Problema conexión entre distintas VLANS

Buenas tardes, llevo bastantes años leyendo el foro pero no estaba registrado. Con el tiempo he ido aprendiendo configuraciones y nuevos ajustes gracias a vosotros. Hoy tras leer e implementar las VLANS con este post: https://www.adslzone.net/foro/mikrotik.199/manual-mikrotik-bridge-vlan-filtering.564505 justo la sección -> BONUS TRACK - Implementar todo en el mismo bridge (PVID 1 = default VLAN) . He dejado funcionando las VLANS con sus respectivos servidores DHCP y la configuración siguiente:

Todo ello en el bridge llamado bridge-vlans:
vlan-home (id = 77) --> 172.16.0.0/26
vlan-servidores (id = 78 --> 172.16.0.64/26
vlan-domotica (id = 79) --> 172.16.0.128/26
vlan-camaras (id= 80) --> 172.16.0.192/28

*Actualmente como estoy probando por eso tengo el otro bridge llamado bridge. Así hago pruebas.

El problema me surge si por ejemplo, estoy en la vlan-domotica y quiero acceder a una cámara de la vlan-camaras. Aunque he probado diferentes cosas, en el firewall como podéis ver en el archivo de configuración he probado haciendo una regla de forward. Cuando hago ping desde un dispositivo desde la vlan-domotica hacía la vlan-camaras esta regla de firewall aumentan los paquetes (dentro de las estadísticas) pero sigo sin poder conectarme. Estoy seguro que algo se me debe de escapar.

