Configuración Mikrotik con Triple VLAN Jazztel

1.- Entiendo que te refieres a otro equipo mikrotik. Tienes un hAP-mini desde 20€.

2.- No uso windows ni Android, así que no te puedo ayudar ahí.

3.- A continuación de las dos que ya tienes.

4.- No creo, al menos no de manera efectiva, las direcciones MAC se pueden clonar y no sabría decirte si el tráfico vendría con la MAC del PC de origen o del router que le da salida a internet. Pero sí que podrías crear una lista de direcciones públicas permitidas, y solo aceptar el tráfico desde esos orígenes.

Saludos!
 
Muchas Gracias @pokoyo por las respuestas! Por ahora va todo bien.

1. Como curiosidad, lo único que no me funciona en la Interfaz Web del dispositivo Giga 350 (en mi red LAN si funciona pero a través de VPN no). Es curioso porque tampoco funciona por la dirección IP ni por el DNS Estático pero los pings si funcionan.

2. Lo demás si funciona (incluso con el router que tuve que añadir la pool del VPN en los Services, creo que es correcto, pero me gustaría revisarlo). Pongo la configuración:
Código:
# sep/28/2021 22:53:28 by RouterOS 6.48.2
# software id = xxxxxxxxx
#
# model = RouterBOARD 1100Dx4
# serial number = xxxxxxxxxxx
/interface bridge
add name=bridge1
/interface vlan
add interface=ether1 name=VLAN-Internet vlan-id=1074
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
set 12 default-vlan-id=0
set 13 default-vlan-id=0
set 14 default-vlan-id=0
set 15 default-vlan-id=0
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec mode-config
add address=192.168.56.2 address-prefix-length=32 name=ike2-conf-router-vpn \
    system-dns=no
/ip ipsec policy group
add name=ike2-template-group
/ip ipsec profile
add dh-group=modp2048,modp1536,modp1024 enc-algorithm=aes-256,aes-192,aes-128 \
    hash-algorithm=sha256 name=ike2-profile
/ip ipsec peer
add exchange-mode=ike2 name=ike2-peer passive=yes profile=ike2-profile
/ip ipsec proposal
add auth-algorithms=sha512,sha256,sha1 enc-algorithms="aes-256-cbc,aes-256-ctr\
    ,aes-256-gcm,aes-192-ctr,aes-192-gcm,aes-128-cbc,aes-128-ctr,aes-128-gcm" \
    lifetime=8h name=ike2-proposal pfs-group=none
/ip pool
add name=dhcp_pool0 ranges=192.168.55.200-192.168.55.254
add name=pool-vpn ranges=192.168.56.200-192.168.56.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=bridge1 name=dhcp1
/ip ipsec mode-config
add address-pool=pool-vpn address-prefix-length=32 name=\
    ike2-conf-road-warrior split-include=0.0.0.0/0 static-dns=192.168.55.1 \
    system-dns=no
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether6
add bridge=bridge1 interface=ether7
add bridge=bridge1 interface=ether8
add bridge=bridge1 interface=ether9
add bridge=bridge1 interface=ether10
add bridge=bridge1 interface=ether11
add bridge=bridge1 interface=ether12
add bridge=bridge1 interface=ether13
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add interface=ether1 list=WAN
add interface=bridge1 list=LAN
add interface=VLAN-Internet list=WAN
/ip address
add address=192.168.55.1/24 interface=bridge1 network=192.168.55.0
add address=192.168.155.1/24 interface=ether1 network=192.168.155.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add disabled=no interface=VLAN-Internet
/ip dhcp-server lease
add address=192.168.55.4 client-id=xxx comment=\
    "Swicth US-8-150W" mac-address=xxx server=dhcp1
add address=192.168.55.6 client-id=xxx comment=\
    "AP UAP-AC PRO 2" mac-address=xxx server=dhcp1
add address=192.168.55.7 client-id=xxx comment=\
    "ATA SIP Grandstream HT701" mac-address=xxx server=dhcp1
add address=192.168.55.5 client-id=xxx comment=\
    "AP UAP-AC PRO 1" mac-address=xxx server=dhcp1
add address=192.168.55.8 comment="Gigaset C530 IP" mac-address=\
    xxx server=dhcp1
add address=192.168.55.3 client-id=xxx comment="Swicth US-24" \
    mac-address=xxx server=dhcp1
add address=192.168.55.2 client-id=xxx comment=\
    "UniFi Cloud Key" mac-address=xxx server=dhcp1
/ip dhcp-server network
add address=192.168.55.0/24 domain=lan gateway=192.168.55.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,8.8.8.8
/ip dns static
add address=192.168.55.1 name=router.lan
add address=192.168.155.2 name=gpon.lan
add address=192.168.55.2 name=cloud.lan
add address=192.168.55.3 name=switch1.lan
add address=192.168.55.4 name=switch2.lan
add address=192.168.55.5 name=ap1.lan
add address=192.168.55.6 name=ap2.lan
add address=192.168.55.7 name=ata.lan
add address=192.168.55.8 name=giga.lan
/ip firewall address-list
add address=xxx.sn.mynetname.net list=public-ip
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="allow ipsec" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input comment=allow-ipser-rw ipsec-policy=in,ipsec \
    src-address=192.168.56.0/24
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=change-mss chain=forward comment="ike2-road-warrior clamp tcp mss" \
    ipsec-policy=in,ipsec new-mss=1360 passthrough=yes protocol=tcp \
    src-address=192.168.56.0/24 tcp-flags=syn tcp-mss=!0-1360
add action=change-mss chain=forward dst-address=192.168.56.0/24 ipsec-policy=\
    out,ipsec new-mss=1360 passthrough=yes protocol=tcp tcp-flags=syn \
    tcp-mss=!0-1360
add action=change-mss chain=forward comment="ike2-router-vpn clamp tcp mss" \
    dst-address=192.168.58.0/24 ipsec-policy=in,ipsec new-mss=1360 \
    passthrough=yes protocol=tcp src-address=192.168.55.0/24 tcp-flags=syn \
    tcp-mss=!0-1360
/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=\
    192.168.55.0/24 src-address=192.168.55.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/ip ipsec identity
add auth-method=digital-signature certificate=vpn-server comment=\
    "PC" generate-policy=port-strict match-by=certificate \
    mode-config=ike2-conf-road-warrior peer=ike2-peer policy-template-group=\
    ike2-template-group remote-certificate=vpn-client-pc
add auth-method=digital-signature certificate=vpn-server comment="Router VPN" \
    generate-policy=port-strict match-by=certificate mode-config=\
    ike2-conf-router-vpn peer=ike2-peer policy-template-group=\
    ike2-template-group remote-certificate=vpn-client-router-vpn
add auth-method=digital-signature certificate=vpn-server comment=\
    "Movil" generate-policy=port-strict match-by=certificate \
    mode-config=ike2-conf-road-warrior peer=ike2-peer policy-template-group=\
    ike2-template-group remote-certificate=vpn-client-movil
/ip ipsec policy
add comment=road-warrior dst-address=192.168.56.0/24 group=\
    ike2-template-group proposal=ike2-proposal src-address=0.0.0.0/0 \
    template=yes
add comment=site-to-site dst-address=192.168.58.0/24 group=\
    ike2-template-group proposal=ike2-proposal src-address=192.168.55.0/24 \
    template=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.55.0/24,192.168.56.0/24
set ssh address=192.168.55.0/24,192.168.56.0/24
set api disabled=yes
set winbox address=192.168.55.0/24,192.168.56.0/24
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=router
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

