Configuración inalámbrica básica, usando CAPsMAN

Hola!

Este post va dedicado al amigo @Napartarra, que me comentó que andaba dándose de leches para montar una configuración por CAPsMAN. Os paso la configuración más simple y a la vez completa que se me ocurre. Básicamente dos redes wifi (personal e invitados) en ambas bandas, y con reglas de provisioning automáticas por tipo de AP (si el CAP que pinchéis no es doble banda, funcionará igualmente sólo en 2,4GHz). Esta configuración iría en el route que comanda, el padre, el que hace de CAPsMAN. En el CAP, el único paso que hay que dar es un System -> Reset configuration -> CAPs Mode

Pre-requisitos​

  • Tener un router con una con una configuración estable funcionando. La wifi principal está asociada a un datapath sobre un bridge por defecto, llamado "bridge", donde estaría ya funcionando nuestra red local. Si el nombre del bridge cambia, cambiad el datapath en consecuencia
  • La red de invitados está asociada a un nuevo bridge, llamado "bridge-guests". Este bridge debería estar ya creado, con un segmento de red distinto del principal asociado y un servidor DHCP corriendo sobre él. Si no es el caso, podéis meterlo todo en el mismo bridge "bridge", mencionado anteriormente, y aun así los clientes no se verían entre sí, (client-to-client-forwarding=no), simplemente por hacer la prueba. Si lo queréis hacer realmente bien, ese nuevo bridge iría aparte, y su red LAN aislada del resto usando el firewall (lo tenéis explicado en los tips&tricks, lo mismo que se hace sobre ether5, se haría sobre esa nueva interfaz bridge-guests), o directamente sobre una VLAN, asilando el tráfico en capa 2.

Configuración​

Código:
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=home-sp passphrase=Per1c0ld3l0sP4l0t3s!    
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=guest-sp passphrase=L0sP4l0t3sD3Peric0!    

/caps-man datapath
add bridge=bridge client-to-client-forwarding=yes local-forwarding=no \
    name=home-dp
add bridge=bridge-guests client-to-client-forwarding=no local-forwarding=no \
    name=guest-dp

/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2412,2437,2462 name=2ghz-auto-20
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=XXXX name=\
    5ghz-auto-80

/caps-man configuration
add channel=2ghz-auto-20 country=spain datapath=home-dp mode=ap name=\
    2ghz-home-cfg security=home-sp ssid=WIFI_PERSONAL
add channel=5ghz-auto-80 country=spain datapath=home-dp mode=ap name=\
    5ghz-home-cfg security=home-sp ssid=WIFI_PERSONAL
add country=spain datapath=guest-dp mode=ap name=2ghz-guest-cfg security=\
    guest-sp ssid=WIFI_INVITADOS
add country=spain datapath=guest-dp mode=ap name=5ghz-guest-cfg security=\
    guest-sp ssid=WIFI_INVITADOS

/caps-man provisioning
add action=create-dynamic-enabled comment=2ghz-auto-provisioning \
    hw-supported-modes=gn master-configuration=2ghz-home-cfg name-format=\
    prefix-identity name-prefix=2ghz-auto slave-configurations=2ghz-guest-cfg
add action=create-dynamic-enabled comment=5ghz-auto-provisioning \
    hw-supported-modes=ac master-configuration=5ghz-home-cfg name-format=\
    prefix-identity name-prefix=5ghz-auto slave-configurations=5ghz-guest-cfg

/caps-man manager
set enabled=yes

Os explico por encima la configuración:
  • Creamos dos perfiles de seguridad, para wifi de invitados y personal. Ahí iría vuestras contraseñas. Como tipo de encriptación, sólo WPA2 AES CCM
  • Creamos dos datapaths, uno para cada tipo de tráfico. El tráfico LAN lo asociamos a "bridge" (vuestro bridge lan ya existente, no creéis otro) y para el tráfico de invitados usamos un bridge diferente, que tendremos que tener ya funcionando. Para la red de invitados, prohibimos la comunicación entre clientes con el client-to-client-forwarding=no. Ambas configuraciones reenvían todo su tráfico al router principal, donde luego controlaremos ese tráfico en el firewall, si es necesario (por ejemplo, aislando la red de invitados de la otra red).
  • Creamos el set de canales a usar. Aquí, lo más simple: los tres canales puros en 2,4GHz en una única configuración (elegirá uno de los tres) y acto seguido una configuración de wifi 5GHz de 80MHz de ancho de canal (si vais a usar muchos AP's, se puede crear una idéntica de 40MHz, con la extensión XX, en lugar de XXXX). Si luego le queremos dar un canal concreto a cada AP, crearemos aquí dichos canales uno a uno. Pero, para empezar, nos basta así.
  • Dos configuraciones básicas para 2,4GHz y 5GHz, tanto para red principal como para red de invitados. Aquí era donde tenías tu principal problema @Napartarra: en CAPsMAN, cuanto más a la izquierda vayas en las pestañas del menú de CAPsMAN, más prioridad tiene. Si aquí te lías a redefinir la clave de la wifi, el canal, datapath, etc; vas a pisar todo lo que has hecho antes en los otros menús. Si te das cuenta, aquí lo único que definimos es es país de trabajo de la wifi y su SSID (cambia esto último a gusto de consumidor). El resto, son referencias a las configuraciones que hemos creado ya antes.
  • Dos reglas de provisioning genéricas: normalmente, las reglas de provisioning van asociadas a los "radios" (interfaces inalámbricas) de cada uno de los APs. Si tienes un AP doble banda, tendrás dos radios con dos direcciones MAC que tendrás que provisionar. Estas dos reglas, en lugar de apuntar a un radio concreto, lo que hacen es trabajar de forma genérica, filtrando por tipo de hardware del AP. Al AP que soporte wifi "gn" (la de 2,4GHz) le chutas la primera regla de provisioning y, al que además soporte "ac", (la wifi de 5GHz), le chutas también la segunda. Y lo hace para todos igual. Esto te vale para echar a andar rápidamente un AP, cuando no tienes aún la regla específica de provisioning creada para él. Como las reglas de provisioning van en orden, es tan sencillo como meter las más específicas encima de estas dos, conforme vayas añadiendo AP's, y dejar estas dos las últimas, para cuando vengas con un chisme nuevo.
  • Por último, habilitamos CAPsMAN, sin más filtrado ni más nada (es tu casa y sabes perfectamente los chismes que tienes pinchados en ella, no hace falta que prohibas nada en ninguna interfaz; nadie te va a pinchar un AP que tú no conozcas).

