Planteamiento VLAN

Hola a todos,

He estado leyendo el tutorial de las VLAN de @pokoyo y la verdad es que está bastante bien explicado y me estoy planteando la necesidad de dividir mi red en varias subredes.

Ahora mismo tengo el punto de acceso Asus AX88U, este no tiene VLAN-SSID por lo que ahora mismo tengo el rango /24 dividido en dos /25. Esta segunda mitad la tengo restringida para que solo acceda a Internet. Me gustaría encontrar un AP que soporte VLAN SSID (pero esto ya a futuro).

Por lo que he estado leyendo el bridge que se crea (que en los router que tienen switch chip se hace por Hw y los demás por CPU) por defecto está en la VLAN 1 (Vlan por defecto) y entiendo que todos los equipos de red como APs o Switches que se conecten después estarán en esa VLAN (al menos la IP gestión).

A partir de ahí, lo que no sean equipos de red, sería donde se empieza a separar en varias VLAN. Si tuviera por ejemplo una primera VLAN para equipos de confianza, si quisiera administrar desde ahí sería necesario añadir reglas de Fw que permitieran acceso a las IPs de la VLAN1 ¿no?

¿Cómo se comporta el Fw al crear las VLAN? Habría comunicación entre ellas por defecto? Entiendo que la idea sería ir creando listas de interfaces según sean VLAN de confianza o solo queramos que salga a Internet

Como veis de momento no son más que conjeturas y preguntas previas a llevar a cabo la configuración, tengo conocimientos de redes pero en Mikrotik nunca he tocado este apartado.
Muchas gracias!
 
Si lo que pretendes es entenderlo, plantéate mejor el escenario más simple: un router y un AP unidos por un único cable. Olvídate de entrada de bridges, de hardware offloading ni nada parecido: dos equipos, un puerto en cada equipo, y un único cable que los une. Y necesitas pasar más de una red por ese cable. Esa red, la unión de ambos equipos entre sí por cable, sería tu "trunk", donde irían todas las VLANs taggeadas. Las interfaces inalámbricas (dos, tres, cuatro, las que sean, cada una asociada a una VLAN), serían tus interfaces de acceso.

En mikrotik, las VLANs están separadas en L2, pero unidas por defecto en L3. Quiere decir que, si trabajas únicamente con un switch, todo estará aislado entre VLANs, pero si lo implementas en un router, a menos que metas reglas de firewall que lo prevengan, todo se comunicará entre sí.

Lo dicho, cuando quieras, ponemos un caso práctico, que lo verás mejor. Mientras tanto, te dejo este post para que veas cómo se implementa: https://www.adslzone.net/foro/mikrotik.199/nuevo-esto-mikrotik-domotica.586632/

Saludos!
 
Si lo que pretendes es entenderlo, plantéate mejor el escenario más simple: un router y un AP unidos por un único cable. Olvídate de entrada de bridges, de hardware offloading ni nada parecido: dos equipos, un puerto en cada equipo, y un único cable que los une. Y necesitas pasar más de una red por ese cable. Esa red, la unión de ambos equipos entre sí por cable, sería tu "trunk", donde irían todas las VLANs taggeadas. Las interfaces inalámbricas (dos, tres, cuatro, las que sean, cada una asociada a una VLAN), serían tus interfaces de acceso.
El concepto de VLan si que lo tengo claro así como los puertos tipo trunk (permiten llevar más de una Vlan al ir etiquetada) y los puertos de acceso son los que no llevan la Vlan etiquetada y estos si pertenecen a una única Vlan. Un puerto de acceso sería dedicado a conectar equipos finales ya que no podrían sino saber de que Vlan sacar los datos al ir etiquetadas (a menos que se configure), mientras que los puertos trunk tipicamente se usan para los equipos de infraestructura para no tener que llevar un cable por cada Vlan entre los switches.
En mikrotik, las VLANs están separadas en L2, pero unidas por defecto en L3. Quiere decir que, si trabajas únicamente con un switch, todo estará aislado entre VLANs, pero si lo implementas en un router, a menos que metas reglas de firewall que lo prevengan, todo se comunicará entre sí.
Entiendo que esto aplica aunque estemos hablando de un router con chip de switch integrado. En este caso es una oficina con un RB5009 y como switch un Netgear gestionable.
Lo dicho, cuando quieras, ponemos un caso práctico, que lo verás mejor. Mientras tanto, te dejo este post para que veas cómo se implementa: https://www.adslzone.net/foro/mikrotik.199/nuevo-esto-mikrotik-domotica.586632/
Ya he echado un ojo al hilo, lo seguiré leyendo en profundidad pero si que he visto que has colocado una regla de forwarding para permitir las VLans aisladas solo a la interfaz de salida de la WAN.

