Conf después de sustituir router Pepehone

Código:
# feb/26/2022 16:16:12 by RouterOS 7.1.1
# software id = 112E-YX6Y
#
# model = RouterBOARD 750G r3
# serial number = xxxxxxxxxxxx
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz frequency=2412 name=channel1
/interface bridge
add admin-mac=6C:3B:6B:2F:8A:38 auto-mac=no comment=defconf name=bridge
/interface eoip
add local-address=10.10.20.1 mac-address=02:5F:C8:CC:EE:B3 mtu=1500 name=\
    eoip-tunnel-wg-sts remote-address=10.10.20.2 tunnel-id=0
/interface wireguard
add listen-port=13231 mtu=1420 name=wireguard-RW
add disabled=yes listen-port=13232 mtu=1420 name=wireguard-STS
add disabled=yes listen-port=13233 mtu=1420 name=wireguard-STS-EOIP
/interface vlan
add interface=ether1 name=internet vlan-id=20
/caps-man datapath
add bridge=bridge client-to-client-forwarding=yes name=datapath1
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=security1
/caps-man configuration
add channel=channel1 country=spain datapath=datapath1 installation=any mode=\
    ap name=cfg1 security=security1 ssid=MASFIBRA-7550
/caps-man interface
add channel=channel1 configuration=cfg1 datapath=datapath1 disabled=no \
    mac-address=00:00:00:00:00:00 master-interface=none name=cap1 radio-mac=\
    00:00:00:00:00:00 radio-name="" security=security1
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.100.2-192.168.100.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
/port
set 0 name=serial0
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
    sword,web,sniff,sensitive,api,romon,dude,tikapp,rest-api"
/caps-man access-list
add action=accept allow-signal-out-of-range=10s disabled=no signal-range=\
    -75..0 ssid-regexp=""
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=cfg1 name-format=\
    identity
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge interface=eoip-tunnel-wg-sts
add bridge=bridge interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=internet list=WAN
/interface wireguard peers
add allowed-address=10.10.0.2/32 comment="Movil de Toni" endpoint-port=13231 \
    interface=wireguard-RW public-key=\
    "\"F56wGXkmKTphl1RNOoVsofzzVCWGrIty6T+Qr2AoMHs=\""
add allowed-address=10.10.10.2/32,192.168.10.0/24 endpoint-address=\
    xxxxxxxxxxxx.sn.mynetname.net endpoint-port=13232 interface=wireguard-STS \
    public-key="\"P5piUZC7kJPuZkzxYrt3fYlIh8chYKWHWIDseOv8TgY=\""
add allowed-address=10.10.20.2/32 endpoint-address=\
    xxxxxxxxxxxx.sn.mynetname.net endpoint-port=13233 interface=\
    wireguard-STS-EOIP public-key=\
    "\"tNfiIqWkFoWUz0qKnlTKDRjIsxiQa/vbo69DHBWgeHk=\""
/ip address
add address=192.168.100.1/24 interface=bridge network=192.168.100.0
add address=10.10.0.1/30 interface=wireguard-RW network=10.10.0.0
add address=10.10.10.1/30 interface=wireguard-STS network=10.10.10.0
add address=10.10.20.1/30 interface=wireguard-STS-EOIP network=10.10.20.0
/ip cloud
set ddns-enabled=yes ddns-update-interval=1m
/ip dhcp-client
add comment=defconf interface=internet
/ip dhcp-server lease
add address=192.168.100.13 client-id=1:30:5:5c:ca:7a:6b mac-address=\
    30:05:5C:CA:7A:6B server=defconf
/ip dhcp-server network
add address=192.168.100.0/24 comment=defconf dns-server=\
    192.168.100.34,192.168.100.1 domain=local gateway=192.168.100.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall address-list
add address=10.10.0.3 list=gorrones
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="Puerto de wireguard-RW" dst-port=13231 \
    in-interface=ether1 protocol=udp
add action=accept chain=input comment="Puerto de wireguard-STS" disabled=yes \
    dst-port=13232 in-interface=ether1 protocol=udp
add action=accept chain=input comment="Puerto de wireguard-STS-EOIP" \
    disabled=yes dst-port=13233 in-interface=ether1 protocol=udp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=reject chain=forward comment="bloquea wireward a lista gorrones" \
    out-interface-list=!WAN reject-with=icmp-net-prohibited src-address-list=\
    gorrones
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/ip route
add disabled=no distance=1 dst-address=192.168.10.0/24 gateway=10.10.10.2 \
    pref-src=0.0.0.0 routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
/ip service
set telnet disabled=yes
set ftp address=192.168.100.0/24
set ssh address=192.168.100.0/24
set api disabled=yes
set winbox address=192.168.100.0/24
set api-ssl disabled=yes
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=Router_750GR3
/system ntp server
set enabled=yes
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Después de seguir las intrucciones de este hilo, he quitado el router Sagemcom F@st 5657 por una ont Noika G010-GP
Funciona perfecto y un "armatoste" menos, porque es gigante xD
Tengo Pi-hole como servidor DNS en una ip de la red local
Pongo mi export a ver qué opináis, sobre todo por las reglas de Firewall, por si debería añadir alguna más después de este cambio.
He desabilitado el user admin, he creado uno nuevo con otro nombre y permisos full.
He limitado el acceso a ftp,ss y winbox a mi rango de direcciones local, he dejado el acceso a www como estaba
Captura_Ip_service.JPG
Gracias a los que hacéis que estas cosas sean mucho más asequibles.

Prueba de velocidad por si se puede sacar alguna conclusión
Captura_velocidad_ont.JPG
 
Última edición:
¿Tantos tipos de acceso necesitas para el router? Mejor que limitarlos es mejor desactivar aquellos que no vayas a necesitar.
 
Tiene buena pinta. El tema CAPsMAN es mejorable, pero en términos generales el router está bien configurado, y como ves te da un rendimiento cojonudo.

Dos cosillas: la regla de firewall de los gorrones, la puedes mantener en la última posición, no hace falta subirla, va a actuar de igual manera (lo digo porque a mi en forward me gusta trabajar a partir de las reglas por defecto, de ahí para abajo, aunque esto es más manías mías que otra cosa). Y, cuando puedas, actualiza a la 7.1.3, tanto software como firmware.

Saludos!
 
Tiene buena pinta. El tema CAPsMAN es mejorable, pero en términos generales el router está bien configurado, y como ves te da un rendimiento cojonudo.

Dos cosillas: la regla de firewall de los gorrones, la puedes mantener en la última posición, no hace falta subirla, va a actuar de igual manera (lo digo porque a mi en forward me gusta trabajar a partir de las reglas por defecto, de ahí para abajo, aunque esto es más manías mías que otra cosa). Y, cuando puedas, actualiza a la 7.1.3, tanto software como firmware.

Saludos!
@falele_ gracias por la respuesta
@pokoyo bajaré la regla como dices, algún consejo más de seguridad para cuando me saquen del CGNAT ?
Y del CAPsMAN soy todo oídos....
Un saludo!
 
@falele_ gracias por la respuesta
@pokoyo bajaré la regla como dices, algún consejo más de seguridad para cuando me saquen del CGNAT ?
Y del CAPsMAN soy todo oídos....
Un saludo!
Se me ocurren mucha cosas que le puedes meter al router, pero que sean necesarias ahora mismo... pocas. Una cosa que quizá cambiaría sería el segmento LAN, puesto que has ido a elegir el que llevan las ONT's, como la que has puesto encima, y eso en un momento dado te podría dar algún dolor de cabeza, si intentas acceder a ella (se da el caso de que, ahora mismo, la IP de administración de la ONT y la de tu bridge es la misma, así que no vas a llegar jamás a la ONT, si lo necesitases). También cambiaría el dominio "local" que entregas en el DHCP, y lo pondría como "lan" que es el que tienes en el DNS; el .local lo usa el protocolo mDNS, y también te puede doler la cabeza con él.

Relativo a CAPsMAN, cambiaría las reglas de provisioning, y las podría específicas por AP. Puedes leer este post, que seguro alguna sugerencia más te llevas de él (o sino del propio manual que hay en este mismo sub, si ese se te hace demasiado)

Saludos!
 
