MANUAL: Mikrotik, configuraciones básicas ISPs - RouterOS v7

Prueba primero la Huawei, que está certificada. Las Ubiquiti dieron mucha guerra en el pasado con el tema del multicast, no sé si los firmwares nuevos lo corrigen.

Saludos!
Pues funcionando con la Huawei.
He partido de un reset del router RB3011UiAS y he importado el archivo de configuración.
Internet, Telefono e IPTV funcionando perfectamente!! De locos, es mi primer contacto con Mikrorik y que de entrada todo rule me parece increible.

Para tema WiFi tengo un ASUS que he configurado como punto de acceso (ip automatica). Con esta configuración Internet perfecto, pero he tratado de conectar un segundo desco por WiFi y no conecta, alguna idea al respecto?

Gracias de antemano!!
 
Pues funcionando con la Huawei.
He partido de un reset del router RB3011UiAS y he importado el archivo de configuración.
Internet, Telefono e IPTV funcionando perfectamente!! De locos, es mi primer contacto con Mikrorik y que de entrada todo rule me parece increible.

Para tema WiFi tengo un ASUS que he configurado como punto de acceso (ip automatica). Con esta configuración Internet perfecto, pero he tratado de conectar un segundo desco por WiFi y no conecta, alguna idea al respecto?

Gracias de antemano!!
Ahí me pillas. Asegúrate que estés en automático por dhcp con todo.

Saludos!
 
Buenas tardes! Antes que nada, no se si esta consulta va aquí, si no es el lugar me decís y la muevo.

Bueno, allá voy. Tengo en el portatil del trabajo un cliente OpenVPN para acceder a dominios internos de la empresa y el router de casa es Mikrotik. Me he conectado y no consigo llegar a dichos dominios, pero sí navegar. Luego he probado a conectar el PC al Internet del móvil y al conectar la VPN ya llegaba a los sitios internos. Me ha dado por probar a conectar el PC al WiFi (estaba con cable) y así sí he podido acceder a los domios internos a través de la VPN.

En resumen: con el PC conectado por cable no llego a los dominios internos de la empresa y con WiFi sí. Ambas interfaces pertenecen al mismo bridge en el router y no consigo entender que sucede. A ver si a alguien se le ocurre que puede estar pasando.

Un saludo!
 
Buenas tardes! Antes que nada, no se si esta consulta va aquí, si no es el lugar me decís y la muevo.

Bueno, allá voy. Tengo en el portatil del trabajo un cliente OpenVPN para acceder a dominios internos de la empresa y el router de casa es Mikrotik. Me he conectado y no consigo llegar a dichos dominios, pero sí navegar. Luego he probado a conectar el PC al Internet del móvil y al conectar la VPN ya llegaba a los sitios internos. Me ha dado por probar a conectar el PC al WiFi (estaba con cable) y así sí he podido acceder a los domios internos a través de la VPN.

En resumen: con el PC conectado por cable no llego a los dominios internos de la empresa y con WiFi sí. Ambas interfaces pertenecen al mismo bridge en el router y no consigo entender que sucede. A ver si a alguien se le ocurre que puede estar pasando.

Un saludo!
Puede que te falten sufijos dns en la interfaz ethernet. Mira si en la interfaz wifi lo configuraste a mano en algún momento, y se te pasó hacer lo mismo en la interfaz ethernet. O si estás usando un dns estático en dicha interfaz, en lugar del dns del curro.

Saludos!
 
Puede que te falten sufijos dns en la interfaz ethernet. Mira si en la interfaz wifi lo configuraste a mano en algún momento, y se te pasó hacer lo mismo en la interfaz ethernet. O si estás usando un dns estático en dicha interfaz, en lugar del dns del curro.

Saludos!
El DNS es lo primero que he revisado, pero a mi no me suena haber configurado ninguna interfaz de forma específica. He revisado de nuevo y no veo nada raro... No lo entiendo jaja
 
Ahí me pillas. Asegúrate que estés en automático por dhcp con todo.

Saludos!
Pues despues de un montón de pruebas, puedo confirmar que ASUS no se que narices hace pero no es un AP al uso, no consigo tener TV por WiFi con ellos.

He probado un cAP XL ac e inicialmente tampoco funcionaba, pero dentro de la configuración del decodificador he cambiado el DHCP por fija y asignado una IP dentro del rango de IPTV y voilá…. funcionando.

Lo único malo es que no se que narices pasa con el cAP pero la velocida es pésima y pixela que da gusto. Tambien me pasa navegando, por lo que tiene que ser configuración del cAP.

No he tenido narices a gestionar CAPsMAN, por mucho que me he leido guias y demás, no levanta. La única forma en la que he podido configurar el cAP y que me coja ha sido mediante Bridge AP, ni como CAP, ni Mesh ni Home AP… vaya mundo este, suerte que tengo unos días de vacaciones :)

Saludos!
 
Pues despues de un montón de pruebas, puedo confirmar que ASUS no se que narices hace pero no es un AP al uso, no consigo tener TV por WiFi con ellos.
Probablemente no filtre IGMP snooping correctamente, cuando funcione como AP, inundando de tráfico multicast la red.

He probado un cAP XL ac e inicialmente tampoco funcionaba, pero dentro de la configuración del decodificador he cambiado el DHCP por fija y asignado una IP dentro del rango de IPTV y voilá…. funcionando.
Esto debería ser innecesario. Dependiendo de quien sea el router que asigne IPs para el tema del IPTV, esto debería hacerse de manera transparente para ti.

Lo único malo es que no se que narices pasa con el cAP pero la velocida es pésima y pixela que da gusto. Tambien me pasa navegando, por lo que tiene que ser configuración del cAP.

