Nuevo en esto. Mikrotik y domótica.

El export está perfecto. Ahora sí te veo jugar con valores más adecuados para la potencia. No obstante, cuidado con bajar de 10dBm la potencia de ninguno de los APs, que conseguirás que prácticamente sólo cubran su habitación y poco más. No obstante, prueba prueba y prueba, que va a ser la mejor manera de afinarlo.

No te fíes sólo del medidor de potencia de la app del móvil, que quizá te pueda dar alguna lectura muy baja (las tarjetas inalámbricas de los móviles no son ninguna maravialla). El mejor sitio donde puedes ver con qué potencia llegan los dispositivos a conectarse es la pestaña de "Registration Table" de CAPsMAN. En la columna "RX Signal" verás con qué fuerza llegan a conectarse de verdad los dispositivos finales. Intenta que todos los dispositivos lleguen con una fuerza (mejor cuanto menos negativo) de al menos -70dBm o menos. -75dBm debería ser el límite a partir del cual puedes considerar que un chisme va a tener serios problemas para comunicarse (lo vas a perder en algún momento) o, si lo hace, será degradando muchísimo la velocidad de modulación del AP, penalizando a equipos con mejor señal y que modulan más alto. Todo lo que esté entre -60 y -70dBm, debería funcionar sin problema. Aunque, todo esto que te estoy contando, el relativo al ruido, puesto que la señal siempre va en relación al piso de ruido. Si quieres ver este valor, en la misma pestaña, tienes un botón llamado "CAPs Scanner". Ese botón vale para poner cualquier radio de los APs en modo escucha (como si fuera un cliente inalámbrico queriéndose conectar) y así analizar con qué potencia llegan otros APs de la zona y el piso de ruido que tienes. El piso de ruido es un valor cercano a -100dBm, cuanto más negativo, mejor (-90dBm es peor piso de ruido que -105dBm). La relación entre ambas restas (piso de ruido y nivel de señal) es lo que llaman relación señal ruido. Así, una señal de -65dBm y un piso de ruido de -105dBm, nos dará una relación señal ruido SNR = (-65) - (-105) = 40dB. Eso sería, por ejemplo, una señal excelente, puesto que la señal es 40dB más fuerte que el ruido.

Te dejo un vídeo de uno que sabe de esto bastante más que yo, por si te interesa el tema. Es probable que te cueste seguirlo, pero los conceptos se entienden bien. A partir del minuto 10, pasada la introducción, empieza la chicha. Ojo que el vídeo tiene 7 años... y aun así dice verdades como puños que a día de hoy la inmensa mayoría de la gente ignora (como decías al principio, "cuanto más mejor")


Relativo a la .88, para eliminarla, sigue estos pasos (esta vez lo vamos a hacer de manera visual, desde winbox). Habría navegar a los siguientes menús y hacer las siguientes operaciones:
  • IP > DHCP Server > DHCP (primera pestaña): borramos la entrada con nombre "defconf", sobre el bridge.
  • IP > DHCP Server > Network (segunda pestaña): borramos la entrada sobre la 192.168.88.0/24, con comentario "defconf"
  • IP > Pool: borramos el pool "default-dhcp", con rangos 192.168.88.10-192.168.88.254
  • IP > Address: borramos la entrada con comentario "defconf" que aparece sobre el bridge, para la subred 192.168.88.1
  • Interfaces > Interface List: borramos la relación list = LAN, interface = bridge
  • IP > DNS > Static (botón): editamos la dirección "router.lan", y la apuntamos a la 192.168.77.1, en lugar de a la 192.168.88.1

Relativo a este último punto, te voy a enseñar un truco que te va a gustar: En esa lista, puedes ir metiendo entradas para todos los dispositivos que tienes reservados en el DHCP como Leases estáticas. Por ejemplo, le podrías dar un nombre a todos los shely's y poner ahí entradas de este estilo:
shelly-flood.domo = 192.168.78.251
shelly-glp.domo = 192.168.78.252
shelly-temp-d1.domo = 192.168.78.250
... etc

De esta manera, podías darle acceso al chain de input del router para que los dispositivos de domótica puedan usar el servicio de DNS local del router, tal que puedas llegar a los equipos por nombre, en lugar de por IP. Además, si entregas ese subdominio "domo" en el DHCP de la subred .78, podrías llegar directamente a ellos sin si quiera poner el .domo. Es decir, podrías hacer "ping shelly-temp-d1" y resolvería "ping shelly-temp-d1.domo" y respondería la 192.168.78.250.

Esto resulta muy útil cuando tienes muchos pequeños dispositivos, como el ejemplo de la domótica. Además, facilitas que los chismes de domótica tengan una caché DNS que mantendrá este servicio del router, aligerando las consultas DNS una barbaridad. Si te interesa, lo podemos ver también.

Saludos!
 
Buenas.

Con respecto a la .88, he seguido las directrices, y la he borrado. Con lo cual,...
Si el export lo ves correcto, después de borrado la .88, la configuración la dejo como base, y a partir de aquí, a jugar con los cacharros.

Con respecto a los clientes y los ap's, me has dejado clara mi ignorancia mas absoluta :D , y la cantidad de conceptos erróneos que tengo implantados en mi aprendizaje. Como comenté en los primeros mensajes, yo pensaba que esto lo arreglaba con un AP MUMIMMO WIFI 6E, blablabla a toda potencia, y la verdad, me alegro enormemente de la suerte que tuve de pararme a leer en vuestro foro, seguir las conversaciones, y ver que todo esto es mucho mas complejo y profundo que el marketing y prestaciones de las marcas reconocidas.

Esto viene, a que pensaba que, con el teléfono por delante y una app, podría afinarlo todo, ¡JA!

He entrado en la Registration table, como me dijiste, y teniendo solamente 6 o 7 shelly's levantados de momento, eso es una jaula de grillos. Todos llamando y colisionando a la vez, luego ninguno, un caos,... Cuando empiece a levantar trastos, eso es ingobernable.:cry::D

¡Gracias por la clase Magistral!, me hace ver la cantidad de cosas que hay que tener en consideración, y conceptos que valorar para afinar la red.
Me va llevar mas tiempo del que pensaba. :sneaky:

Respecto al truco de las DNS estáticas, ¡me va a venir genial!. Hasta ahora, como supongo te imaginarás, las estaba mentiendo a manubrio, en el DHCP/LEASES y comentándolas para aclararme que era cada cosa. Pensaba reservar pool's de direcciones para cada cosa, persianas de la .250 a la .230 por un lado, luces de la .220 a la .210 por otro, .... Esto me lo facilita enormente.

Además, el video muy instructivo, se vé que es habitual lo de los conceptos erroneos.

Mil gracias, nuevamente, por el tiempo y la dedicación que tan altruístamente me has prestado.

Saludos.


PD. ¡Yo que pensaba freirlos a todos!. Incluso he dejado preparado para un punto de acceso exterior. :cautious:
 
Con respecto a los clientes y los ap's, me has dejado clara mi ignorancia mas absoluta :D , y la cantidad de conceptos erróneos que tengo implantados en mi aprendizaje. Como comenté en los primeros mensajes, yo pensaba que esto lo arreglaba con un AP MUMIMMO WIFI 6E, blablabla a toda potencia, y la verdad, me alegro enormemente de la suerte que tuve de pararme a leer en vuestro foro, seguir las conversaciones, y ver que todo esto es mucho mas complejo y profundo que el marketing y prestaciones de las marcas reconocidas.

Esto viene, a que pensaba que, con el teléfono por delante y una app, podría afinarlo todo, ¡JA!
No eres tú sólo, es muy frecuente pensar eso, es lo que te venden. Wifi ax, mesh, todo sin cables... y todo a todo trapo... y no se lo creen ni ellos. Luego claro, mezclas un chisme con soporte wifi 6 con un media docena de shellys que quizá no tengan ni wifi "n" y nos extrañamos porque la cosa no tira. Y lo que no se dan cuenta es que, para usar modulaciones tan jodidamente altas como las que usa wifi ax, necesitas estar a 3m del router. Que para los chismes que coincidan en la misma habitación muy bien, pero para el resto... agua. Si a esto le sumas que la mayoría de los mortales vivimos en pisos y no casas unifamiliares con cierto aislamiento de los vecinos... pues ya tienes la fiesta montada. Y, en lugar de bajarle la potencia a los chismes para que la señal no salga del piso, vamos justo a todo lo contrario, a ver quién la pisa más fuerte.
Por lo menos me alegro de haber contribuido un pelín a intentar haceros entender cómo funciona una tecnología inalámbrica, y a desmentir el "cuanto más, mejor".

Respecto al truco de las DNS estáticas, ¡me va a venir genial!. Hasta ahora, como supongo te imaginarás, las estaba mentiendo a manubrio, en el DHCP/LEASES y comentándolas para aclararme que era cada cosa. Pensaba reservar pool's de direcciones para cada cosa, persianas de la .250 a la .230 por un lado, luces de la .220 a la .210 por otro, .... Esto me lo facilita enormente.
Cuando quieras. Hay que modificar un pelín el firewall para dejarle a domótica usar el chain de input para el DNS, pero por lo demás es coser y cantar.

