presentacion y consulta de setup

Te paso como dejaría yo tus equipos

El router CCR1004
Código:
# jan/05/1970 02:25:49 by RouterOS 7.1.1
# software id = xxxxxxx
#
# model = CCR2004-1G-12S+2XS
# serial number = xxxxxxxxxxxx
# Definimos un único bridge para todo, llamado "bridge"
/interface bridge
add name=bridge

# En lugar de renombrar las interfaces, coméntalas.
# Es mucho mejor práctica y evita luego volverte loco
# con los nombres de interfaces que modificaste.
/interface ethernet
set [ find default-name=ether1 ] comment=eth_mgmt
set [ find default-name=sfp-sfpplus1 ] comment=eth_wan
set [ find default-name=sfp-sfpplus2 ] comment=dac_sw312

# Renombro la VLAN de management a vlan base.
# La entregaremos en modo tagged a los chismes
# para interconectarlos entre sí, y la entregaremos
# en ether1 en modo acceso para que desde ahí lo
# administres todo. Esa vlan no se usa para nada más
# Por evitar colisión con VLANs de operador, la muevo
# al ID 99, en lugar del ID=2
# Moverías también el resto de números de VLAN del 100 en
# adelante, por el mismo motivo. Respeto lo que tienes,
# pero le pongo un 1 por delante... 110, 120, 130, 140...
/interface vlan
add interface=bridge name=base vlan-id=99
add interface=bridge name=genomica vlan-id=110
add interface=bridge name=proteomica vlan-id=120
add interface=bridge name=microarray vlan-id=130
add interface=bridge name=freezer vlan-id=140
add interface=bridge name=invitados vlan-id=200

# Creamos tres listas
# WAN -> Tu salida a internet, sfp-sfpplus1
# MGMT -> Tu vlan de administración e iterconexión de equipos
# VLANS -> Resto de redes
/interface list
add name=WAN
add name=MGMT
add name=VLANS

# Metemos cada interfaz en su lista
/interface list member
add interface=sfp-sfpplus1 list=WAN
add interface=base list=MGMT
add interface=genomica list=VLANS
add interface=proteomica list=VLANS
add interface=microarray list=VLANS
add interface=freezer list=VLANS
add interface=invitados list=VLANS

# Prefiero usar direcciones 192.168.X.Y
# Y así machear el tercer octeto con el número
# de VLAN. Esto no es en absouto necesario, pero
# sí un buen truco que te ayude a identificar de
# un plumazo a qué VLAN pertenece una dirección
# Te dejo comentado cómo las definiría yo, con
# direcciones de tipo C:
##################################################
# base = 192.168.99.1/24
# genomica = 192.168.110.1/24
# proteomica = 192.168.120.1/24
# microarray = 192.168.130.1/24
# freezer = 192.168.140.1/24
# invitados = 192.168.200.1/24
##################################################
# Además, definiría una vlan adicional de
# invitados, que siempre viene bien para la wifi
/ip address
add address=10.0.99.1/24 interface=base
add address=10.0.110.1/24 interface=genomica
add address=10.0.120.1/24 interface=proteomica
add address=10.0.130.1/24 interface=microarray
add address=10.0.140.1/24 interface=freezer
add address=10.0.200.1/24 interface=invitados

# Si en el paso anterior las modificas a tipo C,
# acuérdate de modificar los pools acorde, al igual
# que la definición de networks del DHCP, más adelante
# como veo que estás asignando estáticametne las direcciones
# del switch y del resto de componentes de infraestructura,
# abro un hueco en el pool de la vlan base, para que asignes
# las IP's de la 2 a la 9 al resto de equipos. La .1 ya la tendría
# este equipo asignada, al declarar su IP en el paso previo
/ip pool
add name=base ranges=10.0.99.10-10.0.99.254
add name=genomica ranges=10.0.110.2-10.0.110.254
add name=proteomica ranges=10.0.120.2-10.0.120.254
add name=microarray ranges=110.0.130.2-110.0.130.254
add name=freezer ranges=10.0.140.2-10.0.140.254
add name=invitados ranges=10.0.200.2-10.0.200.254

# El bridge, dejad de tener DHCP, puesto que ya no trabaja
# con ninguna VLAN sin tag. A cambio, montamos DHCP's sobre
# todas las interfaces VLAN
/ip dhcp-server
add address-pool=base interface=base name=base
add address-pool=genomica interface=genomica name=genomica
add address-pool=proteomica interface=proteomica name=proteomica
add address-pool=microarray interface=microarray name=microarray
add address-pool=freezer interface=freezer name=freezer
add address-pool=invitados interface=invitados name=invitados

# Defino las tres primeras VLANs (genomica, proteomica y microarray)
# así como la VLAN base, como internas, permitiendo así que
# tengan como DNS el propio router. Las VLANs de freezer e invitados
# las considero externas, así que las meto con DNS público
# [Modifícalo a tu antojo]
/ip dhcp-server network
add address=10.0.99.0/24 dns-server=10.0.99.1 gateway=10.0.99.1 comment=base
add address=10.0.110.0/24 dns-server=10.0.110.1 gateway=10.0.110.1 comment=genomica
add address=10.0.120.0/24 dns-server=10.0.120.1 gateway=10.0.120.1 comment=proteomica
add address=10.0.130.0/24 dns-server=10.0.130.1 gateway=10.0.130.1 comment=microarray
add address=10.0.140.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=10.0.140.1 comment=freezer
add address=10.0.200.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=10.0.200.1 comment=invitados

# Setea los DNS que quieras. Como tienes un allow-remote-request=yes
# el router hará de servidor DNS. Para aprovecharlo, definiremos
# una regla en el chain de input para las VLANs que consideres
# como confiables. La vlan de invitados, va con un DNS público en el DHCP
/ip dns
set allow-remote-requests=yes servers=190.xx.xx.xx,200.xx.xx.xx

# Definimos un par de listas de direcciones, para lo que consideremos
# tráfico interno y externo. Considero las 3 primeras VLANs (obviando base)
# como VLANs internas, y "freezer" + "invitados" como externas
# usaremos esa primera lista "internal" para la lista de direcciones
# con acceso al servicio de DNS del propio router
/ip firewall address-list
add address=10.0.110.0/24 list=internal
add address=10.0.120.0/24 list=internal
add address=10.0.130.0/24 list=internal
add address=10.0.140.0/24 list=external
add address=10.0.200.0/24 list=external

