Obtener internet con hAP en modo "station"

Muy buenas,

Siguiendo el manual de "como llevarte tu red a cuestas" he intentado hacer esta configuración con objeto de llevarme una segunda red wifi al router principal y dejarlo preparado como "segunda wan" para un futuro failover.

Me explico mejor, se ha mudado junto a mi vivienda un familiar que con su wifi (y su permiso naturalmente), pretendo coger su señal a través de un hAP ac2 y trasladarlo a un puerto en el router principal (RB4011) de cara a montar una señal de backup en caso que falle la principal que ya me llega por fibra óptica. El siguiente dibujo puede dar una idea de lo que pretendo hacer:

1669646198332.png

El ac2 en modo station tiene la siguiente configuración:

Bash:
/interface bridge
add name=bridge-backup
add name=bridge-lan

/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-Ceee country=spain disabled=no ssid=\
    SSID-DEL-VECINO

/interface eoip
add local-address=192.168.88.3 mac-address=02:CD:E1:C7:4C:BF mtu=1500 name=eoip-backup remote-address=192.168.88.1 \
    tunnel-id=5

/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik

/interface bridge port
add bridge=bridge-lan interface=ether1
add bridge=bridge-lan interface=ether2
add bridge=bridge-lan interface=ether3
add bridge=bridge-lan interface=ether4
add bridge=bridge-lan interface=ether5
add bridge=bridge-backup interface=eoip-backup
add bridge=bridge-backup interface=wlan2

/ip cloud
set ddns-enabled=yes

/ip dhcp-client
add add-default-route=no interface=bridge-lan
add interface=bridge-backup

/ip firewall nat
add action=masquerade chain=srcnat dst-address=192.168.1.0/24

/system clock
set time-zone-name=Europe/Madrid

/system identity
set name=RESPALDO-ST

En el router principal RB4011, he creado la otra parte del EoIP (está levantado "RS") y junto con ether5, ambos los he metido en un bridge llamado "bridge-respaldo".

Bash:
/interface bridge
add admin-mac=2C:C8:1B:03:46:F2 auto-mac=no frame-types=\
    admit-only-vlan-tagged igmp-snooping=yes name=bridge vlan-filtering=yes
add name=bridge-backup
add name=loopback protocol-mode=none

/interface ethernet
set [ find default-name=ether1 ] name=ether1-wan
set [ find default-name=ether2 ] name=ether2-nas
set [ find default-name=ether4 ] name=ether4-ap-salon
set [ find default-name=ether6 ] name=ether6-pc-despacho
set [ find default-name=ether10 ] name=ether10-ap-despacho
set [ find default-name=sfp-sfpplus1 ] disabled=yes

/interface eoip
add local-address=192.168.88.1 mac-address=02:E3:D4:34:83:A5 mtu=1500 name=\
    eoip-backup remote-address=192.168.88.3 tunnel-id=5
add local-address=10.252.252.1 mac-address=FE:5A:D4:C9:58:9A mtu=1500 name=\
    eoip-iptv-to-map remote-address=10.252.252.2 tunnel-id=1
add local-address=192.168.88.1 mac-address=02:AE:2A:8B:07:DE mtu=1500 name=\
    eoip-iptv-to-salon remote-address=192.168.88.2 tunnel-id=2
add local-address=10.252.252.1 mac-address=FE:4F:32:98:6A:85 mtu=1500 name=\
    eoip-to-apto remote-address=10.252.252.3 tunnel-id=0

/interface vlan
add arp=reply-only interface=bridge name=vlan-guests vlan-id=66
add interface=bridge name=vlan-lan vlan-id=88
add interface=ether1-wan name=vlan20 vlan-id=20

/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add name=GRE
add name=ISOLATED

/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik

/ip pool
add name=pool-lan ranges=192.168.88.10-192.168.88.254
add name=pool-guests ranges=192.168.66.2-192.168.66.254
add name=pool-vpn ranges=192.168.68.10-192.168.68.254

/ip dhcp-server
add address-pool=pool-lan interface=vlan-lan lease-script="" lease-time=1h name=dhcp-bridge
add add-arp=yes address-pool=pool-guests interface=vlan-guests lease-script="" name=dhcp-guests

/routing table
add fib name=tablarutas2

/interface bridge port
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether2-nas pvid=88
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether4-ap-salon pvid=88
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether6-pc-despacho pvid=88
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether8 pvid=88
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether9 pvid=88
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether10-ap-despacho pvid=88
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=sfp-sfpplus1 pvid=88
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=eoip-to-apto pvid=88
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether7 pvid=88
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=eoip-iptv-to-salon pvid=99
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=eoip-iptv-to-map pvid=99
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether3 pvid=99
add bridge=bridge-backup interface=eoip-backup
add bridge=bridge-backup interface=ether5