PD. ¡Yo que pensaba freirlos a todos!. Incluso he dejado preparado para un punto de acceso exterior. :cautious:
Lo del AP exterior no es ninguna tontería, especialmente si no quieres depender el hAP-ac2 para cubrir toda esa zona. No obstante, como va a estar muy cerca de este, hay que hacerle trabajar en frecuencias que no solapen entre sí y, probablmente, bajar el ancho de canal de ese par de equipos a 40MHz en la red de 5GHz. De esa manera tendrán más canales para usar y no se pisarán entre sí. Ya lo veremos, a su debido tiempo.

Mil gracias, nuevamente, por el tiempo y la dedicación que tan altruístamente me has prestado.
De nada. Y si encima consigo que os vayáis con una idea más clara de cómo funciona un sistema inalámbrico, donde es el peor equipo que se conecta el que manda, mejor que mejor.

Saludos!
 
Buenos días.

Ante todo disculpa, por no constestar antes, pero llevo dos días con las potencias, y los problemas para meter los trastos, especialmente el frigo en la .78. ¡Brutal! o_O


Cuando te venga bien modificamos el firewall par poder usar los DNS.

Si no te importa, darle un vistazo al Export, (he estado trasteando tanto con los DNS, como me enseñaste, como con el firewall para permitir que el frigo y la APP se vean dentro de la .78, porque he restaurado tantas veces los backups y modificado que no sé si he liado algo.
Código:
# jul/12/2022 11:31:53 by RouterOS 7.3.1
# software id = Y3ZQ-0PU1
#
# model = RBD53iG-5HacD2HnD
# serial number = E72C0E5E0E7A
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2412 name=2ghz-ch01-20
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2437 name=2ghz-ch06-20
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2462 name=2ghz-ch11-20
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ceee \
    frequency=5180 name=5ghz-ch036-80
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ceee \
    frequency=5260 name=5ghz-ch052-80
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ceee \
    frequency=5500 name=5ghz-ch100-80
/interface bridge
add admin-mac=2C:C8:1B:A0:51:71 auto-mac=no comment=defconf frame-types=\
    admit-only-vlan-tagged name=bridge vlan-filtering=yes
/interface wireless
# managed by CAPsMAN
# channel: 2412/20/gn(8dBm), SSID: Castillo, CAPsMAN forwarding
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
    distance=indoors frequency=auto installation=indoor mode=ap-bridge ssid=\
    MikroTik-A05175 wireless-protocol=802.11
# managed by CAPsMAN
# channel: 5500/20-Ceee/ac/DP(21dBm), SSID: Castillo, CAPsMAN forwarding
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=\
    20/40/80mhz-XXXX distance=indoors frequency=auto installation=indoor \
    mode=ap-bridge ssid=MikroTik-A05176 wireless-protocol=802.11
/interface wireguard
add listen-port=5050 mtu=1420 name=wg-rw
/interface vlan
add interface=bridge name=vlan-domotica vlan-id=78
add interface=bridge name=vlan-home vlan-id=77
add interface=bridge name=vlan-invitados vlan-id=79
/caps-man datapath
add bridge=bridge client-to-client-forwarding=yes name=home vlan-id=77 \
    vlan-mode=use-tag
add bridge=bridge client-to-client-forwarding=no name=domotica vlan-id=78 \
    vlan-mode=use-tag
add bridge=bridge client-to-client-forwarding=no name=invitados vlan-id=79 \
    vlan-mode=use-tag
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=internet user=\
    adslppp@telefonicanetpa
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=home
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=domotica
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=invitados
/caps-man configuration
add channel=2ghz-ch01-20 channel.tx-power=11 country=spain datapath=home \
    installation=indoor mode=ap name=2ghz-home-ap0 security=home ssid=\
    Castillo
add channel=2ghz-ch06-20 channel.tx-power=14 country=spain datapath=home \
    installation=indoor mode=ap name=2ghz-home-ap1 security=home ssid=\
    Castillo
add channel=2ghz-ch11-20 country=spain datapath=home installation=indoor \
    mode=ap name=2ghz-home-ap2 security=home ssid=Castillo
add channel=5ghz-ch100-80 country=spain datapath=home installation=indoor \
    mode=ap name=5ghz-home-ap0 security=home ssid=Castillo
add channel=5ghz-ch036-80 country=spain datapath=home installation=indoor \
    mode=ap name=5ghz-home-ap1 security=home ssid=Castillo
add channel=5ghz-ch052-80 country=spain datapath=home installation=indoor \
    mode=ap name=5ghz-home-ap2 security=home ssid=Castillo
add country=spain datapath=domotica mode=ap name=domotica security=domotica \
    ssid=Castillo_IOT
add country=spain datapath=invitados mode=ap name=invitados security=\
    invitados ssid=Castillo_Invitados
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add name=ISOLATED
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp-home ranges=192.168.77.10-192.168.77.254
add name=dhcp-domotica ranges=192.168.78.10-192.168.78.254
add name=dhcp-invitados ranges=192.168.79.10-192.168.79.254
/ip dhcp-server
add address-pool=dhcp-home interface=vlan-home name=dhcp-home
add address-pool=dhcp-domotica interface=vlan-domotica name=dhcp-domotica
add address-pool=dhcp-invitados interface=vlan-invitados name=dhcp-invitados
/caps-man manager
set enabled=yes upgrade-policy=suggest-same-version
/caps-man manager interface
set [ find default=yes ] forbid=yes
add disabled=no interface=vlan-home
/caps-man provisioning
add action=create-dynamic-enabled comment=ac3-cfg-2ghz master-configuration=\
    2ghz-home-ap0 name-format=prefix-identity name-prefix=2ghz radio-mac=\
    2C:C8:1B:A0:51:75 slave-configurations=domotica,invitados
add action=create-dynamic-enabled comment=ac3-cfg-5ghz master-configuration=\
    5ghz-home-ap0 name-format=prefix-identity name-prefix=5ghz radio-mac=\
    2C:C8:1B:A0:51:76 slave-configurations=domotica,invitados
add action=create-dynamic-enabled comment=ac2-cfg-2ghz master-configuration=\
    2ghz-home-ap1 name-format=prefix-identity name-prefix=2ghz radio-mac=\
    DC:2C:6E:F6:08:B0 slave-configurations=domotica,invitados
add action=create-dynamic-enabled comment=ac2-cfg-5ghz master-configuration=\
    5ghz-home-ap1 name-format=prefix-identity name-prefix=5ghz radio-mac=\
    DC:2C:6E:F6:08:B1 slave-configurations=domotica,invitados
add action=create-dynamic-enabled comment=wAP-cfg-2ghz disabled=yes \
    master-configuration=2ghz-home-ap2 name-format=prefix-identity \
    name-prefix=2ghz radio-mac=AA:BB:CC:11:22:33 slave-configurations=\
    domotica,invitados
add action=create-dynamic-enabled comment=wAP-cfg-5ghz disabled=yes \
    master-configuration=5ghz-home-ap2 name-format=prefix-identity \
    name-prefix=5ghz radio-mac=AA:BB:CC:11:22:34 slave-configurations=\
    domotica,invitados
/interface bridge port
add bridge=bridge comment=defconf frame-types=\
    admit-only-untagged-and-priority-tagged interface=ether2 pvid=77
add bridge=bridge comment=defconf frame-types=\
    admit-only-untagged-and-priority-tagged interface=ether3 pvid=77
add bridge=bridge comment=defconf frame-types=\
    admit-only-untagged-and-priority-tagged interface=ether4 pvid=77
add bridge=bridge comment=defconf frame-types=\
    admit-only-untagged-and-priority-tagged interface=ether5 pvid=77
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface bridge vlan
add bridge=bridge comment=home tagged=bridge vlan-ids=77
add bridge=bridge comment=domotica tagged=bridge vlan-ids=78
add bridge=bridge comment=invitados tagged=bridge vlan-ids=79
/interface list member
add comment=defconf interface=internet list=WAN
add interface=vlan-home list=LAN
add interface=vlan-domotica list=ISOLATED
add interface=vlan-invitados list=ISOLATED
/interface wireguard peers
add allowed-address=192.168.76.2/32 comment=client1 interface=wg-rw \
    public-key="dY12WTC1shFn9N9l6G0i8Hsk6u2D+1piFJRdDFKTjHg="
/interface wireless cap
#
set bridge=bridge caps-man-addresses=127.0.0.1 enabled=yes interfaces=\
    wlan1,wlan2
/ip address
add address=192.168.77.1/24 interface=vlan-home network=192.168.77.0
add address=192.168.78.1/24 interface=vlan-domotica network=192.168.78.0
add address=192.168.79.1/24 interface=vlan-invitados network=192.168.79.0
add address=192.168.76.1/24 interface=wg-rw network=192.168.76.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-server lease
add address=192.168.77.248 client-id=1:bc:ae:c5:4:1a:c6 mac-address=\
    BC:AE:C5:04:1A:C6 server=dhcp-home
add address=192.168.78.252 comment="Detector de GLP. SHelly" mac-address=\
    48:3F:DA:1A:32:23 server=dhcp-domotica
add address=192.168.77.3 client-id=\
    ff:ed:96:dd:3:0:1:0:1:2a:4f:4c:5:ae:2d:ed:96:dd:3 comment=\
    "Vserver 203. Dom\F3tica" mac-address=AE:2D:ED:96:DD:03 server=dhcp-home
add address=192.168.77.2 client-id=\
    ff:7a:5d:d8:e6:0:1:0:1:2a:51:7f:95:26:c0:7a:5d:d8:e6 comment=\
    "Vserver 203. Pi-Hole" mac-address=26:C0:7A:5D:D8:E6 server=dhcp-home
add address=192.168.78.251 comment=\
    "Sensor de inundaciones del ba\F1o de arriba.Shelly flood." mac-address=\
    34:94:54:6F:4D:42 server=dhcp-domotica
add address=192.168.78.250 comment=\
    "Sensor de temperatura dormitorio principal.Shelly H/T." mac-address=\
    C4:5B:BE:78:6A:33 server=dhcp-domotica
add address=192.168.78.249 comment=\
    "Sensor de temperatura del sal\F3n.Shelly H/T." mac-address=\
    C4:5B:BE:77:FA:1F server=dhcp-domotica
add address=192.168.78.248 comment=\
    "Sensor de inundaciones del Office. Shelly flood." mac-address=\
    34:94:54:6F:43:05 server=dhcp-domotica
add address=192.168.77.245 client-id=\
    ff:5b:d7:67:31:0:1:0:1:2a:5b:23:31:72:60:5b:d7:67:31 comment=\
    "vserver 102. Speed test" mac-address=72:60:5B:D7:67:31 server=dhcp-home
add address=192.168.77.244 client-id=\
    ff:be:33:b5:78:0:1:0:1:2a:47:61:fd:76:48:24:44:70:8f comment=\
    "Vserver 101. Backup" mac-address=52:97:BE:33:B5:78 server=dhcp-home
add address=192.168.78.247 client-id=ff:12:34:56:78:0:3:0:6:68:a4:e:2b:42:77 \
    mac-address=68:A4:0E:2B:42:77 server=dhcp-domotica
add address=192.168.78.253 client-id=1:38:b4:d3:e2:10:c0 mac-address=\
    38:B4:D3:E2:10:C0 server=dhcp-domotica
/ip dhcp-server network
add address=192.168.77.0/24 comment=home dns-server=192.168.77.2,192.168.77.1 \
    gateway=192.168.77.1
add address=192.168.78.0/24 comment=domotica dns-server=8.8.8.8,8.8.4.4 \
    gateway=192.168.78.1
add address=192.168.79.0/24 comment=invitados dns-server=192.168.77.2,8.8.8.8 \
    gateway=192.168.79.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.2,1.0.0.2
/ip dns static
add address=192.168.77.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment="vpn: allow wireguard" dst-port=5050 \
    protocol=udp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=accept chain=forward comment="vlans: guests can access Pi-Hole" \
    dst-address=192.168.77.2 src-address=192.168.79.0/24
add action=accept chain=forward comment="vlans: domo can access HA" \
    dst-address=192.168.77.3 src-address=192.168.78.0/24
add action=reject chain=forward comment="vlans: can only access internet" \
    in-interface-list=ISOLATED out-interface-list=!WAN reject-with=\
    icmp-network-unreachable
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/system clock
set time-zone-name=Europe/Madrid
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Mil disculpas de nuevo, y gracias como siempre.

