presentacion y consulta de setup

Bueno aca vamos. Saque el Port-Extender... quizas en un futuro lo vuelva a intentar pero quiero avanzar. A ver que te parece esta configuración @pokoyo

En el CCR2004:
Código:
# jan/06/1970 11:28:20 by RouterOS 7.2
# software id = 96FG-xxxx
#
# model = CCR2004-1G-12S+2XS
# serial number = F0740E5xxxx
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2412 name=2ghz-ch01-20MHz
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2437 name=2ghz-ch06-20MHz
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2462 name=2ghz-ch11-20MHz
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ce \
    frequency=5180 name=5ghz-ch036-40MHz
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ce \
    frequency=5220 name=5ghz-ch44-40MHz
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ce \
    frequency=5500 name=5ghz-ch100-40MHz
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=eC \
    frequency=5700 name=5ghz-ch140-40MHz
/interface bridge
add frame-types=admit-only-vlan-tagged name=bridge vlan-filtering=yes
/interface ethernet
set [ find default-name=ether1 ] comment=eth_mgmt
set [ find default-name=sfp-sfpplus1 ] auto-negotiation=no comment=eth_wan \
    rx-flow-control=on tx-flow-control=on
set [ find default-name=sfp-sfpplus2 ] advertise="10M-half,10M-full,100M-full,\
    1000M-half,1000M-full,10000M-full,2500M-full,5000M-full" comment=\
    dac_sw312 rx-flow-control=on speed=10Gbps tx-flow-control=on
/interface vlan
add interface=bridge name=base vlan-id=99
add interface=bridge name=freezers vlan-id=140
add interface=bridge name=genomica vlan-id=110
add interface=bridge name=invitados vlan-id=200
add interface=bridge name=proteomica vlan-id=120
add interface=bridge name=servers vlan-id=190
add interface=bridge name=transcriptomica vlan-id=130
/caps-man datapath
add bridge=bridge client-to-client-forwarding=no name=invitados-dp vlan-id=\
    200 vlan-mode=use-tag
add bridge=bridge client-to-client-forwarding=yes name=genomica-dp vlan-id=\
    110 vlan-mode=use-tag
add bridge=bridge client-to-client-forwarding=yes name=metabolomica-dp \
    vlan-id=130 vlan-mode=use-tag
add bridge=bridge client-to-client-forwarding=yes name=proteomica-dp vlan-id=\
    120 vlan-mode=use-tag
add bridge=bridge client-to-client-forwarding=yes name=ubit-dp vlan-id=190 \
    vlan-mode=use-tag
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=invitados-sp
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=genomica-sp
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=proteomica-sp
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=metabolomica-sp
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=ubit-sp
/caps-man configuration
add channel=2ghz-ch01-20MHz country=argentina datapath=genomica-dp \
    installation=indoor mode=ap name=AP1-2ghz-genomica security=genomica-sp \
    ssid=genomica_uit
add channel=2ghz-ch11-20MHz country=argentina datapath=genomica-dp \
    installation=indoor mode=ap name=AP3-2ghz-genomica security=genomica-sp \
    ssid=genomica_uit
add channel=2ghz-ch06-20MHz country=argentina datapath=genomica-dp \
    installation=indoor mode=ap name=AP2-2ghz-genomica security=genomica-sp \
    ssid=genomica_uit
add channel=5ghz-ch036-40MHz country=argentina datapath=genomica-dp \
    installation=indoor mode=ap name=AP1-5ghz-genomica security=genomica-sp \
    ssid=genomica_uit
add channel=5ghz-ch44-40MHz country=argentina datapath=genomica-dp \
    installation=indoor mode=ap name=AP2-5ghz-genomica security=genomica-sp \
    ssid=genomica_uit
add channel=5ghz-ch100-40MHz country=argentina datapath=genomica-dp \
    installation=indoor mode=ap name=AP3-5ghz-genomica security=genomica-sp \
    ssid=genomica_uit
add channel=5ghz-ch140-40MHz country=argentina datapath=genomica-dp \
    installation=indoor mode=ap name=AP4-5ghz-genomica security=genomica-sp \
    ssid=genomica_uit
add country=argentina datapath=metabolomica-dp installation=indoor mode=ap \
    name=APx-Xghz-metabolomica security=metabolomica-sp ssid=metabolomica_uit
add country=argentina datapath=invitados-dp installation=indoor mode=ap name=\
    APx-Xghz-invitados security=invitados-sp ssid=invitados_uit
add country=argentina datapath=ubit-dp installation=indoor mode=ap name=\
    APx-Xghz-ubit security=ubit-sp ssid=ubit
/interface list
add name=WAN
add name=MGMT
add name=VLANS
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=base ranges=192.168.99.10-192.168.99.254
add name=genomica ranges=192.168.110.2-192.168.110.254
add name=proteomica ranges=192.168.120.2-192.168.120.254
add name=transcriptomica ranges=192.168.130.2-192.168.130.254
add name=freezers ranges=192.168.140.2-192.168.140.254
add name=invitados ranges=192.168.200.2-192.168.200.254
add name=servers ranges=192.168.190.2-192.168.190.254
/ip dhcp-server
add address-pool=base interface=base name=base
add address-pool=genomica interface=genomica name=genomica
add address-pool=proteomica interface=proteomica name=proteomica
add address-pool=freezers interface=freezers name=freezers
add address-pool=invitados interface=invitados name=invitados
add address-pool=servers interface=servers name=dhcp-servers
add address-pool=transcriptomica interface=transcriptomica name=\
    transcriptomica
/port
set 0 name=serial0
set 1 name=serial1
/caps-man access-list
add action=accept allow-signal-out-of-range=10s comment=\
    "Wifi invitados, horario UIT 8 a 20hs; L-V" disabled=no ssid-regexp=\
    "^invitados_uit\$" time=8h-20h,mon,tue,wed,thu,fri
add action=reject allow-signal-out-of-range=10s comment=\
    "Wifi invitados prohibida fuera de horario" disabled=no ssid-regexp=\
    "^invitados_uit\$"
/caps-man manager
set enabled=yes
/caps-man manager interface
set [ find default=yes ] forbid=yes
add disabled=no interface=base
/caps-man provisioning
add action=create-dynamic-enabled comment=AP1 master-configuration=\
    AP1-2ghz-genomica name-format=prefix-identity name-prefix=2ghz radio-mac=\
    2C:C8:1B:AB:xx:xx slave-configurations=\
    APx-Xghz-metabolomica,*10,APx-Xghz-invitados,APx-Xghz-ubit
add action=create-dynamic-enabled comment=AP1 master-configuration=\
    AP1-5ghz-genomica name-format=prefix-identity name-prefix=5ghz radio-mac=\
    2C:C8:1B:AB:xx:xx slave-configurations=\
    APx-Xghz-metabolomica,*10,APx-Xghz-invitados,APx-Xghz-ubit
/interface bridge port
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether1 pvid=99
add bridge=bridge frame-types=admit-only-vlan-tagged interface=sfp-sfpplus2
add bridge=bridge frame-types=admit-only-vlan-tagged interface=sfp-sfpplus1
/ip neighbor discovery-settings
set discover-interface-list=all
/interface bridge vlan
add bridge=bridge tagged=bridge,sfp-sfpplus2,sfp-sfpplus1 vlan-ids=99
add bridge=bridge tagged=bridge,sfp-sfpplus2,sfp-sfpplus1 vlan-ids=110
add bridge=bridge tagged=bridge,sfp-sfpplus2,sfp-sfpplus1 vlan-ids=120
add bridge=bridge tagged=bridge,sfp-sfpplus2,sfp-sfpplus1 vlan-ids=130
add bridge=bridge tagged=bridge,sfp-sfpplus2,sfp-sfpplus1 vlan-ids=140
add bridge=bridge tagged=bridge,sfp-sfpplus2,sfp-sfpplus1 vlan-ids=200
add bridge=bridge tagged=bridge,sfp-sfpplus2,sfp-sfpplus1 vlan-ids=190
/interface list member
add interface=sfp-sfpplus1 list=WAN
add interface=base list=MGMT
add interface=genomica list=VLANS
add interface=proteomica list=VLANS
add interface=transcriptomica list=VLANS
add interface=freezers list=VLANS
add interface=invitados list=VLANS
add interface=servers list=VLANS
/interface ovpn-server server
set auth=sha1,md5
/ip address
add address=192.168.99.1/24 interface=base network=192.168.99.0
add address=192.168.110.1/24 interface=genomica network=192.168.110.0
add address=192.168.120.1/24 interface=proteomica network=192.168.120.0
add address=192.168.130.1/24 interface=transcriptomica network=192.168.130.0
add address=192.168.140.1/24 interface=freezers network=192.168.140.0
add address=192.168.200.1/24 interface=invitados network=192.168.200.0
add address=192.168.190.1/24 interface=servers network=192.168.190.0
/ip dhcp-server network
add address=192.168.99.0/24 comment=base dns-server=192.168.99.1 gateway=\
    192.168.99.1
add address=192.168.110.0/24 comment=genomica dns-server=192.168.110.1 \
    gateway=192.168.110.1
add address=192.168.120.0/24 comment=proteomica dns-server=192.168.120.1 \
    gateway=192.168.120.1
add address=192.168.130.0/24 comment=transcriptomica dns-server=192.168.130.1 \
    gateway=192.168.130.1
add address=192.168.140.0/24 comment=freezers dns-server=192.168.140.1 \
    gateway=192.168.140.1
add address=192.168.190.0/24 comment=servers dns-server=192.168.190.1 \
    gateway=192.168.190.1
add address=192.168.200.0/24 comment=invitados dns-server=8.8.8.8,8.8.4.4 \
    gateway=192.168.200.1
/ip dns
set allow-remote-requests=yes servers=190.12.96.251,200.110.216.250
/ip firewall address-list
add address=192.168.110.0/24 list=internal
add address=192.168.120.0/24 list=internal
add address=192.168.130.0/24 list=internal
add address=192.168.140.0/24 list=internal
add address=192.168.200.0/24 list=external
add address=192.168.190.0/24 list=internal
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: Allow established, related & untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment=\
    "dns: Allow mikrotik DNS for internal VLANs" dst-port=53 protocol=udp \
    src-address-list=internal
add action=accept chain=input comment=\
    "admin: allow base VLAN full access to router" in-interface-list=MGMT
add action=accept chain=forward comment=\
    "defconf: Allow established,related & untracked" connection-state=\
    established,related,untracked
add action=accept chain=forward comment=\
    "vlan: VLANs can only access Internet, initially" connection-state=new \
    in-interface-list=VLANS out-interface-list=WAN
add action=accept chain=forward comment=\
    "Admin: base vlan can access everything" connection-state=new \
    in-interface-list=MGMT
add action=drop chain=forward comment="security: Drop everything else"
/ip firewall nat
add action=masquerade chain=srcnat ipsec-policy=out,none out-interface-list=\
    WAN
/ip route
add distance=1 gateway=190.11x.2xx.xx
/system identity
set name=CCR2004
/tool mac-server
set allowed-interface-list=MGMT
/tool mac-server mac-winbox
set allowed-interface-list=MGMT