/ip neighbor discovery-settings
set discover-interface-list=all

/interface bridge vlan
add bridge=bridge comment=lan tagged=bridge vlan-ids=88
add bridge=bridge comment=guests tagged=bridge vlan-ids=66
add bridge=bridge comment=iptv tagged=bridge vlan-ids=99

/interface list member
add interface=vlan-lan list=LAN
add interface=pppoe-out1 list=WAN
add interface=bridge-backup list=WAN
add interface=wg-ospf-to-apto list=LAN
add interface=wg-ospf-to-map list=LAN
add interface=wg-ospf-to-apto list=GRE
add interface=wg-ospf-to-map list=GRE
add interface=wg-rw list=LAN
add interface=vlan-guests list=ISOLATED

/ip address
add address=192.168.88.1/24 interface=vlan-lan network=192.168.88.0
add address=10.10.0.1/24 interface=wg-rw network=10.10.0.0
add address=172.17.20.1/30 interface=wg-ospf-to-apto network=172.17.20.0
add address=172.17.0.2/30 interface=wg-ospf-to-map network=172.17.0.0
add address=192.168.66.1/24 interface=vlan-guests network=192.168.66.0
add address=10.252.252.1 interface=loopback network=10.252.252.1
add address=10.40.0.1/24 interface=wg-rw-iptv network=10.40.0.0

/ip cloud
set ddns-enabled=yes update-time=no

/ip dhcp-server network
add address=192.168.66.0/24 dns-server=1.1.1.2,1.0.0.2 gateway=192.168.66.1 \
    netmask=32
add address=192.168.88.0/24 dns-server=192.168.88.23,192.168.88.1 domain=lan \
    gateway=192.168.88.1

/ip dns
set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1

/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="allow ipsec" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input comment="vpn: allow wireguard tunnels" \
    dst-port=57588,57589,57591,54321 protocol=udp
add action=accept chain=input comment="iptv: allow gre for eoip" \
    in-interface-list=GRE protocol=gre
add action=accept chain=input comment="allow WinBox access" src-address-list=\
    admin
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=reject chain=forward comment=\
    "vlans: guests can only access internet" in-interface-list=ISOLATED \
    out-interface-list=!WAN reject-with=icmp-network-unreachable
/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=\
    192.168.88.0/24 src-address=192.168.88.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat comment=NAS-Open-80 dst-address-list=\
    public-ip dst-port=80 protocol=tcp to-addresses=192.168.88.247
add action=dst-nat chain=dstnat comment="OpenVPN in Synology NAS" \
    dst-address-list=public-ip dst-port=1199 protocol=udp to-addresses=\
    192.168.88.247

/ip route
add disabled=no distance=111 dst-address=192.168.2.0/24 gateway=172.17.20.2 \
    pref-src=0.0.0.0 routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=no distance=111 dst-address=192.168.1.0/24 gateway=172.17.0.1 \
    pref-src=0.0.0.0 routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=172.17.0.1 pref-src=\
    0.0.0.0 routing-table=tablarutas2 scope=30 suppress-hw-offload=no \
    target-scope=10

/radius incoming
set accept=yes

/routing ospf interface-template
add area=backbone disabled=no interfaces=wg-ospf-to-map networks=\
    172.17.0.0/30 type=ptp
add area=backbone disabled=no interfaces=wg-ospf-to-apto networks=\
    172.17.20.0/30 type=ptp
add area=backbone disabled=no networks=\
    192.168.88.0/24,10.10.0.0/24,10.252.252.0/24 passive

/routing rule
add action=lookup src-address=10.40.0.2 table=tablarutas2
add action=lookup disabled=no src-address=10.40.0.3/32 table=tablarutas2

/system clock
set time-zone-autodetect=no time-zone-name=Europe/Madrid

/system identity
set name=Despacho

Ahora, pincho mi portátil en ether5 y obtengo una IP de la red wifi del vecino "192.168.1.139", hasta ahí bien. El problema es que no se que ruta me falta porque intento hacer ping al 8.8.8.8 desde ether5 como desde la propia terminal del RB4011 y no consigo salir a internet.

No se si tendré algún conflicto con la Red que viene del famoso "Paco" que coincide con 192.168.1.0/24.

¿Algún consejo por donde pueden ir los tiros?

S@lu2.
 
Última edición:
uff, ese setup es un poco raruno. Además, se puede hacer sin necesidad de un EoIP
No obstante, para lo que te falla, revisa que en el 4011 tengas ese bridge como interfaz de la lista WAN, para que se le aplique masquerade a todo lo que salga por ella.

Saludos!
 
OK gracias @pokoyo por responder.

He añadido el "bridge-backup" a la lista WAN del RB4011 sin suerte.

