Presentación y dudas

Hola, me presento. Me acabo de introducir al mundo Mikrotik gracias a vosotros y a vuestro enorme trabajo divulgativo y colaborativo, y a que el HGU Askey considero que es una m... pinchada en un palo. Me pasé una temporada jugueteando con unos HG556, LEDE's y demás cosas y si fallaban eran por mi culpa. El HGU me hizo un par de pirulas abriendo puertos que estuve a punto de tirarlo por la ventana... sin hablar de las desconexiones y cuelgues del Wifi 5.
Me compré un hAP lite en Wallapop para juguetear y ver si era capaz de domarlo un poco y al cabo de unos días ya me lancé y fuí a por un ac2.
Ya lo tengo montado tal que así: ONT (HGU en monopuesto) -> ac2 -> clientes varios, entre ellos un NAS. NAS y termostato por cable, domótica en el wifi 2.5 y lo otro en lo posible en el wifi 5. Algo sencillito.

He sido capaz de montar un Wireguard y acceder remotamente a la configuración WinBox del ac2 a través de un dominio propio y el DDNS de Mikrotik (todo esto ya supone todo un éxito para mi :D )

Ahora las dudas... tengo el NAS (un QNAP) como servidor de ficheros y me gustaría saber si debo añadirlo como peer en la configuración de WG en el ac2 e instalar el WG en el propio NAS como cliente, o simplemente se ha de redigir alguna cosa hacia el NAS una vez el equipo remoto ya está conectado correctamente al WG del router.
Otra más, se habla de tener un certificado SSL para acabar de securizar la conexión entre lo remoto y el NAS (e incluso el router, aunque, si solo se entra por el WinBox no debe ser necesario,¿no?). ¿Es realmente necesario si sólo accedo al NAS por SAMBA y siempre lo configuro en local? (En el ac2 lo tengo todo desactivado excepto el WinBox, con puerto cambiado y autorizado solo a dos IP internas, una 192.xxx.xx.x y otra del WG, 10.10.x.x)


Muchísimas gracias por todo el currazo y ayuda que prestais.

PD: última pregunta, estoy mirando de hacer algún curso para iniciarme en Mikrotik, con propósito de aprender y matar la curiosidad... alguno online recomendable, aunque sea de pago (de estos de 15 o 20€).

Saludos
 
He sido capaz de montar un Wireguard y acceder remotamente a la configuración WinBox del ac2 a través de un dominio propio y el DDNS de Mikrotik (todo esto ya supone todo un éxito para mi :D )
Dale un export y lo revisamos, por las dudas. No vayas a haber abierto la puerta de más en el chain de input.

Ahora las dudas... tengo el NAS (un QNAP) como servidor de ficheros y me gustaría saber si debo añadirlo como peer en la configuración de WG en el ac2 e instalar el WG en el propio NAS como cliente, o simplemente se ha de redigir alguna cosa hacia el NAS una vez el equipo remoto ya está conectado correctamente al WG del router.
Otra más, se habla de tener un certificado SSL para acabar de securizar la conexión entre lo remoto y el NAS (e incluso el router, aunque, si solo se entra por el WinBox no debe ser necesario,¿no?). ¿Es realmente necesario si sólo accedo al NAS por SAMBA y siempre lo configuro en local? (En el ac2 lo tengo todo desactivado excepto el WinBox, con puerto cambiado y autorizado solo a dos IP internas, una 192.xxx.xx.x y otra del WG, 10.10.x.x)
No necesitas nada más. Una vez conectado a wireguard el equipo remoto que requiere el acceso, tendrás acceso a todo lo que cuelga del router. No necesitas tener ningún otro tipo de cliente ni de acceso, el cliente de wireguard que uses en el dispositivo que está fuera de casa ya te está metiendo dentro de tu red local.

Y, si en local te fías de tus equipos, yo no instalaría ni certificado SSL adicional en el NAS, más que el que viene autofirmado que aceptas en el navegador como excepción y listo. El mejor y más protegido NAS es el que no puede accederse desde fuera, y sólo lo ves cuando estás conectado a la VPN o cuando estás dentro de casa.

Muchísimas gracias por todo el currazo y ayuda que prestais.

