HGU - Mikrotik - Unifi AP

Buenos días,

Como mi casuística es un híbrido entre 2 configuraciones obtenidas a partir de 2 temas diferentes, he creído conveniente crear un nuevo tema para así no "ensuciar" los otros.

Actualmente, y gracias a la ayuda de @pokoyo, tengo el HGU de Movistar (sin monopuesto) conectado al Mikrotik por el puerto 1. Lo he conseguido gracias al hilo https://www.adslzone.net/foro/mikro...ar-bridge-manejarlos-todos-monobridge.585531/ En él, tengo conectado al puerto 2 mi ordenador, desde el que configuro todo, y a los puertos 3 y 4 dos puntos de acceso Unifi Lite 6. Dichos puntos de acceso están siendo alimentados desde el router Mikrotik hEX PoE. Hasta aquí todo perfecto.

Sin embargo, quiero empezar a segmentar la red de casa, principalmente por los dispositivos IoT. Para ello, como primera prueba, se me ocurrió añadir un nuevo SSID en el AP conectado al puerto 3. Apoyándome esta guía de @pokoyo, he creado una subred 172.25.50.0/29 y su servidor DHCP. Sin embargo, me surge la duda de cómo taggear o no y qué puerto, ya que en ella se habla de los puertos 2 y 3 para la casuística del usuario que abría ese hilo.

Aclaraciones:
- Mi red principal es 172.25.0.0/24 y DHCP configurado a partir del 172.25.0.100
- HGU ------- 172.25.0.1
- Mikrotik ---- 172.25.0.2
- AP (ether3) - 172.25.0.10x
- AP (ether4) - 172.25.0.10x (éste lo podemos ignorar de momento, ya que no afectaría a lo que tratamos de hacer, puesto que la subred que me interesa es solo para el AP conectado en ether3, que estaría situado en la planta baja de la casa y a donde se conectarían los dispositivos IoT que necesito segmentar)

Decir que también tengo un desco de movistar IPTV conectado directamente al HGU actualmente y que funciona sin problemas. ¿Debería poner el HGU en monopuesto o mejor dejarlo como hasta ahora?

Código: 
# nov/10/2022 09:04:44 by RouterOS 7.6
# software id = HRFC-XZ84
#
# model = RB960PGS
# serial number = HD208E1X9ZJ
/interface bridge
add igmp-snooping=yes name=bridge-iptv
/interface ethernet
set [ find default-name=ether3 ] poe-out=forced-on
set [ find default-name=ether4 ] poe-out=forced-on
/interface vlan
add interface=bridge-iptv name=vlan-locks vlan-id=50
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-server option
add code=240 name=opch-imagenio value="':::::239.0.2.29:22222'"
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/ip pool
add name=movistar-general ranges=172.25.0.100-172.25.0.199
add name=movistar-iptv ranges=172.25.0.241-172.25.0.254
add name=locks-dhcp ranges=172.25.50.2-172.25.50.6
/ip dhcp-server
add address-pool=movistar-general interface=bridge-iptv name=movistar-dhcp
add address-pool=locks-dhcp interface=vlan-locks name=dhcp-locks
/interface bridge port
add bridge=bridge-iptv interface=ether1
add bridge=bridge-iptv interface=ether2
add bridge=bridge-iptv interface=ether3 pvid=50
add bridge=bridge-iptv interface=ether4
add bridge=bridge-iptv interface=ether5
add bridge=bridge-iptv interface=sfp1
/ip address
add address=172.25.0.2/24 interface=bridge-iptv network=172.25.0.0
add address=172.25.50.0/29 interface=vlan-locks network=172.25.50.0
/ip cloud
set ddns-enabled=yes update-time=no
/ip dhcp-server matcher
add address-pool=movistar-iptv code=60 name=descos server=movistar-dhcp \
    value="[IAL]"
/ip dhcp-server network
add address=172.25.0.0/24 dns-server=172.25.0.2 gateway=172.25.0.1
add address=172.25.0.240/28 dhcp-option=opch-imagenio dns-server=172.26.23.3 \
    gateway=172.25.0.1 netmask=24
add address=172.25.50.0/29 dns-server=1.1.1.3,1.0.0.3 gateway=172.25.50.0
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,80.58.61.254 use-doh-server=\
    https://cloudflare-dns.com/dns-query verify-doh-cert=yes
/ip route
add gateway=172.25.0.1
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=monobridge
/system ntp client
set enabled=yes
/system ntp client servers
add address=es.pool.ntp.org
/system scheduler
add interval=1w name=cloud-backup on-event=cloud-backup policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
    start-date=apr/14/2021 start-time=02:00:00
 