# El firewall lo tenías bastante bien arrancado, te lo completo.
# Como he visto que usabas alguna VPN, te dejo también las reglas
# para mover el tráfico de IPSec correctamente, y restrinjo el acceso
# al DNS sólo a ciertas VLANs que voy aconsiderar internas
# En lugar de restringir el acceso en el chain de input usando listas
# de interfaces, lo vamos a hacer usando listas de direcciones, para
# que veas que el principio es exactamente el mismo, solo que basándonos
# en su IP en lugar de su interfaz.
/ip firewall filter
add action=accept chain=input comment="Allow established, related & untracked" \
connection-state=established,related,untracked
add action=accept chain=input comment="Allow mikrotik DNS for internal VLANs" \
dst-port=53 protocol=udp src-address-list=internal
add action=accept chain=input comment="Allow base VALN full access to router" \
in-interface-list=MGMT
add action=drop chain=input comment="Drop everything else"
add action=accept chain=forward comment="accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="accept out ipsec policy" ipsec-policy=out,ipsec
add action=accept chain=forward comment="Allow established, related & untracked" \
connection-state=established,related,untracked
add action=accept chain=forward comment="VLANs can only access Internet, initally" \
connection-state=new in-interface-list=VLAN out-interface-list=WAN
add action=drop chain=forward comment="Drop everything else"

# Igualmente, modifico la regla principal de masquerade, para que sepa trabajar
# con tráfico de VPN de tipo IPSec
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN ipsec-policy=out,none
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
192.xx.xx.0/24

# Ruta por defecto, asegúrate de poner su IP para el gateway
/ip route
add distance=1 gateway=190.xx.xx.x

# Restringimos el acceso a los servicios de discovery, sólo
# a la lista de management
/ip neighbor discovery-settings
set discover-interface-list=MGMT
/tool mac-server
set allowed-interface-list=MGMT
/tool mac-server mac-winbox
set allowed-interface-list=MGMT

# Identificamos el equipo
/system identity
set name=CCR2004


##################################################
########### Tabla de Filtrado de VLANs ###########
##################################################
# Todo taggeado en el bridge y en en el puerto trunk
# (el puerto que te conecta al switch CRS312)
/interface bridge vlan
add bridge=bridge tagged=bridge,sfp-sfpplus2 vlan-ids=99
add bridge=bridge tagged=bridge,sfp-sfpplus2 vlan-ids=110
add bridge=bridge tagged=bridge,sfp-sfpplus2 vlan-ids=120
add bridge=bridge tagged=bridge,sfp-sfpplus2 vlan-ids=130
add bridge=bridge tagged=bridge,sfp-sfpplus2 vlan-ids=140
add bridge=bridge tagged=bridge,sfp-sfpplus2 vlan-ids=200

# Puertos de acceso pvid=X, siendo X la VLAN
# que quieres que se entrege en modo acceso.
# Según vayas necesitando más puertos en el bridge, los vas
# metiendo, pero te los quito de momento, para que lo veas más claro
# Al puerto de acceso en ether1 sólo se le permite tráfico sin tag,
# mientras que al puerto sfp-sfpplus2, por seguridad, sólo tráfico
# taggeado (modo trunk), puesto que es el puerto que nos une al switch
/interface bridge port
add bridge=bridge interface=ether1 pvid=99 frame-types=admit-only-untagged-and-priority-tagged
add bridge=bridge interface=sfp-sfpplus2 frame-types=admit-only-vlan-tagged

# Y, por último, activamos bridge vlan filtering,
# en el bridge principal, restringiendo también el tráfico
# sin tag en el bridge. Esto lo protegerá de un acceso desde
# cualquier otra cosa que no sea tu VLAN de MGMT (base)
/interface bridge
set 0 vlan-filtering=yes frame-types=admit-only-vlan-tagged

El switch principal 10G, CRS312
Código:
# jan/02/1970 01:31:03 by RouterOS 7.1.3
# software id = xxxxx
#
# model = CRS312-4C+8XG
# serial number = xxxxxxxxxxxx
/interface bridge
add name=bridge

# Al igual que antes, mejor commentar que renombrar puertos
/interface ethernet
set [ find default-name=ether9 ] comment=ether_mgmt
set [ find default-name=combo1 ] comment=2CCR
set [ find default-name=combo2 ] comment=2NAS_CEDIE
set [ find default-name=combo3 ] comment=2NAS_UIT
set [ find default-name=combo4 ] comment=2CRS326

# El único propósito de esta VLAN 99 es unir este equipo
# Con el anterior, no se usa para nada más. Como irá
# taggeada sobre el bridge, te permitirá manejar el
# switch desde esta VLAN, desdel el puerto ether1 del CCR.
# No necesitas definir un segundo puerto de management en
# este equipo, pero como lo haces, la entregaremos
# untagged en ese puerto, aunque no funcionará a menos
# que el switch esté conectado al router y el router sea
# capaz de direccionarla. Ese puerto de management,
# lo podrías llegar a quitar.
/interface vlan
add interface=bridge name=base vlan-id=99

/interface list
add name=MGMT

# Aquí, como ves, tiene poco sentido la lista, puesto que
# únicamente vas a trabajar con una única interfaz, la de
# la VLAN de administracíon o vlan "base"
/interface list member
add interface=base list=MGMT

# Configuramos este swtich (CRS312) como "padre"
# de los puertos del switch CRS326, por el puerto
# que le conecta a él, combo4
/interface bridge port-controller
set bridge=bridge cascade-ports=combo4 switch=switch1

