Nuevo en esto. Mikrotik y domótica.

Torpe_motivado · 7 Julio 2022

¡Me parece perfecto!.

Me preguntaba, ¿porque al principio hiscte una reserva del pool de 10 direcciones y comenzaban en la.10. Ahora lo veo.

Con respecto al Hass. si solo la 78, no le veo sentido a acceder desde la de invitados, salvo que tu creas lo contrario.
Y el Pi-Hole por comodidad, pero tampoco tiene mucho sentido que los interruptores y sensores les filtren los DNS. ¿no?.

A tu criterio.

Saludos.

pokoyo · 7 Julio 2022

No no, decides tú. Yo a los invitados no les doy pi-hole, por ejemplo, lo dejo únicamente para mi subred privada. Si es por mi, y o pondría el pi-hole disponible únicamente desde mi propia subred, y el home-assistant sólo lo abriría a la subred de domótica.

Si ves la config del DHCP ahora mismo, verás que en el apartado networks, se está entregando ya DNS públicos a las dos subredes de las vlans de invitados y domótica.

Para cambiar las IP's de las leases, una vez marcadas como estáticas, simplemente vuelve a darle doble click a la entrada y verás que ahora es editable. Le pones las nuevas IP's y andando.

Saludos!

Torpe_motivado · 7 Julio 2022

Siento él retraso. Se me ha ido la luz, y contesto desde él teléfono.

No sé, creo que que si le vamos a dar Pi-Hole a los invitados. Siempre se podrá modificar. A la domótica no le veo sentido.

Al Wireguard si que se le debería de dar, (cuando se monte),esa es una de las ventajas de tener los canutos que tenemos hoy en día, ¿no?. Salir desde casa en el telf.

Si funciona la luz, o tenemos un SAI, cosa que no es mi caso.

Saludos.

pokoyo · 7 Julio 2022

Pues venga, te dejo por aquí las modificaciones, una vez tengas puesto el pi-hole en la 192.168.77.2 y el home assistant en la 192.168.77.3

Código:

# Permitimos que la vlan de invitados acceda al pi-hole y la de
# domótica acceda al home assistant, ambas en la subred .77
/ip firewall filter
add action=accept chain=forward place-before=[find comment="vlans: can only access internet"] \
src-address=192.168.79.0/24 dst-address=192.168.77.2 comment="vlans: guests can access Pi-Hole"
add action=accept chain=forward place-before=[find comment="vlans: can only access internet"] \
src-address=192.168.78.0/24 dst-address=192.168.77.3 comment="vlans: domo can access HA"

# Actualizamos los servidores DNS que entregamos por DHCP
# Entregamos el pi-hole como DNS primario en home e invitados
/ip dhcp-server network
set [find comment=home] dns-server=192.168.77.2,192.168.77.1
set [find comment=invitados] dns-server=192.168.77.2,8.8.8.8

Saludos!

Torpe_motivado · 7 Julio 2022

Lo pillo.

Al .77 Pi-Hole y el propio router, por si se cae.
Invitados .79 Pi-hole y google, allá te apañes. ¿Correcto?

¡Funciona perfecto!.

El Sensor de gas y el Homeassitant de ven perfectamente. Desde la de incvitsados no veo nada ni se ven entre ellos.

Listo.

Saludos.

Torpe_motivado · 7 Julio 2022

¡No sé como darte las gracias!.

No solo me has llevado de la mano, sino que explicas los script's, y reglas, lo llevas hacia mi interés y no me has forzado a hacerlo a tu manera, además desinteresadamente.

¡Es increible!.

Cuando empecé a buscaba un plc, un router mas potente, wifi 6E, yo que sé,... y al ver las bondades que propugnábais con Mikrotik, me dije, tiráte, y si no puedes, pues consulta, y si no funciona, pues bueno al cajón.

Si te parece, hago un Backup de como lo has dejado, y a partir de aquí. me estrello solo.

Solo queda el Wireguard. Si quieres, lo monto yo con un Road Warrior, en la .76.2 como dijiste, siguiendo los manuales.

¡Estoy infinitamente agradecido!

Saludos.

Torpe_motivado · 7 Julio 2022

Se me olvidaba, Falta matar la .88 pero me imagino que eso se puede hacer desde /networks Remove.
¿Correcto?.

Saludos.

pokoyo · 7 Julio 2022

Torpe_motivado dijo:
¡No sé como darte las gracias!.

No solo me has llevado de la mano, sino que explicas los script's, y reglas, lo llevas hacia mi interés y no me has forzado a hacerlo a tu manera, además desinteresadamente.

¡Es increible!.

Cuando empecé a buscaba un plc, un router mas potente, wifi 6E, yo que sé,... y al ver las bondades que propugnábais con Mikrotik, me dije, tiráte, y si no puedes, pues consulta, y si no funciona, pues bueno al cajón.

Si te parece, hago un Backup de como lo has dejado, y a partir de aquí. me estrello solo.

Solo queda el Wireguard. Si quieres, lo monto yo con un Road Warrior, en la .76.2 como dijiste, siguiendo los manuales.

¡Estoy infinitamente agradecido!

Saludos.

Ves guardando backups cada vez que veas que vas cumpliendo un hito, por tener un punto de restauración.

Nos quedan aún cosillas por rematar, a parte del wireguard.