Cuando pincho en ether5 si me da IP del DHCP del vecino pero si hago ping al 192.168.1.1 no tengo respuesta.

1669648872589.png


He añadido al post principal el export (omitiendo lo innecesario) del RB4011, por si ves algo raro.

¿Cómo lo hubieras hecho tú sin necesidad de EoIP?

El tema de traerme esa red "tal cual" ha sido porque la mejor señal WiFi está en una habitación retirada y tenido que hacer ese recorrido pasando por dos routers hasta llegar a un puerto del router principal.

Edito: Además la idea es que el router ac2 trabaje la interfaz wlan2 como "cliente wifi" independiente y los puertos ethernet cojan la IP del DHCP del router principal.

S@lu2.
 
Última edición:
Yo lo haría intentando meter el tráfico de la wifi cliente en una vlan, y con una ruta estática por defecto que apunte ese segmento de red.

Si me das unos días, intento montar un ejemplo sencillo en casa y te digo cómo quedaría.

Saludos!
 
Yo lo haría intentando meter el tráfico de la wifi cliente en una vlan, y con una ruta estática por defecto que apunte ese segmento de red.

Si me das unos días, intento montar un ejemplo sencillo en casa y te digo cómo quedaría.

Saludos!
Ok, gracias.

S@lu2.
 
Toma, sin VLANs, que en verdad ni las necesitas: esta es la config del hAP
Código:
/interface bridge
add name=bridge
/interface wireless security
add authentication-types=wpa2-psk mode=dynamic-keys name=wifivecino wpa2-pre-shared-key=p4assw0rdv3cin0!
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no security-profile=wifivecino ssid=vecino
/interface bridge port
add bridge=bridge interface=ether1
add bridge=bridge interface=ether2
add bridge=bridge interface=ether3
add bridge=bridge interface=ether4
add bridge=bridge interface=ether5
/ip dhcp-client
add add-default-route=no interface=bridge // de aquí se obtendrá una IP LAN, a fijar en el router principal
add interface=wlan1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=wlan1
/system clock
set time-zone-name=Europe/Madrid

Y, en tu router principal, hacer dos cosas:
a) fijar la IP que obtiene ese equipo como lease estática (una IP de tu LAN simplemente)
b) crear la siguiente ruta estática, con mayor peso que la principal
Código:
/ip route
add gateway=IP_FIJADA_LAN_HAP distance=2

Cuando tires tu conexión principal, verás que el tráfico se empieza a mandar a la IP local del hAP. Como el hAP no tiene un ruta por defecto que le una al principal de vuelta (no está marcada la opción del add default route del cliente del bridge), intentará sacarlo por su única ruta por defecto, la interfaz wireless.

Nota: el ejemplo está montado con un equipo LTE (ruta principal) y con un mAP como cliente LAN del mismo, con la ruta alternativa. Modifica el import acorde a las interfaces inalámbricas de tu equipo, por ejemplo, si usas la banda de 5GHz.

Saludos!
 
Última edición:
Genial muchas gracias.

Lo acabo de probar tirando mi línea principal "pppoe-out1" y acto seguido veo que se enruta por la 192.168.88.3 que es la IP que he fijado para el hAP (Station) y me levantan todos los enlaces wireguard, el ospf, etc.

El problema que veo es que a nivel de DNS los hosts conectados al DHCP del RB4011 no resuelven el nombre de páginas y no navegan.

A nivel de terminal si (es raro):

1669718209311.png


He probado a meterle en el DHCP del RB4011 la IP del hAP: 192.168.88.3 como otra DNS más:
DNS: 192.168.88.23 (Pihole), 192.168.88.1 (router) y 192.168.88.3 (hAP - aquí les he metido 1.1.1.1)

Mi PC conectado al RB4011:

1669718409351.png


Nada, aún así no consigo que abra ninguna web.

¿Alguna pista por donde puede estar el problemilla?

S@lu2.
 
No no, no necesitas hacer eso que comentas. El gateway de tu LAN va a ser siempre la IP de tu router, y dependerá de la ruta activa por dónde salga a internet. Lo que sí te que puede pasar es que haya conexiones activas ya establecidas y que esa resolución "tarde" un poquito en volver a funcionar.

Si estoy en lo cierto, si vas a IP-> Firewall -> Connections y matas todas las conexiones, mira a ver si te vuelve a pasar.

Saludos!
 
No no, no necesitas hacer eso que comentas. El gateway de tu LAN va a ser siempre la IP de tu router, y dependerá de la ruta activa por dónde salga a internet. Lo que sí te que puede pasar es que haya conexiones activas ya establecidas y que esa resolución "tarde" un poquito en volver a funcionar.

Si estoy en lo cierto, si vas a IP-> Firewall -> Connections y matas todas las conexiones, mira a ver si te vuelve a pasar.