# Aquí es donde tienes el patinazo. Estás intentando montar la misma
# tabla de VLANs, o muy similar, a la que tienes en el router. Y este
# equipo no es un router, es un switch. Aquí las VLANs simplemente
# tenemos que filtraras en los puertos correspondientes. Es decir, aquí
# las VLANs no van nunca taggeadas sobre el bridge, sino únicamente sobre
# los puertos de tipo TRUNK (combo1, que conecta al router).
# Como de momento en el CRS326 sólo vamos a crear puertos de acceso,
# no metemos pe1-sfpplus1 como puerto tagged, puesto que no lo necesitamos
# Por lo que he leído en la documentación, no es necesario taggear el puerto
# que te une con el 326 (sospecho que pe1-sfpplus1), puesto que como los
# puertos se extienden en este switch, los considera como suyos. Sólo taggearías
# adicionalemente algún puerto extra donde quieras mandar varias VLANs.
# IMPORTANTE: la vlan 99 (Base/MGMT) va también taggeada sobre el bridge.
/interface bridge vlan
add bridge=bridge tagged=combo1,bridge vlan-ids=99
add bridge=bridge tagged=combo1 vlan-ids=110
add bridge=bridge tagged=combo1 vlan-ids=120
add bridge=bridge tagged=combo1 vlan-ids=130
add bridge=bridge tagged=combo1 vlan-ids=140
add bridge=bridge tagged=combo1 vlan-ids=200

# Aquí estás entregando, por lo que veo, las siguientes VLANs
# VLAN 110 (genomica): puertos 2,3,4,5,6,7,8 del CRS326 y puerto 1 del CRS312
# VLAN 120 (proteomica): puerto 20 del CRS326
# VLAN 130 (microarray): puerto 22 del CRS326
# VLAN 140 (freezer): puerto 24 del CRS326
/interface bridge port
# Puertos extendidos del CRS326
add bridge=bridge interface=pe1-ether1
add bridge=bridge interface=pe1-ether2 pvid=110 frame-types=admit-only-untagged-and-priority-tagged
add bridge=bridge interface=pe1-ether3 pvid=110 frame-types=admit-only-untagged-and-priority-tagged
add bridge=bridge interface=pe1-ether4 pvid=110 frame-types=admit-only-untagged-and-priority-tagged
add bridge=bridge interface=pe1-ether5 pvid=110 frame-types=admit-only-untagged-and-priority-tagged
add bridge=bridge interface=pe1-ether6 pvid=110 frame-types=admit-only-untagged-and-priority-tagged
add bridge=bridge interface=pe1-ether7 pvid=110 frame-types=admit-only-untagged-and-priority-tagged
add bridge=bridge interface=pe1-ether8 pvid=110 frame-types=admit-only-untagged-and-priority-tagged
add bridge=bridge interface=pe1-ether9
add bridge=bridge interface=pe1-ether10
add bridge=bridge interface=pe1-ether11
add bridge=bridge interface=pe1-ether12
add bridge=bridge interface=pe1-ether13
add bridge=bridge interface=pe1-ether14
add bridge=bridge interface=pe1-ether15
add bridge=bridge interface=pe1-ether16
add bridge=bridge interface=pe1-ether17
add bridge=bridge interface=pe1-ether18
add bridge=bridge interface=pe1-ether19
add bridge=bridge interface=pe1-ether20 pvid=120 frame-types=admit-only-untagged-and-priority-tagged
add bridge=bridge interface=pe1-ether21
add bridge=bridge interface=pe1-ether22 pvid=130 frame-types=admit-only-untagged-and-priority-tagged
add bridge=bridge interface=pe1-ether23
add bridge=bridge interface=pe1-ether24 pvid=140 frame-types=admit-only-untagged-and-priority-tagged
add bridge=bridge interface=pe1-sfpplus2
# Hechos los puertos extendidos, hacemos los propios del switch CRS-312, este mismo equipo
# Donde únicamente entregas la VLAN 110 (genomica) en ether1
add bridge=bridge interface=ether1 pvid=110 frame-types=admit-only-untagged-and-priority-tagged
# Y el puerto 9 que lo dedicas a management
add bridge=bridge interface=ether9 pvid=99 frame-types=admit-only-untagged-and-priority-tagged
# añadiríamos aquí el resto de los puertos de acceso del CRS312, al igual que el anterior
# ...
# add bridge=bridge interface=etherX pvid=X frame-types=admit-only-untagged-and-priority-tagged
# ...
# y por último, el puerto trunk que nos une al router CCR1004,
# como puerto trunk que sólo acepta tráfico taggeado y con filtrado en ingress
# PUERTO TRUNK
add bridge=bridge interface=combo1 frame-types=admit-only-vlan-tagged ingress-filtering=yes

# Modifico el segmento de management, al .99 como en el router
/ip address
add address=10.0.99.2/24 interface=base
# Ruta por defecto
/ip route
add distance=1 gateway=10.0.99.1

# Identificamos el equipo
/system identity
set name=CRS312

/system routerboard settings
set boot-os=router-os

# Restringimos el acceso a los servicios de discovery, sólo
# a la lista de management
/ip neighbor discovery-settings
set discover-interface-list=MGMT
/tool mac-server
set allowed-interface-list=MGMT
/tool mac-server mac-winbox
set allowed-interface-list=MGMT

El switch secundario que extiende sus puertos al principal, CRS326
Código:
# model = CRS236
# serial number = xxxxxxxxxxxx
/interface bridge
add name=bridge

# Configuramos el puerto por el que extendemos
# nuestros puertos como switch esclavo al principal
/interface bridge port-extender
set control-ports=sfp-sfpplus1 switch=switch1

# VLAN base
/interface vlan
add interface=bridge name=base vlan-id=99

/interface list
add name=MGMT

# Aquí, como ves, tampoco tiene poco sentido la lista, puesto que
# únicamente vas a trabajar con una única interfaz, la de
# la VLAN de administracíon o vlan "base"
/interface list member
add interface=base list=MGMT
/ip neighbor discovery-settings
set discover-interface-list=MGMT

# Modifico el segmento de management, al .99 como en el router
/ip address
add address=10.0.99.3/24 interface=base

# Ruta por defecto
/ip route
add distance=1 gateway=10.0.99.1

/system identity
set name=CRS326

/tool mac-server
set allowed-interface-list=MGMT

/tool mac-server mac-winbox
set allowed-interface-list=MGMT
 
Uff @pokoyo! como decirte que te has ganado una vela con tu estampita en mi escritorio! Pedazo de ayuda! esto es un monton! ahora me pongo a estudiar la configuración porque hay cosas que no termino de entender en cuanto al funcionamiento de las vlan y demas. Obviamente seguiré tus consejos en cuanto a no renombrar las interfaces y de utilizar las direcciones tipo C para saber mas rapido a que segmento pertenecen. Esto es un curso acelerado de cero a heroe jaja.