Agradecería muchísimo vuestra ayuda y cualquier sugerencia.
# sep/03/2022 17:48:04 by RouterOS 7.4.1
# software id = XXXXX
#
# model = CCR1009-7G-1C-1S+
# serial number = xxxxxx
/interface bridge
add comment="-- BRIDGE INTERFACES --" dhcp-snooping=yes igmp-snooping=yes \
ingress-filtering=no name=bridge priority=0x9000 vlan-filtering=yes
add dhcp-snooping=yes igmp-snooping=yes ingress-filtering=no name=\
bridge-vlans vlan-filtering=yes
/interface ethernet
set [ find default-name=ether6 ] comment="-- TELEFON\CDA IP --" name=\
SIP_ether6 speed=100Mbps
set [ find default-name=ether5 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full comment=\
"-- WIFI --" name=WIFI_ether5 speed=100Mbps
set [ find default-name=ether3 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full comment=\
"-- ALBA --" name=alba_ether3
set [ find default-name=ether2 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full comment=\
"-- CAM --" name=camaras_ether2
set [ find default-name=ether1 ] comment="-- ENTRADA WAN INTERNET --" \
mac-address=E8:1B:69:60:49:FB name=internet speed=100Mbps
set [ find default-name=ether4 ] advertise=1000M-half,1000M-full comment=\
"-- SERVIDOR ---" name=servidor_ether4 speed=100Mbps
set [ find default-name=sfp-sfpplus1 ] advertise=10000M-full
set [ find default-name=ether7 ] comment="-- SWITCH --" name=switch_ether7 \
speed=100Mbps
/interface vlan
add interface=bridge-vlans name=vlan-camaras vlan-id=80
add interface=bridge-vlans name=vlan-domotica vlan-id=79
add interface=bridge-vlans name=vlan-home vlan-id=77
add interface=bridge-vlans name=vlan-servidores vlan-id=78
add interface=internet name=vlan100 vlan-id=100
/interface pppoe-client
add add-default-route=yes comment="-- PPPoe Client --" disabled=no interface=\
vlan100 name=pppoe-out1 user=xxxxxxxx
/interface list
add name=WAN
add name=LAN
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec proposal
set [ find default=yes ] disabled=yes
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
add name=dhcp ranges=0.0.0.1-0.0.0.254
add name=dhcp_pool ranges=192.168.1.30-192.168.1.254
add name=dhcp-home ranges=172.16.0.2-172.16.0.62
add name=dhcp-servidores ranges=172.16.0.65-172.16.0.126
add name=dhcp-domotica ranges=172.16.0.129-172.16.0.190
add name=dhcp-camaras ranges=172.16.0.197-172.16.0.206
/ip dhcp-server
add address-pool=dhcp_pool interface=bridge name=dhcp1
add address-pool=dhcp-home interface=vlan-home name=dhcp-home
add address-pool=dhcp-servidores interface=vlan-servidores name=\
dhcp-servidores
add address-pool=dhcp-domotica interface=vlan-domotica name=dhcp-domotica
add address-pool=dhcp-camaras interface=vlan-camaras name=dhcp-camaras
/port
set 0 name=serial0
set 1 name=serial1
/routing bgp template
set default disabled=no output.network=bgp-networks
/routing ospf instance
add disabled=no name=default-v2
/routing ospf area
add disabled=yes instance=default-v2 name=backbone-v2
/snmp community
set [ find default=yes ] name=publicHA
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
sword,web,sniff,sensitive,api,romon,dude,rest-api"
/interface bridge port
add bridge=bridge-vlans ingress-filtering=no interface=camaras_ether2 pvid=80
add bridge=bridge ingress-filtering=no interface=servidor_ether4
add bridge=bridge ingress-filtering=no interface=WIFI_ether5
add bridge=bridge-vlans ingress-filtering=no interface=SIP_ether6 pvid=79
add bridge=bridge ingress-filtering=no interface=switch_ether7
add bridge=bridge ingress-filtering=no interface=sfp-sfpplus1
add bridge=bridge-vlans ingress-filtering=no interface=combo1 pvid=79
add bridge=bridge-vlans ingress-filtering=no interface=alba_ether3 pvid=77
add bridge=bridge ingress-filtering=no interface=internet
/interface bridge settings
set use-ip-firewall=yes use-ip-firewall-for-vlan=yes
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/ip settings
set max-neighbor-entries=8192 tcp-syncookies=yes
/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192
/interface bridge vlan
add bridge=bridge-vlans comment=home tagged=bridge-vlans vlan-ids=77
add bridge=bridge-vlans comment=servidores tagged=bridge-vlans vlan-ids=78
add bridge=bridge-vlans comment=domotica tagged=bridge-vlans vlan-ids=79
add bridge=bridge-vlans comment=camaras tagged=bridge-vlans vlan-ids=80
/interface l2tp-server server
set enabled=yes use-ipsec=yes
/interface list member
add interface=internet list=WAN
add interface=camaras_ether2 list=LAN
add interface=alba_ether3 list=LAN
add interface=servidor_ether4 list=LAN
add interface=WIFI_ether5 list=LAN
add interface=SIP_ether6 list=LAN
add interface=switch_ether7 list=LAN
add interface=sfp-sfpplus1 list=LAN
add interface=combo1 list=LAN
add interface=bridge list=LAN
add interface=vlan100 list=WAN
add interface=pppoe-out1 list=WAN
add interface=vlan-home list=LAN
add interface=vlan-servidores list=LAN
add interface=vlan-domotica list=LAN
add interface=vlan-camaras list=LAN
add interface=bridge-vlans list=LAN
/interface ovpn-server server
set auth=sha1,md5
/ip address
add address=192.168.1.1/24 interface=bridge network=192.168.1.0
add address=172.16.0.0/26 interface=vlan-home network=172.16.0.0
add address=172.16.0.64/26 interface=vlan-servidores network=172.16.0.64
add address=172.16.0.128/26 interface=vlan-domotica network=172.16.0.128
add address=172.16.0.192/28 interface=vlan-camaras network=172.16.0.192
/ip dhcp-server lease
add address=192.168.1.94 client-id=1:e4:5f:1:5:7f:cd mac-address=\
E4:5F:01:05:7F:CD server=dhcp1
/ip dhcp-server network
add address=172.16.0.0/26 comment=home dns-server=172.16.0.1 gateway=\
172.16.0.1
add address=172.16.0.64/26 comment=servidores dns-server=172.16.0.64 gateway=\
172.16.0.64
add address=172.16.0.128/26 comment=domotica dns-server=172.16.0.128 gateway=\
172.16.0.128
add address=172.16.0.192/28 comment=camaras dns-server=172.16.0.192 gateway=\
172.16.0.192
add address=192.168.1.0/24 dns-server=192.168.1.1,1.1.1.1 gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,8.8.4.4
/ip firewall address-list
add address=192.168.1.0/24 list="Red Lan"
/ip firewall filter
add action=drop chain=input dst-port=53 in-interface-list=WAN protocol=tcp
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=accept chain=forward dst-address=172.16.0.192/28 src-address=\
172.16.0.128/26
add action=accept chain=forward dst-address=172.16.0.192/28 src-address=\
192.168.1.0/24
add action=accept chain=forward dst-address=172.16.0.128/26 src-address=\
172.16.0.192/28
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
disabled=yes ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
disabled=yes ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
add action=accept chain=srcnat comment=nateo-lan-to-wan dst-address=\
46.27.229.69 ipsec-policy=out,none src-address=192.168.1.0/24
/ip firewall nat
add action=masquerade chain=srcnat comment="HAIRPIN NAT" dst-address=\
192.168.1.0/24 src-address=192.168.1.0/24
add action=masquerade chain=srcnat comment="-- General --" out-interface=\
pppoe-out1
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
/ip ipsec policy
set 0 disabled=yes
/ip route
add disabled=yes dst-address=192.168.1.0/32 gateway=camaras_ether2
add disabled=yes dst-address=0.0.0.0/0 gateway=100.70.0.1
add disabled=yes dst-address=0.0.0.0/0 gateway=192.168.1.1
/ip service
set telnet disabled=yes
set ftp address=192.168.1.102/32 disabled=yes port=860
set www address=192.168.1.49/32 port=8093
set ssh disabled=yes
set www-ssl certificate=*1
set api disabled=yes
set winbox address=192.168.1.3/32,192.168.1.4/32,192.168.1.0/24 disabled=yes \
port=14581
set api-ssl certificate=DigiCertGlobalRootCA.crt.pem_0 disabled=yes
/ip ssh
set forwarding-enabled=remote
/ip upnp
set show-dummy-rule=no
/lcd
set backlight-timeout=5m color-scheme=dark default-screen=interfaces \
time-interval=daily
/system clock
set time-zone-name=Europe/Madrid
/system routerboard settings
set silent-boot=yes
/tool bandwidth-server
set enabled=no
/tool graphing queue
add
/tool graphing resource
add
 
