Creacion de 2 redes con Mikrotik rb4011 y 3 AP UNIFI

En el apartado VPN, dónde va a ser :ROFLMAO:

Así tendría que quedar, con el detalle de tu usuario (el secreto compartido de IPSec no cambia entre usuarios)

1626626480562.png


Saludos!
 
Última edición:
Probado desde un Mac Pro, por cable. Resultado, excelente; reenviando todo el tráfico vía la VPN.

Saludos!
Probado también desde iPhone y accedo al router en la iPad 192.168.89.1

si quiero acceder a equipos , por ejemplo unraid (192.168.1.2) me da error

por otra parte aun me pasa que la wifi “convidas” ignora por completo las restricciones de ancho de banda de bajada
 
He intentado entrar a probarlo y creo que ya te has calzado mi usuario (bien hecho). No obstante, no veo nada raro en tu configuración que te impida acceder a los equipos, deberías poder llegar a la subred 192.168.1.0/24 desde la vpn sin mayor problema. Prueba con más de una IP de destino, a ver si consigues llegar a la consola de administración web de cualquier chisme de casa. Por ejemplo, el teléfono IP.

por otra parte aun me pasa que la wifi “convidas” ignora por completo las restricciones de ancho de banda de bajada
Que yo sepa, esa red no tiene restricción alguna. Al menos, que yo haya configurado.

Saludos.
 
He intentado entrar a probarlo y creo que ya te has calzado mi usuario (bien hecho). No obstante, no veo nada raro en tu configuración que te impida acceder a los equipos, deberías poder llegar a la subred 192.168.1.0/24 desde la vpn sin mayor problema. Prueba con más de una IP de destino, a ver si consigues llegar a la consola de administración web de cualquier chisme de casa. Por ejemplo, el teléfono IP.
Lo he vuelto a habilitar …… es que me voy hoy antes de comer , por eso lo quite ….. prueba a ver, y antes de irme lo volveré a deshabilitar
Que yo sepa, esa red no tiene restricción alguna. Al menos, que yo haya configurado.

Saludos.

La red wifi convidas (VLAN ID 200) tiene una restricción de ancho de banda establecido por el UNIFI Controller (pero no funciona ) ….. luego probe de hacer una QUEUE en rb4011 y solo funciona la parted Uplosd ….la parte de Download aunque lo restrinja a cualquier velocidad , va a todo caño
 
EDIT : Si deshabilito el fastrack del firewall entonces si funciona la QUEUE en la red wifi de la VLAN 200 …..
si habilito la regla de Fastrack deja de funcionar de nuevo la QUEUE
Lo que no se es las implicaciones de habilitar o deshabilitar dicha regla
 
Tema VPN primero, que lo otro tiene chicha.

aaagghhhh!! ¿¿¿Qué se supone que es esto??? Porque desde luego no es el mikrotik

1626684433974.png


¿Quien tiene esa subred también!? y sobre todo ¿por qué!?

Saludos!
 
Falsa alarma, mea culpa. Me pasa por ponerme a probar VPN's y a contestaros desde donde no debo... vuelvo a probar y te digo.

Dime a qué IP puedo intentar llegar, aparte de la del UNRAID y el propio router.

Saludos!
 
Falsa alarma, mea culpa. Me pasa por ponerme a probar VPN's y a contestaros desde donde no debo... vuelvo a probar y te digo.

Dime a qué IP puedo intentar llegar, aparte de la del UNRAID y el propio router.

Saludos!
En la ip 23 hay un server Linux , y en la 75 otro
 
Llego sin problema al unraid y al switch ese que decías que sólo funcionaba en IExplorer... desde la VPN.

1626686735457.png


1626686544619.png
 
Sin problema la .23. La .75 no responde, pero está ahí también.

1626686848728.png


Saludos!
 
Llego sin problema al unraid y al switch ese que decías que sólo funcionaba en IExplorer... desde la VPN.

Ver el adjunto 84378
Ese switch es el que no se puede hacer login ...... esa pantalla te la muestra sin problemas, pero una vez pones usuario y pwd se queda ahí permanentemente ..... igual que en el enlace que te pasé sobre este switch.

