Un poco de agonía con CAPSMan

Buenas!

Llevo ya un par de días cacharreando con el router de mikrotik y la verdad es que está siendo frustrante a la par que divertido, me está dando unas de cal y otras de arena pero las cosas han ido saliendo y siempre es bienvenido un reto.

Con el HGU en monopuesto y el hex-S con el pppoe funcionando ya tengo internet en casa a traves de cable. Esto que puede ser muy trivial para alguno debo de reconocer que me ha llevado unas cuantas restauraciones y reboots hasta que he ido entendiendo dónde y qué iba haciendo cada cosa. Ahora bien, cuando he tratado de incluir el cAP-ac en la ecuación, ahí es cuando ya estoy sintiendo que haga lo que haga acabo en la misma situación.

He usado como base tanto el manual que tenéis publicado como un tema que me pareció interesante y que era lo que buscaba, redes tanto para invitados como la personal en 2.4ghz y 5Ghz (no sé dónde entran los dispositivos de domótica aquí). He seguido los pasos tanto del primer tema como del segundo pero haga lo que haga nunca consigo ver el AP en el CAPSManager.

Las reglas de provisionado están, las configuraciones de las redes también, canales, datapaths, configuraciones de seguridad, pero siguen sin aparecer
1639176337730.png


El cAP-ac una vez lo he puesto en modo CAP sí que muestra que están siendo gestionadas:
1639176283989.png


Es como si no los terminada de provisionar porque cuando accedo a la información de las redes siguen con el nombre por defecto.

