HGU - Mikrotik - Unifi AP

Si a él le funciona, no debería ni pedirle identificarse en un iPad o en una TV por ejemplo. Ya que al estar dentro de casa, automáticamente te "deja pasar". Si es así, volveré a revisar qué está pasando.
 
Ummm, diría que ese tráfico no está bien enrutado. @huzoaaz, tú has detectado problemas usando la app de movistar fuera de casa, cuando la vpn está levantada? O la detecta como cuando está dentro de casa?

Saludos!
Buenas. yo, estando fuera de la red principal donde esté todo el meollo, levanto el WG sin problemas, y cuando entro a la app, me detecta sin problemas como dentro de la red.

Por confirmar, hace tiempo que no lo usaba, acabo de probar y sin problemas, la app me detecta como un dispositivo dentro de casa
 
Si a él le funciona, no debería ni pedirle identificarse en un iPad o en una TV por ejemplo. Ya que al estar dentro de casa, automáticamente te "deja pasar". Si es así, volveré a revisar qué está pasando.
Exacto. No me pide meter datos, entra directamente como dispositivo dentro de casa. Así que igual, revisa la config, que algo tienes por ahí cojo, o píntala por aquí y se mira...
 
Como referencia, decir que @huzoaaz, si no me falla la memoria, tiene un servidor RW dedicado en el mikrotik de Paco para este propósito, al cual se conecta como road warrior. El peer del móvil tiene permitido todo tráfico (allowed address = 0.0.0.0/0), el del otro extremo, la IP concreta del dispositivo.

Saludos!
 
Como referencia, decir que @huzoaaz, si no me falla la memoria, tiene un servidor RW dedicado en el mikrotik de Paco para este propósito, al cual se conecta como road warrior. El peer del móvil tiene permitido todo tráfico (allowed address = 0.0.0.0/0), el del otro extremo, la IP concreta del dispositivo.

Saludos!
Tal cual lo has descrito, @pokoyo
 
He intentado configurar el HGU en monopuesto y el router reseteado como router, sin VLANs ni nada al principio. Simplemente manteniendo el rango de LAN que tenía anteriormente y, aunque, inicialmente todo empezó a funcionar de maravilla, a los pocos segundos vi que perdía la conexión con Internet. Al poco tiempo viene, pero se vuelve a ir en un tiempo aleatorio y bastante corto.

He entrado por mactelnet a Mikrotik y el router nunca pierde la conexión (he dejado un ping infinito a 1.1.1.1 y siempre responde). La conexión solo la pierdo en la LAN. ¿Qué puedo haber hecho mal?


Código:
# jan/02/1970 00:12:16 by RouterOS 7.6
# software id = HRFC-XZ84
#
# model = RB960PGS
# serial number = HD208E1X9ZJ
/interface bridge
add admin-mac=18:FD:74:8D:8E:E1 auto-mac=no comment=defconf name=bridge
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=internet user=adslppp@telefonicanetpa
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
add name=lan-dhcp ranges=172.25.0.100-172.25.0.199
/ip dhcp-server
add address-pool=lan-dhcp interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=sfp1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=internet list=WAN
/ip address
add address=172.25.0.2/24 comment=defconf interface=bridge network=172.25.0.0
/ip dhcp-server network
add address=172.25.0.0/24 comment=defconf dns-server=1.1.1.1 gateway=172.25.0.2
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=172.25.0.2 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
 
Última edición:
Estoy seguro de que está relacionado. No entiendo por qué haciendo un ping desde mi mac, hay un momento que recibe un nuevo gateway (172.25.0.1 que es el HGU en monopuesto) y pierde la conexión, en vez del 172.25.0.2 (Mikrotik).
Screenshot 2022-11-19 at 11.30.08.png
 
No uses el mismo segmento que usabas en el HGU. Aunque lo pases a monopuesto, eso sigue estando ahí, y es más que probable que te de guerra por eso. Al HGU puedes seguir accediendo a la 172.25.0.1 siempre y cujando configures el puerto que te conecta a él en el mismo segmento.

Es decir, le das las 172.25.0.2 a ether1, lo metes en la lista WAN, y ya tendrías acceso a dicho equipo por IP, aunque esté en monopuesto. Y, para tu subred (la red que le das al bridge) la mueves a otro segmento de red y listo.

Saludos!
 
Si quieres ver si el antiguo DHCP del HGU sigue ahí jodiendo la mona, mete una alerta en el tuyo, verás que pronto te canta en los logs:
Código:
/ip dhcp-server alert
add disabled=no interface=bridge

Saludos!
 
Estoy seguro de que está relacionado. No entiendo por qué haciendo un ping desde mi mac, hay un momento que recibe un nuevo gateway (172.25.0.1 que es el HGU en monopuesto) y pierde la conexión, en vez del 172.25.0.2 (Mikrotik).Ver el adjunto 101289
Y un consejo: intenta usar segmentos de red del tipo C….. puede parecer una tontería, pero yo empecé como tú, por poner un segmento de red “diferenciado” de tipo B 172….. y tenía problemas, bastantes…. Fue cambiar toda mi red a una de tipo de C 192.168.xXx.1, y para cada segmento que necesites, tienes para dar y regalar…

pero esto ya consejo personal….
 
El problema eran los UniFi APs, que aún tenían el gateway antiguo (172.25.0.1), antes de pasar a monopuesto+Mikrotik, y es lo que estaba fastidiando todo. Los reseteé y arreglado.

Entiendo que pudiera influir en la WiFi, pero nunca me imaginé también que me dejará sin conexión por ethernet.

En cualquier caso, muchísimas gracias a los dos. En cuanto los peques me dejen un rato, a ver si configuro las VLANs.
 
Arriba