Última edición:
Tienes un buen carajal montado con el firewall y los settings del bridge. Te recomendaría rehacerlo desde la configuración por defecto, todo en un mismo bridge (hasta que no deshabilites la vlan por defecto vas a seguir teniendo acceso al equipo), ya que no es necesario separarlo en dos. Usando la config por defecto, todas las vlans se comunican entre sí, y eres tú el que ha de impedir esa comunicación vía firewall.

Además de esto, si ese equipo va a ir montado en una empresa, te recomendaría que le dieras una pensada al setup. Si te fijas en su ficha técnica, ese equipo tiene un hardware donde todos los puertos ethernet van con línea directa a la cpu, sin pasar por un switch chip. Eso quiere decir que es un equipo pensado para routing, no para switching. Si es para andar por casa no vas a notar mucha diferencia, pero si de verdad quieres que ese equipo haga el desempeño idóneo para el que lo construyeron, monta un switch estionable debajo y que el sea el switch el que se encargue de las vlans. Tú únicamente las definirías todas en un puerto ethernet, sin más bridge ni más nada, y las direccionarías y configurarías su comunicación en L3 vía firewall. Y el switch que haga switching, y el router que haga routing.

Saludos!
 
Tienes un buen carajal montado con el firewall y los settings del bridge. Te recomendaría rehacerlo desde la configuración por defecto, todo en un mismo bridge (hasta que no deshabilites la vlan por defecto vas a seguir teniendo acceso al equipo), ya que no es necesario separarlo en dos. Usando la config por defecto, todas las vlans se comunican entre sí, y eres tú el que ha de impedir esa comunicación vía firewall.