PD: última pregunta, estoy mirando de hacer algún curso para iniciarme en Mikrotik, con propósito de aprender y matar la curiosidad... alguno online recomendable, aunque sea de pago (de estos de 15 o 20€).
De nada. Si tienes un equipo "de pico", puedes ir experimentando con los distintos manuales que hay en este foro, empezando por el de primeros pasos, siguiendo por los tips&tricks, y luego, lo que sea que te llame la antención. Te dejo también algunos canales de youtube donde puedes aprender mucho, especialmente si te defiendes en inglés:




De pago, aún no conozco ninguno que te pueda recomendar.

Saludos!
 
Buenos días, ahí va:

Código:
# may/02/2022 18:28:57 by RouterOS 7.2.1


# software id = WI54-67LS


#


# model = RBD52G-5HacD2HnD


# serial number = E5780FB31926


/interface bridge


add admin-mac=DC:2C:6E:61:3E:4E auto-mac=no comment=defconf name=bridge


/interface wireless


set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \


    disabled=no distance=indoors frequency=auto installation=indoor mode=\


    ap-bridge ssid=CASA wireless-protocol=802.11


set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=\


    20/40/80mhz-XXXX disabled=no distance=indoors installation=indoor mode=\


    ap-bridge ssid=CASAPLUS wireless-protocol=802.11


/interface pppoe-client


add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 user=\


    adslppp@telefonicanetpa


/interface wireguard


add listen-port=12345 mtu=1420 name=wireguard


/interface list


add comment=defconf name=WAN


add comment=defconf name=LAN


/interface wireless security-profiles


set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys \


    supplicant-identity=MikroTik


/ip kid-control


add fri=0s-1d mon=0s-1d name=system-dummy sat=0s-1d sun=0s-1d thu=0s-1d tue=\


    0s-1d tur-fri=0s-1d tur-mon=0s-1d tur-sat=0s-1d tur-sun=0s-1d tur-thu=\


    0s-1d tur-tue=0s-1d tur-wed=0s-1d wed=0s-1d


/ip pool


add name=dhcp ranges=192.168.88.10-192.168.88.254


/ip dhcp-server


add address-pool=dhcp interface=bridge lease-time=1h name=defconf


/interface bridge port


add bridge=bridge comment=defconf interface=ether2


add bridge=bridge comment=defconf interface=ether3


add bridge=bridge comment=defconf interface=ether4


add bridge=bridge comment=defconf interface=ether5


add bridge=bridge comment=defconf interface=wlan1


add bridge=bridge comment=defconf interface=wlan2


/ip neighbor discovery-settings


set discover-interface-list=LAN


/interface list member


add comment=defconf interface=bridge list=LAN


add comment=defconf interface=ether1 list=WAN


add interface=pppoe-out1 list=WAN


add list=LAN


add interface=wireguard list=LAN


/interface wireguard peers


add allowed-address=10.10.0.2/32 interface=wireguard public-key=\


    "MLvDEKQXgepPxXOy1/JiYsVB8UvbSK8/ai9mNAqJYxQ="


