MANUAL: Mikrotik, configuraciones básicas ISPs - RouterOS v7

Vale, ahora solo te queda editar las reglas de provisioning para que salón y garaje trabajen en canales distintos, tanto para 5GHz como para 2,4GHz. Es decir, pasa por ejemplo Garaje a trabajar con el canal 11 en 2,4 y al canal 100 en 5GHz.

Voy preparando lo otro.

Saludos!
 
Vale, entiendo entonces que me he pasado con el provisioning (adjunto)
 

Adjuntos

  • Captura de Pantalla 2022-09-16 a las 14.53.23.png
    Captura de Pantalla 2022-09-16 a las 14.53.23.png
    671.8 KB · Visitas: 48
Vale, entiendo entonces que me he pasado con el provisioning (adjunto)
Correcto. Cada AP lleva dos reglas de provisioning, no más. Si tienes dos APs, tienes cuatro reglas. Lo que tienes que hacer es no crear las mismas, es decir, que cada regla de provisioning lleve una configuración. Así le darás canales independientes a cada AP.

Saludos!
 
Correcto. Cada AP lleva dos reglas de provisioning, no más. Si tienes dos APs, tienes cuatro reglas. Lo que tienes que hacer es no crear las mismas, es decir, que cada regla de provisioning lleve una configuración. Así le darás canales independientes a cada AP.

Saludos!
OK, modificado entonces, muchas gracias!
 
Buenas.

He ido perfilando el tema de configuraciones y provisioning y ahora con los 3 AP's instalados cubro los canales 1, 6 y 11 en 2ghz y 36, 52 y 128 en 5ghz y la verdad que no va mal. Creo que tendría que comprobar que no se saturen entre ellos, creo que modificando la potencia de la antena no?

Adicionalmente, y de cara a la futura configuración que comentabas con VLAN en lugar de con un único bridge, entiendo que crearemos varias vlan's para sustituir el bridge actual, aunque según veo en el listado de interfaces, ya existen las vlan creadas para IPTV y telefono según tu configuración inicial de Triple Play. No acabo de entender la nueva estructura, sobre todo por beneficiarnos ante las pixelaciones de la TV por WiFi...

Llevo una saturación estos días de Mikrotik importante, pero mola el entrar a Winbox y al menos conocerte los menus y saber donde esta cada cosa aunque aún no acabe de entender como funciona :)

Gracias de nuevo!
 
Cuidado con el canal 128 que caes de lleno en la frecuencia DFS de los radares meteorológicos. No es malo, pero si la interfaz inalámbrica reinicia o cambia su configuración y se vuelve a provisionar, verás que tarda 10min en levantar. Eso pasa cuando tocas las frecuencias del rango 5600-5650.

Las potencias las bajaría sobre todo en 2,4, hasta que consigas una transición entre APs fluída. Y, dependiendo de lo cerca que estén, incluso en 5GHz. Y, si es un entorno muy congestionado, puede que incluso te toque bajar el ancho de canal de 80 a 40MHz.
La potencia la puedes bajar tanto a nivel de canal, como a nivel de configuración. No obstante, antes de tocarlo, si me haces un dibujo cutre de dónde están los APs en la vivienda, te digo lo que yo tocaría.

El tema de las VLANs te vale para segmentar la red. De la misma manera que tu operador te da cada servicio en una vlan independiente, tu harás lo mismo pero a nivel interno. No te quitarás el bridge, sino que las vlans internas irán sobre él, filtradas. Y ese filtro es lo que separará el tráfico de a qué segmento pertenece cada puerto o red wifi. Lo de cómo te va a ayudar con las pixelaciones, lo desconozco, pero desde luego es un setup más correcto que tener dos bridges.

Descansa un poco, el tema Mikrotik es un poco denso al principio, pero cuando le coges el tranquillo va rodado. Mañana le echo un rato a tu configuración y vemos cómo ajustar potencias y migrar a vlans. Pásame cuando puedas el dibujo, y me lío yo con el resto.

Saludos!
 
Cuidado con el canal 128 que caes de lleno en la frecuencia DFS de los radares meteorológicos. No es malo, pero si la interfaz inalámbrica reinicia o cambia su configuración y se vuelve a provisionar, verás que tarda 10min en levantar. Eso pasa cuando tocas las frecuencias del rango 5600-5650.

Las potencias las bajaría sobre todo en 2,4, hasta que consigas una transición entre APs fluída. Y, dependiendo de lo cerca que estén, incluso en 5GHz. Y, si es un entorno muy congestionado, puede que incluso te toque bajar el ancho de canal de 80 a 40MHz.
La potencia la puedes bajar tanto a nivel de canal, como a nivel de configuración. No obstante, antes de tocarlo, si me haces un dibujo cutre de dónde están los APs en la vivienda, te digo lo que yo tocaría.

El tema de las VLANs te vale para segmentar la red. De la misma manera que tu operador te da cada servicio en una vlan independiente, tu harás lo mismo pero a nivel interno. No te quitarás el bridge, sino que las vlans internas irán sobre él, filtradas. Y ese filtro es lo que separará el tráfico de a qué segmento pertenece cada puerto o red wifi. Lo de cómo te va a ayudar con las pixelaciones, lo desconozco, pero desde luego es un setup más correcto que tener dos bridges.

Descansa un poco, el tema Mikrotik es un poco denso al principio, pero cuando le coges el tranquillo va rodado. Mañana le echo un rato a tu configuración y vemos cómo ajustar potencias y migrar a vlans. Pásame cuando puedas el dibujo, y me lío yo con el resto.

Saludos!
Si, justo veia que tardaba la vida y he leido que era por el tema radares, incluso en la pestaña status aparecia “detecting radar”

Te paso un plano que tenia de la casa. A la izquierda planta baja y derecha planta 1

Los garabatos rojos son los AP’s :)

Y si adjunto la foto ya es la leche!!

Muchas gracias de nuevo por tu tiempo.

Saludos!
 

Adjuntos

  • 692B8D41-B428-4F3D-8BE4-F12C704692E7.jpeg
    692B8D41-B428-4F3D-8BE4-F12C704692E7.jpeg
    598.7 KB · Visitas: 43
Última edición:
Entiendo que los APs están en sus posiciones finales, ¿es así?

