Recomendación para VPN en zona rural de Cantabria (Starlink NO => 4G/LTE)

JuliaRural · 2 Agosto 2022

pokoyo dijo:
Julia, cuando puedas, actualiza la versión de firmware del módem LTE. Han sacado la versión R11e-LTE6_V034 del módem LTE6.

Saludos!

Buenos días, Pokoyo.

Nota: las fotos que te pongo son muestras a distintas horas del día, he hecho pruebas por la mañana, mediodía y tarde-noche. Pongo solo algunas de las tomadas.

He estado unos días haciendo unas cuentas pruebas y por eso no había respondido antes, para no marear. Ya que me ha llegado la tarjeta de Orange, he podido hacer pruebas tanto con la SIM 1 como con la SIM 2. Además, Movistar la he convertido también en ilimitada, por si había variaciones. La antena no puede estar mejor posicionada, está a 1-1.5ma sobre la parte más alta del tejado y apunta a las antenas de 20km. A no ser que haya nubes, se divisan encima de la montaña.
La buena noticia de los 70 Mbps de bajada se enfrió rápido, no pasó ni una noche, y las pruebas durante estos 6 días han mostrado la mayoría de veces 2.5 Mbps, como nos pasaba. Solo ha habido un día que llegó a 10-15 Mbps. Todo esto con la misma configuración, por lo que parece que es decisión de Movistar.

Fotos desde el 28 de Julio al 1 de Agosto:

Antes estaba usando una tarjeta que compartía datos con otra, dos números distintos pero mismo plan limitado de datos. Ahora la tarjeta de la antena usa un plan ilimitado. Por supuesto, actualicé a la nueva versión del LTE que me dijiste.

Llegué a pensar que por tener que introducir el pin en la SIM hacía que tuviese mayor retraso (¿por procesamiento y verificación de cada paquete? por supuesto, no tengo ni idea). Al final he quitado el pin a las dos tarjetas, tanto a la de movistar como a la de orange.
Luego, cuando me llegó la de Orange, orientada a las mismas antenas (no he probado qué pasa si apunto a las antenas de 1.5km), la metí en la SIM 2 y por software cambié al puerto "b" de LTE:

Código:

/interface lte apn
add name=orange apn=orangeworld authentication=pap use-network-apn=yes use-peer-dns=no user=orange password=orange

Creo que puse esto:

Código:

/interface lte settings set sim-slot=b

Por GUI en winbox, quité las bandas 3 y 7 y seleccioné el APN creado por terminal para orange (siguiendo la web que pusisteis). Seguí marcando 3g y LTE.

Todas las métricas de cobertura/conectividad son desastrosas para Orange (2 malos, 2 regular/"fair") con respecto a Movistar (3 excelentes y 1 bueno en la mayoría de casos).

Sin embargo, tal y como he ido viendo estos días, que la conectividad no refleja el ancho de banda y condiciones reales de ping (llegué a tener 70/50Mbps con Movistar estando en 3 bien y 1 excelente), aquí ha sido aún más claro.

Fotos del 1 de Agosto:

He hecho pruebas durante 2 días y parece mantenerse mejor que con Movistar, aún estando tan mal los valores. Solo ha habido 2 veces que me ha parecido perder la conexión a internet durante algún minuto. Supongo que tenga que hacer más pruebas a la larga, durante estas semanas (cambiando por software una SIM por otra), y ver qué prefiero: si Movistar con 2.5/40 pero conexión estable, ADSL con 4.5/0.5 pero conexión estable, o Orange con 40/20 pero a veces con alguna caída. Por supuesto, hay que coger esto con pinzas, no son experimentos científicos, sino muestreos sueltos. Pero vamos, que por ahora prefiero la velocidad y bajo ping de Orange, pues se nota que para trabajar y navegar es mejor que Movistar (si sigue con ese límite de 2.5 en bajada).

Muestro también las bandas que se ven con Orange. En este caso no estoy forzando a usar 2 concretas, sino que vaya por en automático escogiendo lo que prefiera.

Fotos del 1 y 2 de Agosto con mi cable definitivo aunque "crimpado" de forma regular (10/100 naranja; ya volveré a hacer este extremo por si acaso):

orange-sim2-speedtest-wire-cat6ext-2022-08-01_16-22.png

orange-sim2-speedtest-wire-cat6ext-2022-08-01_16-32.png

orange-sim2-speedtest-wire-cat6ext-2022-08-01_16-50.png

orange-sim2-speedtest-wire-cat6ext-2022-08-02_00-04.png

orange-sim2-speedtest-wire-cat6ext-2022-08-02_09-17.png

Dicho todo esto, si hay algo que crees que puedo probar o experimentar en paralelo, adelante

Por otro lado, ¿te parece que montemos la instalación de casa?