/ip address


add address=192.168.88.1/24 comment=defconf interface=bridge network=\


    192.168.88.0


add address=192.168.50.1/24 network=192.168.50.0


add address=10.10.0.1/24 interface=wireguard network=10.10.0.0


/ip cloud


set ddns-enabled=yes ddns-update-interval=5m


/ip dhcp-client


add comment=defconf disabled=yes interface=ether1


/ip dhcp-server network


add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=\


    192.168.88.1


/ip dns


set allow-remote-requests=yes use-doh-server=https://1.1.1.2/dns-query \


    verify-doh-cert=yes


/ip dns static


add address=192.168.88.1 comment=defconf name=router.lan


/ip firewall filter


add action=accept chain=input comment=\


    "defconf: accept established,related,untracked" connection-state=\


    established,related,untracked


add action=drop chain=input comment="defconf: drop invalid" connection-state=\


    invalid


add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp


add action=accept chain=input comment=\


    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1


add action=accept chain=input comment="vpn: allow wireguard" dst-port=12345 \


    protocol=udp


add action=drop chain=input comment="defconf: drop all not coming from LAN" \


    in-interface-list=!LAN


add action=accept chain=forward comment="defconf: accept in ipsec policy" \


    ipsec-policy=in,ipsec


add action=accept chain=forward comment="defconf: accept out ipsec policy" \


    ipsec-policy=out,ipsec


add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \


    connection-state=established,related hw-offload=yes


add action=accept chain=forward comment=\


    "defconf: accept established,related, untracked" connection-state=\


    established,related,untracked


add action=drop chain=forward comment="defconf: drop invalid" \


    connection-state=invalid


add action=drop chain=forward comment=\


    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \


    connection-state=new in-interface-list=WAN


/ip firewall nat


add action=masquerade chain=srcnat comment="defconf: masquerade" \


    ipsec-policy=out,none out-interface-list=WAN


add action=dst-nat chain=dstnat disabled=yes dst-port=8080 in-interface=\


    all-ppp protocol=tcp to-addresses=192.168.88.20 to-ports=8080


/ip kid-control device


add mac-address=4C:EB:BD:D8:3A:73 name="TV;-1"


add mac-address=1C:91:80:BE:2A:44 name="Macbook;-1"


/ip service


set telnet disabled=yes


set ftp disabled=yes


set www address=0.0.0.0/24 disabled=yes


set ssh disabled=yes


set www-ssl port=4443


set api disabled=yes


set winbox address=192.168.88.10/32,10.10.0.2/32 port=11111


set api-ssl disabled=yes


/ipv6 firewall address-list


add address=::/128 comment="defconf: unspecified address" list=bad_ipv6


add address=::1/128 comment="defconf: lo" list=bad_ipv6


add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6


add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6


add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6


add address=100::/64 comment="defconf: discard only " list=bad_ipv6


add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6


add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6


add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6


/ipv6 firewall filter


add action=accept chain=input comment=\


    "defconf: accept established,related,untracked" connection-state=\


    established,related,untracked


add action=drop chain=input comment="defconf: drop invalid" connection-state=\


    invalid


add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\


    icmpv6


add action=accept chain=input comment="defconf: accept UDP traceroute" port=\


    33434-33534 protocol=udp


add action=accept chain=input comment=\


    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\


    udp src-address=fe80::/10


add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \


    protocol=udp


add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\


    ipsec-ah


add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\


    ipsec-esp


add action=accept chain=input comment=\


    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec


add action=drop chain=input comment=\


    "defconf: drop everything else not coming from LAN" in-interface-list=\


    !LAN


add action=accept chain=forward comment=\


    "defconf: accept established,related,untracked" connection-state=\


    established,related,untracked


add action=drop chain=forward comment="defconf: drop invalid" \


    connection-state=invalid


add action=drop chain=forward comment=\


    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6


add action=drop chain=forward comment=\


    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6


add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \


    hop-limit=equal:1 protocol=icmpv6


add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\


    icmpv6


add action=accept chain=forward comment="defconf: accept HIP" protocol=139


add action=accept chain=forward comment="defconf: accept IKE" dst-port=\


    500,4500 protocol=udp


add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\


    ipsec-ah


add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\


    ipsec-esp


add action=accept chain=forward comment=\


    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec


add action=drop chain=forward comment=\


    "defconf: drop everything else not coming from LAN" in-interface-list=\


    !LAN


/system clock


set time-zone-name=Europe/Madrid


/system package update


set channel=development


/tool mac-server


set allowed-interface-list=LAN


/tool mac-server mac-winbox


set allowed-interface-list=LAN

Ni caso del channel development del package update, se debió quedar así al consultarlo supongo. Sólo actualizo cuando sale una stable y está probada.
Por ahí en medio he visto algo de una subred 192.168.50.x si no es del WG ni del DHCP, supongo que la podré borrar, ¿no?
 
Te paso las cosillas que he visto raras o que puedes mejorar

Wifi: unifica las dos redes en una (mismo SSID) y recuerda que en 2,4GHz, mejor usar únicamente canales de 20MHz (channel-width=20MHz) y únicamente canales 1, 6 u 11). no lo dejes en auto. En 2,4GHz, mejor trabajar únicamente con g/n, y en 5GHz con n/ac. Debería quedar así el export del apartado /interface wireless
Código:
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-g/n channel-width=20mhz \
  disabled=no distance=indoors frequency=auto installation=indoor mode=\
  ap-bridge ssid=CASA wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-n/ac channel-width=\
  20/40/80mhz-XXXX disabled=no distance=indoors installation=indoor mode=\
  ap-bridge ssid=CASA wireless-protocol=802.11