Tinenes más de un desco, uno directo al HGU y otro wifi? Porque, si no, no tiene mucho sentido usar la config del monobridge (la movería a monopuesto).

Para taggear (trunk), simplemente mete el puerto en la tabla de vlans del bridge. Para ponerlo como untagg (acceso) setea el PVID.

Saludos!
 
Sólo tengo un desco en el salón, conectado a un switch (dónde también está conectada la TV) y este switch al HGU directamente. En el resto de TVs de la casa, uso la app de Movistar, que funciona bastante bien. ¿Tiene más sentido entonces moverlo a monopuesto @pokoyo?
 
JaSeR dijo:
Sólo tengo un desco en el salón, conectado a un switch (dónde también está conectada la TV) y este switch al HGU directamente. En el resto de TVs de la casa, uso la app de Movistar, que funciona bastante bien. ¿Tiene más sentido entonces moverlo a monopuesto @pokoyo?
Haz clic para expandir...
Si pones un cable un pelín más largo, ¿te daría para conectar el deco directo al HGU? Si es así, yo iría mejor a por ese setup (incluso a quitar el switch si con los puertos del Mikrotik tienes bastante). Deco directo al HGU, con este equipo en monopuesto, y tu red nace a partir del Mikrotik. En este último, no necesitas ni configurar VLANs, ya que con el HGU en ese modo, todo lo que necesitas el declarar la conexión WAN como PPPoE y meter el correspondiente usuario/contraseña, y estás andando.

Saludos!
 
No, no puedo conectarlo directamente, porque entonces dejaría a la TV sin ethernet. Tengo un switch en el salón (donde están TV, desco y consola) desde el que viene un cable ethernet hasta un cuartillo donde está la fibra y el HGU. No puedo sacar el HGU de ahí ni poner un cable directo desco <-> HGU. Tiene que haber un switch en medio por la limitación que te comentaba antes.
 
JaSeR dijo:
No, no puedo conectarlo directamente, porque entonces dejaría a la TV sin ethernet. Tengo un switch en el salón (donde están TV, desco y consola) desde el que viene un cable ethernet hasta un cuartillo donde está la fibra y el HGU. No puedo sacar el HGU de ahí ni poner un cable directo desco <-> HGU. Tiene que haber un switch en medio por la limitación que te comentaba antes.
Haz clic para expandir...
Vale, ¿te importa pintarme el setup completo? Con todos los equipos, mikrotik y APs incluídos, y si situación dentro de cada habitación.

Saludos!
 
pokoyo dijo:
Vale, ¿te importa pintarme el setup completo? Con todos los equipos, mikrotik y APs incluídos, y si situación dentro de cada habitación.

Saludos!
Haz clic para expandir...
Hay alguna web que te permita hacer el esquema rápidamente? Así supongo que iremos más rápido y quedará más claro :)
 
pokoyo dijo:
Draw.io

Saludos!
Haz clic para expandir...
Gracias!

He hecho un esquema de la situación de los dispositivos, lo más simplificada posible por claridad. En cualquier caso, si se necesita alguna aclaración dime y lo actualizo.

