MANUAL: Mikrotik, manejo de APs usando CAPsMAN
- Iniciador del tema pokoyo
- Fecha de inicio
- Mensajes
- 9,759
Comorrr? Si el mikrotik está reseteado y con la configuración por defecto, te tiene que estar entregando direcciones IP a cualquier cacharro que conectes a él, para la subred 192.168.88.0/24
No sé de donde os viene la manía de meter direcciones a mano en los equipos, tremendamente incómodo y fuente de muchos problemas, pero desde luego es una práctica a abandonar en mikrotik. Tienes un equipo con un servidor dhcp excelente, no tienes porque meter la IP a mano en ningún equipo. Allá donde necesites siempre la misma IP, la reservas en el DHCP como dirección estática. Pero todo controlado desde un único equipo, no metiendo a manija direcciones en todos tus equipos, eso es algo totalmente obsoleto.
Saludos!
SHINZONITO
Usuari@ ADSLzone
- Mensajes
- 1,036
Ya, si tienes razón. De hecho, el móvil que lo conecté una vez reseteado el mikrotik ayer, le asigné la ip como indicas en alguno de tus manuales, pero el resto por no estar modificando la configuración para que no tenga ip fija asignada de manera manual... De lo poco que cambié es que la subred sea tipo 192.168.1..... en lugar de 192.168.88.....
En cuanto a lo otro de que no asigne ip de manera automática he probado y sí que me asigna ip cuando me conecto por la vpn con conexión móvil, pero si lo hago digamos por cableado en la red no me da acceso. Pues tocaría algo ayer mal pero juraría que me limité a crear la configuración para o2 por el terminal exactamente como aparece en los manuales....
En cuanto a lo otro de que no asigne ip de manera automática he probado y sí que me asigna ip cuando me conecto por la vpn con conexión móvil, pero si lo hago digamos por cableado en la red no me da acceso. Pues tocaría algo ayer mal pero juraría que me limité a crear la configuración para o2 por el terminal exactamente como aparece en los manuales....
Última edición:
SHINZONITO
Usuari@ ADSLzone
- Mensajes
- 1,036
Una cosa, pokoyo. Te estoy haciendo caso y estoy dejando que mikrotik proporcione la ip y luego la convierto en fija desde el router pero hay una duda que me queda.... ¿Qué pasa si, por lo que sea, se estropea el mikrotik y tengo que poner otro equipo que le sustituya? Supongo que tendría que volver a hacer todo el proceso de hacerla estática en el nuevo mikrotik, si tengo algún equipo que necesite una ip en concreto modificarla, etc., mientras que si tengo en los propios equipos ya asignada la ip fija eso no importaría. Soy consciente de que para algunas cosas tipo domótica, etc., quizás, con tantos elementos, sea mejor dejar que mikrotik asigne la ip y luego convertirla en fija pero no consigo ver que siempre sea mejor. ¿Quizás sea el único "pero" a esta nueva forma de asignar ip?
- Mensajes
- 9,759
Pues fíjate, yo creo que es justo lo contrario. Si mañana cambias de router, todo va a funcionar, puesto que no tienen una IP metida a manija, y, sea cual sea el rango del router nuevo, obtendrá una IP por DHCP y estarán funcionando. Puede que no sea la que tú esperas, pero aún así los equipos no se quedarán tirados.
Saludos!
SHINZONITO
Usuari@ ADSLzone
- Mensajes
- 1,036
Supongo que tienes razón. Es como, por ejemplo que yo, por costumbre, siempre tengo direcciones tipo 192.168.1..... me quedé sin acceso en todos los equipos porque el mikrotik no usaba ese rango hasta que lo cambié al que yo usaba. En lo que más pensaba era en casos tipo programas que necesitan apuntar cierta dirección a cierto puerto que, en ese caso, tendría un problema pero que, bueno, tampoco es tal problema. De todas formas, te estoy haciendo caso porque si con tu experiencia crees que es mejor te hago caso.
malabar_bcn
Usuari@ ADSLzone
- Mensajes
- 33
Hola @pokoyo , ayer ejecuté un script para desactivar el wifi por la noche a través de las reglas de provisioning.