Pruébala y, a partir de esa configuración inicial, trabajamos para dejar la tuya fina. Lo único que hay que hacer a partir de aquí es definir las reglas de configuración específicas para cada AP y sus correspondientes reglas de provisioning. Pero, con este simple setup, puedes llegar con cualquier CAP, pincharlo, y lo tienes funcionando.

Saludos!
 
Muy buena guía!!!. Yo lo he he notado es que algunos móviles no tienen acceso a internet en la red de invitados, sin embargo otros si, cuando esto ocurre he probado a conectarlos a mi red personal que usa mi lan y si que han tenido, alguna idea a qe se puede deber esto?
 
Muy buena guía!!!. Yo lo he he notado es que algunos móviles no tienen acceso a internet en la red de invitados, sin embargo otros si, cuando esto ocurre he probado a conectarlos a mi red personal que usa mi lan y si que han tenido, alguna idea a qe se puede deber esto?
Adivino aún no soy! Pásame la configuración, y lo vemos. Me suena a movida com el data-rates, si es que lo usas. O te refieres a que tienes problemas con esta configuración en concreto?

Saludos!
 
Hola!

Este post va dedicado al amigo @Napartarra, que me comentó que andaba dándose de leches para montar una configuración por CAPsMAN. Os paso la configuración más simple y a la vez completa que se me ocurre. Básicamente dos redes wifi (personal e invitados) en ambas bandas, y con reglas de provisioning automáticas por tipo de AP (si el CAP que pinchéis no es doble banda, funcionará igualmente sólo en 2,4GHz). Esta configuración iría en el route que comanda, el padre, el que hace de CAPsMAN. En el CAP, el único paso que hay que dar es un System -> Reset configuration -> CAPs Mode

Pre-requisitos​

  • Tener un router con una con una configuración estable funcionando. La wifi principal está asociada a un datapath sobre un bridge por defecto, llamado "bridge", donde estaría ya funcionando nuestra red local. Si el nombre del bridge cambia, cambiad el datapath en consecuencia
  • La red de invitados está asociada a un nuevo bridge, llamado "bridge-guests". Este bridge debería estar ya creado, con un segmento de red distinto del principal asociado y un servidor DHCP corriendo sobre él. Si no es el caso, podéis meterlo todo en el mismo bridge "bridge", mencionado anteriormente, y aun así los clientes no se verían entre sí, (client-to-client-forwarding=no), simplemente por hacer la prueba. Si lo queréis hacer realmente bien, ese nuevo bridge iría aparte, y su red LAN aislada del resto usando el firewall (lo tenéis explicado en los tips&tricks, lo mismo que se hace sobre ether5, se haría sobre esa nueva interfaz bridge-guests), o directamente sobre una VLAN, asilando el tráfico en capa 2.

Configuración​

Código:
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=home-sp passphrase=Per1c0ld3l0sP4l0t3s! 
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=guest-sp passphrase=L0sP4l0t3sD3Peric0! 

/caps-man datapath
add bridge=bridge client-to-client-forwarding=yes local-forwarding=no \
    name=home-dp
add bridge=bridge-guests client-to-client-forwarding=no local-forwarding=no \
    name=guest-dp

/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2412,2437,2462 name=2ghz-auto-20
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=XXXX name=\
    5ghz-auto-80

/caps-man configuration
add channel=2ghz-auto-20 country=spain datapath=home-dp mode=ap name=\
    2ghz-home-cfg security=home-sp ssid=WIFI_PERSONAL
add channel=5ghz-auto-80 country=spain datapath=home-dp mode=ap name=\
    5ghz-home-cfg security=home-sp ssid=WIFI_PERSONAL
add country=spain datapath=guest-dp mode=ap name=2ghz-guest-cfg security=\
    guest-sp ssid=WIFI_INVITADOS
add country=spain datapath=guest-dp mode=ap name=5ghz-guest-cfg security=\
    guest-sp ssid=WIFI_INVITADOS

/caps-man provisioning
add action=create-dynamic-enabled comment=2ghz-auto-provisioning \
    hw-supported-modes=gn master-configuration=2ghz-home-cfg name-format=\
    prefix-identity name-prefix=2ghz-auto slave-configurations=2ghz-guest-cfg
add action=create-dynamic-enabled comment=5ghz-auto-provisioning \
    hw-supported-modes=ac master-configuration=5ghz-home-cfg name-format=\
    prefix-identity name-prefix=5ghz-auto slave-configurations=5ghz-guest-cfg