Actualizado a 7.1.3
Cambiado el dominio a lan
Cambiado pool de dhcp
Movido regla gorrones a la última posición
Deshabilitado ssh y ftp
Modificado ip de pihole a 192.168.10.30 , estática, usada como DNS server
Intentado entender mejor lo de capsman- Reglas distinta para cada AP, para que cada uno esté en un canal distinto, pero tengo muchas dudas de que esté bien, he creado las interface Cap a mano, cada uno con su config... y no he conseguido que me salgan con su nombre.
No sé si ahora está correcto o está peor que antes xD
Un saludo!
Código:
# feb/27/2022 01:57:08 by RouterOS 7.1.3
# software id = 112E-YX6Y
#
# model = RouterBOARD 750G r3
# serial number = xxxxxxxxxxxx
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz frequency=2412 name=channel1
add band=2ghz-g/n control-channel-width=20mhz frequency=2437 name=channel6
add band=2ghz-g/n control-channel-width=20mhz frequency=2462 name=channel11
/interface bridge
add admin-mac=6C:3B:6B:2F:8A:38 auto-mac=no comment=defconf name=bridge
/interface eoip
add local-address=10.10.20.1 mac-address=02:5F:C8:CC:EE:B3 mtu=1500 name=\
    eoip-tunnel-wg-sts remote-address=10.10.20.2 tunnel-id=0
/interface wireguard
add listen-port=13231 mtu=1420 name=wireguard-RW
add disabled=yes listen-port=13232 mtu=1420 name=wireguard-STS
add disabled=yes listen-port=13233 mtu=1420 name=wireguard-STS-EOIP
/interface vlan
add interface=ether1 name=internet vlan-id=20
/caps-man datapath
add bridge=bridge client-to-client-forwarding=yes name=datapath1
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=security1
/caps-man configuration
add channel=channel1 country=spain datapath=datapath1 installation=indoor \
    mode=ap name=cfg_comedor security=security1 ssid=MASFIBRA-7550
add channel=channel6 country=spain datapath=datapath1 installation=indoor \
    mode=ap name=cfg_entrada security=security1 ssid=MASFIBRA-7550
add channel=channel11 country=spain datapath=datapath1 installation=indoor \
    mode=ap name=cfg_laura security=security1 ssid=MASFIBRA-7550
/caps-man interface
add channel=channel1 configuration=cfg_comedor datapath=datapath1 disabled=no \
    l2mtu=1600 mac-address=4C:5E:0C:5C:1C:19 master-interface=none name=\
    cap_comedor radio-mac=4C:5E:0C:5C:1C:19 radio-name=4C5E0C5C1C19
add configuration=cfg_entrada disabled=no l2mtu=1600 mac-address=\
    E4:8D:8C:5E:78:2B master-interface=none name=cap_entrada radio-mac=\
    E4:8D:8C:5E:78:2B radio-name=E48D8C5E782B
add configuration=cfg_laura disabled=no l2mtu=1600 mac-address=\
    B8:69:F4:3D:0C:13 master-interface=none name=cap_laura radio-mac=\
    B8:69:F4:3D:0C:13 radio-name=B869F43D0C13
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.10.2-192.168.10.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
/port
set 0 name=serial0
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
    sword,web,sniff,sensitive,api,romon,dude,tikapp,rest-api"
/caps-man access-list
add action=accept allow-signal-out-of-range=10s disabled=no mac-address=\
    00:00:00:00:00:00 signal-range=-75..0 ssid-regexp=""
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=cfg_laura radio-mac=\
    B8:69:F4:3D:0C:0F
add action=create-dynamic-enabled master-configuration=cfg_entrada radio-mac=\
    E4:8D:8C:5E:78:27
add action=create-dynamic-enabled master-configuration=cfg_comedor radio-mac=\
    4C:5E:0C:5C:1C:14
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge interface=eoip-tunnel-wg-sts
add bridge=bridge interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=internet list=WAN
/interface wireguard peers
add allowed-address=10.10.0.2/32 comment="Movil de Toni" endpoint-port=13231 \
    interface=wireguard-RW public-key=\
    "\"F56wGXkmKTphl1RNOoVsofzzVCWGrIty6T+Qr2AoMHs=\""
add allowed-address=10.10.10.2/32,192.168.10.0/24 endpoint-address=\
    xxxxxxxxxxxx.sn.mynetname.net endpoint-port=13232 interface=wireguard-STS \
    public-key="\"P5piUZC7kJPuZkzxYrt3fYlIh8chYKWHWIDseOv8TgY=\""
add allowed-address=10.10.20.2/32 endpoint-address=\
    xxxxxxxxxxxx.sn.mynetname.net endpoint-port=13233 interface=\
    wireguard-STS-EOIP public-key=\
    "\"tNfiIqWkFoWUz0qKnlTKDRjIsxiQa/vbo69DHBWgeHk=\""
/ip address
add address=192.168.10.1/24 interface=bridge network=192.168.10.0
add address=10.10.0.1/30 interface=wireguard-RW network=10.10.0.0
add address=10.10.10.1/30 interface=wireguard-STS network=10.10.10.0
add address=10.10.20.1/30 interface=wireguard-STS-EOIP network=10.10.20.0
/ip cloud
set ddns-enabled=yes ddns-update-interval=1m
/ip dhcp-client
add comment=defconf interface=internet
/ip dhcp-server network
add address=192.168.10.0/24 comment=defconf dns-server=\
    192.168.10.30,192.168.10.1 domain=lan gateway=192.168.10.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall address-list
add address=10.10.0.3 list=gorrones
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="Puerto de wireguard-RW" dst-port=13231 \
    in-interface=ether1 protocol=udp
add action=accept chain=input comment="Puerto de wireguard-STS" disabled=yes \
    dst-port=13232 in-interface=ether1 protocol=udp
add action=accept chain=input comment="Puerto de wireguard-STS-EOIP" \
    disabled=yes dst-port=13233 in-interface=ether1 protocol=udp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=reject chain=forward comment="bloquea wireward a lista gorrones" \
    out-interface-list=!WAN reject-with=icmp-net-prohibited src-address-list=\
    gorrones
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/ip route
add disabled=no distance=1 dst-address=192.168.10.0/24 gateway=10.10.10.2 \
    pref-src=0.0.0.0 routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
/ip service
set telnet disabled=yes
set ftp address=192.168.10.0/24 disabled=yes
set www address=192.168.10.0/24
set ssh address=192.168.10.0/24 disabled=yes
set api disabled=yes
set winbox address=192.168.10.0/24
set api-ssl disabled=yes
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=Router_750GR3
/system ntp server
set enabled=yes
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
 
Vale, va cogiendo forma, pero sigue habiendo un par de cosas que no me quedan claras (obviando CAPsMAN, que ahora después te digo cómo lo dejaría yo). Te sugiero los siguientes cambios:
  • Abre un agujero en el pool. Ahora mismo tienes un pool LAN 192.168.10.2-192.168.10.254, no teniendo espacio alguno para dispositivos con IP's reservadas o estáticas, como el Pi-hole. Este último se suele configurar de manera estática (te lo recomienda la propia configuración), así que no es recomendable que su IP caiga dentro del pool de direcciones del DHCP. Si le quieres mantener la .30, movería el pool a 192.168.10.31-192.168.10.254, y así tendrías las direcciones de la .2 a la .30 usables para ese fin. Incluso puedes usar ese "hueco" para los leases estáticos del DHCP (ip's dinámicas reservadas). Por ejemplo, mete en ese rango las IP's que los APs estén obteniendo, y así llegarás a ellos en capa 3, al igual que en capa 2.
  • En /ip dns static se te coló el router.lan apuntando a la 192.168.88.1. Cámbialo a la 192.168.10.1, que es tu actual IP del router. También puedes añadir ahí las direcciones de los cAP. Si por ejemplo fijas en los leases que los AP's cojan las IP's .2, .3. .4, aquí podrías añadir entradas como cap-salon.lan = 192.168.10.2, cap-entrada = 192.168.10.3, cap-laura.lan = 192.168.10.4, etc. Si en el pi-hole activas el local forwarding y lo mandas todo a la IP de tu router para dicho segmento de red, además del filtrado de publicidad, podrás tener resolución de los nombre que ahí pongas. Y, como el ".lan" ya lo entregas en el DHCP, resolverías localmente esos equipos simplemente por su nombre. Si haces "ping router", resolverías "ping router.lan" lo que as su vez resolvería un ping a la 192.168.10.1, etc.
  • Cuidado con las interfaces eoip en los bridges pricipales. Si tu intención es propagar tu mismo segmento de broadcast bien, pero ten en cuenta de que si levantas ese túnel y al otro lado hay otro servidor DHCP, entraréis en conflicto. Si no lo estás usando, yo lo sacaría por precaución del bridge principal (bridge -> ports)
  • Las interfaces road warrior no deberían llevar una IP /30. Las /30 se usan para punto a punto. En IP -> Address, tu interfaz wireguard-RW debería ser 10.10.0.1/24
  • Borra la ruta estática que tienes, que dice que la subred 192.168.10.0/24 se alcanza por la ip 10.10.10.2. Esa subred es ahora tu LAN y está directamente conectada. Esa ruta carece de sentido.
  • Yo, personalmente, no apagaría el servicio de ssh. Crea un usuario con todos los permisos, súbele una clave pública y restringe ese acceso, si quieres, a únicamente una IP concreta. Pero, si os acostumbráis a manejar el equipo por ssh, no querréis otra cosa. Y, si lo combinas con un bridge de loopback (un bridge vacío que nunca tocas, con una IP cualquiera de otro segmento encima), es un salvavidas, para cuando metes la pata y te quedas sin acceso al equipo.

Tema CAPsMAN: has progresado mucho. Te digo cómo lo dejaría yo y las preguntas que me asaltan
Código:
# Lista de acceso para darle un empujoncito al roaming entre APs
/caps-man access-list
add action=accept allow-signal-out-of-range=5s disabled=no interface=any signal-range=-75..120
add action=reject allow-signal-out-of-range=5s disabled=no interface=any signal-range=-120..-76

# Seguridad de la wifi de casa
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=home-security

# Camino de datos de la wifi de casa
/caps-man datapath
add bridge=bridge client-to-client-forwarding=yes name=home-datapath

# Lista de canales. ¿Y los de 5Ghz, o sólo tienes APs de una banda?
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz frequency=2412 name=channel1
add band=2ghz-g/n control-channel-width=20mhz frequency=2437 name=channel6
add band=2ghz-g/n control-channel-width=20mhz frequency=2462 name=channel11

# Configuración de cada AP. Les ha bajado la potencia a la mitad
/caps-man configuration
add channel=channel1 country=spain datapath=home-datapath installation=indoor \
    mode=ap name=ap1_cfg_comedor security=home-security ssid=MASFIBRA-7550 channel.tx-power=17
add channel=channel6 country=spain datapath=home-datapath installation=indoor \
    mode=ap name=ap2_cfg_entrada security=home-security ssid=MASFIBRA-7550 channel.tx-power=17
add channel=channel11 country=spain datapath=home-datapath installation=indoor \
    mode=ap name=ap3_cfg_laura security=home-security ssid=MASFIBRA-7550 channel.tx-power=17

# Configuración dinámica de los APs, usando reglas de provisioning
/caps-man provisioning
# Provisioning AP1
add action=create-dynamic-enabled comment=AP1-COMEDOR master-configuration=\
    ap1_cfg_comedor name-format=prefix-identity name-prefix=2ghz radio-mac=\
    4C:5E:0C:5C:1C:19
# Provisioning AP2
add action=create-dynamic-enabled comment=AP2-ENTRADA master-configuration=\
    ap2_cfg_entrada name-format=prefix-identity name-prefix=2ghz radio-mac=\
    E4:8D:8C:5E:78:2B
# Provisioning AP3
add action=create-dynamic-enabled comment=AP3-LAURA master-configuration=\
    ap3_cfg_laura name-format=prefix-identity name-prefix=2ghz radio-mac=\
    B8:69:F4:3D:0C:13

# Encendemos CAPsMAN
/caps-man manager
set enabled=yes

Principales camibos:
  • Usar nombres descriptivos para todo. Evita usar "seguridad1, datapath1" etc
  • Echo de menos la configuración de 5GHz. ¿no son APs doble banda lo que tienes? ¿qué modelo son?
  • Le he bajado la potencia a los AP's a la mitad, 17dBm (por defecto van a 20dBm). Si ves que alguno se queda corto de cobertura, quítale ese parámetro, para ese AP específico. Pero considera jugar con él para que no se solapen los radios y el roaming sea fluido. Si estoy en la zona de acción de un AP pero sigo recibiendo el previo al que estaba enganchado con suficiente potencia, nunca haré roaming correctamente. Ten en cuenta que la escala es logarítimca, así que cada 3 dBm, estás reduciendo la potencia a la mitad. Por ejemplo, 14dBm sería un cuarto de la potencia de salida normal del chisme. 23, sería el doble (no puedes emitir a más de 20dBm en España en esa banda, así que para arriba olvídalo).
  • He creado reglas de provisión automáticas, así que las interfaces estáticas te sobran. A menos que tengas una buena razón para ponerlas estáticas (como por ejemplo querer apagarlas y encenderlas a mano habitualmente), yo las dejaría mejor así. Las interfaces ahora se crearán dinámicas, pero necesitas borrar las reglas de configuración manuales que tienes en la primera pestaña de CAPsMAN para que estas cojan su lugar, puesto que esas manuales tienen preferencia. Las reglas de provisioning están creadas con un prefijo "2ghz" y luego el nombre que le hayas dado a cada AP en system -> identity. Es decir, si los AP's se llaman "entrada", "salon" y "laura", las interfaces se llamarán "2ghz-entrada-1", "2ghz-salon-1", "2ghz-laura-1"
  • Ya que tienes CAPsMAN, monta una wifi de invitados. Te cuesta un pedo y quedas la mar de bien.

Saludos!
 