Screenshot 2022-11-11 at 11.00.26.png


- El HGU de Movistar tiene el WiFi deshabilitado, porque está encerrado en un cuarto donde la cobertura sería pésima al resto de la casa y con los puntos de acceso situados en el techo de cada planta es más que suficiente.
- Como se puede ver, he segmentado la red:
- subred principal 172.25.0.x (que está funcionando actualmente), a la que se accede bien por cable o bien el SSID 1.
- subred y VLAN separada para IoT, a la que incluso limitaré la velocidad, 172.25.50.x (VLAN 50), a la que se conectarán los dispositivos que accedan a través de SSID 2. (No está implementado actualmente)
 

Adjuntos

  • Screenshot 2022-11-11 at 10.34.30.png
    Screenshot 2022-11-11 at 10.34.30.png
    401.8 KB · Visitas: 26
Última edición:
En tu caso la opción más sencilla es que dejes el HGU en modo router, le apagues el wifi y te hagas a la idea de que los tres chismes de esa sala están fuera de tu red principal. Si eso no es posible, intentaría conectar la tv y el appletv por wifi, poniendo el HGU en monopuesto, y con el desco directo a él.

Saludos!
 
pokoyo dijo:
En tu caso la opción más sencilla es que dejes el HGU en modo router, le apagues el wifi y te hagas a la idea de que los tres chismes de esa sala están fuera de tu red principal. Si eso no es posible, intentaría conectar la tv y el appletv por wifi, poniendo el HGU en monopuesto, y con el desco directo a él.

Saludos!
Haz clic para expandir...
No es un Apple TV , es el desco de Movistar que me pareció el icono más similar en cuanto a concepto jejeje. Ahora mismo lo tengo así como se puede apreciar en el diagrama, HGU en modo router con DHCP apagado. De hecho, está funcionando todo perfectamente. A excepción de la VLAN 50, que quiero usar para IoT en el SSID 2
 
Claro, pero ahora tienes una configuración un poco galimatías, por eso te digo, que si quieres implementar vlans en el mikrotik, mejor te muevas a una config donde ese equipo sea el router principal de tu red. Que la tv y el desco de movistar se queden fuera, es lo de menos, ya que la primera sólo necesita internet, y el segundo el ITPV que le llega directo desde el HGU.

¿tienes opción de conectar la TV por wifi a alguno de los dos APs? Porque, de tenerla, tu config ideal es el modo monopuesto.

Saludos!
 
pokoyo dijo:
Claro, pero ahora tienes una configuración un poco galimatías, por eso te digo, que si quieres implementar vlans en el mikrotik, mejor te muevas a una config donde ese equipo sea el router principal de tu red. Que la tv y el desco de movistar se queden fuera, es lo de menos, ya que la primera sólo necesita internet, y el segundo el ITPV que le llega directo desde el HGU.

¿tienes opción de conectar la TV por wifi a alguno de los dos APs? Porque, de tenerla, tu config ideal es el modo monopuesto.

Saludos!
Haz clic para expandir...
Desde el AP del techo del salón a la TV debe haber unos 4m en diagonal, así que la velocidad debe ser más que aceptable para poder usarla por Wi-Fi, sí.
 
Pues en ese caso, ni te lo pienses. Quita el switch y conecta el cable que viene del HGU al desco directamente. Pon el HGU en monopuesto, y dale un reset al router para montar la configuración de routing. Y, luego, le metemos encima las VLANs que quieras.

Saludos!
 
pokoyo dijo:
Pues en ese caso, ni te lo pienses. Quita el switch y conecta el cable que viene del HGU al desco directamente. Pon el HGU en monopuesto, y dale un reset al router para montar la configuración de routing. Y, luego, le metemos encima las VLANs que quieras.