/caps-man manager
set enabled=yes

Os explico por encima la configuración:
  • Creamos dos perfiles de seguridad, para wifi de invitados y personal. Ahí iría vuestras contraseñas. Como tipo de encriptación, sólo WPA2 AES CCM
  • Creamos dos datapaths, uno para cada tipo de tráfico. El tráfico LAN lo asociamos a "bridge" (vuestro bridge lan ya existente, no creéis otro) y para el tráfico de invitados usamos un bridge diferente, que tendremos que tener ya funcionando. Para la red de invitados, prohibimos la comunicación entre clientes con el client-to-client-forwarding=no. Ambas configuraciones reenvían todo su tráfico al router principal, donde luego controlaremos ese tráfico en el firewall, si es necesario (por ejemplo, aislando la red de invitados de la otra red).
  • Creamos el set de canales a usar. Aquí, lo más simple: los tres canales puros en 2,4GHz en una única configuración (elegirá uno de los tres) y acto seguido una configuración de wifi 5GHz de 80MHz de ancho de canal (si vais a usar muchos AP's, se puede crear una idéntica de 40MHz, con la extensión XX, en lugar de XXXX). Si luego le queremos dar un canal concreto a cada AP, crearemos aquí dichos canales uno a uno. Pero, para empezar, nos basta así.
  • Dos configuraciones básicas para 2,4GHz y 5GHz, tanto para red principal como para red de invitados. Aquí era donde tenías tu principal problema @Napartarra: en CAPsMAN, cuanto más a la izquierda vayas en las pestañas del menú de CAPsMAN, más prioridad tiene. Si aquí te lías a redefinir la clave de la wifi, el canal, datapath, etc; vas a pisar todo lo que has hecho antes en los otros menús. Si te das cuenta, aquí lo único que definimos es es país de trabajo de la wifi y su SSID (cambia esto último a gusto de consumidor). El resto, son referencias a las configuraciones que hemos creado ya antes.
  • Dos reglas de provisioning genéricas: normalmente, las reglas de provisioning van asociadas a los "radios" (interfaces inalámbricas) de cada uno de los APs. Si tienes un AP doble banda, tendrás dos radios con dos direcciones MAC que tendrás que provisionar. Estas dos reglas, en lugar de apuntar a un radio concreto, lo que hacen es trabajar de forma genérica, filtrando por tipo de hardware del AP. Al AP que soporte wifi "gn" (la de 2,4GHz) le chutas la primera regla de provisioning y, al que además soporte "ac", (la wifi de 5GHz), le chutas también la segunda. Y lo hace para todos igual. Esto te vale para echar a andar rápidamente un AP, cuando no tienes aún la regla específica de provisioning creada para él. Como las reglas de provisioning van en orden, es tan sencillo como meter las más específicas encima de estas dos, conforme vayas añadiendo AP's, y dejar estas dos las últimas, para cuando vengas con un chisme nuevo.
  • Por último, habilitamos CAPsMAN, sin más filtrado ni más nada (es tu casa y sabes perfectamente los chismes que tienes pinchados en ella, no hace falta que prohibas nada en ninguna interfaz; nadie te va a pinchar un AP que tú no conozcas).

Pruébala y, a partir de esa configuración inicial, trabajamos para dejar la tuya fina. Lo único que hay que hacer a partir de aquí es definir las reglas de configuración específicas para cada AP y sus correspondientes reglas de provisioning. Pero, con este simple setup, puedes llegar con cualquier CAP, pincharlo, y lo tienes funcionando.

Saludos!

Buenos días Pokoyo,

Gracias por tu ayuda.

Antes de meterme con la configuración que me proporcionas para el CAPsMAN, he hecho un
Código:
/interface export
de mi hEXs para confirmar que tengo bien las interfaces. Estas son:

Código:
[admin@MikroTik] > /interface export
# may/02/2021 12:16:35 by RouterOS 6.48.2
# software id = 8AL0-U06W
#
# model = RB760iGS
# serial number = D4500DBBBBBB
/interface bridge
add admin-mac=08:55:31:XX:XX:XX auto-mac=no comment=defconf name=bridge
/interface vlan
add interface=ether1 name=internet vlan-id=20
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=sfp1
/interface detect-internet
set detect-interface-list=LAN internet-interface-list=LAN lan-interface-list=dynamic wan-interface-list=dynamic
/interface l2tp-server server
set enabled=yes ipsec-secret=LXXXXXXXXXXXX!! use-ipsec=yes
/interface list member
add interface=ether1 list=WAN
add interface=bridge list=LAN
add interface=internet list=WAN
/interface pptp-server server
set enabled=yes
/interface sstp-server server
set default-profile=default-encryption enabled=yes

De igual forma he hecho un export de la configuración de IPs:

Código:
[admin@MikroTik] /ip> /ip export
# may/02/2021 12:26:24 by RouterOS 6.48.2
# software id = 8AL0-U06W
#
# model = RB760iGS
# serial number = D4500DBBBBBB
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
add name=vpn ranges=192.168.89.2-192.168.89.255
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge lease-time=1d name=defconf
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0
/ip cloud
set ddns-enabled=yes ddns-update-interval=15m
/ip dhcp-client
add comment=defconf dhcp-options=clientid_duid disabled=no interface=bridge use-peer-dns=no use-peer-ntp=no
add disabled=no interface=ether1
add dhcp-options=clientid_duid disabled=no interface=internet use-peer-dns=no use-peer-ntp=no
/ip dhcp-server lease
#
# Ahora vendrian listadas las direcciones estáticas que tengo configuradas en casa y que obviamente no expongo
#
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new
    in-interface-list=WAN
/ip firewall nat
    to-ports=XXX
add action=dst-nat chain=dstnat comment="XXXXX" dst-port=XXXX in-interface-list=WAN protocol=udp to-addresses=192.168.88.XXX
    to-ports=XXX
add action=dst-nat chain=dstnat comment="YYY " dst-port=YYYYY-ZZZZZ in-interface-list=WAN protocol=tcp to-addresses=192.168.88.YYY
    to-ports=YYYYY-ZZZZZ

Incluyo todo esto, porque una vez que tengo funcionando bien mi hEXs utilizando como PA un Asus RT-AC68U en modo punto de Acceso (PA), y teniendo el DHCP server en el hEXs el cual tiene la IP 192.168.88.1, en el momento que conecto el CAP AC tal como viene de la caja al puerto ether5 del hEXs, este pierde toda la configuración y ya no hay forma posible de acceder al el, ni con el WinBOX ni a través del enlace IP ni de su MAC Address. La única forma que tengo es desenchufar el CAP AC del puerto ether5 del hEXs, resetear el hEXs desconectándolo de la corriente, mantener pulsado el botón reset, conectarlo a la corriente de nuevo y soltar el botón reset cuando el LED SFP empieza a parpadear. Entonces ya entro al hEX s de igual forma que cuando viene de fábrica, y le cargo mi backup que es el que más o menos he descrito en el código de este post.

Creo que este problema viene de que el CAP AC viene preconfigurado con dos redes wifi abiertas en 2 y 5 Ghz denominadas Mikrotik, con el DHCP server activado y con una IP 192.168.88.1 que entra en conflicto con la del hEXs al conectarlos pues es la misma. Conseguí cambiarle al CAP AC la ip, pero no pude avanzar. He reseteado el CAPsMAN del hEXs de forma que no hay nada como se verá en el siguiente cuadro de código, he reseteado el CAP AC de la misma forma que hEXs pero ahora tiene desactivadas las dos redes WIFI y si lo conecto al hEXs se me vuelve a desconfigurar. Este es el export del actual CAPSMAN del hEXs:

Código:
[admin@MikroTik] /ip> /caps-man export
# may/02/2021 12:57:03 by RouterOS 6.48.2
# software id = 8AL0-U06W
#
# model = RB760iGS
# serial number = D4500DBXXXXX

Si puedes confirmarme que tengo bien la interfaces y la configuración de ip del hEXs antes de hacer nada, te agradecería.

Luego necesitaría la forma de acceder al CAP AC, que imagino será por cable, y qué pasos tengo dar con el antes de conectarlo al puerto ether5 del hEXs.

Menudo Domingo te voy a dar. Mil gracias.
 
Hola de nuevo,

Como no podía esperar, al final me he metido con la configuración básica inalámbrica usando el CAPsMAN y me ha quedado así:

Código:
[admin@MikroTik] /ip firewall filter>> /caps-man export                     
# may/02/2021 14:10:27 by RouterOS 6.48.2
# software id = 8AL0-U06W
#
# model = RB760iGS
# serial number = D4500DBBBBBB
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2412,2437,2462 name=2ghz-auto-20
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=XXXX name=5ghz-auto-80
/caps-man datapath
add bridge=bridge client-to-client-forwarding=yes local-forwarding=no name=home-dp
add bridge=bridge-guests client-to-client-forwarding=no local-forwarding=no name=guest-dp
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm name=home-sp passphrase=Pericopropio
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm name=guest-sp passphrase=Pericoinvitados
/caps-man configuration
add channel=2ghz-auto-20 country=spain datapath=home-dp mode=ap name=2ghz-home-cfg security=home-sp ssid=WPERSONAL
add channel=5ghz-auto-80 country=spain datapath=home-dp mode=ap name=5ghz-home-cfg security=home-sp ssid=WPERSONAL
add country=spain datapath=guest-dp mode=ap name=2ghz-guest-cfg security=guest-sp ssid=WINVITADOS
add country=spain datapath=guest-dp mode=ap name=5ghz-guest-cfg security=guest-sp ssid=WINVITADOS
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled comment=2ghz-auto-provisioning hw-supported-modes=gn master-configuration=2ghz-home-cfg name-format=\
    prefix-identity name-prefix=2ghz-auto slave-configurations=2ghz-guest-cfg
add action=create-dynamic-enabled comment=5ghz-auto-provisioning hw-supported-modes=ac master-configuration=5ghz-home-cfg name-format=\
    prefix-identity name-prefix=5ghz-auto slave-configurations=5ghz-guest-cfg


Respecto al firewall entre la red personal y la de invitados, me ha quedado así:

Código:
[admin@MikroTik] /ip firewall filter>> /ip firewall filter export                                                                       
# may/02/2021 14:04:49 by RouterOS 6.48.2
# software id = 8AL0-U06W
#
# model = RB760iGS
# serial number = D4500DBBBBBB
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new \
    in-interface-list=WAN
add action=drop chain=forward comment="block guests accesing LAN" dst-address=192.168.88.0/24 src-address=192.168.99.0/24
add action=drop chain=forward comment="block LAN accesing guests" dst-address=192.168.99.0/24 src-address=192.168.88.0/24
[admin@MikroTik] /ip firewall filter>>

