Mikrotik Hap AC2 Con o2 + Hap ac como repetidor wifi inalámbrico

Buenas tardes compañeros,
Hoy me ha llegado el Hap Ac2, que había pedido por la misma fecha que el Hap Ac.
Sin quererlo estoy migrando toda la red de la casa a Mikrotik. jajajajajaj

Tengo unas dudas tremendas para poder empezar a configurar todo.
Actualmente tengo una ont huawei + el asus rt68u y mi ilusión es quitar el asus y configurar el Hap ac2 de router principal y el Hap ac de repetidor wifi inalámbrico, o al revés.

Ya tengo actualizado El hap ac2, pero tengo varios problemas.
Si reseteo el router con la configuración básica y luego hago el Quick..., me quedan cosas por hacer que no entiendo, como lo de las vlan de voip e internet.

Si lo hago de la siguiente manera... reseteo básico, y sin hacer el quick configuro los datos según el post de configuraciones básicas de isps, consigo tener internet, pero luego no sé como cambiar el dhcp del router y se me queda toda la red en 192.168.88.* y me gustaría tenerla en 192.168.2.*, no sé si me explico bien.

¿Cúal es la mejor manera de poner en marcha un Hap ac // AC2 ?? reseteo y config básica + quick set ? o Reseteo y config básica y seguir los pasos del post de isps ??

muchísimas gracias y perdon por el tocho.
 
Descuida, que para eso estamos.

El quick set es una plantilla de configuración inicial. Es decir, está pensado para configurar cuatro parámetros básicos una vez este reseteado el router y cuando tiene cargada la configuración inicial, es decir, reset sin marcar el "No default configuration". Ejecútala después de un reset y selecciona en el desplegable "Home AP Dual" como tipo de instalación. Los datos, los metes a tu gusto, me das un pantallazo si tienes alguna duda.

Una vez hecho el quick set y puesto a tu gusto, el resto lo ejecutas desde webfig o winbox, bien de manera visual, bien usando la terminal, como te resulte más cómodo. Mis manuales tiran siempre de terminal, porque una vez aprendas a manejarla vas a ir mucho más rápido, pero se puede hacer todo de manera visual también.

Una vez configurado el hAP AC2, configuramos el otro como AP (ojo, como AP, no como repetidor)

Saludos!
 
Muchisimas gracias por responder Pokoyo,
Desde que llegue a casa, desconecto todo y conecto el Ac2 a la ont y le hago el quick set,
Luego ya te pregunto para poder dar de alta a la vlan de voip y datos, Así tendré el Ac2 con la ip 192.168.2.* y que todos los aparatos de la casa sigan funcionando igual.
Luego me faltaría configurar el ddns , cambiar el que tengo con el asus que es duckdns, del que tira un deco y poner el ddns que regala mikrotik. :)
Y ya por último configurar el hap ac como AP y tener ya vasi todo con mikrotik.

Muchisimas gracias por la ayuda, después escribo para seguir configurando todo.
Abrazos.
 
Hola de nuevo,
ya tengo reseteado el hap ac2 con la config. default y hecho el quick set con el dhcp 192.168.2.1 (192.168.2.2-192.168.2.254) y el admin desactivado y creado el user nuevo.

¿Como activo ahora las vlan de vip y tlf de o2 ?? para poder tener internet y si me faltaría algo del firewall

muchisimas gracias.
 
Hola de nuevo,
ya tengo reseteado el hap ac2 con la config. default y hecho el quick set con el dhcp 192.168.2.1 (192.168.2.2-192.168.2.254) y el admin desactivado y creado el user nuevo.

¿Como activo ahora las vlan de vip y tlf de o2 ?? para poder tener internet y si me faltaría algo del firewall

muchisimas gracias.
Vale, vamos primero a por el internet, que es lo más suculento. ¿Me puedes decir, qué tienes delante del mikrotik ahora mismo, si una ONT o un router HGU? en caso de router HGU, ¿en monopuesto, o con todas las VLANs eliminadas de él, haciendo de bridge? Dependiendo de lo que tengas y cómo lo tengas configurado, así configuraremos el mikrotik.

El firewall por defecto es bueno. Si tienes dudas, dale un export hide-sensitive file=config desde el terminal y me adjuntas el fichero .rsc resultante, que lo tendrás en el apartado "Files", listo para descarga, una vez ejecutado e comando.

Saludos!
 