Esta sería la configuración del hexS CAPSMan
Código: 
# dec/10/2021 23:51:23 by RouterOS 7.1
# software id = C24V-HZEX
# model = RB760iGS
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2412,2437,2462 name=2ghz-auto-20
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=XXXX name=\
    5ghz-auto-80
/interface bridge
add name=bridge-guests
add admin-mac=08:55:31:7C:75:FB auto-mac=no comment=defconf name=bridge-lan
/caps-man datapath
add bridge=bridge-guests client-to-client-forwarding=no local-forwarding=no \
    name=datapath-guests
add bridge=bridge-lan client-to-client-forwarding=yes local-forwarding=no \
    name=datapath-lan
/interface pppoe-client
add add-default-route=yes allow=pap,chap disabled=no interface=ether1 \
    keepalive-timeout=60 max-mru=1492 max-mtu=1492 name=pppoe-out1 user=\
    adslppp@telefonicanetpa
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=security-profile-guests
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=security-profile-lan
/caps-man configuration
add country=spain datapath=datapath-guests mode=ap name=config-guest-2ghz \
    security=security-profile-guests ssid=WIFI_GUESTS
add country=spain datapath=datapath-guests mode=ap name=config-guest-5ghz \
    security=security-profile-guests ssid=WIFI_GUESTS
add channel=2ghz-auto-20 country=spain datapath=datapath-lan mode=ap name=\
    config-lan-2ghz security=security-profile-lan ssid=WIFI_HOME
add channel=5ghz-auto-80 country=spain datapath=datapath-lan mode=ap name=\
    config-lan-5ghz security=security-profile-lan ssid=WIFI_HOME
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=pool-lan ranges=192.168.0.20-192.168.0.200
add name=vpn ranges=192.168.89.2-192.168.89.255
add name=pool-guests ranges=192.168.99.2-192.168.99.254
/ip dhcp-server
add address-pool=pool-lan interface=bridge-lan name=dhcp-lan
add address-pool=pool-guests interface=bridge-guests name=dhcp-guests
/port
set 0 name=serial0
/ppp profile
set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn
/caps-man manager
set enabled=yes
/caps-man manager interface
set [ find default=yes ] forbid=yes
add disabled=no interface=bridge-lan
/caps-man provisioning
add action=create-dynamic-enabled comment=provisioning-auto-2ghz \
    hw-supported-modes=gn master-configuration=config-lan-2ghz name-format=\
    prefix-identity name-prefix=2ghz-auto slave-configurations=\
    config-guest-2ghz
add action=create-dynamic-enabled comment=provisioning-auto-5ghz \
    hw-supported-modes=ac master-configuration=config-lan-5ghz name-format=\
    prefix-identity name-prefix=5ghz-auto slave-configurations=\
    config-guest-5ghz
/interface bridge port
add bridge=bridge-lan comment=defconf interface=ether2
add bridge=bridge-lan comment=defconf interface=ether3
add bridge=bridge-lan comment=defconf interface=ether4
add bridge=bridge-lan comment=defconf interface=ether5
add bridge=bridge-lan comment=defconf interface=sfp1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set enabled=yes use-ipsec=yes
/interface list member
add comment=defconf interface=bridge-lan list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=pppoe-out1 list=WAN
/interface pptp-server server
set enabled=yes
/interface sstp-server server
set default-profile=default-encryption enabled=yes
/ip address
add address=192.168.0.1/24 comment=defconf interface=bridge-lan network=\
    192.168.0.0
add address=192.168.99.1/24 interface=bridge-guests network=192.168.99.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf disabled=yes interface=ether1
/ip dhcp-server lease
add address=192.168.0.2 client-id=1:2c:c8:1b:14:4b:7a mac-address=\
    2C:C8:1B:14:4B:7A server=dhcp-lan
/ip dhcp-server network
add address=192.168.0.0/24 comment=defconf dns-server=192.168.0.1 gateway=\
    192.168.0.1
add address=192.168.99.0/24 gateway=192.168.99.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,8.8.8.8
/ip dns static
add address=192.168.0.1 comment=defconf name=router.lan
add address=192.168.0.2 name=cap.lan
add address=192.168.0.3 name=nas.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 \
    protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=drop chain=forward comment="block guests accesing LAN" \
    dst-address=192.168.0.0/24 src-address=192.168.99.0/24
add action=drop chain=forward comment="block LAN accesing guests" \
    dst-address=192.168.99.0/24 src-address=192.168.0.0/24
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
    192.168.89.0/24
add action=masquerade chain=srcnat out-interface-list=WAN
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/ppp secret
add name=vpn
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=hex-S
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Y esta la del AP cap-AC
Código: 
# dec/10/2021 23:51:23 by RouterOS 7.1
# software id = KBHY-F5VL
# model = RBcAPGi-5acD2nD
/interface bridge
add admin-mac=2C:C8:1B:14:4B:7A auto-mac=no comment=defconf name=bridge
/interface wireless
# managed by CAPsMAN
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
    distance=indoors frequency=auto installation=indoor mode=ap-bridge ssid=\
    MikroTik-144B7B wireless-protocol=802.11
# managed by CAPsMAN
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=\
    20/40/80mhz-XXXX distance=indoors frequency=auto installation=indoor \
    mode=ap-bridge ssid=MikroTik-144B7C wireless-protocol=802.11
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp disabled=yes interface=ether2 name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
add bridge=bridge interface=ether1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=ether1 list=WAN
add interface=ether2 list=LAN
add interface=wlan2 list=LAN
add interface=wlan1 list=LAN
/interface wireless cap
#
set bridge=bridge enabled=yes interfaces=wlan2,wlan1
/ip address
add address=192.168.88.1/24 comment=defconf disabled=yes interface=bridge \
    network=192.168.88.0
/ip dhcp-client
add comment=defconf interface=bridge
/ip dhcp-server network
add address=0.0.0.0/24 comment=defconf dns-server=192.168.88.1 gateway=\
    0.0.0.0 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" disabled=yes \
    ipsec-policy=out,none out-interface-list=WAN
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=cAP-ac
/system routerboard settings
set cpu-frequency=auto
/system routerboard mode-button
set enabled=yes on-event=dark-mode
/system script
add comment=defconf dont-require-permissions=no name=dark-mode owner=*sys \
    policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
    source="\r\
    \n   :if ([system leds settings get all-leds-off] = \"never\") do={\r\
    \n     /system leds settings set all-leds-off=immediate \r\
    \n   } else={\r\
    \n     /system leds settings set all-leds-off=never \r\
    \n   }\r\
    \n "
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

¿A alguien se le ocurre qué puede estar ocurriendo?
 
Vale, la providencia divina o la estupidez supina, una de dos. Según he terminado de escribir lo anterior he revisado este otro tema y usando como referencia la siguiente captura de @pocoyo he probado a activar esta opción (que juraría que no aparece en los tutoriales o yo la he pasado por alto en varias ocasiones, no me sorprendería) y el AP ha cogido la configuración desde el CAPSMan. Así que las cosas al menos van a mejor :D

1639178096718.png


Que le quede a alguien por si le ocurre lo mismo.

Volviendo a una de mis dudas... ¿con esta configuración cuál sería la forma correcta de conectar los dispositivos de domótica en la red? Siempre he leído que por seguridad deberían estar en su propia red pero no sé cómo afectaría eso a los hubs que se encuentran conectados directamente por cable al switch.