3. Para abrir los puertos, hay alguna manera de asegurar que sean más seguro.

Muchas gracias de antemano, un saludo y muchas gracias de nuevo.
 
1. Como curiosidad, lo único que no me funciona en la Interfaz Web del dispositivo Giga 350 (en mi red LAN si funciona pero a través de VPN no). Es curioso porque tampoco funciona por la dirección IP ni por el DNS Estático pero los pings si funcionan.
Deshabilita la primera regla de NAT, la relativa al hairpin y prueba. Sino, dale un reset al cacharro, a ver si está pillado (al giga 350, no al router).

2. Lo demás si funciona (incluso con el router que tuve que añadir la pool del VPN en los Services, creo que es correcto, pero me gustaría revisarlo). Pongo la configuración:
La configuración es buena. No veo nada raro que me salte a la vista.


3. Para abrir los puertos, hay alguna manera de asegurar que sean más seguro.
Abrir un puerto es hacer un agujerito en tu seguridad, puesto que permites que tráfico que no se ha generado en tu red acceda a ella. Dicho esto, todos abrimos puertos para que algunas aplicaciones funcionen como deben, no hay problema, siempre que seas consciente de que esos agujeritos están ahí.
La manera de “securizarlo” sería restringir, vía filtros en la propia regla de apertura, quien puede y quien no puede acceder a ella. O usar técnicas de “port knocking” que básicamente son pequeñas trampas para hacer que el puerto se abra dinámicamente cuando tú ejecutas una secuencia de acceso a otros puertos.
No obstante, si lo que vas a exponer es un servicio de dentro de tu red, al que luego accedes con un usuario y contraseña (es decir, lleva login), te recomiendo que NO lo abras, y consideres la opción de montarle la vpn a ese familiar que lo necesita (bien creando un set de certificados y un identity que le puedas instalar en su móvil o donde lo vaya a usar; o bien montando una vpn más sencilla para ese tipo de acceso, tipo L2TP/IPSec)

Saludos!
 
Por ahora todo va bien @pokoyo. La configuración funciona de escándalo y no he tenido ningún problema. Que es lo siguiente que me recomiendas para este setup?
 
Pues mira, te paso una lista de cosillas que yo haría. Luego ya, depende de qué más le quieras sacar chicha a ese equipo. Si lo que tienes en el export es correcto... eso es una 1100 AH, no? Vamos, un pedazo de chisme. O es una configuración copiada de otro equipo?
  • Lo primero, actualizaría a la última versión estable de RouterOS, al 6.48.4. Tanto software (system -> packages -> check for updates) como hardware (una vez instalada la nueva versión, system -> routerboard -> upgrade + reinicio)
  • En tu configuración tienes una entrada para un mode-config que apunta supuestamente a un router remoto en la 192.168.56.2. Hecho de menos la IP local de la VPN, sobre una interfaz de loopback. Es decir, crear un bridge vacío (tipo "lo-vpn") y añadirle la 192.168.56.1 a esa interfaz /ip address add address=192.168.56.1/24 interface=lo-vpn . De esta manera podrías comunicar ambos extremos usando IP's del rango de la VPN. Tipo, por si necesitas mañana levantar otro tipo de túnel sobre esas IP's locales, que sólo se resuelven vía el túnel. Se me ocurre el ejemplo de meter un EoIP encima del túnel IKEv2, que es la más típica, donde la IP local es la 192.168.56.1 y la remota la 192.168.56.2 (y viceversa en el otro extremo).
  • Ya que usas el dominio ".lan" en el DNS; entrégalo en el servidor DHCP, tal que se concatene automáticamente cuando hagas ping a cualquier nombre de esa lista: /ip dhcp-server network set 0 domain=lan
  • Juraría que ese equipo también usa los RTL8367 como switch chip, que creo siguen siendo incompatibles hardware offloading cuando el R/STP está activo en el bridge. Si es como digo, si vas a la pestaña de "Ports" en el bridge principal, no verás una "H" delante de las entradas de los puertos añadidos al bridge (si la ves, no hace falta que toques nada). Esa H indica que el equipo comunica los puertos a nivel hardware sin pasar el tráfico por la CPU, algo muy deseable. Si no te sale la H delante de los puertos, pone el protocol-mode del bridge principal a "none", y conseguirás ese efecto: /interface bridge set 0 protocol-mode=none. Una vez hecho, en la pestaña "Ports" del bridge, deberían aparecerte todos los puertos que están dentro del bridge principal con una "H" delante, indicando que ahora comunican a nivel hardware.