Vale, va cogiendo forma, pero sigue habiendo un par de cosas que no me quedan claras (obviando CAPsMAN, que ahora después te digo cómo lo dejaría yo). Te sugiero los siguientes cambios:
  • Abre un agujero en el pool. Ahora mismo tienes un pool LAN 192.168.10.2-192.168.10.254, no teniendo espacio alguno para dispositivos con IP's reservadas o estáticas, como el Pi-hole. Este último se suele configurar de manera estática (te lo recomienda la propia configuración), así que no es recomendable que su IP caiga dentro del pool de direcciones del DHCP. Si le quieres mantener la .30, movería el pool a 192.168.10.31-192.168.10.254, y así tendrías las direcciones de la .2 a la .30 usables para ese fin. Incluso puedes usar ese "hueco" para los leases estáticos del DHCP (ip's dinámicas reservadas). Por ejemplo, mete en ese rango las IP's que los APs estén obteniendo, y así llegarás a ellos en capa 3, al igual que en capa 2.
Cambiado pool a 192.168.10.31-254
Pi-hole movido a 192.168.10.8 estática
Metido en en la primeras direcciones los APs, switchs, impresora, etc, leases estáticos

  • En /ip dns static se te coló el router.lan apuntando a la 192.168.88.1. Cámbialo a la 192.168.10.1, que es tu actual IP del router. También puedes añadir ahí las direcciones de los cAP. Si por ejemplo fijas en los leases que los AP's cojan las IP's .2, .3. .4, aquí podrías añadir entradas como cap-salon.lan = 192.168.10.2, cap-entrada = 192.168.10.3, cap-laura.lan = 192.168.10.4, etc. Si en el pi-hole activas el local forwarding y lo mandas todo a la IP de tu router para dicho segmento de red, además del filtrado de publicidad, podrás tener resolución de los nombre que ahí pongas. Y, como el ".lan" ya lo entregas en el DHCP, resolverías localmente esos equipos simplemente por su nombre. Si haces "ping router", resolverías "ping router.lan" lo que as su vez resolvería un ping a la 192.168.10.1, etc.
Eliminado la 192.168.88.1 de dns static
Añadido en dns static los APs, switcws, etc ... y resuelve ping router y las demás
ping-lan.JPG

  • Cuidado con las interfaces eoip en los bridges pricipales. Si tu intención es propagar tu mismo segmento de broadcast bien, pero ten en cuenta de que si levantas ese túnel y al otro lado hay otro servidor DHCP, entraréis en conflicto. Si no lo estás usando, yo lo sacaría por precaución del bridge principal (bridge -> ports)
Eliminada interface EOIP ya no lo utilizo
  • Las interfaces road warrior no deberían llevar una IP /30. Las /30 se usan para punto a punto. En IP -> Address, tu interfaz wireguard-RW debería ser 10.10.0.1/24
Modificada a /32
  • Borra la ruta estática que tienes, que dice que la subred 192.168.10.0/24 se alcanza por la ip 10.10.10.2. Esa subred es ahora tu LAN y está directamente conectada. Esa ruta carece de sentido.
Borrada
  • Yo, personalmente, no apagaría el servicio de ssh. Crea un usuario con todos los permisos, súbele una clave pública y restringe ese acceso, si quieres, a únicamente una IP concreta. Pero, si os acostumbráis a manejar el equipo por ssh, no querréis otra cosa. Y, si lo combinas con un bridge de loopback (un bridge vacío que nunca tocas, con una IP cualquiera de otro segmento encima), es un salvavidas, para cuando metes la pata y te quedas sin acceso al equipo.
Reactivado ssh
Creado bridge-sos, ningún puerto añadido, asignada ip 192.168.50.50
Creado usuario sos permisos full, permitido solo desde la red lan, subida clave pública y comprobado acceso con winscp por ssh desde mi ordenador que tiene ip 192.168.10.9 y sin cambiar de red
sos-50-50.JPG

Tema CAPsMAN: has progresado mucho. Te digo cómo lo dejaría yo y las preguntas que me asaltan
Código:
# Lista de acceso para darle un empujoncito al roaming entre APs
/caps-man access-list
add action=accept allow-signal-out-of-range=5s disabled=no interface=any signal-range=-75..120
add action=reject allow-signal-out-of-range=5s disabled=no interface=any signal-range=-120..-76
[/QUOTE]
Hecho
[QUOTE="pokoyo, post: 3645066, member: 495994"]


# Seguridad de la wifi de casa
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=home-security

# Camino de datos de la wifi de casa
/caps-man datapath
add bridge=bridge client-to-client-forwarding=yes name=home-datapath

# Lista de canales. ¿Y los de 5Ghz, o sólo tienes APs de una banda?
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz frequency=2412 name=channel1
add band=2ghz-g/n control-channel-width=20mhz frequency=2437 name=channel6
add band=2ghz-g/n control-channel-width=20mhz frequency=2462 name=channel11
[/QUOTE]
No tengo 5Ghz, son rb931, rb941 y un rb951
[QUOTE="pokoyo, post: 3645066, member: 495994"]


# Configuración de cada AP. Les ha bajado la potencia a la mitad
/caps-man configuration
add channel=channel1 country=spain datapath=home-datapath installation=indoor \
    mode=ap name=ap1_cfg_comedor security=home-security ssid=MASFIBRA-7550 channel.tx-power=17
add channel=channel6 country=spain datapath=home-datapath installation=indoor \
    mode=ap name=ap2_cfg_entrada security=home-security ssid=MASFIBRA-7550 channel.tx-power=17
add channel=channel11 country=spain datapath=home-datapath installation=indoor \
    mode=ap name=ap3_cfg_laura security=home-security ssid=MASFIBRA-7550 channel.tx-power=17
[/QUOTE]
Le he bajado la potencia al de la entrada que está relativamente cerca del que hay en el comedor
[QUOTE="pokoyo, post: 3645066, member: 495994"]


# Configuración dinámica de los APs, usando reglas de provisioning
/caps-man provisioning
# Provisioning AP1
add action=create-dynamic-enabled comment=AP1-COMEDOR master-configuration=\
    ap1_cfg_comedor name-format=prefix-identity name-prefix=2ghz radio-mac=\
    4C:5E:0C:5C:1C:19
# Provisioning AP2
add action=create-dynamic-enabled comment=AP2-ENTRADA master-configuration=\
    ap2_cfg_entrada name-format=prefix-identity name-prefix=2ghz radio-mac=\
    E4:8D:8C:5E:78:2B
# Provisioning AP3
add action=create-dynamic-enabled comment=AP3-LAURA master-configuration=\
    ap3_cfg_laura name-format=prefix-identity name-prefix=2ghz radio-mac=\
    B8:69:F4:3D:0C:13

# Encendemos CAPsMAN
/caps-man manager
set enabled=yes
Modificado
Principales camibos:
  • Usar nombres descriptivos para todo. Evita usar "seguridad1, datapath1" etc
Hecho
  • Echo de menos la configuración de 5GHz. ¿no son APs doble banda lo que tienes? ¿qué modelo son?
    • Le he bajado la potencia a los AP's a la mitad, 17dBm (por defecto van a 20dBm). Si ves que alguno se queda corto de cobertura, quítale ese parámetro, para ese AP específico. Pero considera jugar con él para que no se solapen los radios y el roaming sea fluido. Si estoy en la zona de acción de un AP pero sigo recibiendo el previo al que estaba enganchado con suficiente potencia, nunca haré roaming correctamente. Ten en cuenta que la escala es logarítimca, así que cada 3 dBm, estás reduciendo la potencia a la mitad. Por ejemplo, 14dBm sería un cuarto de la potencia de salida normal del chisme. 23, sería el doble (no puedes emitir a más de 20dBm en España en esa banda, así que para arriba olvídalo).
Entendido!
  • He creado reglas de provisión automáticas, así que las interfaces estáticas te sobran. A menos que tengas una buena razón para ponerlas estáticas (como por ejemplo querer apagarlas y encenderlas a mano habitualmente), yo las dejaría mejor así. Las interfaces ahora se crearán dinámicas, pero necesitas borrar las reglas de configuración manuales que tienes en la primera pestaña de CAPsMAN para que estas cojan su lugar, puesto que esas manuales tienen preferencia. Las reglas de provisioning están creadas con un prefijo "2ghz" y luego el nombre que le hayas dado a cada AP en system -> identity. Es decir, si los AP's se llaman "entrada", "salon" y "laura", las interfaces se llamarán "2ghz-entrada-1", "2ghz-salon-1", "2ghz-laura-1"
He hecho las modificaciones y los crea dinámicamente con los nombres correctos
capsman.JPG
  • Ya que tienes CAPsMAN, monta una wifi de invitados. Te cuesta un pedo y quedas la mar de bien.
Me queda pendiente la wifi de invitados, voy a ver si leo algo más sobre este tema, para provisionar con capsman y limitar ancho de banda.
También pendiente alguna regla en provisionamiento en Capsman para evitar que alguien me cuele uno, de esto pienso que no es posible al ser individuales con mac, pero en uno de los vídeos que recomiendas en este foro he visto que ponían una con la mac 00:0:00:00 y la dejaban sin datapath... Seguro que estoy muy perdido ¿qué opinas?
@pokoyo Muchas GRACIAS por todo!