Además de esto, si ese equipo va a ir montado en una empresa, te recomendaría que le dieras una pensada al setup. Si te fijas en su ficha técnica, ese equipo tiene un hardware donde todos los puertos ethernet van con línea directa a la cpu, sin pasar por un switch chip. Eso quiere decir que es un equipo pensado para routing, no para switching. Si es para andar por casa no vas a notar mucha diferencia, pero si de verdad quieres que ese equipo haga el desempeño idóneo para el que lo construyeron, monta un switch estionable debajo y que el sea el switch el que se encargue de las vlans. Tú únicamente las definirías todas en un puerto ethernet, sin más bridge ni más nada, y las direccionarías y configurarías su comunicación en L3 vía firewall. Y el switch que haga switching, y el router que haga routing.

Saludos!
Buenas, lo primero darte las gracias por contestar. Analizando lo que comentas, tiene toda la lógica que las VLANS desde un inicio estén conectadas y posteriormente tu seas quien vía firewall impidas esa comunicación (anteriormente he realizado algunas simulaciones con Cisco Packet Tracert y claro, en esa marca cuando creas las VLANS desde un inicio no están interconectadas y necesitas del /ip routing, de ahí la duda que tenía).
Tengo un TP-Link T1600G-28TS que quizás podría realizar la función de switch y gestionar correctamente las VLANS. ¿Tú que opinas, es viable? Sino entiendo mal sería un enlace Trunk desde el mikrotik hacía el Tp-Link, para que él fuera el que asignara las VLANS a los puertos ethernet.

Sobre el mikrotik, para hacerlo bien. Me podrías indicar como poner la configuración por defecto. Así empiezo creando ya el bridge-vlans desde 0 y lo llevo sin errores.
 
Buenas, lo primero darte las gracias por contestar. Analizando lo que comentas, tiene toda la lógica que las VLANS desde un inicio estén conectadas y posteriormente tu seas quien vía firewall impidas esa comunicación (anteriormente he realizado algunas simulaciones con Cisco Packet Tracert y claro, en esa marca cuando creas las VLANS desde un inicio no están interconectadas y necesitas del /ip routing, de ahí la duda que tenía).
Tengo un TP-Link T1600G-28TS que quizás podría realizar la función de switch y gestionar correctamente las VLANS. ¿Tú que opinas, es viable? Sino entiendo mal sería un enlace Trunk desde el mikrotik hacía el Tp-Link, para que él fuera el que asignara las VLANS a los puertos ethernet.

Sobre el mikrotik, para hacerlo bien. Me podrías indicar como poner la configuración por defecto. Así empiezo creando ya el bridge-vlans desde 0 y lo llevo sin errores.
Correcto. La implementación buena en tu equipo es poner todas las vlans en un puerto físico TRUNK, y pasarlas al swtich. Direccionas en IP -> address esas VLANs y las incomunicas como quieras en el firewall (en capa 2, en el switch, ya lo están, pero están comunicadas entre sí a nivel de router por defecto). Y sí, puedes usar perfectamente ese switch para el manejo de vlans: un puerto trunk y el resto de acceso de las VLANs que necesites.

La putada es que tu equipo, al ser gama profesional, creo que no lleva script de auto-configuración. Es decir que, si haces lo que te comenta @controlC, no vas a ver mucha config. Abajo te pongo cómo sería un export de una config por defecto.

No obstante, te dejo un enlace que te explica cómo montar VLANs en un equipo de tu ramo, de manera manual y mucho más restrictiva: https://forum.mikrotik.com/viewtopic.php?p=781603

Un ejemplo de config por defecto podría ser esta, para un router de 5 puertos:
Código:
/interface bridge
add comment=defconf name=bridge
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
/ip dhcp-client
add comment=defconf interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=\
    192.168.88.1 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/system clock
set time-zone-name=Europe/London
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN


Y un ejemplo de vlans, sobre la config por defecto, usando bridge vlan filtering, sería este:
Código:
# Creamos el cliente PPPoE que nos debe der IP pública
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=internet user=\
    adslppp@telefonicanetpa password=adslppp

# Reemplazamos ether1 en la lista WAN por la nueva interfaz internet
# Así mismo, borramos el cliente DHCP por defecto de ether1
/interface list member
set [find where interface=ether1 and list=WAN] interface=internet

