Creacion de 2 redes con Mikrotik rb4011 y 3 AP UNIFI

Buenos dias,

Llevo un tiempo intentando crear varias redes para separar el trafico de mi casa, SmarttTV, ESXi , moviles, etc ....de una wifi secudnaria que uso para cuando viene gente a casa.

Esta segunda wifi funciona bien y tiene limitado el ancho de banda, pero no consigo que funcione en un segmento de red diferente para aislar el trafico y aislar de mi red principal.

Os hago un pequeño esquema :

RED Principal : 192.168.1.0/24
RED Secundaria : 20.20.20.0/24 (puse esta por hacer pruebas, pero puede ser cualquiera)

El router principal es un Mikrotik rb4011 (sin wifi) , la fibra está conectada a eth1 (Es un GPON Nano de Unifi)
del switch va un cable hasta una de las plantas donde hay un switch de 24 puertos marca DLINK (No gestionable) , y ahí tengo conectados el sistema de vigiglancia de camaras, un Cloud Key de Unifi

La wifi la gestiona el cloud Key , y hay distribuidos por la vivienda tres platos Unifi :


El problema que tengo es qaue mikrotik solo asigna IP en la red 192.168.1.X .....de forma que los invitados cuando vienen navegan por la misma red que nosotros.
No consigo que la red wifi de invitados funcione en un segmento diferente

Adjunto el RSC que está funcionando en el rb4011 .....y que seguro es un galimatias, pues he ido añadiendo y quitando cosas a ver si lograba que funcionase

Código:
# jul/14/2021 09:06:04 by RouterOS 6.48.3
# software id = 3XC7-U6FZ
#
# model = RB4011iGS+
# serial number = B8FEXXXXXX87
/interface bridge
add admin-mac=C4:AD:34:8D:52:C0 auto-mac=no comment=defconf name=bridge
/interface vlan
add interface=ether1 name=internet vlan-id=6
add interface=bridge name="vlan CONVIDATS" vlan-id=20
add interface=ether1 name=voip vlan-id=3
/interface pppoe-client
add add-default-route=yes disabled=no interface=internet name=pppoe-out1 \
    service-name=MovistarO2 use-peer-dns=yes user=adslppp@telefonicanetpa
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.1.10-192.168.1.254
add name=vpn ranges=192.168.89.2-192.168.89.255
add name=dhcp_pool2 ranges=20.20.20.2-20.20.20.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge lease-time=23h name=\
    defconf
add add-arp=yes address-pool=dhcp_pool2 disabled=no interface=\
    "vlan CONVIDATS" name=convidats
/ppp profile
set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=ether9
add bridge=bridge comment=defconf interface=ether10
add bridge=bridge comment=defconf interface=sfp-sfpplus1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set enabled=yes use-ipsec=yes
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=pppoe-out1 list=WAN
/interface pptp-server server
set enabled=yes
/interface sstp-server server
set default-profile=default-encryption enabled=yes
/ip address
add address=192.168.1.1/24 comment=defconf interface=bridge network=\
    192.168.1.0
add address=192.168.10.2/24 interface=ether1 network=192.168.10.0
add address=20.20.20.1/24 comment="per wifi convidats" interface=\
    "vlan CONVIDATS" network=20.20.20.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf interface=ether1
add add-default-route=no disabled=no interface=voip
/ip dhcp-server lease
add address=192.168.1.43 client-id=1:70:bc:10:a0:66:6d comment="XBOX JAN" \
    mac-address=70:BC:10:A0:66:6D server=defconf
add address=192.168.1.27 client-id=1:9c:8e:99:5e:38:88 comment=\
    "HP ML350P Esxi" mac-address=9C:8E:99:5E:38:88 server=defconf
add address=192.168.1.11 client-id=1:0:c:29:96:a2:ed mac-address=\
    00:0C:29:96:A2:ED server=defconf
add address=192.168.1.30 client-id=1:8:bd:43:f6:30:70 mac-address=\
    08:BD:43:F6:30:70 server=defconf
add address=192.168.1.23 client-id=1:0:c:29:fd:87:b3 mac-address=\
    00:0C:29:FD:87:B3 server=defconf
add address=192.168.1.33 client-id=1:0:62:6e:56:aa:65 mac-address=\
    00:62:6E:56:AA:65 server=defconf
/ip dhcp-server network
add address=20.20.20.0/24 dns-server=8.8.8.8,1.1.1.1 gateway=20.20.20.1
add address=192.168.1.0/24 comment=defconf dns-server=\
    192.168.1.23,192.168.1.1 gateway=192.168.1.1 netmask=24
/ip dns
set allow-remote-requests=yes use-doh-server=\
    https://cloudflare-dns.com/dns-query verify-doh-cert=yes
/ip dns static
add address=192.168.1.1 comment=defconf name=router.lan
add address=104.16.249.249 name=cloudflare-dns.com
add address=104.16.248.249 name=cloudflare-dns.com
add address=10.34.255.134 name=telefonica.net
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=accept chain=forward comment="reenvio 443 a UNRAID" dst-port=443 \
    protocol=tcp
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 \
    protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp
add action=accept chain=input comment=\
    "Acepta el trafico de la vlan del telefono" in-interface=voip \
    src-address=10.0.0.0/8
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add chain=forward comment="xbox filter rules - TCP" dst-port=53,80,3074 \
    protocol=tcp
add chain=forward comment="xbox filter rules - UDP" dst-port=\
    53,500,3544,3074,4500 protocol=udp
/ip firewall mangle
add action=set-priority chain=postrouting new-priority=4 out-interface=voip
add action=set-priority chain=postrouting new-priority=1 out-interface=\
    pppoe-out1
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="default configuration" \
    out-interface=voip
add action=dst-nat chain=dstnat comment="reenvio 443 a UNRAID" disabled=yes \
    dst-port=443 protocol=tcp to-addresses=192.168.1.46 to-ports=443
add action=dst-nat chain=dstnat comment=XPENOLOGY dst-port=5001 protocol=tcp \
    to-addresses=192.168.1.222 to-ports=5001
add action=dst-nat chain=dstnat comment=FOSCAM_NVR dst-port=88 protocol=tcp \
    to-addresses=192.168.1.33 to-ports=88
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
    192.168.89.0/24
add action=dst-nat chain=dstnat comment="xbox one NAT rules - UDP" dst-port=\
    3074,88,500,3544,4500,53,3075 in-interface=ether1 protocol=udp \
    to-addresses=192.168.1.43
add action=dst-nat chain=dstnat comment="xbox one NAT rules - TCP" dst-port=\
    53,80,3074,3075 in-interface=all-ethernet protocol=tcp to-addresses=\
    192.168.1.43
/ip firewall service-port
set sip ports=5060,5070
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=pppoe-out1 type=external
add interface=bridge type=internal
/ppp secret
add name=vpn
add name=jordi service=l2tp
/routing rip interface
add interface=voip passive=yes receive=v2
/routing rip network
add network=10.0.0.0/8
/system clock
set time-zone-name=Europe/Madrid
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
 
Madre mía, tienes pasta invertida en unify... ¿por cuánto te ha salido toda la broma, sin contar con el 4011?

Tu problema es de diseño, aunque creo que algo se podría hacer. Estás queriendo manejar una wifi de invitados junto con el tráfico normal, y eso sólo se puede hacer usando VLANs (si usas un mismo puerto) o enchufando los AP's directos al router (y configurando un bridge dedicado). Para usar VLANs, necesitas un switch gestionable, donde puedas definir qué puertos son TRUNK (llevan VLANs) y qué puertos son de acceso (no llevan VLANs).

Sospecho que ahora mismo tienes los AP's conectados directamente al Switch no gestionable, ¿es así?
La única solución que se me courre es que uses bridge-vlan-filtering con puertos híbridos (un puerto que entregue a la vez tráfico sin etiquetar, sin vlan, el de tu red principal, y tráfico taggeado sobre una vlan de invitados).

Saludos!
 
Madre mía, tienes pasta invertida en unify... ¿por cuánto te ha salido toda la broma, sin contar con el 4011?

Pues si no recuerdo mal unos 200€ cada uno aprox. , mas el coste del cloud key y algun dispositivo más...
Tu problema es de diseño, aunque creo que algo se podría hacer. Estás queriendo manejar una wifi de invitados junto con el tráfico normal, y eso sólo se puede hacer usando VLANs (si usas un mismo puerto) o enchufando los AP's directos al router (y configurando un bridge dedicado). Para usar VLANs, necesitas un switch gestionable, donde puedas definir qué puertos son TRUNK (llevan VLANs) y qué puertos son de acceso (no llevan VLANs).

Sospecho que ahora mismo tienes los AP's conectados directamente al Switch no gestionable, ¿es así?
La única solución que se me courre es que uses bridge-vlan-filtering con puertos híbridos (un puerto que entregue a la vez tráfico sin etiquetar, sin vlan, el de tu red principal, y tráfico taggeado sobre una vlan de invitados).

Saludos!
Todos los APs estan en modo inhalambrico ....es decir , no estan conectados "fisicamente" a ningun sitio (Si te fijas en la foto que he puesto aparecen 3 inahalambricos y 0 cableados) ....

el unico dispositivo conectado fisicamente es el cloud key, que está conectado por rj45 al DLINK(no gestionable) en la segunda planta.

El motivo de todo esto es que la casa es bastante grande, y los suelos son de calor radiante electrico, y de un grosor brutal ( las wifis normales no me llegaban a los pisos superiores) .

Dicho todo esto , estoy totalmente abierto a sugerencias, mejoras , etc .... as always xDDD
 
Cómo que no están cableados? De alguna manera se comunicarán con el router. O es que están los tres en modo mesh y su único enlace con la red es el cloudkey? Dime que por lo menos hay uno físicamente te cableado al router o al switch…

Saludos!
 
Cómo que no están cableados? De alguna manera se comunicarán con el router. O es que están los tres en modo mesh y su único enlace con la red es el cloudkey? Dime que por lo menos hay uno físicamente te cableado al router o al switch…

Saludos!
Efectivamente, el que pone CASA UAP está cableado (conectado en el mismo switch que el Cloud Key, pero en bocas diferentes , lógicamente)

Los otros dos están en modo Mesh (Inalámbrico) , no tienen ningún cable RJ45
 
Vale, pues te planteo las opciones:
  • habilitar bridge-vlan-filtering en tu bridge principal (te quedas sin la aceleración hardware) y ver si funciona cuando configuramos el puerto que va al switch como puerto híbrido (llevaría la VLAN de los "convidats" taggeada, y la vlan por defecto sin taggear), y cruzar los dedos para que funcione.
  • Cambiar (o añadir uno pequeño) el switch por uno gestionable, que te permita trabajar con vlans.
  • Subir un segundo cable ethernet sólo para el AP. Esta opción es la más destroyer, pero es la que mejor te saldría en terminos de rendimiento, puesto que puedes mantener el hardware offloading (aceleración hardware) para la red principal, y montar un segundo bridge sólo para invitados, con el tráfico "sucio". Aunque, teniendo un 4011, incluso sin hardware offloading, tienes chisme de sobra.

