Nuevo en esto. Mikrotik y domótica.

Buenas.

Aprovecho la ocasión para presentarme.

Empezando desde el principio.

Tenía problemas de cobertura wifi en casa, así que empezé mirando repetidores, routers de gama alta, de altas prestaciones, WIFI 6, PLC'S, así que, me puse a buscar y, después de mucho indagar, caí en vuestro foro, y me dí cuenta de que a la persona que quiere y se deja guiar, le intentáis enseñar, a entender y solucionar sus problemas por si solo, así que,...

Llevo bastante tiempo, por aquí, sin registrarme, leyendo, leyendo, y leyendo. Usando el buscador, hacia delante y hacia atras en el tiempo. Al final quedé hipnotizado con vuestros cantos de sirena de las bondades de Mikrotik, y decidí caer en la tentación.

Bueno pues desde que caí, he pasado por todos los estados de ánimo, optimismo. emoción, ansiedad, frustración, deseperación, ...., en fín, al tema.

La distribución de mi casa es en dos plantas, con el PTRO de O2 en la planta alta, (Biblioteca). Ahí, he dejado el HGU, en modo Bridge, a continuación, he montado un hAP_ac3, de router en eth1(WAN). De el cuelga un trocal en eth5, hasta el salón, (planta baja), y ahí he puesto un hAP_ac2 como AP, alimentado por POE, desde el ac3,(por eso eth5), gestionado por CAPSMAN. Y en cuanto haya stock, desde el ac3, sacaré al exterior para el jardín, un wAP ac, (alimentado por POE también). En eth2 el servidor Proxmox, y en eth4 el portatil Asus (Ubuntu).

Siguiendo los manuales, y las indicaciones, como buenamente he podido, he logrado, primero salir a internet, tener cobertura en toda la casa, doble banda, y roaming cuando baja la señal por debajo 75 dbi , una red de invitados, familiarizarme algo con winbox, y webfig, hacer backup's y recuperarlos.

Tengo dos rangos de direcciones, 192.168.88.XX, y 192.168.78.XX. En el primero tengo el portátil, y el ac2, (según veo en DHCP server/Leases). Además tengo servidor Proxmox, este he intentado dejarlo en estático desmarcando la D como he leido en el foro, y las máquinas virtuales de este (Pi-Hole, Homeassistant,...)que los gestione el ac3 con dinámicas. Y hasta aquí, he llegado.

A partír de aquí, el desastre.

He metido el lavavajillas, y nevera en el wifi de invitados, 192.168.78.XX, perfecto. Salen a internet, y los puedo gestionar con su App.

Tengo una serie de sensores e interruptores Shelly, (glp/inundaciones,...) y cuando los he metido en la wifi de invitados, (192.68.78.xx), a ratos los puedo gestionar con su App, cuando esta tiene a bien de fucnionar.

La máquina virtual del Homeassitant está en la 192.168.88.XX, y funciona perfectamente pero siguiendo el manual de @diamuxin, impedí que los equipos de la 192.168.78.XX y la 192.168.88.XX se visesen entre ellos, al igual que dentro de la 78 entre ellos, Así que no me vale de nada meter el Homeassisant en la 78.
Amén que el Pi-hole al estar en la .88, no lo podrían usar los invitados.

Para colmo, @pokoyo dice el viernes, que preferiblemente no se use el .88, si se van a usar futuros equipos de Mikrotik, (cosa que pienso hacer, cuandp haya stock).
Si no quieres cambiar el rango de IPs de los chismes que tengas estáticos en casa, ponemos el router a funcionar en el rango que ya tienes. Pero te diría que evites los comunes, incluso que evites el .88 de mikrotik, puesto que a la que compres otro chisme de la marca, ya la tienes liada. Y, de aquí en adelante, nada de IPs estáticas metidas a piñón en los equipos finales, las que necesites estáticas, se reservan por DHCP en el mikrotik y andando, que para eso has montado un buen router.

Sigo leyedo, y buscando en los mensajes, ya que todo está muy bien explicado, pero al final me decido a molestaros, porqué ya me veo incapaz de avanzar.


Adjunto la salida del export del ac3. Como dije el ac2 lo tengo como AP, pero si hace puede ayudar, pedidlo y adjunto también el export.