Lo que más me interesa que pruebes ahora es el roaming entre APs. Ahora mismo tienes tanto el hAP-ac3 como el ac2 a mitad de su potencia inalámbrica, para la banda de 2,4GHz (17dBm, frente a los 20 de máxima). Prueba que móviles, portátiles, etc hagan roaming entre APs y que los chismes de domótica accedan al punto más cercano siempre (lo puedes ver todo en la última pestaña de CAPsMAN). También piensa si te interesa entregar en ambos APs las mismas redes: quizá la de invitados te interese sólo entregarla en un router concreto por localización (ejemplo, sólo en la planta baja, y arriba wifi principal y domótica). Ese tipo de cosas son las que hay que ir puliendo.

Por otro lado, yo le daría un puntito extra de seguridad a la config de invitados (quizá domótica también), impidiendo que los equipos accedan a la red si se ponen IP estática a mano, e impidiendo también ninguna comunicación en capa 2 con IPs /32 en el dhcp. Esto ya son “fine tunning” propios, quizá no te interese llegar tan lejos, pero yo lo rengo así. Si lo quieres dime, y te lo enseño.

Wireguard se monta en un periquete, por eso no lo hemos hecho aún.

Saludos!

Torpe_motivado · 7 Julio 2022

Buenas.

He estado mirando lo de la cobertura y mas o menos va así.
*Editado, ( es una verguenza de esquema, perdón).
La distribución de la casa, son dos plantas con una cruz de hormigon en medio, mas o menos,(perdón por el esquema cutre),...

En el dormitorio 3, hace roaming de vez en cuando al AP que está en el salón abajo. Como tu bien dices se debería bajar la potencia algo al de abajo.
Adjunto capturas por si sirve de algo.

Con respecto a dejar el acceso de invitados abajo, tiene mucho sentido, ya que en la Reg. Table, se ven los chismes de Shelly, locos buscando todo el rato. Creo haberte leido que en la pestaña "channel" se puede ir bajando, (y subiendo), así que iré probando conforme los vaya metiendo en la red.

Saludos.

pokoyo · 7 Julio 2022

Mañana le echamos un vistazo. Los esquemas están bien. Dime dónde vas a plantar el wAP y me hago la idea concreta de cómo quedaría.

Saludos!

Torpe_motivado · 8 Julio 2022

Buenas.

El wAP_ac irá (cuando haya stock). en la esquina en el exterior, para freir a los vecinos del puebl..., nah! es broma, para conectar lo que haya fuera en el jardín.
Supongo que lo alimentaré con un RB260GSP(cuando haya stock), que me estoy quedado sin puertos.

Mil gracias.

Saludos.

pokoyo · 8 Julio 2022

Vale, le voy a dar la vuelta a los canales, te explico el porqué: le voy a dar un canal DFS al wifi de 5GHz del hAP-ac3, concretamente el canal 100 que tenía reservado al wAP, y el wAP lo vamos a configurar como "indoor" y le vamos a plantar el 52, donde ahora mismo opera el hAP-ac2 y al ac2 le damos el 36, que siempre está activo, aunque emite con menos chicha. Los canales DFS permiten más potencia de emisión que los no DFS, concretamente el canal 100 en ese AP se va a los 27dBm.

Como vas a tener dos APs en la misma planta, ahí sí tendremos que bajarle la chicha a los equipos. Aunque me da la sensación de que, tal y como los tienes puestos (no están muy bien situados, al estar en dos esquinas de la casa), es como si dividiésemos el plano con una línea imaginaria horizontal cortando la mitad de la vivienda en ambas plantas. El ac2 cubriría la parte superior de ese corte, incluido entreplantas, y el hAP-ac3 la inferior.

Si te quieres ahorrar el wAP, mira qué cobertura tienes ahora en la terraza, porque casi con total seguridad la estará barriendo el hAP-ac2 que tienes justo debajo.

Para hacer los cambios de canal descrito, ve a la pestaña "Configuration" de CAPsMAN, y edita lo siguiente:

- Para la configuración con nombre "5ghz-home-ap0", seleccionas el canal "5ghz-ch100-80"
- Para la configuración con nombre "5ghz-home-ap1", seleccionas el canal "5ghz-ch036-80"
- Para la configuracíon con nombre "5ghz-home-ap2", seleccionas el canal "5ghz-ch052-80" e installation=indoor

- Para la configuración con nombre "2ghz-home-ap3", seleccionas installation=indoor
- Para las configuraciones con nombre "2ghz-home-ap0 / 2ghz-home-ap1" juega con el campo channel.txpower hasta encontrar el punto óptimo de roaming de los chismes domóticos, que serán los principales que usen esa conexión, considerando lo siguiente: si borras el valor 17 y le das a la flechita del desplegable hacia arriba (básicamente eliminando el cambio), la potencia de emisión será 20dBm, el máximo que emiten estos chismes en esa banda para este país. Cada salto de 3dBm de diferencia, el AP baja la potencia a la mitad de lo anterior (es escala logarítmica, no lineal), sabiendo que 20dBm son 100mW, -> 17dBm serían aproximadamente 50mW y 14 serían aprox 25mW (https://www.rapidtables.com/convert/power/dBm_to_mW.html)

Para ambas configuraciones 2GHz vs 5GHz: intenta que todo lo que puedas se conecte a la banda de 5GHz preferentemente. ¿Cómo logramos eso? Haciendo que haya una diferencia de potencias. Dado que la banda de 2,4GHz "cala" más, necesitas al menos 5-6dBm de diferencia entre ambas bandas para que, a igual distancia, te llegue un pelín mejor la banda de 5GHz que la de 2,4, tal que los chismes la prefieran. Esto no es ni mucho menos matemático, y depende de muchísimas cosas como los materiales de tu vivienda. Pero, siguiendo esa referencia, ahora entenderás por qué tengo tus APs en 2,4GHz puestos en 17dBm y con la banda de 5GHz a tope (21-23dBM en canales noDFS y 27 en algunos DFS, como el canal 100).