Y poco más, tienes una cofiguración de lo más limpita!

Saludos!
 
Buenas Tardes

He realizado las configuraciones que me comentaste. Pero esta que comentas aquí no la entiendo muy bien lo que hace (por eso prefiero entenderla y después ejecutarla).
En tu configuración tienes una entrada para un mode-config que apunta supuestamente a un router remoto en la 192.168.56.2. Hecho de menos la IP local de la VPN, sobre una interfaz de loopback. Es decir, crear un bridge vacío (tipo "lo-vpn") y añadirle la 192.168.56.1 a esa interfaz /ip address add address=192.168.56.1/24 interface=lo-vpn . De esta manera podrías comunicar ambos extremos usando IP's del rango de la VPN. Tipo, por si necesitas mañana levantar otro tipo de túnel sobre esas IP's locales, que sólo se resuelven vía el túnel. Se me ocurre el ejemplo de meter un EoIP encima del túnel IKEv2, que es la más típica, donde la IP local es la 192.168.56.1 y la remota la 192.168.56.2 (y viceversa en el otro extremo).

Por lo demás, te paso el export con las anteriores configuraciones:
Código:
# oct/14/2021 12:48:02 by RouterOS 6.49
# software id = XXXX-XXXX
#
# model = RouterBOARD 1100Dx4
# serial number = XXXXXXXXXXXX
/interface bridge
add name=bridge1 protocol-mode=none
/interface vlan
add interface=ether1 name=VLAN-Internet vlan-id=1074
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
set 12 default-vlan-id=0
set 13 default-vlan-id=0
set 14 default-vlan-id=0
set 15 default-vlan-id=0
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec mode-config
add address=192.168.CCC.2 address-prefix-length=32 name=ike2-conf-router-vpn \
    system-dns=no
/ip ipsec policy group
add name=ike2-template-group
/ip ipsec profile
add dh-group=modp2048,modp1536,modp1024 enc-algorithm=aes-256,aes-192,aes-128 \
    hash-algorithm=sha256 name=ike2-profile
/ip ipsec peer
add exchange-mode=ike2 name=ike2-peer passive=yes profile=ike2-profile
/ip ipsec proposal
add auth-algorithms=sha512,sha256,sha1 enc-algorithms="aes-256-cbc,aes-256-ctr\
    ,aes-256-gcm,aes-192-ctr,aes-192-gcm,aes-128-cbc,aes-128-ctr,aes-128-gcm" \
    lifetime=8h name=ike2-proposal pfs-group=none
/ip pool
add name=dhcp_pool0 ranges=192.168.AAA.200-192.168.AAA.254
add name=pool-vpn ranges=192.168.CCC.200-192.168.CCC.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=bridge1 name=dhcp1
/ip ipsec mode-config
add address-pool=pool-vpn address-prefix-length=32 name=\
    ike2-conf-road-warrior split-include=0.0.0.0/0 static-dns=192.168.AAA.1 \
    system-dns=no
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether6
add bridge=bridge1 interface=ether7
add bridge=bridge1 interface=ether8
add bridge=bridge1 interface=ether9
add bridge=bridge1 interface=ether10
add bridge=bridge1 interface=ether11
add bridge=bridge1 interface=ether12
add bridge=bridge1 interface=ether13
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add interface=ether1 list=WAN
add interface=bridge1 list=LAN
add interface=VLAN-Internet list=WAN
/ip address
add address=192.168.AAA.1/24 interface=bridge1 network=192.168.AAA.0
add address=192.168.BBB.1/24 interface=ether1 network=192.168.BBB.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add disabled=no interface=VLAN-Internet
/ip dhcp-server lease
add address=192.168.AAA.4 client-id=xx:xx:xx:xx:xx:xx:xx comment=\
    "Swicth US-8-150W" mac-address=XX:XX:XX:XX:XX:XX server=dhcp1
add address=192.168.AAA.6 client-id=xx:xx:xx:xx:xx:xx:xx comment=\
    "AP UAP-AC PRO 2" mac-address=XX:XX:XX:XX:XX:XX server=dhcp1
add address=192.168.AAA.7 client-id=xx:xx:xx:xx:xx:xx:xx comment=\
    "ATA SIP Grandstream HT701" mac-address=XX:XX:XX:XX:XX:XX server=dhcp1
add address=192.168.AAA.5 client-id=xx:xx:xx:xx:xx:xx:xx comment=\
    "AP UAP-AC PRO 1" mac-address=XX:XX:XX:XX:XX:XX server=dhcp1
add address=192.168.AAA.8 client-id=xx:xx:xx:xx:xx:xx:xx comment=\
    "Gigaset C530 IP" mac-address=XX:XX:XX:XX:XX:XX server=dhcp1
add address=192.168.AAA.3 client-id=xx:xx:xx:xx:xx:xx:xx comment="Swicth US-24" \
    mac-address=XX:XX:XX:XX:XX:XX server=dhcp1
add address=192.168.AAA.2 client-id=xx:xx:xx:xx:xx:xx:xx comment=\
    "UniFi Cloud Key" mac-address=XX:XX:XX:XX:XX:XX server=dhcp1
/ip dhcp-server network
add address=192.168.AAA.0/24 domain=lan gateway=192.168.AAA.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,8.8.8.8
/ip dns static
add address=192.168.AAA.1 name=router.lan