Ahora reseteo todo y arranco de cero.

Gracias!
 
Uff @pokoyo! como decirte que te has ganado una vela con tu estampita en mi escritorio! Pedazo de ayuda! esto es un monton! ahora me pongo a estudiar la configuración porque hay cosas que no termino de entender en cuanto al funcionamiento de las vlan y demas. Obviamente seguiré tus consejos en cuanto a no renombrar las interfaces y de utilizar las direcciones tipo C para saber mas rapido a que segmento pertenecen. Esto es un curso acelerado de cero a heroe jaja.

Ahora reseteo todo y arranco de cero.

Gracias!
Pues nada, poco a poco y entendiendo las cosas, que sino no vale para nada. Si te atascas, o si necesitas aclarar algo concreto, me dices.

Saludos!
 
Hola @pokoyo como estas? Espero que muy bien. Te consulto:
################################################## # Además, definiría una vlan adicional de # invitados, que siempre viene bien para la wifi
Dices que cree una vlan mas ademas de la de invitados(200), ej add address=10.0.210.1/24 interface=invitados2 para usarla con la parte de wifi?
# Igualmente, modifico la regla principal de masquerade, para que sepa trabajar # con tráfico de VPN de tipo IPSec
/ip firewall nat add action=masquerade chain=srcnat out-interface-list=WAN ipsec-policy=out,none

add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\ 192.xx.xx.0/24 # Ruta por defecto, asegúrate de poner su IP para el gateway /ip route add distance=1 gateway=190.xx.xx.x
Como yo todavía no tengo ninguna vpn (estoy viendo como configurarla y si pagar una o no) le pongo la dirección publica que me da mi proveedor de Internet no?
Otra, me recomiendas cambiar todos los puertos por defecto? ya sean los de service del propio router como las de mis conexiones por ssh?
Como se poco del tema seguridad me gustaría securizar lo máximo posible, ademas de que estoy en la idea de conseguirme un hapmini para seguir tu tutorial y llevarme la lan donde quiera... Si por ej otro investigador quiere acceder a la red por ssh, tendría que pasar primero por un cliente vpn no? porque estaría el firewall filtrando las conexiones externas al puerto xx (en el mikrotik hexS que tengo funcionando lo tengo asi, tengo puertos definidos y permito las conexiones entrantes y hago portforwarding al servidor que se quiera conectar).

Gracias!
Saludos.
 
Hola @pokoyo como estas? Espero que muy bien. Te consulto:
Dices que cree una vlan mas ademas de la de invitados(200), ej add address=10.0.210.1/24 interface=invitados2 para usarla con la parte de wifi?
No, es la 200 que ya he definido yo. No me refería a otra más adicional, sino a esa, que originalmente no estaba en tu setup (o eso creo, que llevo ya un cacao entre un os y otros que no me veas).

Como yo todavía no tengo ninguna vpn (estoy viendo como configurarla y si pagar una o no) le pongo la dirección publica que me da mi proveedor de Internet no?
Me refiero a una VPN dentro del router, es decir, con él como servidor. No a u na externa. He visto que en la config que exportaste tenías cosas relacionadas con una VPN. Si no es así, puede que eso esté de cuando arrancaste vía quick set, que marcaras la opción "VPN" y te crease todo eso. Si no lo vas a usar, lo mejor es que vuelvas a arrancar desde cero y eso lo quites. Es decir, si ahora mismo tu router no es servidor de VPN, la única regla de NAT que deberías tener es la de masquerade general, esta regla:
Código:
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN ipsec-policy=out,none

Como se poco del tema seguridad me gustaría securizar lo máximo posible, ademas de que estoy en la idea de conseguirme un hapmini para seguir tu tutorial y llevarme la lan donde quiera... Si por ej otro investigador quiere acceder a la red por ssh, tendría que pasar primero por un cliente vpn no? porque estaría el firewall filtrando las conexiones externas al puerto xx (en el mikrotik hexS que tengo funcionando lo tengo asi, tengo puertos definidos y permito las conexiones entrantes y hago portforwarding al servidor que se quiera conectar).
Olvida de momento este tema, y luego lo montamos. No abras puertos ninguno de cara a que alguien se conecte desde fuera, luego montaremos una VPN con WireGuard, y andando. Vas a ver lo que es montar una VPN con cuatro líneas de código. Con eso puedes acceder tú o quien necesite desde fuera, y a la red o redes que necesitéis.

Saludos!
 
Buenas @pokoyo, a ver si voy bien... segui lo que me pasaste y empece con capsman con el ejemplo de red-capsman-caps-hap-ac2-oficinas, creo que me queda contectar el modo trunk en el port-extender del CRS312 y obvio toda la parte de seguridad... Tu me diras que tal voy...

