Comorrr? Si el mikrotik está reseteado y con la configuración por defecto, te tiene que estar entregando direcciones IP a cualquier cacharro que conectes a él, para la subred 192.168.88.0/24El caso es que ahora me estoy dando cuenta de que el mikrotik no da ip a nada y supongo que no me he dado cuenta hasta ahora porque siempre pongo ip fija a todos los equipos de manera manual. ¿No debería estar activado por defecto?
Una cosa, pokoyo. Te estoy haciendo caso y estoy dejando que mikrotik proporcione la ip y luego la convierto en fija desde el router pero hay una duda que me queda.... ¿Qué pasa si, por lo que sea, se estropea el mikrotik y tengo que poner otro equipo que le sustituya? Supongo que tendría que volver a hacer todo el proceso de hacerla estática en el nuevo mikrotik, si tengo algún equipo que necesite una ip en concreto modificarla, etc., mientras que si tengo en los propios equipos ya asignada la ip fija eso no importaría. Soy consciente de que para algunas cosas tipo domótica, etc., quizás, con tantos elementos, sea mejor dejar que mikrotik asigne la ip y luego convertirla en fija pero no consigo ver que siempre sea mejor. ¿Quizás sea el único "pero" a esta nueva forma de asignar ip?No sé de donde os viene la manía de meter direcciones a mano en los equipos, tremendamente incómodo y fuente de muchos problemas, pero desde luego es una práctica a abandonar en mikrotik. Tienes un equipo con un servidor dhcp excelente, no tienes porque meter la IP a mano en ningún equipo. Allá donde necesites siempre la misma IP, la reservas en el DHCP como dirección estática. Pero todo controlado desde un único equipo, no metiendo a manija direcciones en todos tus equipos, eso es algo totalmente obsoleto.
Saludos!
Pues fíjate, yo creo que es justo lo contrario. Si mañana cambias de router, todo va a funcionar, puesto que no tienen una IP metida a manija, y, sea cual sea el rango del router nuevo, obtendrá una IP por DHCP y estarán funcionando. Puede que no sea la que tú esperas, pero aún así los equipos no se quedarán tirados.Una cosa, pokoyo. Te estoy haciendo caso y estoy dejando que mikrotik proporcione la ip y luego la convierto en fija desde el router pero hay una duda que me queda.... ¿Qué pasa si, por lo que sea, se estropea el mikrotik y tengo que poner otro equipo que le sustituya? Supongo que tendría que volver a hacer todo el proceso de hacerla estática en el nuevo mikrotik, si tengo algún equipo que necesite una ip en concreto modificarla, etc., mientras que si tengo en los propios equipos ya asignada la ip fija eso no importaría. Soy consciente de que para algunas cosas tipo domótica, etc., quizás, con tantos elementos, sea mejor dejar que mikrotik asigne la ip y luego convertirla en fija pero no consigo ver que siempre sea mejor. ¿Quizás sea el único "pero" a esta nueva forma de asignar ip?
# ENABLE CAPsMAN
/caps-man manager
set enabled=yes
# DISABLE CAPsMAN
/caps-man manager
set enabled=no
Prueba a pulsar "Don't Require Permissions" en el script, a veces me ha pasado en algunos scripts que daba algún error en el log (comprueba a la hora de ejecución si te ha dado algún error) y se solucionaba de esa forma.Hola @pokoyo , gracias, ha funcionado el provisionar de nuevo los cAP's.
Sin embargo, no estoy seguro que la combinación script+scheduler funcione correctamente (el scheduler ejecuta el apagado a las 23:00, y ejecuta el encendido del CAPsMAN a las 08:00).
El CAPsMAN manager se apaga correctamente, pero esta mañana me encuentro lo siguiente:
Ver el adjunto 84432
Al ejecutar de nuevo el script, las interfaces se levantan correctamente:
Ver el adjunto 84435
Puede ser que el scheduler esté mal?