Esta mañana he vuelto a activar el provisioning, pero nininguno de los cAP emite ninguna señal.
En las capturas de abajo puedes ver tanto los scripts, como capturas de capsman. Alguna idea?
Gracias,
Esta mañana he vuelto a activar el provisioning, pero nininguno de los cAP emite ninguna señal.
En las capturas de abajo puedes ver tanto los scripts, como capturas de capsman. Alguna idea?
Gracias,
Adjuntos
-
Pic_1.PNG -
Pic_2.PNG -
Pic_3.PNG
- Mensajes
- 9,759
Export, please. ¿Están bien hechas esas reglas de provisioning estáticas? Lo mismo he resulta más sencillo hacerlas dinámicas y que el script simplemente apague/encienda CAPsMAN. Es un poco burrada, pero para un entorno casero, me parece mejor solución que el script que tienes.
Saludos!
Saludos!
malabar_bcn
Usuari@ ADSLzone
- Mensajes
- 33
- Mensajes
- 9,759
Borra las reglas de los CAPs manuales, las de la primera pestaña (CAP Interface) y vuelve a provisionar los AP's a partir de las reglas de provisionamiento dinámico (simpelmente ve a Remote CAP, selecciona los AP's, y pulsa "Provision") Una vez veas las reglas creadas dinámicamente en la primera pestaña (con una D delante, como se aprecia en la siguiente foto) lo dejas así:
Hecho esto, los scripts de arrancado y parado lo único que tienen que hacer es encender/apagar CAPsMAN:
Me resulta más sencillo que lo que estás haciendo ahora mismo.
Saludos!
Hecho esto, los scripts de arrancado y parado lo único que tienen que hacer es encender/apagar CAPsMAN:
Código:
# ENABLE CAPsMAN
/caps-man manager
set enabled=yes
# DISABLE CAPsMAN
/caps-man manager
set enabled=noMe resulta más sencillo que lo que estás haciendo ahora mismo.
Saludos!
malabar_bcn
Usuari@ ADSLzone
- Mensajes
- 33
Hola @pokoyo , gracias, ha funcionado el provisionar de nuevo los cAP's.
Sin embargo, no estoy seguro que la combinación script+scheduler funcione correctamente (el scheduler ejecuta el apagado a las 23:00, y ejecuta el encendido del CAPsMAN a las 08:00).
El CAPsMAN manager se apaga correctamente, pero esta mañana me encuentro lo siguiente:
Al ejecutar de nuevo el script, las interfaces se levantan correctamente:
Puede ser que el scheduler esté mal?
Sin embargo, no estoy seguro que la combinación script+scheduler funcione correctamente (el scheduler ejecuta el apagado a las 23:00, y ejecuta el encendido del CAPsMAN a las 08:00).
El CAPsMAN manager se apaga correctamente, pero esta mañana me encuentro lo siguiente:
Al ejecutar de nuevo el script, las interfaces se levantan correctamente:
Puede ser que el scheduler esté mal?
- Mensajes
- 9,759
Prueba a crear un scheduler que ejecute cada 10 minutos, y pruebas rápido si es eso o no. Pero antes, borra la entrada estática que te queda por ahí, a ver si te estuviera causando problema (esa que pone cap1)
Lo único que se se ocurre es que sea un tema de permisos, pero aparentemente, según tus pantallazos, parece que esté todo bien.
Saludos!
Lo único que se se ocurre es que sea un tema de permisos, pero aparentemente, según tus pantallazos, parece que esté todo bien.
