Os pido consejo para configurar mi red...

Hola! Lo primero, gracias, gracias, gracias, en especial a @pocoyo, es sin duda el mejor foro de mikrotik que hay rondando por internet.
Os explico...
Tengo internet con yoigo, router f680, todo iba bien hasta que hace unos 15 meses empecé a montar temas de domótica de la marca sonoff, primero un par de luces, luego alguna más, la lavadora... en fin ya sabéis, el siguiente paso, servidor de home-assitant y todos los dispositivos con tasmota para liberarme de usar servidores externos. Esto hacia que cada vez tuviera mas problemas de “pillamientos” del router.
En esto llego a mis manos un xiaomi router 3g, le metí el firmware padavan, lo puse como router principal y seguí tirando una temporada.
Pero ahora ya tengo aproximadamente 20 sonoff, ademas de un sonoff zigbee bridge, todo con tasmota, y volvimos a los “pillamientos”, hace un mes y pico, por consejo de un amigo decidí comprarme un RB750gr3, y no puedo estar mas contento, ahora el router xiaomi es un ap situado en medio de la casa que recibe toda la wifi y el dhcp lo aporta el rb750, en dmz desde el f680 para no perder el fijo, porque no me decido a abrirlo e intentar sacar el tema de telefonía por el serial, ya que parece que no siempre es posible.
Ahora mismo funciona todo en la misma red, es decir todos tienen 192.168.1.x (menos el f680 claro) los cacharros de domótica y el xiaomi con ip estatica asignada por el dhcp, el servidor con ip fija (funciona mejor asi el proxy inverso) configurada en debian pero reservada en el dhcp y todo lo demás con direcciones dinámicas.
Toda la domótica tiene una dirección interna tipo salon.red.home en el DNS estático, otra maravilla del mikrotik ademas del ddns que me hace no depender del servidor de domotica para tener un dns con bind9 ni el daemon de duckdns ni servicios parecidos, y estoy esperando a que wireguard salga en version final para poder sacar la vpn del servidor tambien.
Los dispositivos de tasmota tienen una regla de firewall que solo les deja conectar a internet para coger la hora del servidor ntp.
Mi intención es que la domótica tenga un rango distinto, es decir que sea una red 192.168.20.x, que conecten con internet solo para el servidor de hora, y que lleguen al servidor de domótica, donde también esta el servidor mqtt.
En verdad no es que lo necesite claro, es mas por aprender, por eso lo que me gustaría es que me deis unas pautas, es decir, como lo haríais vosotros, se me ocurre que seria algo parecido a ponerle unas ip de gestión a unos ap, que precisamente será mi siguiente adquisición, o un CAP ac o un uap-ac-pro, ese es otro consejo que os quería pedir, ¿merece la pena el gasto en el uap?
Lo dicho muchas gracias y perdón por la turra que os he dado :)
 
Buenas compi!
Tu configuración me resulta muy familiar, ¿no nos has escrito antes con otro usuario del foro? Me suena que sí, por lo del xiaomi con padavan y los dispositivos de domótica tasmota

Un par de recomendaciones: yo montaría el servidor NTP en la raspberry pi o el chisme que sea que utilices como servidor home assistant, que ese sospecho que tendrá salida a internet; y los de domótica pillando esa IP local como NTP. O directamente en el mikrotik. Me da la sensación de que el IP -> Cloud, que ya lleva un cliente NTP, propaga en modo broadcast dicho servidor, y sospecho que está accesible para cualquier equipo de la red. Edita la configuración del dhcp-server y publica la ip del servidor ntp, para que se notifique por DHCP a los clientes.

Tipo esto, pero para tu subred. Si ves que el router no propaga el servicio, en esa IP iría tu servidor local ntp, tipo la IP de la raspberry pi o similar. Sino, en la web de mikrotik, en los paquetes adicionales, tienes uno para montar un servidor NTP en el propio mikrotik, se llama "ntp".
1613723181369.png


Por otro lado, yo montaría toda la domótica en una vlan aparte, y en otro bridge. Esto lo podemos ver más despacio, dependiendo de las necesidades.

