Perfecto.Se me pasó, sorry! Lo veo mañana y lo vemos juntos. Cuando tienes un rato libre?
Saludos!
Perfecto entoncesVenga, pues reviso la configuración mañana por la mañana y sobre las 4 quedamos por aquí para echarle un vistazo, te parece? Descuida que lo dejamos todo funcionando.
Saludos!
/caps-man security
add authentication-types=wpa-psk,wpa2-psk encryption=aes-ccm \
group-encryption=aes-ccm name=security
/caps-man security set 0 authentication-types=wpa2-psk name=home-password
/caps-man security add copy-from=0 name=guests-password passphrase=gu3stsW1f1
/caps-man datapath
en ella. Esto es así porque lo ha hecho directamente sobre la siguiente pestaña, la de configuración. No obstante, yo soy partidario de dar de alta cada cosa en su sitio, y luego simplemente referenciarla: me da la sensación de que así se ve más claro. Pero tienes que tener en cuenta lo que hablábamos antes: cuanto más a la izquierda, más prioritario. Si yo defino ahora unas opciones de datapath y luego las defino de nuevo en el apartado "Configuration", estoy pisando las originales, puerto que las de ese menú preceden a estas. Contando con que queremos dos tipos de redes, la nuestra y la de invitados, tendríamos dos datapath bien diferenciados, el de casa y el de invitados, los damos de alta como tal. Vamos primero a por el de casa:/caps-man datapath add bridge=bridge client-to-client-forwarding=yes local-forwarding=no name=home-datapath
/interface bridge add name=bridge-guests
/caps-man datapath add bridge=bridge-guests client-to-client-forwarding=no local-forwarding=no name=guests-datapath
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled name=\
2ghz-ch-01 frequency=2412
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled name=\
2ghz-ch-06 frequency=2437
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled name=\
2ghz-ch-11 frequency=2462
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
frequency=2412,2437,2462 name=2ghz-auto
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=XX name=\
5ghz-auto-40
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=XXXX name=\
5ghz-auto-80
/caps-man configuration
# Primero los de la red de casa
add channel=2ghz-ch-01 channel.tx-power=17 country=spain datapath=home-datapath \
mode=ap name=2ghz-ch1-home-cfg security=home-password ssid="LOZA QUINTANA MD"
add channel=2ghz-ch-06 channel.tx-power=17 country=spain datapath=home-datapath \
mode=ap name=2ghz-ch6-home-cfg security=home-password ssid="LOZA QUINTANA MD"
add channel=2ghz-ch-11 channel.tx-power=17 country=spain datapath=home-datapath \
mode=ap name=2ghz-ch11-home-cfg security=home-password ssid="LOZA QUINTANA MD"
# Luego lo mismo, pero para la de invitados
add channel=2ghz-ch-01 channel.tx-power=17 country=spain datapath=guests-datapath \
mode=ap name=2ghz-ch1-guests-cfg security=guests-password ssid="LOZA QUINTANA INV"
add channel=2ghz-ch-06 channel.tx-power=17 country=spain datapath=guests-datapath \
mode=ap name=2ghz-ch6-guests-cfg security=guests-password ssid="LOZA QUINTANA INV"
add channel=2ghz-ch-11 channel.tx-power=17 country=spain datapath=guests-datapath \
mode=ap name=2ghz-ch11-guests-cfg security=guests-password ssid="LOZA QUINTANA INV"
# Y por último las de la wifi de 5GHz, todo automático en 40 y 80MHz, para poder elegir luego
add channel=5ghz-auto-40 country=spain datapath=home-datapath mode=ap name=\
5ghz-40MHz-home-cfg security=home-password ssid="LOZA QUINTANA MD"
add channel=5ghz-auto-80 country=spain datapath=home-datapath mode=ap name=\
5ghz-80MHz-home-cfg security=home-password ssid="LOZA QUINTANA MD"
/caps-man provisioning
# Consideramos AA:BB:CC:DD:EE:F0 la MAC de 2GHz del hAP-ac2 = canal 1
add action=create-dynamic-enabled comment=hAP-ac2-2ghz master-configuration=\
2ghz-ch1-home-cfg slave-configurations=2ghz-ch1-guests-cfg name-format=\
prefix-identity name-prefix=2ghz radio-mac=AA:BB:CC:DD:EE:F0
# Consideramos AA:BB:CC:DD:EE:F1 la MAC de 5GHz del hAP-ac2 = canal auto
add action=create-dynamic-enabled comment=hAP-ac2-5ghz master-configuration=\
5ghz-80MHz-home-cfg name-format=\
prefix-identity name-prefix=5ghz radio-mac=AA:BB:CC:DD:EE:F1
# Consideramos AA:BB:CC:DD:EE:F2 la MAC de 2GHz del cAP-ac = canal 6
add action=create-dynamic-enabled comment=cAP-ac-2ghz master-configuration=\
2ghz-ch6-home-cfg slave-configurations=2ghz-ch6-guests-cfg name-format=\
prefix-identity name-prefix=2ghz radio-mac=AA:BB:CC:DD:EE:F2
# Consideramos AA:BB:CC:DD:EE:F3 la MAC de 5GHz del cAP-ac = canal auto
add action=create-dynamic-enabled comment=hAP-ac2-5ghz master-configuration=\
5ghz-80MHz-home-cfg name-format=\
prefix-identity name-prefix=5ghz radio-mac=AA:BB:CC:DD:EE:F3
# Consideramos AA:BB:CC:DD:EE:F4 la MAC de 2GHz del hAP-lite = canal 11
add action=create-dynamic-enabled comment=cAP-ac-2ghz master-configuration=\
2ghz-ch11-home-cfg slave-configurations=2ghz-ch11-guests-cfg name-format=\
prefix-identity name-prefix=2ghz radio-mac=AA:BB:CC:DD:EE:F4
# Le decimos que, como este equipo es CAP y a su vez CAPsMAN,
# tiene que apuntar a él mismo para descubrirse como tal, con
# su dirección de loopback, 127.0.0.1
/interface wireless cap