Saludos!
diamuxin
Usuari@ ADSLzone
- Mensajes
- 403
Prueba a pulsar "Don't Require Permissions" en el script, a veces me ha pasado en algunos scripts que daba algún error en el log (comprueba a la hora de ejecución si te ha dado algún error) y se solucionaba de esa forma.
S@lu2.
- Mensajes
- 9,759
Ojo con el don't require permisions, que convierte ese script en algo público que cualquier usuario del equipo, sin permisos, puede correr. Si es lo que buscas, bien, pero no marquéis esa opción con scripts delicados, que os la pueden liar pero bien.
Saludos!
Saludos!
trebor1989
Usuari@ ADSLzone
- Mensajes
- 8
Buenas!
He seguido la guía sin problema hasta que he reseteado el wap ac en modo cap que se me queda el led parpadeando en "inicializando" y no llega a detectarlo el Capsman del Hex poe. También es raro que no logro conectarme al wap ac a través de windbox, solo he podido conectarme via web cuando lo reseteo por defecto y me conecto por wifi a la red que crea, he probado con las dos mac (aunque una es la de la interfaz wifi ...) y por la ip que le sirve el dhcp cuando está en modo cap y nada.
Dejo por aquí el export del hex poe con el hide-sensitive y quitando cosas inecesarias como leases estáticos del dhcp, entradas dns local y ocultando dominios, correos, algún puerto abierto y demás. Podrás comprobar que he utilizado más de un tutorial tuyo Pokoyo (igual hay alguna cosa rara con la vpn ikev2, la he cambiado por el nuevo tutorial pero todavía no lo he probado, quiero dejar primero el wifi funcionando), muchas gracias de nuevo por todo.
He seguido la guía sin problema hasta que he reseteado el wap ac en modo cap que se me queda el led parpadeando en "inicializando" y no llega a detectarlo el Capsman del Hex poe. También es raro que no logro conectarme al wap ac a través de windbox, solo he podido conectarme via web cuando lo reseteo por defecto y me conecto por wifi a la red que crea, he probado con las dos mac (aunque una es la de la interfaz wifi ...) y por la ip que le sirve el dhcp cuando está en modo cap y nada.
Dejo por aquí el export del hex poe con el hide-sensitive y quitando cosas inecesarias como leases estáticos del dhcp, entradas dns local y ocultando dominios, correos, algún puerto abierto y demás. Podrás comprobar que he utilizado más de un tutorial tuyo Pokoyo (igual hay alguna cosa rara con la vpn ikev2, la he cambiado por el nuevo tutorial pero todavía no lo he probado, quiero dejar primero el wifi funcionando), muchas gracias de nuevo por todo.
Código:
# aug/01/2021 18:54:28 by RouterOS 6.48.3
# software id = 9AEG-CGLU
#
# model = RB960PGS
# serial number = *********
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz frequency=2412 name=channel1
add band=2ghz-g/n control-channel-width=20mhz frequency=2437 name=channel6
add band=2ghz-g/n control-channel-width=20mhz frequency=2462 name=channel11
/interface bridge
add admin-mac=48:8F:5A:*:*:* auto-mac=no comment=defconf name=bridge
add name=bridge-guests
/interface vlan
add interface=ether1 name=vlan-wan vlan-id=20
/caps-man datapath
add bridge=bridge-guests client-to-client-forwarding=no local-forwarding=no \
name=datapath-guests
add bridge=bridge client-to-client-forwarding=yes local-forwarding=no name=\
datapath-lan
/caps-man rates
add basic=24Mbps name=g/n-only supported=24Mbps,36Mbps,48Mbps,54Mbps
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
name=security-profile-guests
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
name=security-profile-lan
/caps-man configuration
add channel=channel1 country=spain datapath=datapath-guests mode=ap name=\
wifi-guests rates=g/n-only security=security-profile-guests ssid=\
NombreInvitados
add channel=channel1 country=spain datapath=datapath-lan mode=ap name=\
wifi-lan rates=g/n-only security=security-profile-lan ssid=Nombre
/interface list
add comment=defconf name=WAN