Saludos!
He forzado de nuevo la ruta al hAP Cliente
, mato las conexiones y empiezo a navegar, pero a los pocos minutos la family empieza a quejarse que tienen problemas con Internet, parece que esa ruta no es estable.

La conexión Wifi 5G del vecino que recoge el hAP es buena, con unos -45 dBm (pared con pared).

Cómo dijiste a principio, quizás habría que montar una VLAN de extremo a extremo con rutas de ida y vuelta? En ese caso, cómo sería la config teniendo en cuenta que hay un CAP entre el hAP y el RB401?

La idea sería como si el hAP estuviera conectado directamente a un puerto del RB4011 para hacer un failover.

S@lu2.
 
He forzado de nuevo la ruta al hAP Cliente
, mato las conexiones y empiezo a navegar, pero a los pocos minutos la family empieza a quejarse que tienen problemas con Internet, parece que esa ruta no es estable.

La conexión Wifi 5G del vecino que recoge el hAP es buena, con unos -45 dBm (pared con pared).

Cómo dijiste a principio, quizás habría que montar una VLAN de extremo a extremo con rutas de ida y vuelta? En ese caso, cómo sería la config teniendo en cuenta que hay un CAP entre el hAP y el RB401?

La idea sería como si el hAP estuviera conectado directamente a un puerto del RB4011 para hacer un failover.

S@lu2.
OK. Déjame que pruebe y te digo cómo queda con una VLAN, a ver si mejora el tema.

Saludos!
 
Esta config es mejor que la otra. Aprovecha además la subred principal de tu router, así que puedes usar el resto de puertos como un switch.
Código:
/interface bridge
add ingress-filtering=no name=bridge vlan-filtering=yes
/interface vlan
add interface=bridge name=vlan-wan vlan-id=10
/interface wireless security-profiles
add authentication-types=wpa2-psk mode=dynamic-keys name=guest supplicant-identity=MikroTik
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no security-profile=guest ssid=guest
/interface bridge port
add bridge=bridge interface=ether1
add bridge=bridge interface=ether2
add bridge=bridge interface=ether3
add bridge=bridge interface=ether4
add bridge=bridge interface=ether5
/interface bridge vlan
add bridge=bridge tagged=bridge,ether1 vlan-ids=10
/ip address
add address=192.168.10.2/30 interface=vlan-wan network=192.168.10.0
/ip dhcp-client
add interface=wlan1
add add-default-route=no interface=bridge
/ip firewall nat
add action=masquerade chain=srcnat out-interface=wlan1
/system clock
set time-zone-name=Europe/Madrid

En el router principal, tendrías que:
- Crear la vlan 10, sobre la interfaz que te conecte al siguiente router (si es un bridge, aplicar vlan filtering con ese puerto taggeado para la vlan 10, así como el propio birdge; puedes coger de ejemplo la config del hAP que te mando, sería muy parecida)
- Direccionar la vlan con la 192.168.10.1/24 (o la subred que quieras, pero que machee con la del otro lado)
- Meter la vlan en la lista WAN, para que le aplique el masquerade.
- Crear una ruta por defecto con más peso que la principal, destino 0.0.0.0/0, gateway = 192.168.10.2

Esta sí va como un tiro. En el router intermedio, como no se va a usar esa VLAN para nada, no necesitas hacer nada.

Saludos!
 
Esta config es mejor que la otra. Aprovecha además la subred principal de tu router, así que puedes usar el resto de puertos como un switch.
Código:
/interface bridge
add ingress-filtering=no name=bridge vlan-filtering=yes
/interface vlan
add interface=bridge name=vlan-wan vlan-id=10
/interface wireless security-profiles
add authentication-types=wpa2-psk mode=dynamic-keys name=guest supplicant-identity=MikroTik
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no security-profile=guest ssid=guest
/interface bridge port
add bridge=bridge interface=ether1
add bridge=bridge interface=ether2
add bridge=bridge interface=ether3
add bridge=bridge interface=ether4
add bridge=bridge interface=ether5
/interface bridge vlan
add bridge=bridge tagged=bridge,ether1 vlan-ids=10
/ip address
add address=192.168.10.2/30 interface=vlan-wan network=192.168.10.0
/ip dhcp-client
add interface=wlan1
add add-default-route=no interface=bridge
/ip firewall nat
add action=masquerade chain=srcnat out-interface=wlan1
/system clock
set time-zone-name=Europe/Madrid

En el router principal, tendrías que:
- Crear la vlan 10, sobre la interfaz que te conecte al siguiente router (si es un bridge, aplicar vlan filtering con ese puerto taggeado para la vlan 10, así como el propio birdge; puedes coger de ejemplo la config del hAP que te mando, sería muy parecida)
- Direccionar la vlan con la 192.168.10.1/24 (o la subred que quieras, pero que machee con la del otro lado)
- Meter la vlan en la lista WAN, para que le aplique el masquerade.
- Crear una ruta por defecto con más peso que la principal, destino 0.0.0.0/0, gateway = 192.168.10.2

Esta sí va como un tiro. En el router intermedio, como no se va a usar esa VLAN para nada, no necesitas hacer nada.

