MANUAL: Mikrotik, Internet en casa con datos móviles

Hola!!!
Por aquí un novato en el mundo Mikrotik y siguiendo vuestras explicaciones he conseguido configurar un router hAP-ac3 con una antena LHGG-LTE6 alimentada desde el POE del ether5 del router.
Tengo posibilidad de acceder a la configuración de ambos equipos, y aunque me costó un poco al principio porque no eliminaba las configuraciones por defecto que metía en los reseteos la antena, finalmente, eliminándola esa configuración por defecto e instalando según las instrucciones todo ha quedado funcionando, salvo por el tema de que la antena no tiene acceso a internet y por ejemplo y como mencionáis más arriba, las actualizaciones vía OTA o simplemente la configuración del reloj automáticamente, no se hacen en la antena al no tener esa salida a internet.
He intentado seguir las instrucciones que se han dejado previamente, pero no soy capaz de poder darle esa salida a internet a la antena al añadir la el enrutado hacía la ip de configuración compartida del router.

¿Sería posible que me pudiera orientar alguien en dónde estoy cometiendo el error?.

Muchas gracias
 
Hola!!!
Por aquí un novato en el mundo Mikrotik y siguiendo vuestras explicaciones he conseguido configurar un router hAP-ac3 con una antena LHGG-LTE6 alimentada desde el POE del ether5 del router.
Tengo posibilidad de acceder a la configuración de ambos equipos, y aunque me costó un poco al principio porque no eliminaba las configuraciones por defecto que metía en los reseteos la antena, finalmente, eliminándola esa configuración por defecto e instalando según las instrucciones todo ha quedado funcionando, salvo por el tema de que la antena no tiene acceso a internet y por ejemplo y como mencionáis más arriba, las actualizaciones vía OTA o simplemente la configuración del reloj automáticamente, no se hacen en la antena al no tener esa salida a internet.
He intentado seguir las instrucciones que se han dejado previamente, pero no soy capaz de poder darle esa salida a internet a la antena al añadir la el enrutado hacía la ip de configuración compartida del router.

¿Sería posible que me pudiera orientar alguien en dónde estoy cometiendo el error?.

Muchas gracias
Si, claro. Dame un export de ambos equipos y lo vemos mañana. Sino, busca el post de @JuliaRural, que como parte de ese setup lo hice, ahí encontrarás un ejemplo de ruta.

Saludos!
 
Leí el mensaje de JuliaRural y me perdí en un punto y no sabía si hacia falta que las dos puertas de enlace por las que se accede a la administración de los equipos debía estar en el mismo rango o se podía estar en dos rangos como se hace en este post en las configuraciones de Vorlander. Probé de ambos modos y no lo he conseguido, así que te agradezco mucho si me puedes echar una mirada a los export
Código de Antena LHGG

Código:
/interface vlan
add interface=ether1 name=VLAN-Internet vlan-id=66

/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN

/interface lte apn
add apn=movistar.es authentication=pap ip-type=ipv4 name=MOVISTAR passthrough-interface=VLAN-Internet \
passthrough-mac=auto use-peer-dns=no user=MOVISTAR

/interface lte
set [ find default-name=lte1 ] allow-roaming=yes apn-profiles=MOVISTAR band="" network-mode=lte

/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik

/interface detect-internet
set detect-interface-list=WAN internet-interface-list=LAN lan-interface-list=LAN wan-interface-list=WAN

/interface list member
add comment=defconf interface=ether1 list=LAN
add comment=defconf interface=lte1 list=WAN
add interface=VLAN-Internet list=LAN

/ip address
add address=192.168.2.1/24 interface=ether1 network=192.168.2.0

/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4

/ip firewall mangle
add action=change-ttl chain=postrouting new-ttl=set:65 out-interface=lte1 passthrough=yes protocol=!icmp

/ip route
add disabled=no dst-address=0.0.0.0/0 gateway=192.168.2.2 routing-table=main suppress-hw-offload=no

/system clock
set time-zone-name=Europe/Madrid

/system identity
set name="Antena MikroCASA"