Muchas gracias. Un saludo
 
Por lo que he estado viendo se suele dejar la VLAN 1 para gestión y a partir de ahí se hacen las diferentes VLAN
VLAN 1
- Mikrotik
- Switch

Luego por ejemplo en otra VLAN si que metería un NAS y equipos de confianza. Lo único que aquí habría que crear reglas porque tengo un pihole en ese NAS y al final todas las VLAN deberían acceder a esa IP para el 53 UDP.
Igual este finde intento meterme al lio.
 
Hola buenas,
Ya tengo más o menos la infraestructura montada con todas las interfaces, ips y DHCPs pero me quedan dudas en la asignación de puertos.
Tenía intención de dejar la Vlan1 operativa como administración (equipos de red) y luego 4 VLANs más.

Tengo dudas en qué es lo que se hace exactamente aqui. Entiendo que aqui se asignan los puertos a una VLAN que si quiero mantener la Vlan1 operativa seguiría siendo igual que lo tengo ahora, salvo que algún puerto lo quiera meter a alguna VLAN específica no?
Código:
/interface bridge port

Por otra parte en este apartado qué es lo que se hace? Aquí entiendo qué puertos van a llevar Vlans etiquetadas o no. Si yo quiero meter la VLAN1 sin etiquetar y el resto etiquetadas entiendo que las configuraciones serían iguales para todos los puertos no?
Código:
/interface bridge vlan

Sino me equivoco debería de existir una relación entre bridge port y bridge vlan. Es decir, si en bridge-vlan especifico que determinada VLAN va a ir sin etiquetar, en bridge-por el pvid de ese puerto debería de ser el de la vlan sin etiquetar, independientemente de que lleve otras vlan etiquetadas.

Una pregunta más, haciendo estas configuraciones conectado por MAC por Winbox me quedaría sin conexión si la lio? Lo suelo usar para hacer este tipo de configuraciones más delicadas.

Muchas gracias!
 
Última edición:
Hola buenas,
Ya tengo más o menos la infraestructura montada con todas las interfaces, ips y DHCPs pero me quedan dudas en la asignación de puertos.
Tenía intención de dejar la Vlan1 operativa como administración (equipos de red) y luego 4 VLANs más.

Tengo dudas en qué es lo que se hace exactamente aqui. Entiendo que aqui se asignan los puertos a una VLAN que si quiero mantener la Vlan1 operativa seguiría siendo igual que lo tengo ahora, salvo que algún puerto lo quiera meter a alguna VLAN específica no?
Código:
/interface bridge port

Por otra parte en este apartado qué es lo que se hace? Aquí entiendo qué puertos van a llevar Vlans etiquetadas o no. Si yo quiero meter la VLAN1 sin etiquetar y el resto etiquetadas entiendo que las configuraciones serían iguales para todos los puertos no?
Código:
/interface bridge vlan

Sino me equivoco debería de existir una relación entre bridge port y bridge vlan. Es decir, si en bridge-vlan especifico que determinada VLAN va a ir sin etiquetar, en bridge-por el pvid de ese puerto debería de ser el de la vlan sin etiquetar, independientemente de que lleve otras vlan etiquetadas.

Una pregunta más, haciendo estas configuraciones conectado por MAC por Winbox me quedaría sin conexión si la lio? Lo suelo usar para hacer este tipo de configuraciones más delicadas.

Muchas gracias!
Dibuja el esquema de lo que quieres hacer, listando los equipos que vas a conectar y las vlans a manejar entre ellos, y lo vemos en concreto.

Dos consejos:
re-lee el manual de vlans que hay en el sub, si no te quedaron claros los menús, allí explica qué se define en cada uno.
Olvídate de la vlan1. Es la vlan por defecto, la “no vlan”. No la quieres usar para nada, modifica el frame types del propio bridge para eliminar su uso. Si quieres definir una vlan de administración o para interconectar equipos (no es necesario, pero lo puedes hacer), hazlo, pero mejor olvídate de dejar la vlan1 para ese propósito.

Y sí, te puedes quedar sin acceso al implementar esto. Crea un segundo bridge con una MAC fija de administración, y conectas a ella para hacer los cambios. Una vez hechos, puedes borrar ese bridge.

Saludos!
 
Muchas gracias por la respuesta.
re-lee el manual de vlans que hay en el sub, si no te quedaron claros los menús, allí explica qué se define en cada uno.
Te refieres a este que está fijado? Había estado mirando el que me comentaste de la domótica.

Olvídate de la vlan1. Es la vlan por defecto, la “no vlan”. No la quieres usar para nada, modifica el frame types del propio bridge para eliminar su uso. Si quieres definir una vlan de administración o para interconectar equipos (no es necesario, pero lo puedes hacer), hazlo, pero mejor olvídate de dejar la vlan1 para ese propósito.
¿Porque me comentas esto? Ya que por defecto todo está en la vlan por defecto me pareció más fácil hacerlo así y dejar esa solo para infraestructura.