CCR2004:
Código:
# jan/03/1970 02:49:10 by RouterOS 7.1.1
# software id = 96FG-xxxx
#
# model = CCR2004-1G-12S+2XS
# serial number = F0740xxxxx
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2412 name=2ghz-ch01-20MHz
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2437 name=2ghz-ch06-20MHz
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2462 name=2ghz-ch11-20MHz
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ce \
    frequency=5180 name=5ghz-ch036-40MHz
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ce \
    frequency=5220 name=5ghz-ch44-40MHz
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ce \
    frequency=5500 name=5ghz-ch100-40MHz
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=eC \
    frequency=5700 name=5ghz-ch140-40MHz
/interface bridge
add frame-types=admit-only-vlan-tagged name=bridge vlan-filtering=yes
/interface ethernet
set [ find default-name=ether1 ] comment=eth_mgmt
set [ find default-name=sfp-sfpplus1 ] comment=eth_wan
set [ find default-name=sfp-sfpplus2 ] comment=dac_sw312
/interface vlan
add interface=bridge name=base vlan-id=99
add interface=bridge name=freezers vlan-id=140
add interface=bridge name=genomica vlan-id=110
add interface=bridge name=invitados vlan-id=200
add interface=bridge name=proteomica vlan-id=120
add interface=bridge name=servers vlan-id=190
add interface=bridge name=transcriptomica vlan-id=130
/caps-man datapath
add bridge=bridge client-to-client-forwarding=no name=invitados-dp vlan-id=\
    200 vlan-mode=use-tag
add bridge=bridge client-to-client-forwarding=yes name=genomica-dp vlan-id=\
    110 vlan-mode=use-tag
add bridge=bridge client-to-client-forwarding=yes name=transcriptomica-dp \
    vlan-id=130 vlan-mode=use-tag
add bridge=bridge client-to-client-forwarding=yes name=proteomica-dp vlan-id=\
    120 vlan-mode=use-tag
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=invidatos-sp
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=invidatos-sp
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=genomica-sp
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=proteomica-sp
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=transcriptomica-sp
/caps-man configuration
add channel=2ghz-ch01-20MHz channel.tx-power=14 country=argentina datapath=\
    genomica-dp installation=indoor mode=ap name=AP1-2ghz-genomica security=\
    genomica-sp ssid=genomica_uit
add channel=2ghz-ch11-20MHz channel.tx-power=14 country=argentina datapath=\
    genomica-dp installation=indoor mode=ap name=AP3-2ghz-genomica security=\
    genomica-sp ssid=genomica_uit
add channel=2ghz-ch06-20MHz channel.tx-power=14 country=argentina datapath=\
    genomica-dp installation=indoor mode=ap name=AP2-2ghz-genomica security=\
    genomica-sp ssid=genomica_uit
add channel=5ghz-ch036-40MHz country=argentina datapath=genomica-dp \
    installation=indoor mode=ap name=AP1-5ghz-genomica security=genomica-sp \
    ssid=genomica_uit
add channel=5ghz-ch44-40MHz country=argentina datapath=genomica-dp \
    installation=indoor mode=ap name=AP2-5ghz-genomica security=genomica-sp \
    ssid=genomica_uit
add channel=5ghz-ch100-40MHz country=argentina datapath=genomica-dp \
    installation=indoor mode=ap name=AP3-5ghz-genomica security=genomica-sp \
    ssid=genomica_uit
add channel=5ghz-ch140-40MHz country=argentina datapath=genomica-dp \
    installation=indoor mode=ap name=AP4-5ghz-genomica security=genomica-sp \
    ssid=genomica_uit
add country=argentina datapath=proteomica-dp installation=indoor mode=ap \
    name=APx-Xghz-proteomica security=proteomica-sp ssid=proteomica_uit
add country=argentina datapath=transcriptomica-dp installation=indoor mode=ap \
    name=APx-Xghz-transcriptomica security=transcriptomica-sp ssid=\
    transcriptomica_uit
add country=argentina datapath=invitados-dp installation=indoor mode=ap name=\
    APx-Xghz-invitados security=invidatos-sp ssid=invitados_uit
/interface list
add name=WAN
add name=MGMT
add name=VLANS
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=base ranges=192.168.99.10-192.168.99.254
add name=genomica ranges=192.168.110.2-192.168.110.254
add name=proteomica ranges=192.168.120.2-192.168.120.254
add name=transcriptomica ranges=192.168.130.2-192.168.130.254
add name=freezers ranges=192.168.140.2-192.168.140.254
add name=invitados ranges=192.168.200.2-192.168.200.254
add name=servers ranges=192.168.190.2-192.168.190.254
/ip dhcp-server
add address-pool=base interface=base name=base
add address-pool=genomica interface=genomica name=genomica
add address-pool=proteomica interface=proteomica name=proteomica
add address-pool=freezers interface=freezers name=freezers
add address-pool=invitados interface=invitados name=invitados
add address-pool=servers interface=servers name=dhcp-servers
/port
set 0 name=serial0
set 1 name=serial1
/caps-man access-list
add action=accept comment="Wifi invitados, horario UIT 8 a 20hs; L-V" \
    disabled=no ssid-regexp=invitados_uit time=8h-20h,mon,tue,wed,thu,fri
add action=reject comment="Wifi invitados prohibida fuera de horario" \
    disabled=no ssid-regexp=invitados_uit
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled comment=AP1 master-configuration=\
    AP1-2ghz-genomica name-format=prefix-identity name-prefix=2ghz radio-mac=\
    2C:C8:1B:AB:02:xx slave-configurations=\
    APx-Xghz-proteomica,APx-Xghz-transcriptomica,APx-Xghz-invitados
add action=create-dynamic-enabled comment=AP1 master-configuration=\
    AP1-5ghz-genomica name-format=prefix-identity name-prefix=5ghz radio-mac=\
    2C:C8:1B:AB:02:xx slave-configurations=\
    APx-Xghz-proteomica,APx-Xghz-transcriptomica,APx-Xghz-invitados
/interface bridge port
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether1 pvid=99
add bridge=bridge frame-types=admit-only-vlan-tagged interface=sfp-sfpplus2
/ip neighbor discovery-settings
set discover-interface-list=MGMT
/interface bridge vlan
add bridge=bridge tagged=bridge,sfp-sfpplus2 vlan-ids=99
add bridge=bridge tagged=bridge,sfp-sfpplus2 vlan-ids=110
add bridge=bridge tagged=bridge,sfp-sfpplus2 vlan-ids=120
add bridge=bridge tagged=bridge,sfp-sfpplus2 vlan-ids=130
add bridge=bridge tagged=bridge,sfp-sfpplus2 vlan-ids=140
add bridge=bridge tagged=bridge,sfp-sfpplus2 vlan-ids=200
add bridge=bridge tagged=bridge,sfp-sfpplus2 vlan-ids=190
/interface list member
add interface=sfp-sfpplus1 list=WAN
add interface=base list=MGMT
add interface=genomica list=VLANS
add interface=proteomica list=VLANS
add interface=transcriptomica list=VLANS
add interface=freezers list=VLANS
add interface=invitados list=VLANS
add interface=servers list=VLANS
/ip address
add address=192.168.99.1/24 interface=base network=192.168.99.0
add address=192.168.110.1/24 interface=genomica network=192.168.110.0
add address=192.168.120.1/24 interface=proteomica network=192.168.120.0
add address=192.168.130.1/24 interface=transcriptomica network=192.168.130.0
add address=192.168.140.1/24 interface=freezers network=192.168.140.0
add address=192.168.200.1/24 interface=invitados network=192.168.200.0
add address=192.168.190.1/24 interface=servers network=192.168.190.0
/ip dhcp-server network
add address=192.168.99.0/24 comment=base dns-server=192.168.99.1 gateway=\
    192.168.99.1
add address=192.168.110.0/24 comment=genomica dns-server=192.168.110.1 \
    gateway=192.168.110.1
add address=192.168.120.0/24 comment=proteomica dns-server=192.168.120.1 \
    gateway=192.168.120.1
add address=192.168.130.0/24 comment=transcriptomica dns-server=192.168.130.1 \
    gateway=192.168.130.1
add address=192.168.140.0/24 comment=freezers dns-server=192.168.140.1 \
    gateway=192.168.140.1
add address=192.168.190.0/24 comment=servers dns-server=192.168.190.1 \
    gateway=192.168.190.1
add address=192.168.200.0/24 comment=invitados dns-server=8.8.8.8,8.8.4.4 \
    gateway=192.168.200.1
/ip dns
set allow-remote-requests=yes servers=190.12.xx.xxx,200.110.xxx.xxx
/ip firewall address-list
add address=192.168.110.0/24 list=internal
add address=192.168.120.0/24 list=internal
add address=192.168.130.0/24 list=internal
add address=192.168.140.0/24 list=internal
add address=192.168.200.0/24 list=external
add address=192.168.190.0/24 list=internal
/ip firewall filter
add action=accept chain=input comment=\
    "Allow established, related & untracked" connection-state=\
    established,related,untracked
add action=accept chain=input comment="Allow mikrotik DNS for internal VLANs" \
    dst-port=53 protocol=udp src-address-list=internal
add action=accept chain=input comment="allow base VLAN full access to router" \
    in-interface-list=MGMT
add action=drop chain=input comment="Drop everything else"
add action=accept chain=forward comment=\
    "Allow established,related & untracked" connection-state=\
    established,related,untracked
add action=accept chain=forward comment=\
    "VLANs can only access Internet, initially" connection-state=new \
    in-interface-list=VLANS out-interface-list=WAN
add action=drop chain=forward comment="Drop everything else"
/ip firewall nat
add action=masquerade chain=srcnat ipsec-policy=out,none out-interface-list=\
    WAN
/ip route
add distance=1 gateway=190.111.xxx.xx
/system identity
set name=CCR2004
/tool mac-server
set allowed-interface-list=MGMT
/tool mac-server mac-winbox
set allowed-interface-list=MGMT