add comment=defcon name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec policy group
add name=ike2-template-group
/ip ipsec profile
add dh-group=modp2048,modp1536,modp1024 enc-algorithm=aes-256,aes-192,aes-128 \
hash-algorithm=sha256 name=ike2-profile
/ip ipsec peer
add exchange-mode=ike2 name=ike2-peer passive=yes profile=ike2-profile
/ip ipsec proposal
set [ find default=yes ] pfs-group=none
add auth-algorithms=sha512,sha256,sha1 enc-algorithms="aes-256-cbc,aes-256-ctr\
,aes-256-gcm,aes-192-ctr,aes-192-gcm,aes-128-cbc,aes-128-ctr,aes-128-gcm" \
lifetime=8h name=ike2-proposal pfs-group=none
/ip pool
add name=default-dhcp ranges=192.168.1.2-192.168.1.254
add name=pool-vpn ranges=192.168.3.10-192.168.3.254
add name=pool-guests ranges=192.168.2.2-192.168.2.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
add address-pool=pool-guests disabled=no interface=bridge-guests name=\
dhcp-guests
/ip ipsec mode-config
add address-pool=pool-vpn address-prefix-length=32 name=\
ike2-conf-road-warrior split-include=0.0.0.0/0
/caps-man manager
set enabled=yes
/caps-man manager interface
set [ find default=yes ] forbid=yes
add disabled=no interface=bridge
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=wifi-lan name-format=\
identity slave-configurations=wifi-guests
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=none
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=vlan-wan list=WAN
/ip address
add address=192.168.1.1/24 comment=defconf interface=bridge network=\
192.168.1.0
add address=192.168.2.1/24 interface=bridge-guests network=192.168.2.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf disabled=no interface=ether1
add disabled=no interface=vlan-wan use-peer-dns=no
/ip dhcp-server lease
#******
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf dns-server=192.168.1.1 domain=\
nombre gateway=192.168.1.1 netmask=24
add address=192.168.2.0/24 gateway=192.168.2.1
/ip dns
set allow-remote-requests=yes use-doh-server=https://1.1.1.1/dns-query \
verify-doh-cert=yes
/ip dns static
#*****
/ip firewall address-list
add address=ddns.midominio.com list=public-ip
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment="Allow IPSec" dst-port=500,4500 \
protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input comment="accept vpn encrypted input traffic" \
ipsec-policy=in,ipsec src-address=192.168.3.0/24
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
add action=drop chain=forward comment="block guests accesing LAN" \
dst-address=192.168.1.0/24 src-address=192.168.2.0/24
add action=drop chain=forward comment="block LAN accesing guests" \
dst-address=192.168.2.0/24 src-address=192.168.1.0/24
/ip firewall mangle
add action=change-mss chain=forward comment="ike2-road-warrior clamp tcp mss" \
ipsec-policy=in,ipsec new-mss=1360 passthrough=yes protocol=tcp \
src-address=192.168.3.0/24 tcp-flags=syn tcp-mss=!0-1360
add action=change-mss chain=forward dst-address=192.168.3.0/24 ipsec-policy=\
out,ipsec new-mss=1360 passthrough=yes protocol=tcp tcp-flags=syn \
tcp-mss=!0-1360
/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=\
192.168.1.0/24 src-address=192.168.1.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
# puertos abiertos de servicios
/ip ipsec identity
add auth-method=digital-signature certificate=vpn-server comment=msi \
generate-policy=port-strict match-by=certificate mode-config=\
ike2-conf-road-warrior peer=ike2-peer policy-template-group=\
ike2-template-group remote-certificate=vpn-client-msi
add auth-method=digital-signature certificate=vpn-server comment=mobile \
generate-policy=port-strict match-by=certificate mode-config=\
ike2-conf-road-warrior peer=ike2-peer policy-template-group=\
ike2-template-group remote-certificate=vpn-client-mobile
/ip ipsec policy
add comment=road-warrior dst-address=192.168.3.0/24 group=ike2-template-group \