Por otro lado la configuración del 4011 está bastante bien, tiene cosillas que corregir, pero nada grave. Lo principal lo tienes a nivel de firewall y nat, que está un poco hecho unos zorros, sospecho que por el desconocimiento de cómo funcionan ambos apartados y para qué se usa cada uno.

Dime cómo procedemos y qué idea descartamos del tirón (por ejemplo, si es físicamente imposible pasar un segundo cable ethernet desde donde está el router a donde está el AP).

Saludos!
 
Peazo setup tienes !!!
La pena es que tu barco hace aguas con ese switch (al no ser gestionable).
No se cuantas bocas necesitas, pero por unos 100 pavos aprox., te puedes echar
un switch en condiciones, como este:


El mesh (que no digo que sea malo), te está metiendo cantidad de ruido RF en casa.
Al no haber cable, una de las bandas se usa para datos y la otra para negociar, etc.
con lo que el rendimiento general del wifi, se degrada muchísimo.

Opino como el compi @pokoyo, cablea siempre que puedas.
Yo te digo: cablea incluso aunque no puedas. ;)

Saludos.
 
Vale, pues te planteo las opciones:
  • habilitar bridge-vlan-filtering en tu bridge principal (te quedas sin la aceleración hardware) y ver si funciona cuando configuramos el puerto que va al switch como puerto híbrido (llevaría la VLAN de los "convidats" taggeada, y la vlan por defecto sin taggear), y cruzar los dedos para que funcione.
  • Cambiar (o añadir uno pequeño) el switch por uno gestionable, que te permita trabajar con vlans.
  • Subir un segundo cable ethernet sólo para el AP. Esta opción es la más destroyer, pero es la que mejor te saldría en terminos de rendimiento, puesto que puedes mantener el hardware offloading (aceleración hardware) para la red principal, y montar un segundo bridge sólo para invitados, con el tráfico "sucio". Aunque, teniendo un 4011, incluso sin hardware offloading, tienes chisme de sobra.

Por otro lado la configuración del 4011 está bastante bien, tiene cosillas que corregir, pero nada grave. Lo principal lo tienes a nivel de firewall y nat, que está un poco hecho unos zorros, sospecho que por el desconocimiento de cómo funcionan ambos apartados y para qué se usa cada uno.

Dime cómo procedemos y qué idea descartamos del tirón (por ejemplo, si es físicamente imposible pasar un segundo cable ethernet desde donde está el router a donde está el AP).

Saludos!
Lo del segundo cable que suba a la planta superior desde el rb4011 que esta en el parking es una cosa que tengo pendiente, pues el técnico que debería pasar a hacerlo me ha dado ya plantón 3 veces …..en tiempos de covid todo parece mucho mas complicado

respecto a sustituir el DLINk por un switch gestionable no habría ningún problema….. que modelo sería adecuado ??

Mi actual setup es mas o menos el siguiente :

Plantra 0 (Parking) : entrada de fibra -> GPON -> rb4011 , UAP AC M (sin cable rj45) para dar cobertura a algunos dispositivos IOT arduino (tengo un acuario programado y gestionado con Arduino)

Planta 1 (planta principal ) : DLINK 24 bocas gigabit conectado por rj45 Cat6 al rb4011) …aquí están las cámaras de vigilancia, el grabador y el AP principal de UNIFI (UAP CASA)

Planta 2 (habitaciones) : SWITCH CISCO conectado al DLINK mediante PLC , UAP LR , y varios equipos en habitaciones todos por wifi, excepto un NAS UNRAID y un PC que está en un despacho conectado por rj45 al switch
 
Vale, y el primer AP, el que está donde el 4011, ¿lo puedes cablear? Entiendo que el segundo está cableado al switch dlink y que el tercero, ¿se podría cablear al switch de cisco?

Dime qué puerto va conectado entre el 4011 y el switch dlink, que vamos a probar la opción 1, que no te implica nada más que un cambio de configuración.

Saludos!
 
Vale, y el primer AP, el que está donde el 4011, ¿lo puedes cablear? Entiendo que el segundo está cableado al switch dlink y que el tercero, ¿se podría cablear al switch de cisco?

Es del todo imposible.
El UAP-M Esta en un lugar de imposible acceso a ningun tipo de cableado, por eso se puso ahí , para dar cobertura a un par de enchufes tipo Amazon/Alexa , y al acuario que está controlado por Arduino.....de hecho es su unica funcion, que estos enchufes que tiene tan poca "cobertura" no se desconectasen cada dos por tres

El UAP-Casa es el que está conectado al switch de 24 puertos DLINK que veis más abajo

Mientras que el UAP-LR está conectado al switch D-Link G0-SW-24G por RJ45, pero este switch está conectado a un PLC que va al Switch DLINK de 24 puertos que está en el piso inferior ......
Dime qué puerto va conectado entre el 4011 y el switch dlink, que vamos a probar la opción 1, que no te implica nada más que un cambio de configuración.

Los puertos del RB4011 son :

ETH1 -> GPON
ETH2 -> CABLE AL PISO SUPERIOR DIRECTO AL TP-LINK TL-SG1024D
ETH10 -> Switch TP-LINK SRW2024


pongo fotos del equipamiento, y una breve explicación de cada uno , para que se vea mas claro todo :

Switch que está en el parking y donde tengo un equipo y un par de NAS y servers con ESXi para mis chapucillas , está conectado por un latiguillo directamente al puerto 10 del rb4011.
Se da la circunstancia de que esté switch es gestionable, pero solo desde un navegador internet explorer, no he conseguido jamas de los jamases administrarlo desde ningún otro navegador, y actualmente no dispongo de ningún equipo en casa capaz de gestionarlo




Switch que está en el piso principal, no es gestionable, y aquí estan conectadas las camaras, el grabador de las mismas y el UAP-Casa, que es el principal punto de acceso wifi, donde se conectan todas las TV, Apple TV, telefonos, tablets, etc...... vamos todo el sistema de entretenimiento de la familia depende de los UNIFI, pero este es el principal (enb la foto de mensjaes anteriores creo que se puiede ver que casi todos los clientes cuelgan de este)
se puede ver el cloud Key de Unifi conectado al puerto 1
Aquí tambien esta conectado el PLC que va al piso superior



Swicth del piso superior (Sustituye al Cisco que hablabamos ayer, que justamente ahciendo las fotos ha dejado de funcionar)
En este está conectado el equipo con el que trabajo el 95% de las veces y el PLC conectado al TP-LINK de la foto de arriba
En este switch va conectado el UAP-LR


Foto del RB4011 , como podéisen el ver en el eth1 está el GPON, en el eth2 va un cable directo al piso de arriba y conectado el TP-LINK TL-SG1024D y , por ultimo , en el eth10 va un cable directo al SRW2024
 
Última edición:
Madre mía qué cacharrerío tienes! Venga, me lo estudio y te digo algo. Creo que podríamos ir por la opción 1 o simplemente reorganizar chismes para aprovecharlos mejor.

Luego te digo algo, y te cuento cómo lo haría yo en tu lugar.

Saludos!
 
Madre mía qué cacharrerío tienes! Venga, me lo estudio y te digo algo. Creo que podríamos ir por la opción 1 o simplemente reorganizar chismes para aprovecharlos mejor.

Luego te digo algo, y te cuento cómo lo haría yo en tu lugar.

Saludos!
Soy todo oídos
 
De momento, no vamos a tocar nada de la instalación física. Aunque, idealmente, el switch gestionable tendría que ir arriba, donde está ahora mismo el de 24 puertos tp-link, para que puedas gestionar las VLANs correctamente.

Me queda la duda de si podrías conectar el AP que tienes en la misma planta del 4011 (sótano) al propio router, y que le llegara cobertura a los enchufes inalámbricos que comentas. ¿están muy lejos dichos enchufes? ¿No hay manera de que le llegue cobertura wifi desde un punto cableado al router principal?

Prueba con este import, vamos a ver si simplemente mandando taggeada la vlan 200 al puerto 2 y 10 (este último lo añadí por si te da por jugar con las VLANs en el switch gestionable, para que puedas ver como se usa; hablaremos de esto luego) conseguimos que llegue dicha red al AP. Aproveché para limpiar mucha configuración, así que avísame si te da algún error el import. En el firewall y el NAT tenías un poco de cacao con el 443, así que me lo cepillé. Por otro lado, como tienes el UPnP activado, los puertos de la XBOX también los fusilé del NAT, y que sea la consola quien abra los que necesite, cuando los vaya a usar, vía ese protocolo. También aproveché para aplicarte el hairpin nat y para quitar el secuestro de puertos que tenías hecho para el 5001 y el 88 (ahora hay un filtro extra, usando tu ip pública, que te permite abrirlos de fuera a dentro, pero no secuestrarlos). Si el 5001 es el puerto https del XPENOLOGY, como sospecho que es, ahora también puedes acceder a él usando únicamente https://dominio.com ; siendo "dominio.com" el ddns que tengas configurado en el xpenology o el de mikrotik (abrí el puerto 443 fuera, https, y lo mandé al puerto 5001 de dentro, el del xpenology)

Importante: tantes de hacer el import, define en la cabecera de dicho fichero las dos variables de entorno que declaré para la password de la VPN y la del secreto compartido de IPSec. Ahora mismo tienen valores "aaa" y "bbb" respectivamente, simplemente cambia lo que va entrecomillado por los valores que quieras para esos dos y listo, tendrías el import listo para importar (valga la rebuznancia).

Una vez hecho esto, en el ubiquiti (de momento sólo en el que tienes arriba conectado al swtich de 24 puertos), tendrías que configurar la red de invitados y, en las opciones avanzadas, decirle que va sobre la VLAN ID = 200. Usé ese número en lugar del 20 que tenías puesto, porque algunas operadoras usan ese vlan ID para la WAN, no vaya a ser que mañana te de por cambiar de compañía y lo jodemos todo.

Otra cosa, eso que me cuentas del switch gestionable me suena a chino. He visto en el manual del chisme que declara, si tú no dices lo contario, la IP 192.168.1.254 como IP de administración. Lo que te podría estar pasando es que, como mikrotik usa el pool de direcciones de atrás a adelante, esa dirección la tuvieras ya asignada a otro equipo y por eso no llegabas al switch por navegación web. He acortado el pool del DHCP de la LAN hasta la IP 250, así que la 254 debería quedarte libre. Después de aplicar esto en el router (previo backup y export, recuerda siempre guarda lo que ya tienes que está funcionando), dale un reinicio al switch (quítalo de corriente y lo vuelves a enchufar) y mira a ver si llegas a él vía http://192.168.1.254 o https://192.168.1.254 de una de las dos deberías poder acceder a él con cualquier navegador.