Subo mi export actual
Código:
# feb/27/2022 23:00:49 by RouterOS 7.1.3
# software id = 112E-YX6Y
#
# model = RouterBOARD 750G r3
# serial number = xxxxxxxxxxxx
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz frequency=2412 name=channel1
add band=2ghz-g/n control-channel-width=20mhz frequency=2437 name=channel6
add band=2ghz-g/n control-channel-width=20mhz frequency=2462 name=channel11
/interface bridge
add admin-mac=6C:3B:6B:2F:8A:38 auto-mac=no comment=defconf name=bridge
add name=bridge-sos
/interface wireguard
add listen-port=13231 mtu=1420 name=wireguard-RW
/interface vlan
add interface=ether1 name=internet vlan-id=20
/caps-man datapath
add bridge=bridge client-to-client-forwarding=yes name=home-datapath
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=home-security
/caps-man configuration
add channel=channel1 country=spain datapath=home-datapath installation=indoor \
    mode=ap name=ap1_cfg_comedor security=home-security ssid=MASFIBRA-7550
add channel=channel6 channel.tx-power=17 country=spain datapath=home-datapath \
    installation=indoor mode=ap name=ap2_cfg_entrada security=home-security \
    ssid=MASFIBRA-7550
add channel=channel11 country=spain datapath=home-datapath installation=\
    indoor mode=ap name=ap3_cfg_laura security=home-security ssid=\
    MASFIBRA-7550
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.10.31-192.168.10.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
/port
set 0 name=serial0
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
    sword,web,sniff,sensitive,api,romon,dude,tikapp,rest-api"
/caps-man access-list
add action=accept allow-signal-out-of-range=10s disabled=yes mac-address=\
    00:00:00:00:00:00 signal-range=-75..0 ssid-regexp=""
add action=accept allow-signal-out-of-range=5s disabled=yes interface=any \
    signal-range=75..120 ssid-regexp=""
add action=reject allow-signal-out-of-range=10s disabled=yes interface=any \
    signal-range=-120..-76 ssid-regexp=""
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled comment=AP3-LAURA master-configuration=\
    ap3_cfg_laura name-format=prefix-identity name-prefix=2gz radio-mac=\
    B8:69:F4:3D:0C:13
add action=create-dynamic-enabled comment=AP2-ENTRADA master-configuration=\
    ap2_cfg_entrada name-format=prefix-identity name-prefix=2gz radio-mac=\
    E4:8D:8C:5E:78:2B
add action=create-dynamic-enabled comment=AP1-COMEDOR master-configuration=\
    ap1_cfg_comedor name-format=prefix-identity name-prefix=2gz radio-mac=\
    4C:5E:0C:5C:1C:19
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge interface=ether1
add bridge=bridge interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=internet list=WAN
/interface wireguard peers
add allowed-address=10.10.0.2/32 comment="Movil de Toni" endpoint-port=13231 \
    interface=wireguard-RW public-key=\
    "\"F56wGXkmKTphl1RNOoVsofzzVCWGrIty6T+Qr2AoMHs=\""
/ip address
add address=192.168.10.1/24 interface=bridge network=192.168.10.0
add address=10.10.0.1/24 interface=wireguard-RW network=10.10.0.0
add address=192.168.50.50 interface=bridge-sos network=192.168.50.50
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf interface=internet
/ip dhcp-server lease
add address=192.168.10.7 client-id=1:c0:ff:d4:ba:5a:aa comment=\
    "Switch Laura Netgear GS105E" mac-address=C0:FF:D4:BA:5A:AA server=\
    defconf
add address=192.168.10.4 client-id=1:b8:69:f4:3d:c:f comment=\
    "AP Laura RB931 2nDr2" mac-address=B8:69:F4:3D:0C:0F server=defconf
add address=192.168.10.6 client-id=1:6c:5a:b0:e3:5b:7b comment=\
    "Switch comedor Tp Link SG108E" mac-address=6C:5A:B0:E3:5B:7B server=\
    defconf
add address=192.168.10.3 client-id=1:4c:5e:c:5c:1c:14 comment=\
    "AP comedor RB 951UI 2HnD" mac-address=4C:5E:0C:5C:1C:14 server=defconf
add address=192.168.10.9 client-id=1:40:8d:5c:56:54:6e comment="Mi PC" \
    mac-address=40:8D:5C:56:54:6E server=defconf
add address=192.168.10.2 client-id=1:e4:8d:8c:5e:78:27 comment=\
    "AP entrada RB941 2nd" mac-address=E4:8D:8C:5E:78:27 server=defconf
add address=192.168.10.5 comment="Switch entrada Netgear GS108E" mac-address=\
    4C:60:DE:69:08:29 server=defconf
add address=192.168.10.10 client-id=1:30:5:5c:ca:7a:6b comment=\
    "Impresora Brother  DCP 9020CDW" mac-address=30:05:5C:CA:7A:6B server=\
    defconf
add address=192.168.10.11 client-id=1:0:1d:ec:7:26:a3 comment=\
    "Deco satelite vu+duo2" mac-address=00:1D:EC:07:26:A3 server=defconf
/ip dhcp-server network
add address=192.168.10.0/24 comment=defconf dns-server=\
    192.168.10.8,192.168.10.1 domain=lan gateway=192.168.10.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1
/ip dns static
add address=192.168.10.1 comment=defconf name=router.lan
add address=192.168.10.10 name=impresora.lan
add address=192.168.10.9 name=mi-pc.lan
add address=192.168.10.2 name=cap-entrada.lan
add address=192.168.10.4 name=cap-laura.lan
add address=192.168.10.3 name=cap-comedor.lan
add address=192.168.10.11 name=deco.lan
add address=192.168.10.7 name=switch-laura.lan
add address=192.168.10.6 name=switch-comedor.lan
add address=192.168.10.5 name=switch-entrada.lan
add address=192.168.10.8 name=pihole.lan
/ip firewall address-list
add address=10.10.0.3 list=gorrones
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="Puerto de wireguard-RW" dst-port=13231 \
    in-interface=internet protocol=udp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=reject chain=forward comment="bloquea wireward a lista gorrones" \
    out-interface-list=!WAN reject-with=icmp-net-prohibited src-address-list=\
    gorrones
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/ip service
set telnet disabled=yes
set ftp address=192.168.10.0/24 disabled=yes
set www address=192.168.10.0/24
set ssh address=192.168.10.0/24
set api disabled=yes
set winbox address=192.168.10.0/24
set api-ssl disabled=yes
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=Router_750GR3
/system ntp server
set enabled=yes
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
 
Vale, te digo dos cosas a corregir sí o sí, y alguna otra sugerencia:
- En CAPsMAN -> Address List, la primera entrada te sobra (la que lleva esta línea), puesto que ya está cubierto con las otras dos siguientes.
Código:
add action=accept allow-signal-out-of-range=10s disabled=yes mac-address=\
    00:00:00:00:00:00 signal-range=-75..0 ssid-regexp=""

Importante, fallo gordo que se me coló anteriormente: la interfaz que hace de WAN (ether1) no va nunca dentro del bridge principal que representa tu LAN, a menos que lo que tengas sea un AP o switch. Es esta línea que te resalto en negrita. Sácala de ahí en cuanto puedas:
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge interface=ether1
add bridge=bridge interface=ether5

Otros temas:
Ahora mismo veo que sólo tienes un cliente wireguard, Toni, con la IP 10.10.0.2/32. Sin embargo luego tienes una IP .3 en una lista gorrones a la que le aplicas una regla de firewall para que no se comunique con otra cosa que no sea internet. O te falta el peer por meter, o te sobra la lista y la regla (esto es puramente cosmético, corrígelo si quieres, sino déjalo que no molesta).

Bridge de loopback: perfecto, has creado el bridge-sos y le has dado la IP 192.168.50.50 (esa IP ha de ser una /24 igualmente, sino no tendrás rango desde el cual acceder). No obstante, de la manera que tienes ahora mismo el IP -> Services, si por lo que sea te cepillas el bridge principal o está inaccesible desde tu red 192.168.10.X, no vas a llegar al otro bridge tampoco, puesto que restringes a un único rango de IP's todos los accesos habilitados al router. Una manera de evitarlo podrías ser, por ejemplo, dar acceso web a una IP concreta del rango 192.168.50.X, de tal manera que el IP -> Services te quedara así:
Código:
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.10.0/24,192.168.50.55/32
set ssh address=192.168.10.0/24
set api disabled=yes
set winbox address=192.168.10.0/24
set api-ssl disabled=yes
Así sabrías que, si configuras la IP 192.168.50.55 con máscara 255.255.255.0 manualmente en tu PC, siempre tendrías acceso al router usando la IP 192.168.50.50, poniendo dicha IP en un navegador, incluso si el bridge principal se va a la mierda (es muy difícil que te pase si no tocas el acceso al router, pero más fácil de lo que parece si trasteas por ejemplo con la APP móvil de Mikrotik... se te va el dedo, y deshabilitas enseguida lo que no es... y ya la tienes liada. Y, para el acceso ssh, puedes ser incluso más estricto y fijarle una IP a tu ordenador con un lease estático, tal y como has hecho con el resto de chismes que has fijado en el DHCP, y decir que sólo concedes acceso por SSH a esa IP concreta.


Tema wifi de invitados: una vez montado CAPsMAN, es un juego de niños dar de alta una wifi de invitados, o lo la wifi que se te plante. Te paso el set de comandos para que los vayas metiendo (te los comento para que entiendas qué hace cada uno). A futuro vemos si quieres cómo meter colas de prioridad para restringir esa red, pero de momento no lo hagas porque te créeme que te sobra velocidad y no creo que nadie vaya a abusar de la misma, a menos que compartas esto con el vecindario entero.

De momento lo vamos a hacer de la manera más sencilla posible: vamos a meter los invitados en el mismo bridge, y simplemente le vamos a cambiar la opción de forwarding, para que no se vean con el resto de dispositivos de la red (aunque en verdad sí que van a llegar a ellos a nivel IP). Luego, a posteriori y si quieres, lo hacemos bien y los metemos en una VLAN aparte, y los bloqueamos a nivel firewall, que es la manera correcta de hacerlo.

Código:
# Damos de alta el password de la wifi de invitados
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=invitados-security passphrase=INV1t4d0s!

# Damos de alta un datapath específico, prohibiendo el forwarding entre clientes
/caps-man datapath
add bridge=bridge client-to-client-forwarding=no name=invitados-datapath

# Creamos una configuración con un SSID específico para la red de invitados. Todo lo demás lo pilla de la interfaz master a la que esté asociada (canal, potencia, etc)
/caps-man configuration
add country=spain datapath=invitados-datapath installation=indoor mode=ap name=apX_cfg_invitados \
    security=invitados-security ssid=WIFI_INVITADOS

# Y, por último, asignamos esa nueva configuración como slave-configuration de las tres reglas de provisioning que ya tenemos creadas
/caps-man provisioning
set [find] slave-configurations=apX_cfg_invitados

Con esto ya tendríamos los invitados corriendo. Nos quedaría crearle su propia VLAN con su servidor DHCP aparte, modificar el bridge para que haga filtrado de VLANs y bloquear dicho tráfico a nivel firewall, para que sólo lleguen a internet y a nada más.

Dale caña a los cambios y me dices. Por cierto, ¿llevas APs doble banda o sólo son de 2,4GHz? Lo digo por saber si nos queda pendiente o no la config de 5GHz para CAPsMAN.

Tema seguridad con la regla de provisioning 00:00:00:00:00:00 sin datapath: hay una manera más elegante de hacer eso: generar certificados para CAPsMAN y CAP y vincular todos los CAP a su CAPsMAN. De esa manera no hay posibilidad de que nadie te meta un CAP o te intente secuestrar los APs con otro CAPsMAN. Esto lo dejamos para lo último, descuida que lo vamos a dejar bien bonito con el nivel de aprendizaje que estás demostrando.

Saludos!
 
Regla de Acces List de CapsMan eliminada
Sacado ether 1 del bridge Lan
Gorrones de Wireguard se quedó ahí durante las pruebas, ahora no tengo acceso a wireguard-RW, entiendo que por el cgnat, no se me actualiza la ip del ddns de mikrotik
Cambio de IP en bridge-sos
Algunas modificaciones en ip services, en lo que se refiere a redes, IP's permitidas
Bandas de Aps-- Solo tengo 2.4ghz, utilizo como AP's un RB931-2nd un RB941-2nd y un RB951UI-2nd
En CapsMan de dado de alta la red de invitados, después de ver que funcionaba, he empezado a buscar algo de info sobre vlan y wifi guest y he toqueteado algo, pero con poco criterio y sin entender mucho sobre el lío de -interface vlan- con bridge vlan- con tag, filtering, .... Así que no parece que funcione, aunque sí conecta y navega con wifi invitados con ip del rango 192.168.30.x
Pendiente leer información sobre certificados en Capsman
Un saludo!