Por cierto, ¿alguien ve algo raro en mi configuración? sí noto que las velocidades son algo justas en 5ghz, no supera los 300mb, tal vez sea el canal?

Una vez más muchas gracias a todos!
 
Deivian dijo:
Vale, la providencia divina o la estupidez supina, una de dos. Según he terminado de escribir lo anterior he revisado este otro tema y usando como referencia la siguiente captura de @pocoyo he probado a activar esta opción (que juraría que no aparece en los tutoriales o yo la he pasado por alto en varias ocasiones, no me sorprendería) y el AP ha cogido la configuración desde el CAPSMan. Así que las cosas al menos van a mejor :D

Ver el adjunto 89349

Que le quede a alguien por si le ocurre lo mismo.

Volviendo a una de mis dudas... ¿con esta configuración cuál sería la forma correcta de conectar los dispositivos de domótica en la red? Siempre he leído que por seguridad deberían estar en su propia red pero no sé cómo afectaría eso a los hubs que se encuentran conectados directamente por cable al switch.

Por cierto, ¿alguien ve algo raro en mi configuración? sí noto que las velocidades son algo justas en 5ghz, no supera los 300mb, tal vez sea el canal?

Una vez más muchas gracias a todos!
Haz clic para expandir...
Tu problema no es sólo ese compi. Es que el CAP lo tienes también como router. Eso está muy bien para un equipo remoto donde quieres manejar el wifi centralizado, pero sospecho no es tu setup, donde simplemente quieres que el cAP-AC sea un AP pinchado directo a tu red y manejado por CAPsMAN.

Si es ese tu caso, en el CAP, haz lo siguiente: System -> Reset Configuration -> CAPs Mode (y Keep user settings si ya tienes quitado el usuarion de admin y tienes ya uno creado)

Con eso tendrás un AP (todos los puertos físicos en el mismo bridge) y además pondrá sus interfaces inalámbricas a escuchar CAPsMAN. Si después de eso haces un export, verás la diferencia enorme de config, comparada con la que tienes ahora.

Por último, darte la enhorabuena. Tienes la config del router muy limpita. Te queda dar el siguiente salto: crear una vlan para los invitados, desmontar los dos bridges y hacerlo todo con un único bridge y vlans, usando vlan filtering.

Saludos!
 
Gracias por la aclaración, pensaba que desde el quickset y cambiando a modo CAP sería suficiente, ya he visto que desde el menú de Reset configuration se puede establacer ya así y todo ha funcionado a la primera.

Sobre lo que me comentas de crear vlans y demás... le echaré un ojo al manual que tienes publicado y a ver lo que aprendo. Como muy bien explicabas en los primeros pasos lo primero haré un backup backup backup de cómo lo tengo para lo que acabe rompiendo, porque pasará, pueda volver fácil a un punto en que las cosas funcionaban :LOL:

¿Una pregunta, cómo harías para integrar dispositivos IOT como bombillas y demás aparatos de domótica, normalmente suele ser obligatorio conectarlos a una banda de 2.4 pero por temas de seguridad y para que puedan ser controlados por los hubs conectados via cable deberían verse entre ellos por lo que no creo que la de invitados sería el sitio, o sí?

Una vez más muchas gracias por tu ayuda, la cosa va tomando forma y muy contento además :)
 
Deivian dijo:
Gracias por la aclaración, pensaba que desde el quickset y cambiando a modo CAP sería suficiente, ya he visto que desde el menú de Reset configuration se puede establacer ya así y todo ha funcionado a la primera.

Sobre lo que me comentas de crear vlans y demás... le echaré un ojo al manual que tienes publicado y a ver lo que aprendo. Como muy bien explicabas en los primeros pasos lo primero haré un backup backup backup de cómo lo tengo para lo que acabe rompiendo, porque pasará, pueda volver fácil a un punto en que las cosas funcionaban :LOL:

¿Una pregunta, cómo harías para integrar dispositivos IOT como bombillas y demás aparatos de domótica, normalmente suele ser obligatorio conectarlos a una banda de 2.4 pero por temas de seguridad y para que puedan ser controlados por los hubs conectados via cable deberían verse entre ellos por lo que no creo que la de invitados sería el sitio, o sí?

Una vez más muchas gracias por tu ayuda, la cosa va tomando forma y muy contento además :)
Haz clic para expandir...
Pues los metería en una vlan y le aplicaría dos reglas de firewall: más restrictiva muy similar a la que tienes bloqueando el tráfico de los invitados, para que solo tengan acceso a salir por la WAN. Y la segunda, justo delante de esa, permitiendo la comunicación entre esa subred y la IP del controller.