Código:
# jul/03/2022 19:57:46 by RouterOS 7.3.1
# software id = Y3ZQ-0PU1
#
# model = RBD53iG-5HacD2HnD
# serial number = E72C0E5E0E7A
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2412,2437,2462 name=2ghz-auto-20
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=XXXX name=\
    5ghz-auto-80 skip-dfs-channels=no
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=XX name=\
    5ghz-auto-40 skip-dfs-channels=yes
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ce \
    frequency=5660 name=5ghz-ch-132
/interface bridge
add admin-mac=2C:C8:1B:A0:51:71 auto-mac=no comment=defconf name=bridge
add name=bridge-guests
/interface wireless
# managed by CAPsMAN
# channel: 2462/20/gn(17dBm), SSID: Castillo, CAPsMAN forwarding
set [ find default-name=wlan1 ] band=2ghz-b/g/n country=spain distance=\
    indoors installation=indoor mode=ap-bridge ssid=Castillo \
    wireless-protocol=802.11 wps-mode=disabled
# managed by CAPsMAN
# channel: 5180/20-Ceee/ac/P(17dBm), SSID: Castillo, CAPsMAN forwarding
set [ find default-name=wlan2 ] band=5ghz-onlyac channel-width=20/40mhz-XX \
    country=spain distance=indoors installation=indoor mode=ap-bridge ssid=\
    Castillo wireless-protocol=802.11 wps-mode=disabled
/interface wireguard
add listen-port=5050 mtu=1420 name=wireguard1
/interface vlan
add interface=ether1 name=vlan3-telefono vlan-id=3
add interface=ether1 name=vlan6-internet vlan-id=6
/caps-man datapath
add bridge=bridge client-to-client-forwarding=yes local-forwarding=no name=\
    home-dp
add bridge=bridge-guests client-to-client-forwarding=no local-forwarding=no \
    name=guest-dp
/interface pppoe-client
add add-default-route=yes disabled=no interface=vlan6-internet name=internet \
    use-peer-dns=yes user=adslppp@telefonicanetpa
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 \
    use-peer-dns=yes user=adslppp@telefonicanetpa
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=home-sp
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=guest-sp
/caps-man configuration
add channel=2ghz-auto-20 country=spain datapath=home-dp distance=indoors \
    installation=indoor mode=ap name=2ghz-home-cfg security=home-sp ssid=\
    Castillo
add channel=5ghz-auto-80 country=spain datapath=home-dp distance=indoors \
    installation=indoor mode=ap name=5ghz-home-cfg security=home-sp ssid=\
    Castillo
add country=spain datapath=guest-dp distance=indoors installation=indoor \
    mode=ap name=2ghz-guest-cfg security=guest-sp ssid=Castillo_Free
add country=spain datapath=guest-dp distance=indoors installation=indoor \
    mode=ap name=5ghz-guest-cfg security=guest-sp ssid=Castillo_Free
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk group-ciphers=\
    tkip,aes-ccm mode=dynamic-keys supplicant-identity=MikroTik \
    unicast-ciphers=tkip,aes-ccm
/ip pool
add name=dhcp ranges=192.168.88.30-192.168.88.254
add name=vpn ranges=192.168.89.2-192.168.89.255
add name=pool-guests ranges=192.168.78.2-192.168.78.254
/ip dhcp-server
add address-pool=dhcp interface=bridge name=defconf
add address-pool=pool-guests interface=bridge-guests lease-time=1h name=\
    dhcp-guests
/ppp profile
set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn
/queue simple
add max-limit=100M/100M name=guests target=192.168.78.0/24
/routing bgp template
set default disabled=no output.network=bgp-networks
/routing rip instance
add afi=ipv4 disabled=no name=rip
/caps-man access-list
add action=accept interface=all signal-range=-75..120
add action=reject interface=all signal-range=-120..-76
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled comment=2ghz-auto-provisioning \
    hw-supported-modes=gn master-configuration=2ghz-home-cfg name-format=\
    prefix-identity name-prefix=2ghz-auto slave-configurations=2ghz-guest-cfg
add action=create-dynamic-enabled comment=5ghz-auto-provisioning \
    hw-supported-modes=ac master-configuration=5ghz-home-cfg name-format=\
    prefix-identity name-prefix=5ghz-auto slave-configurations=5ghz-guest-cfg
/interface bridge port
add bridge=bridge comment=defconf ingress-filtering=no interface=ether2
add bridge=bridge comment=defconf ingress-filtering=no interface=ether3
add bridge=bridge comment=defconf ingress-filtering=no interface=ether4
add bridge=bridge comment=defconf ingress-filtering=no interface=ether5
add bridge=bridge comment=defconf ingress-filtering=no interface=wlan1
add bridge=bridge comment=defconf ingress-filtering=no interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192
/interface detect-internet
set detect-interface-list=WAN
/interface l2tp-server server
set enabled=yes use-ipsec=yes
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=internet list=WAN
add interface=pppoe-out1 list=WAN
/interface ovpn-server server
set auth=sha1,md5
/interface pptp-server server
# PPTP connections are considered unsafe, it is suggested to use a more modern VPN protocol instead
set enabled=yes
/interface sstp-server server
set default-profile=default-encryption enabled=yes
/interface wireguard peers
add allowed-address=192.168.50.0/24 endpoint-address=casa.joputi.es \
    endpoint-port=5050 interface=wireguard1 public-key=\
    "H94wUc9VHImNgyk9fE6d4acqCTdncFDOQ66FJug1UEM="
/interface wireless access-list
add interface=wlan1 mac-address=CC:61:E5:53:5F:41
/interface wireless cap
#
set caps-man-addresses=127.0.0.1 enabled=yes interfaces=wlan1,wlan2
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
add address=192.168.78.1/24 interface=bridge-guests network=192.168.78.0