Prueba a hacer estos cambios y me dices. Como ya tienes una config bastante fina, ves guardando backup cada vez que hagas un cambio. Mañana que me pillas más tranquilo, montamos Wireguard.

Saludos!

Torpe_motivado · 8 Julio 2022

Mañana que me pillas más tranquilo, ...

¡Estupendo!. Lo dicho, cuando buenamente puedas, no corre prisa. (es por vicio

).

Muchas gracias.

Saludos.

Torpe_motivado · 8 Julio 2022

De todas maneras, dejo esto por aquí, para que se vea por donde va la cosa.

Justo debajo de donde va ir el wAP, nos encontramos con esto....

Como siempre tienes razón, y hay cobertura, (de ambos AP en este momento, haciendo roaming ocasional). El wAP, mas que darle cobertura a la terraza, es para darle cobertura al jardín.

Bueno, pues edito.

Con respecto al los DFS, según te he leido por aquí el inconveniente es que tarda en arrancar, y si hay conflicto con los radares, lo tumba. ( Aquí el radar meteorológ. está a mas de 100 Km., y no tengo prisa

, solventado).

He bajado la Tx a 2 como se verá en el export, y ¡Boom! me ha estallado la cabeza.

He conseguido que no suelte el telf. el de 5GHZ en toda la casa, (por los pelos en el dormitorio de abajo), ya que la de 2.4 propaga que es una barbaridad, seguiré afinando, ya que los shellys será mas delicado (están dentro de cajas de empalme de electricidad), y habrá que afinar según cada uno, como bien dices tú.

Con respecto a la terraza, inevetablemente, salta del 5Ghz del ac3 de arriba al 2.4 del ac2 de abajo. Tendré que hacer una prueba desde los límites de la parcela a ver donde llega la cosa y valorar si me hace falta el Wap.

Es increible , como van ocurriendo las cosas, conforme las vaticinas.

Código:

# jul/08/2022 12:46:41 by RouterOS 7.3.1
# software id = Y3ZQ-0PU1
#
# model = RBD53iG-5HacD2HnD
# serial number = E72C0E5E0E7A
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2412 name=2ghz-ch01-20
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2437 name=2ghz-ch06-20
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2462 name=2ghz-ch11-20
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ceee \
    frequency=5180 name=5ghz-ch036-80
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ceee \
    frequency=5260 name=5ghz-ch052-80
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ceee \
    frequency=5500 name=5ghz-ch100-80
/interface bridge
add admin-mac=2C:C8:1B:A0:51:71 auto-mac=no comment=defconf frame-types=\
    admit-only-vlan-tagged name=bridge vlan-filtering=yes
/interface wireless
# managed by CAPsMAN
# channel: 2412/20/gn(-1dBm), SSID: Castillo, CAPsMAN forwarding
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
    distance=indoors frequency=auto installation=indoor mode=ap-bridge ssid=\
    MikroTik-A05175 wireless-protocol=802.11
# managed by CAPsMAN
# channel: 5500/20-Ceee/ac/DP(21dBm), SSID: Castillo, CAPsMAN forwarding
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=\
    20/40/80mhz-XXXX distance=indoors frequency=auto installation=indoor \
    mode=ap-bridge ssid=MikroTik-A05176 wireless-protocol=802.11
/interface vlan
add interface=bridge name=vlan-domotica vlan-id=78
add interface=bridge name=vlan-home vlan-id=77
add interface=bridge name=vlan-invitados vlan-id=79
/caps-man datapath
add bridge=bridge client-to-client-forwarding=yes name=home vlan-id=77 \
    vlan-mode=use-tag
add bridge=bridge client-to-client-forwarding=no name=domotica vlan-id=78 \
    vlan-mode=use-tag
add bridge=bridge client-to-client-forwarding=no name=invitados vlan-id=79 \
    vlan-mode=use-tag
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=internet user=\
    adslppp@telefonicanetpa
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=home
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=domotica
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=invitados
/caps-man configuration
add channel=2ghz-ch01-20 channel.tx-power=2 country=spain datapath=home \
    installation=indoor mode=ap name=2ghz-home-ap0 security=home ssid=\
    Castillo
add channel=2ghz-ch06-20 channel.tx-power=2 country=spain datapath=home \
    installation=indoor mode=ap name=2ghz-home-ap1 security=home ssid=\
    Castillo
add channel=2ghz-ch11-20 country=spain datapath=home installation=indoor \
    mode=ap name=2ghz-home-ap2 security=home ssid=Castillo
add channel=5ghz-ch100-80 country=spain datapath=home installation=indoor \
    mode=ap name=5ghz-home-ap0 security=home ssid=Castillo
add channel=5ghz-ch036-80 country=spain datapath=home installation=indoor \
    mode=ap name=5ghz-home-ap1 security=home ssid=Castillo
add channel=5ghz-ch052-80 country=spain datapath=home installation=indoor \
    mode=ap name=5ghz-home-ap2 security=home ssid=Castillo
add country=spain datapath=domotica mode=ap name=domotica security=domotica \
    ssid=Castillo_IOT
add country=spain datapath=invitados mode=ap name=invitados security=\
    invitados ssid=Castillo_Invitados
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add name=ISOLATED
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
add name=dhcp-home ranges=192.168.77.10-192.168.77.254
add name=dhcp-domotica ranges=192.168.78.10-192.168.78.254
add name=dhcp-invitados ranges=192.168.79.10-192.168.79.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
add address-pool=dhcp-home interface=vlan-home name=dhcp-home
add address-pool=dhcp-domotica interface=vlan-domotica name=dhcp-domotica
add address-pool=dhcp-invitados interface=vlan-invitados name=dhcp-invitados
/caps-man manager
set enabled=yes upgrade-policy=suggest-same-version
/caps-man manager interface
set [ find default=yes ] forbid=yes
add disabled=no interface=vlan-home
/caps-man provisioning
add action=create-dynamic-enabled comment=ac3-cfg-2ghz master-configuration=\
    2ghz-home-ap0 name-format=prefix-identity name-prefix=2ghz radio-mac=\
    2C:C8:1B:A0:51:75 slave-configurations=domotica,invitados
add action=create-dynamic-enabled comment=ac3-cfg-5ghz master-configuration=\
    5ghz-home-ap0 name-format=prefix-identity name-prefix=5ghz radio-mac=\
    2C:C8:1B:A0:51:76 slave-configurations=domotica,invitados
add action=create-dynamic-enabled comment=ac2-cfg-2ghz master-configuration=\
    2ghz-home-ap1 name-format=prefix-identity name-prefix=2ghz radio-mac=\
    DC:2C:6E:F6:08:B0 slave-configurations=domotica,invitados
add action=create-dynamic-enabled comment=ac2-cfg-5ghz master-configuration=\
    5ghz-home-ap1 name-format=prefix-identity name-prefix=5ghz radio-mac=\
    DC:2C:6E:F6:08:B1 slave-configurations=domotica,invitados
add action=create-dynamic-enabled comment=wAP-cfg-2ghz disabled=yes \
    master-configuration=2ghz-home-ap2 name-format=prefix-identity \
    name-prefix=2ghz radio-mac=AA:BB:CC:11:22:33 slave-configurations=\
    domotica,invitados
add action=create-dynamic-enabled comment=wAP-cfg-5ghz disabled=yes \
    master-configuration=5ghz-home-ap2 name-format=prefix-identity \
    name-prefix=5ghz radio-mac=AA:BB:CC:11:22:34 slave-configurations=\
    domotica,invitados
/interface bridge port
add bridge=bridge comment=defconf frame-types=\
    admit-only-untagged-and-priority-tagged interface=ether2 pvid=77
add bridge=bridge comment=defconf frame-types=\
    admit-only-untagged-and-priority-tagged interface=ether3 pvid=77
add bridge=bridge comment=defconf frame-types=\
    admit-only-untagged-and-priority-tagged interface=ether4 pvid=77
add bridge=bridge comment=defconf frame-types=\
    admit-only-untagged-and-priority-tagged interface=ether5 pvid=77
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface bridge vlan
add bridge=bridge comment=home tagged=bridge vlan-ids=77
add bridge=bridge comment=domotica tagged=bridge vlan-ids=78
add bridge=bridge comment=invitados tagged=bridge vlan-ids=79
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=internet list=WAN
add interface=vlan-home list=LAN
add interface=vlan-domotica list=ISOLATED
add interface=vlan-invitados list=ISOLATED
/interface wireless cap
#
set bridge=bridge caps-man-addresses=127.0.0.1 enabled=yes interfaces=\
    wlan1,wlan2
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
add address=192.168.77.1/24 interface=vlan-home network=192.168.77.0
add address=192.168.78.1/24 interface=vlan-domotica network=192.168.78.0
add address=192.168.79.1/24 interface=vlan-invitados network=192.168.79.0
/ip dhcp-server lease
add address=192.168.77.248 client-id=1:bc:ae:c5:4:1a:c6 mac-address=\
    BC:AE:C5:04:1A:C6 server=dhcp-home
add address=192.168.78.252 comment="Detector de GLP. SHelly" mac-address=\
    48:3F:DA:1A:32:23 server=dhcp-domotica
add address=192.168.77.3 client-id=\
    ff:ed:96:dd:3:0:1:0:1:2a:4f:4c:5:ae:2d:ed:96:dd:3 mac-address=\
    AE:2D:ED:96:DD:03 server=dhcp-home
add address=192.168.77.2 client-id=\
    ff:7a:5d:d8:e6:0:1:0:1:2a:51:7f:95:26:c0:7a:5d:d8:e6 mac-address=\
    26:C0:7A:5D:D8:E6 server=dhcp-home
add address=192.168.78.251 comment=\
    "Sensor de inundaciones del ba\F1o de arriba.Shelly flood." mac-address=\
    34:94:54:6F:4D:42 server=dhcp-domotica
add address=192.168.78.250 comment=\
    "Sensor de temperatura dormitorio principal.Shelly H/T." mac-address=\
    C4:5B:BE:78:6A:33 server=dhcp-domotica
add address=192.168.78.249 comment=\
    "Sensor de temperatura del sal\F3n.Shelly H/T." mac-address=\
    C4:5B:BE:77:FA:1F server=dhcp-domotica
add address=192.168.78.248 comment=\
    "Sensor de inundaciones del Office. Shelly flood." mac-address=\
    34:94:54:6F:43:05 server=dhcp-domotica
add address=192.168.77.247 client-id=\
    ff:a:16:ca:bc:0:1:0:1:2a:5a:a7:7e:fe:ca:a:16:ca:bc mac-address=\
    FE:CA:0A:16:CA:BC server=dhcp-home
/ip dhcp-server network
add address=192.168.77.0/24 comment=home dns-server=192.168.77.2,192.168.77.1 \
    gateway=192.168.77.1
add address=192.168.78.0/24 comment=domotica dns-server=8.8.8.8,8.8.4.4 \
    gateway=192.168.78.1
add address=192.168.79.0/24 comment=invitados dns-server=192.168.77.2,8.8.8.8 \
    gateway=192.168.79.1
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=\
    192.168.88.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.2,1.0.0.2
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=accept chain=forward comment="vlans: guests can access Pi-Hole" \
    dst-address=192.168.77.2 src-address=192.168.79.0/24
add action=accept chain=forward comment="vlans: domo can access HA" \
    dst-address=192.168.77.3 src-address=192.168.78.0/24
add action=reject chain=forward comment="vlans: can only access internet" \
    in-interface-list=ISOLATED out-interface-list=!WAN reject-with=\
    icmp-network-unreachable
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/system clock
set time-zone-name=Europe/Madrid
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Ya seguiremos con esto.