add address=192.168.BBB.2 name=gpon.lan
add address=192.168.AAA.2 name=cloud.lan
add address=192.168.AAA.3 name=switch1.lan
add address=192.168.AAA.4 name=switch2.lan
add address=192.168.AAA.5 name=ap1.lan
add address=192.168.AAA.6 name=ap2.lan
add address=192.168.AAA.7 name=ata.lan
add address=192.168.AAA.8 name=giga.lan
/ip firewall address-list
add address=xxxxxxxxxxxx.sn.mynetname.net list=public-ip
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="allow ipsec" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input comment=allow-ipser-rw ipsec-policy=in,ipsec \
    src-address=192.168.CCC.0/24
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=change-mss chain=forward comment="ike2-road-warrior clamp tcp mss" \
    ipsec-policy=in,ipsec new-mss=1360 passthrough=yes protocol=tcp \
    src-address=192.168.CCC.0/24 tcp-flags=syn tcp-mss=!0-1360
add action=change-mss chain=forward dst-address=192.168.CCC.0/24 ipsec-policy=\
    out,ipsec new-mss=1360 passthrough=yes protocol=tcp tcp-flags=syn \
    tcp-mss=!0-1360
add action=change-mss chain=forward comment="ike2-router-vpn clamp tcp mss" \
    dst-address=192.168.DDD.0/24 ipsec-policy=in,ipsec new-mss=1360 \
    passthrough=yes protocol=tcp src-address=192.168.AAA.0/24 tcp-flags=syn \
    tcp-mss=!0-1360
/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=\
    192.168.AAA.0/24 src-address=192.168.AAA.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat comment="Puerto EEEEE" dst-address-list=\
    public-ip dst-port=EEEEE protocol=tcp to-addresses=192.168.AAA.248 \
    to-ports=eeeee
add action=dst-nat chain=dstnat comment="Puerto FFFFF" dst-address-list=\
    public-ip dst-port=FFFFF protocol=tcp to-addresses=192.168.AAA.208 \
    to-ports=fffff
add action=dst-nat chain=dstnat comment="Puerto GGGGG" dst-address-list=\
    public-ip dst-port=GGGGG protocol=tcp to-addresses=192.168.AAA.208 \
    to-ports=ggggg
add action=dst-nat chain=dstnat comment="Puerto HHHHH" \
    dst-address-list=public-ip dst-port=HHHHH protocol=tcp to-addresses=\
    192.168.AAA.208 to-ports=hhhhh
/ip ipsec identity
add auth-method=digital-signature certificate=vpn-server comment=\
    "Dispositivo Road Warrior 1" generate-policy=port-strict match-by=certificate \
    mode-config=ike2-conf-road-warrior peer=ike2-peer policy-template-group=\
    ike2-template-group remote-certificate=vpn-client-1
add auth-method=digital-signature certificate=vpn-server comment="Router Remoto" \
    generate-policy=port-strict match-by=certificate mode-config=\
    ike2-conf-router-vpn peer=ike2-peer policy-template-group=\
    ike2-template-group remote-certificate=vpn-client-router-remoto
add auth-method=digital-signature certificate=vpn-server comment=\
    "Dispositivo Road Warrior 2" generate-policy=port-strict match-by=certificate \
    mode-config=ike2-conf-road-warrior peer=ike2-peer policy-template-group=\
    ike2-template-group remote-certificate=vpn-client-2
/ip ipsec policy
add comment=road-warrior dst-address=192.168.CCC.0/24 group=\
    ike2-template-group proposal=ike2-proposal src-address=0.0.0.0/0 \
    template=yes
add comment=site-to-site dst-address=192.168.DDD.0/24 group=\
    ike2-template-group proposal=ike2-proposal src-address=192.168.AAA.0/24 \
    template=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.AAA.0/24,192.168.CCC.0/24
set ssh address=192.168.AAA.0/24,192.168.CCC.0/24
set api disabled=yes
set winbox address=192.168.AAA.0/24,192.168.CCC.0/24
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=GP
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Para entender mejor te paso la siguiente leyenda:
XXXX/xxxx - DATOS SENSIBLES

AAA - RANGO PRINCIPAL ROUTER
BBB - RANGO SECUNDARIO ROUTER
CCC - RANGO VPN ROUTER
DDD - RANGO PRINCIPAL ROUTER REMOTO

EEEEE/eeeee - Puerto Abierto 1
FFFFF/fffff - Puerto Abierto 2
GGGGG/ggggg - Puerto Abierto 3
HHHHH/hhhhh - Puerto Abierto 4

Si te viene bien, mira si he cometido algún error en la configuración o algo.

También tengo algunas dudas de como funciona el tipo VPN IKEv2 Site-to-Site, no me queda claro como funciona y los rangos VPN y remoto como son.

Finalmente, como ves tengo montado IKEv2 tanto road-warrior como site-to-site pero no entiendo la diferencia de este último con los túneles EoIP (entiendo la diferencia técnica pero no que diferencia hay en cuanto a uso).