Y, relativo al wifi, ¿para qué es el AP que compras, para domótica o para todo y quitarte el xiaomi? Yo creo que con un cAP-ac vas bien, aunque si quieres invertir en algo más moderno, ubiquiti acaba de sacar un equipo no muy bestia con wifi 6. Si buscas algo sólo para domótica, incluso te podrías quedar en uno más normalito.

Saludos!
 
Última edición:
Buenas compi!
Tu configuración me resulta muy familiar, ¿no nos has escrito antes con otro usuario del foro? Me suena que sí, por lo del xiaomi con padavan y los dispositivos de domótica tasmota
Hola! que rapidez! no no que va es la primera vez, ahora que me lo has puesto he buscado y si que he encontrado un hilo con una configuración parecida :)
Un par de recomendaciones: yo montaría el servidor NTP en la raspberry pi o el chisme que sea que utilices como servidor home assistant, que ese sospecho que tendrá salida a internet; y los de domótica pillando esa IP local como NTP. O directamente en el mikrotik. Me da la sensación de que el IP -> Cloud, que ya lleva un cliente NTP, propaga en modo broadcast dicho servidor, y sospecho que está accesible para cualquier equipo de la red. Edita la configuración del dhcp-server y publica la ip del servidor ntp, para que se notifique por DHCP a los clientes.
Esto lo voy a investigar, a ver como de complicado es cambiar el servidor ntp de tasmota, pero por ahora tengo
una lista en el firewall para pool.ntp.org y un regla que hace un drop a las ip donde estan los tasmota y con el ! a la lista del ntp. Aunque estaría bien independizarlos del todo.
El chisme es un gigabit brix, de los normalitos, un celeron pero le da 20 patadas a la raspberry pi :)
Por otro lado, yo montaría toda la domótica en una vlan aparte, y en otro bridge. Esto lo podemos ver más despacio, dependiendo de las necesidades.
Ahi esta el quiz, porque de vlan es donde ando cortito, por mas que leo, entiendo que para eso necesito, o bien tener una ap dedicada conectada a un puerto o una ap mas gestionable que me asigne una vlan a cada ssid, el caso es que el router xiaomi no da para eso, o al menos he visto como hacerlo, ademas el xiaomi esta haciendo de puente para un switch plano que le lleva la red a la tele, consola de los niños, etc... si ya se que no es lo suyo, pero los tubos corrugados no dan para más.
Yo la forma "chusquera" que estoy probando es asignarles a mano una ip tipo 192.168.20.X en la pestaña "leases" (total les pongo ip statica a todos), crear la red y con reglas de firewall un drop exceptuando con la 192.168.1.x y la lista que te puse antes del ntp, funcionar, funciona, pero no sé si es demasiado cutre....
Y, relativo al wifi, ¿para qué es el AP que compras, para domótica o para todo y quitarte el xiaomi? Yo creo que con un cAP-ac vas bien, aunque si quieres invertir en algo más moderno, ubiquiti acaba de sacar un equipo no muy bestia con wifi 6. Si buscas algo sólo para domótica, incluso te podrías quedar en uno más normalito.
La idea es sustituir el ap de xiaomi, si la potencia del cap ap es como yo imagino mejor que la del xiaomi tendría suficiente, la duda es si merece la pena gastarse el doble en un ubiquiti. Y principalmente por el tema de las vlan que te puse antes.
Por ultimo una pregunta, esta mañana he probado a hacer un "export file=myconfig.cfg" y me he dado cuenta que me cambia el primer bit de las ip, es decir en vez de 192 me pone 142, ¿es normal eso?
Gracias majete, por estar siempre para echar un capote.
 
Olvidate de esto, se ve que tenia un export antiguo y no me acordaba jejeje
Por ultimo una pregunta, esta mañana he probado a hacer un "export file=myconfig.cfg" y me he dado cuenta que me cambia el primer bit de las ip, es decir en vez de 192 me pone 142, ¿es normal eso?
 
