Dudas hAP ax3

Buenos días,

Soy nuevo por estos lares. Hace una rato he pasado por el foro general a presentar mi debido respeto a esta comunidad.

El caso es que ayer estrené un Mikrotik hAP ax3 y quería que le dieseis un vistazo a mi configuración a ver si se puede afinar. La verdad es que lo puse a trabajar en menos tiempo y con menos dificultad de lo que pensaba. En lo que más tiempo he perdido es en cambiar manualmente las IP estáticas que tenía fijadas en la mayoría de equipos por las nuevas en otro rango (192.168.10.0/24). Mi setup ahora mismo es el siguiente:

* HGU en monopuesto
* hap ax3
* Switch Netgear GS308E (gestionable de 8 puertos)

Todo lo conectado por cable nace del switch: Raspberry Pi, NAS, PC, PLC TP-Link. Por wifi tengo conectados los smartphones, tablet y otros dispositivos (altavoces inteligentes, reproductor multimedia, etc). Tengo también algún dispositivo de domótica, aunque la mayoría de ésta va por zigbee.

Puse en marcha el router con la configuración por defecto y posteriormente apliqué el Quick Set, donde pude cambiar los ssid de las wifi, etc, y configurar el PPPoE, rango de red local, DHCP Server, etc. Todo funcionó a la perfección, salvo que con wifi no podía navegar. Esto último parece que se solucionó al añadir dos DNS en DHCP Server - Networks - DHCP Servers. A pesar de que todo parece funcionar correctamente me gustaría afinar lo máximo posible la configuración para hacer un backup y utilizarla para futuros posibles restores.

Tratando de afinar la configuración, al intentar, por ejemplo, tocar los canales de la red wifi, he probado algunas órdenes que he encontrado en algún otro hilo, como:

Código: 
/interface wireless
set [ find default-name=wifi1 ] band=2ghz-g/n country=spain channel-width=20mhz frequency=2462
set [ find default-name=wifi2 ] band=5ghz-n/ac country=spain channel-width=20/40/80mhz-XXXX frequency=auto

Pero me aparecen errores. Primero "/interface wireless" me dice "bad command name wireless" y he de cambiar el "wireless" por "wifiwave2", según he encontrado en la ayuda (F1). Después al ejecutar la orden set [ find default-name...] me contesta "Expected end of command...". Si en vez de intentarlo por terminal lo intento de manera visual, no me aparecen canales a seleccionar. No sé si será la actualización a RouterOS 7.7 que ha cambiado algo en este sentido.

Config.jpg


Lo dicho, adjunto un export de la configuración actual. Agradecería si pudierais echarle un vistazo y puedierais decirme si veis que se puede optimizar algo. Quiero estar seguro que, sobre todo a nivel de seguridad no la esté cagando.

Por último, me podríais decir como acceder al HGU sin tener que andar cambiando cables y la configuración de red en el PC?

Código: 
# jan/22/2023 13:18:17 by RouterOS 7.7
# software id = NKP3-BE2A
#
# model = C53UiG+5HPaxD2HPaxD
# serial number = MI SERIAL
/interface bridge
add admin-mac=MI MAC ADRESS auto-mac=no comment=defconf name=bridge
/interface wifiwave2
# changed intended channel to 5320/ax/eeeC
set [ find default-name=wifi1 ] channel.skip-dfs-channels=10min-cac \
    configuration.country=Spain .mode=ap .ssid=Palindromo_red_PLUS disabled=\
    no security.authentication-types=wpa2-psk,wpa3-psk
set [ find default-name=wifi2 ] channel.skip-dfs-channels=10min-cac \
    configuration.country=Spain .mode=ap .ssid=Palindromo_red disabled=no \
    security.authentication-types=wpa2-psk,wpa3-psk
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 \
    use-peer-dns=yes user=adslppp@telefonicanetpa
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/ip pool
add name=dhcp ranges=192.168.10.10-192.168.10.254
add name=vpn ranges=192.168.89.2-192.168.89.255
/ip dhcp-server
add address-pool=dhcp interface=bridge name=defconf
/port
set 0 name=serial0
/ppp profile
set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wifi1
add bridge=bridge comment=defconf interface=wifi2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set enabled=yes use-ipsec=yes
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=pppoe-out1 list=WAN
/ip address
add address=192.168.10.1/24 comment=defconf interface=bridge network=\
    192.168.10.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf disabled=yes interface=ether1
/ip dhcp-server network
add address=192.168.10.0/24 comment=defconf dns-server=192.168.10.80,1.1.1.1 \
    gateway=192.168.10.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=192.168.10.80,1.1.1.1
/ip dns static
add address=192.168.10.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 \
    protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
    192.168.89.0/24
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/ppp secret
add name=vpn
/system clock
set time-zone-name=Europe/Madrid
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Y sé que me dejo alguna cosa, pero la memoria ya no está como a los 20 :)

Muchas gracias por vuestro tiempo.