De nuevo subo el export después de los cambios
Código:
# feb/28/2022 23:05:09 by RouterOS 7.1.3
# software id = 112E-YX6Y
#
# model = RouterBOARD 750G r3
# serial number = xxxxxxxxxxxx
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz frequency=2412 name=channel1
add band=2ghz-g/n control-channel-width=20mhz frequency=2437 name=channel6
add band=2ghz-g/n control-channel-width=20mhz frequency=2462 name=channel11
/interface bridge
add admin-mac=6C:3B:6B:2F:8A:38 auto-mac=no comment=defconf name=bridge
add name=bridge-sos
add name=bridge-vlan30-wifi-invitados
/interface wireguard
add listen-port=13231 mtu=1420 name=wireguard-RW
/interface vlan
add interface=ether1 name=internet vlan-id=20
add interface=bridge-vlan30-wifi-invitados name=vlan30-wifi-invitados \
    vlan-id=30
/caps-man datapath
add bridge=bridge client-to-client-forwarding=yes name=home-datapath
add bridge=bridge-vlan30-wifi-invitados client-to-client-forwarding=no name=\
    invitados-datapath vlan-id=30 vlan-mode=use-tag
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=home-security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=invitados-security
/caps-man configuration
add channel=channel1 country=spain datapath=home-datapath installation=indoor \
    mode=ap name=ap1_cfg_comedor security=home-security ssid=MASFIBRA-7550
add channel=channel6 channel.tx-power=17 country=spain datapath=home-datapath \
    installation=indoor mode=ap name=ap2_cfg_entrada security=home-security \
    ssid=MASFIBRA-7550
add channel=channel11 country=spain datapath=home-datapath installation=\
    indoor mode=ap name=ap3_cfg_laura security=home-security ssid=\
    MASFIBRA-7550
add country=spain datapath=invitados-datapath installation=indoor mode=ap \
    name=apX_cfg_invitados security=invitados-security ssid=WiIFI-INVITADOS
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.10.31-192.168.10.254
add name=pool-vlan30 ranges=192.168.30.2-192.168.30.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
add address-pool=pool-vlan30 interface=vlan30-wifi-invitados name=\
    dhcp-server-vlan30
/port
set 0 name=serial0
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
    sword,web,sniff,sensitive,api,romon,dude,tikapp,rest-api"
/caps-man access-list
add action=accept allow-signal-out-of-range=5s disabled=no interface=any \
    signal-range=75..120 ssid-regexp=""
add action=reject allow-signal-out-of-range=10s disabled=no interface=any \
    signal-range=-120..-76 ssid-regexp=""
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled comment=AP3-LAURA master-configuration=\
    ap3_cfg_laura name-format=prefix-identity name-prefix=2gz radio-mac=\
    B8:69:F4:3D:0C:13 slave-configurations=apX_cfg_invitados
add action=create-dynamic-enabled comment=AP2-ENTRADA master-configuration=\
    ap2_cfg_entrada name-format=prefix-identity name-prefix=2gz radio-mac=\
    E4:8D:8C:5E:78:2B slave-configurations=apX_cfg_invitados
add action=create-dynamic-enabled comment=AP1-COMEDOR master-configuration=\
    ap1_cfg_comedor name-format=prefix-identity name-prefix=2gz radio-mac=\
    4C:5E:0C:5C:1C:19 slave-configurations=apX_cfg_invitados
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge interface=ether5
add bridge=bridge-vlan30-wifi-invitados interface=vlan30-wifi-invitados
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=internet list=WAN
/interface wireguard peers
add allowed-address=10.10.0.2/32 comment="Movil de Toni" endpoint-port=13231 \
    interface=wireguard-RW public-key=\
    "\"F56wGXkmKTphl1RNOoVsofzzVCWGrIty6T+Qr2AoMHs=\""
/ip address
add address=192.168.10.1/24 interface=bridge network=192.168.10.0
add address=10.10.0.1/24 interface=wireguard-RW network=10.10.0.0
add address=192.168.50.1/30 interface=bridge-sos network=192.168.50.0
add address=192.168.30.1/24 interface=vlan30-wifi-invitados network=\
    192.168.30.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf interface=internet
/ip dhcp-server lease
add address=192.168.10.7 client-id=1:c0:ff:d4:ba:5a:aa comment=\
    "Switch Laura Netgear GS105E" mac-address=C0:FF:D4:BA:5A:AA server=\
    defconf
add address=192.168.10.4 client-id=1:b8:69:f4:3d:c:f comment=\
    "AP Laura RB931 2nDr2" mac-address=B8:69:F4:3D:0C:0F server=defconf
add address=192.168.10.6 client-id=1:6c:5a:b0:e3:5b:7b comment=\
    "Switch comedor Tp Link SG108E" mac-address=6C:5A:B0:E3:5B:7B server=\
    defconf
add address=192.168.10.3 client-id=1:4c:5e:c:5c:1c:14 comment=\
    "AP comedor RB 951UI 2HnD" mac-address=4C:5E:0C:5C:1C:14 server=defconf
add address=192.168.10.9 client-id=1:40:8d:5c:56:54:6e comment="Mi PC" \
    mac-address=40:8D:5C:56:54:6E server=defconf
add address=192.168.10.2 client-id=1:e4:8d:8c:5e:78:27 comment=\
    "AP entrada RB941 2nd" mac-address=E4:8D:8C:5E:78:27 server=defconf
add address=192.168.10.5 comment="Switch entrada Netgear GS108E" mac-address=\
    4C:60:DE:69:08:29 server=defconf
add address=192.168.10.10 client-id=1:30:5:5c:ca:7a:6b comment=\
    "Impresora Brother  DCP 9020CDW" mac-address=30:05:5C:CA:7A:6B server=\
    defconf
add address=192.168.10.11 client-id=1:0:1d:ec:7:26:a3 comment=\
    "Deco satelite vu+duo2" mac-address=00:1D:EC:07:26:A3 server=defconf
/ip dhcp-server network
add address=192.168.10.0/24 comment=defconf dns-server=\
    192.168.10.8,192.168.10.1 domain=lan gateway=192.168.10.1
add address=192.168.30.0/24 comment=vlan30-wifi-invitados dns-server=\
    8.8.8.8,8.8.4.4 gateway=192.168.30.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1
/ip dns static
add address=192.168.10.1 comment=defconf name=router.lan
add address=192.168.10.10 name=impresora.lan
add address=192.168.10.9 name=mi-pc.lan
add address=192.168.10.2 name=cap-entrada.lan
add address=192.168.10.4 name=cap-laura.lan
add address=192.168.10.3 name=cap-comedor.lan
add address=192.168.10.11 name=deco.lan
add address=192.168.10.7 name=switch-laura.lan
add address=192.168.10.6 name=switch-comedor.lan
add address=192.168.10.5 name=switch-entrada.lan
add address=192.168.10.8 name=pihole.lan
/ip firewall address-list
add address=10.10.0.3 list=gorrones
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="Puerto de wireguard-RW" dst-port=13231 \
    in-interface=internet protocol=udp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=reject chain=forward comment="bloquea wireward a lista gorrones" \
    out-interface-list=!WAN reject-with=icmp-net-prohibited src-address-list=\
    gorrones
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/ip service
set telnet disabled=yes
set ftp address=192.168.10.0/24 disabled=yes
set www address=192.168.10.0/24,192.168.50.2/32
set ssh address=192.168.10.9/32,192.168.50.2/32
set api disabled=yes
set winbox address=192.168.10.0/24
set api-ssl disabled=yes
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=Router_750GR3
/system ntp server
set enabled=yes
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
 
Venga, corregimos el tema de la wifi de invitados, como te veo lanzado, vamos del tirón a por la wifi de invitados haciendo bridge vlan filtering, que creo que es la manera más correcta de hacerlo en el equipo que tienes.
Para hacer el filtrado de VLANs en el bridge, sólo necesitas el bridge principal, no necesitas otro bridge. Si metes un segundo bridge sería para evitar hacer filtrado. Dicho esto, necesitas:
  • Una VLAN, taggeada (creada) sobre el bridge principal. Veo que has elegido la vlan 30, sólo necesitas cambiarle el interface.
  • Una direccionamiento sobre dicha VLAN. Veo que ya lo tienes hecho: 192.168.30.1/24, sobre la interfaz vlan30-wifi-invitados
  • Un DHCP Server para esa VLAN, con su pool y su configuración de red, apuntando a DNS públicos. Lo tienes perfecto, ni lo toques.
  • Definir la tabla de VLANs en el bridge principal
  • Activar bridge-vlan-filtering en el bridge principal

Te paso cada uno de esos pasos en código, y te digo lo que ir borrando o corrigiendo sobre lo que tienes.

Crear la VLAN de invitados. Como ya la tienes, la modifico para apuntar al bridge principal
Código:
/interface vlan
set [find name=vlan30-wifi-invitados] interface=bridge

Direccionarla: está perfecto, no lo toques.

Servidor DHCP: idem, perfecto, se queda así

Definimos la tabla de VLANs en el bridge. La interfaz VLAN NO se mete como puerto, sino que se marca como taggeada sobre el propio bridge:
Código:
/interface bridge vlan
add bridge=bridge tagged=bridge vlan-ids=30

Y activamos el filtrado de VLANs en dicho bridge:
Código:
/interface bridge
set [find name=bridge] vlan-filtering=yes

Y, en CAPsMAN, simplemente modificamos el datapath y lo apuntamos al mismo bridge, solo que con tráfico etiquetado con la VLAN 30. Ambos datapath, quedarían apuntando al mismo bridge.
Código:
/caps-man datapath
set [find name=invitados-datapath] set bridge=bridge

Hecho esto, dichos datapath deberían lucir así en un export:
Código:
/caps-man datapath
add bridge=bridge client-to-client-forwarding=yes name=home-datapath
add bridge=bridge client-to-client-forwarding=no name=\
    invitados-datapath vlan-id=30 vlan-mode=use-tag

Ahora, podemos eliminar la vlan 30 del puerto del bridge que creaste para los invitados y quitar ese bridge. Lo haces en bridge -> ports (primero, si borras el bridge antes te saldrá un "unkown" en los puertos) y luego borramos el propio bridge.
Código:
/interface bridge port
remove [find interface=vlan30-wifi-invitados]
/interface bridge
remove [find name=bridge-vlan30-wifi-invitados]

Y, para rematar, como ya tienes una bonita lista de gorrones sobre la que aplicas una perfecta regla de firewall que sólo les permite navegación, metemos este nuevo segmento en la misma lista, tal que les aplique esa regla que ya tienes creada (da gusto hacer esto cuando tenéis la config bien montada, ves qué simple es?). Si quieres, cámbiale el comentario a la lista de firewall y símplemente llámala "bloqueo de gorrones"
Código:
/ip firewall address-list
add address=192.168.30.0/24 list=gorrones

Tema certificados CAPsMAN: es realmente sencillo, sólamente tienes que seguir un orden. Lo que vamos a hacer, se puede resumir en tres puntos:
  • Decirle a CAPsMAN que genere certificados raíz y de servidor
  • Decirle a los CAPs que le pidan al CAPsMAN un certificado cliente y que se vinculen a un único CPAsMAN
  • Bloquear CAPsMAN para que no acepte ningún AP sin un certificado generado por él mismo. Esta opción habría que desactivarla en el caso de querer meter nuevos APs.

Generar los certificados raiz y servidor en CAPsMAN: simplemente vamos al botón del manager y marcamos estas dos opciones a "auto". Intenta hacer esto conectado por cable al CAPsMAN, puesto que los APs perderán su conexión en el proceso.
1646120143331.png


Aplicamos y, pasados unos segundos, tendremos dichos certificados generados (los puedes consultar en System -> Certificates).
1646120240000.png


Ahora nos vamos a cada CAP, y solicitamos un certificado cliente: modificamos el campo "certificate" y seleccionamos "request" en el dropdown, y aplicamos. Acabado el proceso, el certificado solicitado nos aparecerá abajo:
1646120615845.png


En la misma pantalla, volvemos al dropdown de "Certificate" y seleccionamos el que CAPsMAN nos ha generado, el del nombre de abajo. Y, puesto que ya sabemos qué certificado vamos a usar para authenticarnos contra el CAPsMAN, marcamos la opción de "Lock to CAPsMAN". A partir de ese momento este AP sólo reconocerá a ese CAPsMAN como su "padre", no conectándose a ningún otro:
1646120873207.png


Hecho este paso, en el campo "Locked CAPsMAN Common Name" podremos ver el nombre del certificado servidor al que estamos vinculados.