Ver el adjunto 84438
# aug/01/2021 18:54:28 by RouterOS 6.48.3
# software id = 9AEG-CGLU
#
# model = RB960PGS
# serial number = *********
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz frequency=2412 name=channel1
add band=2ghz-g/n control-channel-width=20mhz frequency=2437 name=channel6
add band=2ghz-g/n control-channel-width=20mhz frequency=2462 name=channel11
/interface bridge
add admin-mac=48:8F:5A:*:*:* auto-mac=no comment=defconf name=bridge
add name=bridge-guests
/interface vlan
add interface=ether1 name=vlan-wan vlan-id=20
/caps-man datapath
add bridge=bridge-guests client-to-client-forwarding=no local-forwarding=no \
name=datapath-guests
add bridge=bridge client-to-client-forwarding=yes local-forwarding=no name=\
datapath-lan
/caps-man rates
add basic=24Mbps name=g/n-only supported=24Mbps,36Mbps,48Mbps,54Mbps
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
name=security-profile-guests
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
name=security-profile-lan
/caps-man configuration
add channel=channel1 country=spain datapath=datapath-guests mode=ap name=\
wifi-guests rates=g/n-only security=security-profile-guests ssid=\
NombreInvitados
add channel=channel1 country=spain datapath=datapath-lan mode=ap name=\
wifi-lan rates=g/n-only security=security-profile-lan ssid=Nombre
/interface list
add comment=defconf name=WAN
add comment=defcon name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec policy group
add name=ike2-template-group
/ip ipsec profile
add dh-group=modp2048,modp1536,modp1024 enc-algorithm=aes-256,aes-192,aes-128 \
hash-algorithm=sha256 name=ike2-profile
/ip ipsec peer
add exchange-mode=ike2 name=ike2-peer passive=yes profile=ike2-profile
/ip ipsec proposal
set [ find default=yes ] pfs-group=none
add auth-algorithms=sha512,sha256,sha1 enc-algorithms="aes-256-cbc,aes-256-ctr\
,aes-256-gcm,aes-192-ctr,aes-192-gcm,aes-128-cbc,aes-128-ctr,aes-128-gcm" \
lifetime=8h name=ike2-proposal pfs-group=none
/ip pool
add name=default-dhcp ranges=192.168.1.2-192.168.1.254
add name=pool-vpn ranges=192.168.3.10-192.168.3.254
add name=pool-guests ranges=192.168.2.2-192.168.2.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
add address-pool=pool-guests disabled=no interface=bridge-guests name=\
dhcp-guests
/ip ipsec mode-config
add address-pool=pool-vpn address-prefix-length=32 name=\
ike2-conf-road-warrior split-include=0.0.0.0/0
/caps-man manager
set enabled=yes
/caps-man manager interface
set [ find default=yes ] forbid=yes
add disabled=no interface=bridge
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=wifi-lan name-format=\
identity slave-configurations=wifi-guests
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=none
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=vlan-wan list=WAN
/ip address
add address=192.168.1.1/24 comment=defconf interface=bridge network=\
192.168.1.0
add address=192.168.2.1/24 interface=bridge-guests network=192.168.2.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf disabled=no interface=ether1
add disabled=no interface=vlan-wan use-peer-dns=no
/ip dhcp-server lease
#******
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf dns-server=192.168.1.1 domain=\
nombre gateway=192.168.1.1 netmask=24
add address=192.168.2.0/24 gateway=192.168.2.1
/ip dns
set allow-remote-requests=yes use-doh-server=https://1.1.1.1/dns-query \
verify-doh-cert=yes
/ip dns static
#*****
/ip firewall address-list
add address=ddns.midominio.com list=public-ip
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment="Allow IPSec" dst-port=500,4500 \
protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input comment="accept vpn encrypted input traffic" \
ipsec-policy=in,ipsec src-address=192.168.3.0/24
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
add action=drop chain=forward comment="block guests accesing LAN" \
dst-address=192.168.1.0/24 src-address=192.168.2.0/24
add action=drop chain=forward comment="block LAN accesing guests" \
dst-address=192.168.2.0/24 src-address=192.168.1.0/24
/ip firewall mangle
add action=change-mss chain=forward comment="ike2-road-warrior clamp tcp mss" \