No he tenido narices a gestionar CAPsMAN, por mucho que me he leido guias y demás, no levanta. La única forma en la que he podido configurar el cAP y que me coja ha sido mediante Bridge AP, ni como CAP, ni Mesh ni Home AP… vaya mundo este, suerte que tengo unos días de vacaciones :)
cuando te atasques, pasa un export y lo revisamos.

Saludos!
 
cuando te atasques, pasa un export y lo revisamos.

Saludos!
Puedo pasar export del RB3011, porque los AP's en cuanto los configuro por quick set como CAP ya no vuelvo a poder acceder a ellos, ni por la IP que le asigna el RB3011 ni por MAC...

He seguido tu guía para configurar CAPsMAN, al menos para ver que funciona y posteriormente ir trasteando. Los AP son cAP XL ac, tienen mas bandas y varias radios que no contempla tu guia, pero entiendo que al menos con la configuración debería funcionar parcialmente y sobre todo aparecer dentro de los AP's gestionados por CAPsMAN, cosa que no hace.

Adjunto export del router. Partí de tu rsc de TriplePlay.

Gracias de antemano.

Saludos.

Código:
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz frequency=2412 name=channel1
add band=2ghz-g/n control-channel-width=20mhz frequency=2437 name=channel6
add band=2ghz-g/n control-channel-width=20mhz frequency=2462 name=channel11
/interface bridge
add admin-mac=2C:C8:1B:EE:AE:4B auto-mac=no comment=defconf igmp-snooping=yes \
    name=bridge
add name=bridge-guests
/interface vlan
add interface=ether1 name=vlan2-iptv vlan-id=2
add interface=ether1 name=vlan3-telefono vlan-id=3
add interface=ether1 name=vlan6-internet vlan-id=6
/caps-man datapath
add bridge=bridge-guests client-to-client-forwarding=no local-forwarding=no \
    name=datapath-guests
add bridge=bridge client-to-client-forwarding=yes local-forwarding=no name=\
    datapath-lan
/interface pppoe-client
add add-default-route=yes disabled=no interface=vlan6-internet name=internet \
    use-peer-dns=yes user=adslppp@telefonicanetpa
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=security-profile-guests
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=security-profile-lan
/caps-man configuration
add channel=channel1 country=spain datapath=datapath-guests mode=ap name=\
    wifi-guests security=security-profile-guests ssid=SSID_G
add channel=channel1 country=spain datapath=datapath-lan mode=ap name=\
    wifi-lan security=security-profile-lan ssid=SSID
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add comment=vlans-iptv-voip name=VLANs2&3
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-server option
add code=240 name=opch-imagenio value="':::::239.0.2.29:22222'"
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.239
add name=iptv-dhcp ranges=192.168.88.241-192.168.88.254
add name=pool-guests ranges=192.168.99.2-192.168.99.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
add address-pool=pool-guests interface=bridge-guests name=dhcp-guests
/port
set 0 name=serial0
/routing rip instance
add afi=ipv4 disabled=no name=rip
/caps-man manager
set enabled=yes
/caps-man manager interface
set [ find default=yes ] forbid=yes
add disabled=no interface=bridge
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=wifi-lan name-format=\
    identity slave-configurations=wifi-guests
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=ether9
add bridge=bridge comment=defconf interface=ether10
add bridge=bridge comment=defconf interface=sfp1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=internet list=WAN
add interface=vlan2-iptv list=VLANs2&3
add interface=vlan3-telefono list=VLANs2&3
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
add address=10.74.255.142/10 interface=vlan2-iptv network=10.64.0.0
add address=192.168.99.1/24 interface=bridge-guests network=192.168.99.0
/ip dhcp-client
add comment=defconf interface=ether1
add add-default-route=no interface=vlan3-telefono use-peer-dns=no \
    use-peer-ntp=no
/ip dhcp-server lease
add address=192.168.88.100 client-id=1:0:11:32:f7:6f:f5 comment=DS920+ \
    mac-address=00:11:32:F7:6F:F5 server=defconf
/ip dhcp-server matcher
add address-pool=iptv-dhcp code=60 name=descos server=defconf value="[IAL]"
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=\
    192.168.88.1
add address=192.168.88.240/28 comment=iptv-network dhcp-option=opch-imagenio \
    dns-server=172.26.23.3 gateway=192.168.88.1 netmask=24
add address=192.168.99.0/24 gateway=192.168.99.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall address-list
add address=xxxxxxx.xxxxxxx.xxx list=public-ip
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment="voip: accept rip multicast traffic" \
    dst-address=224.0.0.9 dst-port=520 in-interface-list=VLANs2&3 protocol=\
    udp
add action=accept chain=input comment="iptv: accept multicast igmp traffic" \
    in-interface=vlan2-iptv protocol=igmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=drop chain=forward comment="block guests accesing LAN" \
    dst-address=192.168.88.0/24 src-address=192.168.99.0/24
add action=drop chain=forward comment="block LAN accesing guests" \
    dst-address=192.168.99.0/24 src-address=192.168.88.0/24
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="VLANs2&3: masquerade" \
    out-interface-list=VLANs2&3
add action=dst-nat chain=dstnat comment="xxxxxxx" dst-address-list=\
    public-ip dst-port=xxxxx protocol=tcp to-addresses=192.168.88.100 to-ports=\
    xxxxx
add action=masquerade chain=srcnat comment="xxxxxx" \
    dst-address=192.168.88.100 dst-port=xxxxx protocol=tcp src-address=\
    192.168.88.0/24
/ip firewall service-port
set rtsp disabled=no
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/lcd
set default-screen=stats
/routing igmp-proxy
set query-interval=30s quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=vlan2-iptv upstream=yes
add interface=bridge
/routing rip interface-template
add instance=rip interfaces=vlan2-iptv,vlan3-telefono mode=passive
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=MocoTron
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
 
¿Vale, me puedes decir si los CAP ac XL se ven en la pestaña "Remote CAP" de CAPsMAN? Si están conectados físicamente a alguno de los puertos que componen el bridge principal del 3011, o a cualquier switch que esté debajo, deberían verse ahí.