Este segundo paso hay que repetirlo tantas veces como APs tengas. Una vez tengas todos los APs con sus certificados cliente y bloqueados a un único "padre", estaríamos en el último paso: bloquear CAPsMAN para que sólo los APs con certificados de cliente generados por él se puedan conectar a dicho CAPsMAN. Para esto, simplemente volvemos al manager, y activamos la opción resaltada:
1646121309201.png



Con esto tendrías los APs y el CAPsMAN trabajando de forma segura. Mucho cuidado el día que quieras hacer cambios en la infraestructura, porque ni vas a poder meter APs nuevos hasta que no le quites esta opción de "Request Peer Certificate" a CAPsMAN, ni vas a poder usar los CAP en otro manager a menos que le quites el "lock to CAPsMAN"

Saludos!
 
Corregido el tema de wifi-invitados con Vlan (creo) y también su datapath
Modificado lista gorrones en Firewall para que incluya a los que se conecten a wifi-invitados, probado y OK
Pendiente seguridad Caps-Man con certificados
Pongo el export actual
Código:
# mar/01/2022 16:18:22 by RouterOS 7.1.3
# software id = 112E-YX6Y
#
# model = RouterBOARD 750G r3
# serial number = xxxxxxxxxxxx
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz frequency=2412 name=channel1
add band=2ghz-g/n control-channel-width=20mhz frequency=2437 name=channel6
add band=2ghz-g/n control-channel-width=20mhz frequency=2462 name=channel11
/interface bridge
add admin-mac=6C:3B:6B:2F:8A:38 auto-mac=no comment=defconf name=bridge \
    vlan-filtering=yes
add name=bridge-sos
/interface wireguard
add listen-port=13231 mtu=1420 name=wireguard-RW
/interface vlan
add interface=ether1 name=internet vlan-id=20
add interface=bridge name=vlan30-wifi-invitados vlan-id=30
/caps-man datapath
add bridge=bridge client-to-client-forwarding=yes name=home-datapath
add bridge=bridge client-to-client-forwarding=no name=invitados-datapath \
    vlan-id=30 vlan-mode=use-tag
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=home-security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=invitados-security
/caps-man configuration
add channel=channel1 country=spain datapath=home-datapath installation=indoor \
    mode=ap name=ap1_cfg_comedor security=home-security ssid=MASFIBRA-7550
add channel=channel6 channel.tx-power=17 country=spain datapath=home-datapath \
    installation=indoor mode=ap name=ap2_cfg_entrada security=home-security \
    ssid=MASFIBRA-7550
add channel=channel11 country=spain datapath=home-datapath installation=\
    indoor mode=ap name=ap3_cfg_laura security=home-security ssid=\
    MASFIBRA-7550
add country=spain datapath=invitados-datapath installation=indoor mode=ap \
    name=apX_cfg_invitados security=invitados-security ssid=WiIFI-INVITADOS
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.10.31-192.168.10.254
add name=pool-vlan30 ranges=192.168.30.2-192.168.30.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
add address-pool=pool-vlan30 interface=vlan30-wifi-invitados name=\
    dhcp-server-vlan30
/port
set 0 name=serial0
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
    sword,web,sniff,sensitive,api,romon,dude,tikapp,rest-api"
/caps-man access-list
add action=accept allow-signal-out-of-range=5s disabled=no interface=any \
    signal-range=75..120 ssid-regexp=""
add action=reject allow-signal-out-of-range=10s disabled=no interface=any \
    signal-range=-120..-76 ssid-regexp=""
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled comment=AP3-LAURA master-configuration=\
    ap3_cfg_laura name-format=prefix-identity name-prefix=2gz radio-mac=\
    B8:69:F4:3D:0C:13 slave-configurations=apX_cfg_invitados
add action=create-dynamic-enabled comment=AP2-ENTRADA master-configuration=\
    ap2_cfg_entrada name-format=prefix-identity name-prefix=2gz radio-mac=\
    E4:8D:8C:5E:78:2B slave-configurations=apX_cfg_invitados
add action=create-dynamic-enabled comment=AP1-COMEDOR master-configuration=\
    ap1_cfg_comedor name-format=prefix-identity name-prefix=2gz radio-mac=\
    4C:5E:0C:5C:1C:19 slave-configurations=apX_cfg_invitados
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface bridge vlan
add bridge=bridge tagged=bridge vlan-ids=30
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=internet list=WAN
/interface wireguard peers
add allowed-address=10.10.0.2/32 comment="Movil de Toni" endpoint-port=13231 \
    interface=wireguard-RW public-key=\
    "\"F56wGXkmKTphl1RNOoVsofzzVCWGrIty6T+Qr2AoMHs=\""
/ip address
add address=192.168.10.1/24 interface=bridge network=192.168.10.0
add address=10.10.0.1/24 interface=wireguard-RW network=10.10.0.0
add address=192.168.50.1/30 interface=bridge-sos network=192.168.50.0
add address=192.168.30.1/24 interface=vlan30-wifi-invitados network=\
    192.168.30.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf interface=internet
/ip dhcp-server lease
add address=192.168.10.7 client-id=1:c0:ff:d4:ba:5a:aa comment=\
    "Switch Laura Netgear GS105E" mac-address=C0:FF:D4:BA:5A:AA server=\
    defconf
add address=192.168.10.4 client-id=1:b8:69:f4:3d:c:f comment=\
    "AP Laura RB931 2nDr2" mac-address=B8:69:F4:3D:0C:0F server=defconf
add address=192.168.10.6 client-id=1:6c:5a:b0:e3:5b:7b comment=\
    "Switch comedor Tp Link SG108E" mac-address=6C:5A:B0:E3:5B:7B server=\
    defconf
add address=192.168.10.3 client-id=1:4c:5e:c:5c:1c:14 comment=\
    "AP comedor RB 951UI 2HnD" mac-address=4C:5E:0C:5C:1C:14 server=defconf
add address=192.168.10.9 client-id=1:40:8d:5c:56:54:6e comment="Mi PC" \
    mac-address=40:8D:5C:56:54:6E server=defconf
add address=192.168.10.2 client-id=1:e4:8d:8c:5e:78:27 comment=\
    "AP entrada RB941 2nd" mac-address=E4:8D:8C:5E:78:27 server=defconf
add address=192.168.10.5 comment="Switch entrada Netgear GS108E" mac-address=\
    4C:60:DE:69:08:29 server=defconf
add address=192.168.10.10 client-id=1:30:5:5c:ca:7a:6b comment=\
    "Impresora Brother  DCP 9020CDW" mac-address=30:05:5C:CA:7A:6B server=\
    defconf
add address=192.168.10.11 client-id=1:0:1d:ec:7:26:a3 comment=\
    "Deco satelite vu+duo2" mac-address=00:1D:EC:07:26:A3 server=defconf
/ip dhcp-server network
add address=192.168.10.0/24 comment=defconf dns-server=\
    192.168.10.8,192.168.10.1 domain=lan gateway=192.168.10.1
add address=192.168.30.0/24 comment=vlan30-wifi-invitados dns-server=\
    8.8.8.8,8.8.4.4 gateway=192.168.30.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1
/ip dns static
add address=192.168.10.1 comment=defconf name=router.lan
add address=192.168.10.10 name=impresora.lan
add address=192.168.10.9 name=mi-pc.lan
add address=192.168.10.2 name=cap-entrada.lan
add address=192.168.10.4 name=cap-laura.lan
add address=192.168.10.3 name=cap-comedor.lan
add address=192.168.10.11 name=deco.lan
add address=192.168.10.7 name=switch-laura.lan
add address=192.168.10.6 name=switch-comedor.lan
add address=192.168.10.5 name=switch-entrada.lan
add address=192.168.10.8 name=pihole.lan
/ip firewall address-list
add address=10.10.0.3 list=gorrones
add address=192.168.30.0/24 list=gorrones
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="Puerto de wireguard-RW" dst-port=13231 \
    in-interface=internet protocol=udp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=reject chain=forward comment="bloquea acceso LAN a lista gorrones" \
    out-interface-list=!WAN reject-with=icmp-net-prohibited src-address-list=\
    gorrones
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/ip service
set telnet disabled=yes
set ftp address=192.168.10.0/24 disabled=yes
set www address=192.168.10.0/24,192.168.50.2/32
set ssh address=192.168.10.9/32,192.168.50.2/32
set api disabled=yes
set winbox address=192.168.10.0/24
set api-ssl disabled=yes
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=Router_750GR3
/system ntp server
set enabled=yes
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
 
Buenas tardes.

A mí me surge una duda con los certificados. ¿Tener que comprobar el certificado ralentiza como un cifrando o una vez comprobado el certificado ya no se mira más?

Gracias.
 
Tiene buena pinta @controlC, dale caña al tema de los certificados, que como ves es todo muy sencillito.

Saludos!
 
Buenas tardes.

A mí me surge una duda con los certificados. ¿Tener que comprobar el certificado ralentiza como un cifrando o una vez comprobado el certificado ya no se mira más?

Gracias.
Sospecho que sólo se validan cuando el CAP se une a su CAPsMAN o cuando el equipo reprovisiona. Pero nada más.

Saludos!
 
Tiene buena pinta @controlC, dale caña al tema de los certificados, que como ves es todo muy sencillito.