Saludos!

Hola!

Pues mas o menos ya lo tengo montado, pero aún no hago ping a los extremos de la nueva vlan 10.

Seguro que me falta alguna tontería, aquí te dejo @pokoyo los export de los extremos a ver si ves algo que no está bien porfa... el puerto dirección al hAP es el ether4.

RB4011

Bash:
/interface bridge
add admin-mac=2C:C8:1B:03:46:F2 auto-mac=no frame-types=\
    admit-only-vlan-tagged igmp-snooping=yes name=bridge vlan-filtering=yes
add name=loopback protocol-mode=none

/interface ethernet
set [ find default-name=ether1 ] name=ether1-wan
set [ find default-name=ether2 ] name=ether2-nas
set [ find default-name=ether4 ] name=ether4-ap-salon
set [ find default-name=ether6 ] name=ether6-pc-despacho
set [ find default-name=ether10 ] name=ether10-ap-despacho
set [ find default-name=sfp-sfpplus1 ] disabled=yes

/interface vlan
add arp=reply-only interface=bridge name=vlan-guests vlan-id=66
add interface=bridge name=vlan-lan vlan-id=88
add interface=bridge name=vlan-vecino vlan-id=10
add interface=ether1-wan name=vlan20 vlan-id=20

/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add name=GRE
add name=ISOLATED

/ip pool
add name=pool-lan ranges=192.168.88.10-192.168.88.254
add name=pool-guests ranges=192.168.66.2-192.168.66.254
add name=pool-vpn ranges=192.168.68.10-192.168.68.254

/ip dhcp-server
add address-pool=pool-lan interface=vlan-lan name=dhcp-guests

/interface bridge port
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether2-nas pvid=88
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether4-ap-salon pvid=88
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether5 pvid=88
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether6-pc-despacho pvid=88
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether8 pvid=88
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether9 pvid=88
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether10-ap-despacho pvid=88
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=sfp-sfpplus1 pvid=88
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=eoip-to-apto pvid=88
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether7 pvid=88
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=eoip-iptv-to-salon pvid=99
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=eoip-iptv-to-map pvid=99
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether3 pvid=99

/interface bridge vlan
add bridge=bridge comment=lan tagged=bridge,ether4-ap-salon vlan-ids=88
add bridge=bridge comment=guests tagged=bridge vlan-ids=66
add bridge=bridge comment=iptv tagged=bridge vlan-ids=99
add bridge=bridge comment=vecino tagged=bridge,ether4-ap-salon vlan-ids=10

/interface list member
add interface=vlan-lan list=LAN
add interface=pppoe-out1 list=WAN
add interface=wg-ospf-to-apto list=LAN
add interface=wg-ospf-to-map list=LAN
add interface=wg-ospf-to-apto list=GRE
add interface=wg-ospf-to-map list=GRE
add interface=wg-rw list=LAN
add interface=vlan-guests list=ISOLATED
add interface=vlan-vecino list=WAN

/ip address
add address=192.168.88.1/24 interface=vlan-lan network=192.168.88.0
add address=10.10.0.1/24 interface=wg-rw network=10.10.0.0
add address=172.17.20.1/30 interface=wg-ospf-to-apto network=172.17.20.0
add address=172.17.0.2/30 interface=wg-ospf-to-map network=172.17.0.0
add address=192.168.66.1/24 interface=vlan-guests network=192.168.66.0
add address=10.252.252.1 interface=loopback network=10.252.252.1
add address=10.40.0.1/24 interface=wg-rw-iptv network=10.40.0.0
add address=192.168.10.1/30 interface=vlan-vecino network=192.168.10.0

/ip dhcp-server network
add address=192.168.66.0/24 dns-server=1.1.1.2,1.0.0.2 gateway=192.168.66.1 \
    netmask=32
add address=192.168.88.0/24 dns-server=192.168.88.23,192.168.88.1 domain=lan \
    gateway=192.168.88.1

/ip route
add disabled=no distance=111 dst-address=192.168.2.0/24 gateway=172.17.20.2 \
    pref-src=0.0.0.0 routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=no distance=111 dst-address=192.168.1.0/24 gateway=172.17.0.1 \
    pref-src=0.0.0.0 routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=172.17.0.1 pref-src=\
    0.0.0.0 routing-table=tablarutas2 scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=no distance=2 dst-address=0.0.0.0/0 gateway=192.168.10.2 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10