Hola pokoyo, tengo una ont huawei delante del router, todavía tengo el asus conectado, para no quedarme sin internet, tengo el ac2 conectado directamente al pc,hasta que me digas que lo conecte a la ont :)

Código:
# jan/02/1970 00:29:27 by RouterOS 6.47.7
# software id = V8VD-9QS8
#
# model = RBD52G-5HacD2HnD
# serial number = D7160CF248E1
/interface bridge
add admin-mac=48:8F:5A:CD:CA:B8 auto-mac=no comment=defconf name=bridge
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 \
    use-peer-dns=yes user=adslppp@telefonicanetpa
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
    country=spain disabled=no distance=indoors frequency=auto installation=\
    indoor mode=ap-bridge ssid=MikroTik-2Ghz wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=\
    20/40/80mhz-XXXX country=spain disabled=no distance=indoors frequency=\
    auto installation=indoor mode=ap-bridge ssid=MikroTik-5Ghz \
    wireless-protocol=802.11
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
    dynamic-keys supplicant-identity=MikroTik
add authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys name=profile \
    supplicant-identity=MikroTik
/interface wireless
add disabled=no mac-address=4A:8F:5A:CD:CA:BD master-interface=wlan2 name=\
    wlan3 security-profile=profile ssid="MikroTik-CDCABD's Guests"
add disabled=no mac-address=4A:8F:5A:CD:CA:BC master-interface=wlan1 name=\
    wlan4 security-profile=profile ssid="MikroTik-CDCABD's Guests"
/ip pool
add name=dhcp ranges=192.168.2.2-192.168.2.254
add name=vpn ranges=192.168.89.2-192.168.89.255
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/ppp profile
set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn
/interface bridge filter
add action=drop chain=forward in-interface=wlan3
add action=drop chain=forward out-interface=wlan3
add action=drop chain=forward in-interface=wlan4
add action=drop chain=forward out-interface=wlan4
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
add bridge=bridge interface=wlan3
add bridge=bridge interface=wlan4
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set enabled=yes use-ipsec=yes
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=pppoe-out1 list=WAN
/interface pptp-server server
set enabled=yes
/interface sstp-server server
set default-profile=default-encryption enabled=yes
/ip address
add address=192.168.2.1/24 comment=defconf interface=ether2 network=\
    192.168.2.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf interface=ether1
/ip dhcp-server network
add address=192.168.2.0/24 comment=defconf gateway=192.168.2.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.2.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 \
    protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
    192.168.89.0/24
/ppp secret
add name=vpn
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
 
De las reglas de firewall relativas a la VPN, anula las que vayan asociadas a servidores que no vayas a usar:
Código:
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp

Por lo demás, la configuración está perfecta. Para configurar lo que te falta, sólo tendrías que seguir el manual de las configuraciones básicas de los ISP's, y fijarte en la entrada del amigo @stargate4you, la que va con los siguientes detalles:

02 (Grupo Telefónica, España) [by @stargate4you]
Conexión WAN: ONT Huawei EG8120L
Tipo de conexión WAN: PPPoE: usuario (adslppp@telefonicanetpa) y contraseña (adslppp)
VLAN Internet: 6
VLAN Teléfono: 3
VLAN TV: N/A

como ya tienes creado el client pppoe-out1 que lo ha creado el quick set, en ese paso sólo tendrías que editar el cliente y seleccionar como interfaz la vlan6, en lugar de ether1. En tu caso, el set de comandos, creo que sería el siguiente:
Código:
# Dar de alta las vlans 3 voip y 6 internet.
/interface vlan
add interface=ether1 name=vlan3 vlan-id=3
add interface=ether1 name=vlan6 vlan-id=6

# Configurar la interfaz PPPoE para que use la VLAN 6 internet, en lugar de ether1
/interface pppoe-client set 0 interface=vlan6

# Crear un cliente dhcp para la vlan 3 del teléfono voip.
/ip dhcp-client
add add-default-route=no dhcp-options=hostname,clientid disabled=no interface=vlan3 use-peer-ntp=no

# Establecer la prioridad de las conexiones vlans.
/ip firewall mangle
add action=set-priority chain=postrouting new-priority=4 out-interface=vlan3
add action=set-priority chain=postrouting new-priority=1 out-interface=pppoe-out1

# Enmascarar la nueva vlan3 para el voip.
/ip firewall nat
add action=masquerade chain=srcnat comment="masq. voip" out-interface=vlan3

# Desactivar los Puertos del servicio voip
/ip firewall service-port
set sip disabled=yes ports=5060,5070

# Añadir la vlan 3 de voz protocolo RIP.
/routing rip interface
add interface=vlan3 passive=yes receive=v2

# Indicar la red en la que correrá RIP.
/routing rip network
add network=10.0.0.0/8

Una vez ejecutados vía terminal (ves viendo vía winbox lo que va creando cada uno de ellos), deberías tener internet al conectar ether1 a la ONT.

Saludos!
 
Muchisimas gracias Pokoyo:
Tengo una duda con esto, como tendría que desactivar lo que no use ??

De las reglas de firewall relativas a la VPN, anula las que vayan asociadas a servidores que no vayas a usar:
Código:
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp

Muchas gracias por todo, voy a conectar el router a la ont a ver si tengo internet. :)
 
Tengo internet Pokoyo !!! :)
me falta ahora configurar el servidor ddns en el deco que tengo dando tv a un familiar en otra isla a ver si logro configurarlo.
 