Saludos!
Sencillito me lo has puesto tú, sin duda!!!!
Ya tengo lo de los certificados.
Export del router principal 750GR3
Código:
# mar/01/2022 21:08:30 by RouterOS 7.1.3
# software id = 112E-YX6Y
#
# model = RouterBOARD 750G r3
# serial number = xxxxxxxxxxxx
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz frequency=2412 name=channel1
add band=2ghz-g/n control-channel-width=20mhz frequency=2437 name=channel6
add band=2ghz-g/n control-channel-width=20mhz frequency=2462 name=channel11
/interface bridge
add admin-mac=6C:3B:6B:2F:8A:38 auto-mac=no comment=defconf name=bridge \
    vlan-filtering=yes
add name=bridge-sos
/interface wireguard
add listen-port=13231 mtu=1420 name=wireguard-RW
/interface vlan
add interface=ether1 name=internet vlan-id=20
add interface=bridge name=vlan30-wifi-invitados vlan-id=30
/caps-man datapath
add bridge=bridge client-to-client-forwarding=yes name=home-datapath
add bridge=bridge client-to-client-forwarding=no name=invitados-datapath \
    vlan-id=30 vlan-mode=use-tag
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=home-security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=invitados-security
/caps-man configuration
add channel=channel1 country=spain datapath=home-datapath installation=indoor \
    mode=ap name=ap1_cfg_comedor security=home-security ssid=MASFIBRA-7550
add channel=channel6 channel.tx-power=17 country=spain datapath=home-datapath \
    installation=indoor mode=ap name=ap2_cfg_entrada security=home-security \
    ssid=MASFIBRA-7550
add channel=channel11 country=spain datapath=home-datapath installation=\
    indoor mode=ap name=ap3_cfg_laura security=home-security ssid=\
    MASFIBRA-7550
add country=spain datapath=invitados-datapath installation=indoor mode=ap \
    name=apX_cfg_invitados security=invitados-security ssid=WiIFI-INVITADOS
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.10.31-192.168.10.254
add name=pool-vlan30 ranges=192.168.30.2-192.168.30.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
add address-pool=pool-vlan30 interface=vlan30-wifi-invitados name=\
    dhcp-server-vlan30
/port
set 0 name=serial0
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
    sword,web,sniff,sensitive,api,romon,dude,tikapp,rest-api"
/caps-man access-list
add action=accept allow-signal-out-of-range=5s disabled=no interface=any \
    signal-range=75..120 ssid-regexp=""
add action=reject allow-signal-out-of-range=10s disabled=no interface=any \
    signal-range=-120..-76 ssid-regexp=""
/caps-man manager
set ca-certificate=auto certificate=auto enabled=yes \
    require-peer-certificate=yes
/caps-man provisioning
add action=create-dynamic-enabled comment=AP3-LAURA master-configuration=\
    ap3_cfg_laura name-format=prefix-identity name-prefix=2gz radio-mac=\
    B8:69:F4:3D:0C:13 slave-configurations=apX_cfg_invitados
add action=create-dynamic-enabled comment=AP2-ENTRADA master-configuration=\
    ap2_cfg_entrada name-format=prefix-identity name-prefix=2gz radio-mac=\
    E4:8D:8C:5E:78:2B slave-configurations=apX_cfg_invitados
add action=create-dynamic-enabled comment=AP1-COMEDOR master-configuration=\
    ap1_cfg_comedor name-format=prefix-identity name-prefix=2gz radio-mac=\
    4C:5E:0C:5C:1C:19 slave-configurations=apX_cfg_invitados
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface bridge vlan
add bridge=bridge tagged=bridge vlan-ids=30
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=internet list=WAN
/interface wireguard peers
add allowed-address=10.10.0.2/32 comment="Movil de Toni" endpoint-port=13231 \
    interface=wireguard-RW public-key=\
    "\"F56wGXkmKTphl1RNOoVsofzzVCWGrIty6T+Qr2AoMHs=\""
/ip address
add address=192.168.10.1/24 interface=bridge network=192.168.10.0
add address=10.10.0.1/24 interface=wireguard-RW network=10.10.0.0
add address=192.168.50.1/30 interface=bridge-sos network=192.168.50.0
add address=192.168.30.1/24 interface=vlan30-wifi-invitados network=\
    192.168.30.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf interface=internet
/ip dhcp-server lease
add address=192.168.10.7 client-id=1:c0:ff:d4:ba:5a:aa comment=\
    "Switch Laura Netgear GS105E" mac-address=C0:FF:D4:BA:5A:AA server=\
    defconf
add address=192.168.10.4 client-id=1:b8:69:f4:3d:c:f comment=\
    "AP Laura RB931 2nDr2" mac-address=B8:69:F4:3D:0C:0F server=defconf
add address=192.168.10.6 client-id=1:6c:5a:b0:e3:5b:7b comment=\
    "Switch comedor Tp Link SG108E" mac-address=6C:5A:B0:E3:5B:7B server=\
    defconf
add address=192.168.10.3 client-id=1:4c:5e:c:5c:1c:14 comment=\
    "AP comedor RB 951UI 2HnD" mac-address=4C:5E:0C:5C:1C:14 server=defconf
add address=192.168.10.9 client-id=1:40:8d:5c:56:54:6e comment="Mi PC" \
    mac-address=40:8D:5C:56:54:6E server=defconf
add address=192.168.10.2 client-id=1:e4:8d:8c:5e:78:27 comment=\
    "AP entrada RB941 2nd" mac-address=E4:8D:8C:5E:78:27 server=defconf
add address=192.168.10.5 comment="Switch entrada Netgear GS108E" mac-address=\
    4C:60:DE:69:08:29 server=defconf
add address=192.168.10.10 client-id=1:30:5:5c:ca:7a:6b comment=\
    "Impresora Brother  DCP 9020CDW" mac-address=30:05:5C:CA:7A:6B server=\
    defconf
add address=192.168.10.11 client-id=1:0:1d:ec:7:26:a3 comment=\
    "Deco satelite vu+duo2" mac-address=00:1D:EC:07:26:A3 server=defconf
/ip dhcp-server network
add address=192.168.10.0/24 comment=defconf dns-server=\
    192.168.10.8,192.168.10.1 domain=lan gateway=192.168.10.1
add address=192.168.30.0/24 comment=vlan30-wifi-invitados dns-server=\
    8.8.8.8,8.8.4.4 gateway=192.168.30.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1
/ip dns static
add address=192.168.10.1 comment=defconf name=router.lan
add address=192.168.10.10 name=impresora.lan
add address=192.168.10.9 name=mi-pc.lan
add address=192.168.10.2 name=cap-entrada.lan
add address=192.168.10.4 name=cap-laura.lan
add address=192.168.10.3 name=cap-comedor.lan
add address=192.168.10.11 name=deco.lan
add address=192.168.10.7 name=switch-laura.lan
add address=192.168.10.6 name=switch-comedor.lan
add address=192.168.10.5 name=switch-entrada.lan
add address=192.168.10.8 name=pihole.lan
/ip firewall address-list
add address=10.10.0.3 list=gorrones
add address=192.168.30.0/24 list=gorrones
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="Puerto de wireguard-RW" dst-port=13231 \
    in-interface=internet protocol=udp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=reject chain=forward comment="bloquea acceso LAN a lista gorrones" \
    out-interface-list=!WAN reject-with=icmp-net-prohibited src-address-list=\
    gorrones
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/ip service
set telnet disabled=yes
set ftp address=192.168.10.0/24 disabled=yes
set www address=192.168.10.0/24,192.168.50.2/32
set ssh address=192.168.10.9/32,192.168.50.2/32
set api disabled=yes
set winbox address=192.168.10.0/24
set api-ssl disabled=yes
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=Router_750GR3
/system ntp server
set enabled=yes
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Export de uno de los APs un RB951Ui-2HnD
Código:
# mar/01/2022 22:48:51 by RouterOS 7.1.3
# software id = JBN5-MEK5
#
# model = 951Ui-2HnD
# serial number = xxxxxxxxxxxx
/interface bridge
add fast-forward=no mtu=1500 name=bridge1
/interface lte apn
set [ find default=yes ] ip-type=ipv4
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" management-protection=\
    allowed mode=dynamic-keys name=MI_PERFIL_1 supplicant-identity=""
/interface wireless
# managed by CAPsMAN
# channel: 2412/20-Ce/gn(20dBm), SSID: MASFIBRA-7550, CAPsMAN forwarding
set [ find default-name=wlan1 ] antenna-gain=0 band=2ghz-onlyn \
    basic-rates-a/g=24Mbps basic-rates-b="" channel-width=20/40mhz-XX \
    country=no_country_set frequency=auto ht-basic-mcs="" ht-supported-mcs="mc\
    s-2,mcs-3,mcs-4,mcs-5,mcs-6,mcs-7,mcs-8,mcs-9,mcs-10,mcs-11,mcs-12,mcs-13,\
    mcs-14,mcs-15" mode=ap-bridge security-profile=MI_PERFIL_1 ssid=\
    MASFIBRA-7550 station-roaming=enabled supported-rates-a/g=\
    24Mbps,36Mbps,48Mbps,54Mbps supported-rates-b=11Mbps wds-default-bridge=\
    bridge1 wds-mode=dynamic-mesh wireless-protocol=802.11
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc
/interface bridge port
add bridge=bridge1 ingress-filtering=no interface=ether5
add bridge=bridge1 ingress-filtering=no interface=ether1
add bridge=bridge1 ingress-filtering=no interface=ether2
add bridge=bridge1 ingress-filtering=no interface=ether3
add bridge=bridge1 ingress-filtering=no interface=ether4
add bridge=bridge1 ingress-filtering=no interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192
/interface wireless access-list
add signal-range=-80..120 vlan-mode=no-tag
add authentication=no forwarding=no signal-range=-120..-81 vlan-mode=no-tag
/interface wireless cap
#
set bridge=bridge1 certificate=CAP-4C5E0C5C1C14 discovery-interfaces=bridge1 \
    enabled=yes interfaces=wlan1 lock-to-caps-man=yes
/ip dhcp-client
add disabled=yes interface=ether5
add interface=bridge1
/ip ssh
set forwarding-enabled=remote
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=AP_Comedor
/system leds
set 0 interface=wlan1 leds=wlan-led type=wireless-status
set 1 interface=ether1 leds=led1
set 2 interface=ether2 leds=led2
set 3 interface=ether3 leds=led3
set 4 interface=ether4 leds=led4
set 5 interface=ether5 leds=led5 type=interface-activity

Imposible sacar el export del RB931 y del RB941, después de dejarlo ejecutándose en consola más de una hora, he tenido que interrumpirlo y al abrir el archivo export había líneas indicando errores y estaban incompletos.
 
Esos equipos tienen problema con los export y la v7, es un problema conocido. Con un poco de suerte lo tienes corregido en la siguiente versión de RouterOS.

El equipo CAP que me pasas tiene una config algo rara, propia de haberla heredado de la v6. Lo mejor que puedes hacer es quitarle la opción de “Lock to CAPsMAN” del manager y, a los tres CAP, hacerle un “system > reset configuration > caps mode” Hecho eso, ejecuta el paso 2 de la petición del certificado en cada CAP, selecciona el certificado solicitado y, hecho ese paso en los tres equipos, vuelves a activar el “lock to CAPsMAN” del manager.
La config resultante del CAP que sí te permite darle el export, verás que es algo más limpia.

Saludos!
 
Esos equipos tienen problema con los export y la v7, es un problema conocido. Con un poco de suerte lo tienes corregido en la siguiente versión de RouterOS.

El equipo CAP que me pasas tiene una config algo rara, propia de haberla heredado de la v6. Lo mejor que puedes hacer es quitarle la opción de “Lock to CAPsMAN” del manager y, a los tres CAP, hacerle un “system > reset configuration > caps mode” Hecho eso, ejecuta el paso 2 de la petición del certificado en cada CAP, selecciona el certificado solicitado y, hecho ese paso en los tres equipos, vuelves a activar el “lock to CAPsMAN” del manager.
La config resultante del CAP que sí te permite darle el export, verás que es algo más limpia.