/system identity
set name=Despacho

hAP ac2

Código:
/interface bridge
add ingress-filtering=no name=bridge vlan-filtering=yes

/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik

/interface vlan
add interface=bridge name=vlan-wan vlan-id=10

/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk mode=dynamic-keys name=wifi-vecino supplicant-identity=MikroTik

/interface wireless
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-eeCe disabled=no frequency=5540 \
    security-profile=wifi-vecino ssid=SSID-VECINO

/ip hotspot profile
set [ find default=yes ] html-directory=hotspot

/interface bridge port
add bridge=bridge interface=ether1
add bridge=bridge interface=ether2
add bridge=bridge interface=ether3
add bridge=bridge interface=ether4
add bridge=bridge interface=ether5

/interface bridge vlan
add bridge=bridge tagged=bridge,ether1 vlan-ids=10

/ip address
add address=192.168.10.2/30 interface=vlan-wan network=192.168.10.0

/ip dhcp-client
add interface=wlan2
add add-default-route=no interface=bridge

/ip firewall nat
add action=masquerade chain=srcnat out-interface=wlan2

/system clock
set time-zone-name=Europe/Madrid

/system identity
set name=VECINO-ST

Gracias de nuevo.

S@lu2
 
Última edición:
Cambia el puerto ether4 en el 4011, dentro del bridge > ports y, en lugar de ponerle frame-types=admit-only-untagged-and-priority-tagged, le pones frame-types=admit-all, para que se comporte como un puerto híbrido. Mira a ver si es esa chorrada, el resto lo veo bien.

Saludos!
 
Cambia el puerto ether4 en el 4011, dentro del bridge > ports y, en lugar de ponerle frame-types=admit-only-untagged-and-priority-tagged, le pones frame-types=admit-all, para que se comporte como un puerto híbrido. Mira a ver si es esa chorrada, el resto lo veo bien.

Saludos!
jeje, pues si era esa chorrada. Ahora perfecto! Gracias compi..!!!

Ayer probando la config vlan de los bridges y puertos se me escapó ese detalle, por cierto ya he vivido el pitoste que se lía cuando se modifica algo indebido de vlans en el bridge o se activa el vlan-filtering antes de tiempo, pufff.. benditos backups.

Una preguntilla al respecto (para entenderlo please), el puerto ether 4 del 4011, ya admite todos los frames que entren y salgan por ahí, entonces, ¿no habría que taguear tanto la vlan 10 como la 88 (red local)?

1669970126910.png


La vlan 88 sale por ether4 como "untagged" y la vlan 10 sale como "tagged"

1669970417339.png
1669970511053.png


Por otro lado, efectivamente tienes razón en que no hay que configurar nada en el CAP intermedio, pensaba que había que taguear la vlan 10 en los puertos ethernet de entrada y salida (ether1 y ether5) pero ya lo he entendido, las vlans van de paso si no se necesita tráfico "untagged" en ese equipo.

S@lu2.
 
Ayer probando la config vlan de los bridges y puertos se me escapó ese detalle, por cierto ya he vivido el pitoste que se lía cuando se modifica algo indebido de vlans en el bridge o se activa el vlan-filtering antes de tiempo, pufff.. benditos backups.
Para eso, una muy sencilla: antes de tocar, haz siempre dos cosas (aparte del backup, que lo doy por hecho): activa el botón de safe mode y, acto seguido, deshablita vlan filtering del bridge. Haces los cambios necesarios en las vlans/puertos y, una vez listo, vuelves a activar vlan-filtering. Si no has roto nada y el equipo no se desconecta, como en 10 segundos, ya puedes quitar el safe mode y ser hará "commit" de lo que has hecho. Si en algún momento la lías parda y pierdes la sesión con el equipo, el safe mode hará rollback de todos los cambios, y lo dejará tal y como se lo encontró cuando lo activaste.

Una preguntilla al respecto (para entenderlo please), el puerto ether 4 del 4011, ya admite todos los frames que entren y salgan por ahí, entonces, ¿no habría que taguear tanto la vlan 10 como la 88 (red local)?
admin-all significa que se comportará adminitendo cualquier tipo de tráfico, bien sea taggeado o sin taggear. Es decir, actúa como un puerto híbrido: como acceso para una vlan concreta, pero llevando también otra vlan en modo taggeado. De la otra manera que lo tenías, sólo llevaba el tráfico untagged para el PVID especificado. Ahora, además de lo que ya hacía, lleva la vlan 10 taggeada. Tú no quieres taggear la vlan 88, porque tanto el hAP-ac3 como el hAP-ac2 la están esperando, ahora mismo, en modo acceso. Poder claro que podrías, y convertirías ese puerto en un puerto trunk, pero te tocaría modificar la configuración del CAP en ese caso, y partíamos de la premisa de no tocarlo.
Si en destino sólo vas a usar la vlan88 para "llegar" al equipo y no la vas a usar en ningún otro puerto (no necesitas un bridge allí), en ese caso sí que podríamos migrar todo a mandar esa VLAN en modo trunk, y cambiar el tagging de vlans, para que ether4 se comporte como un trunk. Aquí ya mandas tú, todo depende de lo que te quieras complicar y la necesidad que tengas o no de usar la vlan 88 en modo accceso en el resto de puertos del hAP-ac2.