De entrada, bajaría la potencia de la wifi de 2,4GHz a 17dBM (la mitad, de los 20dBm que tiene por defecto), al menos en los dos APs que tienes en la planta baja. Y, si ves que alguno de los dispositivos se engancha a la wifi de 2,4GHz de arriba, estando en la planta baja, baja el de arriba también. Puedes bajar la potencia a nivel de canal (CPAsMAN -> Channels -> TX Power) o, mejor aún, sobreescribirla por cada configuración (ya sabes, como hemos dicho antes; 1 configuración = un radio de un AP). Para hacer esto último, simplemente editas la configuración en particular (CAPsMAN -> Configurations -> X -> Channel -> TX Power). Un ejemplo:
1663580812335.png


Eso lo que hace es coger los valores por defectos que tengas definidos en el "2ghz-ch01-20" (el canal que sea) y sobreescribir los valores que indiques abajo. Por ejemplo, en mi caso ese canal está puesto a 15dBm en mi casa (un 30% de la potencia original de la wifi de 2,4GHz, para que esa señal no llegue con fuerza más allá de las paredes de mi piso y se prefiera la wifi de 5Ghz para trabajar). El resultado, lo puedes ver en la pestaña Registration Table: los dispositivos, salvo incompatibilidad, prefieren siempre la wifi de 5GHz:
1663581008864.png


Viendo la disposición de los APs no creo que tengas problemas en mantener potencias y canales de 80MHz de ancho en la banda de 5GHz.
Lo que sí te recomendaría es que el AP de arriba (planta baja) y el de la primera planta, fueran los que emitieran en DFS, dejando la wifi del salón en el canal 36. Así mapearía el canal 36 a la config del salón, el 52 al AP de arriba de esa misma planta, y el canal 100 al AP de la primera planta. Sólo con eso creo que ya lo tendrías fino a nivel de señales. No obstante, lo mejor que puedes hacer es probarlo: te vas andando por la casa con un móvil o un portátil y vas viendo como saltan de AP en la pestaña registration table, donde verás a qué interface está conectado qué chisme.

Tema VLANs: antes de pasarte la config, mándame un export de cómo queda el tema una vez toques CAPsMAN para estos retoques finales. Quiero asgurarme de no joderte nada con el cambio, porque es delicado. Una vez tenga la config, te digo los pasos a seguir para meter las VLANs y no morir en el intento.

Saludos!
 
Buenas tardes @pocoyo

Muchas gracias por la explicación tan detallada.

La ubicación es final correcto. He configurado según tus indicaciones y he realizado varias pruebas y la verdad es que veo un buen funcionamiento. Como dices la mayoría de dispositivos aprovechan la red 5Ghz, salvo domotica y algún altavoz inalambrico, pero con buena recepción en toda la vivienda.

Te paso export actual. En provisioning tengo todas las opciones configuradas, pero solo habilitadas las que uso, asi si me da por cambiar deshabilito y habilito.