Por otro lado, ¿te parece que montemos la instalación de casa?

Estos días he aprovechado y "aprendido a crimpar" los cables que compré, más o menos (me queda por mejorar, aunque lo he hecho lo mejor que he podido). No lo he hecho perfecto pues se me ha quedado en naranja el led el switch (supongo que 10/100), por lo que volveré a probar estos días. De todas formas, no es un problema, pues la antena no llega a ese límite. Era un cable CAT6 FTP de exteriores (23AWG), y le di margen para poder hacer más pruebas y "crimpados" por si salía mal. Ya he hecho pruebas cambiando el cable comprado y hecho en fábrica por el mío y consigo los mismos resultados con la antena, así que ya tengo la instalación final en lo que respecta al cable desde la SXT hasta la planta 3 donde estará la instalación principal con el router HAP ac3. He quitado el cable temporal y ahora tengo la instalación definitiva atravesando el tejado, con toma tierra y todo bien organizado.

También he probado a conectar directamente el cAP Lite al PC, pero al no tener internet no he podido actualizar su firmware. Sí he podido conectarme desde el móvil, pero nada más. Tiene de momento la 192.168.88.1.

Lo primero que me gustaría hacer es poder montar el router Mikrotik para que pueda usar la SXT, y proporcionar wifi para que otros dispositivos puedan usar la conexión de internet que el router decida (bien la antena SXT, bien el ADSL). Además, configurar el cAP Lite para CAPsMAN, pues lo voy a llevar a la segunda planta. Otro paso podría ser cómo hacer que la ADSL esté de respaldo, y si pudiese configurarse por software el router para que la use si la SXT no tiene internet, por ejemplo (o si se te ocurre una politica mejor, o incluso un modo manual forzado por si quisiese tirar de ADSL temporalmente - p.ej. si hay muchas micro-desconexiones con la SXT).

He de decir que tengo un switch con 4 puertos con PoE (como actualmente está la SXT, conectada a uno de esos) y otros 4 normales. Supongo que este se pueda llevar al Router PoE out, pues quitaremos un hop a internet desde el router sin pasar por el switch, pero para el cAP Lite había pensado en tirar del switch, con uno de sus PoE out.

Entiendo que para el ADSL necesitaré el router de movistar (para que haga de modem?, pues el mikrotik no parece tener rj11 de telefono), y luego conectarlo via ethernet directo al router de mikrotik al puerto (entrada "1 PoE in Internet"?). Y del "5 PoE out LAN" voy a la SXT?.

Gracias de antemano.

pokoyo · 2 Agosto 2022

Hola Julia!

Te intento contestar en cuanto pueda. Tengo una semana muy liada, pero en cuanto saque un rato lo veo en detalle y te contesto por puntos.

Para el tema de la velocidad vamos a tener que tirar de mapa y ver dónde tienes las torres situadas, qué operador las usa y qué bandas usar, porque esos bailes de velocidad no son muy normales, especialmente con buena seña de recepción.

Por gastar la última bala que de me ocurre a nivel configuración, usando el APN propio de movistar/organge, ¿podrías modificar la regla de mangle y cambiar el ttl a 65 en lugar de 64? Debería funcionar igual, a menos que el módem lo esté considerando como externo y tengas un salto más.

Se cambia en IP > Firewall > Mangle. Doble click en la única regla que tienes ahí, y en la pestaña del action, tienes el valor del ttl a 64, simplemente lo cambias a 65.

El resto, intento contestártelo punto por punto en cuanto pueda.

Saludos!

JuliaRural · 2 Agosto 2022

pokoyo dijo:
Hola Julia!

Te intento contestar en cuanto pueda. Tengo una semana muy liada, pero en cuanto saque un rato lo veo en detalle y te contesto por puntos.

Para el tema de la velocidad vamos a tener que tirar de mapa y ver dónde tienes las torres situadas, qué operador las usa y qué bandas usar, porque esos bailes de velocidad no son muy normales, especialmente con buena seña de recepción.

Por gastar la última bala que de me ocurre a nivel configuración, usando el APN propio de movistar/organge, ¿podrías modificar la regla de mangle y cambiar el ttl a 65 en lugar de 64? Debería funcionar igual, a menos que el módem lo esté considerando como externo y tengas un salto más.

Se cambia en IP > Firewall > Mangle. Doble click en la única regla que tienes ahí, y en la pestaña del action, tienes el valor del ttl a 64, simplemente lo cambias a 65.

El resto, intento contestártelo punto por punto en cuanto pueda.

Saludos!

Hola Pokoyo,

Perfecto, gracias, te dejo aquí las pruebas.