Si no quieres andar con vlans, tienes un ejemplo en los tips&tricks sobre cómo crear una segunda red y aislarla de la principal. Simplemente conectando un segundo AP el puerto que saques del bridge principal y dediques para esa red, ya tienes lo que quieres. Además, puedes reaprovechar cualquier router viejo que tengas por ahí por casa.

Si queres trabajar con vlans en mikrotok e implementar el bridge vlan filtering (tienes un manual para ello), te recomiendo montes un AP mikrotik. Si queires seguir usando el xiaomi para tu red principal, compra el AP más barato que pilles, tipo el cAP lite, o un hap-mini o similar. Si quieres quitarte el xiaomi y tener un único equipo doble banda, mejor el cAP AC. Creo que, a menos que busques volar en al wifi e ir con lo último de lo último, no tiraría a por el unifi, son caros de pelotas.

Saludos!
 
Claro si precisamente lo que quiero evitar es tener mas de un Ap en la casa, si no es necesario por temas de cobertura claro, voy a ver si me pillo el Cap ac y con eso ya me pongo a montar las vlan, ya habia visto el tips para aislar un equipo de la Lan, en el me habia inspirado para lo que he puesto antes de asignarles ip de otro rango a mano, pero claro, no puedo sacarlo del bridge porque tengo mas cosas conectadas en esa boca, y ademas necesito que tenga conectividad con el servidor de mqtt, no se si me explico....
Cuando tenga el Cap y si no lo consigo con la "unica" ayuda de los tutoriales, ya os daré un poco mas la turra.
Muchas Gracias de nuevo :)
 
Cuando tengas el cAP AC me dices y lo montamos en un periquete tirando de CAPsMAN.

Saludos!
 
Buenos Dias! como soy un impaciente, mientras me hago con el cap ap, siguiendo el manual de vlan, he creado una vlan con otro xiaomi con padavan que tengo, dentro del bridge principal, en la ether4 por ahora solo conecto ahí el ap y un movil para probar, el tema que funciona, me asigna ip y puedo navegar, pero lo que no encuentro es la manera de poder ver el servidor de domótica desde la vlan, es importante que el servidor sea visible desde la vlan1 (la dinamica que crea por defecto) y la vlan20 que es la que he creado yo para poder usarlo. ¿me hecháis un cable?
Saludos
 
Pero, ¿has seguido el manual de las vlans o el de aislar un puerto sacándolo del bridge y dándole un nuevo rango de IPs? Porque no me queda demasiado claro con tu comentario. Esta mañana estoy liado, pero a la tarde le puedo echar un rato si quieres, mándame el export y lo miro cuando pueda.

Tal y como lo estás montando ahora, y dado que vas a dedicar un puerto a ello, yo no me complicaba: sacaba un puerto del bridge principal y le daba un direccionamiento único solo a él. En el firewall prohibes la comunicación entre ambas redes, salvo la comunicación entre el servidor de domótica y la subred en cuestión, y andando.

Recuerda que las VLANs segmentan. Así que si segmentas, para acabar comunicando lo mismo que segmentas, algo no está bien planteado.

Luego, cuando tengas el AP, ya montamos algo más bonito.

Saludos
 
Hola otra vez, he creado una vlan.
A ver, expongo lo que prentendo hacer, lo que quiero es que los "cacharritos" de la domotica esten en un rango diferente, para que no me salgan todos en la red de la casa, pero necesito que tengan acceso al servidor de domotica porque toda la comunicación se hace por medio de protocolo mqtt sobre ip, luego necesito que el servidor esté en la red general tambien porque tengo que conectarme a el para gestionarlo y es la interfaz sobre la que yo interactúo con la domotica. Lo mismo es una tonteria y no tiene ningún beneficio, la "historia" que yo me he montado en la cabeza es que todos los cacharros de domotica están mandando continuamente trafico de broadcast que cada vez tengo mas, y que si los aislo reduciré el ruido en la red, ergo la red irá mejor....Ademas que si alguien puede acceder a los cacharros de domotica por que tengan alguna vulnerabilidad, no podrían acceder al resto de la red.
En cuanto pueda mando el export, que ahora los niños me tiene liado :)
Gracias... ;)
 