Creo que lo de no poder acceder a IP desde fuera ya está solucionado ...... me pasa por tocar reglas xDDDD

Falta lo del fasttrack xDD
 
Y al Foscam también llego. Este, al igual que al UNRAID, te recomiendo sólo accedas una vez estés en VPN, deshabilitando el mapeo de puertos que tienes en el NAT para que sea inaccesible desde fuera directamente.

Es decir, que sólo tú con acceso a la VPN llegues a ese servicio, no nadie que tenga tu IP pública y sepa en qué puerto corre dicho servicio

1626686935950.png
 
Y al Foscam también llego.

Ver el adjunto 84384
Este tambien tiene guasa ....... Lo de los plugin solo funciona en equipos con XP ...... pero ese es otro tema ..... hay que hacer funcionar las camaras con ZoneMinder y tirando de rutas de las camaras con protocolo ONVIF .

Malditos fabricantes.

Lo de acceder desde fuera ya está arreglado.

Comentame cuando puedas lo del fasttrack .......

Yo ya tengo a la familia en el coche para salir unos dias .....me conectaré en remoto (de ahí la "urgencia" xDD)
 
Las reglas del firewall y NAT están hechas con mucho mimo. Así que sí, mejor, NO LAS TOQUES!

Vamos a por lo siguiente, tema red de invitados. Hemos estado configurando el router para que la red de invitados se maneje desde él, y no desde el controller. Si quieres manejar la red desde el controller, no necesitas nada de lo que hemos hecho (tema de la vlan 200). Mira el controller como si fuera otro router más dentro de tu red. La red de invitados, su direccionamiento, prioridad y velocidad... o lo manejas desde el controller, o desde el mikrotik, pero no desde ambos.

Dicho esto, ventajas de una y otra solución:
  • Lo manejas en el controller: te olvidas de configurar eso en el router y todo lo haces centralizado en el controller. Ganas el fasttrack (incompatible con las colas de prioridad, que las necesitas para restringir la velocidad de esa red) y el hardware offloading o aceleración hardware para el bridge principal (lo pierdes al activar el bridge-vlan-filtering). De cara al router, todo son ventajas, porque delegas eso en el controller. Pero desconozco si esa config funciona bien o no, no me he puesto a trastear con unify y redes de invitados. Quizá @huzoaaz te pueda echar una mano aquí.
  • Lo manejas en el router: bajas un nivel y, desde el propio mikrotik, controlas qué hace y a qué accede esa red, y te aseguras de que está aislada (vía firewall). Sacrificas rendimiento del router, pero tienes una bestia de chisme, así que eso no es problema. En ese caso, a nivel de controller, no tienes que configurar una red de invitados, sino una wifi cualquier adicional, pero que vaya con el tráfico taggeado en la vlan200... y ya esta (ganas simplicidad en la configuración inalámbrica desde el controller).

Dicho esto, y tal y como hemos montado el tema, te diría que desactivases el fasstrack (no borres la regla, simplemente desactívala) y reinicies. Configures una cola de prioridad sencilla de tipo PCQ sobre la red de invitados... y te olvides. Y, cuando vuelvas a casa, exploras la vía de hacerlo todo a nivel controller (sin vlan).

¿Has revisado que ahora sólo los clientes conectados a esa red de invitados van taggeados sobre la vlan 200 y cogen ese segmento de red? Que no te pase lo que al principio, que tenías clientes no invitados que entraban por esa red.

Te paso un ejemplo de cola PQC. Recuerda, primero, desactiva el fasttrack si quieres que funcione (son opciones mutuamente excluyentes: o usas fasttrack o usas colas). Te paso un ejemplo de cola PQC (divide la conexión a partes iguales entre los usuarios conectados) de 25Mbps de subida y 25Mbps de bajada, aplicado sobre el segmento de red de los invitados.

Código:
/queue simple
add max-limit=25M/25M name=convidats queue=\
    pcq-upload-default/pcq-download-default target=192.168.200.0/24

Saludos!
 
Las reglas del firewall y NAT están hechas con mucho mimo. Así que sí, mejor, NO LAS TOQUES!