Código:
#########################
# VARIABLE DEFINITIONS #
:local vpnPassword "aaa"
:local ipsecSecret "bbb"
#########################
/interface bridge
add admin-mac=C4:AD:34:8D:52:C0 auto-mac=no comment=defconf name=bridge vlan-filtering=yes
/interface vlan
add interface=ether1 name=internet vlan-id=6
add interface=bridge name=convidats vlan-id=200
add interface=ether1 name=voip vlan-id=3
/interface bridge vlan
add bridge=bridge tagged=bridge,ether2,ether10 vlan-ids=200
/interface pppoe-client
add add-default-route=yes disabled=no interface=internet name=pppoe-out1 \
    service-name=MovistarO2 use-peer-dns=yes user=adslppp@telefonicanetpa password=adslppp
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp-pool ranges=192.168.1.10-192.168.1.250
add name=vpn-pool ranges=192.168.89.2-192.168.89.254
add name=convidats-pool ranges=192.168.200.2-192.168.200.254
/ip dhcp-server
add address-pool=dhcp-pool disabled=no interface=bridge name=dhcp-server-lan
add address-pool=convidats-pool disabled=no interface=convidats name=dhcp-server-convidats
/ppp profile
set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn interface-list=LAN
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=ether9
add bridge=bridge comment=defconf interface=ether10
add bridge=bridge comment=defconf interface=sfp-sfpplus1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set enabled=yes ipsec-secret=$ipsecSecret use-ipsec=yes
/interface list member
add interface=bridge list=LAN
add interface=pppoe-out1 list=WAN
/ip address
add address=192.168.1.1/24 interface=bridge network=192.168.1.0
add address=192.168.10.2/24 interface=ether1 network=192.168.10.0
add address=192.168.200.1/24 interface=convidats network=192.168.200.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add add-default-route=no disabled=no interface=voip use-peer-dns=no use-peer-ntp=no
/ip dhcp-server lease
add address=192.168.1.43 client-id=1:70:bc:10:a0:66:6d comment="XBOX JAN" \
    mac-address=70:BC:10:A0:66:6D server=defconf
add address=192.168.1.27 client-id=1:9c:8e:99:5e:38:88 comment=\
    "HP ML350P Esxi" mac-address=9C:8E:99:5E:38:88 server=defconf
add address=192.168.1.11 client-id=1:0:c:29:96:a2:ed mac-address=\
    00:0C:29:96:A2:ED server=defconf
add address=192.168.1.30 client-id=1:8:bd:43:f6:30:70 mac-address=\
    08:BD:43:F6:30:70 server=defconf
add address=192.168.1.23 client-id=1:0:c:29:fd:87:b3 mac-address=\
    00:0C:29:FD:87:B3 server=defconf
add address=192.168.1.33 client-id=1:0:62:6e:56:aa:65 mac-address=\
    00:62:6E:56:AA:65 server=defconf
/ip dhcp-server network
add address=192.168.1.0/24 comment=dhcp-network-lan dns-server=\
    192.168.1.23,192.168.1.1 gateway=192.168.1.1 domain=lan
add address=192.168.200.0/24 comment=dhcp-network-convidats dns-server=\
    8.8.8.8,1.1.1.1 gateway=192.168.200.1    
/ip dns
set allow-remote-requests=yes use-doh-server=\
    https://cloudflare-dns.com/dns-query verify-doh-cert=yes
/ip dns static
add address=192.168.1.1 comment=defconf name=router.lan
add address=104.16.249.249 name=cloudflare-dns.com
add address=104.16.248.249 name=cloudflare-dns.com
add address=10.34.255.134 name=telefonica.net
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "Acepta el trafico de la vlan del telefono" in-interface=voip \
    src-address=10.0.0.0/8
add action=accept chain=input comment=allow-l2tp-ipsec-only dst-port=1701 \
    ipsec-policy=in,ipsec protocol=udp
add action=accept chain=input comment=allow-ipsec dst-port=500,4500 protocol=\
    udp
add action=accept chain=input comment=allow-rw-access-router ipsec-policy=\
    in,ipsec src-address=192.168.89.0/24
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=drop chain=forward comment="block guests from anything else but internet" out-interface-list=\
    !WAN src-address=192.168.200.0/24
/ip firewall address-list
add address=([/system routerboard get serial-number].".sn.mynetname.net") list=public-ip
/ip firewall mangle
add action=set-priority chain=postrouting new-priority=4 out-interface=voip
add action=set-priority chain=postrouting new-priority=1 out-interface=pppoe-out1
/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin \
    dst-address=192.168.1.0/24 src-address=192.168.1.0/24
add action=masquerade chain=srcnat comment=masquerade-wan \
    ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment=masquerade-voip \
    out-interface=voip
add action=masquerade chain=srcnat comment=masquerade-vpn \
    src-address=192.168.89.0/24
add action=src-nat chain=srcnat comment=access-ont \
    dst-address=192.168.10.0/24 src-address=192.168.1.0/24 to-addresses=192.168.10.2
add action=dst-nat chain=dstnat comment=XPENOLOGY-HTTPS dst-address-list=public-ip \
    dst-port=443 protocol=tcp to-addresses=192.168.1.222 to-ports=5001    
add action=dst-nat chain=dstnat comment=XPENOLOGY dst-address-list=public-ip \
    dst-port=5001 protocol=tcp to-addresses=192.168.1.222 to-ports=5001
add action=dst-nat chain=dstnat comment=FOSCAM_NVR dst-address-list=public-ip \
    dst-port=88 protocol=tcp to-addresses=192.168.1.33 to-ports=88
/ip firewall service-port
set sip ports=5060,5070
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=pppoe-out1 type=external
add interface=bridge type=internal
/ppp secret
add name=jordi service=l2tp password=$vpnPassword
/routing rip interface
add interface=voip passive=yes receive=v2
/routing rip network
add network=10.0.0.0/8
/system clock
set time-zone-name=Europe/Madrid
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Saludos!
 
Última edición:
De momento, no vamos a tocar nada de la instalación física. Aunque, idealmente, el switch gestionable tendría que ir arriba, donde está ahora mismo el de 24 puertos tp-link, para que puedas gestionar las VLANs correctamente.

A ver, no me cuesta mucho cambiarlo si realmente es lo mejor , o incluso comprar un switch que me recomendesi (si el coste no es una locura)

Me queda la duda de si podrías conectar el AP que tienes en la misma planta del 4011 (sótano) al propio router, y que le llegara cobertura a los enchufes inalámbricos que comentas. ¿están muy lejos dichos enchufes? ¿No hay manera de que le llegue cobertura wifi desde un punto cableado al router principal?

Es realmente complicado, pues el RB4011 está en el interior de un parking bastante grande, y a una altura considerable, pero mas allá de esto, el UAP-M (misma planta que el rb4011) se puso ahí porque es donde está el acuario que se controla con arduino y donde hay también un enchufe de esos inteligentes que se contropla con Alexa (está conectado a un acumulador dfe agua), y se conecta y desconecta con una programación de Alexa (amazon), de forma que si se queda sin cobertura nos quedamos sin agua caliente en casa, y el acuario se queda a oscuras y sin control de la temperatura del agua

No se si moviendo el UAP-M al lado del mikrotik y conectando por rj45 directo me llegaría la cobertura a estos sitios ........

si el beneficio es sustancial puedo "arriesgarme" y probar

Prueba con este import, vamos a ver si simplemente mandando taggeada la vlan 200 al puerto 2 y 10 (este último lo añadí por si te da por jugar con las VLANs en el switch gestionable, para que puedas ver como se usa; hablaremos de esto luego) conseguimos que llegue dicha red al AP. Aproveché para limpiar mucha configuración, así que avísame si te da algún error el import.

Me asalta la duda como siempre de si tengo que hacer el import directamente de esto que me mandas o si tengo que añadir yo alguna cosa (el archivo que puse yo era con hide-sensitive) , por tanto imagino que le faltan datos y , por tanto, si hago el import directamente voy a liarla gordisima

En el firewall y el NAT tenías un poco de cacao con el 443, así que me lo cepillé. Por otro lado, como tienes el UPnP activado, los puertos de la XBOX también los fusilé del NAT, y que sea la consola quien abra los que necesite, cuando los vaya a usar, vía ese protocolo. También aproveché para aplicarte el hairpin nat y para quitar el secuestro de puertos que tenías hecho para el 5001 y el 88 (ahora hay un filtro extra, usando tu ip pública, que te permite abrirlos de fuera a dentro, pero no secuestrarlos). Si el 5001 es el puerto https del XPENOLOGY, como sospecho que es, ahora también puedes acceder a él usando únicamente https://dominio.com ; siendo "dominio.com" el ddns que tengas configurado en el xpenology o el de mikrotik (abrí el puerto 443 fuera, https, y lo mandé al puerto 5001 de dentro, el del xpenology)

Efectivamente el 5001 era para xpenology, pero ahora lo he reutilizado para UNRAID , el xpenology murió y lo he sustituido por esto ......como no sabia redirigir el puerto 443 directamente (es lo que pide UNRAID en principio), le cambié el puerto al 5001 y reutilicé la regla que me funcionaba para Xpenology con el UNRAID
Importante: tantes de hacer el import, define en la cabecera de dicho fichero las dos variables de entorno que declaré para la password de la VPN y la del secreto compartido de IPSec. Ahora mismo tienen valores "aaa" y "bbb" respectivamente, simplemente cambia lo que va entrecomillado por los valores que quieras para esos dos y listo, tendrías el import listo para importar (valga la rebuznancia).

Debo cumplir alguna regla nemotecnica ?? ....o pongo 123456 y ya está ??