set bridge=bridge caps-man-addresses=127.0.0.1 enabled=yes interfaces=wlan1,wlan2
/ip address
add address=192.168.77.1/24 interface=bridge-guests network=192.168.77.0
/ip pool
add name=pool-guests ranges=192.168.77.2-192.168.77.254
/ip dhcp-server network
add address=192.168.77.0/24 gateway=192.168.77.1
/ip dhcp-server
add address-pool=pool-guests disabled=no interface=bridge-guests name=dhcp-guests
/ip firewall filter
add action=drop chain=forward comment="drop communication from LAN to GUEST network" \
src-address=192.168.88.0/24 dst-address=192.168.77.0/24
add action=drop chain=forward comment="drop communication from GUEST network to LAN" \
src-address=192.168.77.0/24 dst-address=192.168.88.0/24
Venga, ya tengo tu configuración analizada. ¿podrías que la red wifi que estés viendo la esté emitiendo otro equipo que ya tengas puesto en modo CAP, de ahí que la veas un poco lejana? Creo que sí.
Vamos a ir trabajando sobre esa configuración base, aunque prácticamente la vamos a rehacer, pero me interesa que la estudies, así de paso, te sirve de forma didáctica para ver lo que ha hecho el router por sí mismo cuando le digiste "Home Mesh" en el selector. Te voy a ir mandando comandos a meter en el terminal (lo tienes en las opciones de la columna de la izquierda en winbox), para ir modificando tu configuración. Descuida que te explico en cada paso qué vamos haciendo. Lo puedes hacer igualmente de manera visual, pero al ser muchos pasos, y no tener hueco para tanto pantallazo, prefiero hacerlo por consola. Así de paso te sueltas con el terminal, que verás se puede usar para todo y es la manera más rápida de configurar un chisme de estos.
Empezamos por el apartado de la seguridad. Aquí me surge la duda de si vas a querer crear o no una wifi de invitados para los que vengan a casa de fuera, no vean tus chismes. Actualmente tenemos en el export estas líneas:
Sobre esa entrada, lo primero que vamos a hacer es deshabilitar "wpa-psk", y dejar únicamente "wpa2-psk", para soportar únicamente el protocolo de seguridad más seguro (válgame la rebuznancia). Para esto hacemos:Código:/caps-man security add authentication-types=wpa-psk,wpa2-psk encryption=aes-ccm \ group-encryption=aes-ccm name=security
Que lo que viene a decir es "usa únicamente wpa2-psk para ese perfil de serguridad, y le cambias el nombre por algo más intuitivo, como "home-password"Código:/caps-man security set 0 authentication-types=wpa2-psk name=home-password
Ahora, vamos a suponer que quieres crear también la wifi de invitados de paso, así que creamos una copia de lo anterior, pero con otro nombre y otro password, para la red de invitados:
Sobra decir que la password la eliges tú. Al ser de invitados, pon algo sencillito, pero recuerda que el mínimo son 8 caracteres afanuméricos. Y, si no quieres montar red de invitados, este último paso te lo puedes saltar (de aquí en adelante voy a considerar que sí lo quieres, así que todos los pasos tendrán en cuenta ambas redes, omítelos si ves que no te interesa).Código:/caps-man security add copy-from=0 name=guests-password passphrase=gu3stsW1f1
Seguimos, si abres el menú de CAPsMAN en winbox, verás que empezamos de derecha a izquierda, y esto tiene un sentido: cuanto más a la izquierda, más preferencia. Es decir, puedes sobreescribir los valores que vas dando de alta, si te encuentras el mismo menú en una pestaña que esté más a la izquierda en la configuración. No obstante, nosotros vamos a tratar de no sobreescribir nada de momento. Una vez configurado el perfil de seguridad, lo siguiente que vamos a configurar será el datapath. En él, gestionamos cómo se comporta el tráfico de los clientes inalámbricos, por dónde va y qué restricciones tiene, si es que tiene alguna. Si miras tu configuración verás que no existe una entrada/caps-man datapath
en ella. Esto es así porque lo ha hecho directamente sobre la siguiente pestaña, la de configuración. No obstante, yo soy partidario de dar de alta cada cosa en su sitio, y luego simplemente referenciarla: me da la sensación de que así se ve más claro. Pero tienes que tener en cuenta lo que hablábamos antes: cuanto más a la izquierda, más prioritario. Si yo defino ahora unas opciones de datapath y luego las defino de nuevo en el apartado "Configuration", estoy pisando las originales, puerto que las de ese menú preceden a estas. Contando con que queremos dos tipos de redes, la nuestra y la de invitados, tendríamos dos datapath bien diferenciados, el de casa y el de invitados, los damos de alta como tal. Vamos primero a por el de casa:
Básicamente lo que dice es: añade un nuevo datapath, manda el tráfico al bridge principal (bridge=bridge), permite la comunicación entre clientes inalámbricos (client-to-client-forwarding=yes) y no te quedes con el tráfico de manera local, sino que reenvíaselo al CAPsMAN (local-forwarding=no). Esto último, si bien es un esfuerzo extra para el capsman y penaliza un pelín la velocidad total, te permite controlar todas las interfaces que van a crear los CAPs en un único punto, el CAPsMAN, pudiendo visualizar de un plumazo el tráfico que va a cada una de ellas. Además de eso, te viene bien para centralizar cualquier tipo de filtrado a nivel firewall o bridge que quieras hacer en esos equipos. ¿Cuando sería muy conveniente usar el local-forwarding=yes? pues cuando CAP y CAPsMAN no están unidos físicamente en la misma red, sino que están, por ejemplo, comunicados por un túnel VPN. En ese caso, no me interesa que todo el tráfico local del CAP viaje por el túnel, sólo quiero que le llegue la configuración de CAPsMAN por ahí, y quiero que el tráfico que genere ese CAP se quede en la red a la cual está conectado. Este tipo de setup es más avanzado y no vamos a entrar en él, pero está bien que lo sepas.Código:/caps-man datapath add bridge=bridge client-to-client-forwarding=yes local-forwarding=no name=home-datapath
Seguimos, vamos a por el datapath de invitados. Para crearlo, lo primero que vamos a hacer es crear un bridge nuevo, puesto que vamos a separar el tráfico de la red de invitados. Acto seguido, creamos el nuevo datapath, apuntando a ese bridge:
En este caso, como puedes ver, no permitimos la comunicación entre invitados de la red, con el "client-to-client-forwarding=no"Código:/interface bridge add name=bridge-guests /caps-man datapath add bridge=bridge-guests client-to-client-forwarding=no local-forwarding=no name=guests-datapath
Seguimos, lo siguiente que vamos a hacer es dar de alta los canales que vamos a usar. Como vamos a tener 3 AP's en casa, es importante que fijes al menos los canales de la red de 2,4GHz, para que cada AP use un canal distinto, de entre los únicos 3 que no se solapan entre ellos. Si tuvieras 4 AP's, el cuarto tendría que repetir canal, idealmente repitiendo el del AP que más lejos le caiga.
Así, daremos de alta los canales 1, 6 y 11 para la banda de 2,4GHz, más una configuración automática sólo para esos tres canales en 2ghz (luego te digo si acabamos usando esto o los canales fijos). Para la de 5, de momento, lo vamos a dejar en auto, y vamos a crear dos opciones: auto con un ancho de canal de 80MHz, y lo mismo con 40MHz. El ancho de canal establece la cantidad de información que vas a poder mandar de golpe. Probaremos primero con el más alto, 80, y si te da problemas o ves que el rendimiento es pobre por interferencias, usaremos el de 40.
Como ves, hemos dejado los canales listos en 2,4GHz para usarlos tanto de manera automática, a elegir entre el 1, 6 u 11, o individualmente cada uno. Esto lo hago así porque, dependiendo de lo bien que monte el modo automático el CAPsMAN, hay veces que lo hace perfecto y que los AP's levantan de uno en uno y van cogiendo cada uno un canal distinto, o hay veces donde tienes que especificar qué canal quieres que use cada uno, bien porque ese proceso no sea tan bueno como se espera, o bien porque te interese que un AP funcione en un canal concreto porque tienes un vecino emitiendo en el que hubiera pillado ese AP, y te interesa forzar que ese no lo pille nunca. Yo soy partidario de poner los canales en modo manual en 2,4GHz, pero quería enseñarte la configuración automática con la lista de canales, por si en algún momento te viene bien usarlo así.Código:/caps-man channel add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled name=\ 2ghz-ch-01 frequency=2412 add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled name=\ 2ghz-ch-06 frequency=2437 add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled name=\ 2ghz-ch-11 frequency=2462 add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \ frequency=2412,2437,2462 name=2ghz-auto add band=5ghz-n/ac control-channel-width=20mhz extension-channel=XX name=\ 5ghz-auto-40 add band=5ghz-n/ac control-channel-width=20mhz extension-channel=XXXX name=\ 5ghz-auto-80
Pasamos al apartado de "Configuration", donde trabajaremos sobre las reglas de configuración para los AP. En estas reglas vamos a juntar todo lo que hemos ido creando anteriormente, hasta crear una configuración válida para un AP concreto. Como en tu caso no te interesa segregar por AP, sino que todos en tu casa van a tener la misma configuración (corrígeme si me equivoco), vamos a crear un par de reglas genéricas. Como ves, él ha creado ya 3 reglas de configuración: una para equipos de 2ghz, y otras dos para equipos de 5GHz, una pensada para equipos a/n y otra para equipos n/ac. Como creo que ninguno de tus mikrotik sólo soporta a/n, la tercera regla nos sobraría, y nos quedaríamos con dos + la configuración de la red de invitados. Las reglas que hay las vamos a borrar y a crear desde cero, pero no dejes de echarles un vistazo porque te muestra muy bien cómo, usando únicamente la pestaña "Configuration", puedes definir todo lo que hemos ido definiendo en las pestañas previas. Así, vamos a crear nuestras reglas de configuración: 6 para la wifi de 2,4GHz (3x home e 3x invitados), una por cada canal, y dos más para la wifi de 5GHz (home, con 40 y 80MHz, para poder elegir luego). Como los invitados no los queremos perennes en casa, sólo tendrán wifi a 2,4GHz, pero podrías crear lo mismo en 5GHz, si así lo deseas.