Vale. En ese caso podemos crear dos bridges (yo lo tengo así en casa), uno con tu lan y sin vlans, y otro con el servidor de domótica y la vlan para esos cacharros. En ese segundo bridge, el servidor de domótica no llevara vlan, pero irá en una red aparte, tal manera que se vea desde la red principal. Y, para la vlan de esos chismes, crearemos una regla para que solo pueda ver a un único chisme, el servidor de domótica.

Cuando llegues con el AP, la red de invitados la puedes meter en otra vlan dentro de ese bridge, y seguir usando la tuya sin vlan, aprovechando el hardware offloading del equipo (si haces bridge vlan filtering, te quedas sin él).

Saludos!
 
Hola, al fin tengo un ratiro para subir el export....
He vuelto a mi configuración anterior, anoche trasteando las vlan algo tuve que hacer y casi me matan porque no funcionaba disney+ :), asi que recupere un backup anterior....
Código:
# feb/21/2021 09:32:27 by RouterOS 6.47.9
# software id = WQPR-Z4JI
#
# model = RB750Gr3
# serial number = XXXXXXXXX
/interface bridge
add admin-mac=48:8F:xx:xx:xx:xx auto-mac=no comment=defconf name=bridge
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.1.131-192.168.1.200
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=dhcp1
/interface bridge port
add bridge=bridge interface=ether2
add bridge=bridge interface=ether3
add bridge=bridge interface=ether5
add bridge=bridge interface=ether4
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.1.1/24 comment=defconf interface=ether2 network=\
    192.168.1.0
add address=192.168.2.2/24 interface=ether1 network=192.168.2.0
/ip cloud
set ddns-enabled=yes ddns-update-interval=5m
/ip dhcp-client
add comment=defconf interface=ether1
/ip dhcp-server lease
add address=192.168.1.20 always-broadcast=yes mac-address=1C:6F:65:8F:45:66 \
    server=dhcp1
add address=192.168.1.50 comment=door mac-address=2C:F4:32:6D:D3:65 server=\
    dhcp1
add address=192.168.1.48 comment="ESP32 -1" mac-address=98:F4:AB:09:10:88 \
    server=dhcp1
add address=192.168.1.49 comment="ESP32 - 2" mac-address=98:F4:AB:02:2A:40 \
    server=dhcp1
add address=192.168.1.51 mac-address=C8:F7:42:54:B3:F7 server=dhcp1
add address=192.168.1.217 comment="Tele Salon" mac-address=78:AB:BB:74:3C:9D \
    server=dhcp1
add address=192.168.1.21 mac-address=5C:CF:7F:E8:88:1B server=dhcp1
add address=192.168.1.34 comment=Dummy mac-address=D8:F1:5B:C7:34:49 server=\
    dhcp1
add address=192.168.1.23 mac-address=5C:CF:7F:3B:A3:AF server=dhcp1
add address=192.168.1.25 mac-address=60:01:94:B3:DC:36 server=dhcp1
add address=192.168.1.36 comment="Mesilla Ester" mac-address=\
    2C:F4:32:A9:AD:56 server=dhcp1
add address=192.168.1.27 mac-address=2C:F4:32:A9:A8:80 server=dhcp1
add address=192.168.1.28 mac-address=2C:3A:E8:3B:A8:C5 server=dhcp1
add address=192.168.1.29 mac-address=CC:50:E3:68:0C:7D server=dhcp1
add address=192.168.1.41 client-id=2CH comment="2ch pro sin asignar" \
    mac-address=84:0D:8E:46:45:E7 server=dhcp1
add address=192.168.1.37 comment="Mesilla Julio" mac-address=\
    2C:F4:32:AA:FB:79 server=dhcp1
add address=192.168.1.238 client-id=1:30:5:5c:86:22:fa comment=\
    "Impresora Lan" mac-address=30:05:5C:86:22:FA server=dhcp1
add address=192.168.1.42 comment="Basic RF - 2" mac-address=5C:CF:7F:E8:87:E4 \
    server=dhcp1
add address=192.168.1.22 comment="SA-018 - 1" mac-address=C8:2B:96:E9:55:FD \
    server=dhcp1
add address=192.168.1.31 comment="SA-018 - 2" mac-address=F4:CF:A2:34:D9:5D \
    server=dhcp1
add address=192.168.1.32 comment="SA-018 - 3" mac-address=C8:2B:96:E9:58:40 \
    server=dhcp1
add address=192.168.1.30 comment="SA-018 - 4" mac-address=C8:2B:96:E9:53:C3 \
    server=dhcp1
add address=192.168.1.4 client-id=1:50:64:2b:4c:5c:db mac-address=\
    50:64:2B:4C:5C:DB server=dhcp1