Código:
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2412 name=2ghz-ch01-20Mhz
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2437 name=2ghz-ch06-20Mhz
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2462 name=2ghz-ch11-20Mhz
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ceee \
    frequency=5180 name=5ghz-ch036-80Mhz
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ceee \
    frequency=5500 name=5ghz-ch100-80Mhz
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ceee \
    frequency=5260 name=5ghz-ch052-80MHz
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ceee \
    frequency=5640 name=5ghz-ch128-80Mhz
/interface bridge
add admin-mac=2C:C8:1B:EE:AE:4B auto-mac=no comment=defconf igmp-snooping=yes \
    name=bridge
add name=bridge-guests
/interface vlan
add interface=ether1 name=vlan2-iptv vlan-id=2
add interface=ether1 name=vlan3-telefono vlan-id=3
add interface=ether1 name=vlan6-internet vlan-id=6
/caps-man datapath
add bridge=bridge-guests client-to-client-forwarding=no local-forwarding=no \
    name=datapath-guests
add bridge=bridge client-to-client-forwarding=yes local-forwarding=no name=\
    datapath-lan
/interface pppoe-client
add add-default-route=yes disabled=no interface=vlan6-internet name=internet \
    use-peer-dns=yes user=adslppp@telefonicanetpa
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=security-profile-guests
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=security-profile-lan
/caps-man configuration
add channel=2ghz-ch01-20Mhz channel.tx-power=17 country=spain datapath=\
    datapath-guests mode=ap name=wifi-guests-2ghz-ch01-20Mhz security=\
    security-profile-guests ssid=SSID_G
add channel=2ghz-ch01-20Mhz channel.tx-power=17 country=spain datapath=\
    datapath-lan mode=ap multicast-helper=full name=wifi-lan-2ghz-ch01-20Mhz \
    security=security-profile-lan ssid=SSID
add channel=5ghz-ch036-80Mhz country=spain datapath=datapath-guests mode=ap \
    name=wifi-guests-5ghz-ch036-80Mhz security=security-profile-guests ssid=\
    SSID_G
add channel=5ghz-ch036-80Mhz country=spain datapath=datapath-lan mode=ap \
    multicast-helper=full name=wifi-lan-5ghz-ch036-80Mhz security=\
    security-profile-lan ssid=SSID
add channel=2ghz-ch06-20Mhz channel.tx-power=17 country=spain datapath=\
    datapath-guests mode=ap name=wifi-guests-2ghz-ch06-20Mhz security=\
    security-profile-guests ssid=SSID_G
add channel=2ghz-ch11-20Mhz channel.tx-power=17 country=spain datapath=\
    datapath-guests mode=ap name=wifi-guests-2ghz-ch11-20Mhz security=\
    security-profile-guests ssid=SSID_G
add channel=2ghz-ch06-20Mhz channel.tx-power=17 country=spain datapath=\
    datapath-lan mode=ap multicast-helper=full name=wifi-lan-2ghz-ch06-20Mhz \
    security=security-profile-lan ssid=SSID
add channel=2ghz-ch11-20Mhz channel.tx-power=17 country=spain datapath=\
    datapath-lan mode=ap multicast-helper=full name=wifi-lan-2ghz-ch11-20Mhz \
    security=security-profile-lan ssid=SSID
add channel=5ghz-ch052-80MHz country=spain datapath=datapath-lan mode=ap \
    multicast-helper=full name=wifi-lan-5ghz-ch052-80Mhz security=\
    security-profile-lan ssid=SSID
add channel=5ghz-ch100-80Mhz country=spain datapath=datapath-lan mode=ap \
    multicast-helper=full name=wifi-lan-5ghz-ch100-80Mhz security=\
    security-profile-lan ssid=SSID
add channel=5ghz-ch052-80MHz country=spain datapath=datapath-guests mode=ap \
    name=wifi-guests-5ghz-ch052-80Mhz security=security-profile-guests ssid=\
    SSID_G
add channel=5ghz-ch100-80Mhz country=spain datapath=datapath-guests mode=ap \
    name=wifi-guests-5ghz-ch100-80Mhz security=security-profile-guests ssid=\
    SSID_G
add channel=5ghz-ch128-80Mhz country=spain datapath=datapath-lan mode=ap \
    multicast-helper=full name=wifi-lan-5ghz-ch128-80Mhz security=\
    security-profile-lan ssid=SSID
add channel=5ghz-ch128-80Mhz country=spain datapath=datapath-guests mode=ap \
    name=wifi-guests-5ghz-ch128-80Mhz security=security-profile-guests ssid=\
    SSID_G
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add comment=vlans-iptv-voip name=VLANs2&3
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-server option
add code=240 name=opch-imagenio value="':::::239.0.2.29:22222'"
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.239
add name=iptv-dhcp ranges=192.168.88.241-192.168.88.254
add name=pool-guests ranges=192.168.99.2-192.168.99.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
add address-pool=pool-guests interface=bridge-guests name=dhcp-guests
/port
set 0 name=serial0
/routing rip instance
add afi=ipv4 disabled=no name=rip
/caps-man manager
set enabled=yes
/caps-man manager interface
set [ find default=yes ] forbid=yes
add disabled=no interface=bridge
/caps-man provisioning
add action=create-dynamic-enabled comment=cAP-XL-ac-Garaje-2ghz-ch01-20Mhz \
    master-configuration=wifi-lan-2ghz-ch01-20Mhz name-format=prefix \
    name-prefix=Garaje-2ghz-ch01-20Mhz radio-mac=18:FD:74:47:83:CE \
    slave-configurations=wifi-guests-2ghz-ch01-20Mhz
add action=create-dynamic-enabled comment=cAP-XL-ac-Garaje-2ghz-ch11-20Mhz \
    disabled=yes master-configuration=wifi-lan-2ghz-ch11-20Mhz name-format=\
    prefix name-prefix=Garaje-2ghz-ch11-20Mhz radio-mac=18:FD:74:47:83:CE \
    slave-configurations=wifi-guests-2ghz-ch11-20Mhz
add action=create-dynamic-enabled comment=cAP-XL-ac-Garaje-2ghz-ch06-20Mhz \
    disabled=yes master-configuration=wifi-lan-2ghz-ch06-20Mhz name-format=\
    prefix name-prefix=Garaje-2ghz-ch06-20Mhz radio-mac=18:FD:74:47:83:CE \
    slave-configurations=wifi-guests-2ghz-ch06-20Mhz
add action=create-dynamic-enabled comment=cAP-XL-ac-Garaje-5ghz-ch036-80Mhz \
    disabled=yes master-configuration=wifi-lan-5ghz-ch036-80Mhz name-format=\
    prefix name-prefix=Garaje-5ghz-ch036-80Mhz radio-mac=18:FD:74:47:83:CF \
    slave-configurations=wifi-guests-5ghz-ch036-80Mhz
add action=create-dynamic-enabled comment=cAP-XL-ac-Garaje-5ghz-ch052-80Mhz \
    master-configuration=wifi-lan-5ghz-ch052-80Mhz name-format=prefix \
    name-prefix=Garaje-5ghz-ch052-80Mhz radio-mac=18:FD:74:47:83:CF \
    slave-configurations=wifi-guests-5ghz-ch052-80Mhz
add action=create-dynamic-enabled comment=cAP-XL-ac-Garaje-5ghz-ch100-80Mhz \
    disabled=yes master-configuration=wifi-lan-5ghz-ch100-80Mhz name-format=\
    prefix name-prefix=Garaje-5ghz-ch100-80Mhz radio-mac=18:FD:74:47:83:CF \
    slave-configurations=wifi-guests-5ghz-ch100-80Mhz
add action=create-dynamic-enabled comment=cAP-XL-ac-Garaje-5ghz-ch128-80Mhz \
    disabled=yes master-configuration=wifi-lan-5ghz-ch128-80Mhz name-format=\
    prefix name-prefix=Garaje-5ghz-ch128-80Mhz radio-mac=18:FD:74:47:83:CF \
    slave-configurations=wifi-guests-5ghz-ch128-80Mhz
add action=create-dynamic-enabled comment=cAP-XL-ac-Salon-2ghz-ch01-20Mhz \
    disabled=yes master-configuration=wifi-lan-2ghz-ch01-20Mhz name-format=\
    prefix name-prefix=Salon-2ghz-ch01-20Mhz radio-mac=18:FD:74:47:84:46 \
    slave-configurations=wifi-guests-2ghz-ch01-20Mhz
add action=create-dynamic-enabled comment=cAP-XL-ac-Salon-2ghz-ch06-20Mhz \
    master-configuration=wifi-lan-2ghz-ch06-20Mhz name-format=prefix \