¿Me recomiendas, según el uso que des, el EoIP sobre IKEv2 Site-to-Site (u otra VPN) o IKEv2 Site-to-Site Simple?

Muchas gracias de nuevo.

Un saludo.
 
La interfaz de loopback es un bridge vacío, sin puertos, al que le das una IP. Una vez le asignas una IP, pasa a ser una interfaz más de tu router, por la cual se puede acceder a él (por ejemplo, si configuras tu tarjeta de red manualmente dentro de ese mismo segmento, podrías usar esa IP para acceder al router)
En el caso de las VPN's, tú sueles otorgar IP's de un segmento distinto al de tu LAN, pero si te das cuenta no hay puerta de enlace nunca. Esto vendría a ser un simulacro de puerta de enlace o de IP que identifica el extremo de la conexión VPN, por donde vas a salir. Como te digo, no es necesario que lo hagas tal y como tienes la configuración, pero está bien cuando quieres montar otro tipo de túneles punto a punto entre dos sedes, usando IKEv2 como túnel base para cifrar los datos (el punto apunto se haría entre esa nueva IP y la IP que se otorgue a los equipos remotos del pool de road-warrior, que puede ser dinámica como lo tienes ahora mismo, o estática si creas un mode-config dedicado a ese extremo). Léete el manual de la VPN site to site y lo entenderás algo mejor. No obstante, como esto no es obligatorio, ni de momento lo estás usando para nada, déjalo como lo tienes que no lo necesitas ahora mismo. Menos configuración = más limpio de leer.

La configuración está muy bien. Te paso cuatro pijadas que aún cambiaría, ya por pura estética.
  • Renombra el pool de la lan de "dhcp_pool0" a "pool-lan" o similar. Así no queda feo cuando lo exportes y lo identificas de un plumazo. Lo puedes hacer en apartado /ip pool, y no hace falta que lo toques en ningún sitio más, se actualiza sola la referencia en el resto de sitios donde se use. De la misma forma puedes renombrar "dhcp1" a "dhcp-lan" en el servidor DHCP.
  • En el mode-config de la configuración de road-warrior, donde entregas la IP del propio router como DNS (static-dns=192.168.AAA.1), entrega también como secundario un DNS público, tipo el de google o si similar. Esto hará que siempre salgas por la principal cuando se pueda, pero que si se cae o la resolución de nombres del router principal no funciona por lo que sea, no dejes tirado a ese extremo sin navegación.
  • En la apertura de puertos del NAT, si los puertos de fuera y los de dentro son los mismos (es decir, si HHHHH === hhhhh), te puedes ahorrar el "to-ports=hhhhh" y especificar sólo el de fuera. Esa última instrucción solo es necesaria si abriras "AAAAA" (puerto de cara a fuera) y lo mandaras a "hhhhh" (puerto de escucha del equipo final de dentro)

Ah, y enhorabuena por el setup, te está quedando de cine ;)

Saludos!
 
Muchas Gracias @pokoyo

Voy a intentar leerme las diferencias entre Road-Warrior, Site-to-site, EoIP... porque ya me estoy liando jajaj.