Y las interfaces me han quedado asi:

Código:
[admin@MikroTik] /ip firewall filter>> /interface export           
# may/02/2021 14:14:19 by RouterOS 6.48.2
# software id = 8AL0-U06W
#
# model = RB760iGS
# serial number = D4500DBBBBBB
/interface bridge
add admin-mac=08:55:31:ZZ:YY:XX auto-mac=no comment=defconf name=bridge
add name=bridge-guests
/interface vlan
add interface=ether1 name=internet vlan-id=20
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=sfp1
/interface detect-internet
set detect-interface-list=LAN internet-interface-list=LAN lan-interface-list=dynamic wan-interface-list=dynamic
/interface l2tp-server server
set enabled=yes ipsec-secret=LXXXXXXXX!! use-ipsec=yes
/interface list member
add interface=ether1 list=WAN
add interface=bridge list=LAN
add interface=internet list=WAN
/interface pptp-server server
set enabled=yes
/interface sstp-server server
set default-profile=default-encryption enabled=yes

Espero que esté correcto. Ahora iré probando y te iré comentando.

Muchisimas gracias!
 
A priori, y con un simple vistazo rápido, tiene buena pinta. Me faltaría ver la parte de las IP's, pero entiendo que has seguido la guía de tips&tricks y le has dado la 192.168.99.1/24 a la interfaz bridge-guests y luego has levantado un servidor DHCP sobre esa nueva interfaz. ¿Es así?

Recuerda que, para poner el equipo cAP-AC en modo CAP, lo más sencillo es enchufarle y no conectarle a nada, meterte a él por wifi o por ether2, y darle un "System -> Reset configuration -> CAPS Mode". Aparte de eso, una vez que resetee y esté unido al CAPsMAN, le cambias la password de usuario admin, y andando.
Hay una manera de hacerlo simplemente usando el botón de reset (aguantando un poco más) pero no te creas que a mi me sale siempre a la primera, así que mejor vía la opción sencilla, que es la que te digo.

Prueba y me dices, a ver qué te parece el setup. Una vez tengas más AP's, habrá que bajarle la potencia al wifi de 2,4GHz, meter reglas para que el roaming funcione decente y quizá bajar a 40Mhz de ancho de canal de la red de 5GHz. Por lo demás, ese setup te vale perfectamente para ir tirando, metiendo tantos CAPs como quieras.

Saludos!
 
Pues funcionando está por fin!

El CAP AC lo tengo en la planta baja y me llega bien a la planta 1, pero a la planta 2 o atico no me llega bien y es ahí donde quería poner ahora el Asus como punto de acceso. Me gustaría antes ajustar el tema que me dices de los canales, provisioning, etc... porque veo que el CAP AC funciona pero el tráfico de datos va un poco más lento.

Prefiero que si puedes me eches un vistazo a la configuración actual que te he expuesto y a luego afinamos.
 
Por otro lado, la configuración de la sonda de internet la tienes mal. Me refiero a esto:
Código:
/interface detect-internet
set detect-interface-list=LAN internet-interface-list=LAN lan-interface-list=dynamic wan-interface-list=dynamic

Déjala así:
1619959370144.png


Si lo quieres en código
Código:
/interface detect-internet
set detect-interface-list=WAN

Saludos!
 
porque veo que el CAP AC funciona pero el tráfico de datos va un poco más lento.
Espera a que levante la interfaz de 5GHz y conéctate a ella. Dependiendo del canal que haya elegido en automático, puede tardar desde nada a 1min o 10min en arrancar.

Saludos!
 
Aqui van las IPs:

Código:
/command        Use command at the base level
[admin@MikroTik] > /ip export
# may/02/2021 14:41:21 by RouterOS 6.48.2
# software id = 8AL0-U06W
#
# model = RB760iGS
# serial number = D4500DBBBBBB
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
add name=vpn ranges=192.168.89.2-192.168.89.255
add name=pool-guests ranges=192.168.99.2-192.168.99.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge lease-time=1d name=defconf
add address-pool=pool-guests disabled=no interface=bridge-guests name=dhcp-guests
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0
add address=192.168.99.1/24 interface=bridge-guests network=192.168.99.0
/ip cloud
set ddns-enabled=yes ddns-update-interval=15m
/ip dhcp-client
add comment=defconf dhcp-options=clientid_duid disabled=no interface=bridge use-peer-dns=no use-peer-ntp=no
add disabled=no interface=ether1
add dhcp-options=clientid_duid disabled=no interface=internet use-peer-dns=no use-peer-ntp=no
/ip dhcp-server lease
#
# omito esta parte como antes
#
#Esta IP 192.168.88.2XX que viene a continuacion es la del CAP AC que la he dejado estática.
add address=192.168.88.2XX client-id=1:2c:c8:1b:SS:ZZ:XX mac-address=2C:C8:1B:SS:ZZ:XX server=defconf
#
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
add address=192.168.99.0/24 gateway=192.168.99.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new \
    in-interface-list=WAN
add action=drop chain=forward comment="block guests accesing LAN" dst-address=192.168.88.0/24 src-address=192.168.99.0/24
add action=drop chain=forward comment="block LAN accesing guests" dst-address=192.168.99.0/24 src-address=192.168.88.0/24
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=192.168.89.0/24
add action=masquerade chain=srcnat out-interface-list=WAN
#
#Estos algunos puertos que tengo abiertos#
add action=dst-nat chain=dstnat comment="Vail " dst-port=XXX in-interface-list=WAN protocol=tcp to-addresses=192.168.88.XXX \
    to-ports=XXX
# y otros 4 puertos más para la red privada.
#

Qué tal lo ves?
 