Saludos!
Export de AP RB951Ui 2HnD después de reset>Caps mode
Código:
# mar/02/2022 00:37:47 by RouterOS 7.1.3
# software id = JBN5-MEK5
#
# model = 951Ui-2HnD
# serial number = xxxxxxxxxxxx
/interface bridge
add admin-mac=4C:5E:0C:5C:1C:14 auto-mac=no comment=defconf name=bridgeLocal
/interface wireless
# managed by CAPsMAN
# channel: 2412/20-Ce/gn(17dBm), SSID: MASFIBRA-7550, CAPsMAN forwarding
set [ find default-name=wlan1 ] ssid=MikroTik
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridgeLocal comment=defconf interface=ether1
add bridge=bridgeLocal comment=defconf interface=ether2
add bridge=bridgeLocal comment=defconf interface=ether3
add bridge=bridgeLocal comment=defconf interface=ether4
add bridge=bridgeLocal comment=defconf interface=ether5
/interface wireless cap
#
set bridge=bridgeLocal certificate=CAP-4C5E0C5C1C14 discovery-interfaces=\
    bridgeLocal enabled=yes interfaces=wlan1 lock-to-caps-man=yes
/ip dhcp-client
add comment=defconf interface=bridgeLocal
/ip service
set telnet disabled=yes
set ftp disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=AP_Comedor
 
Export de AP RB951Ui 2HnD después de reset>Caps mode
Código:
# mar/02/2022 00:37:47 by RouterOS 7.1.3
# software id = JBN5-MEK5
#
# model = 951Ui-2HnD
# serial number = xxxxxxxxxxxx
/interface bridge
add admin-mac=4C:5E:0C:5C:1C:14 auto-mac=no comment=defconf name=bridgeLocal
/interface wireless
# managed by CAPsMAN
# channel: 2412/20-Ce/gn(17dBm), SSID: MASFIBRA-7550, CAPsMAN forwarding
set [ find default-name=wlan1 ] ssid=MikroTik
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridgeLocal comment=defconf interface=ether1
add bridge=bridgeLocal comment=defconf interface=ether2
add bridge=bridgeLocal comment=defconf interface=ether3
add bridge=bridgeLocal comment=defconf interface=ether4
add bridge=bridgeLocal comment=defconf interface=ether5
/interface wireless cap
#
set bridge=bridgeLocal certificate=CAP-4C5E0C5C1C14 discovery-interfaces=\
    bridgeLocal enabled=yes interfaces=wlan1 lock-to-caps-man=yes
/ip dhcp-client
add comment=defconf interface=bridgeLocal
/ip service
set telnet disabled=yes
set ftp disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=AP_Comedor
Esto tiene una pinta estupenda ahora.

Saludos!
 
Código:
Mar/02/2022 23:46:53 firewall,info drop_all_not_coming_from _Lan: drop_all_not_coming_from _Lan i: in:internet out:(unknown 0), src-mac 00:00:5e:00:01:67, proto TCP (SYN), 92.63.197.97:52233->MI.IP.PU.BLI.CA:10524, len 40
Mar/02/2022 23:46:55 firewall,info drop_all_not_coming_from _Lan: drop_all_not_coming_from _Lan i: in:internet out:(unknown 0), src-mac 00:00:5e:00:01:67, proto TCP (SYN), 92.63.197.97:52233->MI.IP.PU.BLI.CA:1594, len 40
Mar/02/2022 23:47:12 firewall,info drop_all_not_coming_from _Lan: drop_all_not_coming_from _Lan i: in:internet out:(unknown 0), src-mac 00:00:5e:00:01:67, proto TCP (SYN), 163.172.11.89:54604->MI.IP.PU.BLI.CA:52332, len 40
Mar/02/2022 23:47:15 firewall,info drop_all_not_coming_from _Lan: drop_all_not_coming_from _Lan i: in:internet out:(unknown 0), src-mac 00:00:5e:00:01:67, proto TCP (SYN), 31.214.79.182:44804->MI.IP.PU.BLI.CA:445, len 44
Mar/02/2022 23:47:19 firewall,info drop_all_not_coming_from _Lan: drop_all_not_coming_from _Lan i: in:internet out:(unknown 0), src-mac 00:00:5e:00:01:67, proto TCP (SYN), 45.143.203.5:52383->MI.IP.PU.BLI.CA:65339, len 40
Mar/02/2022 23:47:41 firewall,info drop_all_not_coming_from _Lan: drop_all_not_coming_from _Lan i: in:internet out:(unknown 0), src-mac 00:00:5e:00:01:67, proto TCP (SYN), 103.99.150.43:7799->MI.IP.PU.BLI.CA:23, len 40
Mar/02/2022 23:47:41 firewall,info drop_input_invalid: drop_all_not_coming_from _Lan i: in:internet out:(unknown 0), src-mac 00:00:5e:00:01:67, proto TCP (SYN), 103.99.150.43:7799->MI.IP.PU.BLI.CA:23, len 40
Mar/02/2022 23:47:44 firewall,info drop_all_not_coming_from _Lan: drop_all_not_coming_from _Lan i: in:internet out:(unknown 0), src-mac 00:00:5e:00:01:67, proto TCP (SYN), 192.241.219.58:44931->MI.IP.PU.BLI.CA:1434, len 40
Mar/02/2022 23:47:44 firewall,info drop_input_invalid: drop_all_not_coming_from _Lan i: in:internet out:(unknown 0), src-mac 00:00:5e:00:01:67, proto TCP (SYN), 192.241.219.58:44931->MI.IP.PU.BLI.CA:1434, len 40
Mar/02/2022 23:47:49 firewall,info drop_all_not_coming_from _Lan: drop_all_not_coming_from _Lan i: in:internet out:(unknown 0), src-mac 00:00:5e:00:01:67, proto TCP (SYN), 79.124.62.82:47143->MI.IP.PU.BLI.CA:5337, len 40
Mar/02/2022 23:47:49 firewall,info drop_input_invalid: drop_all_not_coming_from _Lan i: in:internet out:(unknown 0), src-mac 00:00:5e:00:01:67, proto TCP (SYN), 79.124.62.82:47143->MI.IP.PU.BLI.CA:5337, len 40
Mar/02/2022 23:47:51 firewall,info drop_all_not_coming_from _Lan: drop_all_not_coming_from _Lan i: in:internet out:(unknown 0), src-mac 00:00:5e:00:01:67, proto TCP (SYN), 111.7.96.134:29926->MI.IP.PU.BLI.CA:10400, len 52
Mar/02/2022 23:47:51 firewall,info drop_input_invalid: drop_all_not_coming_from _Lan i: in:internet out:(unknown 0), src-mac 00:00:5e:00:01:67, proto TCP (SYN), 111.7.96.134:29926->MI.IP.PU.BLI.CA:10400, len 52
Mar/02/2022 23:48:10 firewall,info drop_all_not_coming_from _Lan: drop_all_not_coming_from _Lan i: in:internet out:(unknown 0), src-mac 00:00:5e:00:01:67, proto TCP (SYN), 45.143.203.5:52383->MI.IP.PU.BLI.CA:63116, len 40
Mar/02/2022 23:48:10 firewall,info drop_input_invalid: drop_all_not_coming_from _Lan i: in:internet out:(unknown 0), src-mac 00:00:5e:00:01:67, proto TCP (SYN), 45.143.203.5:52383->MI.IP.PU.BLI.CA:63116, len 40
Mar/02/2022 23:48:28 firewall,info drop_all_not_coming_from _Lan: drop_all_not_coming_from _Lan i: in:internet out:(unknown 0), src-mac 00:00:5e:00:01:67, proto TCP (SYN), 185.191.34.207:47092->MI.IP.PU.BLI.CA:2372, len 40
Mar/02/2022 23:48:28 firewall,info drop_input_invalid: drop_all_not_coming_from _Lan i: in:internet out:(unknown 0), src-mac 00:00:5e:00:01:67, proto TCP (SYN), 185.191.34.207:47092->MI.IP.PU.BLI.CA:2372, len 40
Mar/02/2022 23:48:32 firewall,info drop_all_not_coming_from _Lan: drop_all_not_coming_from _Lan i: in:internet out:(unknown 0), src-mac 00:00:5e:00:01:67, proto TCP (SYN), 92.63.197.97:52233->MI.IP.PU.BLI.CA:5352, len 40
Mar/02/2022 23:48:32 firewall,info drop_input_invalid: drop_all_not_coming_from _Lan i: in:internet out:(unknown 0), src-mac 00:00:5e:00:01:67, proto TCP (SYN), 92.63.197.97:52233->MI.IP.PU.BLI.CA:5352, len 40
Mar/02/2022 23:48:38 firewall,info drop_all_not_coming_from _Lan: drop_all_not_coming_from _Lan i: in:internet out:(unknown 0), src-mac 00:00:5e:00:01:67, proto TCP (SYN), 79.124.62.82:47143->MI.IP.PU.BLI.CA:18328, len 40
Mar/02/2022 23:48:38 firewall,info drop_input_invalid: drop_all_not_coming_from _Lan i: in:internet out:(unknown 0), src-mac 00:00:5e:00:01:67, proto TCP (SYN), 79.124.62.82:47143->MI.IP.PU.BLI.CA:18328, len 40
Mar/02/2022 23:48:50 firewall,info drop_all_not_coming_from _Lan: drop_all_not_coming_from _Lan i: in:internet out:(unknown 0), src-mac 00:00:5e:00:01:67, proto TCP (SYN), 92.63.197.97:52233->MI.IP.PU.BLI.CA:280, len 40
Mar/02/2022 23:48:50 firewall,info drop_input_invalid: drop_all_not_coming_from _Lan i: in:internet out:(unknown 0), src-mac 00:00:5e:00:01:67, proto TCP (SYN), 92.63.197.97:52233->MI.IP.PU.BLI.CA:280, len 40
Mar/02/2022 23:48:59 firewall,info drop_all_not_coming_from _Lan: drop_all_not_coming_from _Lan i: in:internet out:(unknown 0), src-mac 00:00:5e:00:01:67, proto TCP (SYN), 92.63.197.97:52233->MI.IP.PU.BLI.CA:4390, len 40
Mar/02/2022 23:48:59 firewall,info drop_input_invalid: drop_all_not_coming_from _Lan i: in:internet out:(unknown 0), src-mac 00:00:5e:00:01:67, proto TCP (SYN), 92.63.197.97:52233->MI.IP.PU.BLI.CA:4390, len 40
Mar/02/2022 23:49:02 firewall,info drop_all_not_coming_from _Lan: drop_all_not_coming_from _Lan i: in:internet out:(unknown 0), src-mac 00:00:5e:00:01:67, proto TCP (SYN), 103.99.150.43:7799->MI.IP.PU.BLI.CA:23, len 40
Mar/02/2022 23:49:02 firewall,info drop_input_invalid: drop_all_not_coming_from _Lan i: in:internet out:(unknown 0), src-mac 00:00:5e:00:01:67, proto TCP (SYN), 103.99.150.43:7799->MI.IP.PU.BLI.CA:23, len 40
Mar/02/2022 23:49:25 firewall,info drop_all_not_coming_from _Lan: drop_all_not_coming_from _Lan i: in:internet out:(unknown 0), src-mac 00:00:5e:00:01:67, proto TCP (SYN), 92.63.197.97:52233->MI.IP.PU.BLI.CA:8463, len 40
Mar/02/2022 23:49:25 firewall,info drop_input_invalid: drop_all_not_coming_from _Lan i: in:internet out:(unknown 0), src-mac 00:00:5e:00:01:67, proto TCP (SYN), 92.63.197.97:52233->MI.IP.PU.BLI.CA:8463, len 40

Acaban de sacarme del CG-NAT y he empezado a farolear el firewall....
El contador de las reglas input subiendo ....
Subo un poco del log por si podéis darme alguna pista...¿debo preocuparme?
Un saludo!
 
Arriba