Saludos!
 
¿Vale, me puedes decir si los CAP ac XL se ven en la pestaña "Remote CAP" de CAPsMAN? Si están conectados físicamente a alguno de los puertos que componen el bridge principal del 3011, o a cualquier switch que esté debajo, deberían verse ahí.

Saludos!
Gracias @pocoyo

No se ven en Remote CAP en ninguna de estas opciones:

Conectandolo directamente al puerto 10 del RB3011 (por el tema del POE)

Conectandolo a un puerto del Switch POE que tengo Linksys el cual está conectado al Eth2 del RB3011…

Gracias de antemano.
 
Pues es raro, porque con esa configuración que me mandas, si los APs están en modo CAP y conectados en el mismo segmento de L2 que este equipo, deberían al menos verse en esa pestaña.

Lo que te falla por descontado es la regla de provisioning. Como no estás especificando dirección MAC alguna, esa regla va para todo chisme. Aunque, aun así, deberías tener noticias de los otros equipos.

Los ves por un casual en IP -> Neighbors en el 3011?

Saludos!
 
Pues es raro, porque con esa configuración que me mandas, si los APs están en modo CAP y conectados en el mismo segmento de L2 que este equipo, deberían al menos verse en esa pestaña.

Lo que te falla por descontado es la regla de provisioning. Como no estás especificando dirección MAC alguna, esa regla va para todo chisme. Aunque, aun así, deberías tener noticias de los otros equipos.

Los ves por un casual en IP -> Neighbors en el 3011?

Saludos!
A ver como explico esto.

Hasta ahora, tenía el ASUS haciendo de AP mediante el cual me conectaba por WiFi a la red y configuraba todo. Lo he sacado de la ecuación, me he conectado por cable al reouter y he vuelvo a reiniciar el cacharro (cAP)... y automaticamente ha aparecido en la lista de Interfaces... tocate los cAP's...!!!

Ahora que parece que ya nos queremos, voy a ver si le saco la configuración a los canales. Hay dos que me dice que no están soportados "cap6 y cap7" al paracer el canal 1 (por la frecuencia) de la SSID privada y la SSID de Guests... adjunto pantallazo.



Cual crees que puede ser la mejor configuración de canales para estos cacharros?? Siempre he tenido (ASUS desde hace años) problemas con los canales DFS, tengo un par de instalaciones cerca de casa que creo son las que afectan...

Gracias de nuevo por tu tiempo y dedicación @pocoyo

Saludos.
 
Venga, ya tenemos conectividad, ahora a por los problemas de tu configuración: Lo primero, esas interfaces que se han creado en la primera pestaña no nos valen, puesto que la regla de provisioning que hay creada está mal hecha. Cada AP tiene dos radios (dos antenas WiFi, la de 2,4 y 5Ghz), y por tanto necesita cada uno dos reglas de provisioning independientes.

Lo primero que vamos a hacer, es definir los canales a usar en 5GHz, que faltan en tu configuración. Por ejemplo, el 36 y el 100, ambos con 80MHZ de ancho de canal (por si luego tienes un segundo CAP)
Código:
/caps-man channel
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ceee \
    frequency=5180 name=5ghz-ch036-80Mhz
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ceee \
    frequency=5500 name=5ghz-ch100-80Mhz

Una vez creado el canal, crearemos las configuraciones correspondientes para 5GHZ, suponiendo que vamos a hacer lo mismo que ya tienes: una para la red interna y otra para invitados:
Código:
/caps-man configuration
add channel=5ghz-ch036-80Mhz country=spain datapath=datapath-guests mode=ap name=\
    wifi-guests-5ghz security=security-profile-guests ssid=SSID_G
add channel=5ghz-ch036-80Mhz country=spain datapath=datapath-lan mode=ap name=\
    wifi-lan-5ghz security=security-profile-lan ssid=SSID

Hecho esto, vamos a crear correctamente las reglas de provisioning. Para ello, has de crear una regla por cada radio que quieras provisionar. Las direcciones MAC de cada radio las tienes en la pestaña Radio. En ella verás, por cada remote CAP radio name o identity, una pareja de direcciones MAC. La primera es la de la interfaz de 2ghz, la segunda la de 5ghz. Con esto, crearíamos reglas de provisioning como estas, sustituyendo la que ya tienes, que no lleva filtro de MAC:
Código:
/caps-man provisioning
add action=create-dynamic-enabled comment=cAP-XL-2ghz master-configuration=\
    wifi-lan name-format=prefix name-prefix=capXL-2ghz radio-mac=\
    48:8F:5A:90:2E:02 slave-configurations=wifi-guests
add action=create-dynamic-enabled comment=cAP-XL-5ghz master-configuration=\
    wifi-lan-5ghz name-format=prefix name-prefix=capXL-5ghz radio-mac=\
    48:8F:5A:90:2E:03 slave-configurations=wifi-guests-5ghz
... suponiendo que en la pestaña Radio tus direcciones MAC fueran la 48:8F:5A:90:2E:02 (2ghz) y 48:8F:5A:90:2E:03 (5ghz), respectivamente.

Una vez hechas las reglas correctas, borrarías las interfaces de la primera pestaña que muestras en tu pantallazo, irías a la pestaña "Remote CAP", seleccionarías el AP y pulsarías el botón "Provision", el cual chutaría la configuración a ese AP de manera correcta.

Saludos!
 
Estimado compañero @pocoyo, me quito el sombrero... Funciona!

Me falta ajustar creo que canales, he mejorado muchísimo en comparación con la configuración de bridge ap que le dí a los cAP ayer, misma ubicación de 5Mbps a 150...