add address=192.168.1.6 comment=Netatmo mac-address=70:EE:50:1A:6B:48 server=\
    dhcp1
add address=192.168.1.33 mac-address=60:01:94:E0:0A:CD server=dhcp1
add address=192.168.1.35 comment="Dormitorio 1" mac-address=24:A1:60:10:B3:36 \
    server=dhcp1
add address=192.168.1.26 comment="Reservado Manu" mac-address=\
    F4:CF:A2:34:DE:64 server=dhcp1
add address=192.168.1.39 comment="Reservado Julio\?" mac-address=\
    24:A1:60:11:50:6F server=dhcp1
add address=192.168.1.53 mac-address=2C:F4:32:4B:0C:8F server=dhcp1
add address=192.168.1.38 mac-address=C8:2B:96:04:C7:DD server=dhcp1
add address=192.168.1.60 mac-address=00:1A:80:20:DC:DA server=dhcp1
add address=192.168.1.54 mac-address=C4:DD:57:0E:52:9C server=dhcp1
add address=192.168.1.237 comment="Impresora Wifi" mac-address=\
    34:68:95:5C:51:1F server=dhcp1
add address=192.168.1.43 comment="Medidor altura" mac-address=\
    2C:F4:32:4A:FC:5F server=dhcp1
add address=192.168.1.10 always-broadcast=yes mac-address=18:C0:4D:1A:96:5D \
    server=dhcp1
add address=192.168.1.5 client-id=1:50:64:2b:4d:71:fb mac-address=\
    50:64:2B:4D:71:FB server=dhcp1
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf gateway=192.168.1.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=1.1.1.1
/ip dns static
add address=192.168.1.1 comment=Router name=router.lan.home
add address=192.168.1.4 name=ap1.lan.home
add address=192.168.1.10 comment=Dockers name=lan.home
add address=192.168.1.10 name=ha.lan.home
add address=192.168.1.10 name=portainer.lan.home
add address=192.168.1.10 name=nodered.lan.home
add address=192.168.1.10 name=npm.lan.home
add address=192.168.1.10 name=tasmoadmin.lan.home
add address=192.168.1.10 name=grafana.lan.home
add address=192.168.1.10 name=mqtt.lan.home
add address=192.168.1.10 name=jellyfin.lan.home
add address=192.168.1.10 name=transmission.lan.home
add address=192.168.1.10 name=media.lan.home
add address=192.168.1.10 name=calibre.lan.home
add address=192.168.1.21 comment=TASMOTAS name=flexo.lan.home
add address=192.168.1.22 name=estudio.lan.home
add address=192.168.1.23 name=luzsalon.lan.home
add address=192.168.1.24 name=ventilador.lan.home
add address=192.168.1.25 name=vestibulo.lan.home
add address=192.168.1.26 name=manu.lan.home
add address=192.168.1.27 name=julio.lan.home
add address=192.168.1.28 name=lavadora.lan.home
add address=192.168.1.29 name=camilla.lan.home
add address=192.168.1.30 name=cocina.lan.home
add address=192.168.1.31 name=aseo.lan.home
add address=192.168.1.32 name=bathroom.lan.home
add address=192.168.1.33 name=salon.lan.home
add address=192.168.1.34 name=salon2.lan.home
add address=192.168.1.35 name=dormitorio.lan.home
add address=192.168.1.36 name=mester.lan.home
add address=192.168.1.37 name=mjulio.lan.home
add address=192.168.1.38 name=t2mqtt.lan.home
/ip firewall address-list
add address=pool.ntp.org list=pool.ntp.org
/ip firewall filter
add action=drop chain=forward dst-address-list=!pool.ntp.org log=yes \
    log-prefix=NTP src-address=192.168.1.21-192.168.1.59
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=accept chain=forward disabled=yes dst-address=192.168.1.0/24 \
    src-address=192.168.10.0/24
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat dst-port=443 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.1.10 to-ports=443
add action=dst-nat chain=dstnat dst-port=80 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.1.10 to-ports=80
add action=dst-nat chain=dstnat dst-port=51820 in-interface=ether1 protocol=\
    udp to-addresses=192.168.1.10 to-ports=51820
/ip route
add distance=1 gateway=192.168.2.1
/system clock
set time-zone-autodetect=no time-zone-name=Europe/Madrid
/system identity
set name=lanTrik
/system package update
set channel=long-term
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