En el CRS312 como port controller:
Código:
# jan/03/1970 02:39:12 by RouterOS 7.1.3
# software id = 1NBJ-xxx
#
# model = CRS312-4C+8XG
# serial number = D84B0F0xxxx
/interface bridge
add name=bridge
/interface ethernet
set [ find default-name=combo1 ] comment=2CCR
set [ find default-name=combo2 ] comment=2NAS_CEDIE
set [ find default-name=combo3 ] comment=2NAS_UIT
set [ find default-name=combo4 ] comment=2CRS326
set [ find default-name=ether9 ] comment=ether_mgmt
/interface vlan
add interface=bridge name=base vlan-id=99
/interface list
add name=MGMT
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge interface=pe1-ether1
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=pe1-ether2 pvid=190
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=pe1-ether3 pvid=190
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=pe1-ether4 pvid=190
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=pe1-ether5 pvid=190
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=pe1-ether6 pvid=190
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=pe1-ether7 pvid=190
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=pe1-ether8 pvid=190
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=pe1-ether9 pvid=110
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=pe1-ether10 pvid=110
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=pe1-ether11 pvid=110
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=pe1-ether12 pvid=110
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=pe1-ether13 pvid=110
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=pe1-ether14 pvid=110
add bridge=bridge interface=pe1-ether15
add bridge=bridge interface=pe1-ether16
add bridge=bridge interface=pe1-ether17
add bridge=bridge interface=pe1-ether18
add bridge=bridge interface=pe1-ether19
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=pe1-ether20 pvid=120
add bridge=bridge interface=pe1-ether21
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=pe1-ether22 pvid=130
add bridge=bridge interface=pe1-ether23
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=pe1-ether24 pvid=140
add bridge=bridge interface=pe1-sfpplus2
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether1 pvid=190
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether2 pvid=190
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether3 pvid=190
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether4 pvid=190
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether5 pvid=190
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether6 pvid=190
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether7 pvid=190
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether8 pvid=190
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether9 pvid=99
add bridge=bridge frame-types=admit-only-vlan-tagged interface=combo1
/interface bridge port-controller
set bridge=bridge cascade-ports=combo4 switch=switch1
/ip neighbor discovery-settings
set discover-interface-list=MGMT
/interface bridge vlan
add bridge=bridge tagged=combo1,bridge vlan-ids=99
add bridge=bridge tagged=combo1 vlan-ids=110
add bridge=bridge tagged=combo1 vlan-ids=120
add bridge=bridge tagged=combo1 vlan-ids=130
add bridge=bridge tagged=combo1 vlan-ids=140
add bridge=bridge tagged=combo1 vlan-ids=200
add bridge=bridge tagged=combo1 vlan-ids=190
/interface list member
add interface=base list=MGMT
/ip address
add address=192.168.99.2/24 interface=base network=192.168.99.0
/ip route
add distance=1 gateway=192.168.99.1
/system identity
set name=CRS312
/system routerboard settings
set boot-os=router-os
/system swos
set allow-from-ports=p1,p2,p3,p4,p5,p6,p7,p8,p9,p10,p11,p12 identity=\
    sw312_uit static-ip-address=10.0.1.2
/tool mac-server
set allowed-interface-list=MGMT
/tool mac-server mac-winbox
set allowed-interface-list=MGMT

Al CRS326 no se como conectarme para hacerle un export.

en el wAP:
Código:
# jan/02/1970 00:01:11 by RouterOS 7.1.3
# software id = RW9V-xxxx
# model = RBwAPG-5HacD2HnD
# serial number = E4640Ezxxzxx
/interface bridge
add admin-mac=2C:C8:1B:AB:02:xx auto-mac=no comment=defconf name=bridgeLocal
/interface wireless
# managed by CAPsMAN
set [ find default-name=wlan1 ] ssid=MikroTik
# managed by CAPsMAN
set [ find default-name=wlan2 ] ssid=MikroTik
/interface vlan
add interface=bridgeLocal name=base vlan-id=99
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/interface bridge port
add bridge=bridgeLocal comment=defconf interface=ether1
add bridge=bridgeLocal comment=defconf interface=ether2
/interface wireless cap
#
set bridge=bridgeLocal discovery-interfaces=base enabled=yes interfaces=\
    wlan1,wlan2
/ip dhcp-client
add comment=defconf interface=base
/system routerboard settings
set cpu-frequency=auto


Como la ves? agregue una vlan mas (190) siguiendo el posteo de CAPsMAN, me parecio una buena idea hacer una vlan solo para servidores y acceder solo los admin y unos cuantos usuarios que me imagino lo filtro por firewall no?

