HAP AC2 pierde conexion LAN al conectar switch

Buenos días, tengo un mikrotik HAP AC2 comprado nuevo y configurado que al conectarle un switch, los equipos dejan de tener conectividad en la salida a Internet. He probado con dos modelos no gestionables, con ambos obtengo el mismo resultado. El puerto wan es el ethernet 1, que está fuera del bridge. Me queda probar por ensayo error a reconfigurar un segundo Mikrotik nuevo, por si fuera fallo de los puertos, pero me extraña bastante. He actualizado RouterOS a la última versión estable. Switch all ports no está activo. OS dejo un export:

# nov/04/2021 10:22:53 by RouterOS 6.49
# software id =
#
# model = RB952Ui-5ac2nD
# serial number =
/interface bridge
add admin-mac=08:55:31:36:AA:E3 auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether1 ] name=ether1-WAN
set [ find default-name=ether2 ] name=ether2-LAN
set [ find default-name=ether3 ] name=ether3-LAN
set [ find default-name=ether4 ] name=ether4-LAN
set [ find default-name=ether5 ] name=ether5-LAN
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no distance=indoors \
frequency=auto installation=indoor mode=ap-bridge ssid=trib \
station-roaming=enabled wireless-protocol=802.11 wps-mode=disabled
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=\
20/40/80mhz-XXXX disabled=no distance=indoors frequency=auto \
installation=indoor mode=ap-bridge ssid=trib station-roaming=enabled \
wireless-protocol=802.11 wps-mode=disabled
/interface vlan
add interface=ether1-WAN name=vlan_fibra vlan-id=20
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=\
dynamic-keys supplicant-identity=MikroTik wpa2-pre-shared-key=6Admontrib
/ip ipsec peer
add name=peer1 passive=yes
/ip ipsec profile
set [ find default=yes ] dh-group=modp1024 enc-algorithm=aes-256,3des
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc,3des pfs-group=none
/ip pool
add name=default-dhcp ranges=10.10.3.100-10.10.3.200
add name=pool-pptp ranges=10.20.30.1-10.20.30.20
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge lease-time=10h \
name=defconf
/ppp profile
add local-address=pool-pptp name=profile-pptp remote-address=pool-pptp
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
sword,web,sniff,sensitive,api,romon,dude,tikapp"
/interface bridge port
add bridge=bridge comment=defconf interface=ether2-LAN
add bridge=bridge comment=defconf interface=ether3-LAN
add bridge=bridge comment=defconf interface=ether4-LAN
add bridge=bridge comment=defconf interface=ether5-LAN
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set enabled=yes
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1-WAN list=WAN
add interface=vlan_fibra list=WAN
/interface pptp-server server
set enabled=yes
/ip address
add address=10.10.3.1/24 comment=LAN interface=bridge network=10.10.3.0
/ip cloud
set ddns-enabled=yes ddns-update-interval=1m
/ip dhcp-client
add comment=defconf disabled=no interface=vlan_fibra
/ip dhcp-server network
add address=10.10.3.0/24 comment=defconf gateway=10.10.3.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip firewall address-list
add address=80.28.138.40 list=Soporte
/ip firewall filter
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=accept chain=input comment=PPTP dst-port=1723 in-interface-list=\
WAN protocol=tcp
add action=accept chain=input in-interface-list=WAN protocol=gre
add action=accept chain=input comment=L2TP/IPsec dst-port=1701,500,4500 \
in-interface-list=WAN protocol=udp
add action=accept chain=input in-interface-list=WAN protocol=ipsec-esp
add action=accept chain=input comment=soporte in-interface-list=WAN \
src-address-list=Soporte
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=input comment="Any drop" in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Alguna sugerencia?

Gracias de antemano
 

Adjuntos

  • switch all ports.png
    switch all ports.png
    9.2 KB · Visitas: 37
La configuración del equipo no me gusta demasiado, pero no tienes nada que haga que un switch falle o interfiera en ello, a menos que tengas un bucle y el r-stp lo esté capando. ¿Me pintas cómo estás conectando todos los equipos entre sí?

Saludos!
 
Buenas @pokoyo , muchas gracias por tu rápida respuesta ;)

He puesto el "protocol mode" = none en la configuración del bridge, voy a volver a probar con los switches y comento resultado.

Los equipos están conectados de la siguiente forma: ONT ubiquiti UF-LOCO -> Ethernet 1 Mikrotik -> Cualquier puerto del 2 al 5 al switch, un Dlink de 24 puertos no gestionable o un Zyxel de 8 puertos tb no gestionable. La conexión es de 1Gbps con Masmóvil.

Podrías darme mas detalles sobre que no te gusta de la configuración? Es heredada, aunque solo he quitado los datos sensibles como los usuarios de la VPN L2TP que hay creados y alguna IP fija autorizada para la gestión remota del anterior SAT que mantenía este equipo.

Quedo atento

gracias de nuevo
 

Adjuntos

  • switch all ports.png
    switch all ports.png
    9.2 KB · Visitas: 31
El firewall es pobre y está mal hecho. Si partes de una configuración por defecto y te será mucho más sencillo montarla hasta donde quieres llevarla.

Yo de ti no quitaría el protocol-mode=rstp en el bridge. Si te estás quedando sin conectividad es porque el protocolo está anulando el puerto por detección de un bucle, y lo que hay que hacer es quitar dicho bucle, no ignorarlo, puesto que puede que sea peor el remedio que la enfermedad.

Saludos!
 
Buenas @pokoyo , muchas gracias por tu rápida respuesta ;)

He puesto el "protocol mode" = none en la configuración del bridge, voy a volver a probar con los switches y comento resultado.

Los equipos están conectados de la siguiente forma: ONT ubiquiti UF-LOCO -> Ethernet 1 Mikrotik -> Cualquier puerto del 2 al 5 al switch, un Dlink de 24 puertos no gestionable o un Zyxel de 8 puertos tb no gestionable. La conexión es de 1Gbps con Masmóvil.

Podrías darme mas detalles sobre que no te gusta de la configuración? Es heredada, aunque solo he quitado los datos sensibles como los usuarios de la VPN L2TP que hay creados y alguna IP fija autorizada para la gestión remota del anterior SAT que mantenía este equipo.

Quedo atento

gracias de nuevo

Y porque es heredada? No sería mejor hacer un reset y poner el router con la configuración por defecto, que te crea las reglas del firewall y partes de una base configurada para echar a funcionar sin problemas?
 
Arriba