En el CRS312

Código:
# apr/14/2022 10:43:54 by RouterOS 7.2
# software id = 1NBJ-xxx
#
# model = CRS312-4C+8XG
# serial number = D84B0F05xxxx
/interface bridge
add name=bridge vlan-filtering=yes
/interface ethernet
set [ find default-name=combo1 ] combo-mode=sfp comment=2CCR rx-flow-control=\
    on tx-flow-control=on
set [ find default-name=combo2 ] combo-mode=sfp comment=2NAS_CEDIE
set [ find default-name=combo3 ] combo-mode=sfp comment=2NAS_UIT \
    rx-flow-control=on tx-flow-control=on
set [ find default-name=combo4 ] combo-mode=sfp comment=2CRS326 \
    rx-flow-control=on tx-flow-control=on
set [ find default-name=ether8 ] rx-flow-control=on tx-flow-control=on
set [ find default-name=ether9 ] comment=ether_mgmt
/interface vlan
add interface=bridge name=base vlan-id=99
/interface list
add name=MGMT
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether1 pvid=190
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether2 pvid=190
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether3 pvid=190
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether4 pvid=190
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether5 pvid=190
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether6 pvid=190
add bridge=bridge frame-types=admit-only-vlan-tagged interface=ether7
add bridge=bridge frame-types=admit-only-vlan-tagged ingress-filtering=no \
    interface=ether8
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether9 pvid=99
add bridge=bridge frame-types=admit-only-vlan-tagged interface=combo1
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=combo2 pvid=190
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=combo3 pvid=190
add bridge=bridge frame-types=admit-only-vlan-tagged interface=combo4
/ip neighbor discovery-settings
set discover-interface-list=all
/interface bridge vlan
add bridge=bridge tagged=combo1,bridge,combo4 vlan-ids=99
add bridge=bridge tagged=ether7 vlan-ids=110
add bridge=bridge tagged=ether7 vlan-ids=120
add bridge=bridge tagged=ether7 vlan-ids=130
add bridge=bridge tagged=ether7 vlan-ids=140
add bridge=bridge tagged=ether7 vlan-ids=200
add bridge=bridge tagged=ether7 vlan-ids=190
/interface list member
add interface=base list=MGMT
/interface ovpn-server server
set auth=sha1,md5
/ip address
add address=192.168.99.2/24 interface=base network=192.168.99.0
/ip route
add distance=1 gateway=192.168.99.1
/system clock
set time-zone-name=America/Argentina/Buenos_Aires
/system identity
set name=CRS312
/system routerboard settings
set boot-os=router-os
/system swos
set allow-from-ports=p1,p2,p3,p4,p5,p6,p7,p8,p9,p10,p11,p12 identity=\
    sw312_uit static-ip-address=10.0.1.2
/tool mac-server
set allowed-interface-list=MGMT
/tool mac-server mac-winbox
set allowed-interface-list=MGMT

En el CRS326:
Código:
# jan/02/1970 00:41:13 by RouterOS 7.2
# software id = 32E4-xxxx
#
# model = CRS326-24G-2S+
# serial number = F5F60FB6xxxx
/interface bridge
add name=bridge vlan-filtering=yes
/interface ethernet
set [ find default-name=ether1 ] comment=ether_mngmt
set [ find default-name=sfp-sfpplus1 ] comment=2CRS
/interface vlan
add interface=bridge name=base vlan-id=99
/interface list
add name=MGMT
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether2 pvid=190
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether3 pvid=190
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether4 pvid=190
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether5 pvid=190
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether6 pvid=190
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether7 pvid=190
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether8 pvid=190
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether9 pvid=110
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether10 pvid=110
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether11 pvid=110
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether12 pvid=110
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether13 pvid=110
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether14 pvid=110
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether20 pvid=120
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether22 pvid=130
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether24 pvid=140
add bridge=bridge frame-types=admit-only-vlan-tagged interface=sfp-sfpplus1
add bridge=bridge frame-types=admit-only-vlan-tagged interface=ether23
/ip neighbor discovery-settings
set discover-interface-list=MGMT
/interface bridge vlan
add bridge=bridge tagged=sfp-sfpplus1,bridge,ether23 vlan-ids=99
add bridge=bridge tagged=sfp-sfpplus1 vlan-ids=110
add bridge=bridge tagged=sfp-sfpplus1 vlan-ids=120
add bridge=bridge tagged=sfp-sfpplus1 vlan-ids=130
add bridge=bridge tagged=sfp-sfpplus1 vlan-ids=140
add bridge=bridge tagged=sfp-sfpplus1 vlan-ids=190
add bridge=bridge tagged=sfp-sfpplus1 vlan-ids=200
/interface list member
add interface=base list=MGMT
/ip address
add address=192.168.99.3/24 interface=base network=192.168.99.0
/ip route
add distance=1 gateway=192.168.99.1
/system identity
set name=CRS326
/system routerboard settings
set boot-os=router-os
/system swos
set allow-from-ports="p1,p2,p3,p4,p5,p6,p7,p8,p9,p10,p11,p12,p13,p14,p15,p16,p\
    17,p18,p19,p20,p21,p22,p23,p24,p25,p26" identity=sw326 static-ip-address=\
    10.0.1.3
/tool mac-server
set allowed-interface-list=MGMT
/tool mac-server mac-winbox
set allowed-interface-list=MGMT

y por ultimo el wAP:
# apr/14/2022 12:49:46 by RouterOS 7.2
# software id = RW9V-xxxx
#
# model = RBwAPG-5HacD2HnD
# serial number = E4640E93xxxx
/interface bridge
add name=bridge
/interface ethernet
set [ find default-name=ether1 ] rx-flow-control=on tx-flow-control=on
/interface wireless
# managed by CAPsMAN
# channel: 2412/20/gn(17dBm), SSID: genomica_uit, CAPsMAN forwarding
set [ find default-name=wlan1 ] ssid=MikroTik
# managed by CAPsMAN
# channel: 5180/20-Ce/ac(14dBm), SSID: genomica_uit, CAPsMAN forwarding
set [ find default-name=wlan2 ] ssid=MikroTik
/interface vlan
add interface=bridge name=base vlan-id=99
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/interface bridge port
add bridge=bridge comment=defconf frame-types=admit-only-vlan-tagged \
ingress-filtering=no interface=ether1
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge interface=wlan1
add bridge=bridge interface=wlan2
/interface wireless cap
#
set bridge=bridge caps-man-addresses=192.168.99.1 discovery-interfaces=base \
enabled=yes interfaces=wlan1,wlan2
/ip address
add address=192.168.99.4/24 interface=base network=192.168.99.0
/ip route
add distance=1 gateway=192.168.99.1
/system clock
set time-zone-name=America/Argentina/Buenos_Aires
/system identity
set name=wAP1


Ahora puedo ver la parte del caps en el CCR2004:
1650639573494.png

y puedo ver los demas equipos en el neighbord:
Captura de pantalla de 2022-04-22 12-00-04.png

Captura de pantalla de 2022-04-22 11-58-37.png


Ahora me quedaria poner todas las reglas de firewall para los equipos especificos? tengo un servidor web, y varios servidores que entro por ssh a algun puerto X. Deberia de fijar las ip de esos equipos en dhcp server -> leases?
estoy viendo de comprarme un map/lite para mi, cosa de llevarme la red a cualquier lado...

como ves la configuracion de arriba?

Saludos!
 
Última edición:
Te paso algunos comentarios:

Router CRR2004
Si sólo tienes un AP, puedes subirle los canales a 80MHz sin problema. Los solemos poner a 40 cuando vas a tener 3-4-5 APs, para tener más canales disponibles. Pero, como de momento tienes un único AP, podrías crear este canal que opera en 80MHz, con extensión automática:
Código:
/caps-man channel
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=XXXX name=5ghz-auto-80

Ojo con tocar el flow-control y el advertise de los puertos ethernet/sfp. Yo no tocaría eso que resalto en negrita:
/interface ethernet
set [ find default-name=ether1 ] comment=eth_mgmt
set [ find default-name=sfp-sfpplus1 ] auto-negotiation=no comment=eth_wan \
rx-flow-control=on tx-flow-control=on
set [ find default-name=sfp-sfpplus2 ] advertise="10M-half,10M-full,100M-full,\
1000M-half,1000M-full,10000M-full,2500M-full,5000M-full" comment=\
dac_sw312 rx-flow-control=on speed=10Gbps tx-flow-control=on


Has metido el que antes era el puerto WAN en el bridge, y le metiste las VLANs encima, como puerto trunk. ¿has cambiado el puerto WAN? Si lo has hecho, modifica la lista WAN, puesto que la usas luego en el firewall
Código:
/interface list member
add interface=sfp-sfpplus1 list=WAN

Tema firewall: sin problema, ahora puedes meterle mano a lo que necesites, si necesitas restringir algún tipo de acceso.
Tema Leases: sí, fija los equipos que sean más estáticos, incluso puedes crearles un nombre de dominio interno en IP -> DNS -> Static. Del tipo "server.lan -> IP", tal que puedas resolverlo por ese nombre corto.
Tema router de viaje: way, el mAP o mAP-Lite son buenos equipos para eso.

CRS312
Una vez tengas los dos switches finos, desactiva también la VLAN por defecto, tal y como hiciste ya en el router: frame-types=admit-only-vlan-tagged, en el siguiente apartado
Código:
/interface bridge
add name=bridge vlan-filtering=yes

Mismo tema que con el router con los flow-control. Mejor no los toques

El neighbor discovery, restríngelo a la lista MGMT, en lugar de discover-interface-list=all
Código:
/ip neighbor discovery-settings
set discover-interface-list=MGMT

El vlan filtering lo tienes bastante raro en ese equipo. Veo que estás taggeando todo en ether7, pero las vlans deberían ir taggeadas todas también sobre el puerto que te une con el router, según tus comentarios, combo1. Si me fío de tus comentarios en las interfaces, combo1 sería la que te une al router y combo4 la que te une al siguiente swith (con otro cable DAC). Si eso es así, el filtrado de VLANs debería pintar tal que así:
Código:
/interface bridge vlan
add bridge=bridge tagged=combo1,combo4,bridge vlan-ids=99
add bridge=bridge tagged=combo1,combo4 vlan-ids=110
add bridge=bridge tagged=combo1,combo4 vlan-ids=120
add bridge=bridge tagged=combo1,combo4 vlan-ids=130
add bridge=bridge tagged=combo1,combo4 vlan-ids=140
add bridge=bridge tagged=combo1,combo4 vlan-ids=200
add bridge=bridge tagged=combo1,combo4 vlan-ids=190

Y luego, seguir una regla muy sencilla (todos con el ingress filtering=yes, es decir, tal que no se muestre en el export)
- Puerto de acceso: PVID=X, siendo X la vlan sobre la que quieres acceso, y frame-types=admit-only-untagged-and-priority-tagged
- Puerto trunk: frame-types=admit-only-vlan-tagged en los puertos, y taggeados en la tabla de VLANs
- Puertos híbridos: PVID=X, siendo X la vlan sobre la que quieres acceso, frame-types=admit-all, y taggeado en la tabla de VLANs con cualquier vlan que quieras que lleve en modo troncal, menos con la que le das acceso.