Saludos
 
Algunas cosillas:

Tema CAPsMAN: ajústalo a tu necesidad. No recuerdo cuántos APs tenías (por las reglas de provisioning, parece que sólo uno), pero dependiendo del número, así te harán falta canales. Y, de la misma manera, la potencia de los mismos. En el caso del compañero, he bajado la potencia de sus APs a un cuarto de la potencia nominal. (14dBm frente a los 20dBm que puedes configurar en esa banda). Pero, si sólo tienes uno, no le toques el parámetro "tx-power", y déjalo que coja los 20dBm que tiene de serie.
Para la expresión regular de la wifi de invitados, usa los límites de inicio (^) y fin ($) para la expresión regular. Quedaría así: ssid-regexp="^invitados_uit\$". Una vez tengas el CAP y CAPsMAN comunicados por la VLAN base, puedes prohibir la comunicación por nada más que esa interfaz (en mi último post para @arubinop puedes ver de lo que te hablo). Y generar certificados, aunque esto no lo haría hasta que no tengas claro si vas a meter más APs en la ecuación.

Por lo demás, el router tiene muy buena pinta. Te queda decidir cómo comunicas entre sí las redes. Por ejemplo, yo añadiría, como poco, esta regla para que desde "base" llegues a todas las demás:
Código:
/ip firewall filter
add action=accept chain=forward comment=\
"admin: base vlan can access everything" connection-state=\
new in-interface-list=MGMT

Esa regla iría antes de la regla de drop general del chain de forward (la última). El resto, ya a tu elección.


El switch principal, el CRS312, lo veo perfecto. Sólo te quedaría meter el ingress-filtering=yes en el puerto trunk, pero esto hazlo cuando ya tengas todos los equipos configurados y comunicados entre sí, no te vayas a quedar sin acceso al CRS326.

Si no tienes acceso al otro switch, intenta conectarte a él directo por cable y entrar por MAC, o bien usando la herramienta del MAC telnet, vía IP -> Neighbor. Como ves, la config del otro equipo es muy sencilla, sólo necesitas meter la VLAN 99 y ponerlo a disposición del switch principal (que creo que ya lo tienes)


Saludos!
 
buenas pokoyo! Tema AP por ahora tengo uno solo que lo montare en el medio de la planta baja... en el hueco de la escalera cosa de que llegue algo a la planta alta (la gran mayoria de los usuarios va cableado, a futuro le agregaria otro AP). Ya le volvi al default el tx-power y lo del ssid-regexp me quedo colgado que fui siguiendo el post... me aconsejas que ponga todo lo que se pueda en variables?

Ahora estoy terminando de seguir el hilo de los CapsMan en red-capsman-caps-hap-ac2-oficinas. En tu post manual-mikrotik-manejo-aps-usando-capsman usas un bridge para los invitados... me recomendas que haga lo mismo? (perdon si es muy basica la pregunta pero por ahi me mareo con tanta cosa nueva).
El switch principal, el CRS312, lo veo perfecto. Sólo te quedaría meter el ingress-filtering=yes en el puerto trunk, pero esto hazlo cuando ya tengas todos los equipos configurados y comunicados entre sí, no te vayas a quedar sin acceso al CRS326.
perfecto, esto a lo ultimo.
Por lo demás, el router tiene muy buena pinta. Te queda decidir cómo comunicas entre sí las redes. Por ejemplo, yo añadiría, como poco, esta regla para que desde "base" llegues a todas las demás:

Código:
/ip firewall filter
add action=accept chain=forward comment=\
"admin: base vlan can access everything" connection-state=\
new in-interface-list=MGMT
Agregada la regla. La comunicacion entre Vlans creo que va a ser por ahora que todas solo salgan a internet. A futuro disponibilizaria un servidor de archivos por cada sector.

Saludos!
 
No, tú manejas VLANs y las filtras todas en un bridge, no necesitas crear otro bridge para nada, puesto que cada sub-grupo va en su vlan correspondiente. Lo del tema de la expresión regular es porque lo que has puesto no es una expresión regular, sino un string directamente. Pero bueno, prueba, y si te funciona como lo tenías, lo dejas así y listo. Te paso un pantallazo de cómo se ve en winbox, que el export puede resultarte confuso con los símbolos de límite para la expresión regular.

1649351832947.png


Saludos!
 
Buenas! aca trabado... No logro hacer que se vea la interfaz del CAP en el CAPsMAN:

ccr2004_capman.png

ccr2004_cap2.png


En el AP tengo:
ap.png


no se que estoy haciendo mal... yo al AP lo conecte en el port-extender-eth23 pero creo que nunca le puse en el CRS312 que iba a estar en trunk... ahora me fijo

saludos
 
El switch principal, el CRS312, lo veo perfecto. Sólo te quedaría meter el ingress-filtering=yes en el puerto trunk, pero esto hazlo cuando ya tengas todos los equipos configurados y comunicados entre sí, no te vayas a quedar sin acceso al CRS326.
Al CRS326 no pude acceder desde la primer configuración... desde que lo puse en port-extender ya no pude acceder mas...
 
Revisa que en el AP no tengas CAPsMAN arrancado, no me encajan las dos interfaces cap1 y cap2 que están en la pestaña CAPsMAN del segundo pantallazo del AP que me mandas. Bórralas.