....estás PWD me saldran en el menu de mikrotik en algun sitio para modificar mas tarde ?
.....yo el 99'9% de las cosas que hago en el rb4011 o en cualquier otro mikrotik es a traves de menu (mataria por dominar como tu el routerOS pero ni en sueños lo hago xDD)

Una vez hecho esto, en el ubiquiti (de momento sólo en el que tienes arriba conectado al swtich de 24 puertos), tendrías que configurar la red de invitados y, en las opciones avanzadas, decirle que va sobre la VLAN ID = 200. Usé ese número en lugar del 20 que tenías puesto, porque algunas operadoras usan ese vlan ID para la WAN, no vaya a ser que mañana te de por cambiar de compañía y lo jodemos todo.
Hasta donde yo se, que no es mucho, no puedo configurar una Wifi solo en uno de los platos
Las wifis, o cualquier configuracion, las hago en el Unifi Controller y se propagan a todas partes

Otra cosa, eso que me cuentas del switch gestionable me suena a chino. He visto en el manual del chisme que declara, si tú no dices lo contario, la IP 192.168.1.254 como IP de administración. Lo que te podría estar pasando es que, como mikrotik usa el pool de direcciones de atrás a adelante, esa dirección la tuvieras ya asignada a otro equipo y por eso no llegabas al switch por navegación web. He acortado el pool del DHCP de la LAN hasta la IP 250, así que la 254 debería quedarte libre. Después de aplicar esto en el router (previo backup y export, recuerda siempre guarda lo que ya tienes que está funcionando), dale un reinicio al switch (quítalo de corriente y lo vuelves a enchufar) y mira a ver si llegas a él vía http://192.168.1.254 o https://192.168.1.254 de una de las dos deberías poder acceder a él con cualquier navegador.

En este caso no se trata de que esté pisando la IP con ningun otro dispositivo , garantizado 100%.

Este switch unicamente funciona con Internet Explorer, y ademas han de ser versiones del pleistoceno .....con Explorer 10 , 11, o Edge tampoco funciona .....busca en google el modelo y verás ..... ojalá existiera un firmware que arreglara esto :cool:
Código:
#########################
# VARIABLE DEFINITIONS #
:local vpnPassword "aaa"
:local ipsecSecret "bbb"
#########################
/interface bridge
add admin-mac=C4:AD:34:8D:52:C0 auto-mac=no comment=defconf name=bridge vlan-filtering=yes
/interface vlan
add interface=ether1 name=internet vlan-id=6
add interface=bridge name=convidats vlan-id=200
add interface=ether1 name=voip vlan-id=3
/interface bridge vlan
add bridge=bridge tagged=bridge,ether2,ether10 vlan-ids=200
/interface pppoe-client
add add-default-route=yes disabled=no interface=internet name=pppoe-out1 \
    service-name=MovistarO2 use-peer-dns=yes user=adslppp@telefonicanetpa password=adslppp
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp-pool ranges=192.168.1.10-192.168.1.250
add name=vpn-pool ranges=192.168.89.2-192.168.89.254
add name=convidats-pool ranges=192.168.200.2-192.168.200.254
/ip dhcp-server
add address-pool=dhcp-pool disabled=no interface=bridge name=dhcp-server-lan
add address-pool=convidats-pool disabled=no interface=convidats name=dhcp-server-convidats
/ppp profile
set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn interface-list=LAN
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=ether9
add bridge=bridge comment=defconf interface=ether10
add bridge=bridge comment=defconf interface=sfp-sfpplus1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set enabled=yes ipsec-secret=$ipsecSecret use-ipsec=yes
/interface list member
add interface=bridge list=LAN
add interface=pppoe-out1 list=WAN
/ip address
add address=192.168.1.1/24 interface=bridge network=192.168.1.0
add address=192.168.10.2/24 interface=ether1 network=192.168.10.0
add address=192.168.200.1/24 interface=convidats network=192.168.200.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add add-default-route=no disabled=no interface=voip use-peer-dns=no use-peer-ntp=no
/ip dhcp-server lease
add address=192.168.1.43 client-id=1:70:bc:10:a0:66:6d comment="XBOX JAN" \
    mac-address=70:BC:10:A0:66:6D server=defconf
add address=192.168.1.27 client-id=1:9c:8e:99:5e:38:88 comment=\
    "HP ML350P Esxi" mac-address=9C:8E:99:5E:38:88 server=defconf
add address=192.168.1.11 client-id=1:0:c:29:96:a2:ed mac-address=\
    00:0C:29:96:A2:ED server=defconf
add address=192.168.1.30 client-id=1:8:bd:43:f6:30:70 mac-address=\
    08:BD:43:F6:30:70 server=defconf
add address=192.168.1.23 client-id=1:0:c:29:fd:87:b3 mac-address=\
    00:0C:29:FD:87:B3 server=defconf
add address=192.168.1.33 client-id=1:0:62:6e:56:aa:65 mac-address=\
    00:62:6E:56:AA:65 server=defconf
/ip dhcp-server network
add address=192.168.1.0/24 comment=dhcp-network-lan dns-server=\
    192.168.1.23,192.168.1.1 gateway=192.168.1.1 domain=lan
add address=192.168.200.0/24 comment=dhcp-network-convidats dns-server=\
    8.8.8.8,1.1.1.1 gateway=192.168.200.1  
/ip dns
set allow-remote-requests=yes use-doh-server=\
    https://cloudflare-dns.com/dns-query verify-doh-cert=yes
/ip dns static
add address=192.168.1.1 comment=defconf name=router.lan
add address=104.16.249.249 name=cloudflare-dns.com
add address=104.16.248.249 name=cloudflare-dns.com
add address=10.34.255.134 name=telefonica.net
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "Acepta el trafico de la vlan del telefono" in-interface=voip \
    src-address=10.0.0.0/8
add action=accept chain=input comment=allow-l2tp-ipsec-only dst-port=1701 \
    ipsec-policy=in,ipsec protocol=udp
add action=accept chain=input comment=allow-ipsec dst-port=500,4500 protocol=\
    udp
add action=accept chain=input comment=allow-rw-access-router ipsec-policy=\
    in,ipsec src-address=192.168.89.0/24
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=drop chain=forward comment="block guests from anything else but internet" out-interface-list=\
    !WAN src-address=192.168.200.0/24
/ip firewall address-list
add address=([/system routerboard get serial-number].".sn.mynetname.net") list=public-ip
/ip firewall mangle
add action=set-priority chain=postrouting new-priority=4 out-interface=voip
add action=set-priority chain=postrouting new-priority=1 out-interface=pppoe-out1
/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin \
    dst-address=192.168.1.0/24 src-address=192.168.1.0/24
add action=masquerade chain=srcnat comment=masquerade-wan \
    ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment=masquerade-voip \
    out-interface=voip
add action=masquerade chain=srcnat comment=masquerade-vpn \
    src-address=192.168.89.0/24
add action=src-nat chain=srcnat comment=access-ont \
    dst-address=192.168.10.0/24 src-address=192.168.1.0/24 to-addresses=192.168.10.2
add action=dst-nat chain=dstnat comment=XPENOLOGY-HTTPS dst-address-list=public-ip \
    dst-port=443 protocol=tcp to-addresses=192.168.1.222 to-ports=5001  
add action=dst-nat chain=dstnat comment=XPENOLOGY dst-address-list=public-ip \
    dst-port=5001 protocol=tcp to-addresses=192.168.1.222 to-ports=5001
add action=dst-nat chain=dstnat comment=FOSCAM_NVR dst-address-list=public-ip \
    dst-port=88 protocol=tcp to-addresses=192.168.1.33 to-ports=88
/ip firewall service-port
set sip ports=5060,5070
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=pppoe-out1 type=external
add interface=bridge type=internal
/ppp secret
add name=jordi service=l2tp password=$vpnPassword
/routing rip interface
add interface=voip passive=yes receive=v2
/routing rip network
add network=10.0.0.0/8
/system clock
set time-zone-name=Europe/Madrid
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Saludos!
Respecto al UPNP de Xbox, al principio estba así, pero no coinseguía de ninguna manera que la Xbox se le conectara a mi hijo con NAT Abierta, siempre le daba NAT Estricta ...... tras muchas pruebas y leer en foros lo pusimos así y le empezá a funcionar con NAT ABierta y podia hablar con sus amigos en fortnite

Piensa que su Xbox está en la planmta superior, donde todo está conectado a traves del PLC , y además va por wifi (conectado al plato UAP-LR) que es el que está en la planta superior tambien (aunque a veces el propio unifi controller parece que mueve los dispositivos a su antojo entre diferentes UAP)
 
Última edición:
Buenos días!

Vamos a ver, por partes:

A ver, no me cuesta mucho cambiarlo si realmente es lo mejor , o incluso comprar un switch que me recomendesi (si el coste no es una locura)
Yo no compraría ni un chisme más. Tienes material para montar un CPD. De momento, quieto parado.

Es realmente complicado, pues el RB4011 está en el interior de un parking bastante grande, y a una altura considerable, pero mas allá de esto, el UAP-M (misma planta que el rb4011) se puso ahí porque es donde está el acuario que se controla con arduino y donde hay también un enchufe de esos inteligentes que se contropla con Alexa (está conectado a un acumulador dfe agua), y se conecta y desconecta con una programación de Alexa (amazon), de forma que si se queda sin cobertura nos quedamos sin agua caliente en casa, y el acuario se queda a oscuras y sin control de la temperatura del agua

No se si moviendo el UAP-M al lado del mikrotik y conectando por rj45 directo me llegaría la cobertura a estos sitios ........

si el beneficio es sustancial puedo "arriesgarme" y probar
No, en verdad el beneficio iba a ser tener una wifi un poco más decente en el sótano. Pero si el poco uso que le das es ese, poco beneficio vas a obtener cableándolo. Lo que sí vas a conseguir por cable es quitar un pelín de señal RF del espectro, puesto que para funcionar en modo repetidor, ese chisme ha de estar en el mismo canal que el AP que repite, y eso sí puede ser un inconveniente. Aunque, si la unión con el AP lo hace en una banda (modo estación) y emite usando la otra banda (modo AP), en ese caso no habría ningún problema. Ahora mismo me asalta la duda de cómo lo estará haciendo, si de una manera, o de la otra. Pero vamos, que si el uso que tiene es ese, no te compliques.