/ip cloud
set ddns-enabled=yes ddns-update-interval=5m
/ip dhcp-client
add comment=defconf disabled=yes interface=ether1
add add-default-route=no interface=vlan3-telefono use-peer-dns=no \
    use-peer-ntp=no
/ip dhcp-server lease
add address=192.168.88.239 client-id=1:bc:ae:c5:4:1a:c6 comment=\
    "Asus Ethernet" mac-address=BC:AE:C5:04:1A:C6 server=defconf
add address=192.168.78.253 client-id=1:38:b4:d3:e2:10:c0 comment=\
    "Lavavajilla Siemens" mac-address=38:B4:D3:E2:10:C0 server=dhcp-guests
add address=192.168.78.251 comment=\
    "Sensor de inundaciones Lavadero/office. Shelly" mac-address=\
    34:94:54:6F:43:05 server=dhcp-guests
add address=192.168.78.250 comment=\
    "Sensor de temperatura dormitorio principal.Shelly" mac-address=\
    C4:5B:BE:78:6A:33 server=dhcp-guests
add address=192.168.78.249 comment="Sensor de butano Cocina. Shelly" \
    mac-address=48:3F:DA:1A:32:23 server=dhcp-guests
add address=192.168.78.248 comment=\
    "Sensor de temperatura del Sal\F3n. Shelly" mac-address=C4:5B:BE:77:FA:1F \
    server=dhcp-guests
add address=192.168.78.247 comment=\
    "Sensor de inundaciones del ba\F1o de arriba. Shelly" mac-address=\
    34:94:54:6F:4D:42 server=dhcp-guests
add address=192.168.78.246 client-id=ff:12:34:56:78:0:3:0:6:68:a4:e:2b:42:77 \
    comment="Frigor\EDfico Siemens" mac-address=68:A4:0E:2B:42:77 server=\
    dhcp-guests
add address=192.168.88.252 client-id=1:48:5d:60:84:fd:49 comment="Asus WIFI" \
    mac-address=48:5D:60:84:FD:49 server=defconf
add address=192.168.88.250 client-id=1:98:fa:9b:3e:4b:b comment=\
    Proxmox.Lenovo mac-address=98:FA:9B:3E:4B:0B server=defconf
add address=192.168.88.235 client-id=\
    ff:24:44:70:8f:0:1:0:1:2a:47:61:fd:76:48:24:44:70:8f comment=\
    "Vserver Debian 100" mac-address=76:48:24:44:70:8F server=defconf
add address=192.168.88.234 client-id=\
    ff:be:33:b5:78:0:1:0:1:2a:47:61:fd:76:48:24:44:70:8f comment=\
    "Vserver Debian 101 Backup" mac-address=52:97:BE:33:B5:78 server=defconf
add address=192.168.88.198 client-id=\
    ff:e:ee:23:1f:0:1:0:1:2a:4d:96:5a:a:ac:e:ee:23:1f mac-address=\
    0A:AC:0E:EE:23:1F server=defconf
add address=192.168.88.200 client-id=1:12:38:dc:6d:f8:e comment=\
    "KVM Home Assistant" mac-address=12:38:DC:6D:F8:0E server=defconf
add address=192.168.88.199 client-id=\
    ff:ed:96:dd:3:0:1:0:1:2a:4f:4c:5:ae:2d:ed:96:dd:3 comment=\
    "Vserver Domotica 201. Portainer/Grafana/InfluxDb/Node-Red" mac-address=\
    AE:2D:ED:96:DD:03 server=defconf
add address=192.168.88.197 client-id=\
    ff:7a:5d:d8:e6:0:1:0:1:2a:51:7f:95:26:c0:7a:5d:d8:e6 comment=\
    "Vserver Pihole 203 Pi-hole." mac-address=26:C0:7A:5D:D8:E6 server=\
    defconf
/ip dhcp-server network
add address=192.168.50.2/32 dns-server=192.168.88.197,192.168.88.1 gateway=\
    192.168.50.1
add address=192.168.78.0/24 dns-server=192.168.88.197,192.168.88.1 gateway=\
    192.168.78.1
add address=192.168.88.0/24 comment=defconf dns-server=\
    192.168.88.197,192.168.88.1 gateway=192.168.88.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="allow IPsec NAT" dst-port=4500 protocol=\
    udp
add action=drop chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=drop chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=drop chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=drop chain=input comment="allow sstp" dst-port=443 protocol=tcp
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment="voip: accept rip multicast traffic" \
    dst-address=224.0.0.9 dst-port=520 in-interface=vlan3-telefono protocol=\
    udp
add action=accept chain=input comment="vpn: allow wireguard-rw" dst-port=5050 \
    protocol=udp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related disabled=yes hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=drop chain=forward dst-address=192.168.88.0/24 src-address=\
    192.168.78.0/24
add action=drop chain=forward dst-address=192.168.78.0/24 src-address=\
    192.168.88.0/24
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
/ip firewall mangle
add action=set-priority chain=postrouting new-priority=4 out-interface=\
    vlan3-telefono
# internet not ready
add action=set-priority chain=postrouting new-priority=1 out-interface=\
    internet
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
    192.168.89.0/24
add action=masquerade chain=srcnat comment="voip: masq voip" out-interface=\
    vlan3-telefono
add action=masquerade chain=srcnat ipsec-policy=out,none out-interface-list=\
    WAN
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.88.0/24 port=8888
set ssh address=192.168.88.0/24 port=2233
set api disabled=yes
set winbox address=192.168.88.0/24 port=30450
set api-ssl disabled=yes
/ppp secret
add name=vpn
/routing rip interface-template
add instance=rip interfaces=vlan3-telefono mode=passive
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name="MikroTik_hAP ac3"
/system leds
set 0 interface=wlan1 leds=led1,led2,led3,led4,led5 type=\
    wireless-signal-strength
set 1 leds=poe-led type=poe-out
/system ntp client
set mode=broadcast
/system scheduler
add interval=1d name="Auto upgrade" on-event="/system package update\r\
    \ncheck-for-updates once\r\
    \n:delay 3s;\r\
    \n:if ( [get status] = \"New version is available\") do={ install }" \
    policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
    start-date=jun/08/2022 start-time=00:15:00
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
/tool traffic-monitor
add interface=ether1 name=tmon1 traffic=received