CRS326
Ese equipo está de 10. Ni lo toques. Sospecho que el wAP va a ether23, ¿es así? Ese puerto podrías dejarle como híbrido en un momento dado, con el frame-types=admit-all. Aunque, tal y como lo tienes, debería funcionar si el wAP está bien configurado con la VLAN en el bridge.

wAP-AC
En ese equipo no necesitas habilitar para nada el filtrado de VLANs (entiendo que su ether2 no lo vas a usar). Debería quedar así:
Código:
# wAP-AC
/interface bridge
add name=bridge

/interface vlan
add interface=bridge name=base vlan-id=99

/interface bridge port
add bridge=bridge interface=ether1
add bridge=bridge interface=ether2
add bridge=bridge interface=wlan1
add bridge=bridge interface=wlan2

/interface wireless cap
set bridge=bridge discovery-interfaces=base \
enabled=yes interfaces=wlan1,wlan2

/ip address
add address=192.168.99.4/24 interface=base network=192.168.99.0

/ip route
add distance=1 gateway=192.168.99.1

/system clock
set time-zone-name=America/Argentina/Buenos_Aires

/system identity
set name=wAP1

Saludos!
 
Hola Pokoyo!

Ojo con tocar el flow-control y el advertise de los puertos ethernet/sfp. Yo no tocaría eso que resalto en negrita:
/interface ethernet
set [ find default-name=ether1 ] comment=eth_mgmt
set [ find default-name=sfp-sfpplus1 ] auto-negotiation=no comment=eth_wan \
rx-flow-control=on tx-flow-control=on
set [ find default-name=sfp-sfpplus2 ] advertise="10M-half,10M-full,100M-full,\
1000M-half,1000M-full,10000M-full,2500M-full,5000M-full" comment=\
dac_sw312 rx-flow-control=on speed=10Gbps tx-flow-control=on
Esto fue porque lei por ahi que el modulo 1000baseT para el puerto wan habia que sacarle el autonegotiation.
El sfp-sfpplus2 quedo asi de ver porque no me tomaba el wAP en el port extender... si yo modificaba algo veia los equipos o no.

Has metido el que antes era el puerto WAN en el bridge, y le metiste las VLANs encima, como puerto trunk. ¿has cambiado el puerto WAN? Si lo has hecho, modifica la lista WAN, puesto que la usas luego en el firewall
Hice eso para corroborar que sean los cables DAC los que no permitian la comunicacion del wAP en el port extender, saque todo y lo puse al modulo 1000BaseT como trunk para conectar el CRS312, capaz q cuando te mande el export me quedo traspapelado y no lo habia corregido.

Tema firewall: sin problema, ahora puedes meterle mano a lo que necesites, si necesitas restringir algún tipo de acceso.
Tema Leases: sí, fija los equipos que sean más estáticos, incluso puedes crearles un nombre de dominio interno en IP -> DNS -> Static. Del tipo "server.lan -> IP", tal que puedas resolverlo por ese nombre corto.
ahora me pongo a configurar el firewall y ver lo de crear el dominio interno total van a ser los servidores que uso yo.
El vlan filtering lo tienes bastante raro en ese equipo. Veo que estás taggeando todo en ether7, pero las vlans deberían ir taggeadas todas también sobre el puerto que te une con el router, según tus comentarios, combo1. Si me fío de tus comentarios en las interfaces, combo1 sería la que te une al router y combo4 la que te une al siguiente swith (con otro cable DAC). Si eso es así, el filtrado de VLANs debería pintar tal que así:
si, esto fue igual que el caso anterior... para corroborar que no eran los cables dac, meti un puerto ether para conectar el crs312 con el 326....

CRS326
Ese equipo está de 10. Ni lo toques. Sospecho que el wAP va a ether23, ¿es así? Ese puerto podrías dejarle como híbrido en un momento dado, con el frame-types=admit-all. Aunque, tal y como lo tienes, debería funcionar si el wAP está bien configurado con la VLAN en el bridge.
es asi. funciona perfecto ahora.

Ahora me anoto las direcciones mac para los servidores que quiero dejar las ip fijas y te mando un export de las reglas del firewall que seguro se pueden mejorar (tengo unos inventos para ver el servidor web desde la lan que es medio chancho me parece)...

Saludos y nuevamente GRACIAS!
 
Buenas! Feliz viernes! Ya puse la estampita de la suerte je je!
WhatsApp Image 2022-04-29 at 11.44.21 AM.jpeg

Tendria lo siguiente:
Descripción
Segmento y Subred
Acceso a
Acceso desde
VPN ?
Segmento VPN
Cola
Límite velocidad
Fasttrack
interfaces​
base​
192.168.99.0/24​
TODO​
NADA​
SI​
?​
NO​
-​
SI​
mgmt​
genomica​
192.168.110.0/24​
Internet, misma vlan, hay una pc que lee de un servidor de storage y a veces acceden x escritorio remoto con anydesk​
Misma VLAN​
NO​
SI​
-​
NO​
crs326:ether [9:14]​
metabolomica​
192.168.120.0/24​
Internet, Misma VLAN​
Misma VLAN​
NO​
-​
SI​
-​
NO​
crs326:ether [20]​
transcriptomica​
192.168.130.0/24​
Internet, misma vlan, 1 pc tiene cliente anydesk​
Misma VLAN​
NO​
-​
SI​
?​
NO​
crs326:ether [22]​
freezers​
192.168.140.0/24​
Internet, esta es una sola pc que a traves de su wifi recibe info de sensores y sale por 2 puertos a la central de alarma​
Misma VLAN, acceso a los proveedores de serv​
SI​
?​
SI​
?​
NO​
crs326:ether [24]​
servidores(ubit)​
192.168.190.0/24​
internet,misma vlan, 1 servidor web que se accede desde lan/wan​
misma vlan, wan (2 clientes en principio, y alguno esporadico para resolver problemas)​
SI​
?​
NO​
?​
SI​
CRS312: ether[1:8] combo[2,3], CRS326: ether[2-8]​
invitados (wifi)​
192,168,200.0/24​
Internet​
NADA​
NO​
-​
SI​
si​
NO​
trunk en ether 23 al wAP

Situación actual: somos 2 personas que nos conectamos remoto por ssh a los servidores y trabajamos ahí (entorno linux). El resto de los habitantes del lugar usan zoom/internet/y 2 computadoras usan un escritorio remoto tipo anydesk (si hay alternativas mas seguras, bienvenido sean PC windows). 1 es una pc de un equipo y la otra es una pc que tiene un windows y comparte archivos con una carpeta de un servidor de "resultados".

En su momento un amigo me ayudo a configurar un mikrotik y quedo esta tabla de firewall que seguro no es lo mejor. Lo mas chancho es lo del servidor web (desde la lan tengo que ponerle el puerto 88 en el navegador). Y como venia de un router comunacho hay veces que accedia por el 8080 para administrar algun q otro puerto.

Código:
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1_WAN
add action=dst-nat chain=dstnat comment=bplat dst-port=80 in-interface=\
    ether1_WAN protocol=tcp to-addresses=192.168.1.148 to-ports=80
add action=dst-nat chain=dstnat comment="bplat desde LAN" dst-port=88 \
    protocol=tcp to-addresses=192.168.1.148 to-ports=80
add action=dst-nat chain=dstnat disabled=yes dst-port=2181 protocol=tcp \
    to-addresses=192.168.1.148 to-ports=2181
add action=masquerade chain=srcnat comment=\
    "bplat desde la lan con ip publica" dst-address=192.168.1.148 dst-port=80 \
    protocol=tcp src-address=192.168.1.0/24
add action=dst-nat chain=dstnat comment=gauss dst-port=222 in-interface=\
    ether1_WAN protocol=tcp to-addresses=192.168.1.203 to-ports=22
add action=dst-nat chain=dstnat comment="gauss\
    \n" dst-port=222 protocol=tcp to-addresses=192.168.1.203 to-ports=22
add action=masquerade chain=srcnat comment="gauss from lan, ping wan" \
    dst-address=192.168.1.203 dst-port=22 protocol=tcp src-address=\
    192.168.1.0/24
add action=dst-nat chain=dstnat comment=freeze disabled=yes dst-port=1320 \
    in-interface=ether1_WAN protocol=tcp to-addresses=192.168.1.203 to-ports=\
    22
add action=dst-nat chain=dstnat comment=freezer dst-port=8787 in-interface=\
    ether1_WAN protocol=tcp to-addresses=192.168.1.250 to-ports=8787
add action=dst-nat chain=dstnat comment=freezer dst-port=8788 in-interface=\
    ether1_WAN protocol=tcp to-addresses=192.168.1.250 to-ports=8788
add action=dst-nat chain=dstnat comment=solari dst-port=1250 in-interface=\
    ether1_WAN protocol=tcp to-addresses=192.168.1.109 to-ports=22
add action=dst-nat chain=dstnat comment=paenza dst-port=1440 in-interface=\
    ether1_WAN protocol=tcp to-addresses=192.168.1.141 to-ports=22
add action=dst-nat chain=dstnat comment=bplat_noweb dst-port=1480 \
    in-interface=ether1_WAN protocol=tcp to-addresses=192.168.1.148 to-ports=\
    22
add action=dst-nat chain=dstnat comment=bplat dst-port=8200 in-interface=\
    ether1_WAN protocol=tcp to-addresses=192.168.1.148 to-ports=8161
add action=dst-nat chain=dstnat comment=hv_bplat dst-port=1100 in-interface=\
    ether1_WAN protocol=tcp to-addresses=192.168.1.108 to-ports=22
add action=dst-nat chain=dstnat comment=hnrg-pipeline-bitgenia dst-port=22 \
    in-interface=ether1_WAN protocol=tcp to-addresses=192.168.1.149 to-ports=\
    22
add action=dst-nat chain=dstnat comment=morty dst-port=1380 in-interface=\
    ether1_WAN protocol=tcp to-addresses=192.168.1.138 to-ports=22
add action=dst-nat chain=dstnat comment=turing disabled=yes dst-port=8420 \
    protocol=tcp to-addresses=192.168.1.132 to-ports=22
add action=dst-nat chain=dstnat comment=bplat disabled=yes dst-address-list=\
    public-ip dst-port=80 protocol=tcp to-addresses=192.168.1.148 to-ports=80
add action=dst-nat chain=dstnat dst-port=13390 in-interface=ether1_WAN \
    protocol=tcp to-addresses=192.168.1.139 to-ports=22
add action=masquerade chain=srcnat comment=masquerade disabled=yes \
    out-interface=ether1_WAN src-address=192.168.1.0/24
add action=dst-nat chain=dstnat comment=curie dst-port=10130 in-interface=\
    ether1_WAN protocol=tcp to-addresses=192.168.1.130 to-ports=22
add action=dst-nat chain=dstnat comment="turing2\
    \n" dst-port=8121 in-interface=ether1_WAN log=yes protocol=tcp \
    to-addresses=192.168.1.212 to-ports=22
add action=dst-nat chain=dstnat comment=\
    "turing2 desde lan hacia puerto externo" dst-port=8121 protocol=tcp \
    to-addresses=192.168.1.212 to-ports=22
add action=masquerade chain=srcnat comment="turing2 desde lan a wan" \
    dst-address=192.168.1.212 dst-port=22 protocol=tcp src-address=\
    192.168.1.0/24
/ip firewall raw
add action=drop chain=prerouting comment=\
    "regla blacklist lechasa la conexion con el contenido de la blacklist\
    \n" disabled=yes src-address-list=blacklist
/ip route
add distance=1 gateway=190.111.xxxx.x
add check-gateway=ping distance=1 dst-address=190.111.xxx.xxx/32 gateway=\
    192.168.1.148
Hay un servidor web que se usa tanto en la lan como desde fuera, Hoy esta en la 192.168.1.148. ese servidor tiene abierto otros puertos para que entren a administrarlo cuando se cae. Lo mismo ocurre con la pc que hace de alarma para los freezers. A esas conexiones debería de asignarles peers con el wireguard para que sea segura su conexión y darle solo acceso a la pc/puerto que necesiten? El resto de puertos son los q usamos hoy por hoy con el otro usuario de los servidores. Ahora pensando se me ocurre que podría generar una vlan mas y poner las pc que por ahí usan los becarios, cosa de separar algo así como producción y desarrollo... que opinas?