En mi caso, los nombres de las redes van a ser idénticos, dejando en manos de los dispositivos finales elegir una red u otra, en función de la que prefieran ellos, tú puedes cambiar esto si lo deseas. Para la red de 2,4GHz, le bajaremos un pelín la potencia de salida, para forzar dicho roaming a la de 5GHz con más facilidad. Si ves que se te queda "corta" en alcance, puedes omitir ese paso (es el campo channel.tx-power). Vamos a ello:
Código:/caps-man configuration # Primero los de la red de casa add channel=2ghz-ch-01 channel.tx-power=17 country=spain datapath=home-datapath \ mode=ap name=2ghz-ch1-home-cfg security=home-password ssid="LOZA QUINTANA MD" add channel=2ghz-ch-06 channel.tx-power=17 country=spain datapath=home-datapath \ mode=ap name=2ghz-ch6-home-cfg security=home-password ssid="LOZA QUINTANA MD" add channel=2ghz-ch-11 channel.tx-power=17 country=spain datapath=home-datapath \ mode=ap name=2ghz-ch11-home-cfg security=home-password ssid="LOZA QUINTANA MD" # Luego lo mismo, pero para la de invitados add channel=2ghz-ch-01 channel.tx-power=17 country=spain datapath=guests-datapath \ mode=ap name=2ghz-ch1-guests-cfg security=guests-password ssid="LOZA QUINTANA INV" add channel=2ghz-ch-06 channel.tx-power=17 country=spain datapath=guests-datapath \ mode=ap name=2ghz-ch6-guests-cfg security=guests-password ssid="LOZA QUINTANA INV" add channel=2ghz-ch-11 channel.tx-power=17 country=spain datapath=guests-datapath \ mode=ap name=2ghz-ch11-guests-cfg security=guests-password ssid="LOZA QUINTANA INV" # Y por último las de la wifi de 5GHz, todo automático en 40 y 80MHz, para poder elegir luego add channel=5ghz-auto-40 country=spain datapath=home-datapath mode=ap name=\ 5ghz-40MHz-home-cfg security=home-password ssid="LOZA QUINTANA MD" add channel=5ghz-auto-80 country=spain datapath=home-datapath mode=ap name=\ 5ghz-80MHz-home-cfg security=home-password ssid="LOZA QUINTANA MD"
Por último, las reglas de provisioning. Al igual que anteriormente, las reglas que te ha creado son interesantes desde un punto de vista didáctico: básciamente son dinámicas y nos dicen que los equipos que soportan g/n, cojan la configuración para g/n, y que los de 5GHz, en función de su hardware, cojan la de 5GHz con ancho de 40 u 80MHz. No obstante, no nos valen, puesto que tú tienes tres AP's y hemos dicho que vamos a configurar cada uno en un canal, para que no se den de leches entre ellos. Las reglas de provisioning están estrechamente ligadas al dispositivo final, es decir, es la manera de decirle a un AP "esta es tu configuración". Para hacer eso sin error, no hay mejor filtro que usar que la dirección física de las interfaces inalámbricas a las cuales irá dedicada esa configuracción. Cuando pones un AP en modo CAP y lo metes en una red con CAPsMAN, aparecerá en la pestaña de CAPsMAN -> Remote CAP, desde donde puedes cambiarle el nombre al AP y darle un "identity" con el botón "set identity". Esto es importante, de cara no sólo a identificar a los AP's ahora mismo, sino que formarán parte de la interfaz dinámica que se va a crear luego, así que dales un nombre adecuado que te permita identificar a cada AP inequívocamente. Al mismo tiempo desde esa ventana puedes "provisionarlos", que no es ni más ni menos que mandarles la configuración que van a correr, en función de las reglas de provisioning que estemos definiendo. Pues bien, si vamos a la siguiente pestaña "Radio", para cada AP, puedes ver los distintos "radios" (interfaces inalámbricas) que tiene cada uno. En la primera columna, verás el campo "Radio MAC" que nos interesa para crear las reglas de provisioning. En tu caso, manejaremos 5 direcciones MAC y, por tanto, 5 reglas de provisioning (los AP's doble banda tiene dos "radios", uséase, dos direcciones MAC cada uno, más otra del hAP-lite). Por simpleza, voy a inventarme las direcciones MAC, y tú cambialas por las que te toque. Le pondremos un comentario a las reglas de provisioning, de tal manera que sea fácil identificarlas. Las reglas de provisioning que tienes ahora mismo, las puedes borrar, al igual que pasaba antes con las reglas de configuración, están pensadas para otro tipo de setup. Con todo esto dicho, vamos a ello, dando de alta las 5 nuevas reglas de provisioning, para cada radio:
Código:/caps-man provisioning # Consideramos AA:BB:CC:DD:EE:F0 la MAC de 2GHz del hAP-ac2 = canal 1 add action=create-dynamic-enabled comment=hAP-ac2-2ghz master-configuration=\ 2ghz-ch1-home-cfg slave-configurations=2ghz-ch1-guests-cfg name-format=\ prefix-identity name-prefix=2ghz radio-mac=AA:BB:CC:DD:EE:F0 # Consideramos AA:BB:CC:DD:EE:F1 la MAC de 5GHz del hAP-ac2 = canal auto add action=create-dynamic-enabled comment=hAP-ac2-5ghz master-configuration=\ 5ghz-80MHz-home-cfg name-format=\ prefix-identity name-prefix=5ghz radio-mac=AA:BB:CC:DD:EE:F1 # Consideramos AA:BB:CC:DD:EE:F2 la MAC de 2GHz del cAP-ac = canal 6 add action=create-dynamic-enabled comment=cAP-ac-2ghz master-configuration=\ 2ghz-ch6-home-cfg slave-configurations=2ghz-ch6-guests-cfg name-format=\ prefix-identity name-prefix=2ghz radio-mac=AA:BB:CC:DD:EE:F2 # Consideramos AA:BB:CC:DD:EE:F3 la MAC de 5GHz del cAP-ac = canal auto add action=create-dynamic-enabled comment=hAP-ac2-5ghz master-configuration=\ 5ghz-80MHz-home-cfg name-format=\ prefix-identity name-prefix=5ghz radio-mac=AA:BB:CC:DD:EE:F3 # Consideramos AA:BB:CC:DD:EE:F4 la MAC de 2GHz del hAP-lite = canal 11 add action=create-dynamic-enabled comment=cAP-ac-2ghz master-configuration=\ 2ghz-ch11-home-cfg slave-configurations=2ghz-ch11-guests-cfg name-format=\ prefix-identity name-prefix=2ghz radio-mac=AA:BB:CC:DD:EE:F4
Y con esto habríamos terminado la configuración de CAPsMAN. Como las reglas de provisioning tienen la instrucción "create-dynamic-enabled", quiere decir que las interfaces CAP, irán apareciendo automáticamente en la primera pestaña "CAP Interface" tan pronto como conectes un equipo en modo CAP que machee con esas reglas.
¿qué nos queda? Pues un par de detalles importantes. Primero, editar la configuracción del hAP-ac2 en cuanto a ser CAP de su propio CAPsMAN. Esto sólo hay que hacerlo en este equipo, porque se da esa extraña casuística, que es a su vez CAPsMAN y CAP, al mismo tiempo.
Código:# Le decimos que, como este equipo es CAP y a su vez CAPsMAN, # tiene que apuntar a él mismo para descubrirse como tal, con # su dirección de loopback, 127.0.0.1 /interface wireless cap set bridge=bridge caps-man-addresses=127.0.0.1 enabled=yes interfaces=wlan1,wlan2
Y segundo, como hemos creado una red de invitados, vamos a darle un direccionamiento, que ahora mismo no tiene (sólo hemos creado su bridge, pero nada más, tenemos que darle IP y un servidor DHCP). Por ejemplo, como tu red va por defecto en la 192.168.88.1/24 (lo puedes ver en /ip address), vamos a meter a los invitados en la red 192.168.77.1/24. Así mismo, crearemos un pool de direcciones para el servidor dhcp y el propio servidor en sí mismo:
Código:/ip address add address=192.168.77.1/24 interface=bridge-guests network=192.168.77.0 /ip pool add name=pool-guests ranges=192.168.77.2-192.168.77.254 /ip dhcp-server network add address=192.168.77.0/24 gateway=192.168.77.1 /ip dhcp-server add address-pool=pool-guests disabled=no interface=bridge-guests name=dhcp-guests
Con todo esto, lo último que nos quedaría es crear un par de reglas de firewall, para evitar que los clientes invitados tengan acceso a nuestra red. Las reglas irán en dos sentidos, ni que los clientes invitados tengan acceso a la LAN, ni que nuestra LAN tenga acceso a los clientes invitados:
Código:/ip firewall filter add action=drop chain=forward comment="drop communication from LAN to GUEST network" \ src-address=192.168.88.0/24 dst-address=192.168.77.0/24 add action=drop chain=forward comment="drop communication from GUEST network to LAN" \ src-address=192.168.77.0/24 dst-address=192.168.88.0/24
Y, con todo esto, tendríamos el CAPsMAN listo para ir metiendo CAPs. Sé que te he montado un tostón, pero vez haciéndolo poco a poco y me vas preguntando si en algún momento algún comando te da problemas, puede haber alguna errata en los mismos que se me haya colado (espero que no). De entrada parece una barbaridad de configuración, pero una vez lo tengas y hagas un export, verás que no es tanto lo que varía de la configuración que tú me pasaste.