    name-prefix=Salon-2ghz-ch06-20Mhz radio-mac=18:FD:74:47:84:46 \
    slave-configurations=wifi-guests-2ghz-ch06-20Mhz
add action=create-dynamic-enabled comment=cAP-XL-ac-Salon-2ghz-ch11-20Mhz \
    disabled=yes master-configuration=wifi-lan-2ghz-ch11-20Mhz name-format=\
    prefix name-prefix=Salon-2ghz-ch11-20Mhz radio-mac=18:FD:74:47:84:46 \
    slave-configurations=wifi-guests-2ghz-ch11-20Mhz
add action=create-dynamic-enabled comment=cAP-XL-ac-Salon-5ghz-ch036-80Mhz \
    master-configuration=wifi-lan-5ghz-ch036-80Mhz name-format=prefix \
    name-prefix=Salon-5ghz-ch036-80Mhz radio-mac=18:FD:74:47:84:47 \
    slave-configurations=wifi-guests-5ghz-ch036-80Mhz
add action=create-dynamic-enabled comment=cAP-XL-ac-Salon-5ghz-ch052-80Mhz \
    disabled=yes master-configuration=wifi-lan-5ghz-ch052-80Mhz name-format=\
    prefix name-prefix=Salon-5ghz-ch052-80Mhz radio-mac=18:FD:74:47:84:47 \
    slave-configurations=wifi-guests-5ghz-ch052-80Mhz
add action=create-dynamic-enabled comment=cAP-XL-ac-Salon-5ghz-ch100-80Mhz \
    disabled=yes master-configuration=wifi-lan-5ghz-ch100-80Mhz name-format=\
    prefix name-prefix=Salon-5ghz-ch100-80Mhz radio-mac=18:FD:74:47:84:47 \
    slave-configurations=wifi-guests-5ghz-ch100-80Mhz
add action=create-dynamic-enabled comment=cAP-XL-ac-Salon-5ghz-ch128-80Mhz \
    disabled=yes master-configuration=wifi-lan-5ghz-ch128-80Mhz name-format=\
    prefix name-prefix=Salon-5ghz-ch128-80Mhz radio-mac=18:FD:74:47:84:47 \
    slave-configurations=wifi-guests-5ghz-ch128-80Mhz
add action=create-dynamic-enabled comment=cAP-XL-ac-Estudio-2ghz-ch01-20Mhz \
    disabled=yes master-configuration=wifi-lan-2ghz-ch01-20Mhz name-format=\
    prefix name-prefix=Estudio-2ghz-ch01-20Mhz radio-mac=18:FD:74:47:83:C6 \
    slave-configurations=wifi-guests-2ghz-ch01-20Mhz
add action=create-dynamic-enabled comment=cAP-XL-ac-Estudio-2ghz-ch06-20Mhz \
    disabled=yes master-configuration=wifi-lan-2ghz-ch06-20Mhz name-format=\
    prefix name-prefix=Estudio-2ghz-ch06-20Mhz radio-mac=18:FD:74:47:83:C6 \
    slave-configurations=wifi-guests-2ghz-ch06-20Mhz
add action=create-dynamic-enabled comment=cAP-XL-ac-Estudio-2ghz-ch11-20Mhz \
    master-configuration=wifi-lan-2ghz-ch11-20Mhz name-format=prefix \
    name-prefix=Estudio-2ghz-ch11-20Mhz radio-mac=18:FD:74:47:83:C6 \
    slave-configurations=wifi-guests-2ghz-ch11-20Mhz
add action=create-dynamic-enabled comment=cAP-XL-ac-Estudio-5ghz-ch036-80Mhz \
    disabled=yes master-configuration=wifi-lan-5ghz-ch036-80Mhz name-format=\
    prefix name-prefix=Estudio-5ghz-ch036-80Mhz radio-mac=18:FD:74:47:83:C7 \
    slave-configurations=wifi-guests-5ghz-ch036-80Mhz
add action=create-dynamic-enabled comment=cAP-XL-ac-Estudio-5ghz-ch052-80Mhz \
    disabled=yes master-configuration=wifi-lan-5ghz-ch052-80Mhz name-format=\
    prefix name-prefix=Estudio-5ghz-ch052-80Mhz radio-mac=18:FD:74:47:83:C7 \
    slave-configurations=wifi-guests-5ghz-ch052-80Mhz
add action=create-dynamic-enabled comment=cAP-XL-ac-Estudio-5ghz-ch100-80Mhz \
    master-configuration=wifi-lan-5ghz-ch100-80Mhz name-format=prefix \
    name-prefix=Estudio-5ghz-ch100-80Mhz radio-mac=18:FD:74:47:83:C7 \
    slave-configurations=wifi-guests-5ghz-ch100-80Mhz
add action=create-dynamic-enabled comment=cAP-XL-ac-Estudio-5ghz-ch128-80Mhz \
    disabled=yes master-configuration=wifi-lan-5ghz-ch128-80Mhz name-format=\
    prefix name-prefix=Estudio-5ghz-ch128-80Mhz radio-mac=18:FD:74:47:83:C7 \
    slave-configurations=wifi-guests-5ghz-ch128-80Mhz
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=ether9
add bridge=bridge comment=defconf interface=ether10
add bridge=bridge comment=defconf interface=sfp1
/ip neighbor discovery-settings
set discover-interface-list=all
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=internet list=WAN
add interface=vlan2-iptv list=VLANs2&3
add interface=vlan3-telefono list=VLANs2&3
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
add address=10.74.255.142/10 interface=vlan2-iptv network=10.64.0.0
add address=192.168.99.1/24 interface=bridge-guests network=192.168.99.0
/ip dhcp-client
add comment=defconf interface=ether1 use-peer-dns=no
add add-default-route=no interface=vlan3-telefono use-peer-dns=no \
    use-peer-ntp=no
/ip dhcp-server lease
add address=192.168.88.100 client-id=1:0:11:32:f7:6f:f5 comment=XXXXXX \
    mac-address=XXXXXX server=defconf
/ip dhcp-server matcher
add address-pool=iptv-dhcp code=60 name=descos server=defconf value="[IAL]"
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=\
    192.168.88.100,192.168.88.1 gateway=192.168.88.1
add address=192.168.88.240/28 comment=iptv-network dhcp-option=opch-imagenio \
    dns-server=172.26.23.3 gateway=192.168.88.1 netmask=24
add address=192.168.99.0/24 gateway=192.168.99.1
/ip dns
set allow-remote-requests=yes servers=192.168.88.100
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall address-list
add address=XXXXXX list=public-ip
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment="voip: accept rip multicast traffic" \
    dst-address=224.0.0.9 dst-port=520 in-interface-list=VLANs2&3 protocol=\
    udp
add action=accept chain=input comment="iptv: accept multicast igmp traffic" \
    in-interface=vlan2-iptv protocol=igmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=drop chain=forward comment="block guests accesing LAN" \
    dst-address=192.168.88.0/24 src-address=192.168.99.0/24
add action=drop chain=forward comment="block LAN accesing guests" \
    dst-address=192.168.99.0/24 src-address=192.168.88.0/24
/ip firewall nat
add action=redirect chain=dstnat comment=\
    "Interceptar conexiones DNS Pi Hole (TCP XXXXXX)" dst-port=XXXXXX in-interface=\
    bridge log=yes log-prefix=redirect/DNS protocol=tcp src-address=\
    XXXXXX to-ports=XXXXXX
add action=redirect chain=dstnat comment=\
    "Interceptar conexiones DNS Pi Hole (UDP XXXXXX)" dst-port=XXXXXX in-interface=\
    bridge log=yes log-prefix=redirect/DNS protocol=udp src-address=\
    XXXXXX to-ports=XXXXXX
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="VLANs2&3: masquerade" \
    out-interface-list=VLANs2&3
add action=dst-nat chain=dstnat comment="XXXXXX" dst-address-list=\
    public-ip dst-port=XXXXXX protocol=tcp to-addresses=XXXXXX to-ports=\
    XXXXXX
add action=dst-nat chain=dstnat comment="XXXXXX" dst-address-list=\
    public-ip dst-port=XXXXXX protocol=tcp to-addresses=XXXXXX to-ports=\
    XXXXXX
add action=masquerade chain=srcnat comment="XXXXXX" \
    dst-address=XXXXXX dst-port=XXXXXX protocol=tcp src-address=\
    192.168.88.0/24
add action=masquerade chain=srcnat comment="XXXXXX" \
    dst-address=XXXXXX dst-port=XXXXXX protocol=tcp src-address=\
    192.168.88.0/24
/ip firewall service-port
set rtsp disabled=no
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/lcd
set backlight-timeout=never default-screen=stats
/routing igmp-proxy
set query-interval=30s quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=vlan2-iptv upstream=yes
add interface=bridge
/routing rip interface-template
add instance=rip interfaces=vlan2-iptv,vlan3-telefono mode=passive
/system clock
set time-zone-name=Europe/Madrid
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Muchas gracias de nuevo por tu ayuda.