Lo importante es acabar de cuadrar el tema TV, carga mucho mas rápido todo, pero sigue pixelando, probaré ubicaciones finales y desde ahí ajustaré...

Por último, para los futuros cAP's (mi idea es montar tres en la casa), entiendo que en provisioning debo crear dos reglas por cada uno de ellos con sus respectivas MAC's verdad? Me contesto... Sí!! :)

Muchas gracias de nuevo por tu tiempo y dedicación.

Saludos.
 
Última edición:
Estimado compañero @pocoyo, me quito el sombrero... Funciona!

Me falta ajustar creo que canales, he mejorado muchísimo en comparación con la configuración de bridge ap que le dí a los cAP ayer, misma ubicación de 5Mbps a 150...

Lo importante es acabar de cuadrar el tema TV, carga mucho mas rápido todo, pero sigue pixelando, probaré ubicaciones finales y desde ahí ajustaré...

Por último, para los futuros cAP's (mi idea es montar tres en la casa), entiendo que en provisioning debo crear dos reglas por cada uno de ellos con sus respectivas MAC's verdad? Me contesto... Sí!! :)

Muchas gracias de nuevo por tu tiempo y dedicación.

Saludos.
Para el tema de las pixelaciones, prueba a habilitar el multicast helper en la configuración de la wifi (pestaña Configurations, edita las reglas de configuración y marca multicast-helper = full). Y asegúrate de que cualquier elemento entre el router y el desco soporta igmp-snooping y lo tiene activado, sino inundará la red de tráfico multicast, ralentizando todo y apareciendo esos problemas de pixelaciones que dices.

Ahora que ves los CAPs, en IP > Neighbor verás su IP y te podrás conectar a ellos tanto por dirección MAC como por IP. Si además fijas la IP en los leases del DHCP y le das siempre la misma a los CAP, te resultará sencillo administrarlos.

Por otro lado, ya que estás sacrificando el hardware offloading al usar igmp-snooping en el bridge principal, yo migraría de usar dos bridges a usar vlans y bridge vlan filtering, todo en el bridge principal.

Y sí, como sospechas, cada AP va con su par de reglas de provisioning y con dos o más configuraciones (siempre tiene una maestra por cada radio, y una o varias configuraciones esclavas, para APs virtuales).

Cualquier cosa, me dices.

Saludos!
 
Para el tema de las pixelaciones, prueba a habilitar el multicast helper en la configuración de la wifi (pestaña Configurations, edita las reglas de configuración y marca multicast-helper = full). Y asegúrate de que cualquier elemento entre el router y el desco soporta igmp-snooping y lo tiene activado, sino inundará la red de tráfico multicast, ralentizando todo y apareciendo esos problemas de pixelaciones que dices.

Ahora que ves los CAPs, en IP > Neighbor verás su IP y te podrás conectar a ellos tanto por dirección MAC como por IP. Si además fijas la IP en los leases del DHCP y le das siempre la misma a los CAP, te resultará sencillo administrarlos.

Por otro lado, ya que estás sacrificando el hardware offloading al usar igmp-snooping en el bridge principal, yo migraría de usar dos bridges a usar vlans y bridge vlan filtering, todo en el bridge principal.

Y sí, como sospechas, cada AP va con su par de reglas de provisioning y con dos o más configuraciones (siempre tiene una maestra por cada radio, y una o varias configuraciones esclavas, para APs virtuales).

Cualquier cosa, me dices.

Saludos!
Muchas gracias @pocoyo

He probado con el multicast-helper y es verdad que mejora, pero sigue pixelando, sobre todo con emisión en directo, tirando de U7D y o grabaciones, va bien.

La gestión del los AP's ahora es magnifica la verdad.

Esa migración que planteas, hay alguna guia base que pueda seguir para implementarla? De entrada da vertigo :)

Adicionalmente, de vuelta con los AP's y sus canales. Si no defino canal en sí, sino unicamente los 80Mhz o lo que corresponda, entiendo que es el AP el que elige la mejor opción de canal dadas las circunstancias? Sino, era por añadir mas canales. Haciendo comparativa con los ASUS AX58U que tenía antes el cambio es grande... de 400 con ASUS a unos 150 con el cAP XL ac en las mismas condiciones.

Gracias de antemano

Saludos!
 
Muchas gracias @pocoyo

He probado con el multicast-helper y es verdad que mejora, pero sigue pixelando, sobre todo con emisión en directo, tirando de U7D y o grabaciones, va bien.

La gestión del los AP's ahora es magnifica la verdad.

Esa migración que planteas, hay alguna guia base que pueda seguir para implementarla? De entrada da vertigo :)

Adicionalmente, de vuelta con los AP's y sus canales. Si no defino canal en sí, sino unicamente los 80Mhz o lo que corresponda, entiendo que es el AP el que elige la mejor opción de canal dadas las circunstancias? Sino, era por añadir mas canales. Haciendo comparativa con los ASUS AX58U que tenía antes el cambio es grande... de 400 con ASUS a unos 150 con el cAP XL ac en las mismas condiciones.

Gracias de antemano

Saludos!
Yo tengo el mismo problema de pixelaciones en video en directo, en VOD perfecto. Son pixelaciones esporádicas y muy cortas...llevo una semana analizando tráfico del MK, pero no veo nada raro.

En mi caso tengo doble bridge (IPTV-LAN), pero con idéntico resultado que en tu caso por lo que observo.

También probé la solución de multicast helper, pero no he notado mejoría.


Saludos!
 
He probado con el multicast-helper y es verdad que mejora, pero sigue pixelando, sobre todo con emisión en directo, tirando de U7D y o grabaciones, va bien.
Prueba a meterle igmp-snooping también a los bridges de los CAP. En tu setup no debería ser necesario, pero por si acaso influye en algo, al estar chutándolo vía wireless. De cualquier forma, el mejor consejo que te puedo dar es que, si es posible, cablees el desco. Puedes aprovechar el segundo puerto de cualquier AP, si no los tienes en el techo.