ps: he quitado el numero de serie y la mac del mikrotik...
 
Hola otra vez! no te molestes en el tema de las vlan, he estado haciendo pruebas, y desde donde puedo poner el ap para domotica no me llega a todos los interruptores tasmota, o sea que no me serviría, ya que te he puesto el export, si no te importa y si puedes échale un vistazo por si hay algo que esté mal.
Cuando tenga el CAP ya lo retomaré.
Saludos y gracias...
 
aparte de la cosa rara que haces con el servidor ntp y de que yo no abriría los puertos 443 y 80 como tú lo haces, por lo demás, no veo nada raro.

Saludos!
 
Gracias apañao, lo del servidor ntp es para que esas ip no tengan salida a internet nada mas que para sincronizar la hora, son todos aparatos de domótica, pero tengo pendiente configurarlos para que cojan la hora del mikrotik.
Respecto a los puertos, ambos apuntan al reverse proxy, y el 80 lo tengo que tener abierto para renovar los certificados de letsencrypt, si no me dá error, lo tenia así antes y lo he trasladado al mikrotik, no se me ocurre otra forma mejor de hacerlo ¿la hay?, solo son para acceso al home assistant desde el exterior, todo lo demás va por la vpn de wireguard que está en el servidor a la espera de que salga la version 7 con el wireguard incluido.
Salud!
 
Buenas, ya he configurado el servidor NTP en el router, he tenido que instalar el paquete ntp, y darme cuenta que aunque el servidor comienza a estar disponible desde que le marcas el "enable", tarda unos minutos en proveer la hora :), ah! y he tenido que configurar a mano el ntpserver de los tasmotas, aunque según la documentación deberían de hacerlo, no lo cogen por el dhcp, el resto de los dispositivos de la red si.
Ahora les he dejado la regla:
/ip firewall filter
add action=drop chain=forward src-address=192.168.1.21-192.168.1.59
Para que esas IP no tengan acceso a internet, eso esta bien no?
Saludos!!
 
Yo tengo esta, por si te sirve de inspiración:
Código:
add action=drop chain=forward comment=\
    "block vlan clients accesing anything but the internet" \
    in-interface-list=VLANS out-interface-list=!WAN

Si cambias el in-interface-list por tu rango en el src-address, ya lo tendrías.

Saludos!
 
Peroooooo, yo quiero que tengan acceso a todo menos a internet, y esa regla hace lo contrario no?
Saludos
 
Fácil, quítale la negación del !WAN.

Saludos!
 
Arriba