No toques el lease time de los equipos. Este servidor dhcp no es como el de otros routers del pelotazo. Con un lease time de 10 minutos, el que trae por defecto, el servidor es capaz de manejar un cerro de clientes sin problema.

Por lo demás, lo veo bien. ¿Funciona el inalámbrico, tanto conectándote a la red propia como a la de invitados?

Saludos!
 
Adivino aún no soy! Pásame la configuración, y lo vemos. Me suena a movida com el data-rates, si es que lo usas. O te refieres a que tienes problemas con esta configuración en concreto?

Saludos!
jajajaj, perdona es que estaba fuera y no la he podido pasar, la configuración es una muy parecida que me pasastes en otro post, te dejo un export completo con hide-sensitive

Código:
# may/02/2021 15:57:39 by RouterOS 6.47.9
# software id = K49H-1EF2
#
# model = RB760iGS
# serial number = A36A0D038427

/caps-man channel
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=XX name=\
    5ghz-auto-40
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=XXXX name=\
    5ghz-auto-80
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2412,2437,2462 name=2ghz-auto-20
/interface bridge
add name=bridge-guests
add admin-mac=08:55:31:2D:2D:9B auto-mac=no comment=defconf name=bridge-lan \
    protocol-mode=none
/interface ethernet
set [ find default-name=ether1 ] comment=WAN
set [ find default-name=ether2 ] comment=LAN
set [ find default-name=ether3 ] comment=LAN
set [ find default-name=ether4 ] comment=LAN
set [ find default-name=ether5 ] comment=LAN
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 \
    use-peer-dns=yes user=adslppp@telefonicanetpa
/caps-man datapath
add bridge=bridge-lan client-to-client-forwarding=yes local-forwarding=no name=\
    datapath-lan
add bridge=bridge-guests client-to-client-forwarding=no local-forwarding=no \
    name=datapath-guests
/caps-man rates
add basic=24Mbps ht-basic-mcs="" ht-supported-mcs="" name=g/n/ac-only \
    supported=24Mbps,36Mbps,48Mbps,54Mbps vht-basic-mcs="" vht-supported-mcs=""
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=security-profile-guests
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=security-profile-lan
/caps-man configuration
add channel=2ghz-auto-20 country=spain datapath=datapath-lan mode=ap name=\
    2ghz-Principal security=security-profile-lan ssid=Domotica
add channel=2ghz-auto-20 country=spain datapath=datapath-guests mode=ap name=\
    2ghz-Invitados security=security-profile-guests ssid=Invitados
add channel=5ghz-auto-80 country=spain datapath=datapath-lan mode=ap name=\
    5ghz-Principal-80-cfg security=security-profile-lan ssid=Midgar
add channel=5ghz-auto-40 country=spain datapath=datapath-lan mode=ap name=\
    5ghz-Principal-40-cfg security=security-profile-lan ssid=Midgar
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=pool-lan ranges=192.168.1.100-192.168.1.254
add name=vpn ranges=192.168.89.2-192.168.89.255
add name=pool-guests ranges=192.168.2.2-192.168.2.254
/ip dhcp-server
add address-pool=pool-lan disabled=no interface=bridge-lan name=dhcp-lan
add address-pool=pool-guests disabled=no interface=bridge-guests name=\
    dhcp-guests
/ppp profile
set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn
/caps-man manager
set enabled=yes
/caps-man manager interface
set [ find default=yes ] forbid=yes
add disabled=no interface=bridge-lan
/caps-man provisioning
add action=create-dynamic-enabled comment="Cap Salon 2.4ghz" \
    master-configuration=2ghz-Principal name-format=identity radio-mac=\
    08:55:31:B0:AC:12 slave-configurations=2ghz-Invitados
add action=create-dynamic-enabled comment="Cap Salon 5ghz" \
    master-configuration=5ghz-Principal-80-cfg name-format=identity radio-mac=\
    08:55:31:B0:AC:13
/interface bridge port
add bridge=bridge-lan comment=defconf interface=ether2
add bridge=bridge-lan comment=defconf interface=ether3
add bridge=bridge-lan comment=defconf interface=ether4
add bridge=bridge-lan comment=defconf interface=ether5
add bridge=bridge-lan comment=defconf interface=sfp1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set enabled=yes use-ipsec=yes
/interface list member
add comment=defconf interface=bridge-lan list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=pppoe-out1 list=WAN
/interface pptp-server server
set enabled=yes
/interface sstp-server server
set default-profile=default-encryption
/ip address
add address=192.168.1.1/24 comment=LAN interface=bridge-lan network=192.168.1.0
add address=192.168.100.2/24 comment="Acceso a router movistar" interface=\
    ether1 network=192.168.100.0
add address=192.168.2.1/24 comment=Invitados interface=bridge-guests network=\
    192.168.2.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf interface=ether1
/ip dhcp-server lease
add address=192.168.1.2 client-id=1:8:55:31:b0:ac:10 comment=\
    "Mikrotik cAP ac Salon" mac-address=08:55:31:B0:AC:10 server=dhcp-lan
add address=192.168.1.3 client-id=1:14:da:e9:f4:6e:ef comment="PC Juanjo" \
    mac-address=14:DA:E9:F4:6E:EF server=dhcp-lan
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf gateway=192.168.1.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip dns static
add address=192.168.1.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 protocol=\
    udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" disabled=yes dst-port=443 \
    protocol=tcp
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
    invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" \
    connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=drop chain=forward comment="Block guests accesing LAN" dst-address=\
    192.168.1.0/24 src-address=192.168.2.0/24
add action=drop chain=forward comment="block LAN accesing guests" dst-address=\
    192.168.2.0/24 src-address=192.168.1.0/24
add action=accept chain=forward in-interface=bridge-guests out-interface-list=\
    WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\
    out,none out-interface-list=WAN src-address=0.0.0.0/0
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
    192.168.89.0/24
add action=masquerade chain=srcnat out-interface=pppoe-out1
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge-lan type=internal
add interface=pppoe-out1 type=external
/ppp secret
add name=vpn
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name="MikroTik Router"
/system leds settings
set all-leds-off=after-1h
/tool graphing interface
add
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
 