La gestión del los AP's ahora es magnifica la verdad.
CAPsMAN mola mucho, es una bendición a la hora de manejar más de un AP.

Esa migración que planteas, hay alguna guia base que pueda seguir para implementarla? De entrada da vertigo :)
Te puedo guiar en ella si quieres. Empezaríamos con la red de invitados, que hace menos daño, y luego cambiaríamos la otra. Para cambiar la principal, hay que recordar conectarnos al router por la dirección MAC del segundo bridge, el que luego desaparecerá, tal que podemos mantener una sesión levantada sin acceso por IP. De esta manera es sencillo hacer el cambio y no perder conectividad. Antes de tocar nada, ya sabes, backup y export, por si las moscas.

Adicionalmente, de vuelta con los AP's y sus canales. Si no defino canal en sí, sino unicamente los 80Mhz o lo que corresponda, entiendo que es el AP el que elige la mejor opción de canal dadas las circunstancias? Sino, era por añadir mas canales. Haciendo comparativa con los ASUS AX58U que tenía antes el cambio es grande... de 400 con ASUS a unos 150 con el cAP XL ac en las mismas condiciones.
No es buena idea dejarlos en automático, especialmente cuando tienes más de un AP. De hecho, si la zona está un pelín saturada, incluso bajaría el ancho de canal a 40MHz en lugar de 80. Vas a perder velocidad, pero ganarás mucha estabilidad.
Con respecto a los 150Mbps... asegúrate de estar conectado a la wifi de 5GHz. Actualmente tienes un gazapo en la config de los canales de 2,4GHz, que hace que estén operando con anchos de 40MHz, en lugar de 20. 40MHz a todo lo que da (al lado del AP), son aproximadamente 140-150Mbps. Lo digo por si estás conectado a la de 2,4GHz sin saberlo, y estás esperando más velocidad sin que físicamente sea posible.
Para comprobarlo, ve a la tabla de registros (Registration table, última pestaña a la derecha) y ahí te canta a qué interfaz está conectado qué chisme.

También recuerda una cosa muy importante: el único canal que levanta instantáneo el wifi en 5GHz, para un ancho de canal de 80, es el canal 36, frecuencia 5180. Todo lo demás va a tardar 1 minuto en levantar (como el segundo canal 100 que definimos) incluso 10min si tocas con el ancho del canal las frecuencias 5600-5650, por el tema del DFS. Como ventaja, tienes que en DFS se puede emitir con algo más de potencia que en canales noDFS. Lo digo para cuando quieras que hagamos un plano de dónde van a ir los APs y la potencia de cada uno, que te tocará bajarla en cuanto tengas más de un AP (a la wifi le gusta trabajar con muy poquita potencia, cuanto menos, mejor).

Si quieres afinamos el tema CAPsMAN primero, y luego nos metemos con las VLANs. Hoy tengo el día tranquilo, así que, aprovecha.

Para deshabilitar los 40MHz en 2,4GHz, edita los 3 canales definidos para esa frecuencia y marca la opción de extension-channel=disabled. Luego, si quieres añadir una tercera frecuencia para 5GHz (hemos añadido canal 36 y 100), podemos definir el canal 52, también con extensión de canal hacia arriba (Ceee), con 80MHz de ancho. Si ves que te da guerra cuando tengas los 3 APs funcionando, baja el "Ceee" (que significan C = canal central de 20Mhz + 3x20MHz por arriba = 80MHz en total) a "Ce", que viene a ser lo mismo pero 40MHz.

Según tu configuración actual, los cambios a hacer vía consola serían estos:
Código:
# Setear los canales de 2,4 a 20MHz sin extensiones
/caps-man channel
set [find name=channel1] extension-channel=disabled
set [find name=channel6] extension-channel=disabled
set [find name=channel11] extension-channel=disabled

# Añadimos el nuevo canal 52 con 80MHz de ancho para 5GHz
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ceee \
    frequency=5260 name=5ghz-ch052-80MHz
# Añade si quieres también un canal de 80 totalmente en automático, útil mientras pruebas
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=XXXX name=\
    5ghz-auto-80MHz

# Creamos un par de nuevas configuraciones para ese canal nuevo
/caps-man configuration
add channel=5ghz-ch052-80Mhz country=spain datapath=datapath-guests mode=ap name=\
    wifi-guests-5ghz-ch052 security=security-profile-guests ssid=SSID_G
add channel=5ghz-ch052-80MHz country=spain datapath=datapath-lan mode=ap name=\
    wifi-lan-5ghz-ch052 security=security-profile-lan ssid=SSID

# Y, si quieres, añades o modificas cualquier regla de provisioning para usar ese nuevo canal
/caps-man provisioning
add action=create-dynamic-enabled comment=cAP-XL-5ghz master-configuration=\
    wifi-lan-5ghz-ch052 name-format=prefix name-prefix=capXL-5ghz radio-mac=\
    AA:BB:CC:00:11:23 slave-configurations=wifi-guests-5ghz-ch052
# ... etc

Saludos!
 
Prueba a meterle igmp-snooping también a los bridges de los CAP. En tu setup no debería ser necesario, pero por si acaso influye en algo, al estar chutándolo vía wireless. De cualquier forma, el mejor consejo que te puedo dar es que, si es posible, cablees el desco. Puedes aprovechar el segundo puerto de cualquier AP, si no los tienes en el techo.


CAPsMAN mola mucho, es una bendición a la hora de manejar más de un AP.