Efectivamente el 5001 era para xpenology, pero ahora lo he reutilizado para UNRAID , el xpenology murió y lo he sustituido por esto ......como no sabia redirigir el puerto 443 directamente (es lo que pide UNRAID en principio), le cambié el puerto al 5001 y reutilicé la regla que me funcionaba para Xpenology con el UNRAID
No podías abrir el 443 (aparte de que tenías un carajal hecho, porque en luegar de abrirlo lo interceptabas en el fierwall) porque no tenías haipin nat implementado. De la manera que tenías antes abiertos los puertos, sin especificar una dirección (de dentro a fuera o de fuera a dentro), lo que estabas haciendo era secuestrar el tráfico de ese puerto. Eso, normalmente, no da problemas, porque el puerto 5001 no lo vas a usar de cara a internet. Pero... ¿qué pasa cuando aplicas lo mismo para un puerto 80 o 443, puerto que usas en navegación cada vez que escribes www.loquesea.com? Pues que te quedas sin navegación porque la regla está interceptando todo tráfico en ese puerto, sin importar si es de dentro a fuera (que no debería, porque esa es la navegación web) o de fuera a dentro (que es lo que tú quieres interceptar realmente). Usease, si abres el 443 sin saber lo que estás haciendo (sin especificar la dirección de dónde a dónde lo abres), básicamente, te quedas sin navegación. Esa dirección, o mejor dicho, "sentido" es lo que ahora hace la condición "dst-address-list=public-ip". Es decir, todo lo que llegue a este puerto desde la dirección IP pública, lo mandas a este otro interno, de esta máquina concreta dentro de mi red.
De cualquier forma, me gusta más como lo tienes ahora mismo. El 443 expuesto de cara a fuera, para que tú llegues por HTTPS al UNRAID pero sin especificar puerto alguno, y que este lo redirija al 5001 o a cualquier otro puerto que tú elijas. De esa manera, de cara a fuera, no expones el puerto en el que corre tu servidor, y a quien se quiera conectar sólo le das una URL https, normal y corriente. Si vemos que te funciona, te sobraría la regla siguiente del NAT
Código:
add action=dst-nat chain=dstnat comment=XPENOLOGY dst-address-list=public-ip \
    dst-port=5001 protocol=tcp to-addresses=192.168.1.222 to-ports=5001
Puesto que ya estaría cubierta por la previa, que abre el 443 y lo manda al 5001
Código:
add action=dst-nat chain=dstnat comment=XPENOLOGY-HTTPS dst-address-list=public-ip \
    dst-port=443 protocol=tcp to-addresses=192.168.1.222 to-ports=5001

Debo cumplir alguna regla nemotecnica ?? ....o pongo 123456 y ya está ??

....estás PWD me saldran en el menu de mikrotik en algun sitio para modificar mas tarde ?
.....yo el 99'9% de las cosas que hago en el rb4011 o en cualquier otro mikrotik es a traves de menu (mataria por dominar como tu el routerOS pero ni en sueños lo hago xDD
A ver, las he parametrizado precisamente por eso, para que modifiques el fichero con los valores que tú quieras para esas password y no tengas que andar luego yendo a editar la configuración vía winbox y cambiarla. Para esa gracia, no las parametrizo
Con lo de la regla mnemotécnica me he perdido... simplemente tienes que definir en el fichero los valores reales que quieres dar a la contraseña de VPN (variable vpnPassword, ahor amismo con el valor aaa) y para el secreto de IPSec (variable ipsecSecret, ahora mismo con el valor bbb). Es decir, tienes que modificar las líneas 3 y 4 del fichero de texto que te he mandado, justo debajo de donde pone VARIABLE DEFINITIONS.
Código:
#########################
# VARIABLE DEFINITIONS #
:local vpnPassword "aaa"
:local ipsecSecret "bbb"
#########################
Una vez importado el fichero, la definición de esas passwords las tendrás en sus menús correspondientes, donde se usan. La contraseña de la VPN está en PPP-> Secret (línea 159-160 del fichero) y el secreto compartido de IPSec, en la definición del servidor L2TP en PPP -> Interface -> L2TP Server (línea 57-58 del fichero)

Es decir, te he dejado todo para que cambies dos valores en el fichero y lo importes. El resto de contraseñas, como la de conexión PPPoE, es bien conocida y no la he ocultado en el fichero... y que yo sepa no hay nada más.

Para hacer el import, subirías el fichero a la carpeta files del router (este no lleva carpeta flash, como verás), y simplemente desde winbox irías a System -> Reset configuration -> (marcamos) Keep user configuration y en el apartado "run after reset" seleccionamos el fichero a importar. Y, si te da guerra, me dices.
Recuerda hacer un backup y un export previo, por si este no funcionase.

Hasta donde yo se, que no es mucho, no puedo configurar una Wifi solo en uno de los platos
Las wifis, o cualquier configuracion, las hago en el Unifi Controller y se propagan a todas partes
No importa. Tú configura que la red de invitados vaya sobre una VLAN concreta, en este caso la 200, a ver qué hace. Lo que no debes hacer es habilitar un servidor DHCP propio que se ejecute en el AP o controller, que de eso se supone que ya se encarga el mikrotik con la configuración de vlans que hemos hecho. Como el controller está también conectado al switch de 24 puertos que alimentamos desde el 4011 vía ether2, debería llegarle la vlan taggeada y lista para usar si el inalámbrico está escuchando ese tag.

En este caso no se trata de que esté pisando la IP con ningun otro dispositivo , garantizado 100%.

Este switch unicamente funciona con Internet Explorer, y ademas han de ser versiones del pleistoceno .....con Explorer 10 , 11, o Edge tampoco funciona .....busca en google el modelo y verás ..... ojalá existiera un firmware que arreglara esto :cool:
Esto me cuesta muchísimo creerlo. Leyendo las especificaciones del manual del chisme habla de requisitos mínimos, pero en ningún sitio he visto que te pida únicamente internet explorer para funcionar.
De cualquier modo, no tires la toalla, porque tiene acceso telnet y ssh. Bájate el manual y mira a ver si consigues meterte en él y cargarle un firmware más nuevo, a ver si hay suerte y restauras el acceso web. De todas maneras, el setup que te he pasado es sin tener este equipo en mente, así que de momento no condición indispensable que hagas eso, lo puedes dejar en la lista de la TDT, como digo yo (ToDo... Tomorrow)

Respecto al UPNP de Xbox, al principio estba así, pero no coinseguía de ninguna manera que la Xbox se le conectara a mi hijo con NAT Abierta, siempre le daba NAT Estricta ...... tras muchas pruebas y leer en foros lo pusimos así y le empezá a funcionar con NAT ABierta y podia hablar con sus amigos en fortnite
Vamos a probar ahora y, en función de lo que nos diga, así vamos haciendo. Es mejor ir abriendo puertos poco a poco. Y, si vas a usa UPnP (yo no lo suelo usar, prefiero mapear yo los puertos, aunque tiene la ventaja de que cuando no los usa se cierran solitos), aprovéchalo y déjale que trabaje. La configuración del UPnP, hasta donde puedo ver, es correcta. Si luego vemos que no funciona, no hay problema en dar marcha atrás y dejarlo como lo tenías.

Piensa que su Xbox está en la planmta superior, donde todo está conectado a traves del PLC , y además va por wifi (conectado al plato UAP-LR) que es el que está en la planta superior tambien (aunque a veces el propio unifi controller parece que mueve los dispositivos a su antojo entre diferentes UAP)
Claro, de eso mismo va el "mesh" de que tus dispositivos puedan ir saltando de AP en AP y tú ni te enteres.


Venga, dale una prueba y me dices, a ver qué tal. A ver si conseguimos dejar ese chisme fino.

Saludos!
 
Última edición:
Buenos días!

Vamos a ver, por partes:


Yo no compraría ni un chisme más. Tienes material para montar un CPD. De momento, quieto parado.


No, en verdad el beneficio iba a ser tener una wifi un poco más decente en el sótano. Pero si el poco uso que le das es ese, poco beneficio vas a obtener cableándolo. Lo que sí vas a conseguir por cable es quitar un pelín de señal RF del espectro, puesto que para funcionar en modo repetidor, ese chisme ha de estar en el mismo canal que el AP que repite, y eso sí puede ser un inconveniente. Aunque, si la unión con el AP lo hace en una banda (modo estación) y emite usando la otra banda (modo AP), en ese caso no habría ningún problema. Ahora mismo me asalta la duda de cómo lo estará haciendo, si de una manera, o de la otra. Pero vamos, que si el uso que tiene es ese, no te compliques.


No podías abrir el 443 (aparte de que tenías un carajal hecho, porque en luegar de abrirlo lo interceptabas en el fierwall) porque no tenías haipin nat implementado. De la manera que tenías antes abiertos los puertos, sin especificar una dirección (de dentro a fuera o de fuera a dentro), lo que estabas haciendo era secuestrar el tráfico de ese puerto. Eso, normalmente, no da problemas, porque el puerto 5001 no lo vas a usar de cara a internet. Pero... ¿qué pasa cuando aplicas lo mismo para un puerto 80 o 443, puerto que usas en navegación cada vez que escribes www.loquesea.com? Pues que te quedas sin navegación porque la regla está interceptando todo tráfico en ese puerto, sin importar si es de dentro a fuera (que no debería, porque esa es la navegación web) o de fuera a dentro (que es lo que tú quieres interceptar realmente). Usease, si abres el 443 sin saber lo que estás haciendo (sin especificar la dirección de dónde a dónde lo abres), básicamente, te quedas sin navegación. Esa dirección, o mejor dicho, "sentido" es lo que ahora hace la condición "dst-address-list=public-ip". Es decir, todo lo que llegue a este puerto desde la dirección IP pública, lo mandas a este otro interno, de esta máquina concreta dentro de mi red.
De cualquier forma, me gusta más como lo tienes ahora mismo. El 443 expuesto de cara a fuera, para que tú llegues por HTTPS al UNRAID pero sin especificar puerto alguno, y que este lo redirija al 5001 o a cualquier otro puerto que tú elijas. De esa manera, de cara a fuera, no expones el puerto en el que corre tu servidor, y a quien se quiera conectar sólo le das una URL https, normal y corriente. Si vemos que te funciona, te sobraría la regla siguiente del NAT
Código:
add action=dst-nat chain=dstnat comment=XPENOLOGY dst-address-list=public-ip \
    dst-port=5001 protocol=tcp to-addresses=192.168.1.222 to-ports=5001
Puesto que ya estaría cubierta por la previa, que abre el 443 y lo manda al 5001
Código:
add action=dst-nat chain=dstnat comment=XPENOLOGY-HTTPS dst-address-list=public-ip \
    dst-port=443 protocol=tcp to-addresses=192.168.1.222 to-ports=5001


A ver, las he parametrizado precisamente por eso, para que modifiques el fichero con los valores que tú quieras para esas password y no tengas que andar luego yendo a editar la configuración vía winbox y cambiarla. Para esa gracia, no las parametrizo
Con lo de la regla mnemotécnica me he perdido... simplemente tienes que definir en el fichero los valores reales que quieres dar a la contraseña de VPN (variable vpnPassword, ahor amismo con el valor aaa) y para el secreto de IPSec (variable ipsecSecret, ahora mismo con el valor bbb). Es decir, tienes que modificar las líneas 3 y 4 del fichero de texto que te he mandado, justo debajo de donde pone VARIABLE DEFINITIONS.
Código:
#########################
# VARIABLE DEFINITIONS #
:local vpnPassword "aaa"
:local ipsecSecret "bbb"
#########################
Una vez importado el fichero, la definición de esas passwords las tendrás en sus menús correspondientes, donde se usan. La contraseña de la VPN está en PPP-> Secret (línea 159-160 del fichero) y el secreto compartido de IPSec, en la definición del servidor L2TP en PPP -> Interface -> L2TP Server (línea 57-58 del fichero)

Es decir, te he dejado todo para que cambies dos valores en el fichero y lo importes. El resto de contraseñas, como la de conexión PPPoE, es bien conocida y no la he ocultado en el fichero... y que yo sepa no hay nada más.