Paso de nuevo la configuración, con las cositas que me has comentado:
Código:
# oct/16/2021 21:46:25 by RouterOS 6.49
# software id = XXXX-XXXX
#
# model = RouterBOARD 1100Dx4
# serial number = XXXXXXXXXXXX
/interface bridge
add name=bridge-lan protocol-mode=none
/interface vlan
add interface=ether1 name=VLAN-Internet vlan-id=1074
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
set 12 default-vlan-id=0
set 13 default-vlan-id=0
set 14 default-vlan-id=0
set 15 default-vlan-id=0
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec mode-config
add address=192.168.CCC.2 address-prefix-length=32 name=\
    ike2-conf-router-remoto system-dns=no
/ip ipsec policy group
add name=ike2-template-group
/ip ipsec profile
add dh-group=modp2048,modp1536,modp1024 enc-algorithm=aes-256,aes-192,aes-128 \
    hash-algorithm=sha256 name=ike2-profile
/ip ipsec peer
add exchange-mode=ike2 name=ike2-peer passive=yes profile=ike2-profile
/ip ipsec proposal
add auth-algorithms=sha512,sha256,sha1 enc-algorithms="aes-256-cbc,aes-256-ctr\
    ,aes-256-gcm,aes-192-ctr,aes-192-gcm,aes-128-cbc,aes-128-ctr,aes-128-gcm" \
    lifetime=8h name=ike2-proposal pfs-group=none
/ip pool
add name=pool-lan ranges=192.168.AAA.200-192.168.AAA.254
add name=pool-vpn ranges=192.168.CCC.200-192.168.CCC.254
/ip dhcp-server
add address-pool=pool-lan disabled=no interface=bridge-lan name=dhcp-lan
/ip ipsec mode-config
add address-pool=pool-vpn address-prefix-length=32 name=\
    ike2-conf-road-warrior split-include=0.0.0.0/0 static-dns=\
    192.168.AAA.1,8.8.8.8,1.1.1.1 system-dns=no
/interface bridge port
add bridge=bridge-lan interface=ether2
add bridge=bridge-lan interface=ether3
add bridge=bridge-lan interface=ether4
add bridge=bridge-lan interface=ether5
add bridge=bridge-lan interface=ether6
add bridge=bridge-lan interface=ether7
add bridge=bridge-lan interface=ether8
add bridge=bridge-lan interface=ether9
add bridge=bridge-lan interface=ether10
add bridge=bridge-lan interface=ether11
add bridge=bridge-lan interface=ether12
add bridge=bridge-lan interface=ether13
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add interface=ether1 list=WAN
add interface=bridge-lan list=LAN
add interface=VLAN-Internet list=WAN
/ip address
add address=192.168.AAA.1/24 interface=bridge-lan network=192.168.AAA.0
add address=192.168.BBB.1/24 interface=ether1 network=192.168.BBB.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add disabled=no interface=VLAN-Internet
/ip dhcp-server lease
add address=192.168.AAA.4 client-id=xx:xx:xx:xx:xx:xx:xx comment=\
    "Swicth US-8-150W" mac-address=XX:XX:XX:XX:XX:XX server=dhcp-lan
add address=192.168.AAA.6 client-id=xx:xx:xx:xx:xx:xx:xx comment=\
    "AP UAP-AC PRO 2" mac-address=XX:XX:XX:XX:XX:XX server=dhcp-lan
add address=192.168.AAA.7 client-id=xx:xx:xx:xx:xx:xx:xx comment=\
    "ATA SIP Grandstream HT701" mac-address=XX:XX:XX:XX:XX:XX server=dhcp-lan
add address=192.168.AAA.5 client-id=xx:xx:xx:xx:xx:xx:xx comment=\
    "AP UAP-AC PRO 1" mac-address=XX:XX:XX:XX:XX:XX server=dhcp-lan
add address=192.168.AAA.8 client-id=xx:xx:xx:xx:xx:xx:xx comment=\
    "Gigaset C530 IP" mac-address=XX:XX:XX:XX:XX:XX server=dhcp-lan
add address=192.168.AAA.3 client-id=xx:xx:xx:xx:xx:xx:xx comment="Swicth US-24" \
    mac-address=XX:XX:XX:XX:XX:XX server=dhcp-lan
add address=192.168.AAA.2 client-id=xx:xx:xx:xx:xx:xx:xx comment=\
    "UniFi Cloud Key" mac-address=XX:XX:XX:XX:XX:XX server=dhcp-lan
/ip dhcp-server network
add address=192.168.AAA.0/24 domain=lan gateway=192.168.AAA.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,8.8.8.8
/ip dns static
add address=192.168.AAA.1 name=router.lan
add address=192.168.BBB.2 name=gpon.lan
add address=192.168.AAA.2 name=cloud.lan
add address=192.168.AAA.3 name=switch1.lan
add address=192.168.AAA.4 name=switch2.lan
add address=192.168.AAA.5 name=ap1.lan
add address=192.168.AAA.6 name=ap2.lan
add address=192.168.AAA.7 name=ata.lan
add address=192.168.AAA.8 name=giga.lan
/ip firewall address-list
add address=xxxxxxxxxxxx.sn.mynetname.net list=public-ip
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="allow ipsec" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input comment=allow-ipser-rw ipsec-policy=in,ipsec \
    src-address=192.168.CCC.0/24
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=change-mss chain=forward comment="ike2-road-warrior clamp tcp mss" \
    ipsec-policy=in,ipsec new-mss=1360 passthrough=yes protocol=tcp \
    src-address=192.168.CCC.0/24 tcp-flags=syn tcp-mss=!0-1360
add action=change-mss chain=forward dst-address=192.168.CCC.0/24 ipsec-policy=\
    out,ipsec new-mss=1360 passthrough=yes protocol=tcp tcp-flags=syn \
    tcp-mss=!0-1360
add action=change-mss chain=forward comment="ike2-router-vpn clamp tcp mss" \
    dst-address=192.168.DDD.0/24 ipsec-policy=in,ipsec new-mss=1360 \
    passthrough=yes protocol=tcp src-address=192.168.AAA.0/24 tcp-flags=syn \
    tcp-mss=!0-1360
/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=\
    192.168.AAA.0/24 src-address=192.168.AAA.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat comment="Puerto EEEEE" dst-address-list=\
    public-ip dst-port=EEEEE protocol=tcp to-addresses=192.168.AAA.248 \
    to-ports=eeeee
add action=dst-nat chain=dstnat comment="Puerto FFFFF" dst-address-list=\
    public-ip dst-port=FFFFF protocol=tcp to-addresses=192.168.AAA.208 \
    to-ports=fffff
add action=dst-nat chain=dstnat comment="Puerto GGGGG" dst-address-list=\
    public-ip dst-port=GGGGG protocol=tcp to-addresses=192.168.AAA.208 \
    to-ports=ggggg
add action=dst-nat chain=dstnat comment="Puerto HHHHH" \
    dst-address-list=public-ip dst-port=HHHHH protocol=tcp to-addresses=\
    192.168.AAA.208 to-ports=hhhhh
/ip ipsec identity
add auth-method=digital-signature certificate=vpn-server comment=\
    "Dispositivo Road Warrior 1" generate-policy=port-strict match-by=certificate \
    mode-config=ike2-conf-road-warrior peer=ike2-peer policy-template-group=\
    ike2-template-group remote-certificate=vpn-client-1
add auth-method=digital-signature certificate=vpn-server comment=\
    "Dispositivo Road Warrior 2" generate-policy=port-strict match-by=certificate \
    mode-config=ike2-conf-road-warrior peer=ike2-peer policy-template-group=\
    ike2-template-group remote-certificate=vpn-client-2
add auth-method=digital-signature certificate=vpn-server comment=\
    "Router Remoto" generate-policy=port-strict match-by=certificate \
    mode-config=ike2-conf-router-remoto peer=ike2-peer policy-template-group=\
    ike2-template-group remote-certificate=vpn-client-router-remoto
/ip ipsec policy
add comment="VPN Road-Warrior" dst-address=192.168.CCC.0/24 group=\
    ike2-template-group proposal=ike2-proposal src-address=0.0.0.0/0 \
    template=yes
add comment="VPN Site-To-Site" dst-address=192.168.DDD.0/24 group=\
    ike2-template-group proposal=ike2-proposal src-address=192.168.AAA.0/24 \
    template=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.AAA.0/24,192.168.CCC.0/24
set ssh address=192.168.AAA.0/24,192.168.CCC.0/24
set api disabled=yes
set winbox address=192.168.AAA.0/24,192.168.CCC.0/24
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=XXXXXXXXXXXX
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
 