No toques el lease time de los equipos. Este servidor dhcp no es como el de otros routers del pelotazo. Con un lease time de 10 minutos, el que trae por defecto, el servidor es capaz de manejar un cerro de clientes sin problema.

Por lo demás, lo veo bien. ¿Funciona el inalámbrico, tanto conectándote a la red propia como a la de invitados?

Saludos!

Funciona perfectamente en ambas redes.

Lo único veo que la velocidad del vínculo de mi portátil antes podía llegar hasta los 600 Mbps o más y ahora está entre 100 y 200Mbps a la misma distancia del AP que antes. Hablo de la banda de 5 Ghz en 802.11ac, aunque la tarjeta de mi Yoga 940 es ax, pero claro la conexión con el CAP es ac.
 
jajajaj, perdona es que estaba fuera y no la he podido pasar, la configuración es una muy parecida que me pasastes en otro post, te dejo un export completo con hide-sensitive

Código:
# may/02/2021 15:57:39 by RouterOS 6.47.9
# software id = K49H-1EF2
#
# model = RB760iGS
# serial number = A36A0D038427

/caps-man channel
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=XX name=\
    5ghz-auto-40
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=XXXX name=\
    5ghz-auto-80
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2412,2437,2462 name=2ghz-auto-20
/interface bridge
add name=bridge-guests
add admin-mac=08:55:31:2D:2D:9B auto-mac=no comment=defconf name=bridge-lan \
    protocol-mode=none
/interface ethernet
set [ find default-name=ether1 ] comment=WAN
set [ find default-name=ether2 ] comment=LAN
set [ find default-name=ether3 ] comment=LAN
set [ find default-name=ether4 ] comment=LAN
set [ find default-name=ether5 ] comment=LAN
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 \
    use-peer-dns=yes user=adslppp@telefonicanetpa
/caps-man datapath
add bridge=bridge-lan client-to-client-forwarding=yes local-forwarding=no name=\
    datapath-lan
add bridge=bridge-guests client-to-client-forwarding=no local-forwarding=no \
    name=datapath-guests
/caps-man rates
add basic=24Mbps ht-basic-mcs="" ht-supported-mcs="" name=g/n/ac-only \
    supported=24Mbps,36Mbps,48Mbps,54Mbps vht-basic-mcs="" vht-supported-mcs=""
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=security-profile-guests
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=security-profile-lan
/caps-man configuration
add channel=2ghz-auto-20 country=spain datapath=datapath-lan mode=ap name=\
    2ghz-Principal security=security-profile-lan ssid=Domotica
add channel=2ghz-auto-20 country=spain datapath=datapath-guests mode=ap name=\
    2ghz-Invitados security=security-profile-guests ssid=Invitados
add channel=5ghz-auto-80 country=spain datapath=datapath-lan mode=ap name=\
    5ghz-Principal-80-cfg security=security-profile-lan ssid=Midgar
add channel=5ghz-auto-40 country=spain datapath=datapath-lan mode=ap name=\
    5ghz-Principal-40-cfg security=security-profile-lan ssid=Midgar
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=pool-lan ranges=192.168.1.100-192.168.1.254
add name=vpn ranges=192.168.89.2-192.168.89.255
add name=pool-guests ranges=192.168.2.2-192.168.2.254
/ip dhcp-server
add address-pool=pool-lan disabled=no interface=bridge-lan name=dhcp-lan
add address-pool=pool-guests disabled=no interface=bridge-guests name=\
    dhcp-guests
/ppp profile
set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn
/caps-man manager
set enabled=yes
/caps-man manager interface
set [ find default=yes ] forbid=yes
add disabled=no interface=bridge-lan
/caps-man provisioning
add action=create-dynamic-enabled comment="Cap Salon 2.4ghz" \
    master-configuration=2ghz-Principal name-format=identity radio-mac=\
    08:55:31:B0:AC:12 slave-configurations=2ghz-Invitados
add action=create-dynamic-enabled comment="Cap Salon 5ghz" \
    master-configuration=5ghz-Principal-80-cfg name-format=identity radio-mac=\
    08:55:31:B0:AC:13
/interface bridge port
add bridge=bridge-lan comment=defconf interface=ether2
add bridge=bridge-lan comment=defconf interface=ether3
add bridge=bridge-lan comment=defconf interface=ether4
add bridge=bridge-lan comment=defconf interface=ether5
add bridge=bridge-lan comment=defconf interface=sfp1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set enabled=yes use-ipsec=yes
/interface list member
add comment=defconf interface=bridge-lan list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=pppoe-out1 list=WAN
/interface pptp-server server
set enabled=yes
/interface sstp-server server
set default-profile=default-encryption
/ip address
add address=192.168.1.1/24 comment=LAN interface=bridge-lan network=192.168.1.0
add address=192.168.100.2/24 comment="Acceso a router movistar" interface=\
    ether1 network=192.168.100.0
add address=192.168.2.1/24 comment=Invitados interface=bridge-guests network=\
    192.168.2.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf interface=ether1
/ip dhcp-server lease
add address=192.168.1.2 client-id=1:8:55:31:b0:ac:10 comment=\
    "Mikrotik cAP ac Salon" mac-address=08:55:31:B0:AC:10 server=dhcp-lan
add address=192.168.1.3 client-id=1:14:da:e9:f4:6e:ef comment="PC Juanjo" \
    mac-address=14:DA:E9:F4:6E:EF server=dhcp-lan
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf gateway=192.168.1.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip dns static
add address=192.168.1.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 protocol=\
    udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" disabled=yes dst-port=443 \
    protocol=tcp
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
    invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" \
    connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=drop chain=forward comment="Block guests accesing LAN" dst-address=\
    192.168.1.0/24 src-address=192.168.2.0/24
add action=drop chain=forward comment="block LAN accesing guests" dst-address=\
    192.168.2.0/24 src-address=192.168.1.0/24
add action=accept chain=forward in-interface=bridge-guests out-interface-list=\
    WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\
    out,none out-interface-list=WAN src-address=0.0.0.0/0
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
    192.168.89.0/24
add action=masquerade chain=srcnat out-interface=pppoe-out1
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge-lan type=internal
add interface=pppoe-out1 type=external
/ppp secret
add name=vpn
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name="MikroTik Router"
/system leds settings
set all-leds-off=after-1h
/tool graphing interface
add
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
No veo nada raro. Tienes el data-rate declarado, pero juraría que no lo usas, ¿no? (Lo podrías borrar) Revisa tu espectro inalámbrico y selecciona el canal de 2,4GHz a mano.