Por otro lado, efectivamente tienes razón en que no hay que configurar nada en el CAP intermedio, pensaba que había que taguear la vlan 10 en los puertos ethernet de entrada y salida (ether1 y ether5) pero ya lo he entendido, las vlans van de paso si no se necesita tráfico "untagged" en ese equipo.
Tal y como está, no. Pero si quieres convertir ether4 en trunk, con ambas vlans taggeadas, en ese caso sí que habría que hacerlo, e implementar vlan filtering en ese equipo también (en este caso, ligeramente distinto, porque actuaría como un switch, no un router).

Saludos!
 
Buenos días,

Retomo este hilo para preguntarte @pokoyo si para este caso, ¿sería posible aplicar el manual de la rutas recursivas?, porque efectivamente leyendo otros posts he caído que el corte de servicio puede originarse por "encima de la red del operador" y no sólo físicamente.

Mi conexión principal: PPPoE con Digi.
Mi conexión secundaria: VLAN 10 hasta un AP en modo "station" que conecto a una WiFi.

Con dos rutas creadas: Una dinámica creada por el cliente PPPoE con dist:1 y otra manual al extremo de la VLAN 10 (192.168.10.2) con dist:2.

1671098010324.png


S@lu2.
 
Buenos días,

Retomo este hilo para preguntarte @pokoyo si para este caso, ¿sería posible aplicar el manual de la rutas recursivas?, porque efectivamente leyendo otros posts he caído que el corte de servicio puede originarse por "encima de la red del operador" y no sólo físicamente.

Mi conexión principal: PPPoE con Digi.
Mi conexión secundaria: VLAN 10 hasta un AP en modo "station" que conecto a una WiFi.

Con dos rutas creadas: Una dinámica creada por el cliente PPPoE con dist:1 y otra manual al extremo de la VLAN 10 (192.168.10.2) con dist:2.

Ver el adjunto 102063

S@lu2.
Claro que puedes, de hecho es un caso perfecto para ese setup. No obstante, si tu conexión primaria es PPPoE, yo me lo ahorraría. Me explico: las conexiones de tipo PPPoE no dejan de ser como un túnel VPN de tipo punto a punto. Y, si bien el operador podría tener un problema de enrutado (raro usando BGP, las rutas se reconfiguran automáticamente para que si no lleguas por un sitio lo hagas por otro), normalmente el problema suele estar en el propio gateway del operador. Y, en el caso de las conexiones de este tipo, a la mínima, el túnel se cae y ya tienes el failover hecho. Son super sensibles a problemas con el gateway las conexiones de tipo PPPoE.

No obstante, es un buen setup para poner ese manual en práctica, así que te animo a ello.

Saludos!
 
Bueno, al final me he animado jeje..

Creo que estoy cerca, pero el comportamiento no es el esperado. He procurado seguir el manual al pie de la letra.

Hago un traceroute y siempre me saca por la ruta de respaldo: Observa que la IP marcada en rojo es la que corresponde a la VLAN 10 y la que haría de gateway de la ruta (la 192.168.1.1 es el router del vecino).


1671118507649.png


En mi caso las rutas son:

Principal: PPPoE con Digi.
Secundaria: VLAN 10 hasta un AP en modo "station" que conecto a una WiFi.
Los DNS de pruebas que he utilizado (Quad9)
1. 9.9.9.9
2. 149.112.112.112

He seguido estos pasos:

1. He creado el PPP Profile con los mismos datos de conexión que "default" pero añadiendo los scripts:

Código:
# Script PPPoE rutas recursivas - On UP
{
  :local scope 10
  :local targetscope 11
  :local distance 1
  :local rmonitor 9.9.9.9
  :local rreccomment "recursive-wan1"
  :local rdefcomment "default-wan1"
  :local pppinterface [/interface get $interface name]
  /ip route add dst-address=$rmonitor gateway=$pppinterface comment=$rreccomment scope=$scope
  /ip route add check-gateway=ping comment=$rdefcomment distance=$distance dst-address=0.0.0.0/0 \
    gateway=$pppinterface scope=$scope target-scope=$targetscope
}
# Script PPPoE rutas recursivas - On Down
{
  :local rreccomment "recursive-wan1"
  :local rdefcomment "default-wan1"
  /ip route remove [find comment=$rreccomment]
  /ip route remove [find comment=$rdefcomment]
}

2. He creado una nueva conexión PPPoE Cliente con los mismos datos de conexión, el profile creado anteriormente y he desmarcado "add default route" y agregado a la lista de interfaces WAN.