Muchas gracias
 
Te refieres a este que está fijado? Había estado mirando el que me comentaste de la domótica.
Sí. El de domótica es una implementación ad-hoc para un usuario, no un manual de qué es una vlan. Te vale para ver cómo se hace, pero no para entenderlo. Para entenderlo, el manual fijado.

¿Porque me comentas esto? Ya que por defecto todo está en la vlan por defecto me pareció más fácil hacerlo así y dejar esa solo para infraestructura.
Por seguridad. Y porque no sabes cómo se comporta la VLAN1 en otros dispositivos no Mikrotik, y créeme que no tienes ganas de averiguarlo. Lo mismo te funciona como esperas y va a la primera, que lo mismo te pegas peleando con un switch de otro fabricante porque no se comporta como esperas. Define el frame types del bridge como frame-types=admit-only-vlan-tagged para eliminar el uso de la vlan por defecto. Y toda subred que quieras crear, a una vlan independiente, ya sea de acceso, de adminsitración, de interconexión de equpios... de lo que sea. Te vas a ahorrar muchos dolores de cabeza.

Saludos.
 
Hola de nuevo,
Creo que viendo el manual ya he entendodo los dos menus de configuración sobre los que tenía duda. Al final era como pensaba, aunque así lo he visto más detallado.

Otra cosa, por lo que he visto en el manual dejas un brdige a parte para la VLAN que consideras principal porque el equipo no soporta Hw Offloading. Por lo que he estado leyendo yo si podría hacerlo todo en un mismo bridge. Mi equipo lleva un chip para Switch 88E6393X. Según la web de Mikrotik parece que si que se soporta el VLAN filtering no?
1659452817076.png

Por seguridad. Y porque no sabes cómo se comporta la VLAN1 en otros dispositivos no Mikrotik, y créeme que no tienes ganas de averiguarlo.
Esto si que no lo sabía, yo pensaba que el hecho de usar la VLAN por defecto (1) era algo estándar, la verdad es que no había pensado que otros equipos usaran una diferente. Voy a pintarme el esquema antes de hacerlo y a ver si me pongo manos a la obra esta tarde.

Y sí, te puedes quedar sin acceso al implementar esto. Crea un segundo bridge con una MAC fija de administración, y conectas a ella para hacer los cambios. Una vez hechos, puedes borrar ese bridge.
Al Bridge habrá que meterle algún puerto que no esté usando no?

Un saludo,
 
Otra cosa, por lo que he visto en el manual dejas un brdige a parte para la VLAN que consideras principal porque el equipo no soporta Hw Offloading. Por lo que he estado leyendo yo si podría hacerlo todo en un mismo bridge. Mi equipo lleva un chip para Switch 88E6393X. Según la web de Mikrotik parece que si que se soporta el VLAN filtering no?
Sí, dependiendo de tu equipo, algunos han ganado la capacidad de hacer hardware offloading, incluso con VLAN filtering puesto. Es el caso de los hEX (rb750gr3) o hEX-S (rb760iGS), ambos con MT7621. Si el tuyo soporta hardware offloading, incluso haciendo VLAN filtering, NO crees un segundo bridge para manejar vlans, es innecesario y contraproducente.

Esto si que no lo sabía, yo pensaba que el hecho de usar la VLAN por defecto (1) era algo estándar, la verdad es que no había pensado que otros equipos usaran una diferente. Voy a pintarme el esquema antes de hacerlo y a ver si me pongo manos a la obra esta tarde.
Sí, píntalo. Es la mejor manera de verlo bien.

Al Bridge habrá que meterle algún puerto que no esté usando no?
No, no es necesario. Puedes tener un bridge de loopback, sin puertos, que simplemente te valga para acceder al router, tanto por MAC como por IP, si le pones una encima.

Saludos!
 
No, no es necesario. Puedes tener un bridge de loopback, sin puertos, que simplemente te valga para acceder al router, tanto por MAC como por IP, si le pones una encima.

Esto no lo he conseguido, he creado solo un bridge sin IP ni nada con una Mac fija. Entiendo que conectando el cable a cualquier puerto debería de funcionar no? También he añadido la interfaz del bridge nuevo a la lista de mac-server.
Código:
/interface bridge
add admin-mac=77:88:99:AA:BB:CC auto-mac=no name=bridge-winbox

De todas maneras si me conecto a la MAC física de un puerto me valdría o también al cambiarlo podría quedarme sin conexión
 
Una pregunta más que no me ha quedado claro respecto al bridge en si mismo.
Yo tengo creadas las VLAN sobre el bridge (incluida la de gestión - 99 -).
Anteriormente yo le asignaba una IP al brdige en si y el dhcp lo hacía funcionar sobre el switch.