También puedes hacerlo al revés, meter el controller en la red chunga, y sólo permitir comunicación entre tu red LAN y ese dispositivo.

Saludos!
 
Una duda, estoy tratando de exponer el puerto 32400 (PLEX Media Server) y he estado mirando el foro y he encontrado que en teoría con el siguiente comando debería ser suficiente pero con mi configuración actul lo sigo viendo cerrado desde la IP pública:

Código: 
/ip firewall nat
add action=dst-nat chain=dstnat comment=opening-plex-port-32400 in-interface=ether1 \
dst-port=32400 protocol=tcp to-addresses=192.168.0.3 to-ports=32400

¿Hay algo más que debería de añadir al firewall?

¿Sería correcto eliminar el parámetro in-interface?

Gracias!
 
Última edición:
Deivian dijo:
Una duda, estoy tratando de exponer el puerto 32400 (PLEX Media Server) y he estado mirando el foro y he encontrado que en teoría con el siguiente comando debería ser suficiente pero con mi configuración actul lo sigo viendo cerrado desde la IP pública:

Código: 
/ip firewall nat
add action=dst-nat chain=dstnat comment=opening-plex-port-32400 in-interface=ether1 \
dst-port=32400 protocol=tcp to-addresses=192.168.0.3 to-ports=32400

¿Hay algo más que debería de añadir al firewall?

¿Sería correcto eliminar el parámetro in-interface?

Gracias!
Haz clic para expandir...
No copiéis y peguéis código que os vais encontrando; intentad entenderlo.

La regla es correcta, pero es más que probable que tu interfaz WAN no sea ether1. Si usas la config por defecto, usa mejor la lista WAN, o la interfaz sobre la que aplique es masquerade.

Saludos!
 
pokoyo dijo:
No copiéis y peguéis código que os vais encontrando; intentad entenderlo.

La regla es correcta, pero es más que probable que tu interfaz WAN no sea ether1. Si usas la config por defecto, usa mejor la lista WAN, o la interfaz sobre la que aplique es masquerade.

Saludos!
Haz clic para expandir...

jeje, gracias por el consejo @pocoyo.

Aclarar que antes de ejecutar nada creía estar entendiendo el efecto del comando en cuestión, mi equivocación ha sido seleccionar como muy bien dices ether1 como interfaz wan, cosas de no estar entendiendo los fundamentos básicos todavía, ya que entendía que como el cable que va conectado al HGU es el ether1... pues para mí eso era la interfaz de salida :oops:

De hecho en una de mis pruebas seleccioné en lugar de la interfaz la lista WAN pero me pareció que no estaba funcionando, ahora veo que sí. En cualquier caso y por aclarar, mi interfaz de salida sería el pppoe-out1 ¿o tampoco :ROFLMAO:?

Gracias como siempre
 
Última edición:
Deivian dijo:
jeje, gracias por el consejo @pocoyo.

Aclarar que antes de ejecutar nada creía estar entendiendo el efecto del comando en cuestión, mi equivocación ha sido seleccionar como muy bien dices ether1 como interfaz wan, cosas de no estar entendiendo los fundamentos básicos todavía, ya que entendía que como el cable que va conectado al HGU es el ether1... pues para mí eso era la interfaz de salida :oops:

De hecho en una de mis pruebas seleccioné en lugar de la interfaz la lista WAN pero me pareció que no estaba funcionando, ahora veo que sí. En cualquier caso y por aclarar, mi interfaz de salida sería el pppoe-out1 ¿o tampoco :ROFLMAO:?

Gracias como siempre
Haz clic para expandir...
Sí, esa, o la lista WAN.

Saludos!
 
Debes estar conectado o registrado para responder aquí.

Similar threads

D
Dudas hAP ax3
Respuestas
17
Visitas
723
pokoyo
X
Configuracion Red Wireguard + Hairpin NAT + Pihole
Respuestas
4
Visitas
541
xaviuchiha
P
Problemas con ONT Huawei ISP local
Respuestas
5
Visitas
787
pokoyo
leptismame
Acceder a máquina virtual creada en unraid
Respuestas
2
Visitas
436
Emulero
G
Home Assistant, DuckDNS y Mikrotik ¿un problema?
Respuestas
9
Visitas
709
generalpirata
Arriba