proposal=ike2-proposal src-address=0.0.0.0/0 template=yes
/ip service
set telnet disabled=yes port=22656
set ftp disabled=yes port=22654
set www address=192.168.1.0/24 port=22657
set ssh address=192.168.1.0/24 port=22655
set api disabled=yes
set winbox address=192.168.1.0/24
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Madrid
/system scheduler
add interval=1w name=backupcloudsemanal on-event=cloudbackup policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
start-date=apr/05/2021 start-time=14:25:48
/system script
add dont-require-permissions=no name=cloudbackup owner=admin policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source=\
""
/tool bandwidth-server
set enabled=no
/tool e-mail
set address=***.***.***.*** from=user@midominio.com port=587 user=\
user
/tool mac-server
set allowed-interface-list=none
/tool mac-server mac-winbox
set allowed-interface-list=LAN- Mensajes
- 9,759
No veo nada raro, la verdad. Prueba a quitar el data rate y no uses el "forbid=yes" en al manager initerface. Con un data rate con 24Mbps de mínimo, habrá chismes que se queden fuera de cobertura, a la que estén un poco alejados del AP. Y, con configurar los canales como "g/n", ya estás quitando los rates del wifi "b", así que no necesitas especificar el data rate.
Y, para resetear los AP's en modo CAP, hazlo desde el System -> Reset Configuration-> CAPS mode, en lugar de usar el botón de reset, y así evitas que el AP entre en modo netinstall, si te pasas de tiempo manteniendo el reset pulsado (que sospecho será lo que te esté pasando).
Saludos!
Y, para resetear los AP's en modo CAP, hazlo desde el System -> Reset Configuration-> CAPS mode, en lugar de usar el botón de reset, y así evitas que el AP entre en modo netinstall, si te pasas de tiempo manteniendo el reset pulsado (que sospecho será lo que te esté pasando).
Saludos!
trebor1989
Usuari@ ADSLzone
- Mensajes
- 8
Perdón por tardar en contestar y muchas gracias.
A ver cuando puedo probar y te digo. Es para un negocio y necesito que estén de vacaciones o que sea fin de semana (y saque un rato) y pueda desconectarles. Actualmente hay un Hex con un ap doméstico con vlan y red aparte configuradas manualmente y con un monton de aparatos de domótica conectados. Compré el Hex Poe para configurarlo a ratos y sustituirlo directamente sin interferirles demasiado.
De momento solo he cogido un wAP ac que espero me llegue para todo el pabellón (si no cogeré otro) y en un futuro dar acceso a un almacén cercano (del estilo al del hilo del subforo de wifi del almacén con los sxtsq5 ac).
Probaré lo que me comentas del AP con un portatil y con el winbox por mac ya que como lo estoy haciendo ahora con un móvil al resetearse se me desconecta de la wifi que crea y no se muy bien como queda después de hacerlo. Es posible que al hacerlo también a través del botón me pase eso.
Como dato para poder resetearlo de fábrica a través del botón he tenido que desconectarlo del hex poe y conectarlo al portátil directamente como comentó otro forero en algún hilo sobre esto que estuve buscando.
Un saludo!
trebor1989
Usuari@ ADSLzone
- Mensajes
- 8
Buenas tardes!
Lo conseguí @pokoyo , he quitado el rate y el forbid=yes. Pero creo que el problema estaba al resetear el ap en el modo cap, como comenté lo hice con un móvil y creo que no le daba tiempo a terminar de resetearse correctamente a la hora de desconectarlo de la toma de red y "llevarlo" al router. De todas formas ahora lo he conseguido trayéndome un portátil y conectandome al ap a trevés de winbox en vez de webfig y ahora me he dado cuenta que en las luces del ap cuando se resetea en modo cap se queda parpadeándo sólo esa luz (la de eth quizá también pero lo tenía desenchufado) y se queda fija cuando se termina de iniciar y creo que ahí estaba el problema. Desconectaba el aparato antes de resetearse completamente.