Saludos.

pokoyo · 9 Julio 2022

Tx power a 2dBm??? Eso es directamente apagar la banda de los 2,4GHz, y para eso, hay mejores formas de hacerlo.
Me explico: como te comenté, la potencia máxima de la banda de 2,4GHz en España son 20dBm, o lo que es lo mismo, 100mW. Cada vez que quitas 3 puntos a esa cifra, reduces a la mitad la potencia del valor anterior. Quiere decir que 17dBm es la mitad de potencia que 20, y 14 la mitad que 17 (una cuarta parte que 20), y así sucesivamente. A la potencia que tú le pongas en la configuración, el AP le restará la ganancia de sus antenas, tal que el resultante sea ese mismo valor. En tu caso, ambos equipos descuentas 3dBm por la ganancia de las antenas (el hAP-ac2 tiene 2,5 y el hAP-ac3 3dBM de ganancia, redondean hacia arriba). Quiere decir que si tú mandas al AP trabajar con 10dBM (por poner un ejemplo), los equipos emitirán a 7, y lo otro lo suma la ganancia de las antenas, tal que el total sea siempre igual o menor a la cifra que tú pones en CAPsMAN.

Dicho esto, entenderás que 2dBM de potencia no es un valor adecuado para los APs en 2,4GHz. De entrada los puse los dos en 17dBM (la mitad de su potencia nominal), y de ahí irías bajando de unidad en unidad hasta encontrar el punto óptimo, siempre teniendo en cuenta esos 5-6dBm de diferencia con la banda de 5GHz, si le quieres dar preferencia. Y, si en algún momento no te interesa que un AP entregue una wifi en 2,4GHz, simplemente borramos o comentamos esa regla de provisioning y en paz (imagínate, 2,4GHz y 5 arriba, y abajo únicamente 5GHz.... o a la inversa)

Te dejo que tú vayas probeteando lo que quieras, pero intenta hacerlo siempre con cabeza, que tal que te quede un setup decente.

Pasamos si quieres a montar wireguard, que como verás es un periquete. Al igual que antes con CAPsMAN, llévate este código a un fichero .rsc, editas las variables y andando. Como verás, hay una variable que ya te pide la clave pública del primer cliente a conectar, necesitarás hacer ese paso en el móvil o en el cliente que sea que quieras conectar. Si no lo tienes, deja esa mismo ahí, y luego edita el peer cuando lo tengas.
Lee bien los comentarios del código, de entrada dejo comentada una regla de firewall que permite acceso al chain de input del router para el segmento de la VPN entero. Descomenta esa regla si la VPN es personal y sólo la vas a usar tú, para poder acceder al router en remoto. Sino, déjala comentada, que tiempo tienes de meterla.

En las variables indicarías el puerto donde vas a escuchar las conexiones wireguard (no lo hagas coincidir con ningún otro en uso) y la clave pública del primer peer que vas a dar de alta.

Código:

################## VARIABLES ##################
:local port 12345
:local publickey "+L6XoxeTZYMJ8MKD4Z47pJrOHqGQ/sToYgxbZhRIu2c="
###############################################
# Creamos la interfaz de la VPN
/interface wireguard
add listen-port=$port name=wg-rw

# Direccionamos la interfaz, subred .76 (como acordamos inicialmente)
/ip address
add address=192.168.76.1/24 interface=wg-rw

# Permitimos el tráfico del puerto de wireguard en input.
# Con la segunda regla, opcional, permitimos acceso al propio router
# desde la subred de la VPN (ojo con esta regla y quien se conecta)
# descomenta la regla si quieres aplicarla.
/ip firewall filter
add action=accept chain=input comment="vpn: allow wireguard" dst-port=\
    $port protocol=udp place-before [find comment="defconf: drop all not coming from LAN"]
# add action=accept chain=input comment="vpn: allow vpn subnet to access router" src-address=\
#     192.168.76.0/24 place-before [find comment="defconf: drop all not coming from LAN"]

# Cremos un peer que se conecte a wireguard.
/interface wireguard peers
add allowed-address=192.168.76.2/32 comment=client1 interface=wg-rw \
    public-key=$publickey

# Activamos el servicio de DDNS del router, al final pintaremos la URL de conexión
/ip cloud
set ddns-enabled=yes

# Pintamos por terminal el dominio dns al que conectarnos, la clave pública y la IP del cliente
:put ("El endpoint de la VPN es: " . [/ip/cloud/get dns-name])
:put ("La clave publica de la interfaz wireguard es: " . [/interface/wireguard/get [find name=wg-rw] public-key])
:put ("La IP del cliente VPN a configurar es: " . [/interface/wireguard/peers/get [find comment=client1] allowed-address])

Saludos!