Saludos!
import fichero.rsc
###############################################################
# Preparamos el router para tener una wifi de invitados aparte
###############################################################
/interface bridge add name=bridge-guests
/ip address
add address=192.168.77.1/24 interface=bridge-guests network=192.168.77.0
/ip pool
add name=pool-guests ranges=192.168.77.2-192.168.77.254
/ip dhcp-server network
add address=192.168.77.0/24 gateway=192.168.77.1
/ip dhcp-server
add address-pool=pool-guests disabled=no interface=bridge-guests name=dhcp-guests
/ip firewall filter
add action=drop chain=forward comment="drop communication from LAN to GUEST network" \
src-address=192.168.88.0/24 dst-address=192.168.77.0/24
add action=drop chain=forward comment="drop communication from GUEST network to LAN" \
src-address=192.168.77.0/24 dst-address=192.168.88.0/24
#########################
# Configuración CAPsMAN
#########################
# Creamos los perfiles de seguridad
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
name=guests-password passphrase=gu3stsW1f1
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
name=home-password passphrase=MySup3rW1f1p4ssw0rd!
# Creamos los datapath
/caps-man datapath
add bridge=bridge client-to-client-forwarding=yes local-forwarding=no name=home-datapath
add bridge=bridge-guests client-to-client-forwarding=no local-forwarding=no name=guests-datapath
# Creamos los canales a usar
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled name=\
2ghz-ch-01 frequency=2412
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled name=\
2ghz-ch-06 frequency=2437
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled name=\
2ghz-ch-11 frequency=2462
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
frequency=2412,2437,2462 name=2ghz-auto-20
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=XX name=\
5ghz-auto-40
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=XXXX name=\
5ghz-auto-80
# Montamos las configuraciones a entregar
# Primero los de la red de casa
/caps-man configuration
add channel=2ghz-ch-01 channel.tx-power=17 country=spain datapath=home-datapath \
mode=ap name=2ghz-ch1-home-cfg security=home-password ssid="LOZA QUINTANA MD"
add channel=2ghz-ch-06 channel.tx-power=17 country=spain datapath=home-datapath \
mode=ap name=2ghz-ch6-home-cfg security=home-password ssid="LOZA QUINTANA MD"
add channel=2ghz-ch-11 channel.tx-power=17 country=spain datapath=home-datapath \
mode=ap name=2ghz-ch11-home-cfg security=home-password ssid="LOZA QUINTANA MD"
# Luego lo mismo, pero para la de invitados
/caps-man configuration
add channel=2ghz-ch-01 channel.tx-power=17 country=spain datapath=guests-datapath \
mode=ap name=2ghz-ch1-guests-cfg security=guests-password ssid="LOZA QUINTANA INV"
add channel=2ghz-ch-06 channel.tx-power=17 country=spain datapath=guests-datapath \
mode=ap name=2ghz-ch6-guests-cfg security=guests-password ssid="LOZA QUINTANA INV"
add channel=2ghz-ch-11 channel.tx-power=17 country=spain datapath=guests-datapath \
mode=ap name=2ghz-ch11-guests-cfg security=guests-password ssid="LOZA QUINTANA INV"
# Y por último las de la wifi de 5GHz, todo automático en 40 y 80MHz, para poder elegir luego
/caps-man configuration
add channel=5ghz-auto-40 country=spain datapath=home-datapath mode=ap name=\
5ghz-40MHz-home-cfg security=home-password ssid="LOZA QUINTANA MD"
add channel=5ghz-auto-80 country=spain datapath=home-datapath mode=ap name=\
5ghz-80MHz-home-cfg security=home-password ssid="LOZA QUINTANA MD"
# Y damos de alta las reglas de provisioning
# OJO CAMBIAR LAS DIRECCIONES MAC PARA TUS EQUIPOS
/caps-man provisioning
# Consideramos AA:BB:CC:DD:EE:F0 la MAC de 2GHz del hAP-ac2
add action=create-dynamic-enabled comment=hAP-ac2-2ghz master-configuration=\
2ghz-ch1-home-cfg slave-configurations=2ghz-ch1-guests-cfg name-format=\
prefix-identity name-prefix=2ghz radio-mac=AA:BB:CC:DD:EE:F0
# Consideramos AA:BB:CC:DD:EE:F1 la MAC de 5GHz del hAP-ac2
add action=create-dynamic-enabled comment=hAP-ac2-5ghz master-configuration=\
5ghz-80MHz-home-cfg name-format=\
prefix-identity name-prefix=5ghz radio-mac=AA:BB:CC:DD:EE:F1
# Consideramos AA:BB:CC:DD:EE:F2 la MAC de 2GHz del cAP-ac
add action=create-dynamic-enabled comment=cAP-ac-2ghz master-configuration=\
2ghz-ch6-home-cfg slave-configurations=2ghz-ch6-guests-cfg name-format=\
prefix-identity name-prefix=2ghz radio-mac=AA:BB:CC:DD:EE:F2
# Consideramos AA:BB:CC:DD:EE:F3 la MAC de 5GHz del cAP-ac
add action=create-dynamic-enabled comment=hAP-ac2-5ghz master-configuration=\
5ghz-80MHz-home-cfg name-format=\
prefix-identity name-prefix=5ghz radio-mac=AA:BB:CC:DD:EE:F3
# Consideramos AA:BB:CC:DD:EE:F4 la MAC de 2GHz del hAP-lite
add action=create-dynamic-enabled comment=cAP-ac-2ghz master-configuration=\