Saludos,

Donette
 
Última edición por un moderador:
Hola @Donette, bienvenido.

Relativo a la wifi, decirte que los equipos AX llevan el nuevo paquete wifiwave2 en exclusiva. Y los comandos y submenus, como bien has podido comprobar por ti mismo, son totalmente distintos a los del paquete de wireless original. De hecho, se parecen más al setup de CAPsMAN que a nada del paquete original.

Para el tema wireless, te doy los consejos de siempre:
- 2,4GHz (wlan2, le dieron la vuelta a las interfaces también): canales 1, 6 y 11 únicamente y 20MHz de ancho de canal
- 5GHz (wlan1): si no tienes mucha interferencia de vecinos (vives en una unifamiliar o suficientemente alejados de estos), puedes dejarlo todo en automático. Sino, elige un canal NO DFS si quieres que el equipo siempre tenga la wifi de 5GHz disponible, y uno DFS si esto te da un poco igual, pero necesitas más potencia en dicha interfaz.
- Ambas: mi preferencia es dejar los dos SSIDs idénticos, y dejar que sean los dispositivos finales quienes elijan a qué conectarse. Además de eso, si tu setup te lo permite, usar WAP3 en solitario, en lugar de WPA2+WPA3.

Viendo tu configuración, te doy un par de ejemplos (toca vía winbox y exporta, y así irás viendo la nueva sintaxis).

Ajustar la wifi de 2GHz a 20MHz de ancho de canal, y canal 1 (frecuencia 2412)
Código: 
/interface wifiwave2
set [find default-name=wifi2] channel.band=2ghz-ax .width=20mhz .frequency=2412

Poner la wifi de 5GHz en un canal NO DFS
Código: 
/interface wifiwave2
set [find default-name=wifi1] channel.band=5ghz-ax .skip-dfs=all

Fijar un canal concreto en la wifi de 5GHz, por ejemplo, canal 100 (frecuencia 5500 DFS), pero sólo con 40MHz de ancho como máximo (de normal lo hará con lo máximo que pueda, en el caso de esa wifi, con 80MHz)
Código: 
/interface wifiwave2
set [find default-name=wifi1] channel.band=5ghz-ax .frequency=5500 .width=20/40mhz

Definir canales que hemos usado previamente para 2,4 y 5GHz (canal 1 con 20MHz y 100 con 40MHz), para luego referenciarlos desde la configuración (tal y como hacemos cuando configurábamos CAPsMAN con el driver viejo)
Código: 
/interface wifiwave2 channel
add band=2ghz-ax frequency=2412 name=ch1 width=20mhz
add band=5ghz-ax frequency=5500 name=ch100 width=20/40mhz
set [find default-name=wifi1] channel=ch100
set [find default-name=wifi2] channel=ch1

Poner el mismo SSID en ambas redes
Código: 
/interface wifiwave2 channel
set [find] configuration.ssid=Palindromo_red

Y así... Y recuerda que tiene preferencia lo que más a la izquierda esté en los menús, como CAPsMAN. Es decir, si defines un canal en "channel" que luego referencias en "Configuration", pero que a su vez pisas en el menú Wifi Wave2 (primera columna, la que está más a la izquierda), prevalece esta última.

Saludos!
 
Gracias Pokoyo por tus explicaciones.

Cuando ejecuto las líneas:

set [find default-name=wifi1] channel=ch100
set [find default-name=wifi2] channel=ch1

me aparece "expected end of command (line 1 column 31)", con la letra c de channel resaltada en rojo como si el comando channel no fuese correcto. Si intento hacerlo por winbox (asignar los canales creados a las interfaces wifi1 y wifi2, me aparece "No supported channels" encima del grupo de dos interfaces.

Saludos.
 
Prueba con “configuration.channel=x” en lugar de sólo channel.

Saludos!
 