# Creamos las VLANs internas
/interface vlan
add interface=bridge name=vlan-home vlan-id=77
add interface=bridge name=vlan-domotica vlan-id=78
add interface=bridge name=vlan-invitados vlan-id=79

# Las direccionamos
/ip address
add address=192.168.77.1/24 interface=vlan-home
add address=192.168.78.1/24 interface=vlan-domotica
add address=192.168.79.1/24 interface=vlan-invitados

# Creamos los pools para las vlans
/ip pool
add name=dhcp-home ranges=192.168.77.10-192.168.77.254
add name=dhcp-domotica ranges=192.168.78.10-192.168.78.254
add name=dhcp-invitados ranges=192.168.79.10-192.168.79.254

# Cremos los servidores DHCP
/ip dhcp-server
add address-pool=dhcp-home interface=vlan-home name=dhcp-home
add address-pool=dhcp-domotica interface=vlan-domotica name=dhcp-domotica
add address-pool=dhcp-invitados interface=vlan-invitados name=dhcp-invitados
/ip dhcp-server network
add address=192.168.77.0/24 comment=home dns-server=192.168.77.1 gateway=192.168.77.1
add address=192.168.78.0/24 comment=domotica dns-server=8.8.8.8,8.8.4.4 gateway=192.168.78.1
add address=192.168.79.0/24 comment=invitados dns-server=8.8.8.8,8.8.4.4 gateway=192.168.79.1

# Asignamos los puertos físicos del router a la vlan-home (si usas algo cableado en otra VLAN, dime)
/interface bridge port
set [find where interface=ether2] frame-types=admit-only-untagged-and-priority-tagged pvid=77
set [find where interface=ether3] frame-types=admit-only-untagged-and-priority-tagged pvid=77
set [find where interface=ether4] frame-types=admit-only-untagged-and-priority-tagged pvid=77
set [find where interface=ether5] frame-types=admit-only-untagged-and-priority-tagged pvid=77

# Creamos una nueva lista para las VLANS que van a estar aisladas.
/interface list
add name=ISOLATED

# Metemos cada vlan en su lista, la vlan-home en LAN, las otras dos en ISOLATED
/interface list member
add interface=vlan-home list=LAN
add interface=vlan-domotica list=ISOLATED
add interface=vlan-invitados list=ISOLATED

# Prohibimos de entrada que las vlans se comuniquen con nada más que internet (luego modificaremos esto)
/ip firewall filter
add action=reject chain=forward comment="vlans: can only access internet" in-interface-list=\
  ISOLATED out-interface-list=!WAN reject-with=icmp-network-unreachable

# Definimos la lista de VLANs en el bridge
/interface bridge vlan
add bridge=bridge comment=home tagged=bridge vlan-ids=77
add bridge=bridge comment=domotica tagged=bridge vlan-ids=78
add bridge=bridge comment=invitados tagged=bridge vlan-ids=79

# Y, por último, activamos el vlan filtering (a partir de ese momento, se acabó la subred .88)
/interface bridge
set 0 frame-types=admit-only-vlan-tagged vlan-filtering=yes

Saludos!
 
Correcto. La implementación buena en tu equipo es poner todas las vlans en un puerto físico TRUNK, y pasarlas al swtich. Direccionas en IP -> address esas VLANs y las incomunicas como quieras en el firewall (en capa 2, en el switch, ya lo están, pero están comunicadas entre sí a nivel de router por defecto). Y sí, puedes usar perfectamente ese switch para el manejo de vlans: un puerto trunk y el resto de acceso de las VLANs que necesites.

La putada es que tu equipo, al ser gama profesional, creo que no lleva script de auto-configuración. Es decir que, si haces lo que te comenta @controlC, no vas a ver mucha config. Abajo te pongo cómo sería un export de una config por defecto.