Saludos.
 
Ante todo disculpa, por no constestar antes, pero llevo dos días con las potencias, y los problemas para meter los trastos, especialmente el frigo en la .78. ¡Brutal! o_O
qué le pasa, ¿de qué se queja? ¿Hay algún shelly que no soporte g/n? ¿o que necesite un data rate menor a 6Mbps? Tú ves contándome, que lo vemos.

Cuando te venga bien modificamos el firewall par poder usar los DNS.
Eso está hecho, con un para de instrucciones lo tendrías
Código:
# Permitimos que domótica llegue al puerto 53 UDP (servicio DNS) del propio router (chain=input)
/ip firewall filter
add action=accept chain=input comment="dns: allow domo to use dns" dst-port=53 \
    protocol=udp in-interface=vlan-domotica place-before=[find comment="defconf: drop all not coming from LAN"]

# Modificamos el servidor DHCP que entregamos en domótica, para entregar la 192.168.78.1 como DNS primario, y poder hacer uso del DNS caché del router, así como sus entradas estáticas.
/ip dhcp-server network
set [find comment=domotica] dns-server=192.168.78.1,8.8.8.8

A partir de ese momento, verás que la tabla de DNS caché se empieza a llenar en el router (IP -> DNS -> Cache), lo cual significa que los chismes están haciendo uso de ese servicio.

Si no te importa, darle un vistazo al Export, (he estado trasteando tanto con los DNS, como me enseñaste, como con el firewall para permitir que el frigo y la APP se vean dentro de la .78, porque he restaurado tantas veces los backups y modificado que no sé si he liado algo.
No veo ningún cambio en ese export, con respecto a lo que hablamos, salvo que ya tienes router.lan = 192.168.77.1.
En el firewall tampoco aprecio mayor cambio, con respecto a lo que comentas de la .78. Hasta donde puedo leer, parece que está todo correcto.

Saludos!
 
Buenas.

Muchas gracias por vigilar que no haya destrozo nada.
La tabla DNS > Caché ya está hasta arriba. ;) (y)

Con respecto a la domótica, el problema no ha empezado en los Shelly, sino en el frigo. ( y los compis pensarán porque este idiota se ha comprado un frigo con wifi. Pues eso, "Idiota").

Siguiendo tus consejos he empezado a meter trastos en la .78 (domotica) y a crear los dns. Por la cocina (Planta baja).
-Lavavajillas, lees qr con la app, le indicas SSID, pass, y dentro. App y trasto se ven en la nube. (trabaja en la de 5GHZ).

-Frigo, tienes que conectarte al AP que genera. Le indicas SSID, y el pass, entra en la red, lo veo en Leases, y en la Registration table, pero no existe ¿? SNR = 39db (Noise floor de -100, Signal -61 ;)).

Creo que la cosa está, que se tienen que ver App (tfno.), y frigo dentro de la .78 pero como está ¿Isolated?. no tiene salida el frigo hacia la nube.
¿ Puede ser posible?. ¿Te suena ver alguna historia así?.

Con respecto a los Shelly's veo que tengo entre -68 y -13, así que tengo que jugar bastante. (no corro mucho :D).

Mil gracias.

Saludos.
 

Adjuntos

  • Captura de pantalla de 2022-07-12 19-08-00.png
    Captura de pantalla de 2022-07-12 19-08-00.png
    239.2 KB · Visitas: 37
Buenas.

Muchas gracias por vigilar que no haya destrozo nada.
La tabla DNS > Caché ya está hasta arriba. ;) (y)

Con respecto a la domótica, el problema no ha empezado en los Shelly, sino en el frigo. ( y los compis pensarán porque este idiota se ha comprado un frigo con wifi. Pues eso, "Idiota").

Siguiendo tus consejos he empezado a meter trastos en la .78 (domotica) y a crear los dns. Por la cocina (Planta baja).
-Lavavajillas, lees qr con la app, le indicas SSID, pass, y dentro. App y trasto se ven en la nube. (trabaja en la de 5GHZ).

-Frigo, tienes que conectarte al AP que genera. Le indicas SSID, y el pass, entra en la red, lo veo en Leases, y en la Registration table, pero no existe ¿? SNR = 39db (Noise floor de -100, Signal -61 ;)).

Creo que la cosa está, que se tienen que ver App (tfno.), y frigo dentro de la .78 pero como está ¿Isolated?. no tiene salida el frigo hacia la nube.
¿ Puede ser posible?. ¿Te suena ver alguna historia así?.

Con respecto a los Shelly's veo que tengo entre -68 y -13, así que tengo que jugar bastante. (no corro mucho :D).

Mil gracias.

Saludos.
Las potencias y el piso de ruido que tienes es muy bueno. Si el frigo te da guerra, conecta temporalmente tu teléfono a la .78 y prueba. Entiendo que, una vez conectado, ya si podrías dejarlo sólo, que se mantendría conectado a ese AP. Sino, lo que podemos hacer el comunicar ese dispositivo concreto con tu móvil, fijando la Ip de ambos en las leases, y con una regla de firewall adicional que permita que se hablen entre sí. No obstante, no las tengo todas conmigo, puesto que hay equipos que necesitan verse en capa 2, en la misma subred.

Saludos!
 
Buenas.

Gracias por responder tan rápido.

Las potencias y el piso de ruido que tienes es muy bueno.
Gracias, sigo trabajando en ello, según tus directrices.

Actualización de estado. (Por si le sirve a alguien en el futuro).
Le he metido una dirección estática en IP > DNS Static como me enseñaste, y le he purgado en DHCP > Leases.
y ha cogido la nueva IP y ya sale solo a la nube.


Edito el mensaje.-
(He quitado el Wireguard del teléfono también, no sé si ha tenido algo que ver).


Todo Ok. (Me he ahorrado bajar :D ).