Hola a todos, me he pillado un ax2 y un ax3 para sustituir los actuales y juguetear un poco con ellos... pero no doy con la tecla para ofrecer Wifi6 "a full"... @pocoyo, los parámetros que indicas serían suficientes para ello?

Gracias !!!
 
No sé qué es ofrecer wifi6 a full, la verdad. Pero sí, con eso debería ser suficiente.

Saludos!
 
pokoyo dijo:
No sé qué es ofrecer wifi6 a full, la verdad. Pero sí, con eso debería ser suficiente.

Saludos!
Haz clic para expandir...
Jajaja... perdón... me refiero a que teniendo el movil al lado, con soporte Wifi 6E, debería registrarme a más de 1Gb, no...? Y veo que me registra como máximo a 573MB... igual que con Wifi 5 AC.

Gracias !!!
 
pokoyo dijo:
Prueba con “configuration.channel=x” en lugar de sólo channel.

Saludos!
Haz clic para expandir...
Buenas,

Disculpa, no he podido responder hasta ahora. Creo que he encontrado el problema. Las dos últimas líneas hay que ejecutarlas fuera de "channel", solo con /interface wifiwave2:

Código: 
/interface wifiwave2 channel
add band=2ghz-ax frequency=2412 name=ch1 width=20mhz
add band=5ghz-ax frequency=5500 name=ch100 width=20/40mhz
set [find default-name=wifi1] channel=ch100
set [find default-name=wifi2] channel=ch1

Lo de "Not suppported channels" me sale en wifiº (5 GHz) si está marcada la opción "Skip DFS Channels". Si dejo "10 minCAC" no aparece.

Por otro lado, ayer estuve liado con Wireguard y conseguí hacerlo funcionar, gracias a tu manual. No obstante, me aparecen en el terminal, cuando lo dejo un rato abierto, mensajes tipo "system critical, login failed from xxx.xxx.xxx.xxx" o algo similar y la ip que aparece no es mi ip pública. He mirado el log del sistema y no aparecen estos mensajes. Me da miedo no haya dejado la puerta abierta sin darme cuenta, aunque seguí el manual bastante al pie de la letra.

Te dejo un export, por si puedes mirar si he hecho algo grave.

Código: 
# jan/23/2023 19:31:43 by RouterOS 7.7
# software id = NKP3-BE2A
#
# model = C53UiG+5HPaxD2HPaxD
# serial number = SSNN
/interface bridge
add admin-mac=XX:XX:XX:XX:XX:XX auto-mac=no comment=defconf name=bridge
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 \
    use-peer-dns=yes user=adslppp@telefonicanetpa
/interface wireguard
add listen-port=15555 mtu=1420 name=wireguard-rw
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wifiwave2 channel
add band=2ghz-ax frequency=2412 name=ch1 width=20mhz
add band=5ghz-ax frequency=5500 name=ch100 width=20/40mhz
/interface wifiwave2
set [ find default-name=wifi1 ] channel=ch1 channel.band=5ghz-ax .frequency=\
    5500 .skip-dfs-channels=10min-cac .width=20/40mhz configuration.country=\
    Spain .mode=ap .ssid=Palindromo_red_PLUS disabled=no \
    security.authentication-types=wpa2-psk,wpa3-psk
set [ find default-name=wifi2 ] channel=ch1 channel.band=2ghz-ax .frequency=\
    2412 .skip-dfs-channels=10min-cac .width=20mhz configuration.country=\
    Spain .mode=ap .ssid=Palindromo_red disabled=no \
    security.authentication-types=wpa2-psk,wpa3-psk
/ip pool
add name=dhcp ranges=192.168.10.10-192.168.10.254
add name=vpn ranges=192.168.89.2-192.168.89.255
/ip dhcp-server
add address-pool=dhcp interface=bridge name=defconf
/port
set 0 name=serial0
/ppp profile
set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wifi1
add bridge=bridge comment=defconf interface=wifi2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set enabled=yes use-ipsec=yes
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=pppoe-out1 list=WAN
add interface=wireguard-rw list=LAN
/interface wireguard peers
add allowed-address=192.168.60.2/32 interface=wireguard-rw public-key=\
    "r1Hg2tSRFUZg36ysGyY9pqosoDAo1FQpjk7Vf5xBUmM="
/ip address
add address=192.168.10.1/24 comment=defconf interface=bridge network=\
    192.168.10.0
add address=192.168.1.2/24 interface=ether1 network=192.168.1.0
add address=192.168.60.1/24 interface=wireguard-rw network=192.168.60.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf disabled=yes interface=ether1
/ip dhcp-server lease
add address=192.168.10.80 mac-address=02:42:98:69:58:C3 server=defconf
add address=192.168.10.103 mac-address=6C:CD:D6:B6:38:42 server=defconf
add address=192.168.10.102 client-id=1:24:5e:be:47:a8:4d mac-address=\
    24:5E:BE:47:A8:4D server=defconf
add address=192.168.10.101 mac-address=24:5E:BE:47:A8:4C server=defconf
add address=192.168.10.90 mac-address=34:94:54:74:42:63 server=defconf
add address=192.168.10.44 client-id=\
    ff:eb:2c:e1:99:0:1:0:1:27:ef:a8:73:b8:27:eb:2c:e1:99 mac-address=\
    B8:27:EB:2C:E1:99 server=defconf
/ip dhcp-server network
add address=192.168.10.0/24 comment=defconf dns-server=192.168.10.80,1.1.1.1 \
    gateway=192.168.10.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=192.168.10.80,1.1.1.1
/ip dns static
add address=192.168.10.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 \
    protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment="vpn: allow wireguard-rw" dst-port=\
    15555 protocol=udp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
    192.168.89.0/24
add action=dst-nat chain=dstnat comment=Wireguard_Qnap disabled=yes dst-port=\
    51820 in-interface-list=WAN protocol=udp to-addresses=192.168.10.101 \
    to-ports=51820
add action=dst-nat chain=dstnat comment=OpenVPN_RPi dst-port=1194 \
    in-interface-list=WAN protocol=udp to-addresses=192.168.10.44 to-ports=\
    1194
/ip route
add disabled=no distance=2 dst-address=192.168.1.2/24 gateway=192.168.1.1 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/ppp secret
add name=vpn
/system clock
set time-zone-name=Europe/Madrid
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Por curiosidad, para que sirven las siguientes líneas, si al vpn le he definido la red 192.168.60.0/24 y le asigna a los peers ip de esa red?