Para hacer el import, subirías el fichero a la carpeta files del router (este no lleva carpeta flash, como verás), y simplemente desde winbox irías a System -> Reset configuration -> (marcamos) Keep user configuration y en el apartado "run after reset" seleccionamos el fichero a importar. Y, si te da guerra, me dices.
Recuerda hacer un backup y un export previo, por si este no funcionase.


No importa. Tú configura que la red de invitados vaya sobre una VLAN concreta, en este caso la 200, a ver qué hace. Lo que no debes hacer es habilitar un servidor DHCP propio que se ejecute en el AP o controller, que de eso se supone que ya se encarga el mikrotik con la configuración de vlans que hemos hecho. Como el controller está también conectado al switch de 24 puertos que alimentamos desde el 4011 vía ether2, debería llegarle la vlan taggeada y lista para usar si el inalámbrico está escuchando ese tag.

Lo he hecho tal cual dices y pierdo la navegacion, cuando he recueprado la respuesta de PING he entrado en el rb4011 y he visto que habia creado 3 VLAN, por tanto el RSC se habia ejecutado bien, pero no navegaba por ningun sitio , no resolvia nombres
Esto me cuesta muchísimo creerlo. Leyendo las especificaciones del manual del chisme habla de requisitos mínimos, pero en ningún sitio he visto que te pida únicamente internet explorer para funcionar.
De cualquier modo, no tires la toalla, porque tiene acceso telnet y ssh. Bájate el manual y mira a ver si consigues meterte en él y cargarle un firmware más nuevo, a ver si hay suerte y restauras el acceso web. De todas maneras, el setup que te he pasado es sin tener este equipo en mente, así que de momento no condición indispensable que hagas eso, lo puedes dejar en la lista de la TDT, como digo yo (ToDo... Tomorrow)

Mira, este es mi problema exacto, que algunos solucionaron usando extensiones de navegador que hoy en dia ya nmo funcionan o no existen :


Vamos a probar ahora y, en función de lo que nos diga, así vamos haciendo. Es mejor ir abriendo puertos poco a poco. Y, si vas a usa UPnP (yo no lo suelo usar, prefiero mapear yo los puertos, aunque tiene la ventaja de que cuando no los usa se cierran solitos), aprovéchalo y déjale que trabaje. La configuración del UPnP, hasta donde puedo ver, es correcta. Si luego vemos que no funciona, no hay problema en dar marcha atrás y dejarlo como lo tenías.


Claro, de eso mismo va el "mesh" de que tus dispositivos puedan ir saltando de AP en AP y tú ni te enteres.

Yo lo uso porque como habrás visto, aun me cuesta mucho (muchisimo) entender como funciona el NAT y el firewall de Mikrotik ...
Cada vez que tengo que abrir un puerto a alguna IP tengo que mirar como estan los otros puertos abiertos o navegar por foros releyendo mil veces los tutoriales ....y aun asi fijate las liadas que hago
Venga, dale una prueba y me dices, a ver qué tal. A ver si conseguimos dejar ese chisme fino.

Saludos!
Como te decia , he probado tu configuracion, pero me he quedado sin internet ...... he restaurado el backup previo y todo ha vuelto a la normalidad
 
Última edición:
Vale, he encongrado un fallo en el script, relativo al nombre del servidor DHCP al que hacían referencias los leases. He corregido eso y he quitado el mapeo de puertos del 5051 -> 5051 del XPENOLOGY y dejado únicamente el que mapea el puerto 443 al 5051.

Una vez lo importes, intenta entrar al router por cable, para ver si te ha dado algún fallo y/o ves alguna línea de error en los logs. De todas maneras, he hecho yo el import en un entorno virtual, una vez corregidos esos problemas, y quitando lo que no se soporta en un CHR (como el ip cloud) y parece que el import funciona, así que no debería darte problemas ahora. De cualquier forma, prueba y me dices:
Código:
#########################
# VARIABLE DEFINITIONS #
:local vpnPassword "aaa"
:local ipsecSecret "bbb"
#########################
/interface bridge
add admin-mac=C4:AD:34:8D:52:C0 auto-mac=no comment=defconf name=bridge vlan-filtering=yes
/interface vlan
add interface=ether1 name=internet vlan-id=6
add interface=bridge name=convidats vlan-id=200
add interface=ether1 name=voip vlan-id=3
/interface bridge vlan
add bridge=bridge tagged=bridge,ether2,ether10 vlan-ids=200
/interface pppoe-client
add add-default-route=yes disabled=no interface=internet name=pppoe-out1 \
    use-peer-dns=yes user=adslppp@telefonicanetpa password=adslppp
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp-pool ranges=192.168.1.10-192.168.1.250
add name=vpn-pool ranges=192.168.89.2-192.168.89.254
add name=convidats-pool ranges=192.168.200.2-192.168.200.254
/ip dhcp-server
add address-pool=dhcp-pool disabled=no interface=bridge name=dhcp-server-lan
add address-pool=convidats-pool disabled=no interface=convidats name=dhcp-server-convidats
/ppp profile
set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn-pool interface-list=LAN
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=ether9
add bridge=bridge comment=defconf interface=ether10
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set enabled=yes ipsec-secret=$ipsecSecret use-ipsec=yes
/interface list member
add interface=bridge list=LAN
add interface=pppoe-out1 list=WAN
/ip address
add address=192.168.1.1/24 interface=bridge network=192.168.1.0
add address=192.168.10.2/24 interface=ether1 network=192.168.10.0
add address=192.168.200.1/24 interface=convidats network=192.168.200.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add add-default-route=no disabled=no interface=voip use-peer-dns=no use-peer-ntp=no
/ip dhcp-server lease
add address=192.168.1.43 client-id=1:70:bc:10:a0:66:6d comment="XBOX JAN" \
    mac-address=70:BC:10:A0:66:6D server=dhcp-server-lan
add address=192.168.1.27 client-id=1:9c:8e:99:5e:38:88 comment=\
    "HP ML350P Esxi" mac-address=9C:8E:99:5E:38:88 server=dhcp-server-lan
add address=192.168.1.11 client-id=1:0:c:29:96:a2:ed mac-address=\
    00:0C:29:96:A2:ED server=dhcp-server-lan
add address=192.168.1.30 client-id=1:8:bd:43:f6:30:70 mac-address=\
    08:BD:43:F6:30:70 server=dhcp-server-lan
add address=192.168.1.23 client-id=1:0:c:29:fd:87:b3 mac-address=\
    00:0C:29:FD:87:B3 server=dhcp-server-lan
add address=192.168.1.33 client-id=1:0:62:6e:56:aa:65 mac-address=\
    00:62:6E:56:AA:65 server=dhcp-server-lan
/ip dhcp-server network
add address=192.168.1.0/24 comment=dhcp-network-lan dns-server=\
    192.168.1.23,192.168.1.1 gateway=192.168.1.1 domain=lan
add address=192.168.200.0/24 comment=dhcp-network-convidats dns-server=\
    8.8.8.8,1.1.1.1 gateway=192.168.200.1    
/ip dns
set allow-remote-requests=yes use-doh-server=\
    https://cloudflare-dns.com/dns-query verify-doh-cert=yes
/ip dns static
add address=192.168.1.1 comment=defconf name=router.lan
add address=104.16.249.249 name=cloudflare-dns.com
add address=104.16.248.249 name=cloudflare-dns.com
add address=10.34.255.134 name=telefonica.net
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "Acepta el trafico de la vlan del telefono" in-interface=voip \
    src-address=10.0.0.0/8
add action=accept chain=input comment=allow-l2tp-ipsec-only dst-port=1701 \
    ipsec-policy=in,ipsec protocol=udp
add action=accept chain=input comment=allow-ipsec dst-port=500,4500 protocol=\
    udp
add action=accept chain=input comment=allow-rw-access-router ipsec-policy=\
    in,ipsec src-address=192.168.89.0/24
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=drop chain=forward comment="block guests from anything else but internet" out-interface-list=\
    !WAN src-address=192.168.200.0/24
/ip firewall address-list
add address=([/system routerboard get serial-number].".sn.mynetname.net") list=public-ip
/ip firewall mangle
add action=set-priority chain=postrouting new-priority=4 out-interface=voip
add action=set-priority chain=postrouting new-priority=1 out-interface=pppoe-out1
/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin \
    dst-address=192.168.1.0/24 src-address=192.168.1.0/24
add action=masquerade chain=srcnat comment=masquerade-wan \
    ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment=masquerade-voip \
    out-interface=voip
add action=masquerade chain=srcnat comment=masquerade-vpn \
    src-address=192.168.89.0/24
add action=src-nat chain=srcnat comment=access-ont \
    dst-address=192.168.10.0/24 src-address=192.168.1.0/24 to-addresses=192.168.10.2
add action=dst-nat chain=dstnat comment=XPENOLOGY-HTTPS dst-address-list=public-ip \
    dst-port=443 protocol=tcp to-addresses=192.168.1.222 to-ports=5001    
add action=dst-nat chain=dstnat comment=FOSCAM_NVR dst-address-list=public-ip \
    dst-port=88 protocol=tcp to-addresses=192.168.1.33 to-ports=88
/ip firewall service-port
set sip ports=5060,5070
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=pppoe-out1 type=external
add interface=bridge type=internal
/ppp secret
add name=jordi service=l2tp password=$vpnPassword
/routing rip interface
add interface=voip passive=yes receive=v2
/routing rip network
add network=10.0.0.0/8
/system clock
set time-zone-name=Europe/Madrid
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
 
Vale, he encongrado un fallo en el script, relativo al nombre del servidor DHCP al que hacían referencias los leases. He corregido eso y he quitado el mapeo de puertos del 5051 -> 5051 del XPENOLOGY y dejado únicamente el que mapea el puerto 443 al 5051.