Mil gracias, como siempre.

Saludos.
 

Adjuntos

  • Captura de pantalla de 2022-07-12 19-45-27.png
    Captura de pantalla de 2022-07-12 19-45-27.png
    188.7 KB · Visitas: 33
Buenas.

Gracias por ressponder tan rápido.


Gracias, sigo trabajando en ello, según tus directrices.

Actualización de estado. (Por si le sirve a alguien en el futuro).
Le he metido una dirección estática en IP > DNS Static como me enseñaste, y le he purgado en DHCP > Leases.
y ha cogido la nueva IP y ya sale solo a la nube.

Todo Ok. (Me he ahorrado bajar :D ).

Mil gracias, como siempre.

Saludos.
Ojo con purgar las leases, que necesitas las dos cosas. La lease fija la ip en base la dirección MAC. Y la dns estática asigna un nombre y un dominio a dicha IP, previamente fijada. No sé si me explico, son complementarios, no alternativos.

Saludos!
 
Ojo con purgar las leases, que necesitas las dos cosas. La lease fija la ip en base la dirección MAC. Y la dns estática asigna un nombre y un dominio a dicha IP, previamente fijada. No sé si me explico, son complementarios, no alternativos.

Saludos!

¡Ups!. Tomo nota.
Con lo cual, deduzco que a la hora de asignar un dns, mejor no cambiar las IP's asignadas.
No reservar un pool, (ej. 192.168.77.220-230 persianas, .77.231-240 sensores), sino, solo trabajar con los dns.

Mil gracias.
Saludos.
 
¡Ups!. Tomo nota.
Con lo cual, deduzco que a la hora de asignar un dns, mejor no cambiar las IP's asignadas.
No reservar un pool, (ej. 192.168.77.220-230 persianas, .77.231-240 sensores), sino, solo trabajar con los dns.

Mil gracias.
Saludos.
Claro. Una vez lo fijes, no lo cambies, o te toca acordarte también de cambiar el dns.

Saludos!
 
Buenos días compi! tras unos días complicados de curro, va siendo hora de ir rematando lo tuyo. Te propongo un cambio de seguridad a aplicar para la wifi de invitados:
Básicamente es restringir cómo se conectan los equipos a esa red. Haríamos:
Código:
# Invitados no rellenará la tabla ARP de manera automática,
# sino que simplemente responderá a las peticiones
/interface vlan
set vlan-invitados arp=reply-only

# Las altas en la tabla ARP, las producirá únicamente el DHCP
# Así evitamos que un invitado se ponga una IP a mano
/ip dhcp-server
set dhcp-invitados add-arp=yes

# Por último, restringimos las IPs entregadas a los invitados
# a no tener broadcast ninguno (sólo se comunicarán con el mundo exterior, nunca entre sí)
/ip dhcp-server network
set [find comment=invitados] netmask=32

Si lo quieres hacer de manera visual, en este post tienes unos pantallazos sobre cómo hacerlo vía winbox: https://www.adslzone.net/foro/mikro...s-hap-ac2-oficinas.581811/page-9#post-3659430

Saludos!
 
Buenos días.

Te ruego que me disculpes, por no contestar antes.

Ya he implementado las modificaciones de seguridad en la wifi de invitados. ¡Vá perfecto!.

Pero como la curiosidad me podía, intenté arreglar lo de la IP perdida del servidor Proxmox en home (.77), y he aprendido varias cosas, por las malas.

Primero, cuando instalo el servidor pide una IP (estática). que le sirve el AC3, por DHCP. Bueno pués, no se la dá siempre. y cuando se la dá, como la haga estática, desaparece. Pero no desaparecen la de los contenedores creados dentro del Proxmox. (fijadas).

Segundo, vuelves a tener razón con respecto al Home Assistant. Necesita ver los cacharros en domotica, para poder gestionarlos, L2 en la misma subred. Supongo que habrá que permitir que esa máquina pueda acceder a la .78 de alguna manera.

Y tercero sigo liado con los Shelly's (de momento los de la planta baja), prácticamente he apagado el Tx al Ac3, para intentar cazar a los que van intentando saltar. (tienen una opción para evitar el roaming, y de momento lo estoy fijando en -75 dbi). (Me está costando mas de lo que pensaba).

Mil gracias por todo.

Saludos.
 
Primero, cuando instalo el servidor pide una IP (estática).
Si te pide una IP estática, es estática: se la das tú a mano y no la pide por DHCP (pasa lo mismo con el pi-hole). Es decir, lo que te pasa que no aparezca en las leases, es normal.

Segundo, vuelves a tener razón con respecto al Home Assistant. Necesita ver los cacharros en domotica, para poder gestionarlos, L2 en la misma subred. Supongo que habrá que permitir que esa máquina pueda acceder a la .78 de alguna manera.
Pues eso es una putada, porque implica mover el HA al segmento .78. Comunicación en L2 significa dentro del mismo segmento de red. Tendríamos que darle la vuelta a las reglas y permitir comunicación desde la .77 a la IP del HA, moviendo este a la .78

Y tercero sigo liado con los Shelly's (de momento los de la planta baja), prácticamente he apagado el Tx al Ac3, para intentar cazar a los que van intentando saltar. (tienen una opción para evitar el roaming, y de momento lo estoy fijando en -75 dbi). (Me está costando mas de lo que pensaba).
Si quieres apagar un radio de un AP, no juegues con la potencia, sino con la regla de provisioning. No provisionas esa configuración y listo, ese AP ya no emitirá en dicha frecuencia. Lo digo porque lo mismo tú te crees que le estás casi apagando el TX, y resulta que no lo está haciendo o no como tú esperas (sospecho que ignorará valores de TX tal que la resta de su ganancia sea igual o menor que cero)

Saludos!
 
Buenas.

Mil gracias por las respuestas.

Es decir, lo que te pasa que no aparezca en las leases, es normal.
Me quedo tranquilo entonces. Ya no sabía por donde seguir.

Pues eso es una putada, porque implica mover el HA al segmento .78. Comunicación en L2 significa dentro del mismo segmento de red. Tendríamos que darle la vuelta a las reglas y permitir comunicación desde la .77 a la IP del HA, moviendo este a la .78
Estoy intentando meter ese vserver en el .78, desde el proxmox, para así no tocar las reglas, (todavía no soy capaz, pero estoy en ello).

Efectivamente, al usar la regla de provisioning parece que evito los saltos. En la Registration Table me aparece con una señal de -61, y en el propio Shelly indica -75 (solo por indicar). Gracias por el consejo, desde que lo aplico he podido cazarlo. Estoy con el de la planta baja dormitorio, lo mas alejado posible del AC2. Ya estaba deseperado. y todavía no he empezado arriba.

Gracias, de nuevo.

Saludos.
 
Buenas, @pokoyo

Pues siguiendo tus directices, conseguí finalmente bajar la Tx a 11 en ambas plantas. No pierdo ninguno, y parece que todos lo trastos están estables.

Los shelly's tienen una opción de roaming de Ap's regulable según señal, así para que no interfiera los he puesto a partir de 80 dBm, (no me fío mucho de como mide ya que los datos que dán ni se acerca a lo que presenta la Reg. Table en CAPSMAN.

También les he puesto un nombre a los Shelly's como me enseñaste. Eso será terriblemente util, seguro.

Por último, sigo intentado meter el home-assistant con una ip en la .78, para no tener que cambiar las reglas.
Me cuesta, pero estoy en ello.