ipsec-policy=in,ipsec new-mss=1360 passthrough=yes protocol=tcp \
src-address=192.168.3.0/24 tcp-flags=syn tcp-mss=!0-1360
add action=change-mss chain=forward dst-address=192.168.3.0/24 ipsec-policy=\
out,ipsec new-mss=1360 passthrough=yes protocol=tcp tcp-flags=syn \
tcp-mss=!0-1360
/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=\
192.168.1.0/24 src-address=192.168.1.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
# puertos abiertos de servicios
/ip ipsec identity
add auth-method=digital-signature certificate=vpn-server comment=msi \
generate-policy=port-strict match-by=certificate mode-config=\
ike2-conf-road-warrior peer=ike2-peer policy-template-group=\
ike2-template-group remote-certificate=vpn-client-msi
add auth-method=digital-signature certificate=vpn-server comment=mobile \
generate-policy=port-strict match-by=certificate mode-config=\
ike2-conf-road-warrior peer=ike2-peer policy-template-group=\
ike2-template-group remote-certificate=vpn-client-mobile
/ip ipsec policy
add comment=road-warrior dst-address=192.168.3.0/24 group=ike2-template-group \
proposal=ike2-proposal src-address=0.0.0.0/0 template=yes
/ip service
set telnet disabled=yes port=22656
set ftp disabled=yes port=22654
set www address=192.168.1.0/24 port=22657
set ssh address=192.168.1.0/24 port=22655
set api disabled=yes
set winbox address=192.168.1.0/24
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Madrid
/system scheduler
add interval=1w name=backupcloudsemanal on-event=cloudbackup policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
start-date=apr/05/2021 start-time=14:25:48
/system script
add dont-require-permissions=no name=cloudbackup owner=admin policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source=\
""
/tool bandwidth-server
set enabled=no
/tool e-mail
set address=***.***.***.*** from=user@midominio.com port=587 user=\
user
/tool mac-server
set allowed-interface-list=none
/tool mac-server mac-winbox
set allowed-interface-list=LAN
Perdón por tardar en contestar y muchas gracias.No veo nada raro, la verdad. Prueba a quitar el data rate y no uses el "forbid=yes" en al manager initerface. Con un data rate con 24Mbps de mínimo, habrá chismes que se queden fuera de cobertura, a la que estén un poco alejados del AP. Y, con configurar los canales como "g/n", ya estás quitando los rates del wifi "b", así que no necesitas especificar el data rate.
Y, para resetear los AP's en modo CAP, hazlo desde el System -> Reset Configuration-> CAPS mode, en lugar de usar el botón de reset, y así evitas que el AP entre en modo netinstall, si te pasas de tiempo manteniendo el reset pulsado (que sospecho será lo que te esté pasando).
Saludos!
Supongo que porque no tienes bien puesto el país en la configuración, y estás seleccionando un canal fuera de la banda de 5GHz. Pásame si quieres un export y lo reviso.Buenas tardes!
Lo conseguí @pokoyo , he quitado el rate y el forbid=yes. Pero creo que el problema estaba al resetear el ap en el modo cap, como comenté lo hice con un móvil y creo que no le daba tiempo a terminar de resetearse correctamente a la hora de desconectarlo de la toma de red y "llevarlo" al router. De todas formas ahora lo he conseguido trayéndome un portátil y conectandome al ap a trevés de winbox en vez de webfig y ahora me he dado cuenta que en las luces del ap cuando se resetea en modo cap se queda parpadeándo sólo esa luz (la de eth quizá también pero lo tenía desenchufado) y se queda fija cuando se termina de iniciar y creo que ahí estaba el problema. Desconectaba el aparato antes de resetearse completamente.
Ver el adjunto 86703
Automáticamente ya aparece en la pestaña Cap interface. Esa parte de los canales no soportados, que es?
Un saludo y muchas gracias de nuevo!
Tengo puesto de country spain y creo ahora mismo creo que solo estoy usando la 2.4GHz que son los canales que cree con /caps-man channel. Para la 5GHz solo hay que crearlos de la misma forma o hay que hacer algo más?Supongo que porque no tienes bien puesto el país en la configuración, y estás seleccionando un canal fuera de la banda de 5GHz. Pásame si quieres un export y lo reviso.
Saludos!