Código: 
/ip pool
add name=vpn ranges=192.168.89.2-192.168.89.255
/ppp profile
set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn

Muchas gracias.

Saludos.
 
SergioAA dijo:
Jajaja... perdón... me refiero a que teniendo el movil al lado, con soporte Wifi 6E, debería registrarme a más de 1Gb, no...? Y veo que me registra como máximo a 573MB... igual que con Wifi 5 AC.

Gracias !!!
Haz clic para expandir...
No, esas velocidades te las estás literalmente inventado. Te va a dar unos 800Mbps, a todo lo que da. Son 80Mhz de ancho de canal y 2x2MIMO, no da para más.

Saludos!
 
Donette dijo:
Buenas,

Disculpa, no he podido responder hasta ahora. Creo que he encontrado el problema. Las dos últimas líneas hay que ejecutarlas fuera de "channel", solo con /interface wifiwave2:

Código: 
/interface wifiwave2 channel
add band=2ghz-ax frequency=2412 name=ch1 width=20mhz
add band=5ghz-ax frequency=5500 name=ch100 width=20/40mhz
set [find default-name=wifi1] channel=ch100
set [find default-name=wifi2] channel=ch1

Lo de "Not suppported channels" me sale en wifiº (5 GHz) si está marcada la opción "Skip DFS Channels". Si dejo "10 minCAC" no aparece.

Por otro lado, ayer estuve liado con Wireguard y conseguí hacerlo funcionar, gracias a tu manual. No obstante, me aparecen en el terminal, cuando lo dejo un rato abierto, mensajes tipo "system critical, login failed from xxx.xxx.xxx.xxx" o algo similar y la ip que aparece no es mi ip pública. He mirado el log del sistema y no aparecen estos mensajes. Me da miedo no haya dejado la puerta abierta sin darme cuenta, aunque seguí el manual bastante al pie de la letra.

Te dejo un export, por si puedes mirar si he hecho algo grave.