Torpe_motivado · 9 Julio 2022

Buenas.

Con respecto al wireguard, ya he subido el script, (sin problemas). ¡Perfecto!.
En principo, no permito el acceso al router. ( Si lo necesito en un futuro, ...).

Lo que no he visto es que haya generado una .76 ¿? (la .78 sigue ahí

).

Estoy siguiendo lo que dijisteis en el manual para configurar el DDNS, con un CNAME propio. Me da ping en la IP de O2, lo que quiere decir, que hago honor a mi nick.

. Seguiré con el telf. a ver donde la estoy liando.

Con respecto a la Tx de 2, era para comentar la penetración que tiene en los muros de hormigón, y lo dificil que es que coja las de 5GHZ suelte la de 2.4. Lo dicho seguiré probando.

Infinitas gracias, por todo el tiempo, y dedicación, que has echado conmigo.

Saludos.

pokoyo · 9 Julio 2022

Torpe_motivado dijo:
Lo que no he visto es que haya generado una .76 ¿? (la .78 sigue ahí).

Entiendo que te refieres a que la .88 sigue ahí (la .78 es domótica). La .76 claro que está y la ha generado, la puedes ver en IP > Address. Que no veas un DHCP o un pool (esta VPN no usa ni una cosa ni la otra), no significa que esa subred no esté ahí. El sitio correcto donde verlo es en IP -> Address. La .88 ya no se usa, así que la podemos borrar, ordenandamente, cuando quieras.

Torpe_motivado dijo:
Estoy siguiendo lo que dijisteis en el manual para configurar el DDNS, con un CNAME propio. Me da ping en la IP de O2, lo que quiere decir, que hago honor a mi nick.. Seguiré con el telf. a ver donde la estoy liando.

Eso es justo lo que tiene que hacer, darte ping a tu IP pública, que es lo que está expuesto a internet. Así que, si el ping a tu dominio responde la IP que tienes como "D" en IP -> Address sobre la intefaz PPPoE, vas bien. Y del teléfono olvidate, que esa configuración no es para ti. Tu partes, si mal no recuerdo, de un HGU en monopuesto, no de una ONT. Así que la configuración no la metas, que no es para ti.

Torpe_motivado dijo:
Con respecto a la Tx de 2, era para comentar la penetración que tiene en los muros de hormigón, y lo dificil que es que coja las de 5GHZ suelte la de 2.4. Lo dicho seguiré probando.

Es perfectamente normal. Una wifi de 5GHz está pensada para usarse en la estancia donde está el router o, como mucho, en la contigua. Pero es lo normal en esa banda, no es que estés haciendo nada mal, es que a mayor frecuencia, mayor velocidad, pero menor penetración. Es física pura y dura. Y, obviamente, no es lo mismo atravesar pladur, que hormigón forjado. Los baños son otro sumidero wifi importante, tenlo también en cuenta. Llegar a algo que está detrás de un baño es complejo, incluso para la wifi de 2,4GHz (las tuberías tienen mucho que ver con ello).

Saludos!

Torpe_motivado · 9 Julio 2022

Buenas.

¡Si a todo!.
Parece que estés dentro de mi cabeza, buscaba un pool, o el DHCP.

La .88 se puede borrar cuando gustes. (como siempre no tengo prisa, tu marcas los tiempos).

Es perfectamente normal. Una wifi de 5GHz está pensada para usarse en la estancia donde está el router o, como mucho, en la contigua. Pero es lo normal en esa banda, no es que estés haciendo nada mal, es que a mayor frecuencia, mayor velocidad, pero menor penetración. Es física pura y dura. Y, obviamente, no es lo mismo atravesar pladur, que hormigón forjado. Los baños son otro sumidero wifi importante, tenlo también en cuenta. Llegar a algo que está detrás de un baño es complejo, incluso para la wifi de 2,4GHz (las tuberías tienen mucho que ver con ello).

Lección magistral, los tabiques son de pladur (Menos los muros en cruz), y el problema con el 5GHZ cmo tu dices es detras de los baños. (seguiré con ello).

Efectivamente estoy detras de un HGU, en monopuesto, el problemilla fué, que no importó la variable del puerto que le metí al script, que me hiciste, y se quedó en 12345. ¿?
Pero estoy orgulloso, pase el día mirando el export del config, y al final lo he encontrado.

Y lo que respecta al Wireguard, ya está en marcha, he estado leyendo algunos casos de configuración vuestros, y he conseguido salir con Pi-hole inclusive.

Mil gracias de nuevo, por todo.

Saludos.

pokoyo · 9 Julio 2022

Pásame un export de cómo lo tienes ahora mismo que vaya actualizando tu registro de configuración, así voy estando al día de los cambios, por si detecto algo chungo o simplemente para no meter la pata cuando nos liemos a "cerrar" el tema domótica e invitados.

La .88 la fulminamos cuando tú quieras.

Saludos!

Torpe_motivado · 10 Julio 2022

Buenas.

No quiero abusar de tu buena disposición, así que por favor siéntete libre de contestar cuando te venga bien. No hay ninguna prisa.

Adjunto el Export para que le des el visto bueno.