/system logging
add topics=lte

/tool bandwidth-server
set enabled=no

/tool mac-server
set allowed-interface-list=LAN

/tool mac-server mac-winbox
set allowed-interface-list=LAN


/tool sms
set port=lte1 receive-enabled=yes

Código del Router hAP-ac3

Código:
/interface bridge
add admin-mac=6C:3B:6B:89:65:FA auto-mac=no comment=defconf name=bridge

/interface wireless
set [ find default-name=wlan1 ] band=2ghz-g/n country=spain disabled=no distance=indoors installation=\
    indoor mode=ap-bridge ssid=RouterCASA-2G wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-n/ac channel-width=20/40/80mhz-XXXX country=spain disabled=no \
    distance=indoors frequency=auto installation=indoor mode=ap-bridge ssid=RouterCASA-5G \
    wireless-protocol=802.11

/interface vlan
add interface=ether5 name=VLAN-Internet vlan-id=66

/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN

/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik

/ip pool
add name=dhcp ranges=192.168.1.100-192.168.1.254

/ip dhcp-server
add address-pool=dhcp interface=bridge name=defconf

/interface bridge port
add bridge=bridge comment=defconf interface=ether1
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2

/ip neighbor discovery-settings
set discover-interface-list=LAN

/interface detect-internet
set detect-interface-list=all

/interface list member
add comment=lan interface=bridge list=LAN
add comment=admin-lhg interface=ether5 list=WAN
add comment=wan1 interface=VLAN-Internet list=WAN

/ip address
add address=192.168.1.10/24 comment=defconf interface=ether2 network=192.168.1.0
add address=192.168.2.2/24 comment=lhg-mgmnt interface=ether5 network=192.168.2.0

/ip dhcp-client
add comment=wan1-lhg-lte interface=VLAN-Internet

/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf gateway=192.168.1.10

/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4

/ip dns static
add address=192.168.1.10 comment=defconf name=hap.lan
add address=192.168.2.1 comment=lhg name=lhg.lan

/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=\
    127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=\
    established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=\
    !dstnat connection-state=new in-interface-list=WAN

/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=\
    WAN

/system clock
set time-zone-name=Europe/Madrid

/system identity
set name="Router MikroCASA"

/system routerboard settings
set auto-upgrade=yes

/tool bandwidth-server
set enabled=no

/tool mac-server
set allowed-interface-list=LAN

/tool mac-server mac-winbox
set allowed-interface-list=LAN
 
Última edición:
La config de la antena es correcta, pero la del router no. En el router, parte de la configuración por defecto, que te va a resultar mucho más sencillo, y sobre ella, has te dar los siguientes pasos:
- Crear la vlan 66 sobre la interfaz ether5 que te une a la antena
- Meter dicha interfaz en la lista WAN
- Crear un cliente DHCP sobre dicha interfaz.
- Añadir la IP 192.168.2.2/24 (podría ser también un /30 en ambos equipos, porque no vas a usar más IPs) a la interfaz ether5.

Con eso deberías tener un router navegando y una antena con salida a internet. En la antena, te sobra la parte de las listas de interfaces, que no las vas a usar para nada, si te fijas en el setup de Julia, la SXT no trabaja con ellas.

Saludos!
 
La config de la antena es correcta, pero la del router no. En el router, parte de la configuración por defecto, que te va a resultar mucho más sencillo, y sobre ella, has te dar los siguientes pasos:
- Crear la vlan 66 sobre la interfaz ether5 que te une a la antena
- Meter dicha interfaz en la lista WAN
- Crear un cliente DHCP sobre dicha interfaz.
- Añadir la IP 192.168.2.2/24 (podría ser también un /30 en ambos equipos, porque no vas a usar más IPs) a la interfaz ether5.

Con eso deberías tener un router navegando y una antena con salida a internet. En la antena, te sobra la parte de las listas de interfaces, que no las vas a usar para nada, si te fijas en el setup de Julia, la SXT no trabaja con ellas.