Adjunto un export, por si puedes darle un vistazo, aunque creo que no hay modificaciones notables sobre lo último.
Código:
# jul/20/2022 12:23:51 by RouterOS 7.3.1
# software id = Y3ZQ-0PU1
#
# model = RBD53iG-5HacD2HnD
# serial number = E72C0E5E0E7A
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2412 name=2ghz-ch01-20
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2437 name=2ghz-ch06-20
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2462 name=2ghz-ch11-20
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ceee \
    frequency=5180 name=5ghz-ch036-80
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ceee \
    frequency=5260 name=5ghz-ch052-80
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ceee \
    frequency=5500 name=5ghz-ch100-80
/interface bridge
add admin-mac=2C:C8:1B:A0:51:71 auto-mac=no comment=defconf frame-types=\
    admit-only-vlan-tagged name=bridge vlan-filtering=yes
/interface wireless
# managed by CAPsMAN
# channel: 2412/20/gn(8dBm), SSID: Castillo, CAPsMAN forwarding
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
    distance=indoors frequency=auto installation=indoor mode=ap-bridge ssid=\
    MikroTik-A05175 wireless-protocol=802.11
# managed by CAPsMAN
# channel: 5500/20-Ceee/ac/DP(21dBm), SSID: Castillo, CAPsMAN forwarding
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=\
    20/40/80mhz-XXXX distance=indoors frequency=auto installation=indoor \
    mode=ap-bridge ssid=MikroTik-A05176 wireless-protocol=802.11
/interface wireguard
add listen-port=5050 mtu=1420 name=wg-rw
/interface vlan
add interface=bridge name=vlan-domotica vlan-id=78
add interface=bridge name=vlan-home vlan-id=77
add arp=reply-only interface=bridge name=vlan-invitados vlan-id=79
/caps-man datapath
add bridge=bridge client-to-client-forwarding=yes name=home vlan-id=77 \
    vlan-mode=use-tag
add bridge=bridge client-to-client-forwarding=no name=domotica vlan-id=78 \
    vlan-mode=use-tag
add bridge=bridge client-to-client-forwarding=no name=invitados vlan-id=79 \
    vlan-mode=use-tag
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=internet user=\
    adslppp@telefonicanetpa
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=home
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=domotica
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=invitados
/caps-man configuration
add channel=2ghz-ch01-20 channel.tx-power=11 country=spain datapath=home \
    installation=indoor mode=ap name=2ghz-home-ap0 security=home ssid=\
    Castillo
add channel=2ghz-ch06-20 channel.tx-power=11 country=spain datapath=home \
    installation=indoor mode=ap name=2ghz-home-ap1 security=home ssid=\
    Castillo
add channel=2ghz-ch11-20 country=spain datapath=home installation=indoor \
    mode=ap name=2ghz-home-ap2 security=home ssid=Castillo
add channel=5ghz-ch100-80 country=spain datapath=home installation=indoor \
    mode=ap name=5ghz-home-ap0 security=home ssid=Castillo
add channel=5ghz-ch036-80 country=spain datapath=home installation=indoor \
    mode=ap name=5ghz-home-ap1 security=home ssid=Castillo
add channel=5ghz-ch052-80 country=spain datapath=home installation=indoor \
    mode=ap name=5ghz-home-ap2 security=home ssid=Castillo
add country=spain datapath=domotica mode=ap name=domotica security=domotica \
    ssid=Castillo_IOT
add country=spain datapath=invitados mode=ap name=invitados security=\
    invitados ssid=Castillo_Invitados
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add name=ISOLATED
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp-home ranges=192.168.77.10-192.168.77.254
add name=dhcp-domotica ranges=192.168.78.10-192.168.78.254
add name=dhcp-invitados ranges=192.168.79.10-192.168.79.254
/ip dhcp-server
add address-pool=dhcp-home interface=vlan-home name=dhcp-home
add address-pool=dhcp-domotica interface=vlan-domotica name=dhcp-domotica
add add-arp=yes address-pool=dhcp-invitados interface=vlan-invitados name=\
    dhcp-invitados
/caps-man manager
set enabled=yes upgrade-policy=suggest-same-version
/caps-man manager interface
set [ find default=yes ] forbid=yes
add disabled=no interface=vlan-home
/caps-man provisioning
add action=create-dynamic-enabled comment=ac3-cfg-2ghz master-configuration=\
    2ghz-home-ap0 name-format=prefix-identity name-prefix=2ghz radio-mac=\
    2C:C8:1B:A0:51:75 slave-configurations=domotica,invitados
add action=create-dynamic-enabled comment=ac3-cfg-5ghz master-configuration=\
    5ghz-home-ap0 name-format=prefix-identity name-prefix=5ghz radio-mac=\
    2C:C8:1B:A0:51:76 slave-configurations=domotica,invitados
add action=create-dynamic-enabled comment=ac2-cfg-2ghz master-configuration=\
    2ghz-home-ap1 name-format=prefix-identity name-prefix=2ghz radio-mac=\
    DC:2C:6E:F6:08:B0 slave-configurations=domotica,invitados
add action=create-dynamic-enabled comment=ac2-cfg-5ghz master-configuration=\
    5ghz-home-ap1 name-format=prefix-identity name-prefix=5ghz radio-mac=\
    DC:2C:6E:F6:08:B1 slave-configurations=domotica,invitados
add action=create-dynamic-enabled comment=wAP-cfg-2ghz disabled=yes \
    master-configuration=2ghz-home-ap2 name-format=prefix-identity \
    name-prefix=2ghz radio-mac=AA:BB:CC:11:22:33 slave-configurations=\
    domotica,invitados
add action=create-dynamic-enabled comment=wAP-cfg-5ghz disabled=yes \
    master-configuration=5ghz-home-ap2 name-format=prefix-identity \
    name-prefix=5ghz radio-mac=AA:BB:CC:11:22:34 slave-configurations=\
    domotica,invitados
/interface bridge port
add bridge=bridge comment=defconf frame-types=\
    admit-only-untagged-and-priority-tagged interface=ether2 pvid=77
add bridge=bridge comment=defconf frame-types=\
    admit-only-untagged-and-priority-tagged interface=ether3 pvid=77
add bridge=bridge comment=defconf frame-types=\
    admit-only-untagged-and-priority-tagged interface=ether4 pvid=77
add bridge=bridge comment=defconf frame-types=\
    admit-only-untagged-and-priority-tagged interface=ether5 pvid=77
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface bridge vlan
add bridge=bridge comment=home tagged=bridge vlan-ids=77
add bridge=bridge comment=domotica tagged=bridge vlan-ids=78
add bridge=bridge comment=invitados tagged=bridge vlan-ids=79
/interface list member
add comment=defconf interface=internet list=WAN
add interface=vlan-home list=LAN
add interface=vlan-domotica list=ISOLATED
add interface=vlan-invitados list=ISOLATED
/interface wireguard peers
add allowed-address=192.168.76.2/32 comment=client1 interface=wg-rw \
    public-key="dY12WTC1shFn9N9l6G0i8Hsk6u2D+1piFJRdDFKTjHg="
/interface wireless cap
#
set bridge=bridge caps-man-addresses=127.0.0.1 enabled=yes interfaces=\
    wlan1,wlan2
/ip address
add address=192.168.77.1/24 interface=vlan-home network=192.168.77.0
add address=192.168.78.1/24 interface=vlan-domotica network=192.168.78.0
add address=192.168.79.1/24 interface=vlan-invitados network=192.168.79.0
add address=192.168.76.1/24 interface=wg-rw network=192.168.76.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-server lease
add address=192.168.77.248 client-id=1:bc:ae:c5:4:1a:c6 mac-address=\
    BC:AE:C5:04:1A:C6 server=dhcp-home
add address=192.168.78.252 comment="Detector de GLP. SHelly" mac-address=\
    48:3F:DA:1A:32:23 server=dhcp-domotica
add address=192.168.78.251 comment=\
    "Sensor de inundaciones del ba\F1o de arriba.Shelly flood." mac-address=\
    34:94:54:6F:4D:42 server=dhcp-domotica
add address=192.168.78.249 comment=\
    "Sensor de temperatura del sal\F3n.Shelly H/T." mac-address=\
    C4:5B:BE:77:FA:1F server=dhcp-domotica
add address=192.168.78.248 comment=\
    "Sensor de inundaciones del Office. Shelly flood." mac-address=\
    34:94:54:6F:43:05 server=dhcp-domotica
add address=192.168.78.247 client-id=ff:12:34:56:78:0:3:0:6:68:a4:e:2b:42:77 \
    comment="Frigor\EDfico. Siemens" mac-address=68:A4:0E:2B:42:77 server=\
    dhcp-domotica
add address=192.168.78.253 client-id=1:38:b4:d3:e2:10:c0 comment=\
    "Lavavajillas Siemens" mac-address=38:B4:D3:E2:10:C0 server=dhcp-domotica
add address=192.168.77.240 comment=Proxmox mac-address=98:FA:9B:3E:4B:0B \
    server=dhcp-home
add address=192.168.77.245 client-id=\
    ff:5b:d7:67:31:0:1:0:1:2a:5b:23:31:72:60:5b:d7:67:31 comment=\
    "Vserver 103. Speed-tester" mac-address=72:60:5B:D7:67:31 server=\
    dhcp-home
add address=192.168.77.2 client-id=\
    ff:7a:5d:d8:e6:0:1:0:1:2a:51:7f:95:26:c0:7a:5d:d8:e6 comment=\
    "Vserver 101. Pi-hole" mac-address=26:C0:7A:5D:D8:E6 server=dhcp-home
add address=192.168.77.238 client-id=\
    ff:31:8a:2b:cf:0:1:0:1:2a:65:a0:e6:da:b2:31:8a:2b:cf comment=\
    "Vserver 105. Backup" mac-address=DA:B2:31:8A:2B:CF server=dhcp-home
add address=192.168.77.3 client-id=1:f2:3f:47:72:c1:f6 comment=\
    "Vserver 102. Domotica-Alpine" mac-address=F2:3F:47:72:C1:F6 server=\
    dhcp-home
add address=192.168.78.240 comment="Persiana fijo sal\F3n. Shelly 2.5" \
    mac-address=E8:DB:84:A0:44:1A server=dhcp-domotica
add address=192.168.78.239 comment="Persiana puerta sal\F3n.Shelly 2.5" \
    mac-address=E8:DB:84:A0:2E:ED server=dhcp-domotica
add address=192.168.78.238 comment="Persiana puerta cocina. Shelly 2.5" \
    mac-address=E8:DB:84:A0:0C:4A server=dhcp-domotica
add address=192.168.78.237 comment="Persiana ventana cocina. Shelly 2.5" \
    mac-address=E8:DB:84:A1:D4:43 server=dhcp-domotica
add address=192.168.78.236 comment="Persiana puerta salita. Shelly 2.5" \
    mac-address=E8:DB:84:80:1C:25 server=dhcp-domotica
add address=192.168.78.235 comment="Persiana ventana salita. Shelly 2.5" \
    mac-address=3C:61:05:E3:C6:EA server=dhcp-domotica
add address=192.168.78.234 client-id=1:cc:61:e5:53:5f:41 mac-address=\
    CC:61:E5:53:5F:41 server=dhcp-domotica
add address=192.168.78.233 comment="Persiana dormitorio de abajo. Shelly 2.5" \
    mac-address=E8:DB:84:A0:32:99 server=dhcp-domotica
add address=192.168.78.232 comment="Persiana ba\F1o de abajo. Shelly 2.5" \
    mac-address=E8:DB:84:80:1D:64 server=dhcp-domotica
add address=192.168.78.231 comment="Foco del llano. Shelly 1" mac-address=\
    98:CD:AC:2D:F0:B4 server=dhcp-domotica
add address=192.168.78.230 comment=\
    "1.Luces del Llano. 2 Luces del muro. Shelly 2.5" mac-address=\
    C4:5B:BE:6A:A1:0E server=dhcp-domotica
add address=192.168.78.229 comment="\BFLuces terraza de atras\? .Shelly 1" \
    mac-address=98:CD:AC:2E:3B:4D server=dhcp-domotica
add address=192.168.78.250 comment=\
    "Sensor de temperatura dormitorio principal. Shelly HT" mac-address=\
    C4:5B:BE:78:6A:33 server=dhcp-domotica
add address=192.168.78.228 comment="Timbre. Luz de la calle. Shelly 2.5" \
    mac-address=3C:61:05:E4:4E:9F server=dhcp-domotica
add address=192.168.78.227 comment=\
    "Persiana dormitorio principal. Shelly 2.5" mac-address=E8:DB:84:AB:6D:2D \
    server=dhcp-domotica
add address=192.168.78.226 comment="Persiana Office. Shelly 2.5" mac-address=\
    E8:DB:84:80:27:B8 server=dhcp-domotica
add address=192.168.78.225 comment="Persiana Biblioteca calle. Shelly 2.5" \
    mac-address=E8:DB:84:AB:DE:F2 server=dhcp-domotica
add address=192.168.78.224 comment="Persiana pasillo terraza. Shelly 2.5" \
    mac-address=E8:DB:84:80:1E:6C server=dhcp-domotica
add address=192.168.78.223 comment=\
    "Persiana dorrmitorio de arriba. Shelly 2.5" mac-address=\
    E8:DB:84:A0:1C:49 server=dhcp-domotica
add address=192.168.78.222 comment="Persiana Llano biblioteca. Shelly 2.5" \
    mac-address=E8:DB:84:A0:1F:16 server=dhcp-domotica
add address=192.168.78.221 comment="Persiana ba\F1o de arriba. Shelly 2.5" \
    mac-address=E8:DB:84:80:1A:81 server=dhcp-domotica
/ip dhcp-server network
add address=192.168.77.0/24 comment=home dns-server=192.168.77.2,192.168.77.1 \
    gateway=192.168.77.1
add address=192.168.78.0/24 comment=domotica dns-server=192.168.78.1,8.8.8.8 \
    gateway=192.168.78.1
add address=192.168.79.0/24 comment=invitados dns-server=192.168.77.2,8.8.8.8 \
    gateway=192.168.79.1 netmask=32
/ip dns
set allow-remote-requests=yes servers=1.1.1.2,1.0.0.2
/ip dns static
add address=192.168.77.1 comment=defconf name=router.lan
add address=192.168.78.253 name=siemens-lava.domo
add address=192.168.78.252 name=shelly-gas.domo
add address=192.168.78.251 name=shelly-flood-1.domo
add address=192.168.78.250 name=shelly-ht-1.domo
add address=192.168.78.249 name=shelly-ht-2.domo
add address=192.168.78.248 name=shelly-flood-2.domo
add address=192.168.78.247 name=siemens-frigo.domo
add address=192.168.78.233 name=shelly-p1.domo
add address=192.168.78.232 name=shelly-p2.domo
add address=192.168.78.235 name=shelly-p3.domo
add address=192.168.78.236 name=shelly-p4.domo
add address=192.168.78.240 name=shelly-p5.domo
add address=192.168.78.239 name=shelly-p6.domo
add address=192.168.78.238 name=shelly-p7.domo
add address=192.168.78.237 name=shelly-p8.domo
add address=192.168.78.223 name=shelly-p9.domo
add address=192.168.78.221 name=shelly-p10.domo
add address=192.168.78.225 name=shelly-p11.domo
add address=192.168.78.222 name=shelly-p12.domo
add address=192.168.78.226 name=shelly-p13.domo
add address=192.168.78.224 name=shelly-p14.domo
add address=192.168.78.227 name=shelly-p15.domo
add address=192.168.78.230 name=shelly-l1.domo
add address=192.168.78.231 name=shelly-l2.domo
add address=192.168.78.229 name=shelly-l3.domo
add address=192.168.78.228 name=shelly-l4.domo
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment="vpn: allow wireguard" dst-port=5050 \
    protocol=udp
add action=accept chain=input comment="dns: allow domo to use dns" dst-port=\
    53 in-interface=vlan-domotica protocol=udp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=accept chain=forward comment="vlans: guests can access Pi-Hole" \
    dst-address=192.168.77.2 src-address=192.168.79.0/24
add action=accept chain=forward comment="vlans: domo can access HA" \
    dst-address=192.168.77.3 src-address=192.168.78.0/24
add action=reject chain=forward comment="vlans: can only access internet" \
    in-interface-list=ISOLATED out-interface-list=!WAN reject-with=\
    icmp-network-unreachable
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/system clock
set time-zone-name=Europe/Madrid
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Como siempre, muchas gracias por tu tiempo y dedicación, desinteresada.