Automáticamente ya aparece en la pestaña Cap interface. Esa parte de los canales no soportados, que es?
Un saludo y muchas gracias de nuevo!
Lo conseguí @pokoyo , he quitado el rate y el forbid=yes. Pero creo que el problema estaba al resetear el ap en el modo cap, como comenté lo hice con un móvil y creo que no le daba tiempo a terminar de resetearse correctamente a la hora de desconectarlo de la toma de red y "llevarlo" al router. De todas formas ahora lo he conseguido trayéndome un portátil y conectandome al ap a trevés de winbox en vez de webfig y ahora me he dado cuenta que en las luces del ap cuando se resetea en modo cap se queda parpadeándo sólo esa luz (la de eth quizá también pero lo tenía desenchufado) y se queda fija cuando se termina de iniciar y creo que ahí estaba el problema. Desconectaba el aparato antes de resetearse completamente.
Automáticamente ya aparece en la pestaña Cap interface. Esa parte de los canales no soportados, que es?
Un saludo y muchas gracias de nuevo!
- Mensajes
- 9,759
Supongo que porque no tienes bien puesto el país en la configuración, y estás seleccionando un canal fuera de la banda de 5GHz. Pásame si quieres un export y lo reviso.
Saludos!
trebor1989
Usuari@ ADSLzone
- Mensajes
- 8
Tengo puesto de country spain y creo ahora mismo creo que solo estoy usando la 2.4GHz que son los canales que cree con /caps-man channel. Para la 5GHz solo hay que crearlos de la misma forma o hay que hacer algo más?
Te paso el export, gracias!
Código:
# sep/22/2021 18:40:35 by RouterOS 6.48.3
# model = RB960PGS
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz frequency=2412 name=channel1
add band=2ghz-g/n control-channel-width=20mhz frequency=2437 name=channel6
add band=2ghz-g/n control-channel-width=20mhz frequency=2462 name=channel11
/interface bridge
add admin-mac=48:8F:5A:X:X:X auto-mac=no comment=defconf name=bridge
add name=bridge-guests
/interface vlan
add interface=ether1 name=vlan-wan vlan-id=20
/caps-man datapath
add bridge=bridge-guests client-to-client-forwarding=no local-forwarding=no \
name=datapath-guests
add bridge=bridge client-to-client-forwarding=yes local-forwarding=no name=\
datapath-lan
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
name=security-profile-guests
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
name=security-profile-lan
/caps-man configuration
add channel=channel1 country=spain datapath=datapath-guests mode=ap name=\
wifi-guests security=security-profile-guests ssid=WifiInvitados
add channel=channel1 country=spain datapath=datapath-lan mode=ap name=\
wifi-lan security=security-profile-lan ssid=Wifi
/interface list
add comment=defconf name=WAN
add comment=defcon name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec policy group
add name=ike2-template-group
/ip ipsec profile
add dh-group=modp2048,modp1536,modp1024 enc-algorithm=aes-256,aes-192,aes-128 \
hash-algorithm=sha256 name=ike2-profile
/ip ipsec peer
add exchange-mode=ike2 name=ike2-peer passive=yes profile=ike2-profile
/ip ipsec proposal
set [ find default=yes ] pfs-group=none
add auth-algorithms=sha512,sha256,sha1 enc-algorithms="aes-256-cbc,aes-256-ctr\
,aes-256-gcm,aes-192-ctr,aes-192-gcm,aes-128-cbc,aes-128-ctr,aes-128-gcm" \
lifetime=8h name=ike2-proposal pfs-group=none
/ip pool
add name=default-dhcp ranges=192.168.1.2-192.168.1.254
add name=pool-vpn ranges=192.168.3.10-192.168.3.254
add name=pool-guests ranges=192.168.2.2-192.168.2.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
add address-pool=pool-guests disabled=no interface=bridge-guests name=\
dhcp-guests
/ip ipsec mode-config
add address-pool=pool-vpn address-prefix-length=32 name=\
ike2-conf-road-warrior split-include=0.0.0.0/0
/caps-man manager
set enabled=yes
/caps-man manager interface
add disabled=no interface=bridge
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=wifi-lan name-format=\
identity slave-configurations=wifi-guests
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=all
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=vlan-wan list=WAN
/ip address
add address=192.168.1.1/24 comment=defconf interface=bridge network=\
192.168.1.0
add address=192.168.2.1/24 interface=bridge-guests network=192.168.2.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf disabled=no interface=ether1
add disabled=no interface=vlan-wan use-peer-dns=no
/ip dhcp-server lease
....