Una vez lo importes, intenta entrar al router por cable, para ver si te ha dado algún fallo y/o ves alguna línea de error en los logs. De todas maneras, he hecho yo el import en un entorno virtual, una vez corregidos esos problemas, y quitando lo que no se soporta en un CHR (como el ip cloud) y parece que el import funciona, así que no debería darte problemas ahora. De cualquier forma, prueba y me dices:
Código:
#########################
# VARIABLE DEFINITIONS #
:local vpnPassword "aaa"
:local ipsecSecret "bbb"
#########################
/interface bridge
add admin-mac=C4:AD:34:8D:52:C0 auto-mac=no comment=defconf name=bridge vlan-filtering=yes
/interface vlan
add interface=ether1 name=internet vlan-id=6
add interface=bridge name=convidats vlan-id=200
add interface=ether1 name=voip vlan-id=3
/interface bridge vlan
add bridge=bridge tagged=bridge,ether2,ether10 vlan-ids=200
/interface pppoe-client
add add-default-route=yes disabled=no interface=internet name=pppoe-out1 \
    use-peer-dns=yes user=adslppp@telefonicanetpa password=adslppp
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp-pool ranges=192.168.1.10-192.168.1.250
add name=vpn-pool ranges=192.168.89.2-192.168.89.254
add name=convidats-pool ranges=192.168.200.2-192.168.200.254
/ip dhcp-server
add address-pool=dhcp-pool disabled=no interface=bridge name=dhcp-server-lan
add address-pool=convidats-pool disabled=no interface=convidats name=dhcp-server-convidats
/ppp profile
set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn-pool interface-list=LAN
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=ether9
add bridge=bridge comment=defconf interface=ether10
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set enabled=yes ipsec-secret=$ipsecSecret use-ipsec=yes
/interface list member
add interface=bridge list=LAN
add interface=pppoe-out1 list=WAN
/ip address
add address=192.168.1.1/24 interface=bridge network=192.168.1.0
add address=192.168.10.2/24 interface=ether1 network=192.168.10.0
add address=192.168.200.1/24 interface=convidats network=192.168.200.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add add-default-route=no disabled=no interface=voip use-peer-dns=no use-peer-ntp=no
/ip dhcp-server lease
add address=192.168.1.43 client-id=1:70:bc:10:a0:66:6d comment="XBOX JAN" \
    mac-address=70:BC:10:A0:66:6D server=dhcp-server-lan
add address=192.168.1.27 client-id=1:9c:8e:99:5e:38:88 comment=\
    "HP ML350P Esxi" mac-address=9C:8E:99:5E:38:88 server=dhcp-server-lan
add address=192.168.1.11 client-id=1:0:c:29:96:a2:ed mac-address=\
    00:0C:29:96:A2:ED server=dhcp-server-lan
add address=192.168.1.30 client-id=1:8:bd:43:f6:30:70 mac-address=\
    08:BD:43:F6:30:70 server=dhcp-server-lan
add address=192.168.1.23 client-id=1:0:c:29:fd:87:b3 mac-address=\
    00:0C:29:FD:87:B3 server=dhcp-server-lan
add address=192.168.1.33 client-id=1:0:62:6e:56:aa:65 mac-address=\
    00:62:6E:56:AA:65 server=dhcp-server-lan
/ip dhcp-server network
add address=192.168.1.0/24 comment=dhcp-network-lan dns-server=\
    192.168.1.23,192.168.1.1 gateway=192.168.1.1 domain=lan
add address=192.168.200.0/24 comment=dhcp-network-convidats dns-server=\
    8.8.8.8,1.1.1.1 gateway=192.168.200.1 
/ip dns
set allow-remote-requests=yes use-doh-server=\
    https://cloudflare-dns.com/dns-query verify-doh-cert=yes
/ip dns static
add address=192.168.1.1 comment=defconf name=router.lan
add address=104.16.249.249 name=cloudflare-dns.com
add address=104.16.248.249 name=cloudflare-dns.com
add address=10.34.255.134 name=telefonica.net
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "Acepta el trafico de la vlan del telefono" in-interface=voip \
    src-address=10.0.0.0/8
add action=accept chain=input comment=allow-l2tp-ipsec-only dst-port=1701 \
    ipsec-policy=in,ipsec protocol=udp
add action=accept chain=input comment=allow-ipsec dst-port=500,4500 protocol=\
    udp
add action=accept chain=input comment=allow-rw-access-router ipsec-policy=\
    in,ipsec src-address=192.168.89.0/24
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=drop chain=forward comment="block guests from anything else but internet" out-interface-list=\
    !WAN src-address=192.168.200.0/24
/ip firewall address-list
add address=([/system routerboard get serial-number].".sn.mynetname.net") list=public-ip
/ip firewall mangle
add action=set-priority chain=postrouting new-priority=4 out-interface=voip
add action=set-priority chain=postrouting new-priority=1 out-interface=pppoe-out1
/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin \
    dst-address=192.168.1.0/24 src-address=192.168.1.0/24
add action=masquerade chain=srcnat comment=masquerade-wan \
    ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment=masquerade-voip \
    out-interface=voip
add action=masquerade chain=srcnat comment=masquerade-vpn \
    src-address=192.168.89.0/24
add action=src-nat chain=srcnat comment=access-ont \
    dst-address=192.168.10.0/24 src-address=192.168.1.0/24 to-addresses=192.168.10.2
add action=dst-nat chain=dstnat comment=XPENOLOGY-HTTPS dst-address-list=public-ip \
    dst-port=443 protocol=tcp to-addresses=192.168.1.222 to-ports=5001 
add action=dst-nat chain=dstnat comment=FOSCAM_NVR dst-address-list=public-ip \
    dst-port=88 protocol=tcp to-addresses=192.168.1.33 to-ports=88
/ip firewall service-port
set sip ports=5060,5070
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=pppoe-out1 type=external
add interface=bridge type=internal
/ppp secret
add name=jordi service=l2tp password=$vpnPassword
/routing rip interface
add interface=voip passive=yes receive=v2
/routing rip network
add network=10.0.0.0/8
/system clock
set time-zone-name=Europe/Madrid
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
Este script si me da navegacion , pero te comento algunos problemas que observo :

- no me funciona el tlf voIP , he reiniciado varias veces el router pero no funciona (antes funcionaba relativamente bien), digo relativam,ente porque funcionaba por varias horas pero siempre acaba por dejar de funcionar

-La XBOX de mi hijo da NAT abierta , le escuchan y puede hablar/jugar pero desde esta mañana está teniendo desconexiones constantes en la consola ...... esta jugando normal y le sale un mensaje de que se ha quedado sin conexion
Antes funcionaba plenamente , sin errores y probado con sesiones de horas ininterrumpidas en fortnite ....ya se sabe como son los chavales xDDD , los mejores betatesters

- el puerto 5001 parece que no lo redirige bien ...... no tengo acceso al UNRAID desde fuera en el puerto 5001 (ayer si lo tenia)

Te paso algunos pantallazos sobre este error del puerto 5001, Estoy usando UNRAID como te dije , una de las opciones de UNRAID es hacerlo accesible desde fuera mediante un plugin llamado MYSERVER , este plugin lleva un TEST para comprobar si tu server se ve desde fuera o no , con la configuracion que hice yo (no me preguntes como, poruq fué a base de esanyo y error) consegui que cambiando el puerto de 443 (default) al 5001 en mi configuracion, el plugin no me diera error.

Ahora cuando lo pruebo si me da error :

mira :


Cuando hacía click en el boton "CHECK" me salia antes un Ok con una señal en verde, ahora mira lo que sale (en el NAT del rb4011 he cambiado la IP de 192.168.1.222 a 192.168.1.46) :

 
Última edición:
Otro pequeño problemilla que acabo de ver :



La red 192.168.200.1/24 deberia ser unicamente para la wifi de "convidats", en cambio me está asignando ese rango al ipad, al iPhone y a una VM de manjaro que está corriendo en un server ESXi donde tengo PLEX

Tambien veo que la direccion 192.168.1.46 (UNRAID) aparece como si no tuviera ninguna MAC ni se rellenan otros campos .... (lo puedes apreciar en la captura que te he pasado , justo encima del círculo negro dibujado), es la única MAC que está todo en 00

El server Unraid, a parte de lo que te digo del acceso externo , parece que esta funcionando con normalidad, tengo acceso a archivos y puedo entrar en la web de administración sin problemas , usando la IP que tiene ahora mismo asignada (192.168.1.46)

P.D.: Hay alguna forma de decirle al rb4011 que IP quiero que le asigne ?? .....por ejemplo, yo siempre tenia la IP del XPENOLOGY en 192.168.1.222 , y por costumbre abro siempre esa IP, ahora tengo que acordarme que el UNRAID está en 192.168.1.46 ......
Ya se que puedo hacerla estatica y que no se la cambie nunca, mio pregunta es si puedo "forzarle " a que le asigne una IP en concreto
 
Última edición:
Venga, lo vemos:

Este script si me da navegacion , pero te comento algunos problemas que observo :
Lo primero, revisa el log justo después de cargarlo, a ver si no hay ningún error raro que haya hecho que el script se haya quedado a mitad de carga. Lo último importante que hace el script de carga el añadir la red 10.0.0.0/8 para la VoIP a RIP. Si vas a Routing -> Rip -> Networks y ves la 10.0.0.0/8 allí puesta, es buena señal.

- no me funciona el tlf voIP , he reiniciado varias veces el router pero no funciona (antes funcionaba relativamente bien), digo relativam,ente porque funcionaba por varias horas pero siempre acaba por dejar de funcionar
He revisado la configuración y la parte del VoIP la tienes clavada a la mía. No veo nada raro en ella. No obstante, si sigues con problemas, dale un pantallazo estado del cliente DHCP que corre sobre esa interfaz (IP -> DHCP-Client -> tala donde verás una interfaz "voip" con una IP 10.X.Y.Z. También revisa que estés recibiendo las rutas dinámicas por RIP, las cuales puedes ver en la tabla de rutas (es la ruta que lleva un "DAr" en la primera columna, con métrica 120) o en Routing -> RIP -> Routes. Si todo eso está correcto, lo único que se me ocurre es que el bridge-vlan-filtering sea lo que está impidiendo que la VLAN llegue al bridge principal, y tendría que probarlo en local para decirte qué hacer para que funcione. He quitado la definición de puertos de servicio SIP que tenías en IP -> Firewall -> Service Ports, donde los modificabas al 5060 y 5070; yo no tengo eso y funciona igualmente. Mira a ver si es esa chorrada.

-La XBOX de mi hijo da NAT abierta , le escuchan y puede hablar/jugar pero desde esta mañana está teniendo desconexiones constantes en la consola ...... esta jugando normal y le sale un mensaje de que se ha quedado sin conexion
Antes funcionaba plenamente , sin errores y probado con sesiones de horas ininterrumpidas en fortnite ....ya se sabe como son los chavales xDDD , los mejores betatesters
Si le da NAT abierta, el problema viene por la wifi (juraría me dijiste que se conectaba de esa manera). A nivel de puertos, estaría todo en orden con el UPnP (verás que cuando enciende la consola y se pone a jugar, se abren un cerro de puertos en IP -> Firewall -> NAT de forma dinámica. Eso es justo lo que buscamos, que los abra mientras la consola está funcionando, y que después el propio protocolo los cierre cuando ya no se usen. Las desconexiones pueden venir por lo que cuentas más abajo con lo de que hay ciertos dispositivos que, sin venir a cuento, ahora están en la wifi de invitados. Lo vemos ahora en más detalle.