Saludos.
 

Adjuntos

  • Captura de pantalla de 2022-07-20 12-42-33.jpg
    Captura de pantalla de 2022-07-20 12-42-33.jpg
    245.2 KB · Visitas: 24
Pues siguiendo tus directices, conseguí finalmente bajar la Tx a 11 en ambas plantas. No pierdo ninguno, y parece que todos lo trastos están estables.

Los shelly's tienen una opción de roaming de Ap's regulable según señal, así para que no interfiera los he puesto a partir de 80 dBm, (no me fío mucho de como mide ya que los datos que dán ni se acerca a lo que presenta la Reg. Table en CAPSMAN.
Yo ajustaría un pelín antes. a -75dBm es buen índice para decirle al chisme que prefiera otro AP más cercano (o con más potencia). Puede que te toque subir un pelín más el TX del router, pero es mejor margen que -80dBm (ahí fuerzas al AP a modular muy despacio para "hablar" con ese chisme.

También les he puesto un nombre a los Shelly's como me enseñaste. Eso será terriblemente util, seguro.

Por último, sigo intentado meter el home-assistant con una ip en la .78, para no tener que cambiar las reglas.
Me cuesta, pero estoy en ello.

Adjunto un export, por si puedes darle un vistazo, aunque creo que no hay modificaciones notables sobre lo último.
El export tiene buena pinta. Para mover el HA a la .78, todo lo que tienes que hacer es una de dos:
- O enchufarlo por wifi a la subred de domótica
- O entregar PVID=78 en el puerto físico del router donde esté conectada esa máquina. Si esa máquina corre en un contenedor, también puedes hacer uso de esa subred, simplemente taggeando el puerto en el que está conectado el servidor con esa VLAN, y luego entregándola en modo acceso en ese contenedor específico, dejando el server en la .77. Esto último es algo más complejo, pero también se puede hacer.

A nivel de firewall, la regla que permite el acceso desde la .78 a la IP de la 192.168.77.3 que tiene ahora mismo el HA dejaría de tener sentido, pero no tendrías que hacer nada para permitir el acceso desde tu subred: si bien las VLANs sólo pueden acceder a internet si ellas originan la conexión, desde la .77 sí que puedes originar una conexión a cualquiera de las otras dos VLANs. Es decir, desde esas VLANs a la tuya no, pero desde la tuya a ellas sí que lo tienes de momento abierto.

Saludos!
 
Buenas.

Siguiendo el hilo de la actualización a la V 7.4, (no he querido ensuciar el hilo con mis poblemas) pués me he decido a actualizar, y...

¡La hemos liado!.

Pues, paso a enumerar los problemas que me han surgido después de actualizar.
Para empezar ha desaparecido el AC2 de Winbox.
He reiniciado, intentado un downgrade, (que no he podido hacer), subido la versión del 7.4 que hay en la web de Mikrotik para el AC3 a files y vuelto a actualizar, reseteado, reinstalado el último Backup, y nada.
He hecho una provisión en CAPSMAN, y ahora aparece el AC2, encendido y con dos radios (state run) en Versión V 7.4. pero,... "aparece con la dirección 127.0.0.1".


EDITO.-
Definitivamente el AC2 es un ladrillo.
Llevo todo el día intentado solucionarlo con el hilo de desenladrillado (chincheta). Mañana sigo.