Mañana por la mañana vuelvo a probar exactamente lo mismo a eso de las 8-10 a ver qué ocurre, y si me da tiempo, a eso de las 13-14h, por si fluctúan los resultados.

He usado tanto la SIM A (Movistar) como la SIM B (Orange), cada uno con su APN. No he hecho reboot, sino directamente con el cambio del interfaz y esperar a que él mismo haga reset.

He puesto tanto con TTL 64 como 65, aunque entre esos dos valores no he hecho reboot ni nada similar (solo apply al interfaz lte1).

Los valores están dando muy altos en las dos SIM. Hay que decir que no he configurado movistar para usar las dos bandas (3, 7), sino que lo he dejado en auto como en orange.

Empiezo con orange:

Ahora Movistar:

Es curioso porque Orange siempre tiene un "idle ping" (icono amarillo) de entorno a 20ms, mientras movistar de 39-40ms. Sin embargo, mientras se descarga o sube, salen pings muy superiores en Orange que en Movistar (los iconos azul y morado; download latency y upload latency). ¿Cómo lo interpreto?

Si quieres que haga algún otra prueba, dime, que estaré encantada.

Un saludo

Edito: subo las capturas de las pruebas hechas hace 20m. Los resultados siguen siendo los mismos que anoche. No parece haber diferencias notables entre 64 y 65. Independientemente a la instalación, seguiré viendo cómo se comporta movistar u orange estos días, por si vuelve a bajar a 2.5 Mbps. De momento mantendré ambas compañías, pues alternar de SIM por software (winbox) es muy sencillo. Al final no me fío de que movistar no me vuelva a dar poca bajada un día de estos, pues ha sido la norma desde que instalé la antena.

Me sigue pareciendo muy curioso que con tan poca conectividad y valores tan malos llegue a funcionar tan bien (velocidad). Al final es un lío todo esto, me ha desmontado los esquemas y ahora no entiendo la importancia de las 4 métricas con respecto a la velocidad/ping real de la conexión.

pokoyo · 4 Agosto 2022

Te voy contestando a los dos post anteriores:

JuliaRural dijo:
Llegué a pensar que por tener que introducir el pin en la SIM hacía que tuviese mayor retraso (¿por procesamiento y verificación de cada paquete? por supuesto, no tengo ni idea). Al final he quitado el pin a las dos tarjetas, tanto a la de movistar como a la de orange.

El pin sólo se valida para registrarte en la red. Una vez registrado, no se usa para nada más. Eso ni quita ni pone velocidad.

JuliaRural dijo:
Luego, cuando me llegó la de Orange, orientada a las mismas antenas (no he probado qué pasa si apunto a las antenas de 1.5km), la metí en la SIM 2 y por software cambié al puerto "b" de LTE:

Puedes ser una buena prueba apuntar a las otras torres. ¿Cómo estás localizando la situación de las torres de telefonía móvil? Si te estás apoyando en mapas tipo el de cellmapper revisa las bandas en las que emiten las torres cercanas y para qué operadores se usan. Puede que la que tengas a 1,5KM sea de otro operador, con suerte de la segunda sim que hemos montado. Aunque no te quiero marear cambiando ahora la antena de sitio. Si no te resulta incómodo, puedes pasarme la dirección concreta del inmueble por privado, y le echo yo un vistazo también, a ver si entre los dos vemos algo más con respecto a las antenas.

JuliaRural dijo:
Todas las métricas de cobertura/conectividad son desastrosas para Orange (2 malos, 2 regular/"fair") con respecto a Movistar (3 excelentes y 1 bueno en la mayoría de casos).

Sin embargo, tal y como he ido viendo estos días, que la conectividad no refleja el ancho de banda y condiciones reales de ping (llegué a tener 70/50Mbps con Movistar estando en 3 bien y 1 excelente), aquí ha sido aún más claro.

Esto es algo bastante común y que he experimentado en mis propias carnes. Puede que tengas una recepción estupenda, pero si la celda está a tope, la velocidad que vas a obtener de ella es menor que con una celda menos saturada, aunque esta última tenga peor calidad de recepción. Lo que ya no tengo tan claro es si lo vas a notar en la calidad del enlace en el día a día. Quiero insistir en este punto, porque al final todos caemos en el mismo error: el test de velocidad como medida de la calidad de conexión. Lo que de verdad te va a decir si el enlace que has hecho te vale o no para trabajar es el uso diario que le des, más allá de lo que arroje un test de velocidad en un momento dado. Los test de velocidad son una buena referencia, pero hay mil maneras de "trucarlos" para que siempre salgan bien, sino que se lo digan a los que tienen 1Gbps contratado en fibra y luego no ven netflix en condiciones. No te fíes demasiado de ellos, úsalos sólo como referencia, pero nada más.