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf dns-server=192.168.1.1 domain=\
dominio gateway=192.168.1.1 netmask=24
add address=192.168.2.0/24 gateway=192.168.2.1
/ip dns
set allow-remote-requests=yes use-doh-server=https://1.1.1.1/dns-query \
verify-doh-cert=yes
/ip dns static
....
/ip firewall address-list
add address=ddns.dominio.com list=public-ip
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment="Allow IPSec" dst-port=500,4500 \
protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input comment="accept vpn encrypted input traffic" \
ipsec-policy=in,ipsec src-address=192.168.3.0/24
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
add action=drop chain=forward comment="block guests accesing LAN" \
dst-address=192.168.1.0/24 src-address=192.168.2.0/24
add action=drop chain=forward comment="block LAN accesing guests" \
dst-address=192.168.2.0/24 src-address=192.168.1.0/24
/ip firewall mangle
add action=change-mss chain=forward comment="ike2-road-warrior clamp tcp mss" \
ipsec-policy=in,ipsec new-mss=1360 passthrough=yes protocol=tcp \
src-address=192.168.3.0/24 tcp-flags=syn tcp-mss=!0-1360
add action=change-mss chain=forward dst-address=192.168.3.0/24 ipsec-policy=\
out,ipsec new-mss=1360 passthrough=yes protocol=tcp tcp-flags=syn \
tcp-mss=!0-1360
/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=\
192.168.1.0/24 src-address=192.168.1.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
.....
/ip ipsec identity
add auth-method=digital-signature certificate=vpn-server comment=msi \
generate-policy=port-strict match-by=certificate mode-config=\
ike2-conf-road-warrior peer=ike2-peer policy-template-group=\
ike2-template-group remote-certificate=vpn-client-msi
add auth-method=digital-signature certificate=vpn-server comment=mobile \
generate-policy=port-strict match-by=certificate mode-config=\
ike2-conf-road-warrior peer=ike2-peer policy-template-group=\
ike2-template-group remote-certificate=vpn-client-mobile
/ip ipsec policy
add comment=road-warrior dst-address=192.168.3.0/24 group=ike2-template-group \
proposal=ike2-proposal src-address=0.0.0.0/0 template=yes
/ip service
set telnet disabled=yes port=22656
set ftp disabled=yes port=22654
set www address=192.168.1.0/24 port=22657
set ssh address=192.168.1.0/24 port=22655
set api disabled=yes
set winbox address=192.168.1.0/24
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Madrid
/system scheduler
add interval=1w name=backupcloudsemanal on-event=cloudbackup policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
start-date=apr/05/2021 start-time=14:25:48
/system script
add dont-require-permissions=no name=cloudbackup owner=admin policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source=\
""
/tool bandwidth-server
set enabled=no
/tool e-mail
set address=X.X.X.X from=cuenta@dominio.com port=587 user=\
user
/tool mac-server
set allowed-interface-list=none
/tool mac-server mac-winbox
set allowed-interface-list=LANUn saludo