2ghz-ch11-home-cfg slave-configurations=2ghz-ch11-guests-cfg name-format=\
prefix-identity name-prefix=2ghz radio-mac=AA:BB:CC:DD:EE:F4
# Le decimos que, como este equipo es CAP y a su vez CAPsMAN,
# tiene que apuntar a él mismo para descubrirse como tal, con
# su dirección de loopback, 127.0.0.1
/interface wireless cap
set bridge=bridge caps-man-addresses=127.0.0.1 enabled=yes interfaces=wlan1,wlan2
# Y por último, arrancamos CAPsMAN
/caps-man manager set enabled=yes
Te paso el script de configuración desde cero, partiendo de la configuración base que tiene un router recién reseteado (sin ni siquiera pasar por el quick set). Si esto lo copias y pegas en un fichero .rsc, editas las direcciones MAC con los datos correctos, y lo subes a la carpeta "Files" del router, puedes importarlo del tirón con el comandoimport fichero.rsc
Código:############################################################### # Preparamos el router para tener una wifi de invitados aparte ############################################################### /interface bridge add name=bridge-guests /ip address add address=192.168.77.1/24 interface=bridge-guests network=192.168.77.0 /ip pool add name=pool-guests ranges=192.168.77.2-192.168.77.254 /ip dhcp-server network add address=192.168.77.0/24 gateway=192.168.77.1 /ip dhcp-server add address-pool=pool-guests disabled=no interface=bridge-guests name=dhcp-guests /ip firewall filter add action=drop chain=forward comment="drop communication from LAN to GUEST network" \ src-address=192.168.88.0/24 dst-address=192.168.77.0/24 add action=drop chain=forward comment="drop communication from GUEST network to LAN" \ src-address=192.168.77.0/24 dst-address=192.168.88.0/24 ######################### # Configuración CAPsMAN ######################### # Creamos los perfiles de seguridad /caps-man security add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \ name=guests-password passphrase=gu3stsW1f1 add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \ name=home-password passphrase=MySup3rW1f1p4ssw0rd! # Creamos los datapath /caps-man datapath add bridge=bridge client-to-client-forwarding=yes local-forwarding=no name=home-datapath add bridge=bridge-guests client-to-client-forwarding=no local-forwarding=no name=guests-datapath # Creamos los canales a usar /caps-man channel add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled name=\ 2ghz-ch-01 frequency=2412 add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled name=\ 2ghz-ch-06 frequency=2437 add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled name=\ 2ghz-ch-11 frequency=2462 add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \ frequency=2412,2437,2462 name=2ghz-auto-20 add band=5ghz-n/ac control-channel-width=20mhz extension-channel=XX name=\ 5ghz-auto-40 add band=5ghz-n/ac control-channel-width=20mhz extension-channel=XXXX name=\ 5ghz-auto-80 # Montamos las configuraciones a entregar # Primero los de la red de casa /caps-man configuration add channel=2ghz-ch-01 channel.tx-power=17 country=spain datapath=home-datapath \ mode=ap name=2ghz-ch1-home-cfg security=home-password ssid="LOZA QUINTANA MD" add channel=2ghz-ch-06 channel.tx-power=17 country=spain datapath=home-datapath \ mode=ap name=2ghz-ch6-home-cfg security=home-password ssid="LOZA QUINTANA MD" add channel=2ghz-ch-11 channel.tx-power=17 country=spain datapath=home-datapath \ mode=ap name=2ghz-ch11-home-cfg security=home-password ssid="LOZA QUINTANA MD" # Luego lo mismo, pero para la de invitados /caps-man configuration add channel=2ghz-ch-01 channel.tx-power=17 country=spain datapath=guests-datapath \ mode=ap name=2ghz-ch1-guests-cfg security=guests-password ssid="LOZA QUINTANA INV" add channel=2ghz-ch-06 channel.tx-power=17 country=spain datapath=guests-datapath \ mode=ap name=2ghz-ch6-guests-cfg security=guests-password ssid="LOZA QUINTANA INV" add channel=2ghz-ch-11 channel.tx-power=17 country=spain datapath=guests-datapath \ mode=ap name=2ghz-ch11-guests-cfg security=guests-password ssid="LOZA QUINTANA INV" # Y por último las de la wifi de 5GHz, todo automático en 40 y 80MHz, para poder elegir luego /caps-man configuration add channel=5ghz-auto-40 country=spain datapath=home-datapath mode=ap name=\ 5ghz-40MHz-home-cfg security=home-password ssid="LOZA QUINTANA MD" add channel=5ghz-auto-80 country=spain datapath=home-datapath mode=ap name=\ 5ghz-80MHz-home-cfg security=home-password ssid="LOZA QUINTANA MD" # Y damos de alta las reglas de provisioning # OJO CAMBIAR LAS DIRECCIONES MAC PARA TUS EQUIPOS /caps-man provisioning # Consideramos AA:BB:CC:DD:EE:F0 la MAC de 2GHz del hAP-ac2 add action=create-dynamic-enabled comment=hAP-ac2-2ghz master-configuration=\ 2ghz-ch1-home-cfg slave-configurations=2ghz-ch1-guests-cfg name-format=\ prefix-identity name-prefix=2ghz radio-mac=AA:BB:CC:DD:EE:F0 # Consideramos