Un saludo!!
 
Te paso el script para montar las VLANs y usarlas correctamente. Para que no sea disruptivo, no he reusado las subredes que tienes ahora mismo. No obstante, una vez puesto en marcha, se pueden modificar los pools y DHCP servers y direcciones de las interfaces para poner la .88 y .99 como tienes ahora mismo (las he movido a la .188 y .199 respectivamente).
Cuando ejecutes el la última instrucción perderás acceso al equipo, y simplemente desconectando el cable de red y reconectando deberías estar ya en la VLAN 188, saliendo por una IP con ese direccionamiento. Antes de aplicar el script, has un backup de lo que tienes porfa (FIles -> Backup -> y te lo descargas). Si quieres ejecutar esto de un tirón, mételo en un fichero con extensión .rsc, lo subes al router vía winbox, y desde terminal haces un "import fichero.rsc". Perderás momentáneamente la conexión al equipo pero se debe restarurar tan pronto renueves el lease del DHCP.
Código:
# Creamos las dos vlans que representarán tu red: lan y guests
/interface vlan
add interface=bridge name=vlan-lan vlan-id=188
add interface=bridge name=vlan-guests vlan-id=199 arp=reply-only

# Las direccionamos (luego puedes volve a la 88 y 99, cuando borremos lo viejo)
/ip address
add address=192.168.188.1/24 interface=vlan-lan
add address=192.168.199.1/24 interface=vlan-guests

# Creamos los nuevos pools de direcciones
/ip pool
add name=dhcp-lan ranges=192.168.188.10-192.168.188.254
add name=dhcp-guests ranges=192.168.199.2-192.168.199.254

# Creamos los nuevos servidores DHCP
/ip dhcp-server
add address-pool=dhcp-lan interface=vlan-lan name=dhcp-lan
add address-pool=dhcp-guests interface=vlan-guests name=dhcp-guests add-arp=yes

# Creamos las nuevas subredes para el DHCP
/ip dhcp-server network
add address=192.168.188.0/24 comment=lan dns-server=192.168.188.1 gateway=192.168.188.1 netmask=24
add address=192.168.199.0/24 comment=guests dns-server=8.8.8.8,8.8.4.4 gateway=192.168.199.1 netmask=32

# Asignamos todos los puertos a la nueva VLAN 188 (puedes meter alguno en la 199 para probar)
/interface bridge port
set [find interface=ether2] frame-types=admit-only-untagged-and-priority-tagged pvid=188
set [find interface=ether3] frame-types=admit-only-untagged-and-priority-tagged pvid=188
set [find interface=ether4] frame-types=admit-only-untagged-and-priority-tagged pvid=188
set [find interface=ether5] frame-types=admit-only-untagged-and-priority-tagged pvid=188
set [find interface=ether6] frame-types=admit-only-untagged-and-priority-tagged pvid=188
set [find interface=ether7] frame-types=admit-only-untagged-and-priority-tagged pvid=188
set [find interface=ether8] frame-types=admit-only-untagged-and-priority-tagged pvid=188
set [find interface=ether9] frame-types=admit-only-untagged-and-priority-tagged pvid=188
set [find interface=ether10] frame-types=admit-only-untagged-and-priority-tagged pvid=188
set [find interface=sfp1] frame-types=admit-only-untagged-and-priority-tagged pvid=188

# Creamos una nueva lista para las vlans que queramos aislar
# (de momento una, guests, pero lo dejo abierto a futuro)
/interface list
add name=ISOLATED

# Metemos cada vlan en su lista correspondiente
/interface list member
add interface=vlan-lan list=LAN
add interface=vlan-guests list=ISOLATED

# Metemos una relag que sólo permita salir a internet a lo que esté en la lista ISOLATED
/ip firewall filter
add action=reject chain=forward comment="vlans: guests can only access internet" in-interface-list=\
  ISOLATED out-interface-list=!WAN reject-with=icmp-network-unreachable

# Damos de alta las vlans a filtrar en el bridge.
/interface bridge vlan
add bridge=bridge comment=lan tagged=bridge vlan-ids=188
add bridge=bridge comment=guests tagged=bridge vlan-ids=199

# Modificamos los datapath de CAPsMAN, para que ahora trabajen con vlans
/caps-man datapath
set [find name=datapath-lan] bridge=bridge client-to-client-forwarding=yes local-forwarding=no \
  vlan-mode=use-tag vlan-id=188
set [find name=datapath-guests] bridge=bridge client-to-client-forwarding=no local-forwarding=no \
  vlan-mode=use-tag vlan-id=199

# Permitimos que sobre la nueva intervaz vlan-lan corra CAPsMAN
/caps-man manager interface
add disabled=no interface=vlan-lan

# Habilitamos el bridge vlan filtering
/interface bridge
set 0 frame-types=admit-only-vlan-tagged vlan-filtering=yes

Prueba y me cuentas, no hay prisa, cuando puedas.

Saludos!
 
Última edición:
Gracias a Pokoyo por el curro!!
Funcionando a la perfección!
Aunque lo he configurado sin el setup por defecto por intentar ir aprendiendo/recordando sobre Mikrotik.
Te importa si te paso la cofig y le das un vistazo para ver si tengo algo mal optimizado o el tema del firewall que no tengo claro como tener algo basico??.

Gracias!
 
Te paso el script para montar las VLANs y usarlas correctamente. Para que no sea disruptivo, no he reusado las subredes que tienes ahora mismo. No obstante, una vez puesto en marcha, se pueden modificar los pools y DHCP servers y direcciones de las interfaces para poner la .88 y .99 como tienes ahora mismo (las he movido a la .188 y .199 respectivamente).
Cuando ejecutes el la última instrucción perderás acceso al equipo, y simplemente desconectando el cable de red y reconectando deberías estar ya en la VLAN 188, saliendo por una IP con ese direccionamiento. Antes de aplicar el script, has un backup de lo que tienes porfa (FIles -> Backup -> y te lo descargas). Si quieres ejecutar esto de un tirón, mételo en un fichero con extensión .rsc, lo subes al router vía winbox, y desde terminal haces un "import fichero.rsc". Perderás momentáneamente la conexión al equipo pero se debe restarurar tan pronto renueves el lease del DHCP.
Código:
# Creamos las dos vlans que representarán tu red: lan y guests
/interface vlan
add interface=bridge name=vlan-lan vlan-id=188
add interface=bridge name=vlan-guests vlan-id=199 arp=reply-only