Saludos!
 
No veo nada raro. Tienes el data-rate declarado, pero juraría que no lo usas, ¿no? (Lo podrías borrar) Revisa tu espectro inalámbrico y selecciona el canal de 2,4GHz a mano.

Saludos!
Es muy raro, solo me pasa con 2 móviles (ambos Xiaomi) con el resto sí funciona, sin embargo si se conectan a la de domótica (bridge-lan) con misma configuración si les va.
 
Funciona perfectamente en ambas redes.

Lo único veo que la velocidad del vínculo de mi portátil antes podía llegar hasta los 600 Mbps o más y ahora está entre 100 y 200Mbps a la misma distancia del AP que antes. Hablo de la banda de 5 Ghz en 802.11ac, aunque la tarjeta de mi Yoga 940 es ax, pero claro la conexión con el CAP es ac.
Eso es normal, es un equipo 2x2, no vas a tener tanta velocidad como con el otro. De todas formas, ¿qué canal ha escogido el AP en 5GHz? Lo puedes ver en la pestaña status de la interfaz CAP, campo "Current Channel"
1619970964450.png


Saludos!
 
Es muy raro, solo me pasa con 2 móviles (ambos Xiaomi) con el resto sí funciona, sin embargo si se conectan a la de domótica (bridge-lan) con misma configuración si les va.
Prueba a borrar la red inalámbrica de los móviles donde falla, y déjalos que reconecten desde cero, a ver qué hacen. Tu configuración de 2,4GHz es idéntica entre ambas redes, domótica e invitados.

Saludos!
 
Prueba a borrar la red inalámbrica de los móviles donde falla, y déjalos que reconecten desde cero, a ver qué hacen. Tu configuración de 2,4GHz es idéntica entre ambas redes, domótica e invitados.

Saludos!
Lo he probado y nada, he probado también a cambiar la contraseña y tampoco. Ya no se me ocurre que tocar, voy a probar lo que comentastes del data-rate
 
Lo he probado y nada, he probado también a cambiar la contraseña y tampoco. Ya no se me ocurre que tocar, voy a probar lo que comentastes del data-rate
El data rate no lo estás usando; yo directamente lo borraría, porque lo único que hace ahora mismo es despistar.

De tocar algo, toca la definición del canal de 2,4GHz, y vuelve a meterle el soporte para "b", declarando la banda como band=2ghz-b/g/n, en lugar de únicamente como g/n.

Saludos!
 
El data rate no lo estás usando; yo directamente lo borraría, porque lo único que hace ahora mismo es despistar.

De tocar algo, toca la definición del canal de 2,4GHz, y vuelve a meterle el soporte para "b", declarando la banda como band=2ghz-b/g/n, en lugar de únicamente como g/n.

Saludos!
He añadido b/g/n, borrado el rate, reiniciado los 2 dispositivos y nada, debe ser algo raro del modelo, lo que mas me extraña es que se puedan conectar a la de domotica que tiene exactamente la misma conf (cambiando el bridge).
 
Arriba