Interface -> list: en las listas de interfaces, sobra ether1, ya que tu conexión es de tipo PPPoE. El pppoe-out1 sería tu única interfaz WAN. También tienes una entrada errónea, que se debió crear en algún momento, sin interface, apuntando a la lista LAN. Una vez corregido, debería quedar así:
Código:
/interface list member
add comment=defconf interface=bridge list=LAN
add interface=pppoe-out1 list=WAN
add interface=wireguard list=LAN

IP -> Address: como bien dices, la IP .50 debería desparecer. En winbox la verás en rojo, puesto que no tiene interfaz asociada

IP -> Cloud: no es necesario que definas el tiempo de actualización a 5min. Tan pronto detecte un cambio de IP, lo hará solita la sonda.

IP -> Firewall -> NAT: tienes una regla deshabilitada, que tiene como filtro "all-ppp" yo la borraría.

IP -> Services: deshabilita los que no uses, pero no es necesario que le cambies el puerto a los que sí usas, si sólo están accesibles desde tu LAN local. Tal y como tienes ahora mismo el firewall, están protegidos, a ellos sólo llega la lista LAN (ojo que la interfaz wireguard pertenece a ella).

System -> Package -> Update: lo que ya has comentado tú.

Enhorabuena, tienes una config de lo más limpita.
 
Código:
# may/04/2022 17:07:30 by RouterOS 7.2.1
# software id = WI54-67LS
#
# model = RBD52G-5HacD2HnD
# serial number = E5780FB31926
/interface bridge
add admin-mac=DC:2C:6E:61:3E:4E auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-g/n disabled=no distance=indoors installation=indoor mode=ap-bridge ssid=CASA wireless-protocol=\
    802.11 wps-mode=disabled
set [ find default-name=wlan2 ] band=5ghz-n/ac channel-width=20/40/80mhz-XXXX disabled=no distance=indoors installation=indoor mode=ap-bridge \
    ssid=CASA wireless-protocol=802.11 wps-mode=disabled
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 user=adslppp@telefonicanetpa
/interface wireguard
add listen-port=12345 mtu=1420 name=wireguard
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik
/ip kid-control
add fri=0s-1d mon=0s-1d name=system-dummy sat=0s-1d sun=0s-1d thu=0s-1d tue=0s-1d tur-fri=0s-1d tur-mon=0s-1d tur-sat=0s-1d tur-sun=0s-1d \
    tur-thu=0s-1d tur-tue=0s-1d tur-wed=0s-1d wed=0s-1d
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp interface=bridge lease-time=1h name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add interface=pppoe-out1 list=WAN
add interface=wireguard list=LAN
/interface wireguard peers
add allowed-address=10.10.0.2/32 interface=wireguard public-key="MLvDEKQXgepPxXOy1/JiYsVB8UvbSK8/ai9mNAqJYxQ="
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0
add address=10.10.0.1/24 interface=wireguard network=10.10.0.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf disabled=yes interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes use-doh-server=https://1.1.1.2/dns-query verify-doh-cert=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment="vpn: allow wireguard" dst-port=12345 protocol=udp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new \
    in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat disabled=yes dst-port=8080 in-interface=all-ppp protocol=tcp to-addresses=192.168.88.20 to-ports=8080
/ip kid-control device
add mac-address=4C:EB:BD:D8:3A:73 name="TV;-1"
add mac-address=1C:91:80:BE:2A:44 name="Macbook;-1"
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=0.0.0.0/24 disabled=yes
set ssh disabled=yes
set www-ssl port=4443
set api disabled=yes
set winbox address=192.168.88.10/32,10.10.0.2/32 port=11111
set api-ssl disabled=yes
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
/system clock
set time-zone-name=Europe/Madrid
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Adjuntadas tus sugerencias y corregidas algunas cosillas ha quedado tal que así.

Una pregunta de noob. Me comentas que una vez el cliente remoto WG está conectado, para acceder a la LAN interna no hace falta que los clientes sean peers. Pero, a que direcciones debo dirigirme, ¿a las 192.168.x.x o las 10.10.x.x? ¿Debo crear un pool y un DHCP en 10.10.x.x.? La regla esa que viste del NAT deshabilitada con un puerto 8080, era para testear el acceso remoto al NAS, y vi que puedo llegar a él con o sin el WG activado. He intentado leer un poco sobre abrir puertos después de la VPN, pero no logro sacar nada en claro.