Te puedo guiar en ella si quieres. Empezaríamos con la red de invitados, que hace menos daño, y luego cambiaríamos la otra. Para cambiar la principal, hay que recordar conectarnos al router por la dirección MAC del segundo bridge, el que luego desaparecerá, tal que podemos mantener una sesión levantada sin acceso por IP. De esta manera es sencillo hacer el cambio y no perder conectividad. Antes de tocar nada, ya sabes, backup y export, por si las moscas.


No es buena idea dejarlos en automático, especialmente cuando tienes más de un AP. De hecho, si la zona está un pelín saturada, incluso bajaría el ancho de canal a 40MHz en lugar de 80. Vas a perder velocidad, pero ganarás mucha estabilidad.
Con respecto a los 150Mbps... asegúrate de estar conectado a la wifi de 5GHz. Actualmente tienes un gazapo en la config de los canales de 2,4GHz, que hace que estén operando con anchos de 40MHz, en lugar de 20. 40MHz a todo lo que da (al lado del AP), son aproximadamente 140-150Mbps. Lo digo por si estás conectado a la de 2,4GHz sin saberlo, y estás esperando más velocidad sin que físicamente sea posible.
Para comprobarlo, ve a la tabla de registros (Registration table, última pestaña a la derecha) y ahí te canta a qué interfaz está conectado qué chisme.

También recuerda una cosa muy importante: el único canal que levanta instantáneo el wifi en 5GHz, para un ancho de canal de 80, es el canal 36, frecuencia 5180. Todo lo demás va a tardar 1 minuto en levantar (como el segundo canal 100 que definimos) incluso 10min si tocas con el ancho del canal las frecuencias 5600-5650, por el tema del DFS. Como ventaja, tienes que en DFS se puede emitir con algo más de potencia que en canales noDFS. Lo digo para cuando quieras que hagamos un plano de dónde van a ir los APs y la potencia de cada uno, que te tocará bajarla en cuanto tengas más de un AP (a la wifi le gusta trabajar con muy poquita potencia, cuanto menos, mejor).

Si quieres afinamos el tema CAPsMAN primero, y luego nos metemos con las VLANs. Hoy tengo el día tranquilo, así que, aprovecha.

Para deshabilitar los 40MHz en 2,4GHz, edita los 3 canales definidos para esa frecuencia y marca la opción de extension-channel=disabled. Luego, si quieres añadir una tercera frecuencia para 5GHz (hemos añadido canal 36 y 100), podemos definir el canal 52, también con extensión de canal hacia arriba (Ceee), con 80MHz de ancho. Si ves que te da guerra cuando tengas los 3 APs funcionando, baja el "Ceee" (que significan C = canal central de 20Mhz + 3x20MHz por arriba = 80MHz en total) a "Ce", que viene a ser lo mismo pero 40MHz.

Según tu configuración actual, los cambios a hacer vía consola serían estos:
Código:
# Setear los canales de 2,4 a 20MHz sin extensiones
/caps-man channel
set [find name=channel1] extension-channel=disabled
set [find name=channel6] extension-channel=disabled
set [find name=channel11] extension-channel=disabled

# Añadimos el nuevo canal 52 con 80MHz de ancho para 5GHz
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ceee \
    frequency=5260 name=5ghz-ch052-80MHz
# Añade si quieres también un canal de 80 totalmente en automático, útil mientras pruebas
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=XXXX name=\
    5ghz-auto-80MHz

# Creamos un par de nuevas configuraciones para ese canal nuevo
/caps-man configuration
add channel=5ghz-ch052-80Mhz country=spain datapath=datapath-guests mode=ap name=\
    wifi-guests-5ghz-ch052 security=security-profile-guests ssid=SSID_G
add channel=5ghz-ch052-80MHz country=spain datapath=datapath-lan mode=ap name=\
    wifi-lan-5ghz-ch052 security=security-profile-lan ssid=SSID

# Y, si quieres, añades o modificas cualquier regla de provisioning para usar ese nuevo canal
/caps-man provisioning
add action=create-dynamic-enabled comment=cAP-XL-5ghz master-configuration=\
    wifi-lan-5ghz-ch052 name-format=prefix name-prefix=capXL-5ghz radio-mac=\
    AA:BB:CC:00:11:23 slave-configurations=wifi-guests-5ghz-ch052
# ... etc

Saludos!
Gracias @pocoyo

Le he metido a los bridges de los AP's el IGMP, noto mejoría (velocidad en el cambio de canal y estabilización los primeros segundos) pero continua pixelando.

Complicado el cablearlo la verdad, le he dado mil vueltas, pero tengo que agujerear media casa para ello.

He aplicado los cambios que me comentas, solucionado el error en la configuración de los canales de 2ghz y añadido el 52 en 5ghz.

Te paso export de la configuración, porque creo que me faltaban cosas en CAPsMAN puede ser? o a lo mejor me he pasado provisionando y configurando.... Me explico, en configuraciones y en provisioning, no contemplaba todas las opciones y he creado las que faltaban, aunque me sigue sorprendiendo que en la pestaña CAP Interfaces solo aparezcan los canales 01 (2ghz) y 36 (5ghz) y no el resto... no acabo de pillar el funcionamiento la verdad