Qué es lo qué cambia ahora al aplicar vlan filtering? el PVID habría que poner el de la Vlan99? La dirección IP y el dhcp habría que ponerlo sobre la interfaz del switch o sobre la interfaz de vlan? Yo no quiero mandar por todos los puertos del bridge la vlan 99 sin etiquetar (como acceso)
 
Una pregunta más que no me ha quedado claro respecto al bridge en si mismo.
Yo tengo creadas las VLAN sobre el bridge (incluida la de gestión - 99 -).
Anteriormente yo le asignaba una IP al brdige en si y el dhcp lo hacía funcionar sobre el switch.

Qué es lo qué cambia ahora al aplicar vlan filtering? el PVID habría que poner el de la Vlan99? La dirección IP y el dhcp habría que ponerlo sobre la interfaz del switch o sobre la interfaz de vlan? Yo no quiero mandar por todos los puertos del bridge la vlan 99 sin etiquetar (como acceso)
Lo que tú hacías es poner una IP sobre la vlan por defecto, sin saberlo. Una vez aplicado vlan filtering y quitada la vlan por defecto, el bridge es un elemento pasivo, no hace más que el filtrado de vlans. Todo el direccionamiento va a las vlans, no al bridge. Y, si quieres acceso al equipo (vlan de administración), ha de ir taggeada sobre el bridge.

Saludos!
 
Una pregunta, porque todas las VLAN deben de ir taggeadas a la interfaz del Bridge? Creo que sin eso no funciona bien no?

Creo que lo voy teniendo medio funcionando. Hay un tema que me ha traido de cabeza un buen rato y que yo no sabía y que en la documentación no creo que este bien explicito.
En Firewall Raw tengo metidas las reglas recomendadas por Mikrotik y tengo un drop por defecto y no salia a Internet por un tema de listas de interfaces.
Pensaba que era capaz de anidar pero parece que no.
Ejemplo:
Internal-ALL (include: LAN y LAN-IPTV)
LAN(include: Lans-VLAN)
Lans-VLAN (todas las interfaces VLAN)

Hasta que no he medido en el include de Internal-ALL la lista Lans-VLAN no ha funcionado. Parece que solo funciona el include a un nivel.
 
Una pregunta, porque todas las VLAN deben de ir taggeadas a la interfaz del Bridge? Creo que sin eso no funciona bien no?
Porque es la manera en la que mikrotik trabaja con las vlans, si usas filtrado de vlans a nivel de bridge en un router. Además de eso, las taggeas porque las estás direccionando desde ese mismo equipo (creas una interfaz vlans sobre el bridge y le das una IP). Si lo estuvieras haciendo en un switch, sólo definirías puertos tagged y untagged en la tabla de vlans del bridge y andando, no necesitarías taggear más que la vlan de adminsitración (o la que sea que quieras que tenga acceso al propio equipo). Ejemplo: https://help.mikrotik.com/docs/display/ROS/Bridge+VLAN+Table#BridgeVLANTable-Trunk/Accessportsetup

Relativo a las reglas de RAW, ni idea, pero ten en cuenta que si usas el firewall por defecto y quieres que una VLAN acceda al chain de input, vas a tener que jugar con las listas de interfaces, por la regla del "drop all not coming from LAN". Por ejemplo, si quieres que una VLAN use un servicio del router, como puede ser la caché de DNS.

Saludos!
 
Hola buenas!

Pues al final lo he hecho funcionar. La separación por VLAN solo la tengo por cable porque por wifi no tengo un AP que soporte el estándar 802.1Q con múltiples SSIDs. Por wifi está todo metido en la misma red pero separado por direcciones IP.
¿Alguna recomendación de AP que admita esto? No hay demasiados en el mercado, creo que los de aruba lo soportan, el nuevo de Synology RT6600AX (es por lo que más me tiraría) y Ubiquity (aunque he tenido un EdgeRouter y no lo actualizan demasiado y me ha parecido mucho más potente Mikrotik, al menos en esa parte de Router)
Esta sería la idea

1659819283254.png


He tenido algún que otro quebradero de cabeza sobretodo con el switch Netgear que tengo, tuve que resetearlo porque me equivoque y puse los trunk como los últimos puertos que eran SFP y no sobre el puerto 24.