Vamos a por lo siguiente, tema red de invitados. Hemos estado configurando el router para que la red de invitados se maneje desde él, y no desde el controller. Si quieres manejar la red desde el controller, no necesitas nada de lo que hemos hecho (tema de la vlan 200). Mira el controller como si fuera otro router más dentro de tu red. La red de invitados, su direccionamiento, prioridad y velocidad... o lo manejas desde el controller, o desde el mikrotik, pero no desde ambos.

Dicho esto, ventajas de una y otra solución:
  • Lo manejas en el controller: te olvidas de configurar eso en el router y todo lo haces centralizado en el controller. Ganas el fasttrack (incompatible con las colas de prioridad, que las necesitas para restringir la velocidad de esa red) y el hardware offloading o aceleración hardware para el bridge principal (lo pierdes al activar el bridge-vlan-filtering). De cara al router, todo son ventajas, porque delegas eso en el controller. Pero desconozco si esa config funciona bien o no, no me he puesto a trastear con unify y redes de invitados. Quizá @huzoaaz te pueda echar una mano aquí.
  • Lo manejas en el router: bajas un nivel y, desde el propio mikrotik, controlas qué hace y a qué accede esa red, y te aseguras de que está aislada (vía firewall). Sacrificas rendimiento del router, pero tienes una bestia de chisme, así que eso no es problema. En ese caso, a nivel de controller, no tienes que configurar una red de invitados, sino una wifi cualquier adicional, pero que vaya con el tráfico taggeado en la vlan200... y ya esta (ganas simplicidad en la configuración inalámbrica desde el controller).

Dicho esto, y tal y como hemos montado el tema, te diría que desactivases el fasstrack (no borres la regla, simplemente desactívala) y reinicies. Configures una cola de prioridad sencilla de tipo PCQ sobre la red de invitados... y te olvides. Y, cuando vuelvas a casa, exploras la vía de hacerlo todo a nivel controller (sin vlan).

¿Has revisado que ahora sólo los clientes conectados a esa red de invitados van taggeados sobre la vlan 200 y cogen ese segmento de red? Que no te pase lo que al principio, que tenías clientes no invitados que entraban por esa red.

Te paso un ejemplo de cola PQC. Recuerda, primero, desactiva el fasttrack si quieres que funcione (son opciones mutuamente excluyentes: o usas fasttrack o usas colas). Te paso un ejemplo de cola PQC (divide la conexión a partes iguales entre los usuarios conectados) de 25Mbps de subida y 25Mbps de bajada, aplicado sobre el segmento de red de los invitados.

Código:
/queue simple
add max-limit=25M/25M name=convidats queue=\
    pcq-upload-default/pcq-download-default target=192.168.200.0/24

Saludos!
YA he regresado de mis mini vacaciones ....

Al final me he cansado del switch linksys "ingestionable", y he adquirido un mikrotik cloud css326 (SwitchOS) para sustituirlo.

Así, si te apetece hacemos los cambios aquellos que me sugeriste viendo mi configuracion

De momento el cloud está de origen en 192.168.88.1
 
Última edición:
Antes de probar nada nuevo, intenta terminar la configuración que teníamos a medias y dime si funciona (lo de la vlan 200 para la wifi de invitados y su correspondiente cola de prioridad). De momento puedes cambiar un switch por otro si quieres, que si no configuras nada, se van a comportar de igual forma.

Saludos!
 
Antes de probar nada nuevo, intenta terminar la configuración que teníamos a medias y dime si funciona (lo de la vlan 200 para la wifi de invitados y su correspondiente cola de prioridad). De momento puedes cambiar un switch por otro si quieres, que si no configuras nada, se van a comportar de igual forma.

Saludos!
Si que funciona.

Cuando entras por la wifi de invitados te asigna una IP 200, y las colas funcionan pudiendo establecer limites de velocidad correctamente (tanto de subida como de bajada)

Siempre y cuando tengas el fasttrack desactivado.
Si lo activas , funciona todo igualmente , pero sin poder establecer limites de ancho de banda

Voy a sustituir el Switch
 
Vale, perfecto. En este caso, no tienes porqué sustituir el switch, pero adelante si te gusta más el otro y las posibilidades que te abre, al ser gestionable.

Saludos!
 
Arriba