Te vas a Winbox, seleccionas la que no quieras y, en lugar de pulsar el el botón del "-" que la borraría, simplemente pulsas la X, que la deshabilita

Ejemplo práctico:

1604950674539.png


Saludos!
 
El ddns ya lo tienes configurado, al haber activado la VPN, se activa sólo. Puedes consultar su dirección en IP -> Cloud. El formato es siempre el mismo: serial.sn.mynetname.net, siendo "serial" el número de serie de tu equipo.

Si le haces un ping a ese dominio, verás que resuelve tu IP pública del tirón.

Saludos!
 
Muchas gracias Pokoyo!!!
sabrías como crear un certificado de Let’s Encrypt para ese dominio ??
Ya que el script que usaba me lo crea para duckdns, jajajajaja
si no... no pasa nada, seguiré investigando.
Va muy muy bien el mikrotik :)
 
Estás exponiendo algo por https en ese dominio? Porque para el router no va a ser.

No obstante, si quieres un certificado https para ese dominio, sólo tienes que montar un servidor web nginx dentro de tu red, abrirle los puertos correspondientes e instalar certbot para pedirlo.

Sino, dime para qué lo quieres exactamente y te digo más.

El mikrotik no va bien, va de cojones.

Saludos!
 
Estás exponiendo algo por https en ese dominio? Porque para el router no va a ser.

No obstante, si quieres un certificado https para ese dominio, sólo tienes que montar un servidor web nginx dentro de tu red, abrirle los puertos correspondientes e instalar certbot para pedirlo.

Sino, dime para qué lo quieres exactamente y te digo más.

El mikrotik no va bien, va de cojones.

Saludos!

si estoy exponiendo por https un decodificador para un familiar, y así ve la televisión en otra isla.
eso lo hice con un script que hay en un tuto en una pagina de internet, te bajas el script y te crea el certificado para duckdns,

ahora, crear un certificado Let's Encrypt para el dominio que regala mikrotik, ni idea :)
 
También estoy pensando en conectar el asus detrás del Mikrotik en 192.168.3.1 por ejemplo y que el deco se conecte al asus solamente, y así aprovecha el certificado , los demás aparatos los controlaría el Ac2
 
Ieee! Para el carro compi, que ya veo por donde vas. Esto mismo ya lo tengo explicado por ahí en otros posts y tienes mal el concepto de base. No hace falta que expongas nada por https, exponer ese deco a internet, en términos de seguridad, es una locura.

Si te parece, lo vamos a montarlo bien. Vamos a exponer una VPN para que tu colega/familiar y una vez dentro de tu red de manera segura, puede acceder al deco por http tal cual, o por IP.

¿Te parece?

Saludos!
 
si claro Pokoyo !! me gustaría configurarla por vpn :)
También tenía configurado openvpn en el asus seguro que en el mikrotik va fino fino también.
mil gracias

Tendría que configurar primero la vpn en el mikrotik verdad ? Y cual es mejor ? actualmente en el asus tenía openvpn
 
Lo vemos mañana, si te parece. Estoy ya que no doy más di sí hoy.

Ahora mismo ya tienes montados tres servidores distintos de vpn. Solo necesitas crear un usuario y password para quien necesite usarlo.

Para mikrotik, te recomendaría L2TP/IPSec.

Saludos!
 
Cuando quieras le metemos mano. Te detallo los pasos:

Crear un par de usuarios para VPN, y borrar el usuario por defecto "vpn". Lo tienes en la pestaña "Secrets" de PPP
1605004573451.png


Cambiar la contraseña de IPSec. Ojo que esta es común para todos los usuarios. Lo tienes en PPP -> L2TP Server
1605004639122.png


Con esos dos detalles, lo tienes todo. En el firewall, deja activadas las 3 primeras reglas de puertos para la VPN, relativas a los puerots 4500, 1701 y 500, que son los equivalentes a L2TP/IPSec, y desactiva el 1723 de PPTP y el 443 del SSTP.

Para conectar desde un equipo, necesitarás endpoint (lo sacas de IP -> cloud), usuario, contraseña y secreto compartido de IPSec. Con esos datos, puedes conectar desde prácticamente cualquier tipo de equipo.

Saludos!
 
Mil gracias Pokoyo,
Desde que llegue esta tarde a casa, me pongo con la config.
la duda que me queda es , cómo podría conectar, desde la otra isla, al mikrotik por medio de un tvbox, que es donde ve la televisión mi familia., en concreto con Kodi.
Seguro que es una tontería, y que si logra conectarse a la ip del decodificador que tengo en casa, lo verá sin problema. :)
Esta tarde lo hago y si me falla o tengo dudas te doy un toque por aquí.

abrazos.
 
Arriba