Muchas gracias.
 
Código:
# may/04/2022 17:07:30 by RouterOS 7.2.1
# software id = WI54-67LS
#
# model = RBD52G-5HacD2HnD
# serial number = E5780FB31926
/interface bridge
add admin-mac=DC:2C:6E:61:3E:4E auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-g/n disabled=no distance=indoors installation=indoor mode=ap-bridge ssid=CASA wireless-protocol=\
    802.11 wps-mode=disabled
set [ find default-name=wlan2 ] band=5ghz-n/ac channel-width=20/40/80mhz-XXXX disabled=no distance=indoors installation=indoor mode=ap-bridge \
    ssid=CASA wireless-protocol=802.11 wps-mode=disabled
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 user=adslppp@telefonicanetpa
/interface wireguard
add listen-port=12345 mtu=1420 name=wireguard
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik
/ip kid-control
add fri=0s-1d mon=0s-1d name=system-dummy sat=0s-1d sun=0s-1d thu=0s-1d tue=0s-1d tur-fri=0s-1d tur-mon=0s-1d tur-sat=0s-1d tur-sun=0s-1d \
    tur-thu=0s-1d tur-tue=0s-1d tur-wed=0s-1d wed=0s-1d
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp interface=bridge lease-time=1h name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add interface=pppoe-out1 list=WAN
add interface=wireguard list=LAN
/interface wireguard peers
add allowed-address=10.10.0.2/32 interface=wireguard public-key="MLvDEKQXgepPxXOy1/JiYsVB8UvbSK8/ai9mNAqJYxQ="
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0
add address=10.10.0.1/24 interface=wireguard network=10.10.0.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf disabled=yes interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes use-doh-server=https://1.1.1.2/dns-query verify-doh-cert=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment="vpn: allow wireguard" dst-port=12345 protocol=udp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new \
    in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat disabled=yes dst-port=8080 in-interface=all-ppp protocol=tcp to-addresses=192.168.88.20 to-ports=8080
/ip kid-control device
add mac-address=4C:EB:BD:D8:3A:73 name="TV;-1"
add mac-address=1C:91:80:BE:2A:44 name="Macbook;-1"
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=0.0.0.0/24 disabled=yes
set ssh disabled=yes
set www-ssl port=4443
set api disabled=yes
set winbox address=192.168.88.10/32,10.10.0.2/32 port=11111
set api-ssl disabled=yes
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
/system clock
set time-zone-name=Europe/Madrid
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Adjuntadas tus sugerencias y corregidas algunas cosillas ha quedado tal que así.

Una pregunta de noob. Me comentas que una vez el cliente remoto WG está conectado, para acceder a la LAN interna no hace falta que los clientes sean peers. Pero, a que direcciones debo dirigirme, ¿a las 192.168.x.x o las 10.10.x.x? ¿Debo crear un pool y un DHCP en 10.10.x.x.? La regla esa que viste del NAT deshabilitada con un puerto 8080, era para testear el acceso remoto al NAS, y vi que puedo llegar a él con o sin el WG activado. He intentado leer un poco sobre abrir puertos después de la VPN, pero no logro sacar nada en claro.

Muchas gracias.
Tú, como peer que se conecta en remoto, tendrás una IP 10.10.0.2, que es la que has definido para tu peer. Pero accederás al resto de la red local, a la 192.168.88.X, porque ambas redes están enrutadas entre sí.

Es decir, si sales de tu red, levantas el wireguard, y haces ping a una IP de dentro de tu red, del tipo 192.168.88.x, verás que llegas a ella.

Saludos!
 
¡Que pasada! :D debido a mi ignorancia y algún que otro error de tecleado, no me lo creía . Tantas peleas con DDNS's, SSL, VPN's, puertos... ha sido comprar el ac2 y estar tranquilo sin puertos abiertos, proxys inversos y hacer las cosas en 1 minuto (al menos para las cosas que personalmente necesito). El Home Assist por ejemplo a la primera. Jeje gracias, Pokoyo.
Ahora a seguir peleándome con otras cositas ;)


Saludos
 
Son muy agradecidos estos chismes, una vez los tienes bien configurados. Te puedes pegar años sin tocarlos, que no se rinden, ni se cuelgan, ni se quejan. Aguantan estoicos

Saludos!
 
Arriba