Código:

# jul/10/2022 09:40:07 by RouterOS 7.3.1
# software id = Y3ZQ-0PU1
#
# model = RBD53iG-5HacD2HnD
# serial number = E72C0E5E0E7A
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2412 name=2ghz-ch01-20
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2437 name=2ghz-ch06-20
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2462 name=2ghz-ch11-20
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ceee \
    frequency=5180 name=5ghz-ch036-80
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ceee \
    frequency=5260 name=5ghz-ch052-80
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ceee \
    frequency=5500 name=5ghz-ch100-80
/interface bridge
add admin-mac=2C:C8:1B:A0:51:71 auto-mac=no comment=defconf frame-types=\
    admit-only-vlan-tagged name=bridge vlan-filtering=yes
/interface wireless
# managed by CAPsMAN
# channel: 2412/20/gn(8dBm), SSID: Castillo, CAPsMAN forwarding
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
    distance=indoors frequency=auto installation=indoor mode=ap-bridge ssid=\
    MikroTik-A05175 wireless-protocol=802.11
# managed by CAPsMAN
# channel: 5500/20-Ceee/ac/DP(21dBm), SSID: Castillo, CAPsMAN forwarding
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=\
    20/40/80mhz-XXXX distance=indoors frequency=auto installation=indoor \
    mode=ap-bridge ssid=MikroTik-A05176 wireless-protocol=802.11
/interface wireguard
add listen-port=5050 mtu=1420 name=wg-rw
/interface vlan
add interface=bridge name=vlan-domotica vlan-id=78
add interface=bridge name=vlan-home vlan-id=77
add interface=bridge name=vlan-invitados vlan-id=79
/caps-man datapath
add bridge=bridge client-to-client-forwarding=yes name=home vlan-id=77 \
    vlan-mode=use-tag
add bridge=bridge client-to-client-forwarding=no name=domotica vlan-id=78 \
    vlan-mode=use-tag
add bridge=bridge client-to-client-forwarding=no name=invitados vlan-id=79 \
    vlan-mode=use-tag
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=internet user=\
    adslppp@telefonicanetpa
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=home
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=domotica
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=invitados
/caps-man configuration
add channel=2ghz-ch01-20 channel.tx-power=11 country=spain datapath=home \
    installation=indoor mode=ap name=2ghz-home-ap0 security=home ssid=\
    Castillo
add channel=2ghz-ch06-20 channel.tx-power=8 country=spain datapath=home \
    installation=indoor mode=ap name=2ghz-home-ap1 security=home ssid=\
    Castillo
add channel=2ghz-ch11-20 country=spain datapath=home installation=indoor \
    mode=ap name=2ghz-home-ap2 security=home ssid=Castillo
add channel=5ghz-ch100-80 country=spain datapath=home installation=indoor \
    mode=ap name=5ghz-home-ap0 security=home ssid=Castillo
add channel=5ghz-ch036-80 country=spain datapath=home installation=indoor \
    mode=ap name=5ghz-home-ap1 security=home ssid=Castillo
add channel=5ghz-ch052-80 country=spain datapath=home installation=indoor \
    mode=ap name=5ghz-home-ap2 security=home ssid=Castillo
add country=spain datapath=domotica mode=ap name=domotica security=domotica \
    ssid=Castillo_IOT
add country=spain datapath=invitados mode=ap name=invitados security=\
    invitados ssid=Castillo_Invitados
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add name=ISOLATED
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
add name=dhcp-home ranges=192.168.77.10-192.168.77.254
add name=dhcp-domotica ranges=192.168.78.10-192.168.78.254
add name=dhcp-invitados ranges=192.168.79.10-192.168.79.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
add address-pool=dhcp-home interface=vlan-home name=dhcp-home
add address-pool=dhcp-domotica interface=vlan-domotica name=dhcp-domotica
add address-pool=dhcp-invitados interface=vlan-invitados name=dhcp-invitados
/caps-man manager
set enabled=yes upgrade-policy=suggest-same-version
/caps-man manager interface
set [ find default=yes ] forbid=yes
add disabled=no interface=vlan-home
/caps-man provisioning
add action=create-dynamic-enabled comment=ac3-cfg-2ghz master-configuration=\
    2ghz-home-ap0 name-format=prefix-identity name-prefix=2ghz radio-mac=\
    2C:C8:1B:A0:51:75 slave-configurations=domotica,invitados
add action=create-dynamic-enabled comment=ac3-cfg-5ghz master-configuration=\
    5ghz-home-ap0 name-format=prefix-identity name-prefix=5ghz radio-mac=\
    2C:C8:1B:A0:51:76 slave-configurations=domotica,invitados
add action=create-dynamic-enabled comment=ac2-cfg-2ghz master-configuration=\
    2ghz-home-ap1 name-format=prefix-identity name-prefix=2ghz radio-mac=\
    DC:2C:6E:F6:08:B0 slave-configurations=domotica,invitados
add action=create-dynamic-enabled comment=ac2-cfg-5ghz master-configuration=\
    5ghz-home-ap1 name-format=prefix-identity name-prefix=5ghz radio-mac=\
    DC:2C:6E:F6:08:B1 slave-configurations=domotica,invitados
add action=create-dynamic-enabled comment=wAP-cfg-2ghz disabled=yes \
    master-configuration=2ghz-home-ap2 name-format=prefix-identity \
    name-prefix=2ghz radio-mac=AA:BB:CC:11:22:33 slave-configurations=\
    domotica,invitados
add action=create-dynamic-enabled comment=wAP-cfg-5ghz disabled=yes \