Adjunto capturas, y export de configuración por si sirven.

Código:
# jul/21/2022 13:23:56 by RouterOS 7.4
# software id = Y3ZQ-0PU1
#
# model = RBD53iG-5HacD2HnD
# serial number = E72C0E5E0E7A
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2412 name=2ghz-ch01-20
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2437 name=2ghz-ch06-20
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2462 name=2ghz-ch11-20
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ceee \
    frequency=5180 name=5ghz-ch036-80
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ceee \
    frequency=5260 name=5ghz-ch052-80
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ceee \
    frequency=5500 name=5ghz-ch100-80
/interface bridge
add admin-mac=2C:C8:1B:A0:51:71 auto-mac=no comment=defconf frame-types=\
    admit-only-vlan-tagged name=bridge vlan-filtering=yes
/interface wireless
# managed by CAPsMAN
# channel: 2412/20/gn(8dBm), SSID: Castillo, CAPsMAN forwarding
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
    distance=indoors frequency=auto installation=indoor mode=ap-bridge ssid=\
    MikroTik-A05175 wireless-protocol=802.11
# managed by CAPsMAN
# channel: 5500/20-Ceee/ac/DP(21dBm), SSID: Castillo, CAPsMAN forwarding
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=\
    20/40/80mhz-XXXX distance=indoors frequency=auto installation=indoor \
    mode=ap-bridge ssid=MikroTik-A05176 wireless-protocol=802.11
/interface wireguard
add listen-port=5050 mtu=1420 name=wg-rw
/interface vlan
add interface=bridge name=vlan-domotica vlan-id=78
add interface=bridge name=vlan-home vlan-id=77
add arp=reply-only interface=bridge name=vlan-invitados vlan-id=79
/caps-man datapath
add bridge=bridge client-to-client-forwarding=yes name=home vlan-id=77 \
    vlan-mode=use-tag
add bridge=bridge client-to-client-forwarding=no name=domotica vlan-id=78 \
    vlan-mode=use-tag
add bridge=bridge client-to-client-forwarding=no name=invitados vlan-id=79 \
    vlan-mode=use-tag
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=internet user=\
    adslppp@telefonicanetpa
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=home
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=domotica
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=invitados
/caps-man configuration
add channel=2ghz-ch01-20 channel.tx-power=11 country=spain datapath=home \
    installation=indoor mode=ap name=2ghz-home-ap0 security=home ssid=\
    Castillo
add channel=2ghz-ch06-20 channel.tx-power=14 country=spain datapath=home \
    installation=indoor mode=ap name=2ghz-home-ap1 security=home ssid=\
    Castillo
add channel=2ghz-ch11-20 country=spain datapath=home installation=indoor \
    mode=ap name=2ghz-home-ap2 security=home ssid=Castillo
add channel=5ghz-ch100-80 country=spain datapath=home installation=indoor \
    mode=ap name=5ghz-home-ap0 security=home ssid=Castillo
add channel=5ghz-ch036-80 country=spain datapath=home installation=indoor \
    mode=ap name=5ghz-home-ap1 security=home ssid=Castillo
add channel=5ghz-ch052-80 country=spain datapath=home installation=indoor \
    mode=ap name=5ghz-home-ap2 security=home ssid=Castillo
add country=spain datapath=domotica mode=ap name=domotica security=domotica \
    ssid=Castillo_IOT
add country=spain datapath=invitados mode=ap name=invitados security=\
    invitados ssid=Castillo_Invitados
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add name=ISOLATED
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp-home ranges=192.168.77.10-192.168.77.254
add name=dhcp-domotica ranges=192.168.78.10-192.168.78.254
add name=dhcp-invitados ranges=192.168.79.10-192.168.79.254
/ip dhcp-server
add address-pool=dhcp-home interface=vlan-home name=dhcp-home
add address-pool=dhcp-domotica interface=vlan-domotica name=dhcp-domotica
add add-arp=yes address-pool=dhcp-invitados interface=vlan-invitados name=\
    dhcp-invitados
/caps-man manager
set enabled=yes upgrade-policy=require-same-version
/caps-man manager interface
set [ find default=yes ] forbid=yes
add disabled=no interface=vlan-home
/caps-man provisioning
add action=create-dynamic-enabled comment=ac3-cfg-2ghz master-configuration=\
    2ghz-home-ap0 name-format=prefix-identity name-prefix=2ghz radio-mac=\
    2C:C8:1B:A0:51:75 slave-configurations=domotica,invitados
add action=create-dynamic-enabled comment=ac3-cfg-5ghz master-configuration=\
    5ghz-home-ap0 name-format=prefix-identity name-prefix=5ghz radio-mac=\
    2C:C8:1B:A0:51:76 slave-configurations=domotica,invitados
add action=create-dynamic-enabled comment=ac2-cfg-2ghz master-configuration=\
    2ghz-home-ap1 name-format=prefix-identity name-prefix=2ghz radio-mac=\
    DC:2C:6E:F6:08:B0 slave-configurations=domotica,invitados
add action=create-dynamic-enabled comment=ac2-cfg-5ghz master-configuration=\
    5ghz-home-ap1 name-format=prefix-identity name-prefix=5ghz radio-mac=\
    DC:2C:6E:F6:08:B1 slave-configurations=domotica,invitados
add action=create-dynamic-enabled comment=wAP-cfg-2ghz disabled=yes \
    master-configuration=2ghz-home-ap2 name-format=prefix-identity \
    name-prefix=2ghz radio-mac=AA:BB:CC:11:22:33 slave-configurations=\
    domotica,invitados
add action=create-dynamic-enabled comment=wAP-cfg-5ghz disabled=yes \
    master-configuration=5ghz-home-ap2 name-format=prefix-identity \
    name-prefix=5ghz radio-mac=AA:BB:CC:11:22:34 slave-configurations=\
    domotica,invitados
/interface bridge port
add bridge=bridge comment=defconf frame-types=\
    admit-only-untagged-and-priority-tagged interface=ether2 pvid=77
add bridge=bridge comment=defconf frame-types=\
    admit-only-untagged-and-priority-tagged interface=ether3 pvid=77
add bridge=bridge comment=defconf frame-types=\
    admit-only-untagged-and-priority-tagged interface=ether4 pvid=77
add bridge=bridge comment=defconf frame-types=\
    admit-only-untagged-and-priority-tagged interface=ether5 pvid=77
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface bridge vlan
add bridge=bridge comment=home tagged=bridge vlan-ids=77
add bridge=bridge comment=domotica tagged=bridge vlan-ids=78
add bridge=bridge comment=invitados tagged=bridge vlan-ids=79
/interface list member
add comment=defconf interface=internet list=WAN
add interface=vlan-home list=LAN
add interface=vlan-domotica list=ISOLATED
add interface=vlan-invitados list=ISOLATED
/interface wireguard peers
add allowed-address=192.168.76.2/32 comment=client1 interface=wg-rw \
    public-key="dY12WTC1shFn9N9l6G0i8Hsk6u2D+1piFJRdDFKTjHg="
/interface wireless cap
#
set bridge=bridge caps-man-addresses=127.0.0.1 enabled=yes interfaces=\
    wlan1,wlan2
/ip address
add address=192.168.77.1/24 interface=vlan-home network=192.168.77.0
add address=192.168.78.1/24 interface=vlan-domotica network=192.168.78.0
add address=192.168.79.1/24 interface=vlan-invitados network=192.168.79.0
add address=192.168.76.1/24 interface=wg-rw network=192.168.76.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-server lease
add address=192.168.77.248 client-id=1:bc:ae:c5:4:1a:c6 mac-address=\
    BC:AE:C5:04:1A:C6 server=dhcp-home
add address=192.168.78.252 comment="Detector de GLP. SHelly" mac-address=\
    48:3F:DA:1A:32:23 server=dhcp-domotica
add address=192.168.78.251 comment=\
    "Sensor de inundaciones del ba\F1o de arriba.Shelly flood." mac-address=\
    34:94:54:6F:4D:42 server=dhcp-domotica
add address=192.168.78.249 comment=\
    "Sensor de temperatura del sal\F3n.Shelly H/T." mac-address=\
    C4:5B:BE:77:FA:1F server=dhcp-domotica
add address=192.168.78.248 comment=\
    "Sensor de inundaciones del Office. Shelly flood." mac-address=\
    34:94:54:6F:43:05 server=dhcp-domotica
add address=192.168.78.247 client-id=ff:12:34:56:78:0:3:0:6:68:a4:e:2b:42:77 \
    comment="Frigor\EDfico. Siemens" mac-address=68:A4:0E:2B:42:77 server=\
    dhcp-domotica
add address=192.168.78.253 client-id=1:38:b4:d3:e2:10:c0 comment=\
    "Lavavajillas Siemens" mac-address=38:B4:D3:E2:10:C0 server=dhcp-domotica
add address=192.168.77.240 comment=Proxmox mac-address=98:FA:9B:3E:4B:0B \
    server=dhcp-home
add address=192.168.77.245 client-id=\
    ff:5b:d7:67:31:0:1:0:1:2a:5b:23:31:72:60:5b:d7:67:31 comment=\
    "Vserver 103. Speed-tester" mac-address=72:60:5B:D7:67:31 server=\
    dhcp-home
add address=192.168.77.2 client-id=\
    ff:7a:5d:d8:e6:0:1:0:1:2a:51:7f:95:26:c0:7a:5d:d8:e6 comment=\
    "Vserver 101. Pi-hole" mac-address=26:C0:7A:5D:D8:E6 server=dhcp-home
add address=192.168.77.238 client-id=\
    ff:31:8a:2b:cf:0:1:0:1:2a:65:a0:e6:da:b2:31:8a:2b:cf comment=\
    "Vserver 105. Backup" mac-address=DA:B2:31:8A:2B:CF server=dhcp-home
add address=192.168.77.3 client-id=1:f2:3f:47:72:c1:f6 comment=\
    "Vserver 102. Domotica-Alpine" mac-address=F2:3F:47:72:C1:F6 server=\
    dhcp-home
add address=192.168.78.240 comment="Persiana fijo sal\F3n. Shelly 2.5" \
    mac-address=E8:DB:84:A0:44:1A server=dhcp-domotica
add address=192.168.78.239 comment="Persiana puerta sal\F3n.Shelly 2.5" \
    mac-address=E8:DB:84:A0:2E:ED server=dhcp-domotica
add address=192.168.78.238 comment="Persiana puerta cocina. Shelly 2.5" \
    mac-address=E8:DB:84:A0:0C:4A server=dhcp-domotica
add address=192.168.78.237 comment="Persiana ventana cocina. Shelly 2.5" \
    mac-address=E8:DB:84:A1:D4:43 server=dhcp-domotica
add address=192.168.78.236 comment="Persiana puerta salita. Shelly 2.5" \
    mac-address=E8:DB:84:80:1C:25 server=dhcp-domotica
add address=192.168.78.235 comment="Persiana ventana salita. Shelly 2.5" \
    mac-address=3C:61:05:E3:C6:EA server=dhcp-domotica
add address=192.168.78.234 client-id=1:cc:61:e5:53:5f:41 mac-address=\
    CC:61:E5:53:5F:41 server=dhcp-domotica
add address=192.168.78.233 comment="Persiana dormitorio de abajo. Shelly 2.5" \
    mac-address=E8:DB:84:A0:32:99 server=dhcp-domotica
add address=192.168.78.232 comment="Persiana ba\F1o de abajo. Shelly 2.5" \
    mac-address=E8:DB:84:80:1D:64 server=dhcp-domotica
add address=192.168.78.231 comment="Foco del llano. Shelly 1" mac-address=\
    98:CD:AC:2D:F0:B4 server=dhcp-domotica
add address=192.168.78.230 comment=\
    "1.Luces del Llano. 2 Luces del muro. Shelly 2.5" mac-address=\
    C4:5B:BE:6A:A1:0E server=dhcp-domotica
add address=192.168.78.229 comment="\BFLuces terraza de atras\? .Shelly 1" \
    mac-address=98:CD:AC:2E:3B:4D server=dhcp-domotica
add address=192.168.78.250 comment=\
    "Sensor de temperatura dormitorio principal. Shelly HT" mac-address=\
    C4:5B:BE:78:6A:33 server=dhcp-domotica
add address=192.168.78.228 comment="Timbre. Luz de la calle. Shelly 2.5" \
    mac-address=3C:61:05:E4:4E:9F server=dhcp-domotica
add address=192.168.78.227 comment=\
    "Persiana dormitorio principal. Shelly 2.5" mac-address=E8:DB:84:AB:6D:2D \
    server=dhcp-domotica
add address=192.168.78.226 comment="Persiana Office. Shelly 2.5" mac-address=\
    E8:DB:84:80:27:B8 server=dhcp-domotica
add address=192.168.78.225 comment="Persiana Biblioteca calle. Shelly 2.5" \
    mac-address=E8:DB:84:AB:DE:F2 server=dhcp-domotica
add address=192.168.78.224 comment="Persiana pasillo terraza. Shelly 2.5" \
    mac-address=E8:DB:84:80:1E:6C server=dhcp-domotica
add address=192.168.78.223 comment=\
    "Persiana dorrmitorio de arriba. Shelly 2.5" mac-address=\
    E8:DB:84:A0:1C:49 server=dhcp-domotica
add address=192.168.78.222 comment="Persiana Llano biblioteca. Shelly 2.5" \
    mac-address=E8:DB:84:A0:1F:16 server=dhcp-domotica
add address=192.168.78.221 comment="Persiana ba\F1o de arriba. Shelly 2.5" \
    mac-address=E8:DB:84:80:1A:81 server=dhcp-domotica
/ip dhcp-server network
add address=192.168.77.0/24 comment=home dns-server=192.168.77.2,192.168.77.1 \
    gateway=192.168.77.1
add address=192.168.78.0/24 comment=domotica dns-server=192.168.78.1,8.8.8.8 \
    gateway=192.168.78.1
add address=192.168.79.0/24 comment=invitados dns-server=192.168.77.2,8.8.8.8 \
    gateway=192.168.79.1 netmask=32
/ip dns
set allow-remote-requests=yes servers=1.1.1.2,1.0.0.2
/ip dns static
add address=192.168.77.1 comment=defconf name=router.lan
add address=192.168.78.253 name=siemens-lava.domo
add address=192.168.78.252 name=shelly-gas.domo
add address=192.168.78.251 name=shelly-flood-1.domo
add address=192.168.78.250 name=shelly-ht-1.domo
add address=192.168.78.249 name=shelly-ht-2.domo
add address=192.168.78.248 name=shelly-flood-2.domo
add address=192.168.78.247 name=siemens-frigo.domo
add address=192.168.78.233 name=shelly-p1.domo
add address=192.168.78.232 name=shelly-p2.domo
add address=192.168.78.235 name=shelly-p3.domo
add address=192.168.78.236 name=shelly-p4.domo
add address=192.168.78.240 name=shelly-p5.domo
add address=192.168.78.239 name=shelly-p6.domo
add address=192.168.78.238 name=shelly-p7.domo
add address=192.168.78.237 name=shelly-p8.domo
add address=192.168.78.223 name=shelly-p9.domo
add address=192.168.78.221 name=shelly-p10.domo
add address=192.168.78.225 name=shelly-p11.domo
add address=192.168.78.222 name=shelly-p12.domo
add address=192.168.78.226 name=shelly-p13.domo
add address=192.168.78.224 name=shelly-p14.domo
add address=192.168.78.227 name=shelly-p15.domo
add address=192.168.78.230 name=shelly-l1.domo
add address=192.168.78.231 name=shelly-l2.domo
add address=192.168.78.229 name=shelly-l3.domo
add address=192.168.78.228 name=shelly-l4.domo
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment="vpn: allow wireguard" dst-port=5050 \
    protocol=udp
add action=accept chain=input comment="dns: allow domo to use dns" dst-port=\
    53 in-interface=vlan-domotica protocol=udp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=accept chain=forward comment="vlans: guests can access Pi-Hole" \
    dst-address=192.168.77.2 src-address=192.168.79.0/24
add action=accept chain=forward comment="vlans: domo can access HA" \
    dst-address=192.168.77.3 src-address=192.168.78.0/24
add action=reject chain=forward comment="vlans: can only access internet" \
    in-interface-list=ISOLATED out-interface-list=!WAN reject-with=\
    icmp-network-unreachable
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/system clock
set time-zone-name=Europe/Madrid
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Saludos.
 