# sep/22/2021 18:40:35 by RouterOS 6.48.3
# model = RB960PGS
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz frequency=2412 name=channel1
add band=2ghz-g/n control-channel-width=20mhz frequency=2437 name=channel6
add band=2ghz-g/n control-channel-width=20mhz frequency=2462 name=channel11
/interface bridge
add admin-mac=48:8F:5A:X:X:X auto-mac=no comment=defconf name=bridge
add name=bridge-guests
/interface vlan
add interface=ether1 name=vlan-wan vlan-id=20
/caps-man datapath
add bridge=bridge-guests client-to-client-forwarding=no local-forwarding=no \
name=datapath-guests
add bridge=bridge client-to-client-forwarding=yes local-forwarding=no name=\
datapath-lan
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
name=security-profile-guests
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
name=security-profile-lan
/caps-man configuration
add channel=channel1 country=spain datapath=datapath-guests mode=ap name=\
wifi-guests security=security-profile-guests ssid=WifiInvitados
add channel=channel1 country=spain datapath=datapath-lan mode=ap name=\
wifi-lan security=security-profile-lan ssid=Wifi
/interface list
add comment=defconf name=WAN
add comment=defcon name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec policy group
add name=ike2-template-group
/ip ipsec profile
add dh-group=modp2048,modp1536,modp1024 enc-algorithm=aes-256,aes-192,aes-128 \
hash-algorithm=sha256 name=ike2-profile
/ip ipsec peer
add exchange-mode=ike2 name=ike2-peer passive=yes profile=ike2-profile
/ip ipsec proposal
set [ find default=yes ] pfs-group=none
add auth-algorithms=sha512,sha256,sha1 enc-algorithms="aes-256-cbc,aes-256-ctr\
,aes-256-gcm,aes-192-ctr,aes-192-gcm,aes-128-cbc,aes-128-ctr,aes-128-gcm" \
lifetime=8h name=ike2-proposal pfs-group=none
/ip pool
add name=default-dhcp ranges=192.168.1.2-192.168.1.254
add name=pool-vpn ranges=192.168.3.10-192.168.3.254
add name=pool-guests ranges=192.168.2.2-192.168.2.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
add address-pool=pool-guests disabled=no interface=bridge-guests name=\
dhcp-guests
/ip ipsec mode-config
add address-pool=pool-vpn address-prefix-length=32 name=\
ike2-conf-road-warrior split-include=0.0.0.0/0
/caps-man manager
set enabled=yes
/caps-man manager interface
add disabled=no interface=bridge
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=wifi-lan name-format=\
identity slave-configurations=wifi-guests
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=all
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=vlan-wan list=WAN
/ip address
add address=192.168.1.1/24 comment=defconf interface=bridge network=\
192.168.1.0
add address=192.168.2.1/24 interface=bridge-guests network=192.168.2.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf disabled=no interface=ether1
add disabled=no interface=vlan-wan use-peer-dns=no
/ip dhcp-server lease
....
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf dns-server=192.168.1.1 domain=\
dominio gateway=192.168.1.1 netmask=24
add address=192.168.2.0/24 gateway=192.168.2.1
/ip dns
set allow-remote-requests=yes use-doh-server=https://1.1.1.1/dns-query \
verify-doh-cert=yes
/ip dns static
....
/ip firewall address-list
add address=ddns.dominio.com list=public-ip
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment="Allow IPSec" dst-port=500,4500 \
protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input comment="accept vpn encrypted input traffic" \
ipsec-policy=in,ipsec src-address=192.168.3.0/24
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
add action=drop chain=forward comment="block guests accesing LAN" \
dst-address=192.168.1.0/24 src-address=192.168.2.0/24
add action=drop chain=forward comment="block LAN accesing guests" \
dst-address=192.168.2.0/24 src-address=192.168.1.0/24
/ip firewall mangle
add action=change-mss chain=forward comment="ike2-road-warrior clamp tcp mss" \
ipsec-policy=in,ipsec new-mss=1360 passthrough=yes protocol=tcp \
src-address=192.168.3.0/24 tcp-flags=syn tcp-mss=!0-1360
add action=change-mss chain=forward dst-address=192.168.3.0/24 ipsec-policy=\
out,ipsec new-mss=1360 passthrough=yes protocol=tcp tcp-flags=syn \
tcp-mss=!0-1360
/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=\
192.168.1.0/24 src-address=192.168.1.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
.....
/ip ipsec identity
add auth-method=digital-signature certificate=vpn-server comment=msi \
generate-policy=port-strict match-by=certificate mode-config=\
ike2-conf-road-warrior peer=ike2-peer policy-template-group=\
ike2-template-group remote-certificate=vpn-client-msi
add auth-method=digital-signature certificate=vpn-server comment=mobile \
generate-policy=port-strict match-by=certificate mode-config=\
ike2-conf-road-warrior peer=ike2-peer policy-template-group=\
ike2-template-group remote-certificate=vpn-client-mobile
/ip ipsec policy
add comment=road-warrior dst-address=192.168.3.0/24 group=ike2-template-group \
proposal=ike2-proposal src-address=0.0.0.0/0 template=yes
/ip service
set telnet disabled=yes port=22656
set ftp disabled=yes port=22654
set www address=192.168.1.0/24 port=22657
set ssh address=192.168.1.0/24 port=22655
set api disabled=yes
set winbox address=192.168.1.0/24
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Madrid
/system scheduler
add interval=1w name=backupcloudsemanal on-event=cloudbackup policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
start-date=apr/05/2021 start-time=14:25:48
/system script
add dont-require-permissions=no name=cloudbackup owner=admin policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source=\
""
/tool bandwidth-server
set enabled=no
/tool e-mail
set address=X.X.X.X from=cuenta@dominio.com port=587 user=\
user
/tool mac-server
set allowed-interface-list=none
/tool mac-server mac-winbox
set allowed-interface-list=LAN