Por favor, sed indulgentes conmigo, ni tengo la capacidad de compresión, ni los conocimentos que mostrais por este lugar. Así que intento explicarme de la mejor manera posible, pero me cuesta.

Gracias por vuestro tiempo.
 
Por favor, sed indulgentes conmigo, ni tengo la capacidad de compresión, ni los conocimentos que mostrais por este lugar. Así que intento explicarme de la mejor manera posible, pero me cuesta.
Descuida, que aquí no tratamos mal a nadie.

Para colmo, @pokoyo dice el viernes, que preferiblemente no se use el .88, si se van a usar futuros equipos de Mikrotik, (cosa que pienso hacer, cuandp haya stock).
Esto es por mera precaución, ya que con casi total seguridad, llegará un momento en el que quieras meter un equipo nuevo o resetear uno de los existentes y puedes causar un conflicto. Por eso os insto a planificar las subredes que vais a usar con antelación. Y, si pensáis poner varios cacharros de la marca, evitad esa subred, sin duda.

La sensación de frustración descuida, que la conozco de primera mano. Pero verás como con un poco de ayuda eso cambia y montamos una red a prueba de bombas.

No obstante, tu configuración parece sencilla, corrígeme si me equivoco: 2 redes, principal e invitados, donde invitados/domótica necesitas salir a internet y usar algunos elementos de la red principal (home assistant + pi-hole)

Mi recomendación: múdate a usar dos (o más) vlans: home + invitados + domo?. Lo metes todo en un mismo bridge, e implementas VLAN filtering. La configuración es mucho más limpia, y tienes equipo de sobra para tirar con VLANs. Y, comunicamos lo que necesitemos comunicar, el resto, independiente o sólo con salida a internet.

Planifica qué subredes van a tener cada unas. Por ejemplo, y por respetar algo lo que tienes:
- home (lan): 192.168.77.1/24
- domótica: 192.168.78.1/24
- invitados: 192.168.79.1/24
- VPN (Wireguard, que veo que lo tienes a medio montar): 192.168.76.1/24

Tenemos claro que queremos usar CAPsMAN. De momento le mandamos las tres redes a ambos equipos, pero dejamos creada la configuración para el tercero que está por venir. Tal que sea editar la regla de provisioning y andando. Y hay que planificar las potencias y los canales a usar en cada equipo. Hagamos que el roaming sea automático por potencia, sin necesidad de meter listas de acceso. Si la casa está en dos plantas y tienes un AP por planta, es fácil que puedas trabajar con mucha menos potencia de la que te dan los equipos de serie.

No tienes mucha configuración específica. Si no te molesta rehacer la lista de leases cuando tengamos el equipo configurado, nos metemos con ello y lo rehacemos todo, bien hecho, partiendo de la config por defecto, desde cero. Quiero evitar sobre todo rastros de configuración vieja tipo las VPNs que no uses y demás, que añaden complejidad al firewall y es un jaleo tener encendidas sin no usas, y con las puertas abiertas.

¿Cómo lo ves, te encaja? Procederíamos reseteando el router y aprovechando la config por defecto para crear un segundo bridge y montar todo ahí, y posteriormente calzarnos todo lo correspondiente a la 192.168.88.1/24, junto con el bridge original.

Dime, y si no hoy mañana, nos metemos con ello.
 
Buenos dias.
Ante todo, muchas gracias por responder tan rápido.
Disculpa el retraso en la respuesta, pero ya sabéis, las obligaciones.

La situación actual es tal y como la describes, intenté montar VPN's, pero solo conseguí dejar rastros en la configuración, y no limpiarla. En el export previo que hice , antes de enviar el que envié me di cuenta que llevaba semanas con todo abierto, pptp, sstp,... en fín.

La planificación tal y como la planteas, me parece estupenda, lo de las Vlan's, ya no se yo, es un concepto que me cuesta entender.

No solo no me molesta rehacer la lista de Leases, estoy encantado. Yo tiré direcciones ahí sin ton ni son, el criterio fué todas juntas, si me paerece que son de lo mismo.

Con respecto a la potencia de los AP's, es otra cosa que se me escapa. Siempre he pensado que mas potencia es mejor.

Para no liarla desde el principio.

Me pongo con el reseteo. Cambio el usuario admin por defecto, y meto la configuracion de Usuario y contraseña para O2.
Quickset en Home mesh.


De nuevo, mil gracias.
 