En el CCR2004 tengo esto por lo pronto:

Código:
# jan/10/1970 11:09:52 by RouterOS 7.2
# software id = 96FG-xxx
#
# model = CCR2004-1G-12S+2XS
# serial number = F0740Exxxx
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2412 name=2ghz-ch01-20MHz
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2437 name=2ghz-ch06-20MHz
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2462 name=2ghz-ch11-20MHz
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ce \
    frequency=5180 name=5ghz-ch036-40MHz
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ce \
    frequency=5220 name=5ghz-ch44-40MHz
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ce \
    frequency=5500 name=5ghz-ch100-40MHz
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=eC \
    frequency=5700 name=5ghz-ch140-40MHz
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=XXXX name=\
    5ghz-auto-80
/interface bridge
add frame-types=admit-only-vlan-tagged name=bridge vlan-filtering=yes
/interface ethernet
set [ find default-name=ether1 ] comment=eth_mgmt
set [ find default-name=sfp-sfpplus1 ] auto-negotiation=no comment=eth_wan \
set [ find default-name=sfp-sfpplus2 ] advertise="10M-half,10M-full,100M-full,\
    1000M-half,1000M-full,10000M-full,2500M-full,5000M-full" comment=\
    dac_sw312 speed=10Gbps
/interface wireguard
add listen-port=50666 mtu=1420 name=wireguard-rw
/interface vlan
add interface=bridge name=base vlan-id=99
add interface=bridge name=freezers vlan-id=140
add interface=bridge name=genomica vlan-id=110
add interface=bridge name=invitados vlan-id=200
add interface=bridge name=metabolomica vlan-id=120
add interface=bridge name=servers vlan-id=190
add interface=bridge name=transcriptomica vlan-id=130
/caps-man datapath
add bridge=bridge client-to-client-forwarding=no name=invitados-dp vlan-id=\
    200 vlan-mode=use-tag
add bridge=bridge client-to-client-forwarding=yes name=genomica-dp vlan-id=\
    110 vlan-mode=use-tag
add bridge=bridge client-to-client-forwarding=yes name=metabolomica-dp \
    vlan-id=130 vlan-mode=use-tag
add bridge=bridge client-to-client-forwarding=yes name=trasncriptomica-dp \
    vlan-id=120 vlan-mode=use-tag
add bridge=bridge client-to-client-forwarding=yes name=ubit-dp vlan-id=190 \
    vlan-mode=use-tag
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=invitados-sp
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=genomica-sp
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=transcriptomica-sp
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=metabolomica-sp
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=ubit-sp
/caps-man configuration
add channel=2ghz-ch01-20MHz country=argentina datapath=genomica-dp \
    installation=indoor mode=ap name=AP1-2ghz-genomica security=genomica-sp \
    ssid=genomica_uit
add channel=2ghz-ch11-20MHz country=argentina datapath=genomica-dp \
    installation=indoor mode=ap name=AP3-2ghz-genomica security=genomica-sp \
    ssid=genomica_uit
add channel=2ghz-ch06-20MHz country=argentina datapath=genomica-dp \
    installation=indoor mode=ap name=AP2-2ghz-genomica security=genomica-sp \
    ssid=genomica_uit
add channel=5ghz-ch036-40MHz country=argentina datapath=genomica-dp \
    installation=indoor mode=ap name=AP1-5ghz-genomica security=genomica-sp \
    ssid=genomica_uit
add channel=5ghz-ch44-40MHz country=argentina datapath=genomica-dp \
    installation=indoor mode=ap name=AP2-5ghz-genomica security=genomica-sp \
    ssid=genomica_uit
add channel=5ghz-ch100-40MHz country=argentina datapath=genomica-dp \
    installation=indoor mode=ap name=AP3-5ghz-genomica security=genomica-sp \
    ssid=genomica_uit
add channel=5ghz-ch140-40MHz country=argentina datapath=genomica-dp \
    installation=indoor mode=ap name=AP4-5ghz-genomica security=genomica-sp \
    ssid=genomica_uit
add country=argentina datapath=metabolomica-dp installation=indoor mode=ap \
    name=APx-Xghz-metabolomica security=metabolomica-sp ssid=metabolomica_uit
add country=argentina datapath=invitados-dp installation=indoor mode=ap name=\
    APx-Xghz-invitados security=invitados-sp ssid=invitados_uit
add country=argentina datapath=ubit-dp installation=indoor mode=ap name=\
    APx-Xghz-ubit security=ubit-sp ssid=ubit
add country=argentina datapath=trasncriptomica-dp installation=indoor mode=ap \
    name=APx-Xghz-transcriptomica security=transcriptomica-sp ssid=\
    transcriptomica_uit
/interface list
add name=WAN
add name=MGMT
add name=VLANS
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=base ranges=192.168.99.10-192.168.99.254
add name=genomica ranges=192.168.110.2-192.168.110.254
add name=metabolomica ranges=192.168.120.2-192.168.120.254
add name=transcriptomica ranges=192.168.130.2-192.168.130.254
add name=freezers ranges=192.168.140.2-192.168.140.254
add name=invitados ranges=192.168.200.2-192.168.200.254
add name=servers ranges=192.168.190.2-192.168.190.254
/ip dhcp-server
add address-pool=base interface=base name=base
add address-pool=genomica interface=genomica name=genomica
add address-pool=metabolomica interface=metabolomica name=metabolomica
add address-pool=freezers interface=freezers name=freezers
add address-pool=invitados interface=invitados name=invitados
add address-pool=servers interface=servers name=dhcp-servers
add address-pool=transcriptomica interface=transcriptomica name=\
    transcriptomica
/port
set 0 name=serial0
set 1 name=serial1
/caps-man access-list
add action=accept allow-signal-out-of-range=10s comment=\
    "Wifi invitados, horario UIT 8 a 20hs; L-V" disabled=no ssid-regexp=\
    "^invitados_uit\$" time=8h-20h,mon,tue,wed,thu,fri
add action=reject allow-signal-out-of-range=10s comment=\
    "Wifi invitados prohibida fuera de horario" disabled=no ssid-regexp=\
    "^invitados_uit\$"
/caps-man manager
set enabled=yes
/caps-man manager interface
set [ find default=yes ] forbid=yes
add disabled=no interface=base
/caps-man provisioning
add action=create-dynamic-enabled comment=AP1 master-configuration=\
    AP1-2ghz-genomica name-format=prefix-identity name-prefix=2ghz radio-mac=\
    2C:C8:1B:AB:xx:xx slave-configurations=\
    APx-Xghz-metabolomica,*10,APx-Xghz-invitados,APx-Xghz-ubit
add action=create-dynamic-enabled comment=AP1 master-configuration=\
    AP1-5ghz-genomica name-format=prefix-identity name-prefix=5ghz radio-mac=\
    2C:C8:1B:AB:xx:xx slave-configurations=\
    APx-Xghz-metabolomica,*10,APx-Xghz-invitados,APx-Xghz-ubit
/interface bridge port
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether1 pvid=99
add bridge=bridge frame-types=admit-only-vlan-tagged interface=sfp-sfpplus2
add bridge=bridge frame-types=admit-only-vlan-tagged ingress-filtering=no \
    interface=sfp-sfpplus1
/ip neighbor discovery-settings
set discover-interface-list=MGMT
/interface bridge vlan
add bridge=bridge tagged=bridge,sfp-sfpplus2 vlan-ids=99
add bridge=bridge tagged=bridge,sfp-sfpplus2,sfp-sfpplus1 vlan-ids=110
add bridge=bridge tagged=bridge,sfp-sfpplus2,sfp-sfpplus1 vlan-ids=120
add bridge=bridge tagged=bridge,sfp-sfpplus2,sfp-sfpplus1 vlan-ids=130
add bridge=bridge tagged=bridge,sfp-sfpplus2,sfp-sfpplus1 vlan-ids=140
add bridge=bridge tagged=bridge,sfp-sfpplus2,sfp-sfpplus1 vlan-ids=200
add bridge=bridge tagged=bridge,sfp-sfpplus2,sfp-sfpplus1 vlan-ids=190
/interface list member
add interface=sfp-sfpplus1 list=WAN
add interface=base list=MGMT
add interface=genomica list=VLANS
add interface=metabolomica list=VLANS
add interface=transcriptomica list=VLANS
add interface=freezers list=VLANS
add interface=invitados list=VLANS
add interface=servers list=VLANS
/interface ovpn-server server
set auth=sha1,md5
/interface wireguard peers
add allowed-address=10.10.50.2/32 interface=wireguard-rw public-key=\
    "UoM8vZhUDBp7TZu4rkBv63nG/CP0iPXzEcYy6XcrdWo="
/ip address
add address=192.168.99.1/24 interface=base network=192.168.99.0
add address=192.168.110.1/24 interface=genomica network=192.168.110.0
add address=192.168.120.1/24 interface=metabolomica network=192.168.120.0
add address=192.168.130.1/24 interface=transcriptomica network=192.168.130.0
add address=192.168.140.1/24 interface=freezers network=192.168.140.0
add address=192.168.200.1/24 interface=invitados network=192.168.200.0
add address=192.168.190.1/24 interface=servers network=192.168.190.0
add address=190.111.xxx.xx/24 interface=sfp-sfpplus1 network=190.111.xxx.x
add address=10.10.50.1/24 interface=wireguard-rw network=10.10.50.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-server lease
add address=192.168.190.10 comment=paenza mac-address=40:8D:5C:B5:xx:xx
add address=192.168.190.11 comment=morty mac-address=40:8D:5C:95:xx:xx
add address=192.168.190.12 comment=bplat mac-address=52:54:00:02:xx:xx
add address=192.168.190.13 comment=curie mac-address=40:8D:5C:94:xx:xx
add address=192.168.190.14 comment=gauss1 mac-address=A4:BF:01:6C:xx:xx
add address=192.168.190.15 comment=gauss2 mac-address=A4:BF:01:6C:xx:xx
add address=192.168.190.16 comment=darwin mac-address=52:54:00:CF:xx:xx
add address=192.168.140.250 comment=compu_freezer mac-address=\
    F4:30:B9:8D:xx:xx
add address=192.168.190.17 comment=turing mac-address=52:54:00:AA:xx:x
add address=192.168.190.23 comment=pipeline_bitge mac-address=\
    40:8D:5C:B7:4D:B6
/ip dhcp-server network
add address=192.168.99.0/24 comment=base dns-server=192.168.99.1 gateway=\
    192.168.99.1
add address=192.168.110.0/24 comment=genomica dns-server=192.168.110.1 \
    gateway=192.168.110.1
add address=192.168.120.0/24 comment=proteomica dns-server=192.168.120.1 \
    gateway=192.168.120.1
add address=192.168.130.0/24 comment=transcriptomica dns-server=192.168.130.1 \
    gateway=192.168.130.1
add address=192.168.140.0/24 comment=freezers dns-server=192.168.140.1 \
    gateway=192.168.140.1
add address=192.168.190.0/24 comment=servers dns-server=192.168.190.1 \
    gateway=192.168.190.1
add address=192.168.200.0/24 comment=invitados dns-server=8.8.8.8,8.8.4.4 \
    gateway=192.168.200.1
/ip dns
set allow-remote-requests=yes servers=190.12.96.251,200.110.216.250
/ip dns static
add address=192.168.99.1 name=admin_net
add address=192.16.190.10 name=paenza_lan
add address=192.16.190.11 name=morty_lan
add address=192.16.190.12 name=bplat_lan
add address=192.16.190.13 name=curie_lan
add address=192.16.190.14 name=gauss1_lan
add address=192.16.190.15 name=gauss2_lan
add address=192.16.190.16 name=darwin_lan
add address=192.16.190.17 name=turing_lan
add address=192.16.190.18 name=qnap_uit_lan
add address=192.16.190.19 name=qnap_cedie_lan
add address=192.16.190.20 name=funes_lan
add address=192.16.190.21 name=solari_lan
add address=192.16.190.23 name=pipeline_bg_lan
/ip firewall address-list
add address=192.168.110.0/24 list=internal
add address=192.168.120.0/24 list=internal
add address=192.168.130.0/24 list=internal
add address=192.168.140.0/24 list=internal
add address=192.168.200.0/24 list=external
add address=192.168.190.0/24 list=internal
add address=190.111.2xx.xx list=public-ip
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: Allow established, related & untracked" connection-state=\
    established,related,untracked
add action=accept chain=input comment=\
    "dns: Allow mikrotik DNS for internal VLANs" dst-port=53 protocol=udp \
    src-address-list=internal
add action=accept chain=input comment=\
    "admin: allow base VLAN full access to router" in-interface-list=MGMT
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="vpn: allow wireguard-rw" dst-port=\
    50666 protocol=udp
add action=accept chain=input src-address=10.10.50.0/24
add action=accept chain=forward comment=\
    "defconf: Allow established,related & untracked" connection-state=\
    established,related,untracked
add action=accept chain=forward comment=\
    "vlan: VLANs can only access Internet, initially" connection-state=new \
    in-interface-list=VLANS out-interface-list=WAN
add action=accept chain=forward comment=\
    "Admin: base vlan can access everything" connection-state=new \
    in-interface-list=MGMT
add action=drop chain=forward comment="security: Drop everything else"
/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=\
    192.168.99.0/24 src-address=192.168.99.0/24
add action=masquerade chain=srcnat ipsec-policy=out,none out-interface-list=\
    WAN
/ip route
add distance=1 gateway=190.111.xxx.x
/system identity
set name=CCR2004
/tool mac-server
set allowed-interface-list=MGMT
/tool mac-server mac-winbox
set allowed-interface-list=MGMT