Saludos!
Haz clic para expandir...
Pues sí, haré eso y buscaré otra vez cómo montar las VLANs, que me suena haberte visto ayudar a alguien en algún tema en una configuración muy similar a la mía HGU (monopuesto) <-> Mikrotik
 
JaSeR dijo:
Pues sí, haré eso y buscaré otra vez cómo montar las VLANs, que me suena haberte visto ayudar a alguien en algún tema en una configuración muy similar a la mía HGU (monopuesto) <-> Mikrotik
Haz clic para expandir...
Y si no lo ves claro, me dices y lo montamos en un periquete. Aprovechando que tienes que arrancar desde cero, monta tu lan también como una vlan (es decir, maneja únicamente tráfico taggeado en el bridge)

Saludos!
 
pokoyo dijo:
Y si no lo ves claro, me dices y lo montamos en un periquete. Aprovechando que tienes que arrancar desde cero, monta tu lan también como una vlan (es decir, maneja únicamente tráfico taggeado en el bridge)

Saludos!
Haz clic para expandir...
Sí, en cuanto tenga un rato y encuentre la config, me animo. Sólo una cosa más y perdona el atraco :oops:, sería posible después sobre esa config montar el IPTV pululante? No era algo que tuviera en la cabeza inicialmente, pero algunos días del año estoy en otra vivienda y no estaría mal poder usarlo desde allí, además de aprender cómo se hace :)

Gracias!!
 
JaSeR dijo:
Sí, en cuanto tenga un rato y encuentre la config, me animo. Sólo una cosa más y perdona el atraco :oops:, sería posible después sobre esa config montar el IPTV pululante? No era algo que tuviera en la cabeza inicialmente, pero algunos días del año estoy en otra vivienda y no estaría mal poder usarlo desde allí, además de aprender cómo se hace :)

Gracias!!
Haz clic para expandir...
Ummm, sí, con un apaño (un segundo cable al HGU) se podría, pero te diría que siendo el dueño, te apañes mejor con la propia app de movistar plus.

Saludos!
 
No volví a contestar, porque con los niños no he tenido tiempo de volver a probar nada :cry: En cualquier caso, lo tengo más o menos todo en un archivo para importar y probar en cuanto saque un rato.

En cuanto a lo que hablamos de la app de Movistar, es lo que uso realmente en mis TVs de la casa (excepto en el salón, donde sí tengo el desco). El problema es que la app de Movistar, si estás fuera de casa, aunque enrutes todo el tráfico por la VPN de casa (me he asegurado de que la IP por la que sale es la de casa) sigue detectando el dispositivo como fuera de casa. Imagino que hace alguna comprobación a nivel del HGU o algo y con la VPN no se produce, no?
 
JaSeR dijo:
No volví a contestar, porque con los niños no he tenido tiempo de volver a probar nada :cry: En cualquier caso, lo tengo más o menos todo en un archivo para importar y probar en cuanto saque un rato.

En cuanto a lo que hablamos de la app de Movistar, es lo que uso realmente en mis TVs de la casa (excepto en el salón, donde sí tengo el desco). El problema es que la app de Movistar, si estás fuera de casa, aunque enrutes todo el tráfico por la VPN de casa (me he asegurado de que la IP por la que sale es la de casa) sigue detectando el dispositivo como fuera de casa. Imagino que hace alguna comprobación a nivel del HGU o algo y con la VPN no se produce, no?
Haz clic para expandir...
Ummm, diría que ese tráfico no está bien enrutado. @huzoaaz, tú has detectado problemas usando la app de movistar fuera de casa, cuando la vpn está levantada? O la detecta como cuando está dentro de casa?

Saludos!
 
Debes estar conectado o registrado para responder aquí.

Similar threads

leptismame
TUNEL CONECTADO - DECO NO ACCEDE A RED
Respuestas
7
Visitas
841
pokoyo
G
Home Assistant, DuckDNS y Mikrotik ¿un problema?
Respuestas
9
Visitas
680
generalpirata
salmonete
Mikrotik Hex - IPTV Pixela con tráfico elevado
Respuestas
7
Visitas
874
salmonete
J
L2tp/ipsec no ve servidor truenas y pc de la red
2 3
Respuestas
44
Visitas
1,725
jose maria fernandez
diamuxin
Obtener internet con hAP en modo "station"
2
Respuestas
27
Visitas
1,269
pokoyo
Arriba