Por otro lado, el puerto donde se está conectando el CAP con tu red, ha de llevar la VLAN 99 en modo trunk, para que "encaje" con lo que tenemos configurado (que a la vlan 99 sólo se llega en modo acceso desde un único puerto en el CCR de management, todo lo demás va interconectado en modo trunk). Simplemente, asegúrate de que el puerto al que lo conectes esté dentro del bridge del CRS312, sin PVID, y taggeas ese puerto en la tabla de vlans del bridge (Interface -> bridge -> vlan), para la VLAN 99 (ahora mismo sólo está para combo1 y bridge)

Saludos!
 
Sigo sin poder ver el AP desde el CAPsMAN en el CCR2004.
Quite el bridge en el CAPSMAN...
1649778315938.png

El neighbors me reconoce mi laptop nomas pero yo puedo acceder por ipv6 al crs312 desde el ccr2004. Tiene puesta como inteface MGMT en ambos equipos.
ccr224_neigh.png



En el CRS312 probe en ponerle o sacarle el puerto pe1-ether23 y tampoco me levanta el AP en el CCR...

crs312_7.2.png



1649778141476.png


Actualice todo a la 7.2 y tanto el CRS326 y el wAP use los scripts para resetaearlos...
Alguna sugerencia?

Saludos
 
Sigo sin poder ver el AP desde el CAPsMAN en el CCR2004.
Quite el bridge en el CAPSMAN...
Ver el adjunto 94086
El neighbors me reconoce mi laptop nomas pero yo puedo acceder por ipv6 al crs312 desde el ccr2004. Tiene puesta como inteface MGMT en ambos equipos.
Ver el adjunto 94077


En el CRS312 probe en ponerle o sacarle el puerto pe1-ether23 y tampoco me levanta el AP en el CCR...

Ver el adjunto 94080


Ver el adjunto 94083

Actualice todo a la 7.2 y tanto el CRS326 y el wAP use los scripts para resetaearlos...
Alguna sugerencia?

Saludos
Dos cosas:

al puerto pe1-ether23 le dejas con el PVID=1 y con el frame frame-types=admit-only-vlan-tagged, pero le quitas el flag de "ingress-filtering", puesto que los puertos extendidos no soportan ese flag.

Si te sigue sin funcionar, asegúrate de estar cargando en el CAP la configuración que te mandé por privado. La posteo aquí igualmente:
Código:
/interface bridge
add name=bridge
/interface vlan
add interface=bridge name=base vlan-id=99
/interface bridge port
add bridge=bridge comment=defconf interface=ether1
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge interface=wlan1
add bridge=bridge interface=wlan2
/interface wireless cap
set bridge=bridge discovery-interfaces=base enabled=yes \
    interfaces=wlan1,wlan2
/ip address
add address=192.168.99.4/24 interface=base
/ip route
add distance=1 gateway=192.168.99.1
/system clock
set time-zone-name=America/Argentina/Buenos_Aires
/system identity
set name=wAP1

Si sigue sin funcionar, la alternativa es que lo conectemos a uno de los puertos del CRS-312, y que taggeemos la VLAN sobre dicho puerto, para ver si el error lo tenemos en el 312 o en el 326.

Saludos!
 
Código:
Código:
/interface bridge
add name=bridge
/interface vlan
add interface=bridge name=base vlan-id=99
/interface bridge port
add bridge=bridge comment=defconf interface=ether1
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge interface=wlan1
add bridge=bridge interface=wlan2
/interface wireless cap
set bridge=bridge discovery-interfaces=base enabled=yes \
    interfaces=wlan1,wlan2
/ip address
add address=192.168.99.4/24 interface=base
/ip route
add distance=1 gateway=192.168.99.1
/system clock
set time-zone-name=America/Argentina/Buenos_Aires
/system identity
set name=wAP1
a ese bridge del AP le debo de habilitar el vlan filtering admit-all yes pvid 1??
 
a ese bridge del AP le debo de habilitar el vlan filtering admit-all yes pvid 1??
Nop, el AP no necesita filtrar VLANs. Le llega la de administración, y con eso le basta y le sobra para enlazar con el CAPsMAN.

Saludos!
 
Hola @pokoyo! como estas? Espero que muy bien. He estado tocando lo de auto negociacion de los cables dac, y depende que parametro toque veo una u otra cosa.

Si sigue sin funcionar, la alternativa es que lo conectemos a uno de los puertos del CRS-312, y que taggeemos la VLAN sobre dicho puerto, para ver si el error lo tenemos en el 312 o en el 326.
Ahora conecte el cap al puerto ether8 del CRS312 y puedo ver desde el neihgbor list del CCR al wap,

neighbor.png
pero sigo sin ver las interfaces del CAP...

desde el puerto ether1 del ccr2004 ahora veo el crs312 y el wap..
Captura de pantalla de 2022-04-20 09-51-15.png


alguna sugerencia? Saludos
 
Hola @pokoyo! como estas? Espero que muy bien. He estado tocando lo de auto negociacion de los cables dac, y depende que parametro toque veo una u otra cosa.


Ahora conecte el cap al puerto ether8 del CRS312 y puedo ver desde el neihgbor list del CCR al wap,

Ver el adjunto 94287pero sigo sin ver las interfaces del CAP...

desde el puerto ether1 del ccr2004 ahora veo el crs312 y el wap..
Ver el adjunto 94290

alguna sugerencia? Saludos
Listo, solucionado, puedo ver las interfaces CAP en el CCR2004. deshabilite y habilite el provisionamiento y levanto.

1650462641092.png

voy a seguir indagando porque no lo toma desde el port-extender...
 
Hola @pokoyo! como estas? Espero que muy bien. He estado tocando lo de auto negociacion de los cables dac, y depende que parametro toque veo una u otra cosa.


Ahora conecte el cap al puerto ether8 del CRS312 y puedo ver desde el neihgbor list del CCR al wap,

Ver el adjunto 94287pero sigo sin ver las interfaces del CAP...

desde el puerto ether1 del ccr2004 ahora veo el crs312 y el wap..
Ver el adjunto 94290

alguna sugerencia? Saludos
Lo único que se me ocurre es que configuremos distintos puertos trunk para enlazar los equipos, tal que descartemos que sean los cables.

Saludos!
 
Arriba