Creo que me enrosque solo con el tema del ddns y mi ip publica. Tambien el hairpinat. Y en teoria tendria un solo tunel wireguard, el de mi notebook hasta ahora.

Como se ve hasta ahora? Lo de la autonegociacion del sfp-sfpplus1 (wan) es un modulo gtek 1000baseT que leyendo por ahi tenia que ir en off porque no le gusta sino.

Saludos y feliz viernes!
 
Buenas! Feliz viernes! Ya puse la estampita de la suerte je je!
Me encanta la estampita del "powered by pokoyo!" :cool:

Situación actual: somos 2 personas que nos conectamos remoto por ssh a los servidores y trabajamos ahí (entorno linux). El resto de los habitantes del lugar usan zoom/internet/y 2 computadoras usan un escritorio remoto tipo anydesk (si hay alternativas mas seguras, bienvenido sean PC windows). 1 es una pc de un equipo y la otra es una pc que tiene un windows y comparte archivos con una carpeta de un servidor de "resultados".
Yo generaría peers de wireguard para todos los que necesiten un acceso remoto, y me olvidaría del anydesk. A cada peer, luego le das los permisos de acceso que necesites y listo (es como si menejaras otra subred más). Para los que trabajáis por SSH, bastaría con levantar el túnel para tener acceso a las máquinas servidoras (a toda red en verdad). Para los del anydesk, una vez levantado el túnel, abrirían una sesión de RDP (windows remote desktop) y estarían conectados a sus equipos, y si la velocidad de internet es medianemente buena, ni notarán que están en remoto, con los pepinos que tienes por equipos.

Hay un servidor web que se usa tanto en la lan como desde fuera, Hoy esta en la 192.168.1.148. ese servidor tiene abierto otros puertos para que entren a administrarlo cuando se cae. Lo mismo ocurre con la pc que hace de alarma para los freezers. A esas conexiones debería de asignarles peers con el wireguard para que sea segura su conexión y darle solo acceso a la pc/puerto que necesiten? El resto de puertos son los q usamos hoy por hoy con el otro usuario de los servidores. Ahora pensando se me ocurre que podría generar una vlan mas y poner las pc que por ahí usan los becarios, cosa de separar algo así como producción y desarrollo... que opinas?
Entiendo que ese NAT es de algún equipo previo, de donde estáis intentado migrar a la nueva configuración que lleva el CCR, ¿es así? Si es así, el único puerto que abriría sería el 443 (puerto HTTPs por defecto) y lo mandaría al puerto https de ese servidor, el que sea que escuche ese tráfico. Doy por hecho que el servidor tiene certificados SSL/TLS instalados (tipo let's encrypt o similares) para acceder de manera cifrada por https.

NO abriría nada más, todo lo demás, vía VPN. Así que, antes de meternos a migrar el servidor web y a montar su NAT, lo primero que tenemos que hacer es darle acceso externo a las personas que lo necesiten. Si de momento eres tú sólo, lo hacemos con un único Peer, pero vamos, que la idea es la misma para todos.

Veo que ya has avanzado con la config de Wireguard, generando la interfaz, un peer y la dirección de la misma. Lo único que nos queda es trabajar un poco el firewall. En input, de entrada, vamos a hacer un par de cosas: de momento, al router sólo vas a poder acceder tú (vamos a cambiar la regla de accept de la 10.10.50.0/24 -> 10.10.50.2) y vamos a añadir una regla de drop general, tal y como la que tiene el chain de forward, que creo que has borrado accidentalmente (de la manera que está, todo dios llega al router desde internet, vamos prohibir eso). Te quedaría el chain de input, tal que así:
Código:
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: Allow established, related & untracked" connection-state=\
    established,related,untracked
add action=accept chain=input comment=\
    "dns: Allow mikrotik DNS for internal VLANs" dst-port=53 protocol=udp \
    src-address-list=internal
add action=accept chain=input comment=\
    "admin: allow base VLAN full access to router" in-interface-list=MGMT
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="vpn: allow wireguard-rw" dst-port=\
    50666 protocol=udp
add action=accept chain=input src-address=10.10.50.2 comment="vpn: arrucucu can access router via wireguard"
add action=drop chain=input comment="security: Drop everything else"

Ahora, la parte de forward. Como tenemos una nueva subred (10.10.50.0/24), cuando tengamos una IP de dicha subred y queramos acceder a cualquier otra subred de una VLAN, vamos a pasar por el chain de forward del router. Como de momento lo único que tenemos permitido en el firewall es la comunicación de las VLANs con el mundo exterior de internet, y una regla de seguridad que nos tira todo lo demás a la basura, tenemos que intercalar una regla que acepte el tráfico con origen esa subred (o tu peer en particular si lo quieres hacer aún más granular) y destino las subredes que necesites. De momento, voy a comunicar tu Peer con toda la lista de subredes "internal", para que veas cómo funciona. Quedaría un forward tal que así, con la nueva regla:
Código:
add action=accept chain=forward comment=\
    "defconf: Allow established,related & untracked" connection-state=\
    established,related,untracked
add action=accept chain=forward comment=\
    "vlan: VLANs can only access Internet, initially" connection-state=new \
    in-interface-list=VLANS out-interface-list=WAN
add action=accept chain=forward comment=\
    "Admin: base vlan can access everything" connection-state=new \
    in-interface-list=MGMT
add action=accept chain=forward comment=\
    "vpn: arrucucu can access all internal subnets" connection-state=new \
    src-address=10.10.50.2 dst-address-list=internal
add action=drop chain=forward comment="security: Drop everything else"

De esa manera tu peer tendría acceso a todas estas subredes de un plumazo:
192.168.110.0/24 genomica
192.168.120.0/24 metabolomica
192.168.130.0/24 transcriptomica
192.168.140.0/24 freezers
192.168.190.0/24 servers

Generar otros peers y darle acceso a lo que quieras, como ves es relamente sencillo. En input no les des acceso (el router que lo controle únicamente una persona, o un par como mucho) y en forward, ya decides tú qué peer se comunica con qué segmento o segmentos de red. Cuando manejes más de un segmento de red, usa las listas de direcciones.

Por otro lado, si tienes realmente IP pública, te voy a sugerir un par de cambios:
El primero, como esa IP no cambia, no tiene sentido que la metas en una lista de direcciones, puesto que no necesitas resolverla dinámicamente. Esto, lo podrías borrar:
Código:
/ip firewall address-list
add address=190.111.2xx.xx list=public-ip

Al mismo tiempo, podrías modificar la regla de NAT principal, por una muchísimo más eficiente: una regla de src-nat, en lugar del masquerade tal que así:
Código:
/ip firewall nat
add chain=srcnat action=src-nat to-addresses=190.111.2xx.xx out-interface=WAN

Además de todo esto, al tener IP pública, si ya tenéis un domino propio, el de IP -> Cloud lo podrías desactivar, puesto que carecería de sentido. Tu propio domino ya apuntaría a tu IP pública, y no necesitas nada más para resolver la dirección del router. Doy por hecho que el módem que os entrega la IP pública está en modo bridge y que todo el tráfico que lega a tu IP pública acaba en el CCR.

Una vez me confirmes que tu peer funciona y crees alguno más para los otros usuarios, continuamos con la migración del webserver y el NAT.

Saludos!
 
Me encanta la estampita del "powered by pokoyo!"
jeje ya va a venir a color ;)

o generaría peers de wireguard para todos los que necesiten un acceso remoto, y me olvidaría del anydesk. A cada peer, luego le das los permisos de acceso que necesites y listo (es como si menejaras otra subred más). Para los que trabajáis por SSH, bastaría con levantar el túnel para tener acceso a las máquinas servidoras (a toda red en verdad). Para los del anydesk, una vez levantado el túnel, abrirían una sesión de RDP (windows remote desktop) y estarían conectados a sus equipos, y si la velocidad de internet es medianemente buena, ni notarán que están en remoto, con los pepinos que tienes por equipos.
Bien, ya me puse a averiguar quienes usan anydesk para generar esos peers.