Buenas de nuevo.

De momento no hago nada más,para no tener que rectificar, pero el cuerpo me pide que siga con,...

Movistar, O2 (Internet + VoIP) [original from @stargate4you, updated by @pokoyo]

¿Sería el paso siguiente?.

Por otro lado, me parece curioso que después de resetear el hAP_ac3, tengo el portátil, el hAP_ac2 2 y 2 contenedores, (proxmox), conectados, todos en DHCP, para que los gestione el Mikrotik, y me mantiene las antiguas IP's de antes del reseteo, ahora con la D delante en Leases.

¿No debería haber dado direcciones del 250 para abajo?
¿Eso no quiere decir que he hecho un reset incompleto?.

Saludos.
 

Adjuntos

  • Captura de pantalla de 2022-07-04 11-15-22.png
    Captura de pantalla de 2022-07-04 11-15-22.png
    104.9 KB · Visitas: 64
Dale reset y ni hagas nada en el quick set. Simplemente lógate, crea un usuario con permisos “full”, y borra “admin”. El resto, lo vamos a hacer por fuera, la config de home mesh es muy genérica y no nos vale si lo queremos afinar bien.

Me comentabas que tenías el HGU en modo bridge. ¿Alguna razón para ello? ¿Por qué no lo ponemos simplemente en monopuesto, tal que el teléfono fijo siga funcionando en él y todo lo demás lo montamos en el mikrotik? Tendrías que resetear ese equipo, entrar y apagarle las interfaces inalámbricas, que no interfieran con nada, y, desde el menú principal (nada de opciones avanzadas ni tocar la tabla de vlans), seleccionar la opción “monopuesto”

El wifi, cuanto menos potencia, mejor funciona. Es justo al revés.

Las vlans es una cosa muy sencilla: es meter el tráfico de varias subredes por un mismo cable. ¿Cómo? Poniéndole una etiqueta a cada tipo. Imagínatelo por colores (rojo, azul, verde, amarillo) el tráfico de cada subred iría pintado (etiquetado) con un color, tal que el router, switch, ap, etc, sepan lo que hacer con él. Y, al pasarlo por un único cable, no se mezcla, porque va cada uno con su etiqueta correspondiente. Los puertos físicos o wifis se etiquetan con ese color, para saber que cuando el tráfico entra o sale por ellos ha de aplicar o remover dicha etiqueta (el tráfico final al cliente le llega siempre sin etiqueta, tal que él desconoce en qué vlan está). No tiene más.

Cuando tengas el HGU en monopuesto y el hAP-ac3 recién reseteado y con el usuario cambiado, lo único que tienes que hacer en el hAP-ac3 para volver a tener conexión a internet es crear la interfaz del PPPoE sobre ether1
Código:
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=internet user=\
    adslppp@telefonicanetpa password=adslppp

Y metemos esa interfaz en la lista WAN, para que le aplique el masquerade por defecto. También borramos el cliente dhcp de ether1 que viene por defecto:
Código:
/interface list member
set [find where interface=ether1 and list=WAN] interface=internet
/ip dhcp-client
remove 0

Cuando lo tengas, nos liamos con las VLANs y CAPsMAN.

Saludos!
 
Última edición:
Te paso la parte de las VLANs, para cuando tengas el primer paso dado y te quieras meter con ello. Copia y pega el código a un fichero vlans.rsc y lo subes al router. Abres la terminal y ejecutas: import vlans.rsc. Si te da algún problema el import me dices.

Cuando lo importes vas a tener que desconectar y volver a conectar el equipo desde el que estés haciendo el import, para que te asigne IP de la subred 192.168.77.1/24, que se entrega en los puertos del 2 al 5 del router.
Código:
# Creamos las VLANs internas
/interface vlan
add interface=bridge name=vlan-home vlan-id=77
add interface=bridge name=vlan-domotica vlan-id=78
add interface=bridge name=vlan-invitados vlan-id=79

# Las direccionamos
/ip address
add address=192.168.77.1/24 interface=vlan-home
add address=192.168.78.1/24 interface=vlan-domotica
add address=192.168.79.1/24 interface=vlan-invitados

# Creamos los pools para las vlans
/ip pool
add name=dhcp-home ranges=192.168.77.10-192.168.77.254
add name=dhcp-domotica ranges=192.168.78.10-192.168.78.254
add name=dhcp-invitados ranges=192.168.79.10-192.168.79.254

# Cremos los servidores DHCP
/ip dhcp-server
add address-pool=dhcp-home interface=vlan-home name=dhcp-home
add address-pool=dhcp-domotica interface=vlan-domotica name=dhcp-domotica
add address-pool=dhcp-invitados interface=vlan-invitados name=dhcp-invitados
/ip dhcp-server network
add address=192.168.77.0/24 comment=home dns-server=192.168.77.1 gateway=192.168.77.1
add address=192.168.78.0/24 comment=domotica dns-server=8.8.8.8,8.8.4.4 gateway=192.168.78.1
add address=192.168.79.0/24 comment=invitados dns-server=8.8.8.8,8.8.4.4 gateway=192.168.79.1