# Las direccionamos (luego puedes volve a la 88 y 99, cuando borremos lo viejo)
/ip address
add address=192.168.188.1/24 interface=vlan-lan
add address=192.168.199.1/24 interface=vlan-guests

# Creamos los nuevos pools de direcciones
/ip pool
add name=dhcp-lan ranges=192.168.188.10-192.168.188.254
add name=dhcp-guests ranges=192.168.199.2-192.168.199.254

# Creamos los nuevos servidores DHCP
/ip dhcp-server
add address-pool=dhcp-lan interface=vlan-lan name=dhcp-lan
add address-pool=dhcp-guests interface=vlan-guests name=dhcp-guests add-arp=yes

# Creamos las nuevas subredes para el DHCP
/ip dhcp-server network
add address=192.168.188.0/24 comment=lan dns-server=192.168.188.1 gateway=192.168.188.1 netmask=24
add address=192.168.199.0/24 comment=guests dns-server=8.8.8.8,8.8.4.4 gateway=192.168.199.1 netmask=32

# Asignamos todos los puertos a la nueva VLAN 188 (puedes meter alguno en la 199 para probar)
/interface bridge port
set [find interface=ether2] frame-types=admit-only-untagged-and-priority-tagged pvid=188
set [find interface=ether3] frame-types=admit-only-untagged-and-priority-tagged pvid=188
set [find interface=ether4] frame-types=admit-only-untagged-and-priority-tagged pvid=188
set [find interface=ether5] frame-types=admit-only-untagged-and-priority-tagged pvid=188
set [find interface=ether6] frame-types=admit-only-untagged-and-priority-tagged pvid=188
set [find interface=ether7] frame-types=admit-only-untagged-and-priority-tagged pvid=188
set [find interface=ether8] frame-types=admit-only-untagged-and-priority-tagged pvid=188
set [find interface=ether9] frame-types=admit-only-untagged-and-priority-tagged pvid=188
set [find interface=ether10] frame-types=admit-only-untagged-and-priority-tagged pvid=188
set [find interface=sfp1] frame-types=admit-only-untagged-and-priority-tagged pvid=188

# Creamos una nueva lista para las vlans que queramos aislar
# (de momento una, guests, pero lo dejo abierto a futuro)
/interface list
add name=ISOLATED

# Metemos cada vlan en su lista correspondiente
/interface list member
add interface=vlan-lan list=LAN
add interface=vlan-guests list=ISOLATED

# Metemos una relag que sólo permita salir a internet a lo que esté en la lista ISOLATED
/ip firewall filter
add action=reject chain=forward comment="vlans: guests can only access internet" in-interface-list=\
  ISOLATED out-interface-list=!WAN reject-with=icmp-network-unreachable

# Damos de alta las vlans a filtrar en el bridge.
/interface bridge vlan
add bridge=bridge comment=lan tagged=bridge vlan-ids=188
add bridge=bridge comment=guests tagged=bridge vlan-ids=199

# Modificamos los datapath de CAPsMAN, para que ahora trabajen con vlans
/caps-man datapath
set [find name=datapath-lan] bridge=bridge client-to-client-forwarding=yes local-forwarding=no \
  vlan-mode=use-tag vlan-id=188
set [find name=datapath-guests] bridge=bridge client-to-client-forwarding=no local-forwarding=no \
  vlan-mode=use-tag vlan-id=199

# Permitimos que sobre la nueva intervaz vlan-lan corra CAPsMAN
/caps-man manager interface
add disabled=no interface=vlan-lan

# Habilitamos el bridge vlan filtering
/interface bridge
set 0 frame-types=admit-only-vlan-tagged vlan-filtering=yes

Prueba y me cuentas, no hay prisa, cuando puedas.

Saludos!
Gracias @pocoyo

Pruebo con calma durante estos días y te cuento

Saludos y gracias de nuevo por el curro!
 
Gracias a Pokoyo por el curro!!
Funcionando a la perfección!
Aunque lo he configurado sin el setup por defecto por intentar ir aprendiendo/recordando sobre Mikrotik.
Te importa si te paso la cofig y le das un vistazo para ver si tengo algo mal optimizado o el tema del firewall que no tengo claro como tener algo basico??.

Gracias!
Dale, sin miedo.

Saludos!
 
Dale, sin miedo.