Entiendo que ese NAT es de algún equipo previo, de donde estáis intentado migrar a la nueva configuración que lleva el CCR, ¿es así? Si es así, el único puerto que abriría sería el 443 (puerto HTTPs por defecto) y lo mandaría al puerto https de ese servidor, el que sea que escuche ese tráfico. Doy por hecho que el servidor tiene certificados SSL/TLS instalados (tipo let's encrypt o similares) para acceder de manera cifrada por https.
Claro, pensaba migrar esas reglas. Pero con lo de la vpn ya me queda claro.
Estoy viendo lo del tema certificados, ese servidor no tiene. es http la conexión. Estaba viendo que podia usar el de let's encrypt y también averiguando si conviene pagar uno... tu que dices? ademas tengo 2 servidores qnap que por lo que lei no los voy a disponibilizar a internet porque son un hermoso llamador de cagadas... asi q los voy a tener como un simple linux y acceso por ssh... Dps vere de poner algun otro servidor de archivos web para crearme alguna nube y puedan acceder a el para sacar resultados.

Generar otros peers y darle acceso a lo que quieras, como ves es relamente sencillo. En input no les des acceso (el router que lo controle únicamente una persona, o un par como mucho) y en forward, ya decides tú qué peer se comunica con qué segmento o segmentos de red. Cuando manejes más de un segmento de red, usa las listas de direcciones.
Perfecto! ahora me pongo a jugar con eso. Le voy a dar acceso a mi colega que si bien no tiene ni idea del mundo Mikrotik, en algún momento me puede salvar. Dataso lo de las listas de direcciones para manejar mas de un segmento de red.

Además de todo esto, al tener IP pública, si ya tenéis un domino propio, el de IP -> Cloud lo podrías desactivar, puesto que carecería de sentido. Tu propio domino ya apuntaría a tu IP pública, y no necesitas nada más para resolver la dirección del router. Doy por hecho que el módem que os entrega la IP pública está en modo bridge y que todo el tráfico que lega a tu IP pública acaba en el CCR.
Estoy tramitando lo del dominio asi que por lo pronto usaría la ip publica. Ahora chequeo lo del router del isp en modo bridge.. en teoría esta así.

Ni bien logre la conexión con el peer te aviso!

Los ip-> service los deshabilito? dejo solo el de winbox?

Gracias nuevamente. Saludos!
 
Última edición:
Claro, pensaba migrar esas reglas. Pero con lo de la vpn ya me queda claro.
Estoy viendo lo del tema certificados, ese servidor no tiene. es http la conexión. Estaba viendo que podia usar el de let's encrypt y también averiguando si conviene pagar uno... tu que dices? ademas tengo 2 servidores qnap que por lo que lei no los voy a disponibilizar a internet porque son un hermoso llamador de cagadas... asi q los voy a tener como un simple linux y acceso por ssh... Dps vere de poner algun otro servidor de archivos web para crearme alguna nube y puedan acceder a el para sacar resultados.
Una vez tengas la VPN funcionando, la inmensa mayoría de esas reglas sobran. Si el servidor no tiene https, ponédselo, con un certificado de let's encrypt (el certbot ha hecho maravillas en este proceso, es realmente sencillo). Pero, si sólo es accesible desde intranet (que no internet), puedes dejarlo con http y consumirlo una vez estés dentro de la red con la VPN. Aunque, si me preguntas, yo le pondría certificado sí o sí.
A los servidores qnap igual, se les puede poner un certificado con un dominio y exponerlos de manera segura. O, como dices, soltar el fichero de resultado en alguna nube pública donde estos mismos sincronicen una carpeta y te dejas de líos de exponer el NAS a internet. Cuanto menos expongas, mejor.

Estoy tramitando lo del dominio asi que por lo pronto usaría la ip publica. Ahora chequeo lo del router del isp en modo bridge.. en teoría esta así.

Ni bien logre la conexión con el peer te aviso!
Genial. Si tienes IP pública, prueba las modificaciones del NAT que te comenté.

Los ip-> service los deshabilito? dejo solo el de winbox?
Dejaría únicamente www (80), winbox y ssh. Estos dos últimos, restringidos a quien consideres administrador y que pueda tocar el router (puedes añadir subredes o IP's concretas, en el campo address).

Saludos!
 
Bueno cambie el modulo 10gtek por un modulo mikrotik S-RJ01 SFP que tenia en el puerto sfp-sfpplus1 para conectar el router del ISP y ahora tengo link. El problema es que no tengo internet en ninguna de las VLANs por ende no puedo probar la conexión roadwarrior....
Que estaré haciendo mal? quedaron cosas viejas con el tema de las interfaces ethernet que quizás me convenga borrar todo y empezar de nuevo?

Así tengo hoy por hoy el ccr, probé si entrega ip en las distintas vlans y anda bien.

Código:
# jan/21/1970 18:29:55 by RouterOS 7.2

# software id = 96FG-xxxx

# model = CCR2004-1G-12S+2XS

# serial number = F0740E5xxxx

/caps-man channel

add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \

    frequency=2412 name=2ghz-ch01-20MHz

add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \

    frequency=2437 name=2ghz-ch06-20MHz

add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \

    frequency=2462 name=2ghz-ch11-20MHz

add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ce \

    frequency=5180 name=5ghz-ch036-40MHz

add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ce \

    frequency=5220 name=5ghz-ch44-40MHz

add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ce \

    frequency=5500 name=5ghz-ch100-40MHz

add band=5ghz-n/ac control-channel-width=20mhz extension-channel=eC \

    frequency=5700 name=5ghz-ch140-40MHz

add band=5ghz-n/ac control-channel-width=20mhz extension-channel=XXXX name=\

    5ghz-auto-80

/interface bridge

add frame-types=admit-only-vlan-tagged name=bridge vlan-filtering=yes

/interface ethernet

set [ find default-name=ether1 ] comment=eth_mgmt

set [ find default-name=sfp-sfpplus1 ] comment=eth_wan l2mtu=1596 \

    sfp-shutdown-temperature=70C

set [ find default-name=sfp-sfpplus2 ] advertise="10M-half,10M-full,100M-full,\

    1000M-half,1000M-full,10000M-full,2500M-full,5000M-full" comment=\

    dac_sw312 speed=10Gbps

/interface wireguard

add listen-port=50666 mtu=1420 name=wireguard-rw

/interface vlan

add interface=bridge name=base vlan-id=99

add interface=bridge name=freezers vlan-id=140

add interface=bridge name=genomica vlan-id=110

add interface=bridge name=invitados vlan-id=200

add interface=bridge name=metabolomica vlan-id=120

add interface=bridge name=servers vlan-id=190

add interface=bridge name=transcriptomica vlan-id=130

/caps-man datapath

add bridge=bridge client-to-client-forwarding=no name=invitados-dp vlan-id=\

    200 vlan-mode=use-tag

add bridge=bridge client-to-client-forwarding=yes name=genomica-dp vlan-id=\

    110 vlan-mode=use-tag

add bridge=bridge client-to-client-forwarding=yes name=metabolomica-dp \

    vlan-id=120 vlan-mode=use-tag

add bridge=bridge client-to-client-forwarding=yes name=ubit-dp vlan-id=190 \

    vlan-mode=use-tag

add bridge=bridge client-to-client-forwarding=yes name=transcriptomica-dp \

    vlan-id=130 vlan-mode=use-tag

/caps-man security

add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \

    name=invitados-sp

add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \

    name=genomica-sp

add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \

    name=transcriptomica-sp

add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \

    name=metabolomica-sp

add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \

    name=ubit-sp

/caps-man configuration

add channel=2ghz-ch01-20MHz country=argentina datapath=genomica-dp \

    installation=indoor mode=ap name=AP1-2ghz-genomica security=genomica-sp \

    ssid=genomica_uit

add channel=2ghz-ch11-20MHz country=argentina datapath=genomica-dp \

    installation=indoor mode=ap name=AP3-2ghz-genomica security=genomica-sp \

    ssid=genomica_uit

add channel=2ghz-ch06-20MHz country=argentina datapath=genomica-dp \

    installation=indoor mode=ap name=AP2-2ghz-genomica security=genomica-sp \

    ssid=genomica_uit

add channel=5ghz-ch036-40MHz country=argentina datapath=genomica-dp \

    installation=indoor mode=ap name=AP1-5ghz-genomica security=genomica-sp \

    ssid=genomica_uit

add channel=5ghz-ch44-40MHz country=argentina datapath=genomica-dp \

    installation=indoor mode=ap name=AP2-5ghz-genomica security=genomica-sp \

    ssid=genomica_uit

add channel=5ghz-ch100-40MHz country=argentina datapath=genomica-dp \

    installation=indoor mode=ap name=AP3-5ghz-genomica security=genomica-sp \

    ssid=genomica_uit

add channel=5ghz-ch140-40MHz country=argentina datapath=genomica-dp \

    installation=indoor mode=ap name=AP4-5ghz-genomica security=genomica-sp \

    ssid=genomica_uit

add country=argentina datapath=metabolomica-dp installation=indoor mode=ap \

    name=APx-Xghz-metabolomica security=metabolomica-sp ssid=metabolomica_uit

add country=argentina datapath=invitados-dp installation=indoor mode=ap name=\

    APx-Xghz-invitados security=invitados-sp ssid=invitados_uit

add country=argentina datapath=ubit-dp installation=indoor mode=ap name=\

    APx-Xghz-ubit security=ubit-sp ssid=ubit

add country=argentina datapath=transcriptomica-dp installation=indoor mode=ap \

    name=APx-Xghz-transcriptomica security=transcriptomica-sp ssid=\

    transcriptomica_uit

/interface list

add name=WAN

add name=MGMT

add name=VLANS

/interface wireless security-profiles

set [ find default=yes ] supplicant-identity=MikroTik

/ip pool

add name=base ranges=192.168.99.10-192.168.99.254

add name=genomica ranges=192.168.110.2-192.168.110.254

add name=metabolomica ranges=192.168.120.2-192.168.120.254

add name=transcriptomica ranges=192.168.130.2-192.168.130.254

add name=freezers ranges=192.168.140.2-192.168.140.254

add name=invitados ranges=192.168.200.2-192.168.200.254

add name=servers ranges=192.168.190.2-192.168.190.254

/ip dhcp-server

add address-pool=base interface=base name=base

add address-pool=genomica interface=genomica name=genomica

add address-pool=metabolomica interface=metabolomica name=metabolomica

add address-pool=freezers interface=freezers name=freezers

add address-pool=invitados interface=invitados name=invitados

add address-pool=servers interface=servers name=dhcp-servers

add address-pool=transcriptomica interface=transcriptomica name=\

    transcriptomica

/port

set 0 name=serial0

set 1 name=serial1

/caps-man access-list

add action=accept allow-signal-out-of-range=10s comment=\

    "Wifi invitados, horario UIT 8 a 20hs; L-V" disabled=no ssid-regexp=\

    "^invitados_uit\$" time=8h-20h,mon,tue,wed,thu,fri

add action=reject allow-signal-out-of-range=10s comment=\

    "Wifi invitados prohibida fuera de horario" disabled=no ssid-regexp=\

    "^invitados_uit\$"

