi, etc.) y para eso, quería quitarlas, desconociendo que sería peor el remedio que la enfermedad.

Ahora he vuelto a empezar a trabajar (nos están mandando de Erte a dos por tres) y tengo menos tiempo para trastear, pero en cuanto pueda me pongo de nuevo con ello, a ver si entiendo cada una de las líneas de configuración (me apoyaré en el enlace del post que me has indicado) y así tampoco os mareo con cosas que ya se han tratado anteriormente y solamente consulto las dudas de cosas no mencionadas..

Agradecerte enormemente la ayuda que me estás ofreciendo, ya que como te mencioné anteriormente, sin ella no me hubiera atrevido a comprar un router de este tipo, ya que como has podido observar no suelo coger el camino recto para hacer las cosas ;)

Saludos.
No te preocupes, pregunta lo que quieras y/o necesites. Yo, encantado de poder ayudar. Tienes una bestia de equipo, qué menos que sacarle todo el partido que puedas.

Saludos!
 
Hola.

Por fin me he podido poner manos a la obra borrando todo y volviendo a configurar todo desde el principio, y creo que no es tiempo perdido puesto que en todo momento se lo que estoy haciendo (o eso creo), cosa que hace unas semanas hacía sin saber muy bien lo que era.

Vuelvo a poner lo que tengo pensado hacer y la configuración actual:

Wan --> ETHER1 (está conectada al router del operador, con idea de poner este en modo bridge cuando tenga certeza que la configuración del Mikrotik es segura).

bridge --> ETHER2, ETHER3, ETHER4, ETHER5 (PC sobremesa, Porátil cole, Impresora WiFi, Teléfonos padres, etc.).

Vlan2 --> Para dar WiFi a varios sensores de temperatura de construcción casera tipo Arduino (ESP8266).
Tengo pendiente poder asignarle el puerto ETHER6, para conectar una Raspberry Pi (de momento no tengo claro como hacerlo).

Vlan3 --> Para dar Wifi al teléfono del chaval e invitados (como se instala de todo en el móvil, no quiero que se conecte a la red principal).

Vlan4 --> Para hacer pruebas de vez en cuando (la activo y desactivo en el AP, según las necesidades).

ETHER6 --> Pendiente de conectar una Raspberry Pi a la Vlan2.

ETHER7, ETHER8 --> Sin uso (Reserva).

ETHER9 --> Red aislada por cable para dar servicio al Android TV y algún otro dispositivo que esté conectado a la TV mediante un switch (Multimedia_TV).

ETHER10 --> Red aislada por cable para posibles pruebas de dispositivos que no quiero que vean el resto de la red.

He asignado IPs estáticas al AP (con la impresora haré lo mismo), pero de momento ya me sirve, para saber que comando hace esa función.

En el puerto Ether4, está conectado un punto de acceso que entrega cuatro Vlans (1, 2, 3 y 4).


Las dudas que tengo para seguir son:

1- En el tutorial de Pokoyo de vlan, al final de la configuración activa el vlan-filtering " /interface bridge set bridge-vlans vlan-filtering=yes"
(entiendo que es una aceleración por hardware, pero no tengo muy claro si yo tengo que hacer lo mismo en esta configuración).

2- Como quiero conectar una Raspberry Pi al ETHER6 que pertenezca a la vlan2, pienso que tendré que añadir este puerto al bridge, pasarlo a puerto Trunk y asociarlo a dicha vlan2, como en los ejemplos del tutorial.

3- Como el punto de acceso envía 4 vlans, creo que también tendría que cambiar el puerto donde se conecta a Trunk.
Con esto he tenido problemas, ya que al principio no me funcinaba y tuve que activar en el AP la función "Untagged VLAN" (vamos, que tendría que decirle al router que por ese puerto le están llegando paquetes etiquetados) y luego desmarcar en el AP "Untagged VLAN".

Esto que me falta por hacer no no lo tengo claro al 100%, pero cada vez que vuelvo a releer un tutorial pasados unos días, voy comprendiendo más cosas.