3. He creado estas rutas con el gateway de la ruta secundaria.

Código:
/ip route
add comment=recursive-wan2 dst-address=149.112.112.112 gateway=192.168.10.2 scope=10 distance=2
add check-gateway=ping comment=default-wan2 dst-address=0.0.0.0/0 gateway=149.112.112.112 scope=10 target-scope=11 distance=2

El direccionamiento he dejado el que tenía de la VLAN 10 que corresponde a 192.168.10.1 en el router principal, donde estamos.

Resultado: Siempre salgo por la ruta secundaria aunque resetee la interfaz PPPoE.

Este es el aspecto de la tabla de rutas:

1671120056999.png


Y un export de la parte implicada:

Código:
/interface vlan
add interface=bridge name=vlan-lan vlan-id=88
add interface=bridge name=vlan-vecino vlan-id=10
add interface=ether1-wan name=vlan20 vlan-id=20

/ppp profile
add name=recursive-routes on-down="{\r\
    \n  :local rreccomment \"recursive-wan1\"\r\
    \n  :local rdefcomment \"default-wan1\"\r\
    \n  /ip route remove [find comment=\$rreccomment]\r\
    \n  /ip route remove [find comment=\$rdefcomment]\r\
    \n}" on-up="{\r\
    \n  :local scope 10\r\
    \n  :local targetscope 11\r\
    \n  :local distance 1\r\
    \n  :local rmonitor 9.9.9.9\r\
    \n  :local rreccomment \"recursive-wan1\"\r\
    \n  :local rdefcomment \"default-wan1\"\r\
    \n  :local pppinterface [/interface get \$interface name]\r\
    \n\r\
    \n  /ip route add dst-address=\$rmonitor gateway=\$pppinterface comment=\$\
    rreccomment scope=\$scope\r\
    \n  /ip route add check-gateway=ping comment=\$rdefcomment distance=\$dist\
    ance dst-address=0.0.0.0/0 \\\r\
    \n    gateway=\$pppinterface scope=\$scope target-scope=\$targetscope\r\
    \n\r\
    \n}"

/interface pppoe-client
add ac-name=ftth add-default-route=yes interface=vlan20 max-mru=1492 max-mtu=\
    1492 name=pppoe-out1 password=XXXXXXXX service-name=ftth user=\
    XXXXXXXX@digi disabled=yes

/interface pppoe-client
add ac-name=ftth comment="Recursive routes" disabled=no interface=vlan20 \
    max-mru=1492 max-mtu=1492 name=pppoe-recursive password=XXXXXXXXX profile=\
    recursive-routes service-name=ftth user=XXXXXXXX@digi

/interface bridge vlan
add bridge=bridge comment=lan tagged=bridge vlan-ids=88
add bridge=bridge comment=vecino tagged=bridge,ether4-ap-salon vlan-ids=10

/interface list member
add interface=vlan-lan list=LAN
add interface=pppoe-out1 list=WAN
add interface=pppoe-recursive list=WAN
add interface=vlan-vecino list=WAN

/ip address
add address=192.168.10.1/24 interface=vlan-vecino network=192.168.10.0

/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4

/ip route
add comment=recursive-wan2 disabled=no distance=2 dst-address=149.112.112.112/32 \
    gateway=192.168.10.2 pref-src="" routing-table=main scope=10 \
    suppress-hw-offload=no target-scope=10
add check-gateway=ping comment=default-wan2 distance=2 dst-address=0.0.0.0/0 \
    gateway=149.112.112.112 scope=10 target-scope=11
add comment=recursive-wan1 dst-address=9.9.9.9 gateway=pppoe-recu scope=10
add check-gateway=ping comment=default-wan1 distance=1 dst-address=0.0.0.0/0 \
    gateway=pppoe-recu scope=10 target-scope=11

/system identity
set name=Despacho

¿Ves algo raro?

S@lu2.
 

Adjuntos

  • 1671118743216.png
    1671118743216.png
    207 KB · Visitas: 14
Creo que te has liado con as recursivas/default. Hazlas primero a mano, y luego ya meterás el script. Han de quedar así:

1671123301587.png


Las default son las que llevan distinto peso (1 para la principal, 2 para la secundaria, que saldrá en azul porque no se usa hasta que la primera no se caiga) y como gateway la IP del DNS.

Las recursivas llevan como dst-address el DNS y como gateway el de verdad, y las dos el mismo peso por defecto = 1.

Es un poco lioso, así que hazlo primero a mano (no sé si el script lleva algún gazapo, espero que no, pero podría ser).

Saludos!
 
Arriba