Adjuntos

  • Captura de pantalla de 2022-07-21 13-16-16.jpg
    Captura de pantalla de 2022-07-21 13-16-16.jpg
    299.5 KB · Visitas: 20
  • Captura de pantalla de 2022-07-21 13-04-51.jpg
    Captura de pantalla de 2022-07-21 13-04-51.jpg
    156 KB · Visitas: 19
Última edición:
El que te aparece con la 127.0.0.1 (o lo que es lo mismo, localhost o tú mismo) es el hAP-ac3, no el ac2.

Dale un reset al hAP-ac2, a ver si eres capaz de volver a entrar en él, y le volvemos a poner en modo CAP.

Para hacer el reset, simplemente desconecta el equipo, pulsa reset, aplica corriente sin soltar el botón de reset y, cuando veas parpadear el led de usr o power, sueltas. El equipo pasará a modo router y podrás acceder a él conectando un equipo directo por cable o wifi (user = admin y sin contraseña).

Dime si revive o no, sino habrá que tirar de netinstall. Yo he actualizado dos y en remoto, por eso me resultó raro tu mensaje.

Saludos!
 
Buenas.

Ante todo, disculpas por no expresarme bien. Me pasé todo el día con el AC2, y no pensaba muy claro.

La cosa es que el AC2, no responde al Reset. No da ni IP ni MAC, con lo que el Winbox, no lo vé. Si bien es cierto que las luces led si funcionan al conectarle corriente.

Estoy probando con el Netinstall, siguiendo el manual de @Yoniper y parece que tampoco reacciona.

Ahora voy a probar en Linux, ya que en Windows tampoco me ha funcionado.

Ya iré actualizando el estado.

Saludos, y gracias.
 
Arriba