# jul/25/2021 09:34:27 by RouterOS 6.47.10
# software id = 644C-56Z6
#
# model = RB4011iGS+
# serial number = F0XXXXXX222
/interface bridge
add admin-mac=2C:C8:1B:B0:53:D2 auto-mac=no comment=defconf name=bridge
/interface vlan
add interface=bridge name=vlan2 vlan-id=2
add interface=bridge name=vlan3 vlan-id=3
add interface=bridge name=vlan4 vlan-id=4
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.21.10-192.168.21.254
add name=dhcp_pool_102 ranges=192.168.102.2-192.168.102.254
add name=dhcp_pool_103 ranges=192.168.103.2-192.168.103.254
add name=dhcp_pool_104 ranges=192.168.104.2-192.168.104.6
add name=dhcp_pool_9 ranges=192.168.9.2-192.168.9.6
add name=dhcp_pool_10 ranges=192.168.10.2-192.168.10.6
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
add address-pool=dhcp_pool_102 disabled=no interface=vlan2 name=dhcp_102
add address-pool=dhcp_pool_103 disabled=no interface=vlan3 name=dhcp_103
add address-pool=dhcp_pool_104 disabled=no interface=vlan4 name=dhcp_104
add address-pool=dhcp_pool_9 disabled=no interface=ether9 name=dhcp9
add address-pool=dhcp_pool_10 disabled=no interface=ether10 name=dhcp1
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.21.1/24 comment=defconf interface=bridge network=\
192.168.21.0
add address=192.168.102.1/24 interface=vlan2 network=192.168.102.0
add address=192.168.103.1/24 interface=vlan3 network=192.168.103.0
add address=192.168.104.1/29 interface=vlan4 network=192.168.104.0
add address=192.168.9.1/29 interface=ether9 network=192.168.9.0
add address=192.168.10.1/29 interface=ether10 network=192.168.10.0
/ip dhcp-client
add comment=defconf disabled=no interface=ether1
/ip dhcp-server lease
add address=192.168.21.3 client-id=1:54:a2:74:12:c7:18 mac-address=\
54:A2:74:12:C7:18 server=defconf
/ip dhcp-server network
add address=192.168.9.0/29 dns-server=1.1.1.1,9.9.9.9 gateway=192.168.9.1
add address=192.168.10.0/29 dns-server=1.1.1.1,9.9.9.9 gateway=192.168.10.1
add address=192.168.21.0/24 comment=defconf gateway=192.168.21.1 netmask=24
add address=192.168.102.0/24 dns-server=1.1.1.1,9.9.9.9 gateway=192.168.102.1
add address=192.168.103.0/24 dns-server=1.1.1.1,9.9.9.9 gateway=192.168.103.1
add address=192.168.104.0/24 dns-server=1.1.1.1,9.9.9.9 gateway=192.168.104.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.21.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
/system clock
set time-zone-name=Europe/Madrid
/system package update
set channel=long-term
/tool mac-server
 
Como consejo general, te digo lo que ya te comenté, que uses vlans que no usen los operadores a nivel WAN como tuyas para la LAN. Así que, en lugar de la vlan 2, 3, 4, etc, usa la vlan 100, 101, 102, o similar para evitar ese conflicto. Y evita a toda costas usar la vlan 0 o la vlan 1, porque prácticamente cualquier chisme que soporte VLANs usa una de esas dos como la “no vlan” o vlan por defecto. Así que, si no quieres líos, mejor evita esos números de vlan a toda costa.

Ahora, a por los puntos:
1- En el tutorial de Pokoyo de vlan, al final de la configuración activa el vlan-filtering " /interface bridge set bridge-vlans vlan-filtering=yes"
(entiendo que es una aceleración por hardware, pero no tengo muy claro si yo tengo que hacer lo mismo en esta configuración).
No, no es ningún tipo de aceleración. Es básicamente lo que “echa a andar” el tema en cuestión. Hasta que no actives ese flag, las vlans no tienen efecto alguno a nivel de bridge. Vamos, como si no las aplicaras. Es decir, si vas a trabajar con vlans y la gestión de las mismas se va a hacer en el propio router mikrotik, por narices, lo tienes que activar y usar así.

2- Como quiero conectar una Raspberry Pi al ETHER6 que pertenezca a la vlan2, pienso que tendré que añadir este puerto al bridge, pasarlo a puerto Trunk y asociarlo a dicha vlan2, como en los ejemplos del tutorial.
No, justo lo contrario. Si vas a querer conectar un dispositivo final a un puerto del router, ese puerto tiene que ser un puerto de acceso, no un puerto trunk. Los puertos trunk transportan tráfico taggeado de muchas vlans por el mismo cable, es decir, se usan para unir dispositivos. Los puertos de acceso, entregan una vlan sin tag lista para usar.