No obstante, te dejo un enlace que te explica cómo montar VLANs en un equipo de tu ramo, de manera manual y mucho más restrictiva: https://forum.mikrotik.com/viewtopic.php?p=781603

Un ejemplo de config por defecto podría ser esta, para un router de 5 puertos:
Código:
/interface bridge
add comment=defconf name=bridge
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
/ip dhcp-client
add comment=defconf interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=\
    192.168.88.1 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/system clock
set time-zone-name=Europe/London
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN


Y un ejemplo de vlans, sobre la config por defecto, usando bridge vlan filtering, sería este:
Código:
# Creamos el cliente PPPoE que nos debe der IP pública
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=internet user=\
    adslppp@telefonicanetpa password=adslppp

# Reemplazamos ether1 en la lista WAN por la nueva interfaz internet
# Así mismo, borramos el cliente DHCP por defecto de ether1
/interface list member
set [find where interface=ether1 and list=WAN] interface=internet

# Creamos las VLANs internas
/interface vlan
add interface=bridge name=vlan-home vlan-id=77
add interface=bridge name=vlan-domotica vlan-id=78
add interface=bridge name=vlan-invitados vlan-id=79

# Las direccionamos
/ip address
add address=192.168.77.1/24 interface=vlan-home
add address=192.168.78.1/24 interface=vlan-domotica
add address=192.168.79.1/24 interface=vlan-invitados

# Creamos los pools para las vlans
/ip pool
add name=dhcp-home ranges=192.168.77.10-192.168.77.254
add name=dhcp-domotica ranges=192.168.78.10-192.168.78.254
add name=dhcp-invitados ranges=192.168.79.10-192.168.79.254

# Cremos los servidores DHCP
/ip dhcp-server
add address-pool=dhcp-home interface=vlan-home name=dhcp-home
add address-pool=dhcp-domotica interface=vlan-domotica name=dhcp-domotica
add address-pool=dhcp-invitados interface=vlan-invitados name=dhcp-invitados
/ip dhcp-server network
add address=192.168.77.0/24 comment=home dns-server=192.168.77.1 gateway=192.168.77.1
add address=192.168.78.0/24 comment=domotica dns-server=8.8.8.8,8.8.4.4 gateway=192.168.78.1
add address=192.168.79.0/24 comment=invitados dns-server=8.8.8.8,8.8.4.4 gateway=192.168.79.1

# Asignamos los puertos físicos del router a la vlan-home (si usas algo cableado en otra VLAN, dime)
/interface bridge port
set [find where interface=ether2] frame-types=admit-only-untagged-and-priority-tagged pvid=77
set [find where interface=ether3] frame-types=admit-only-untagged-and-priority-tagged pvid=77
set [find where interface=ether4] frame-types=admit-only-untagged-and-priority-tagged pvid=77
set [find where interface=ether5] frame-types=admit-only-untagged-and-priority-tagged pvid=77

# Creamos una nueva lista para las VLANS que van a estar aisladas.
/interface list
add name=ISOLATED

# Metemos cada vlan en su lista, la vlan-home en LAN, las otras dos en ISOLATED
/interface list member
add interface=vlan-home list=LAN
add interface=vlan-domotica list=ISOLATED
add interface=vlan-invitados list=ISOLATED

# Prohibimos de entrada que las vlans se comuniquen con nada más que internet (luego modificaremos esto)
/ip firewall filter
add action=reject chain=forward comment="vlans: can only access internet" in-interface-list=\
  ISOLATED out-interface-list=!WAN reject-with=icmp-network-unreachable

# Definimos la lista de VLANs en el bridge
/interface bridge vlan
add bridge=bridge comment=home tagged=bridge vlan-ids=77
add bridge=bridge comment=domotica tagged=bridge vlan-ids=78
add bridge=bridge comment=invitados tagged=bridge vlan-ids=79

# Y, por último, activamos el vlan filtering (a partir de ese momento, se acabó la subred .88)
/interface bridge
set 0 frame-types=admit-only-vlan-tagged vlan-filtering=yes

Saludos!
Okay, pues le doy un vistazo tranquilamente y en cuanto tenga un rato me pondré a ello. Con toda la información que has mandado me veo más capaz de ponerlo a funcionar jajaja. Ya iré actualizando con lo que surga :)

Un saludo.
 
Arriba