# Asignamos los puertos físicos del router a la vlan-home (si usas algo cableado en otra VLAN, dime)
/interface bridge port
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged interface=ether2 pvid=77
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged interface=ether3 pvid=77
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged interface=ether4 pvid=77
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged interface=ether5 pvid=77

# Creamos una nueva lista para las VLANS que van a estar aisladas.
/interface list
add name=ISOLATED

# Metemos cada vlan en su lista, la vlan-home en LAN, las otras dos en ISOLATED
/interface list member
add interface=vlan-home list=LAN
add interface=vlan-domotica list=ISOLATED
add interface=vlan-invitados list=ISOLATED

# Prohibimos de entrada que las vlans se comuniquen con nada más que internet (luego modificaremos esto)
/ip firewall filter
add action=reject chain=forward comment="vlans: can only access internet" in-interface-list=\
  ISOLATED out-interface-list=!WAN reject-with=icmp-network-unreachable

# Definimos la lista de VLANs en el bridge
/interface bridge vlan
add bridge=bridge comment=home tagged=bridge vlan-ids=77
add bridge=bridge comment=domotica tagged=bridge vlan-ids=78
add bridge=bridge comment=invitados tagged=bridge vlan-ids=79

# Y, por último, activamos el vlan filtering (a partir de ese momento, se acabó la subred .88)
/interface bridge
set 0 frame-types=admit-only-vlan-tagged vlan-filtering=yes

Saludos!
 
Última edición:
Buenas.

Me comentabas que tenías el HGU en modo bridge. ¿Alguna razón para ello? ¿Por qué no lo ponemos simplemente en monopuesto, tal que el teléfono fijo siga funcionando en él y todo lo demás lo montamos en el mikrotik? Tendrías que resetear ese equipo, entrar y apagarle las interfaces inalámbricas, que no interfieran con nada, y, desde el menú principal (nada de opciones avanzadas ni tocar la tabla de vlans), seleccionar la opción “monopuesto”

Pues no sabía que responderte ya que no me acordaba, pero se me ha vuelto a dar el caso. Como HGU tengo un Mitrastar, y ya cuando empecé con el AC3, no conseguía salir a Internet, la solución fué entrar por avanzados, y ponerlo en "Bridge".
He reseteado, creado un usuario, metido por el terminal la ceacion del interface, y metido esa interfaz en la lista Wan, y borrado el cliente dchp. (y reseteado por si acaso).

Te paso un export, a ver si tú ves en que me estoy equivocando.
Código:
# jan/02/1970 05:26:09 by RouterOS 7.3.1
# software id = Y3ZQ-0PU1
#
# model = RBD53iG-5HacD2HnD
# serial number = E72C0E5E0E7A
/interface bridge
add admin-mac=2C:C8:1B:A0:51:71 auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
    disabled=no distance=indoors frequency=auto installation=indoor mode=\
    ap-bridge ssid=MikroTik-A05175 wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=\
    20/40/80mhz-XXXX disabled=no distance=indoors frequency=auto \
    installation=indoor mode=ap-bridge ssid=MikroTik-A05176 \
    wireless-protocol=802.11
/interface pppoe-client
# Client is on slave interface
add add-default-route=yes disabled=no interface=ether2 name=internet user=\
    adslppp@telefonicanetpa
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=internet list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=\
    192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Además he subido el script vlans.rsc y me da un error:
Código:
syntax error (line 38 column 5)


Edito el mensaje.

En prinicipio con respecto a los Eth, Eth1 par el HGU , el servidor Proxmox lo tengo conectado al Eth2, el portatil con el que me conecto por Winbox a Eth4, y el 5 se necesitará para alimentar por POE el ac2, que está en el salón

Saludos.
 
Última edición:
Buenas.



Pues no sabía que responderte ya que no me acordaba, pero se me ha vuelto a dar el caso. Como HGU tengo un Mitrastar, y ya cuando empecé con el AC3, no conseguía salir a Internet, la solución fué entrar por avanzados, y ponerlo en "Bridge".
He reseteado, creado un usuario, metido por el terminal la ceacion del interface, y metido esa interfaz en la lista Wan, y borrado el cliente dchp. (y reseteado por si acaso).

Te paso un export, a ver si tú ves en que me estoy equivocando.
Código:
# jan/02/1970 05:26:09 by RouterOS 7.3.1
# software id = Y3ZQ-0PU1
#
# model = RBD53iG-5HacD2HnD
# serial number = E72C0E5E0E7A
/interface bridge
add admin-mac=2C:C8:1B:A0:51:71 auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
    disabled=no distance=indoors frequency=auto installation=indoor mode=\
    ap-bridge ssid=MikroTik-A05175 wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=\
    20/40/80mhz-XXXX disabled=no distance=indoors frequency=auto \
    installation=indoor mode=ap-bridge ssid=MikroTik-A05176 \
    wireless-protocol=802.11
/interface pppoe-client
# Client is on slave interface
add add-default-route=yes disabled=no interface=ether2 name=internet user=\
    adslppp@telefonicanetpa
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=internet list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=\
    192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Además he subido el script vlans.rsc y me da un error:
Código:
syntax error (line 38 column 5)

Saludos.
Dale reset de nuevo que modifiqué la instrucción dle PPPoE client, que te lo mandé apuntando a ether2 en lugar de ether1.