3- Como el punto de acceso envía 4 vlans, creo que también tendría que cambiar el puerto donde se conecta a Trunk.
Con esto he tenido problemas, ya que al principio no me funcinaba y tuve que activar en el AP la función "Untagged VLAN" (vamos, que tendría que decirle al router que por ese puerto le están llegando paquetes etiquetados) y luego desmarcar en el AP "Untagged VLAN".
No te funciona porque no tienes el filtrado de vlans del bridge funcionando. Entonces, ese bridge y ese set de vlans se estarán comportando de una manera totalmente errática.

Si quieres, preparamos un setup muy sencillito con dos o tres vlans para que veas cómo funciona el bridge vlan filtering, aplicado en específico a tu setup. Por otro lado, y como creo que ya te comenté, para aislar equipos no necesitas vlans como tal, puedes aislar un puerto y sacarlo del bridge, darle un direccionamiento propio y capar la conectividad con el resto de redes del router por firewall. Para el único caso que sí que tendrías que usar vlans como tal es para el puerto que usas para el AP. Y, en ese caso, si solo te hacen falta ahí, podrías configurar ese puerto como trunk con todas las vlans que le vayas a pasar al AP y olvidarte del bridge vlan filtering.

Saludos!
 
Como consejo general, te digo lo que ya te comenté, que uses vlans que no usen los operadores a nivel WAN como tuyas para la LAN. Así que, en lugar de la vlan 2, 3, 4, etc, usa la vlan 100, 101, 102, o similar para evitar ese conflicto. Y evita a toda costas usar la vlan 0 o la vlan 1, porque prácticamente cualquier chisme que soporte VLANs usa una de esas dos como la “no vlan” o vlan por defecto. Así que, si no quieres líos, mejor evita esos números de vlan a toda costa.

Ahora, a por los puntos:

No, no es ningún tipo de aceleración. Es básicamente lo que “echa a andar” el tema en cuestión. Hasta que no actives ese flag, las vlans no tienen efecto alguno a nivel de bridge. Vamos, como si no las aplicaras. Es decir, si vas a trabajar con vlans y la gestión de las mismas se va a hacer en el propio router mikrotik, por narices, lo tienes que activar y usar así.


No, justo lo contrario. Si vas a querer conectar un dispositivo final a un puerto del router, ese puerto tiene que ser un puerto de acceso, no un puerto trunk. Los puertos trunk transportan tráfico taggeado de muchas vlans por el mismo cable, es decir, se usan para unir dispositivos. Los puertos de acceso, entregan una vlan sin tag lista para usar.



No te funciona porque no tienes el filtrado de vlans del bridge funcionando. Entonces, ese bridge y ese set de vlans se estarán comportando de una manera totalmente errática.

Si quieres, preparamos un setup muy sencillito con dos o tres vlans para que veas cómo funciona el bridge vlan filtering, aplicado en específico a tu setup. Por otro lado, y como creo que ya te comenté, para aislar equipos no necesitas vlans como tal, puedes aislar un puerto y sacarlo del bridge, darle un direccionamiento propio y capar la conectividad con el resto de redes del router por firewall. Para el único caso que sí que tendrías que usar vlans como tal es para el puerto que usas para el AP. Y, en ese caso, si solo te hacen falta ahí, podrías configurar ese puerto como trunk con todas las vlans que le vayas a pasar al AP y olvidarte del bridge vlan filtering.

Saludos!

Gracias Pokoyo.

Entre unos y otros te estamos mareando cada uno con nuestros problemas y se me hace la idea de un jugador experto de ajedrez jugando en múltiples partidas simultaneas.

Tomo nota del tema de asignar valores distintos a las Vlan.
Cambiaré el número de las vlan tanto en el AP como en el router y activaré el vlan-filtering.

El motivo de usar vlan es que necesito unir algunos dispositivos WiFi (el de una de las redes en concreto) a una Raspberry Pi conectada a un puerto ethernet, que es lo que te comentaba en el punto 2 de mi anterior mensaje y por eso te decía lo de incluir el ether 6 en el bridge principal y asignarlo de alguna forma a una de las vlan.

Luego ya probaré el tema de puerto ethernet del AP que sea trunk o normal.

A ver si consigo que funcione todo.

Saludos.
 
Arriba