Código:
/interface bridge
add frame-types=admit-only-vlan-tagged ingress-filtering=no name=switch0-lan \
    priority=0x1000 pvid=99 vlan-filtering=yes

/interface ethernet
set [ find default-name=ether1 ] comment="Access Point"
set [ find default-name=ether2 ] comment=Switch
set [ find default-name=ether7 ] name=ether7-deco
set [ find default-name=ether8 ] name=ether8-wan

/interface vlan
add interface=switch0-lan name=vlan50-LanHome vlan-id=50
add interface=switch0-lan name=vlan60-LanWork vlan-id=60
add interface=switch0-lan name=vlan70-LanIOT vlan-id=70
add disabled=yes interface=switch0-lan name=vlan80-LanGuest vlan-id=80
add interface=switch0-lan name=vlan99-LanInfrastructure vlan-id=99

/interface list
add comment="LAN IPTV Interface" name=LAN-IPTV
add comment="WAN Interface IPTV" name=WAN-IPTV
add comment="WAN Interfaces" name=WAN
add comment="IPTV - External and Internal Interfaces" include=\
    WAN-IPTV,LAN-IPTV name=IPTV-ALL
add name=LAN-VLANs-ISOLATED
add comment="VLANs LAN" name=LAN-VLANs
add comment="All External Interfaces" include=WAN,WAN-IPTV name=EXT-ALL
add comment="LAN Interfaces" include=LAN-VLANs name=LAN
add comment="All Internal Interfaces" include=LAN,LAN-IPTV,LAN-VLANs name=\
    INTERNAL-ALL

/interface list member
add interface=ether7-deco list=LAN-IPTV
add interface=eth8-vlan105 list=WAN-IPTV
add interface=switch0-lan list=LAN
add interface=eth8-vlan100 list=WAN
add interface=pppoe0-wan list=WAN
add interface=ether8-wan list=WAN
add interface=wireguard list=VPN
add interface=vlan70-LanIOT list=LAN-VLANs-ISOLATED
add interface=vlan80-LanGuest list=LAN-VLANs-ISOLATED
add interface=vlan99-LanInfrastructure list=LAN-VLANs
add interface=vlan50-LanHome list=LAN-VLANs
add interface=vlan60-LanWork list=LAN-VLANs
add interface=vlan70-LanIOT list=LAN-VLANs
add interface=vlan80-LanGuest list=LAN-VLANs

/ip pool
add name=dhcp-LanWork-pool ranges=192.168.60.100-192.168.60.200
add name=dhcp-LanIOT-pool ranges=192.168.70.100-192.168.70.200
add name=dhcp-LanGuest-pool ranges=192.168.80.100-192.168.80.200
add name=dhcp-LanInfrastructure-pool ranges=192.168.99.100-192.168.99.200
add name=dhcp-LanHome-pool ranges=192.168.50.100-192.168.50.200


/ip dhcp-server network
add address=192.168.99.0/24 comment=LanInfrastructure_Network dns-server=\
    192.168.99.1 gateway=192.168.99.1
add address=192.168.50.0/24 comment=LanHome_Network dns-server=\
    192.168.50.20,192.168.50.1 gateway=192.168.50.1
add address=192.168.70.0/24 comment=LanWork_Network dns-server=\
    192.168.50.20,192.168.70.1 gateway=192.168.70.1 netmask=24
add address=192.168.70.0/24 comment=LanIOT_Network dns-server=\
    192.168.50.20,192.168.70.1 gateway=192.168.70.1 netmask=24
add address=192.168.80.0/24 comment=LanGuest_Network dns-server=\
    192.168.50.20,192.168.80.1 gateway=192.168.80.1 netmask=24

/ip dhcp-server
add address-pool=dhcp-LanWork-pool comment=DHCP-LanWork interface=\
    vlan60-LanWork name=dhcp-LanWork
add address-pool=dhcp-LanIOT-pool comment=DHCP-LanIOT interface=vlan70-LanIOT \
    name=dhcp-LanIOT
add address-pool=dhcp-LanGuest-pool comment=DHCP-LanGuest interface=\
    vlan80-LanGuest name=dhcp-LanGuest
add address-pool=dhcp-LanInfrastructure-pool comment=DHCP-LanInfrastructure \
    interface=vlan99-LanInfrastructure name=dhcp-LanInfrastructure
add address-pool=dhcp-LanHome-pool comment=DHCP-LanHome interface=\
    vlan50-LanHome name=dhcp-LanHome

/interface bridge port
add bridge=switch0-lan comment="AP (No MultiSSID - Vlan50 access)" \
    fast-leave=yes frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether1 pvid=50
add bridge=switch0-lan comment="Switch - Vlan 99,50,60,70,80 Tagged" \
    fast-leave=yes interface=ether2
add bridge=switch0-lan fast-leave=yes interface=ether3
add bridge=switch0-lan fast-leave=yes interface=ether4


/interface bridge vlan
add bridge=switch0-lan tagged=switch0-lan,ether2 untagged=ether1 vlan-ids=50
add bridge=switch0-lan tagged=switch0-lan,ether2 vlan-ids=99
add bridge=switch0-lan tagged=switch0-lan,ether2 vlan-ids=60,70,80