Saludos!
Te la paso!!
Gracias de nuevo.
Código:
/interface bridge
add igmp-snooping=yes igmp-version=3 name=bridge1
/interface ethernet
set [ find default-name=ether1 ] speed=100Mbps
set [ find default-name=ether2 ] speed=100Mbps
set [ find default-name=ether3 ] speed=100Mbps
set [ find default-name=ether4 ] speed=100Mbps
set [ find default-name=ether5 ] speed=100Mbps
set [ find default-name=ether6 ] disabled=yes speed=100Mbps
set [ find default-name=ether7 ] disabled=yes speed=100Mbps
set [ find default-name=sfp-sfpplus1 ] advertise=\
    10M-full,100M-full,1000M-full auto-negotiation=no speed=2.5Gbps
/interface wireguard
add listen-port=13231 mtu=1420 name=WireGuardVPN
/interface vlan
add interface=sfp-sfpplus1 name=vlan6 vlan-id=635
/interface bonding
add mode=802.3ad name=Trunk slaves=ether1,ether2 transmit-hash-policy=\
    layer-2-and-3
/interface pppoe-client
add add-default-route=yes allow=pap,chap disabled=no interface=vlan6 max-mru=\
    1492 max-mtu=1492 name=pppoe-internet use-peer-dns=yes user=\
    adslppp@telefonicanetpa
/interface list
add name=WAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=192.168.2.100-192.168.2.249
/ip dhcp-server
add address-pool=dhcp_pool0 interface=bridge1 name=dhcp1
/port
set 0 name=serial0
set 1 name=serial1
/snmp community
set [ find default=yes ] addresses=0.0.0.0/0
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
    sword,web,sniff,sensitive,api,romon,dude,rest-api"
/interface bridge port
add bridge=bridge1 interface=Trunk
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=combo1
/ip neighbor discovery-settings
set discover-interface-list=!WAN
/ip settings
set tcp-syncookies=yes
/ipv6 settings
set disable-ipv6=yes
/interface list member
add interface=pppoe-internet list=WAN
add interface=vlan6 list=WAN
add interface=sfp-sfpplus1 list=WAN
/interface wireguard peers
add allowed-address=10.11.11.5/32 comment=Iphone endpoint-port=13231 \
    interface=WireGuardVPN public-key=\
    "xxxxxxx"
add allowed-address=10.11.11.6/32 comment=Ipad endpoint-port=13231 interface=\
    WireGuardVPN public-key="xxxxxxx"
add allowed-address=10.11.11.7/32 comment=Thinkpad endpoint-port=13231 \
    interface=WireGuardVPN public-key=\
    "xxxxxx"
/ip address
add address=192.168.2.1/24 interface=bridge1 network=192.168.2.0
add address=192.168.1.3/24 interface=sfp-sfpplus1 network=192.168.1.0
add address=10.11.11.1/24 interface=WireGuardVPN network=10.11.11.0
/ip dhcp-server lease
add address=192.168.2.37 comment=PhilipsTV mac-address=1C:5A:6B:68:BB:58 \
    server=dhcp1
add address=192.168.2.60 comment=Tado mac-address=EC:E5:12:15:1D:47 server=\
    dhcp1
add address=192.168.2.88 comment="Luz Despacho" mac-address=64:90:C1:86:0B:F4 \
    server=dhcp1
add address=192.168.2.89 comment=YeelightDesp2 mac-address=5C:E5:0C:E1:8C:62 \
    server=dhcp1
add address=192.168.2.119 comment="Ikea GW" mac-address=C4:AC:59:EA:8F:B3 \
    server=dhcp1
add address=192.168.2.121 comment="Luz SalonTV" mac-address=44:23:7C:88:45:73 \
    server=dhcp1
add address=192.168.2.122 comment="Luz SalonMesa" mac-address=\
    44:23:7C:89:73:02 server=dhcp1
add address=192.168.2.231 comment="Xiaomi GW" mac-address=7C:49:EB:1A:43:6E \
    server=dhcp1
add address=192.168.2.216 comment=YeelightDesp1 mac-address=7C:49:EB:B7:6A:4C \
    server=dhcp1
add address=192.168.2.197 comment="PC Sobremesa" mac-address=\
    30:5A:3A:4B:8A:A5 server=dhcp1
add address=192.168.2.128 mac-address=54:48:E6:58:BE:28 server=dhcp1
/ip dhcp-server network
add address=192.168.2.0/24 dns-server=1.1.1.1,8.8.8.8 gateway=192.168.2.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,8.8.8.8
/ip firewall address-list
add address=192.168.2.0/24 list=LAN
add address=xxxxxx list=WAN
/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=\
    established,related hw-offload=yes
add action=accept chain=forward connection-state=established,related
add action=drop chain=forward connection-state=invalid
add action=accept chain=input comment=Default connection-state=\
    established,related
add action=accept chain=input comment=Default src-address-list=LAN
add action=accept chain=input in-interface=WireGuardVPN
add action=accept chain=input comment=ICMP protocol=icmp
add action=accept chain=input dst-port=13231 protocol=udp
add action=drop chain=input comment=Default in-interface=bridge1
add action=drop chain=forward connection-nat-state=!dstnat in-interface-list=\
    WAN
add action=drop chain=input comment=Default
/ip firewall mangle
add action=passthrough chain=prerouting disabled=yes
/ip firewall nat
add action=masquerade chain=srcnat comment="NAT Hairpin" dst-address=\
    192.168.2.0/24 src-address=192.168.2.0/24
add action=masquerade chain=srcnat comment="Default NAT" out-interface-list=\
    WAN
add action=dst-nat chain=dstnat comment=Hassio dst-address-list=WAN dst-port=\
    8124 protocol=tcp to-addresses=192.168.2.43 to-ports=8123
/ip firewall service-port
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge1 type=internal
add interface=pppoe-internet type=external
/system clock
set time-zone-name=Europe/Madrid
/system ntp client
set enabled=yes
/system ntp client servers
add address=129.6.15.29
add address=0.es.pool.ntp.org
/system watchdog
set watchdog-timer=no
/tool bandwidth-server
set enabled=no
 