Corregido también el input de las VLANs, vuelve a crear el fichero y dale candela.

Saludos!
 
Sigo sin salir a Internet. (Curioso porque me pareció que salía pero luego he tenido un problema de resolución de dns).

Además ahora al subir el Script da,
Código:
syntax error (line 38 column 9)

Siento complicártelo.

Gracias por tu paciencia.
 
Repasando el Script vlans me parece ver en la línea 38:
addnname=ISOLATED

Pregunto desde la ignorancia, ¿es posible que sobre un "n"?.

Saludos
 
Bueno, pues intenté modificar lo puesto en el mensaje anterior y acontinuación me sale otro error al subir el script
Código:
failure: already have interface with such name

Creo que la he vuelto a liar en algún lado, así que vuelvo al principio.

Reset y palante.
 
Corregido. Tengo los dedos porros y se ve que en lugar del espacio le di a la letra "n" sin querer. Vuelve a darle el reset (puedes marcar la opción "keep users", así no te toca hacer el paso del usuario), creas la interfaz pppoe, la metes en la lista WAN y borras el cliente dhcp sobre ether1. Hecho esto, vuelves a importar el fichero.

Saludos!
 
Disculpa pero esta reiniciando, (rápido que es uno y no me dio tiempo a leer lo de mantener los usuarios).

Ahora me sale el error:
Código:
failure: device already added as bridge port

Además como te comenté cuando meto el interface en la wan y borro el cliente DHCP, antes de crear las VLAN sigo sin salir a internet.

Adjunto el export por si puedes ver algo.
Código:
# jul/04/2022 18:03:50 by RouterOS 7.3.1
# software id = Y3ZQ-0PU1
#
# model = RBD53iG-5HacD2HnD
# serial number = E72C0E5E0E7A
/interface bridge
add admin-mac=2C:C8:1B:A0:51:71 auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
    disabled=no distance=indoors frequency=auto installation=indoor mode=\
    ap-bridge ssid=MikroTik-A05175 wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=\
    20/40/80mhz-XXXX disabled=no distance=indoors frequency=auto \
    installation=indoor mode=ap-bridge ssid=MikroTik-A05176 \
    wireless-protocol=802.11
/interface vlan
add interface=bridge name=vlan-domotica vlan-id=78
add interface=bridge name=vlan-home vlan-id=77
add interface=bridge name=vlan-invitados vlan-id=79
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=internet user=\
    adslppp@telefonicanetpa
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
add name=dhcp-home ranges=192.168.77.10-192.168.77.254
add name=dhcp-domotica ranges=192.168.78.10-192.168.78.254
add name=dhcp-invitados ranges=192.168.79.10-192.168.79.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
add address-pool=dhcp-home interface=vlan-home name=dhcp-home
add address-pool=dhcp-domotica interface=vlan-domotica name=dhcp-domotica
add address-pool=dhcp-invitados interface=vlan-invitados name=dhcp-invitados
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=internet list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
add address=192.168.77.1/24 interface=vlan-home network=192.168.77.0
add address=192.168.78.1/24 interface=vlan-domotica network=192.168.78.0
add address=192.168.79.1/24 interface=vlan-invitados network=192.168.79.0
/ip dhcp-server network
add address=192.168.77.0/24 comment=home dns-server=192.168.77.1 gateway=\
    192.168.77.1
add address=192.168.78.0/24 comment=domotica dns-server=8.8.8.8,8.8.4.4 \
    gateway=192.168.78.1
add address=192.168.79.0/24 comment=invitados dns-server=8.8.8.8,8.8.4.4 \
    gateway=192.168.79.1
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=\
    192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

PD.- Mil gracias por la ayuda, pero atiende a tus obligaciones primero. No te sientas obligado.

Saludos.
 
Te lo paso todo hecho, de un golpe, así no hay pegas. Reset (con el keep users) + import. Y, si no sales a internet, revisa el HGU, recuerda ponerlo en monopuesto en lugar de bridge.

Corregido también el último error que me mandas.