/ip address
add address=192.168.60.1/24 interface=vlan60-LanWork network=192.168.60.0
add address=192.168.70.1/24 interface=vlan70-LanIOT network=192.168.70.0
add address=192.168.80.1/24 interface=vlan80-LanGuest network=192.168.80.0
add address=192.168.50.1/24 interface=vlan50-LanHome network=192.168.50.0
add address=192.168.99.1/24 interface=vlan99-LanInfrastructure network=\
    192.168.99.0

Firewall

Código:
/ip firewall raw
add action=accept chain=prerouting comment="Accept DHCP discover" \
    dst-address=255.255.255.255 dst-port=67 in-interface-list=LAN protocol=\
    udp src-address=0.0.0.0 src-port=68
add action=drop chain=prerouting comment="Drop bogon IP's" src-address-list=\
    bad_ipv4
add action=drop chain=prerouting comment="Drop bogon IP's" dst-address-list=\
    bad_ipv4
add action=drop chain=prerouting comment="Drop bogon IP's" src-address-list=\
    bad_src_ipv4
add action=drop chain=prerouting comment="Drop bogon IP's" dst-address-list=\
    bad_dst_ipv4 in-interface-list=!IPTV-ALL
add action=drop chain=prerouting comment="Drop non global from WAN" \
    in-interface-list=WAN src-address-list=not_global_ipv4
add action=drop chain=prerouting comment="Drop forward to local lan from WAN" \
    dst-address-list=_LAN-ALL in-interface-list=EXT-ALL
add action=drop chain=prerouting comment=\
    "Drop local if not from default IP range" in-interface-list=INTERNAL-ALL \
    src-address-list=!_LAN-ALL
add action=jump chain=prerouting comment="Jump to ICMP chain" jump-target=\
    icmp4 protocol=icmp
add action=jump chain=prerouting comment="Jump to TCP chain" jump-target=\
    bad_tcp protocol=tcp
add action=jump chain=prerouting comment="Jump to UDP chain" jump-target=\
    bad_udp protocol=udp
add action=accept chain=prerouting comment="Accept everything else from LAN" \
    in-interface-list=INTERNAL-ALL
add action=accept chain=prerouting comment="Accept everything else from WAN" \
    in-interface-list=EXT-ALLN
add action=drop chain=prerouting comment="Drop the rest"


/ip firewall filter
add action=accept chain=input comment="IN - Accept Winbox" dst-port=\
    XXXXXXX,XXXXXX in-interface-list=LAN protocol=tcp src-address-list=\
    _LAN_DATA_FIABLE
add action=add-src-to-address-list address-list=Blacklist_CommonPorts \
    address-list-timeout=10h chain=input comment=\
    "IN - Add Src to Blacklist (TCP)" connection-state=new dst-port=\
    20-25,80,110,161,443,445,3128,3306,3333,3389,7547,8291,8080-8082 \
    in-interface-list=WAN log-prefix="FWALL- ADD BLACKLIST" protocol=tcp
add action=add-src-to-address-list address-list=Blacklist_CommonPorts \
    address-list-timeout=10h chain=input comment=\
    "IN - Add Src to Blacklist (UDP)" connection-state=new dst-port=\
    20-25,53,80,110,161,443,445,3128,3306,3333,3389,7547,8291 \
    in-interface-list=WAN log-prefix="FWALL- ADD BLACKLIST" protocol=udp
add action=add-src-to-address-list address-list=Blacklist_DoS \
    address-list-timeout=12h chain=input comment="IN - DoS Detect by Limit" \
    connection-limit=150,32 protocol=tcp
add action=tarpit chain=input comment="IN - DoS Tarpit" connection-limit=3,32 \
    protocol=tcp src-address-list=Blacklist_DoS
add action=accept chain=input comment="IN - Accept Established and related" \
    connection-state=established,related
add action=drop chain=input comment="IN - Drop Invalid" connection-state=\
    invalid
add action=accept chain=input comment="IN - Accept ICMP after RAW" protocol=\
    icmp
add action=accept chain=input comment=\
    "IN WAN IPTV - Allow IPTV Multicast UDP" in-interface-list=WAN-IPTV \
    protocol=udp
add action=accept chain=input comment="IN WAN IPTV - Accept IGMP" \
    in-interface-list=WAN-IPTV protocol=igmp
add action=accept chain=input comment="IN LAN - Accept 53 UDP (DNS)" \
    dst-port=53 protocol=udp src-address-list=_LAN_DATA_ALL
add action=accept chain=input comment="IN LAN IPTV - Allow IGMP" protocol=\
    igmp src-address-list=_LAN-IPTV
add action=accept chain=input comment="IN LAN IPTV - Allow UDP" protocol=udp \
    src-address-list=_LAN-IPTV
add action=drop chain=input comment="IN - Drop all not comming from LAN" log=\
    yes log-prefix="FWALL - IN DROP" src-address-list=!_LAN_DATA_FIABLE
add action=fasttrack-connection chain=forward comment="FW - FastTrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="FW - Accept Established and related" \
    connection-state=established,related
add action=drop chain=forward comment="FW - Drop Invalid" connection-state=\
    invalid
add action=reject chain=forward comment=\
    "FW - Reject from Isolated Vlans. Allow Only WAN" in-interface-list=\
    LAN-VLANs-ISOLATED out-interface-list=!WAN reject-with=\
    icmp-network-unreachable
add action=reject chain=forward comment=\
    "FW - Reject From LAN-GUEST. Only allow WAN" out-interface-list=!WAN \
    reject-with=icmp-network-unreachable src-address-list=_LAN_DATA_ISOLATED
add action=accept chain=forward comment=\
    "FW WAN IPTV - Allow IPTV Multicast UDP" in-interface-list=WAN-IPTV \
    protocol=udp
add action=drop chain=forward comment="FW - Drop all from WAN not DSTNATed" \
    connection-nat-state=!dstnat connection-state=new in-interface-list=\
    EXT-ALL log-prefix="FWALL - FW DROP"
add action=drop chain=forward comment="Drop bad forward IPs" \
    src-address-list=no_forward_ipv4
add action=drop chain=forward comment="Drop bad forward IPs" \
    dst-address-list=no_forward_ipv4
add action=drop chain=forward comment="FW - Drop All" disabled=yes