Código: 
# jan/23/2023 19:31:43 by RouterOS 7.7
# software id = NKP3-BE2A
#
# model = C53UiG+5HPaxD2HPaxD
# serial number = SSNN
/interface bridge
add admin-mac=XX:XX:XX:XX:XX:XX auto-mac=no comment=defconf name=bridge
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 \
    use-peer-dns=yes user=adslppp@telefonicanetpa
/interface wireguard
add listen-port=15555 mtu=1420 name=wireguard-rw
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wifiwave2 channel
add band=2ghz-ax frequency=2412 name=ch1 width=20mhz
add band=5ghz-ax frequency=5500 name=ch100 width=20/40mhz
/interface wifiwave2
set [ find default-name=wifi1 ] channel=ch1 channel.band=5ghz-ax .frequency=\
    5500 .skip-dfs-channels=10min-cac .width=20/40mhz configuration.country=\
    Spain .mode=ap .ssid=Palindromo_red_PLUS disabled=no \
    security.authentication-types=wpa2-psk,wpa3-psk
set [ find default-name=wifi2 ] channel=ch1 channel.band=2ghz-ax .frequency=\
    2412 .skip-dfs-channels=10min-cac .width=20mhz configuration.country=\
    Spain .mode=ap .ssid=Palindromo_red disabled=no \
    security.authentication-types=wpa2-psk,wpa3-psk
/ip pool
add name=dhcp ranges=192.168.10.10-192.168.10.254
add name=vpn ranges=192.168.89.2-192.168.89.255
/ip dhcp-server
add address-pool=dhcp interface=bridge name=defconf
/port
set 0 name=serial0
/ppp profile
set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wifi1
add bridge=bridge comment=defconf interface=wifi2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set enabled=yes use-ipsec=yes
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=pppoe-out1 list=WAN
add interface=wireguard-rw list=LAN
/interface wireguard peers
add allowed-address=192.168.60.2/32 interface=wireguard-rw public-key=\
    "r1Hg2tSRFUZg36ysGyY9pqosoDAo1FQpjk7Vf5xBUmM="
/ip address
add address=192.168.10.1/24 comment=defconf interface=bridge network=\
    192.168.10.0
add address=192.168.1.2/24 interface=ether1 network=192.168.1.0
add address=192.168.60.1/24 interface=wireguard-rw network=192.168.60.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf disabled=yes interface=ether1
/ip dhcp-server lease
add address=192.168.10.80 mac-address=02:42:98:69:58:C3 server=defconf
add address=192.168.10.103 mac-address=6C:CD:D6:B6:38:42 server=defconf
add address=192.168.10.102 client-id=1:24:5e:be:47:a8:4d mac-address=\
    24:5E:BE:47:A8:4D server=defconf
add address=192.168.10.101 mac-address=24:5E:BE:47:A8:4C server=defconf
add address=192.168.10.90 mac-address=34:94:54:74:42:63 server=defconf
add address=192.168.10.44 client-id=\
    ff:eb:2c:e1:99:0:1:0:1:27:ef:a8:73:b8:27:eb:2c:e1:99 mac-address=\
    B8:27:EB:2C:E1:99 server=defconf
/ip dhcp-server network
add address=192.168.10.0/24 comment=defconf dns-server=192.168.10.80,1.1.1.1 \
    gateway=192.168.10.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=192.168.10.80,1.1.1.1
/ip dns static
add address=192.168.10.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 \
    protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment="vpn: allow wireguard-rw" dst-port=\
    15555 protocol=udp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
    192.168.89.0/24
add action=dst-nat chain=dstnat comment=Wireguard_Qnap disabled=yes dst-port=\
    51820 in-interface-list=WAN protocol=udp to-addresses=192.168.10.101 \
    to-ports=51820
add action=dst-nat chain=dstnat comment=OpenVPN_RPi dst-port=1194 \
    in-interface-list=WAN protocol=udp to-addresses=192.168.10.44 to-ports=\
    1194
/ip route
add disabled=no distance=2 dst-address=192.168.1.2/24 gateway=192.168.1.1 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/ppp secret
add name=vpn
/system clock
set time-zone-name=Europe/Madrid
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Por curiosidad, para que sirven las siguientes líneas, si al vpn le he definido la red 192.168.60.0/24 y le asigna a los peers ip de esa red?

Código: 
/ip pool
add name=vpn ranges=192.168.89.2-192.168.89.255
/ppp profile
set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn

Muchas gracias.

Saludos.
Haz clic para expandir...
Creo que pasaste por el quick set y activaste el flag (tick) de VPN. Eso creó tres servidores VPN adicionales al que tú has dado de alta con wireguard. Y, uno concreto de ellos, es especialmente inseguro. Yo desharía ese cambio (los servidores están en los botones de la pestaña PPP) y apagaría las reglas de firewall en input asociadas a cada server (van con un comentario, son fáciles de identificar). De ahí los mensajes de intento de acceso que estás teniendo en los logs.