- el puerto 5001 parece que no lo redirige bien ...... no tengo acceso al UNRAID desde fuera en el puerto 5001 (ayer si lo tenia)
Lo acabo de modificar y dejar como tenías, porque veo que no nos estamos entendiendo. Te comenté en el post previo que cambiaba el mapeo de ese puerto para que tú tuvieras accesible eso por el 443 (https), redirigido al 5001. Pero como veo que te estás liando, lo dejo como lo tenías. En este nuevo import, va abierto el 5001 a la IP 192.168.1.222 (que por cierto no tienes reservada, ahora hablaremos de eso).

La red 192.168.200.1/24 deberia ser unicamente para la wifi de "convidats", en cambio me está asignando ese rango al ipad, al iPhone y a una VM de manjaro que está corriendo en un server ESXi donde tengo PLEX
Me gustaría ver qué has hecho en la configuración de la wifi (si es que has llegado a aplicar algo), para que lleguen a conectarse equipos inalámbricos con la wifi como taggeada. Lo mejor que puedes hacer, de momento, es no hacer nada a nivel inalámbrico (o deshacer lo que ya tengas hecho) y primero asegurar que, sin tocar nada, todo funciona como funcionaba antes. Una vez certificado, nos metemos con los cambios en ubiquiti para ver cómo le hecemos llegar la vlan 200 a los clientes inalámbricos que se conecten a la wifi de invitados, sin que pase lo mismo para los que se conectan a la wifi principal. Así que, por favor, no vayas a prueba y error. Deja la parte inalámbrica que hayas tocado (si es que has tocado alguna) como estaba antes, y primero vamos a ver que todo funcione como lo tenías. He quitado el tag de la vlan 200 en el puerto ether10, puede que el switch gestionable nos haga una mala pasada con las máquinas virtuales, así que de momento lo taggeamos sólo en el puerto que lleva la señal al piso superior, al switch donde está conectado el controller y el AP principal.

Tambien veo que la direccion 192.168.1.46 (UNRAID) aparece como si no tuviera ninguna MAC ni se rellenan otros campos ....unraid, a parte de lo que te digo del acceso externo aprece que esta funcionando con normalidad, tengo acceso a archivos y puedo entrar en la web de administracion sin proeblema , usando la IP que tiene ahora mismo asignada (192.168.1.46)

P.D.: Hay alguna forma de decirle al rb4011 que IP quiero que le asigne ?? .....por ejemplo, yo siempre tenia la IP del XPENOLOGY en 192.168.1.222 , y por costumbre abro siempre esa IP, ahora tengo que acordarme que el UNRAID está en 192.168.1.46 ......
Ya se que puedo hacerla estatica y que no se la cambie nunca, mio pregunta es si puedo "forzarle " a que le asigne una IP en concreto
Aquí es donde viene la madre del cordero. En la configuración original que me pasaste, venían ciertas "leases" ya definidas en el servidor DHCP, que respeté sin mirar. Las voy a borrar todas, y las vamos a crear desde cero y, una vez las tengas como tú quieres, me las pasas. La IP .46 te está dando conflicto (lo puedes ver en la columna status, que te pone "conflict"), lo cual significa que tú tienes esa IP reservada en el DHCP, pero hay otro chisme que la está metiendo a cascoporro, y de ahí tu problema.

A tu pregunta, ¿Hay alguna forma de decirle al rb4011 que IP quiero que asigne? La respuesta es SÍ, con una lease estática, justo lo que estás haciendo en esa pantalla que me muestras. El servidor DHCP, por defecto, asigna direcciones automáticamente dentro de un rango o pool (las que ves con una "D" delante en la primera columna, que significa "Dynamic"), pero tú le puedes hacer una asociación y decir, "a tal dirección MAC, le das siempre la misma dirección IP". Eso se hace en esa misma pestaña de "Leases" con el botón "Make static", que verás si le das doble click a una entrada dinámcia. Una vez has pulsado ese botón, verás que la "D" de delante de la entrada desaparece (como pasa para la entrada "XBOX JAN") y, a partir de ese momento, puedes darle de nuevo doble click a la entrada y verás que el menú ha cambiado, y ahora es editable, para definir tú la IP a mano que le vas a poner al chisme. Como el pool de tu red lan tiene un "agujero" al principio y otro al final (va de la 192.168.1.10 - 192.168.1.250), aprovecha las direcciones de la 192.168.1.2 - 192.168.1.9 para los equipos a los que quieras asignar siempre la misma IP, de esa manera es fácil identificarlos. Evita la 192.168.1.1 por razones obvias, puesto que es la IP del propio router.

¿Qué tendrías que tener reservado en el DHCP, a día de hoy? Pues, como poco, dos IP's: las dos IP's para las cuales tienes una regla de NAT con una apertura de puertos. Esas dos IP's, o están fijadas a mano en los propios dispositivos, o las tienes que reservar por narices en el DHCP, para que siempre le de la misma a esas máquinas, de otra manera la regla de NAT no funcionará y te volverás loco como te pasaba anteriormente.

Para ver que estás cogiendo bien los conceptos, he modificado las reglas de NAT para abrir el puerto del antiguo XPENOLOGY, ahora UNRAID (puerto 5001) a la IP 192.168.1.2 y la de las cámaras FOSCAM_NVR ( puerto 88 ) a la IP 192.168.1.3 Tu tarea ahora, una vez borrados los leases originales, es localizar esos dos chismes en la tabla de leases, que tendrán una IP dinámcia cualquiera, y convertiral en estática en esas dos que te he dicho, respectivamente para cada cacharro. Una vez lo tengas, el mapeo de puertos entrará en funcionamiento y el 5001 te dará como abierto en la consola del UNRAID, y el FOSCAM estará accesible desde fuera en el puerto 88. Si tienes dudas sobre cómo hacer este proceso, lo tienes detallado en los cometarios previos, y en el manual de tips&tricks.

Prueba y me dices, porfa. Te paso el nuevo export. Recuerda definir las claves de la VPN antes de subirlo.
Código:
#########################
# VARIABLE DEFINITIONS #
:local vpnPassword "aaa"
:local ipsecSecret "bbb"
#########################
/interface bridge
add admin-mac=C4:AD:34:8D:52:C0 auto-mac=no comment=defconf name=bridge vlan-filtering=yes
/interface vlan
add interface=ether1 name=internet vlan-id=6
add interface=bridge name=convidats vlan-id=200
add interface=ether1 name=voip vlan-id=3
/interface bridge vlan
add bridge=bridge tagged=bridge,ether2 vlan-ids=200
/interface pppoe-client
add add-default-route=yes disabled=no interface=internet name=pppoe-out1 \
    use-peer-dns=yes user=adslppp@telefonicanetpa password=adslppp
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp-pool ranges=192.168.1.10-192.168.1.250
add name=vpn-pool ranges=192.168.89.2-192.168.89.254
add name=convidats-pool ranges=192.168.200.2-192.168.200.254
/ip dhcp-server
add address-pool=dhcp-pool disabled=no interface=bridge name=dhcp-server-lan
add address-pool=convidats-pool disabled=no interface=convidats name=dhcp-server-convidats
/ppp profile
set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn-pool interface-list=LAN
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=ether9
add bridge=bridge comment=defconf interface=ether10
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set enabled=yes ipsec-secret=$ipsecSecret use-ipsec=yes
/interface list member
add interface=bridge list=LAN
add interface=pppoe-out1 list=WAN
/ip address
add address=192.168.1.1/24 interface=bridge network=192.168.1.0
add address=192.168.10.2/24 interface=ether1 network=192.168.10.0
add address=192.168.200.1/24 interface=convidats network=192.168.200.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add add-default-route=no disabled=no interface=voip use-peer-dns=no use-peer-ntp=no
/ip dhcp-server network
add address=192.168.1.0/24 comment=dhcp-network-lan dns-server=\
    192.168.1.23,192.168.1.1 gateway=192.168.1.1 domain=lan
add address=192.168.200.0/24 comment=dhcp-network-convidats dns-server=\
    8.8.8.8,1.1.1.1 gateway=192.168.200.1
/ip dns
set allow-remote-requests=yes use-doh-server=\
    https://cloudflare-dns.com/dns-query verify-doh-cert=yes
/ip dns static
add address=192.168.1.1 comment=defconf name=router.lan
add address=104.16.249.249 name=cloudflare-dns.com
add address=104.16.248.249 name=cloudflare-dns.com
add address=10.34.255.134 name=telefonica.net
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "Acepta el trafico de la vlan del telefono" in-interface=voip \
    src-address=10.0.0.0/8
add action=accept chain=input comment=allow-l2tp-ipsec-only dst-port=1701 \
    ipsec-policy=in,ipsec protocol=udp
add action=accept chain=input comment=allow-ipsec dst-port=500,4500 protocol=\
    udp
add action=accept chain=input comment=allow-rw-access-router ipsec-policy=\
    in,ipsec src-address=192.168.89.0/24
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=drop chain=forward comment="block guests from anything else but internet" out-interface-list=\
    !WAN src-address=192.168.200.0/24
/ip firewall address-list
add address=([/system routerboard get serial-number].".sn.mynetname.net") list=public-ip
/ip firewall mangle
add action=set-priority chain=postrouting new-priority=4 out-interface=voip
add action=set-priority chain=postrouting new-priority=1 out-interface=pppoe-out1
/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin \
    dst-address=192.168.1.0/24 src-address=192.168.1.0/24
add action=masquerade chain=srcnat comment=masquerade-wan \
    ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment=masquerade-voip \
    out-interface=voip
add action=masquerade chain=srcnat comment=masquerade-vpn \
    src-address=192.168.89.0/24
add action=src-nat chain=srcnat comment=access-ont \
    dst-address=192.168.10.0/24 src-address=192.168.1.0/24 to-addresses=192.168.10.2
add action=dst-nat chain=dstnat comment=UNRAID_5001 dst-address-list=public-ip \
    dst-port=5001 protocol=tcp to-addresses=192.168.1.2
add action=dst-nat chain=dstnat comment=FOSCAM_NVR_88 dst-address-list=public-ip \
    dst-port=88 protocol=tcp to-addresses=192.168.1.3
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=pppoe-out1 type=external
add interface=bridge type=internal
/ppp secret
add name=jordi service=l2tp password=$vpnPassword
/routing rip interface
add interface=voip passive=yes receive=v2
/routing rip network
add network=10.0.0.0/8
/system clock
set time-zone-name=Europe/Madrid
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
 
Arriba