Lo que te comentaba el otro día de las listas de interfaces es que puedes incluir una lista en otra, esto parece ser que no lo hace dos niveles.
ListaGlobal -> Incluye Lista1
Lista1 -> Incluye Lista1.1
Parece ser que ListaGlobal no estaba incluyendo Lista1.1, y me costó bastante verlo porque yo creo que en la documentación no he visto anotación al respecto.

Después de toda la movida me quedan varias preguntas.
El switch netgear que tengo debería llegar a él por la Vlan99 y esta la estoy mandando etiquetada, debería mandarla en modo untagged? Parece ser que si cambio la Vlan de administración se exige que el puerto del switch tenga PVID de la vlan de gestión, la duda que me surge es si pasa algo porque la manda etiquetada o no.
1659818819422.png


¿Cómo ves las configuraciones del firewall? Creo que con lo que tengo debería de valer para que los equipos salgan solo a Internet y por otra parte accedan al DNS, ¿alguna otra recomendación de seguridad al respecto?
He visto algún ejemplo que separan IOT (altavoces inteligentes) de domótica (luces, etc ..) yo lo he dejado todo bajo IOT ya que considero que es lo mismo (no fiable).
 
¿Alguna recomendación de AP que admita esto? No hay demasiados en el mercado, creo que los de aruba lo soportan, el nuevo de Synology RT6600AX (es por lo que más me tiraría) y Ubiquity (aunque he tenido un EdgeRouter y no lo actualizan demasiado y me ha parecido mucho más potente Mikrotik, al menos en esa parte de Router)
Cualquier AP medio decente soporta multiples SSID y VLANs. Los que nombras no son APs, son routers, y además domésticos, razón por la que te cuesta encontrar esa característica en ellos. Cualquier AP de mikrotik, Aruba o Ubiquiti tiene lo que buscas.

Tu configuración no está demasiado bien, sin querer meterme en el firewall, donde te has complicado tela marinera, ni las listas de interfaces, que para mi parecen todo un galimatías. Te detallo lo que no veo bien:

- No estás aplicando ingress-filtering en el bridge, cosa que deberías aplicar tanto al bridge como a todos sus puertos si usas VLANs, por seguridad.
- Le has cambiado la prioridad al bridge. ¿alguna razón de peso para hacerlo?
- Estás aplicando fast-leave a los puertos del bridge, algo que solo funciona cuando el igmp-snooping está activado en el bridge, cosa que no tienes en esa configuración, ni necesitas para nada (sospecho que hay otro bridge con la parte de IPTV, que no veo en tu config)
- La tabla de VLANs del bridge está mal definida. Ha de haber una entrada por cada VLAN, mapeada a los puertos que se necesite. Los puertos de acceso no son necesarios marcarlos como untagged, ya lo hace el bridge dinámicamente al ponerle el PVID correspondiente.

Después de toda la movida me quedan varias preguntas.
El switch netgear que tengo debería llegar a él por la Vlan99 y esta la estoy mandando etiquetada, debería mandarla en modo untagged? Parece ser que si cambio la Vlan de administración se exige que el puerto del switch tenga PVID de la vlan de gestión, la duda que me surge es si pasa algo porque la manda etiquetada o no.
No necesitas una vlan de administración, y en tu setup lo único que hace es complicarlo. Tú no vas a acceder a administrar ese sistema vía ninguna VLAN, sino el acceso por la 50. Yo movería la VLAN de gestión del bridge a la 50, que seguro la entregas ya untagged en alguno de sus puertos, y eliminaría del setup la vlan 99. Total, la 50 ya va taggeada en el bridge, así que te permite acceder a todos los dispositivos de la red desde ella. El setup con vlan de administración se hace cuando no quieres que nadie acceda a los cacharros desde ninguna VLAN, salvo esa. En tu caso, sospecho que desde la 50 sí que quieres llegar a ellos.