AA:BB:CC:DD:EE:F1 la MAC de 5GHz del hAP-ac2 add action=create-dynamic-enabled comment=hAP-ac2-5ghz master-configuration=\ 5ghz-80MHz-home-cfg name-format=\ prefix-identity name-prefix=5ghz radio-mac=AA:BB:CC:DD:EE:F1 # Consideramos AA:BB:CC:DD:EE:F2 la MAC de 2GHz del cAP-ac add action=create-dynamic-enabled comment=cAP-ac-2ghz master-configuration=\ 2ghz-ch6-home-cfg slave-configurations=2ghz-ch6-guests-cfg name-format=\ prefix-identity name-prefix=2ghz radio-mac=AA:BB:CC:DD:EE:F2 # Consideramos AA:BB:CC:DD:EE:F3 la MAC de 5GHz del cAP-ac add action=create-dynamic-enabled comment=hAP-ac2-5ghz master-configuration=\ 5ghz-80MHz-home-cfg name-format=\ prefix-identity name-prefix=5ghz radio-mac=AA:BB:CC:DD:EE:F3 # Consideramos AA:BB:CC:DD:EE:F4 la MAC de 2GHz del hAP-lite add action=create-dynamic-enabled comment=cAP-ac-2ghz master-configuration=\ 2ghz-ch11-home-cfg slave-configurations=2ghz-ch11-guests-cfg name-format=\ prefix-identity name-prefix=2ghz radio-mac=AA:BB:CC:DD:EE:F4 # Le decimos que, como este equipo es CAP y a su vez CAPsMAN, # tiene que apuntar a él mismo para descubrirse como tal, con # su dirección de loopback, 127.0.0.1 /interface wireless cap set bridge=bridge caps-man-addresses=127.0.0.1 enabled=yes interfaces=wlan1,wlan2 # Y por último, arrancamos CAPsMAN /caps-man manager set enabled=yes
Saludos!
Lo que me interesa es que lo entiendas, el import es lo de menos.
El otro equipo, prueba a conectarlo directamente por un cable de red al ordenador, a uno de los puertos del 2 al 5. Aunque sin configurar y sin IP's, si lo conectas directamente por cable a un pc y este no tiene más conexión que esa (apaga el inalámbrico si es un portátil), debería salirte por MAC en la pestaña "Neighbors" del Winbox. Aquí tienes info de cómo se resetea el equipo.
Si ves que ni eso y que el chisme está frito, como dices, con la herramienta de netinstall de mikrotik le podrías enchufar un firmware nuevo.
Saludos!
Ten cuidado, porque si pulsas durante demasiado tiempo el reset, o lo pones en modo cAP o lo pones en modo netinstallSi si que lo he entendido, además lo has explicado super detallado cuando he metido todos los comandos a través del terminal.
Ayer intente resetearlo tal y como dice ahí , con el adaptador inalámbrico del portátil deshabilitado y conectado por cable a través del puerto del 2 al 4 y nada no hubo forma a que me apareciera en el winbox.
A la noche lo volveré a intentar y si no ya me meteré a intentarlo a través de netinstall.
Saludos
Me ha sorprendido gratamente, nada que ver con lo que tenía antes puesto. Mucho mejor, me encanta que se vaya conectado indistintamente a los AP y a 2,4 o 5 según mejores condiciones tenga. Hasta ahora todo positivo.Una pregunta, que después de todo esto hasta se me ha pasado. Lo más importante, ¿como notas la red en las plantas donde ya tienes funcionando los dos mikrotik? Mejoró?
Saludos!
Hoy ando de viajes, pero cuando llegue a casa te digo y probamos un truco para ver si así tira ese chisme con la V7. Esos equipos son muy cortos de memoria, y puede que te esté dando problemas por eso mismo. Podemos dejarle con los paquetes mínimos, en lugar del meta paquete de la 6.48, y luego tratar de actualizar desde ahí a la 7, a ver qué hace.Me ha sorprendido gratamente, nada que ver con lo que tenía antes puesto. Mucho mejor, me encanta que se vaya conectado indistintamente a los AP y a 2,4 o 5 según mejores condiciones tenga. Hasta ahora todo positivo.
Finalmente, tras estar un buen rato con hAP lite, netinstall fue mi solución que me ha dado un poco de guerra pero finalmente he conseguido restaurarlo instalándolo el 6.48 . Después , a través de routerOS le actualice de nuevo a la 7.1 development y de nuevo problemas , no lo veía ni a través de cable ni nada. Otra vez lo tuve que flashear a través del netinstall.
Le he dejado la versión 6.48 y ya le he agregado a la red como CAP, el cual ya está funcionando perfectamente.
La única pega que quería a través de él crear la VPN para wireguard que según os había leído era con la 7.1 , pero que no consigo instalar o entrar después en la configuración del hAP lite.
Pero lo dicho lo de capsman me ha sorprendido muy gratamente , una pasada.
Saludos
Enviado desde mi MI10T pro
No te preocupes, cuando puedas sin prisa alguna.Hoy ando de viajes, pero cuando llegue a casa te digo y probamos un truco para ver si así tira ese chisme con la V7. Esos equipos son muy cortos de memoria, y puede que te esté dando problemas por eso mismo. Podemos dejarle con los paquetes mínimos, en lugar del meta paquete de la 6.48, y luego tratar de actualizar desde ahí a la 7, a ver qué hace.
Sino, podrías pasar el cAP-AC a la v7, total está haciendo de cAP, malo será que no funcione. Y ese último sí que tiene hardware de sobra.
Te digo esta tarde y lo miramos.
Saludos!