Te la paso!!
Gracias de nuevo.
Código:
/interface bridge
add igmp-snooping=yes igmp-version=3 name=bridge1
/interface ethernet
set [ find default-name=ether1 ] speed=100Mbps
set [ find default-name=ether2 ] speed=100Mbps
set [ find default-name=ether3 ] speed=100Mbps
set [ find default-name=ether4 ] speed=100Mbps
set [ find default-name=ether5 ] speed=100Mbps
set [ find default-name=ether6 ] disabled=yes speed=100Mbps
set [ find default-name=ether7 ] disabled=yes speed=100Mbps
set [ find default-name=sfp-sfpplus1 ] advertise=\
    10M-full,100M-full,1000M-full auto-negotiation=no speed=2.5Gbps
/interface wireguard
add listen-port=13231 mtu=1420 name=WireGuardVPN
/interface vlan
add interface=sfp-sfpplus1 name=vlan6 vlan-id=635
/interface bonding
add mode=802.3ad name=Trunk slaves=ether1,ether2 transmit-hash-policy=\
    layer-2-and-3
/interface pppoe-client
add add-default-route=yes allow=pap,chap disabled=no interface=vlan6 max-mru=\
    1492 max-mtu=1492 name=pppoe-internet use-peer-dns=yes user=\
    adslppp@telefonicanetpa
/interface list
add name=WAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=192.168.2.100-192.168.2.249
/ip dhcp-server
add address-pool=dhcp_pool0 interface=bridge1 name=dhcp1
/port
set 0 name=serial0
set 1 name=serial1
/snmp community
set [ find default=yes ] addresses=0.0.0.0/0
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
    sword,web,sniff,sensitive,api,romon,dude,rest-api"
/interface bridge port
add bridge=bridge1 interface=Trunk
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=combo1
/ip neighbor discovery-settings
set discover-interface-list=!WAN
/ip settings
set tcp-syncookies=yes
/ipv6 settings
set disable-ipv6=yes
/interface list member
add interface=pppoe-internet list=WAN
add interface=vlan6 list=WAN
add interface=sfp-sfpplus1 list=WAN
/interface wireguard peers
add allowed-address=10.11.11.5/32 comment=Iphone endpoint-port=13231 \
    interface=WireGuardVPN public-key=\
    "xxxxxxx"
add allowed-address=10.11.11.6/32 comment=Ipad endpoint-port=13231 interface=\
    WireGuardVPN public-key="xxxxxxx"
add allowed-address=10.11.11.7/32 comment=Thinkpad endpoint-port=13231 \
    interface=WireGuardVPN public-key=\
    "xxxxxx"
/ip address
add address=192.168.2.1/24 interface=bridge1 network=192.168.2.0
add address=192.168.1.3/24 interface=sfp-sfpplus1 network=192.168.1.0
add address=10.11.11.1/24 interface=WireGuardVPN network=10.11.11.0
/ip dhcp-server lease
add address=192.168.2.37 comment=PhilipsTV mac-address=1C:5A:6B:68:BB:58 \
    server=dhcp1
add address=192.168.2.60 comment=Tado mac-address=EC:E5:12:15:1D:47 server=\
    dhcp1
add address=192.168.2.88 comment="Luz Despacho" mac-address=64:90:C1:86:0B:F4 \
    server=dhcp1
add address=192.168.2.89 comment=YeelightDesp2 mac-address=5C:E5:0C:E1:8C:62 \
    server=dhcp1
add address=192.168.2.119 comment="Ikea GW" mac-address=C4:AC:59:EA:8F:B3 \
    server=dhcp1
add address=192.168.2.121 comment="Luz SalonTV" mac-address=44:23:7C:88:45:73 \
    server=dhcp1
add address=192.168.2.122 comment="Luz SalonMesa" mac-address=\
    44:23:7C:89:73:02 server=dhcp1
add address=192.168.2.231 comment="Xiaomi GW" mac-address=7C:49:EB:1A:43:6E \
    server=dhcp1
add address=192.168.2.216 comment=YeelightDesp1 mac-address=7C:49:EB:B7:6A:4C \
    server=dhcp1
add address=192.168.2.197 comment="PC Sobremesa" mac-address=\
    30:5A:3A:4B:8A:A5 server=dhcp1
add address=192.168.2.128 mac-address=54:48:E6:58:BE:28 server=dhcp1
/ip dhcp-server network
add address=192.168.2.0/24 dns-server=1.1.1.1,8.8.8.8 gateway=192.168.2.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,8.8.8.8
/ip firewall address-list
add address=192.168.2.0/24 list=LAN
add address=xxxxxx list=WAN
/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=\
    established,related hw-offload=yes
add action=accept chain=forward connection-state=established,related
add action=drop chain=forward connection-state=invalid
add action=accept chain=input comment=Default connection-state=\
    established,related
add action=accept chain=input comment=Default src-address-list=LAN
add action=accept chain=input in-interface=WireGuardVPN
add action=accept chain=input comment=ICMP protocol=icmp
add action=accept chain=input dst-port=13231 protocol=udp
add action=drop chain=input comment=Default in-interface=bridge1
add action=drop chain=forward connection-nat-state=!dstnat in-interface-list=\
    WAN
add action=drop chain=input comment=Default
/ip firewall mangle
add action=passthrough chain=prerouting disabled=yes
/ip firewall nat
add action=masquerade chain=srcnat comment="NAT Hairpin" dst-address=\
    192.168.2.0/24 src-address=192.168.2.0/24
add action=masquerade chain=srcnat comment="Default NAT" out-interface-list=\
    WAN
add action=dst-nat chain=dstnat comment=Hassio dst-address-list=WAN dst-port=\
    8124 protocol=tcp to-addresses=192.168.2.43 to-ports=8123
/ip firewall service-port
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge1 type=internal
add interface=pppoe-internet type=external
/system clock
set time-zone-name=Europe/Madrid
/system ntp client
set enabled=yes
/system ntp client servers
add address=129.6.15.29
add address=0.es.pool.ntp.org
/system watchdog
set watchdog-timer=no
/tool bandwidth-server
set enabled=no
Le daría una vuelta al firewall, rehaciéndolo sobre el que trae el router por defecto, lo único adicional a meter es lo del wireguard. Tampoco entiendo algunos settings que tienes, como setear a manija la velocidad de anuncio de los puertos ethernet a 100Mbps. Y la vlan( 6? -> 635) no hace falta que la metas en la lista WAN, si tu conexión es de tipo PPP.

Saludos!
 
Le daría una vuelta al firewall, rehaciéndolo sobre el que trae el router por defecto, lo único adicional a meter es lo del wireguard. Tampoco entiendo algunos settings que tienes, como setear a manija la velocidad de anuncio de los puertos ethernet a 100Mbps. Y la vlan( 6? -> 635) no hace falta que la metas en la lista WAN, si tu conexión es de tipo PPP.

Saludos!
Gracias!
Te cuento
En cuanto a la VLAN 6, es porque en principio es la 6 y así lo llame pero luego resulta que me viene internet con el modulo GPON SFP por la vlan 635 y no le he cambiado el nombre.
En cuanto a la velocidad de los puertos que comentas la verdad que a mi también me sorprendió al sacar el export, en el winbox veo la interface sin nada raro configurado de 100Mbps con la auto negociación activada.
Y en cuanto al firewall que me recomiendas? porque las reglas que tengo están metidas "a mano" porque no meti la config por defecto.
 
Gracias!
Te cuento
En cuanto a la VLAN 6, es porque en principio es la 6 y así lo llame pero luego resulta que me viene internet con el modulo GPON SFP por la vlan 635 y no le he cambiado el nombre.
En cuanto a la velocidad de los puertos que comentas la verdad que a mi también me sorprendió al sacar el export, en el winbox veo la interface sin nada raro configurado de 100Mbps con la auto negociación activada.
Y en cuanto al firewall que me recomiendas? porque las reglas que tengo están metidas "a mano" porque no meti la config por defecto.
Yo te recomendaría partir siempre de la configuración por defecto, porque sinceramente es una configuracón muy bien hecha (especialmente el apartado firewall). Y, sobre esa, modificar lo que necesites. A todo esto, ¿qué versión de RouterOS estás corriendo? Te lo digo porque veo resquicios de la v6 en esa configuración, ¿puede ser?

Saludos!
 
Yo te recomendaría partir siempre de la configuración por defecto, porque sinceramente es una configuracón muy bien hecha (especialmente el apartado firewall). Y, sobre esa, modificar lo que necesites. A todo esto, ¿qué versión de RouterOS estás corriendo? Te lo digo porque veo resquicios de la v6 en esa configuración, ¿puede ser?

Saludos!
OK pues cargare config por defecto e iré configurando de nuevo.
Estoy en versión 7.5, no debería tener nada de la v6 creo...
 
Asegúrate también de estar en versión de routerboard (subir firmware, no solo software: system -> routerboard -> upgrade). Resetea, déjale que cargue la config por defecto, y sobre esa, metes lo que necesites.

Saludos!
 
Asegúrate también de estar en versión de routerboard (subir firmware, no solo software: system -> routerboard -> upgrade). Resetea, déjale que cargue la config por defecto, y sobre esa, metes lo que necesites.

Saludos!
OK!
Lo unico, una duda, despues de la config por defecto tirar del quick set? o configurar lo necesario a mano?
 
Arriba