Saludos!
 
Cualquier AP medio decente soporta multiples SSID y VLANs. Los que nombras no son APs, son routers, y además domésticos, razón por la que te cuesta encontrar esa característica en ellos. Cualquier AP de mikrotik, Aruba o Ubiquiti tiene lo que buscas.
Echaré un ojo a estos, Mikrotik no se que tal es en la parte inalámbrica, si que es verdad que he visto que no tienen ningún wifi ax y los de Aruba pues lo que he visto es que son de techo y yo de momento no quiero meterlo en el techo. El de Synology pues es router pero es verdad que han metido las Vlan cosa bastante interesante claro.

Tu configuración no está demasiado bien, sin querer meterme en el firewall, donde te has complicado tela marinera, ni las listas de interfaces, que para mi parecen todo un galimatías
A ver, el firewall, creo que sigue más o menos el firewall por defecto, pero es verdad que he tenido que hacer añadidos por el tema de IPTV y de ahí han surgido las listas de interfaces. Básicamente las he creado por agrupar lo que es de datos y lo que es de IPTV y también lo externo de lo interno, solo que en este caso no hay solo un externo, sino que hay dos (datos e iptv).

El firewall de raw no lo copie entero pero es el firewall de la wiki de mikrotik. Solo que en este caso también he tenido que meter reglas duplicadas por el tema de IPTV ya que las IPs de broadcast en ese firewall estan restringidas.

A parte también he querido meter reglas de seguridad para scaner de puertos y similar.

Me dejo aconsejar sin problemas, en este sentido pero la config que tengo está bastante probada sobretodo por el tema de la IPTV, ya adelanto que la IPTV de vodafone es muy muy puñetera, no funciona como la de Movistar.

- No estás aplicando ingress-filtering en el bridge, cosa que deberías aplicar tanto al bridge como a todos sus puertos si usas VLANs, por seguridad.
Esto se me he pasado porque he ido aplicando poco a poco viendo cuando funcionaba, lo miro y veo de meterlo.

- Le has cambiado la prioridad al bridge. ¿alguna razón de peso para hacerlo?
Creo que esto ha sido de una época que me caía el Netgear que tenía detrás y tuve que probar varias cosas, creo efectivamente que no tiene sentido.

- Estás aplicando fast-leave a los puertos del bridge, algo que solo funciona cuando el igmp-snooping está activado en el bridge, cosa que no tienes en esa configuración, ni necesitas para nada (sospecho que hay otro bridge con la parte de IPTV, que no veo en tu config)
No tengo ningún otro bridge, tengo una interfaz suelta dedicada al IPTV en otra subred (sin vlan). Tampoco tengo IGMP-snooping porque al tener la IPTV en otra red lo que he hecho es configurar IGMP-Proxy.

- La tabla de VLANs del bridge está mal definida. Ha de haber una entrada por cada VLAN, mapeada a los puertos que se necesite. Los puertos de acceso no son necesarios marcarlos como untagged, ya lo hace el bridge dinámicamente al ponerle el PVID correspondiente.
Creo que no me falta ninguna Vlan por definir no? El problema que me encontré aquí con los puertos de acceso es que si por ejemplo en un puerto meto la Vlan50 como PVID con intención de que por ese puerto vaya untagged luego no me dejaba definir otra linea de la tabla con la Vlan50 para marcarla como trunk en otros puertos. La conclusión que saqué es que solo podía haber una línea por cada Vlan, de ahí que las haya metido como estáticas.

No necesitas una vlan de administración, y en tu setup lo único que hace es complicarlo. Tú no vas a acceder a administrar ese sistema vía ninguna VLAN, sino el acceso por la 50. Yo movería la VLAN de gestión del bridge a la 50, que seguro la entregas ya untagged en alguno de sus puertos, y eliminaría del setup la vlan 99.
De momento preferiría dejarlo aislado porque de momento si que accedo por la 50 porque es la que tiene wifi por comodidad pero en el futuro podría cambiarlo y restringirlo.
No acabo de entender muy bien lo de etiquetado y sin etiquetado. La vlan de gestión debe de estar sin etiquetar para poder entrar al switch por ejemplo, aunque al switch le cambie la vlan de gestión?. Yo ahora al puerto del switch le entrego todo etiquetado.

Muchas gracias!
 
Arriba