Código:
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2412 name=2ghz-ch01-20Mhz
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2437 name=2ghz-ch06-20Mhz
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2462 name=2ghz-ch11-20Mhz
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ceee \
    frequency=5180 name=5ghz-ch036-80Mhz
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ceee \
    frequency=5500 name=5ghz-ch100-80Mhz
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ceee \
    frequency=5260 name=5ghz-ch052-80MHz
/interface bridge
add admin-mac=2C:C8:1B:EE:AE:4B auto-mac=no comment=defconf igmp-snooping=yes \
    name=bridge
add name=bridge-guests
/interface vlan
add interface=ether1 name=vlan2-iptv vlan-id=2
add interface=ether1 name=vlan3-telefono vlan-id=3
add interface=ether1 name=vlan6-internet vlan-id=6
/caps-man datapath
add bridge=bridge-guests client-to-client-forwarding=no local-forwarding=no \
    name=datapath-guests
add bridge=bridge client-to-client-forwarding=yes local-forwarding=no name=\
    datapath-lan
/interface pppoe-client
add add-default-route=yes disabled=no interface=vlan6-internet name=internet \
    use-peer-dns=yes user=adslppp@telefonicanetpa
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=security-profile-guests
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=security-profile-lan
/caps-man configuration
add channel=2ghz-ch01-20Mhz country=spain datapath=datapath-guests mode=ap \
    name=wifi-guests-2ghz-ch01-20Mhz security=security-profile-guests ssid=\
    SSID_G
add channel=2ghz-ch01-20Mhz country=spain datapath=datapath-lan mode=ap \
    multicast-helper=full name=wifi-lan-2ghz-ch01-20Mhz security=\
    security-profile-lan ssid=SSID
add channel=5ghz-ch036-80Mhz country=spain datapath=datapath-guests mode=ap \
    name=wifi-guests-5ghz-ch036-80Mhz security=security-profile-guests ssid=\
    SSID_G
add channel=5ghz-ch036-80Mhz country=spain datapath=datapath-lan mode=ap \
    multicast-helper=full name=wifi-lan-5ghz-ch036-80Mhz security=\
    security-profile-lan ssid=SSID
add channel=2ghz-ch06-20Mhz country=spain datapath=datapath-guests mode=ap \
    name=wifi-guests-2ghz-ch06-20Mhz security=security-profile-guests ssid=\
    SSID_G
add channel=2ghz-ch11-20Mhz country=spain datapath=datapath-guests mode=ap \
    name=wifi-guests-2ghz-ch11-20Mhz security=security-profile-guests ssid=\
    SSID_G
add channel=2ghz-ch06-20Mhz country=spain datapath=datapath-lan mode=ap \
    multicast-helper=full name=wifi-lan-2ghz-ch06-20Mhz security=\
    security-profile-lan ssid=SSID
add channel=2ghz-ch11-20Mhz country=spain datapath=datapath-lan mode=ap \
    multicast-helper=full name=wifi-lan-2ghz-ch11-20Mhz security=\
    security-profile-lan ssid=SSID
add channel=5ghz-ch052-80MHz country=spain datapath=datapath-lan mode=ap \
    multicast-helper=full name=wifi-lan-5ghz-ch052-80Mhz security=\
    security-profile-lan ssid=SSID
add channel=5ghz-ch100-80Mhz country=spain datapath=datapath-lan mode=ap \
    multicast-helper=full name=wifi-lan-5ghz-ch100-80Mhz security=\
    security-profile-lan ssid=SSID
add channel=5ghz-ch052-80MHz country=spain datapath=datapath-guests mode=ap \
    name=wifi-guests-5ghz-ch052-80Mhz security=security-profile-guests ssid=\
    SSID_G
add channel=5ghz-ch100-80Mhz country=spain datapath=datapath-guests mode=ap \
    name=wifi-guests-5ghz-ch100-80Mhz security=security-profile-guests ssid=\
    SSID_G
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add comment=vlans-iptv-voip name=VLANs2&3
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-server option
add code=240 name=opch-imagenio value="':::::239.0.2.29:22222'"
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.239
add name=iptv-dhcp ranges=192.168.88.241-192.168.88.254
add name=pool-guests ranges=192.168.99.2-192.168.99.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
add address-pool=pool-guests interface=bridge-guests name=dhcp-guests
/port
set 0 name=serial0
/routing rip instance
add afi=ipv4 disabled=no name=rip
/caps-man manager
set enabled=yes
/caps-man manager interface
set [ find default=yes ] forbid=yes
add disabled=no interface=bridge
/caps-man provisioning
add action=create-dynamic-enabled comment=cAP-XL-ac-Garaje-2ghz-ch01-20Mhz \
    master-configuration=wifi-lan-2ghz-ch01-20Mhz name-format=prefix \
    name-prefix=Garaje-2ghz-ch01-20Mhz radio-mac=18:FD:74:47:83:CE \
    slave-configurations=wifi-guests-2ghz-ch01-20Mhz
add action=create-dynamic-enabled comment=cAP-XL-ac-Salon-2ghz-ch01-20Mhz \
    master-configuration=wifi-lan-2ghz-ch01-20Mhz name-format=prefix \
    name-prefix=Salon-2ghz-ch01-20Mhz radio-mac=18:FD:74:47:84:46 \
    slave-configurations=wifi-guests-2ghz-ch01-20Mhz
add action=create-dynamic-enabled comment=cAP-XL-ac-Garaje-2ghz-ch06-20Mhz \
    master-configuration=wifi-lan-2ghz-ch06-20Mhz name-format=prefix \
    name-prefix=Garaje-2ghz-ch06-20Mhz radio-mac=18:FD:74:47:83:CE \
    slave-configurations=wifi-guests-2ghz-ch06-20Mhz
add action=create-dynamic-enabled comment=cAP-XL-ac-Salon-2ghz-ch06-20Mhz \
    master-configuration=wifi-lan-2ghz-ch06-20Mhz name-format=prefix \
    name-prefix=Salon-2ghz-ch06-20Mhz radio-mac=18:FD:74:47:84:46 \
    slave-configurations=wifi-guests-2ghz-ch06-20Mhz