Última edición:
@pokoyo aunque no lo haya entendido mucho, ¿puedes explicarme como se hace lo de loopbak? Así lo tengo configurado por si hago algo de túneles o algo.
Simplemente añades un bridge nuevo. Luego en IP > Address le das la ip 192.168.CCC.1/24 a esa nueva interfaz de tipo bridge que creaste.

No obstante, como te dije al principio, no es obligatorio tenerlo. Si sólo vas a usar IKEv2, todo lo enrutas por policies, y no vas a montar ningún túnel enrutable (IPIP, EoIP, GRE, etc) encima de ese túnel ipsec, no lo necesitas.

Saludos!
 
Simplemente añades un bridge nuevo. Luego en IP > Address le das la ip 192.168.CCC.1/24 a esa nueva interfaz de tipo bridge que creaste.

No obstante, como te dije al principio, no es obligatorio tenerlo. Si sólo vas a usar IKEv2, todo lo enrutas por policies, y no vas a montar ningún túnel enrutable (IPIP, EoIP, GRE, etc) encima de ese túnel ipsec, no lo necesitas.

Saludos!
Creo que ya lo he hecho (por si en un futuro hago un túnel enrutable).

Pongo la configuración:
Código:
# oct/16/2021 21:46:25 by RouterOS 6.49
# software id = XXXX-XXXX
#
# model = RouterBOARD 1100Dx4
# serial number = XXXXXXXXXXXX
/interface bridge
add name=bridge-lan protocol-mode=none
add name=lo-vpn
/interface vlan
add interface=ether1 name=VLAN-Internet vlan-id=1074
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
set 12 default-vlan-id=0
set 13 default-vlan-id=0
set 14 default-vlan-id=0
set 15 default-vlan-id=0
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec mode-config
add address=192.168.CCC.2 address-prefix-length=32 name=\
    ike2-conf-router-remoto system-dns=no
/ip ipsec policy group
add name=ike2-template-group
/ip ipsec profile
add dh-group=modp2048,modp1536,modp1024 enc-algorithm=aes-256,aes-192,aes-128 \
    hash-algorithm=sha256 name=ike2-profile
/ip ipsec peer
add exchange-mode=ike2 name=ike2-peer passive=yes profile=ike2-profile
/ip ipsec proposal
add auth-algorithms=sha512,sha256,sha1 enc-algorithms="aes-256-cbc,aes-256-ctr\
    ,aes-256-gcm,aes-192-ctr,aes-192-gcm,aes-128-cbc,aes-128-ctr,aes-128-gcm" \
    lifetime=8h name=ike2-proposal pfs-group=none
/ip pool
add name=pool-lan ranges=192.168.AAA.200-192.168.AAA.254
add name=pool-vpn ranges=192.168.CCC.200-192.168.CCC.254
/ip dhcp-server
add address-pool=pool-lan disabled=no interface=bridge-lan name=dhcp-lan
/ip ipsec mode-config
add address-pool=pool-vpn address-prefix-length=32 name=\
    ike2-conf-road-warrior split-include=0.0.0.0/0 static-dns=\
    192.168.AAA.1,8.8.8.8,1.1.1.1 system-dns=no
/interface bridge port
add bridge=bridge-lan interface=ether2
add bridge=bridge-lan interface=ether3
add bridge=bridge-lan interface=ether4
add bridge=bridge-lan interface=ether5
add bridge=bridge-lan interface=ether6
add bridge=bridge-lan interface=ether7
add bridge=bridge-lan interface=ether8
add bridge=bridge-lan interface=ether9
add bridge=bridge-lan interface=ether10
add bridge=bridge-lan interface=ether11
add bridge=bridge-lan interface=ether12
add bridge=bridge-lan interface=ether13
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add interface=ether1 list=WAN
add interface=bridge-lan list=LAN
add interface=VLAN-Internet list=WAN
/ip address
add address=192.168.AAA.1/24 interface=bridge-lan network=192.168.AAA.0
add address=192.168.BBB.1/24 interface=ether1 network=192.168.BBB.0
add address=192.168.CCC.1/24 interface=lo-vpn network=192.168.CCC.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add disabled=no interface=VLAN-Internet
/ip dhcp-server lease
add address=192.168.AAA.4 client-id=xx:xx:xx:xx:xx:xx:xx comment=\
    "Swicth US-8-150W" mac-address=XX:XX:XX:XX:XX:XX server=dhcp-lan
add address=192.168.AAA.6 client-id=xx:xx:xx:xx:xx:xx:xx comment=\
    "AP UAP-AC PRO 2" mac-address=XX:XX:XX:XX:XX:XX server=dhcp-lan
add address=192.168.AAA.7 client-id=xx:xx:xx:xx:xx:xx:xx comment=\
    "ATA SIP Grandstream HT701" mac-address=XX:XX:XX:XX:XX:XX server=dhcp-lan
add address=192.168.AAA.5 client-id=xx:xx:xx:xx:xx:xx:xx comment=\
    "AP UAP-AC PRO 1" mac-address=XX:XX:XX:XX:XX:XX server=dhcp-lan
add address=192.168.AAA.8 client-id=xx:xx:xx:xx:xx:xx:xx comment=\
    "Gigaset C530 IP" mac-address=XX:XX:XX:XX:XX:XX server=dhcp-lan
add address=192.168.AAA.3 client-id=xx:xx:xx:xx:xx:xx:xx comment="Swicth US-24" \
    mac-address=XX:XX:XX:XX:XX:XX server=dhcp-lan
add address=192.168.AAA.2 client-id=xx:xx:xx:xx:xx:xx:xx comment=\