Código:
# Creamos el cliente PPPoE que nos debe der IP pública
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=internet user=\
    adslppp@telefonicanetpa password=adslppp
# Reemplazamos ether1 en la lista WAN por la nueva interfaz internet
# Así mismo, borramos el cliente DHCP por defecto de ether1
/interface list member
set [find where interface=ether1 and list=WAN] interface=internet
/ip dhcp-client
remove 0
# Creamos las VLANs internas
/interface vlan
add interface=bridge name=vlan-home vlan-id=77
add interface=bridge name=vlan-domotica vlan-id=78
add interface=bridge name=vlan-invitados vlan-id=79
# Las direccionamos
/ip address
add address=192.168.77.1/24 interface=vlan-home
add address=192.168.78.1/24 interface=vlan-domotica
add address=192.168.79.1/24 interface=vlan-invitados
# Creamos los pools para las vlans
/ip pool
add name=dhcp-home ranges=192.168.77.10-192.168.77.254
add name=dhcp-domotica ranges=192.168.78.10-192.168.78.254
add name=dhcp-invitados ranges=192.168.79.10-192.168.79.254
# Cremos los servidores DHCP
/ip dhcp-server
add address-pool=dhcp-home interface=vlan-home name=dhcp-home
add address-pool=dhcp-domotica interface=vlan-domotica name=dhcp-domotica
add address-pool=dhcp-invitados interface=vlan-invitados name=dhcp-invitados
/ip dhcp-server network
add address=192.168.77.0/24 comment=home dns-server=192.168.77.1 gateway=192.168.77.1
add address=192.168.78.0/24 comment=domotica dns-server=8.8.8.8,8.8.4.4 gateway=192.168.78.1
add address=192.168.79.0/24 comment=invitados dns-server=8.8.8.8,8.8.4.4 gateway=192.168.79.1
# Asignamos los puertos físicos del router a la vlan-home (si usas algo cableado en otra VLAN, dime)
/interface bridge port
set [find where interface=ether2] frame-types=admit-only-untagged-and-priority-tagged pvid=77
set [find where interface=ether3] frame-types=admit-only-untagged-and-priority-tagged pvid=77
set [find where interface=ether4] frame-types=admit-only-untagged-and-priority-tagged pvid=77
set [find where interface=ether5] frame-types=admit-only-untagged-and-priority-tagged pvid=77
# Creamos una nueva lista para las VLANS que van a estar aisladas.
/interface list
add name=ISOLATED
# Metemos cada vlan en su lista, la vlan-home en LAN, las otras dos en ISOLATED
/interface list member
add interface=vlan-home list=LAN
add interface=vlan-domotica list=ISOLATED
add interface=vlan-invitados list=ISOLATED
# Prohibimos de entrada que las vlans se comuniquen con nada más que internet (luego modificaremos esto)
/ip firewall filter
add action=reject chain=forward comment="vlans: can only access internet" in-interface-list=\
  ISOLATED out-interface-list=!WAN reject-with=icmp-network-unreachable
# Definimos la lista de VLANs en el bridge
/interface bridge vlan
add bridge=bridge comment=home tagged=bridge vlan-ids=77
add bridge=bridge comment=domotica tagged=bridge vlan-ids=78
add bridge=bridge comment=invitados tagged=bridge vlan-ids=79
# Y, por último, activamos el vlan filtering (a partir de ese momento, se acabó la subred .88)
/interface bridge
set 0 frame-types=admit-only-vlan-tagged vlan-filtering=yes

Saludos!
 
¡Estupendo!.

Ahora me ha dado ip's en el .77, tanto el el portátil como el el Proxmox, y los virtuales, cada uno con su IP.

La .88 no la ha borrado, pero supongo que eso no es importante.

De todas maneras, el HGU está en monopuesto, pero sigue sin salir a Internet.

Como ya te comenté, no sé porqué en Bridge si salía. (Desde que hemos empezado lo he puesto en monopuesto varias veces). ¿?

Para que no haya equivocos HGU puerto 1 a ac3 en Eth1.
 
¡Estupendo!.

Ahora me ha dado ip's en el .77, tanto el el portátil como el el Proxmox, y los virtuales, cada uno con su IP.

La .88 no la ha borrado, pero supongo que eso no es importante.

De todas maneras, el HGU está en monopuesto, pero sigue sin salir a Internet.

Como ya te comenté, no sé porqué en Bridge si salía. (Desde que hemos empezado lo he puesto en monopuesto varias veces). ¿?

Para que no haya equivocos HGU puerto 1 a ac3 en Eth1.
Le diste primero un reset al HGU? O te fuiste a ponerlo en monopuesto del tirón, sin previo reset. Necesito que la tabla de vlans esté como viene originalmente en ese equipo cuando está en modo router, sino es normal que el monopuesto no te funcione.

Saludos!
 
el ac3 no lo toque más, que lo tienemos fino

Si ves que no te lo coge, apaga y enciende hgu después de ponerlo en monopuesto, y haces lo mismo con el ac3, una vez pasen un par de minutos desde el encendido del HGU.

Saludos!
 
Por orden, Reset HGU/ apagado ac3/ apagado wifi's HGU/ monopuesto HGU/ apagado HGU/ 5 min. espera encendido ac3.

El HGU sigue sin darme salida. ¿?
Hago un backup del ac3, tal y como está y a partir de aquí seguiremos.

Lamentablemente, las obligaciones me impiden seguir con esto por el momento.

Apago todo y a ver si cuando sincronice de nuevo la proxima vez tiene a bien salir al mundo.

De nuevo, mil gracias por todo.

Saludos.
 
Por orden, Reset HGU/ apagado ac3/ apagado wifi's HGU/ monopuesto HGU/ apagado HGU/ 5 min. espera encendido ac3.

El HGU sigue sin darme salida. ¿?
Hago un backup del ac3, tal y como está y a partir de aquí seguiremos.

Lamentablemente, las obligaciones me impiden seguir con esto por el momento.

Apago todo y a ver si cuando sincronice de nuevo la proxima vez tiene a bien salir al mundo.

De nuevo, mil gracias por todo.

Saludos.
OK, mañana seguimos. Avisa cuando estés y lo vemos. Los logs del ac3 te dicen algo, con respecto a la interfaz del PPPoE?

Saludos!
 
Arriba