add action=create-dynamic-enabled comment=cAP-XL-ac-Garaje-2ghz-ch11-20Mhz \
    master-configuration=wifi-lan-2ghz-ch11-20Mhz name-format=prefix \
    name-prefix=Garaje-2ghz-ch11-20Mhz radio-mac=18:FD:74:47:83:CE \
    slave-configurations=wifi-guests-2ghz-ch11-20Mhz
add action=create-dynamic-enabled comment=cAP-XL-ac-Salon-2ghz-ch11-20Mhz \
    master-configuration=wifi-lan-2ghz-ch11-20Mhz name-format=prefix \
    name-prefix=Salon-2ghz-ch11-20Mhz radio-mac=18:FD:74:47:84:46 \
    slave-configurations=wifi-guests-2ghz-ch11-20Mhz
add action=create-dynamic-enabled comment=cAP-XL-ac-Garaje-5ghz-ch036-80Mhz \
    master-configuration=wifi-lan-5ghz-ch036-80Mhz name-format=prefix \
    name-prefix=Garaje-5ghz-ch036-80Mhz radio-mac=18:FD:74:47:83:CF \
    slave-configurations=wifi-guests-5ghz-ch036-80Mhz
add action=create-dynamic-enabled comment=cAP-XL-ac-Salon-5ghz-ch036-80Mhz \
    master-configuration=wifi-lan-5ghz-ch036-80Mhz name-format=prefix \
    name-prefix=Salon-5ghz-ch036-80Mhz radio-mac=18:FD:74:47:84:47 \
    slave-configurations=wifi-guests-5ghz-ch036-80Mhz
add action=create-dynamic-enabled comment=cAP-XL-ac-Garaje-5ghz-ch052-80Mhz \
    master-configuration=wifi-lan-5ghz-ch052-80Mhz name-format=prefix \
    name-prefix=Garaje-5ghz-ch052-80Mhz radio-mac=18:FD:74:47:83:CF \
    slave-configurations=wifi-guests-5ghz-ch052-80Mhz
add action=create-dynamic-enabled comment=cAP-XL-ac-Salon-5ghz-ch052-80Mhz \
    master-configuration=wifi-lan-5ghz-ch052-80Mhz name-format=prefix \
    name-prefix=Salon-5ghz-ch052-80Mhz radio-mac=18:FD:74:47:84:47 \
    slave-configurations=wifi-guests-5ghz-ch052-80Mhz
add action=create-dynamic-enabled comment=cAP-XL-ac-Garaje-5ghz-ch100-80Mhz \
    master-configuration=wifi-lan-5ghz-ch100-80Mhz name-format=prefix \
    name-prefix=Garaje-5ghz-ch100-80Mhz radio-mac=18:FD:74:47:83:CF \
    slave-configurations=wifi-guests-5ghz-ch100-80Mhz
add action=create-dynamic-enabled comment=cAP-XL-ac-Salon-5ghz-ch100-80Mhz \
    master-configuration=wifi-lan-5ghz-ch100-80Mhz name-format=prefix \
    name-prefix=Salon-5ghz-ch100-80Mhz radio-mac=18:FD:74:47:84:47 \
    slave-configurations=wifi-guests-5ghz-ch100-80Mhz
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=ether9
add bridge=bridge comment=defconf interface=ether10
add bridge=bridge comment=defconf interface=sfp1
/ip neighbor discovery-settings
set discover-interface-list=all
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=internet list=WAN
add interface=vlan2-iptv list=VLANs2&3
add interface=vlan3-telefono list=VLANs2&3
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
add address=10.74.255.142/10 interface=vlan2-iptv network=10.64.0.0
add address=192.168.99.1/24 interface=bridge-guests network=192.168.99.0
/ip dhcp-client
add comment=defconf interface=ether1
add add-default-route=no interface=vlan3-telefono use-peer-dns=no \
    use-peer-ntp=no
/ip dhcp-server lease
add address=192.168.88.100 client-id=1:0:11:32:f7:6f:f5 comment=xxxxx \
    mac-address=xxxxxxx server=defconf
/ip dhcp-server matcher
add address-pool=iptv-dhcp code=60 name=descos server=defconf value="[IAL]"
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=\
    192.168.88.1
add address=192.168.88.240/28 comment=iptv-network dhcp-option=opch-imagenio \
    dns-server=172.26.23.3 gateway=192.168.88.1 netmask=24
add address=192.168.99.0/24 gateway=192.168.99.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall address-list
add address=xxxxxxxx list=public-ip
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment="voip: accept rip multicast traffic" \
    dst-address=224.0.0.9 dst-port=520 in-interface-list=VLANs2&3 protocol=\
    udp
add action=accept chain=input comment="iptv: accept multicast igmp traffic" \
    in-interface=vlan2-iptv protocol=igmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=drop chain=forward comment="block guests accesing LAN" \
    dst-address=192.168.88.0/24 src-address=192.168.99.0/24
add action=drop chain=forward comment="block LAN accesing guests" \
    dst-address=192.168.99.0/24 src-address=192.168.88.0/24
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="VLANs2&3: masquerade" \
    out-interface-list=VLANs2&3
add action=dst-nat chain=dstnat comment="xxxx" dst-address-list=\
    public-ip dst-port=xxxx protocol=tcp to-addresses=192.168.88.100 to-ports=\
    xxxx
add action=masquerade chain=srcnat comment="xxxx" \
    dst-address=192.168.88.100 dst-port=xxxx protocol=tcp src-address=\
    192.168.88.0/24
/ip firewall service-port
set rtsp disabled=no
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/lcd
set default-screen=stats
/routing igmp-proxy
set query-interval=30s quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=vlan2-iptv upstream=yes
add interface=bridge
/routing rip interface-template
add instance=rip interfaces=vlan2-iptv,vlan3-telefono mode=passive
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=MocoTron
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Abuso de tu tiempo a ver como ves esto y cuando lo tengamos listo damos el salto a pasar de Bridge a VLAN :)

Gracias!
 

Adjuntos

  • Captura de Pantalla 2022-09-16 a las 13.49.06.png
    Captura de Pantalla 2022-09-16 a las 13.49.06.png
    132.4 KB · Visitas: 33
Última edición:
Arriba