Saludos!
De vuelta al asunto tras unos días fuera y ha quedado funcionando todo perfectamente. Muchísimas gracias por tus consejos y aprovechando el hilo hago otra consulta. Necesito tener el equipo fuera de cg-nat o al menos poder acceder a mi red interna desde internet y he probado y preguntado en todos los operadores de telefonía móvil que conozco y al final solo Movistar lo permite, pero con Movistar tengo el problema que en una misma antena solo emiten en la banda 20 y claro, no hace CA porque no tiene nada que agregar. ¿Sabes si es posible conseguir acceso desde internet saltándose el cg-nat de algún modo?
Y edito, he leído tu post sobre Eustaquio y sus cabritas, el problema es que la conexión mediante LTE es la única conexión que tenemos al habernos eliminado el ADSL y no tener cobertura de fibra o wimax en la zona, por lo que a lo máximo que podría aspirar es a que un familiar me prestara su IP pública montar un duplicado de la instalación de Eustaquio, pero si puedo evitarlo porque haya otra solución preferiría hacerlo.
 
Última edición:
Buenas tardes a todos.

En primer lugar, muchas gracias a @danisevic y a @pokoyo por este fantástico manual y las dudas y añadidos que se han ido haciendo.

Estoy es un lugar similar al de creador del manual, con adsl en el pueblo con velocidad de subida de 8Mb y de bajada de 0,8Mb. Además se comparte con otras 2 casas mediante un radioenlace con dispositivos Ubiquiti NanoStation M2. Podéis haceros una idea de la velocidad cuando hay varias personas conectadas...

Haciendo pruebas con un móvil y un router 4G por Orange me da prácticamente 100Mb de bajada y unos 30Mb de subida. La diferencia es abismal. La antena está a unos 400 metros de la casa, no estoy seguro de si tiene visibilidad directa o no, pero las medidas son desde la habitación donde está el router adsl ahora mismo.

Buscaba algo estable y robusto así que terminé en este hilo leyendo (casi estudiando) el manual y los diferentes añadidos y me decidí por comprar lo mismo que @danisevic una antena SXE LTE6 y un router hAP ac lite.
Nunca había trabajado con equipos Mikrotic y guau! que maravilla de dispositivos y SO, encantado con ello.

He seguido en manual paso a paso y he prescindido del Quick Set para no liarla (como recomienda @pokoyo en otro post), he configurado directamente las cosas desde el Webfig (la Terminal es el siguiente paso) y con algún que otro problemilla pero ya resuelto he conseguido tener internet en los dispositivos mediante una VLAN y acceder a la antena LTE desde la red interna sin problemas.

El último paso era dar acceso a internet a la antena para el tema de actualizaciones. De nuevo he seguido los pasos descritos por @pokoyo pero no consigo tener acceso a internet en ella. Si lanzo una búsqueda de paquetes nuevos me da el error "ERROR: could not resolve dns name" y si hago un ping desde la Terminal a las DNS de Google (las que tengo configuradas en la antena) me da un timeout.
Le he dado varias vueltas pero no consigo dar con la solución. He pensado que quizás sea que me falta alguna regla NAT en el Firewall y he intentado poner alguna para enmascarar el tráfico saliente pero no se conseguido que funcione.

Como no se me ocurre nada más (en parte por mi desconocimiento de este sistema) recurro a vosotros a ver si podéis echarme una mano y ver donde está problema.

Os paso la configuración de ambos dispositivos mediante un export.

SXT-LTE6:

Código:
# nov/12/2022 23:53:20 by RouterOS 6.49.7
# software id = S94Z-0IWU
#
# model = RBSXTR

/interface bridge
add admin-mac=18:FD:74:5F:3D:D7 auto-mac=no comment=defconf name=bridge
/interface vlan
add interface=ether1 name=internet vlan-id=100
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface lte apn
set [ find default=yes ] apn=Lowi.es
add apn=datos name=Xenet passthrough-interface=internet passthrough-mac=00:00:00:00:00:00
/interface lte
set [ find ] allow-roaming=no apn-profiles=Xenet name=lte1
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf disabled=yes interface=ether1
add bridge=bridge comment=defconf interface=ether2
/interface detect-internet
set detect-interface-list=WAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=lte1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether1 network=192.168.88.0
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=accept chain=input connection-state=established,related,untracked
add action=accept chain=input protocol=icmp
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=drop chain=input connection-state=invalid
add action=drop chain=input src-address=!192.168.0.0/16
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" disabled=yes ipsec-policy=out,none out-interface-list=WAN
/ip route
add distance=1 gateway=192.168.88.2
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=RouterOS

hAP ac lite:

Código:
# nov/13/2022 16:34:17 by RouterOS 6.49.7
# software id = LYKW-1HWV
#
# model = RB952Ui-5ac2nD

/interface bridge
add admin-mac=DC:2C:6E:FB:BA:4B auto-mac=no comment=defconf name=bridge
/interface vlan
add interface=ether5 name=internet vlan-id=100
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk mode=dynamic-keys name=CASA supplicant-identity=MikroTik wpa2-pre-shared-key=**************
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX disabled=no distance=indoors frequency=auto installation=indoor mode=ap-bridge security-profile=CASA ssid=CASA_2G wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX disabled=no distance=indoors frequency=auto installation=indoor mode=ap-bridge security-profile=CASA ssid=CASA_5G wireless-protocol=802.11
/ip pool
add name=default-dhcp ranges=192.168.1.100-192.168.1.200
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
add bridge=bridge interface=ether1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface detect-internet
set detect-interface-list=WAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether5 list=WAN
add interface=internet list=WAN
/ip address
add address=192.168.1.1/24 comment=defconf interface=bridge network=192.168.1.0
add address=192.168.88.2/24 interface=ether5 network=192.168.88.0
/ip dhcp-client
add comment=defconf disabled=no interface=internet
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=RouterOS
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Espero que podáis ayudarme.

Muchas gracias una vez más por este gran trabajo.

Saludos!
 
Buenas tardes a todos.

En primer lugar, muchas gracias a @danisevic y a @pokoyo por este fantástico manual y las dudas y añadidos que se han ido haciendo.

Estoy es un lugar similar al de creador del manual, con adsl en el pueblo con velocidad de subida de 8Mb y de bajada de 0,8Mb. Además se comparte con otras 2 casas mediante un radioenlace con dispositivos Ubiquiti NanoStation M2. Podéis haceros una idea de la velocidad cuando hay varias personas conectadas...

Haciendo pruebas con un móvil y un router 4G por Orange me da prácticamente 100Mb de bajada y unos 30Mb de subida. La diferencia es abismal. La antena está a unos 400 metros de la casa, no estoy seguro de si tiene visibilidad directa o no, pero las medidas son desde la habitación donde está el router adsl ahora mismo.

Buscaba algo estable y robusto así que terminé en este hilo leyendo (casi estudiando) el manual y los diferentes añadidos y me decidí por comprar lo mismo que @danisevic una antena SXE LTE6 y un router hAP ac lite.
Nunca había trabajado con equipos Mikrotic y guau! que maravilla de dispositivos y SO, encantado con ello.

He seguido en manual paso a paso y he prescindido del Quick Set para no liarla (como recomienda @pokoyo en otro post), he configurado directamente las cosas desde el Webfig (la Terminal es el siguiente paso) y con algún que otro problemilla pero ya resuelto he conseguido tener internet en los dispositivos mediante una VLAN y acceder a la antena LTE desde la red interna sin problemas.

El último paso era dar acceso a internet a la antena para el tema de actualizaciones. De nuevo he seguido los pasos descritos por @pokoyo pero no consigo tener acceso a internet en ella. Si lanzo una búsqueda de paquetes nuevos me da el error "ERROR: could not resolve dns name" y si hago un ping desde la Terminal a las DNS de Google (las que tengo configuradas en la antena) me da un timeout.
Le he dado varias vueltas pero no consigo dar con la solución. He pensado que quizás sea que me falta alguna regla NAT en el Firewall y he intentado poner alguna para enmascarar el tráfico saliente pero no se conseguido que funcione.

Como no se me ocurre nada más (en parte por mi desconocimiento de este sistema) recurro a vosotros a ver si podéis echarme una mano y ver donde está problema.

Os paso la configuración de ambos dispositivos mediante un export.