Saludos!
 
Muchas gracias. Lo intento. Sí, active el VPN en el Quick Set.

Saludos.

Enviado desde mi Pixel 4a (5G) mediante Tapatalk
 
El único que estaba enabled=yes era L2tp. Lo he desabilitado.

Las reglas de firewall son las de chain=input para IPSec NAT, IKE y L2tp?

Saludos.

Enviado desde mi Pixel 4a (5G) mediante Tapatalk
 
Donette dijo:
El único que estaba enabled=yes era L2tp. Lo he desabilitado.

Las reglas de firewall son las de chain=input para IPSec NAT, IKE y L2tp?

Saludos.

Enviado desde mi Pixel 4a (5G) mediante Tapatalk
Haz clic para expandir...
Eso es. Esas tres reglas las puedes borrar.

Por cierto, si la IP 192.168.10.80 es un pi-hole, home assistant, etc (un pc cualquiera con un servicio dns), lo tienes mal usado.

Esa IP iría en DHCP Server > Networks, junto con la IP del propio router. Así usarías esa ip por defecto como dns principal, seguida de la IP del propio router como secundario (así aprovechas la caché de ambos servicios).

Y, en IP > DNS, meterías únicamente servidores públicos, puesto que ahí no se distingue entre primario y secundario, y se lanzan las consultas a todos los que metas de manera aleatoria.

Saludos!
 
Esa es la capacidad "comercial" del equipo, siguiendo la chorrada que hacen todos los fabricantes: ponerte el máximo teórico de las especificaciones del hardware. Si quieres una medida realista: en AC, la mitad de esa velocidad, y en AX, un 70-75%. Con ese equipo vas a alcanzar unos 800Mbps pegado al router en AX, y entre 400-600 en AC.

Saludos!
 
pokoyo dijo:
Eso es. Esas tres reglas las puedes borrar.

Por cierto, si la IP 192.168.10.80 es un pi-hole, home assistant, etc (un pc cualquiera con un servicio dns), lo tienes mal usado.

Esa IP iría en DHCP Server > Networks, junto con la IP del propio router. Así usarías esa ip por defecto como dns principal, seguida de la IP del propio router como secundario (así aprovechas la caché de ambos servicios).

Y, en IP > DNS, meterías únicamente servidores públicos, puesto que ahí no se distingue entre primario y secundario, y se lanzan las consultas a todos los que metas de manera aleatoria.

Saludos!
Haz clic para expandir...
Sí, es un pi-hole. Hecho lo que comentas. Gracias, se agradecen los consejos. Ahora investigaré como hacerlo para cuando me conecte con Wireguard.

Un saludo!

Enviado desde mi Pixel 4a (5G) mediante Tapatalk
 
Simplemente lo pones como DNS en el cliente que se conecte al router. Un ejemplo:
1674586034838.png


Saludos!
 
Donette,

¿Que tal compara la cobertura y velocidad del ax3 frente al HGU? Sobre todo en puntos alejados del router.

Saludos!
 
Emulero dijo:
Donette,

¿Que tal compara la cobertura y velocidad del ax3 frente al HGU? Sobre todo en puntos alejados del router.

Saludos!
Haz clic para expandir...
No puedo darte números ahora mismo... pero por experiencia personal decirte que antes de punta a punta de la casa la cobertura era bastante deficiente con el HGU, ahora digamos que que con el ax3 es satisfactoria y más que suficiente. En mi experiencia en ese punto se gana sin duda. Igual que con el ac3 fue un poco decepcionante, con éste la sorpresa ha sido grata.
 
Debes estar conectado o registrado para responder aquí.

Similar threads

V
DIGI + MikroTik hAPax3 + ZTE ZXHN H3600. No funciona teléfono fijo
2 3
Respuestas
44
Visitas
1,719
pokoyo
E
Cerbot renovación
Respuestas
2
Visitas
348
pokoyo
O
Problema con DNS
Respuestas
9
Visitas
264
pokoyo
P
Problemas Vodafone TV NEBA
Respuestas
3
Visitas
361
PaNg
leptismame
configurar Digi 10 g - RB4011
Respuestas
6
Visitas
477
leptismame
Arriba