    master-configuration=5ghz-home-ap2 name-format=prefix-identity \
    name-prefix=5ghz radio-mac=AA:BB:CC:11:22:34 slave-configurations=\
    domotica,invitados
/interface bridge port
add bridge=bridge comment=defconf frame-types=\
    admit-only-untagged-and-priority-tagged interface=ether2 pvid=77
add bridge=bridge comment=defconf frame-types=\
    admit-only-untagged-and-priority-tagged interface=ether3 pvid=77
add bridge=bridge comment=defconf frame-types=\
    admit-only-untagged-and-priority-tagged interface=ether4 pvid=77
add bridge=bridge comment=defconf frame-types=\
    admit-only-untagged-and-priority-tagged interface=ether5 pvid=77
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface bridge vlan
add bridge=bridge comment=home tagged=bridge vlan-ids=77
add bridge=bridge comment=domotica tagged=bridge vlan-ids=78
add bridge=bridge comment=invitados tagged=bridge vlan-ids=79
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=internet list=WAN
add interface=vlan-home list=LAN
add interface=vlan-domotica list=ISOLATED
add interface=vlan-invitados list=ISOLATED
/interface wireguard peers
add allowed-address=192.168.76.2/32 comment=client1 interface=wg-rw \
    public-key="dY12WTC1shFn9N9l6G0i8Hsk6u2D+1piFJRdDFKTjHg="
/interface wireless cap
#
set bridge=bridge caps-man-addresses=127.0.0.1 enabled=yes interfaces=\
    wlan1,wlan2
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
add address=192.168.77.1/24 interface=vlan-home network=192.168.77.0
add address=192.168.78.1/24 interface=vlan-domotica network=192.168.78.0
add address=192.168.79.1/24 interface=vlan-invitados network=192.168.79.0
add address=192.168.76.1/24 interface=wg-rw network=192.168.76.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-server lease
add address=192.168.77.248 client-id=1:bc:ae:c5:4:1a:c6 mac-address=\
    BC:AE:C5:04:1A:C6 server=dhcp-home
add address=192.168.78.252 comment="Detector de GLP. SHelly" mac-address=\
    48:3F:DA:1A:32:23 server=dhcp-domotica
add address=192.168.77.3 client-id=\
    ff:ed:96:dd:3:0:1:0:1:2a:4f:4c:5:ae:2d:ed:96:dd:3 comment=\
    "Vserver 203. Dom\F3tica" mac-address=AE:2D:ED:96:DD:03 server=dhcp-home
add address=192.168.77.2 client-id=\
    ff:7a:5d:d8:e6:0:1:0:1:2a:51:7f:95:26:c0:7a:5d:d8:e6 comment=\
    "Vserver 203. Pi-Hole" mac-address=26:C0:7A:5D:D8:E6 server=dhcp-home
add address=192.168.78.251 comment=\
    "Sensor de inundaciones del ba\F1o de arriba.Shelly flood." mac-address=\
    34:94:54:6F:4D:42 server=dhcp-domotica
add address=192.168.78.250 comment=\
    "Sensor de temperatura dormitorio principal.Shelly H/T." mac-address=\
    C4:5B:BE:78:6A:33 server=dhcp-domotica
add address=192.168.78.249 comment=\
    "Sensor de temperatura del sal\F3n.Shelly H/T." mac-address=\
    C4:5B:BE:77:FA:1F server=dhcp-domotica
add address=192.168.78.248 comment=\
    "Sensor de inundaciones del Office. Shelly flood." mac-address=\
    34:94:54:6F:43:05 server=dhcp-domotica
add address=192.168.77.245 client-id=\
    ff:5b:d7:67:31:0:1:0:1:2a:5b:23:31:72:60:5b:d7:67:31 comment=\
    "vserver 102. Speed test" mac-address=72:60:5B:D7:67:31 server=dhcp-home
add address=192.168.77.244 client-id=\
    ff:be:33:b5:78:0:1:0:1:2a:47:61:fd:76:48:24:44:70:8f comment=\
    "Vserver 101. Backup" mac-address=52:97:BE:33:B5:78 server=dhcp-home
/ip dhcp-server network
add address=192.168.77.0/24 comment=home dns-server=192.168.77.2,192.168.77.1 \
    gateway=192.168.77.1
add address=192.168.78.0/24 comment=domotica dns-server=8.8.8.8,8.8.4.4 \
    gateway=192.168.78.1
add address=192.168.79.0/24 comment=invitados dns-server=192.168.77.2,8.8.8.8 \
    gateway=192.168.79.1
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=\
    192.168.88.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.2,1.0.0.2
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment="vpn: allow wireguard" dst-port=5050 \
    protocol=udp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=accept chain=forward comment="vlans: guests can access Pi-Hole" \
    dst-address=192.168.77.2 src-address=192.168.79.0/24
add action=accept chain=forward comment="vlans: domo can access HA" \
    dst-address=192.168.77.3 src-address=192.168.78.0/24
add action=reject chain=forward comment="vlans: can only access internet" \
    in-interface-list=ISOLATED out-interface-list=!WAN reject-with=\
    icmp-network-unreachable
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/system clock
set time-zone-name=Europe/Madrid
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Como verás en el, estoy liado con las potencias, (y lo que me queda,

), por eso hemetido algunos shellys de prueba a ver como "lo afino".

Cuando te venga bien, le damos matarile a la .88.

Lo dicho, no hay prisa.
Mil gracias, de nuevo por todo.
Saludos.

Nuevo en esto. Mikrotik y domótica.

Usuari@ ADSLzone

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Usuari@ ADSLzone

Usuari@ ADSLzone

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Adjuntos

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Adjuntos

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Usuari@ ADSLzone

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Similar threads