SXT-LTE6:

Código:
# nov/12/2022 23:53:20 by RouterOS 6.49.7
# software id = S94Z-0IWU
#
# model = RBSXTR

/interface bridge
add admin-mac=18:FD:74:5F:3D:D7 auto-mac=no comment=defconf name=bridge
/interface vlan
add interface=ether1 name=internet vlan-id=100
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface lte apn
set [ find default=yes ] apn=Lowi.es
add apn=datos name=Xenet passthrough-interface=internet passthrough-mac=00:00:00:00:00:00
/interface lte
set [ find ] allow-roaming=no apn-profiles=Xenet name=lte1
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf disabled=yes interface=ether1
add bridge=bridge comment=defconf interface=ether2
/interface detect-internet
set detect-interface-list=WAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=lte1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether1 network=192.168.88.0
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=accept chain=input connection-state=established,related,untracked
add action=accept chain=input protocol=icmp
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=drop chain=input connection-state=invalid
add action=drop chain=input src-address=!192.168.0.0/16
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" disabled=yes ipsec-policy=out,none out-interface-list=WAN
/ip route
add distance=1 gateway=192.168.88.2
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=RouterOS

hAP ac lite:

Código:
# nov/13/2022 16:34:17 by RouterOS 6.49.7
# software id = LYKW-1HWV
#
# model = RB952Ui-5ac2nD

/interface bridge
add admin-mac=DC:2C:6E:FB:BA:4B auto-mac=no comment=defconf name=bridge
/interface vlan
add interface=ether5 name=internet vlan-id=100
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk mode=dynamic-keys name=CASA supplicant-identity=MikroTik wpa2-pre-shared-key=**************
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX disabled=no distance=indoors frequency=auto installation=indoor mode=ap-bridge security-profile=CASA ssid=CASA_2G wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX disabled=no distance=indoors frequency=auto installation=indoor mode=ap-bridge security-profile=CASA ssid=CASA_5G wireless-protocol=802.11
/ip pool
add name=default-dhcp ranges=192.168.1.100-192.168.1.200
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
add bridge=bridge interface=ether1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface detect-internet
set detect-interface-list=WAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether5 list=WAN
add interface=internet list=WAN
/ip address
add address=192.168.1.1/24 comment=defconf interface=bridge network=192.168.1.0
add address=192.168.88.2/24 interface=ether5 network=192.168.88.0
/ip dhcp-client
add comment=defconf disabled=no interface=internet
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=RouterOS
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Espero que podáis ayudarme.

Muchas gracias una vez más por este gran trabajo.

Saludos!
Tengo al compi @vorlander con el mismo problema. Mañana monto un esquema similar y os digo dónde está el problema. Es tema NAT seguro, pero no me atrevo a decirte la regla hasta que la pruebe.

Saludos!
 
Muy simple: En el hAP, ve a interface list y quita ether5 de la lista WAN, dejando únicamente la interfaz vlan que corre sobre dicho puerto (internet). Com ambos equipos están directamente unidos entre sí por un cable, no necesitas en enmascarar el tráfico que sale por la interfaz física, puesto que ambas redes se conocen entre sí (tanto ether5 como el puerto que está al otro lado tienen una IP del mismo segmento).

Saludos!
 
Muy simple: En el hAP, ve a interface list y quita ether5 de la lista WAN, dejando únicamente la interfaz vlan que corre sobre dicho puerto (internet). Com ambos equipos están directamente unidos entre sí por un cable, no necesitas en enmascarar el tráfico que sale por la interfaz física, puesto que ambas redes se conocen entre sí (tanto ether5 como el puerto que está al otro lado tienen una IP del mismo segmento).

Saludos!
Sí señor, era eso, así de simple.

Siguiendo el manual metí primero ether5 en la WAN y luego cuando creé la VLAN, simplemente la añadí a la lista pero no borré la ether5.

Una cosa más que se podría añadir al manual.

Muchas gracias por tu ayuda y por la rapidez en contestar.

Saludos!
 
Sí señor, era eso, así de simple.

Siguiendo el manual metí primero ether5 en la WAN y luego cuando creé la VLAN, simplemente la añadí a la lista pero no borré la ether5.

Una cosa más que se podría añadir al manual.

Muchas gracias por tu ayuda y por la rapidez en contestar.

Saludos!
Añadido como comentario al final del manual.

Saludos!
 
Arriba