/caps-man manager

set enabled=yes

/caps-man manager interface

set [ find default=yes ] forbid=yes

add disabled=no interface=base

/caps-man provisioning

add action=create-dynamic-enabled comment=AP1 master-configuration=\

    AP1-2ghz-genomica name-format=prefix-identity name-prefix=2ghz radio-mac=\

    2C:C8:1B:AB:xx:xx slave-configurations="APx-Xghz-metabolomica,AP1-2ghz-gen\

    omica,APx-Xghz-invitados,APx-Xghz-ubit,APx-Xghz-transcriptomica"

add action=create-dynamic-enabled comment=AP1 master-configuration=\

    AP1-5ghz-genomica name-format=prefix-identity name-prefix=5ghz radio-mac=\

    2C:C8:1B:AB:xx:xx slave-configurations="APx-Xghz-metabolomica,AP1-2ghz-gen\

    omica,APx-Xghz-invitados,APx-Xghz-ubit,APx-Xghz-transcriptomica"

/interface bridge port

add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \

    interface=ether1 pvid=99

add bridge=bridge frame-types=admit-only-vlan-tagged interface=sfp-sfpplus2

add bridge=bridge frame-types=admit-only-vlan-tagged ingress-filtering=no \

    interface=sfp-sfpplus1

/ip neighbor discovery-settings

set discover-interface-list=MGMT

/interface bridge vlan

add bridge=bridge tagged=bridge,sfp-sfpplus2 vlan-ids=99

add bridge=bridge tagged=bridge,sfp-sfpplus2,sfp-sfpplus1 vlan-ids=110

add bridge=bridge tagged=bridge,sfp-sfpplus2,sfp-sfpplus1 vlan-ids=120

add bridge=bridge tagged=bridge,sfp-sfpplus2,sfp-sfpplus1 vlan-ids=130

add bridge=bridge tagged=bridge,sfp-sfpplus2,sfp-sfpplus1 vlan-ids=140

add bridge=bridge tagged=bridge,sfp-sfpplus2,sfp-sfpplus1 vlan-ids=200

add bridge=bridge tagged=bridge,sfp-sfpplus2,sfp-sfpplus1 vlan-ids=190

/interface list member

add interface=sfp-sfpplus1 list=WAN

add interface=base list=MGMT

add interface=genomica list=VLANS

add interface=metabolomica list=VLANS

add interface=transcriptomica list=VLANS

add interface=freezers list=VLANS

add interface=invitados list=VLANS

add interface=servers list=VLANS

/interface ovpn-server server

set auth=sha1,md5

/interface wireguard peers

add allowed-address=10.10.50.2/32 comment=agu_notebook interface=wireguard-rw \

    public-key="UoM8vZhUDBp7TZu4rkBv63nG/CP0iPXzEcYy6XcrdWo="

add allowed-address=10.10.50.2/32 comment=roadwarrior_agu_cel interface=\

    wireguard-rw public-key="8poCf26q6ryjX/iMiZ9nurBGli77Vxk7p8U1g+QQ+WI="

/ip address

add address=192.168.99.1/24 interface=base network=192.168.99.0

add address=192.168.110.1/24 interface=genomica network=192.168.110.0

add address=192.168.120.1/24 interface=metabolomica network=192.168.120.0

add address=192.168.130.1/24 interface=transcriptomica network=192.168.130.0

add address=192.168.140.1/24 interface=freezers network=192.168.140.0

add address=192.168.200.1/24 interface=invitados network=192.168.200.0

add address=192.168.190.1/24 interface=servers network=192.168.190.0

add address=190.111.xxx.xx/24 interface=sfp-sfpplus1 network=190.111.xxx.x

add address=10.10.50.1/24 interface=wireguard-rw network=10.10.50.0

/ip dhcp-server lease

add address=192.168.190.10 comment=paenza mac-address=40:8D:5C:B5:xx:xx

add address=192.168.190.11 comment=morty mac-address=40:8D:5C:95:xx:xx

add address=192.168.190.12 comment=bplat mac-address=52:54:00:02:xx:xx

add address=192.168.190.13 comment=curie mac-address=40:8D:5C:94:xx:xx

add address=192.168.190.14 comment=gauss1 mac-address=A4:BF:01:6C:xx:xx

add address=192.168.190.15 comment=gauss2 mac-address=A4:BF:01:6C:xx:xx

add address=192.168.190.16 comment=darwin mac-address=52:54:00:CF:xx:xx

add address=192.168.140.250 comment=compu_freezer mac-address=\

    F4:30:B9:8D:xx:xx

add address=192.168.190.17 comment=turing mac-address=52:54:00:AA:xx:xx

add address=192.168.190.23 comment=pipeline_bitge mac-address=\

    40:8D:5C:B7:xx:xx

/ip dhcp-server network

add address=192.168.99.0/24 comment=base dns-server=192.168.99.1 gateway=\

    192.168.99.1

add address=192.168.110.0/24 comment=genomica dns-server=192.168.110.1 \

    gateway=192.168.110.1

add address=192.168.120.0/24 comment=metabolomica dns-server=192.168.120.1 \

    gateway=192.168.120.1

add address=192.168.130.0/24 comment=transcriptomica dns-server=192.168.130.1 \

    gateway=192.168.130.1

add address=192.168.140.0/24 comment=freezers dns-server=192.168.140.1 \

    gateway=192.168.140.1

add address=192.168.190.0/24 comment=servers dns-server=192.168.190.1 \

    gateway=192.168.190.1

add address=192.168.200.0/24 comment=invitados dns-server=8.8.8.8,8.8.4.4 \

    gateway=192.168.200.1

/ip dns

set allow-remote-requests=yes servers=190.12.96.251,200.110.216.250

/ip dns static

add address=192.168.99.1 name=admin_net

add address=192.16.190.10 name=paenza_lan

add address=192.16.190.11 name=morty_lan

add address=192.16.190.12 name=bplat_lan

add address=192.16.190.13 name=curie_lan

add address=192.16.190.14 name=gauss1_lan

add address=192.16.190.15 name=gauss2_lan

add address=192.16.190.16 name=darwin_lan

add address=192.16.190.17 name=turing_lan

add address=192.16.190.18 name=qnap_uit_lan

add address=192.16.190.19 name=qnap_cedie_lan

add address=192.16.190.20 name=funes_lan

add address=192.16.190.21 name=solari_lan

add address=192.16.190.23 name=pipeline_bg_lan

/ip firewall address-list

add address=192.168.110.0/24 list=internal

add address=192.168.120.0/24 list=internal

add address=192.168.130.0/24 list=internal

add address=192.168.140.0/24 list=internal

add address=192.168.200.0/24 list=external

add address=192.168.190.0/24 list=internal

/ip firewall filter

add action=accept chain=input comment=\

    "defconf: Allow established, related & untracked" connection-state=\

    established,related,untracked

add action=accept chain=input comment=\

    "dns: Allow mikrotik DNS for internal VLANs" dst-port=53 protocol=udp \

    src-address-list=internal

add action=accept chain=input comment=\

    "admin: allow base VLAN full access to router" in-interface-list=MGMT

add action=drop chain=input comment="defconf: drop invalid" connection-state=\

    invalid

add action=accept chain=input comment="vpn: allow wireguard-rw" dst-port=\

    50666 protocol=udp

add action=accept chain=input comment=\

    "vpn: agu can access router via wireguard" src-address=10.10.50.0/24

add action=drop chain=input comment="security: Drop everything else"

add action=accept chain=forward comment=\

    "defconf: Allow established,related & untracked" connection-state=\

    established,related,untracked

add action=accept chain=forward comment=\

    "vlan: VLANs can only access Internet, initially" connection-state=new \

    in-interface-list=VLANS out-interface-list=WAN

add action=accept chain=forward comment=\

    "Admin: base vlan can access everything" connection-state=new \

    in-interface-list=MGMT

add action=accept chain=forward comment=\

    "vpn: agu can access all internal subnets" connection-state=new \

    dst-address-list=internal src-address=10.10.50.2

add action=drop chain=forward comment="security: Drop everything else"

/ip firewall nat

add action=masquerade chain=srcnat comment=hairpin-nat dst-address=\

    192.168.99.0/24 src-address=192.168.99.0/24

add action=src-nat chain=srcnat ipsec-policy=out,none out-interface-list=WAN \

    to-addresses=190.111.xxx.xx

/ip route

add distance=1 gateway=190.111.xxx.x

/ip service

set telnet disabled=yes

set ftp disabled=yes

set api disabled=yes

set api-ssl disabled=yes

/system identity

set name=CCR2004

/tool mac-server

set allowed-interface-list=MGMT

/tool mac-server mac-winbox

set allowed-interface-list=MGMT

Alguna sugerencia? Saludos
 
Tres cosas:

- Saca la interfaz sfp-sfpplus1 del bridge como puerto y del filtrado de VLANs del bridge. La interfaz que hace de WAN, por lo general, siempre fuera del bridge
- Direcciona correctamente la interfaz en IP -> Address (sospecho que lo tienes)
- Si tienes IP estática, aplica correctamente la regla de src-nat en el NAT. (puedes probar un masquerade, si no estás seguro de cómo se hace)
- En la tabla de rutas, asegúrate de que la IP que allí aparece es la de tu gateway, no tu IP pública. Han de ser del mismo segmento de red.

El resto lo tienes todo bien.

Saludos!
 
Tres cosas:

- Saca la interfaz sfp-sfpplus1 del bridge como puerto y del filtrado de VLANs del bridge. La interfaz que hace de WAN, por lo general, siempre fuera del bridge
- Direcciona correctamente la interfaz en IP -> Address (sospecho que lo tienes)
- Si tienes IP estática, aplica correctamente la regla de src-nat en el NAT. (puedes probar un masquerade, si no estás seguro de cómo se hace)
- En la tabla de rutas, asegúrate de que la IP que allí aparece es la de tu gateway, no tu IP pública. Han de ser del mismo segmento de red.

El resto lo tienes todo bien.

Saludos!
saque la interfaz sfp-spplus1 del bridge y puse en masquerade la regla porque el src-nat no le gusto lo que puse y pude salir a internet. GRACIAS!

Estaba poniendo el gateway en vez de la ip publica en la regla del src-nat.
chain=srcnat action=src-nat to-addresses=190.111.xxx.xx
out-interface-list=WAN log=no log-prefix=""
ipsec-policy=out,none

Cuesta, muchas cosas de golpe pero de a poco va cerrando la cosa. Imposible lograr todo esto sin tu ayuda @pokoyo y de la comunidad... entre post y post hay muchisimas cosas y si que se aprende.
Nuevamente GRACIAS. Ahora a poner a punto esos peers.. :)
 
Última edición:
Buenas @pokoyo! aca retomando el tema. Te cuento que pude poner un un proxy reverso e instalarle el certificado SSL para usar con el web server. De momento eso va a quedar deprecado pero me va a servir a mi para tener una pantalla y exponer un servidor qnap con sfpt y no usar las funcionalidades de qnap porque son blancos fáciles.

Siguiendo el tutorial de wireguard pude poner un peer par el celular y una pc. Me compre un hap mini para crear un site2site. La idea es que si eso me funciona, replicar la infraestructura en otra sucursal y poder trabajar con distintos servidores independientemente de la sucursal en la que se encuentren. Para ello consulta, parto del hap mini con un reset, y hago un quick install y sigo el tutorial del manual de wireguard a fondo conectandome a la van que quiera?

Otra cosa que por ahi noto con la vpn, es que en algunos lugares me levanta la vpn pero no me resuelve un ssh a una maquina local... y si lo hago con el celular si me lo toma... sera porque la red a la que me conecto tiene el mismo segmento que la red destino?