    "UniFi Cloud Key" mac-address=XX:XX:XX:XX:XX:XX server=dhcp-lan
/ip dhcp-server network
add address=192.168.AAA.0/24 domain=lan gateway=192.168.AAA.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,8.8.8.8
/ip dns static
add address=192.168.AAA.1 name=router.lan
add address=192.168.BBB.2 name=gpon.lan
add address=192.168.AAA.2 name=cloud.lan
add address=192.168.AAA.3 name=switch1.lan
add address=192.168.AAA.4 name=switch2.lan
add address=192.168.AAA.5 name=ap1.lan
add address=192.168.AAA.6 name=ap2.lan
add address=192.168.AAA.7 name=ata.lan
add address=192.168.AAA.8 name=giga.lan
/ip firewall address-list
add address=xxxxxxxxxxxx.sn.mynetname.net list=public-ip
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="allow ipsec" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input comment=allow-ipser-rw ipsec-policy=in,ipsec \
    src-address=192.168.CCC.0/24
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=change-mss chain=forward comment="ike2-road-warrior clamp tcp mss" \
    ipsec-policy=in,ipsec new-mss=1360 passthrough=yes protocol=tcp \
    src-address=192.168.CCC.0/24 tcp-flags=syn tcp-mss=!0-1360
add action=change-mss chain=forward dst-address=192.168.CCC.0/24 ipsec-policy=\
    out,ipsec new-mss=1360 passthrough=yes protocol=tcp tcp-flags=syn \
    tcp-mss=!0-1360
add action=change-mss chain=forward comment="ike2-router-vpn clamp tcp mss" \
    dst-address=192.168.DDD.0/24 ipsec-policy=in,ipsec new-mss=1360 \
    passthrough=yes protocol=tcp src-address=192.168.AAA.0/24 tcp-flags=syn \
    tcp-mss=!0-1360
/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=\
    192.168.AAA.0/24 src-address=192.168.AAA.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat comment="Puerto EEEEE" dst-address-list=\
    public-ip dst-port=EEEEE protocol=tcp to-addresses=192.168.AAA.248 \
    to-ports=eeeee
add action=dst-nat chain=dstnat comment="Puerto FFFFF" dst-address-list=\
    public-ip dst-port=FFFFF protocol=tcp to-addresses=192.168.AAA.208 \
    to-ports=fffff
add action=dst-nat chain=dstnat comment="Puerto GGGGG" dst-address-list=\
    public-ip dst-port=GGGGG protocol=tcp to-addresses=192.168.AAA.208 \
    to-ports=ggggg
add action=dst-nat chain=dstnat comment="Puerto HHHHH" \
    dst-address-list=public-ip dst-port=HHHHH protocol=tcp to-addresses=\
    192.168.AAA.208 to-ports=hhhhh
/ip ipsec identity
add auth-method=digital-signature certificate=vpn-server comment=\
    "Dispositivo Road Warrior 1" generate-policy=port-strict match-by=certificate \
    mode-config=ike2-conf-road-warrior peer=ike2-peer policy-template-group=\
    ike2-template-group remote-certificate=vpn-client-1
add auth-method=digital-signature certificate=vpn-server comment=\
    "Dispositivo Road Warrior 2" generate-policy=port-strict match-by=certificate \
    mode-config=ike2-conf-road-warrior peer=ike2-peer policy-template-group=\
    ike2-template-group remote-certificate=vpn-client-2
add auth-method=digital-signature certificate=vpn-server comment=\
    "Router Remoto" generate-policy=port-strict match-by=certificate \
    mode-config=ike2-conf-router-remoto peer=ike2-peer policy-template-group=\
    ike2-template-group remote-certificate=vpn-client-router-remoto
/ip ipsec policy
add comment="VPN Road-Warrior" dst-address=192.168.CCC.0/24 group=\
    ike2-template-group proposal=ike2-proposal src-address=0.0.0.0/0 \
    template=yes
add comment="VPN Site-To-Site" dst-address=192.168.DDD.0/24 group=\
    ike2-template-group proposal=ike2-proposal src-address=192.168.AAA.0/24 \
    template=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.AAA.0/24,192.168.CCC.0/24
set ssh address=192.168.AAA.0/24,192.168.CCC.0/24
set api disabled=yes
set winbox address=192.168.AAA.0/24,192.168.CCC.0/24
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=XXXXXXXXXXXX
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
 
Todo correcto. En cuanto migres a la V7 (esa configuración que tienes es 100% compatible, no tienes nada raro que te pueda dar problemas al migrar), recuerda que ya no será necesario usar el protocol-mode=none en el bridge principal para que tenga hardware offloading. Es más, soportará tanto protocol-mode=rstp (el valor que traen los bridges por defecto) como bridge-vlan-filtering, por si te da por jugar con vlans en tu LAN.

La 1100AH lleva los mismos switch chip que la RB4011, los Realtek RTL8367. Esos mejoran una barbaridad en la implementación nueva de la V7.

Saludos!
 
Arriba