Hice unas primeras pruebas con unos backups y no me esta transmitiendo en 10G, en la autonegociacion se queda en 5G, estoy viendo donde esta el cuello de botella. Si es propia de la configuración o de los cables q estoy usando...

Ampliaremos...
 
Confirmado, el cuello de botella esta en los cables/modulos 10gtek. Tanto el cable DAC, como el modulo sfp+ para la fibra monomodo. Asi que ya saben... vayan por lo seguro y compren de la misma marca.

velocidad.jpg
modulos.jpg


Pregunta, el tema ruteo/router... en que escenario es recomendable poner uno cojonudo? estoy pensando en adquirir otro switch 312 para tener la lan con 10G y ponerle un router hexS para generar un túnel site2site total es para rutear pocas pc por lo pronto y enlazar lo que estoy armando ahora... Ya se que a futuro tengo que pensar en infinibanD como piso. O esperar algun subsidio grande y pedir placas 100G :alien:

Ahora estoy viendo que puedo poner para tener una nube privada, usando el reverse proxy como escudo y que apunte a uno de los nas por ftps o similar... sino seria poner una maquina con un truenas y compartir los directorios con el nas.
 
El router móntalo acorde a la capacidad del canuto de salida, ya que tu principal uso es local, hiciste muy bien en invertir primero el switches. El upgrade del router, para cuando el cauto de salida crezca.

Para el tema de la nube privada, correcto, freeNAS/trueNAS. O también OpenMediaVault, si quieres una alternativa.

Saludos!
 
Estoy tratando de configurar el hapmini para tener un túnel site 2 site con wireguard y poder acceder a otros servidores. Lo que no se es si al hapmini tengo que configurarlo como router o como AP.

Por lo pronto hice esto>

Código:
# jan/02/1970 04:00:37 by RouterOS 7.5
# software id = S4GE-8xx
#
# model = RB931-2nD
# serial number = xxx
/interface bridge
add name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-g/n country=argentina disabled=no \
    distance=indoors installation=indoor mode=ap-bridge ssid=borrar \
    station-roaming=enabled wireless-protocol=802.11
/interface wireguard
add listen-port=27558 mtu=1420 name=wireguard-sts
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys \
    supplicant-identity=Mikrotik
/interface bridge port
add bridge=bridge interface=all
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface wireguard peers
add allowed-address=0.0.0.0/0 comment=wireguard_peer_2_site disabled=yes \
    endpoint-address=routerA.sn.mynetname.net endpoint-port=27558 \
    interface=wireguard-sts persistent-keepalive=25s public-key=\
    "PUBLIC-A"
/ip address
add address=172.16.1.2/30 interface=wireguard-sts network=172.16.1.0
add address=192.168.191.2/24 interface=bridge network=192.168.191.0
/ip cloud
set ddns-enabled=yes
/ip dns
set servers=8.8.8.8,8.8.4.4
/ip firewall filter
add action=accept chain=input comment="Allow estab & related" \
    connection-state=established,related
add action=accept chain=input protocol=tcp
add action=accept chain=input comment="vpn: allow wireguard-sts" dst-port=\
    27558 protocol=udp
add action=drop chain=input comment=Drop
add action=accept chain=forward comment="Allow Estab & Related" \
    connection-state=established,related
/ip firewall nat
add action=masquerade chain=srcnat out-interface=wireguard-sts
/ip firewall service-port
set rtsp disabled=no
/ip route
add dst-address=0.0.0.0/0 gateway=192.168.1.1
add dst-address=192.168.1.0/24 gateway=172.16.1.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system identity
set name=hapmini_wg


Yo debería de poner el segmento de red al que me quiero conectar en el peer no? ej 190.168.190.0 y lo que no entiendo es si debería de poner un perfil para salir a internet en el sitio B usando el wifi y conectar el equipo al eth2 o usar el eth1 como salida a internet y conectarme al equipo que esta en B usando el wifi del hap mini.
O reseteo todo, configuro como router y cargo la configuración del tutorial WireGuard a fondo para crear el site 2 site?
 
Estoy tratando de configurar el hapmini para tener un túnel site 2 site con wireguard y poder acceder a otros servidores. Lo que no se es si al hapmini tengo que configurarlo como router o como AP.

Por lo pronto hice esto>

Código:
# jan/02/1970 04:00:37 by RouterOS 7.5
# software id = S4GE-8xx
#
# model = RB931-2nD
# serial number = xxx
/interface bridge
add name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-g/n country=argentina disabled=no \
    distance=indoors installation=indoor mode=ap-bridge ssid=borrar \
    station-roaming=enabled wireless-protocol=802.11
/interface wireguard
add listen-port=27558 mtu=1420 name=wireguard-sts
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys \
    supplicant-identity=Mikrotik
/interface bridge port
add bridge=bridge interface=all
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface wireguard peers
add allowed-address=0.0.0.0/0 comment=wireguard_peer_2_site disabled=yes \
    endpoint-address=routerA.sn.mynetname.net endpoint-port=27558 \
    interface=wireguard-sts persistent-keepalive=25s public-key=\
    "PUBLIC-A"
/ip address
add address=172.16.1.2/30 interface=wireguard-sts network=172.16.1.0
add address=192.168.191.2/24 interface=bridge network=192.168.191.0
/ip cloud
set ddns-enabled=yes
/ip dns
set servers=8.8.8.8,8.8.4.4
/ip firewall filter
add action=accept chain=input comment="Allow estab & related" \
    connection-state=established,related
add action=accept chain=input protocol=tcp
add action=accept chain=input comment="vpn: allow wireguard-sts" dst-port=\
    27558 protocol=udp
add action=drop chain=input comment=Drop
add action=accept chain=forward comment="Allow Estab & Related" \
    connection-state=established,related
/ip firewall nat
add action=masquerade chain=srcnat out-interface=wireguard-sts
/ip firewall service-port
set rtsp disabled=no
/ip route
add dst-address=0.0.0.0/0 gateway=192.168.1.1
add dst-address=192.168.1.0/24 gateway=172.16.1.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system identity
set name=hapmini_wg


Yo debería de poner el segmento de red al que me quiero conectar en el peer no? ej 190.168.190.0 y lo que no entiendo es si debería de poner un perfil para salir a internet en el sitio B usando el wifi y conectar el equipo al eth2 o usar el eth1 como salida a internet y conectarme al equipo que esta en B usando el wifi del hap mini.
O reseteo todo, configuro como router y cargo la configuración del tutorial WireGuard a fondo para crear el site 2 site?
Pues todo dependerá de como vayas a usar ese equipo cuando estés en remoto. ¿Cual va a ser su WAN principal? ¿Va a ir normalmente conectado a un wifi ajeno y esa va a ser su WAN? (Como si de un CPE inalámbrico en modo cliente se tratase) o por el contrario irá cableado a otro router y chupará de ahí la WAN?

Dependiendo del modo, puedes querer permitir en el allowed address únicamente la red lan remota o directamente permitir todo, si pretendes que todo tráfico que se genere detrás del hAP-mini vaya por el túnel.

De cualquier forma, mi preferencia sería trabajarlo en modo router, independientemente de las contestaciones a lo previo que te pregunto.

Saludos!
 
Pues todo dependerá de como vayas a usar ese equipo cuando estés en remoto. ¿Cual va a ser su WAN principal? ¿Va a ir normalmente conectado a un wifi ajeno y esa va a ser su WAN? (Como si de un CPE inalámbrico en modo cliente se tratase) o por el contrario irá cableado a otro router y chupará de ahí la WAN?

Dependiendo del modo, puedes querer permitir en el allowed address únicamente la red lan remota o directamente permitir todo, si pretendes que todo tráfico que se genere detrás del hAP-mini vaya por el túnel.

De cualquier forma, mi preferencia sería trabajarlo en modo router, independientemente de las contestaciones a lo previo que te pregunto.

Saludos!
Yo creo que este hap mini iria como CPE... ahi vi en el quickset esta la opción... hago un reset y hago un quickset con el modo CPE?
Perdon la ignorancia pero no entiendo a lo que te referís trabajarlo en modo router... Este ejercicio es para después conseguir algun hex/hex_s y ponerle un CCR312 para tener 10G en la lan de la `otra surcursal` y poder trabajar remoto desde cualquiera de las dos como un roadwarrior y acceder a los servidores o disponibilizaR archivos hacia la otra sucursal... Que entiendo por cuestiones de velocidad seria el otro escenario, el hex ira cableado a otro router y de ahi a la WAN (en teoría con ip publica tambien).
 
Yo creo que este hap mini iria como CPE... ahi vi en el quickset esta la opción... hago un reset y hago un quickset con el modo CPE?
Perdon la ignorancia pero no entiendo a lo que te referís trabajarlo en modo router... Este ejercicio es para después conseguir algun hex/hex_s y ponerle un CCR312 para tener 10G en la lan de la `otra surcursal` y poder trabajar remoto desde cualquiera de las dos como un roadwarrior y acceder a los servidores o disponibilizaR archivos hacia la otra sucursal... Que entiendo por cuestiones de velocidad seria el otro escenario, el hex ira cableado a otro router y de ahi a la WAN (en teoría con ip publica tambien).
Vale; por partes: de momento quieres probar con el hAP una supuesta conexión site to site, donde él se conecte a una wifi cualquiera, y a ti (o a cualquier equipo conectado al hAP) te de interconexión con la otra sede. Ese “modo prueba” es temporal, y a futuro lo que quieres montar son dos sedes, interconectadas entre sí, con otros equipos.

¿Es eso? Si lo es, dale un reset al hAP (déjale que cargue la config por defecto), y ejecuta en el quick set la plantilla de CPE, a ver qué config te crea. La exportas y la pegas aquí, y trabajamos sobre ella.

Saludos!
 
Hap mini: reste y quick set en modo cpe y router, adquisición automática.
Código:
# jan/02/1970 00:12:07 by RouterOS 7.5
# software id = S4GE-xxx
#
# model = RB931-2nD
# serial number = xxxx
/interface bridge
add admin-mac=08:55:31:FC:xx:xx auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
    country=argentina distance=indoors frequency=auto installation=indoor \
    ssid=MikroTik-FC9xx wireless-protocol=nv2-nstreme-802.11
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=pwr-line1
add bridge=bridge comment=defconf disabled=yes interface=wlan1
add bridge=bridge interface=ether1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add interface=wlan1 list=WAN
add interface=ether1 list=LAN
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=bridge list=LAN
/ip address
add address=192.168.1.1/24 comment=defconf interface=bridge network=\
    192.168.1.0
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=\
    192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.1.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/system identity
set name=hapmini_sts
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
 
Vale, pues, sobre esa configuración, habría que hacer:
- Sacar el puerto wlan1 del bridge.
- Poner la wlan1 en modo "station", para luego escanear con ella el entorno y conectarte a la wifi que sea que te haga de WAN
- Poner un cliente DHCP sobre dicha interfaz que te hace de WAN.
- Ajustar el direccionamiento del equipo: ahora mismo le tienes dado la 192.168.1.1 al bridge, pero sin embargo corres un DHCP server sobre la 192.168.88.0/24. O bien te llevas el dhcp server (servidor, pool y netowrk) a la 192.168.10/24 o bien cambias el direccionamiento del bridge y le das la IP 192.168.88.1/24

Saludos!
 
Arriba