JuliaRural dijo:
He hecho pruebas durante 2 días y parece mantenerse mejor que con Movistar, aún estando tan mal los valores. Solo ha habido 2 veces que me ha parecido perder la conexión a internet durante algún minuto. Supongo que tenga que hacer más pruebas a la larga, durante estas semanas (cambiando por software una SIM por otra), y ver qué prefiero: si Movistar con 2.5/40 pero conexión estable, ADSL con 4.5/0.5 pero conexión estable, o Orange con 40/20 pero a veces con alguna caída. Por supuesto, hay que coger esto con pinzas, no son experimentos científicos, sino muestreos sueltos. Pero vamos, que por ahora prefiero la velocidad y bajo ping de Orange, pues se nota que para trabajar y navegar es mejor que Movistar (si sigue con ese límite de 2.5 en bajada).

Muestro también las bandas que se ven con Orange. En este caso no estoy forzando a usar 2 concretas, sino que vaya por en automático escogiendo lo que prefiera.

Intenta fijar las bandas. Es lo que te va a dar mejor calidad de señal y menor fluctuación, en mi opinión. Tanto si te decides por orange, como si lo haces por movistar, hay que buscar con el cell monitor las bandas que se usan y ajustar al antena para ellas. Si la dejas sin las bandas definidas, te pasará que cuando enganche una combinación de CA con dos bandas "rápidas", verás que tienes mayor velocidad, y cuando lo haga con bandas más lentas, menor.

Dicho todo esto, si hay algo que crees que puedo probar o experimentar en paralelo, adelante Por otro lado, ¿te parece que montemos la instalación de casa?

Por otro lado, ¿te parece que montemos la instalación de casa?

Me parece bien que pasemos a la instalación interior, porque con la antena creo que ya has hecho prácticamente todas las pruebas posibles.

Lo primero que tenemos que definir son los segmentos de red que quieres usar. Vas a tener 3 que sepamos, así a simple vista: el segmento de red que te entrega la antena, el que te entrega el modem/router adsl, y el que vamos a colocar en el hAP-ac3. Como verás, los equipos Mikrotik, según los enciendas vienen configurados como routers en la 192.168.88.0/24. Ese segmento de red es preferible evitarlo, puesto que cuando resetees un equipo, va a ser el segmento que te vas a encontrar. Y si dejas ese configurado en un equipo con ese rango, y reseteas un segundo equipo Mikrotik conectado a él, montarás un conflicto de IP. Según el último export que tengo tuyo, ya tienes la SXT funcionando en un segmento distinto, el 192.168.188.0/24. Te planteo entonces configurar el hAP-ac3 en la 192.168.189.0/24, por seguir correlativo. Además de eso, la SXT la vamos a dejar como una antena tonta en lugar de como un router. El router ADSL sospecho que tendrá una dirección tipo 192.168.1.0/24 o 192.168.0.0/24

Poríamos quedarlo así para el hAP-ac3
ether1: cable que viene del modem ADSL
ether2-ether4: LAN (bridge)
ether5: hay que sacarlo del bridge principal y conectarlo al cable que baja de la SXT

Te dejo a continuación los pasos que habría que dar en el hAP-ac3 para empezar a ponerlo en modo que lo podamos enganchar a la antena:
- System -> Reset configuration (marcas "Do not backup" y "Keep users", este último si ya tenías un usuario propio creado).
- Quick set -> Cambias el rango de IP a la 192.168.189.X (allá donde veas un 192.168.88.X) y seleccionas el modo "Home AP" (no te esmeres mucho con la wifi porque esa no va a ser la config final, pon algo facilito para que recuerdes cómo entrar)
- Bridge -> Ports: sacas el puerto 5 del bridge principal (simplemente selecciona y lo eliminas)
- Interfaces -> Interface List (segunda pestaña) -> + -> añades ether5 a la lista WAN
- IP -> DHCP Client: encontrarás uno creado en ether1. Creamos uno más para ether5. Aquí es donde tienes que definir la prioridad de cada salida a internet, se hace con el campo "Default Route Distance", del apartado "Advanced", que por defecto está a 1. Si quieres que la SXT sea tu salida a internet, deja ese DHCP con distancia 1, y sube el de ether1 a distancia 2. O viceversa, si quieres dar salida por la ADSL. El resto de parámetros no hace falta que los toques, aunque yo prefiero desmarcarle la opciones de "Use peer DNS / Use Peer NTP" de la primera pestaña, ya que me gusta definir mis propios servidores DNS en IP -> DNS (como ya hicimos con la SXT).
- Una vez tengas todo, hay que corregir un pequeño bug que tiene el quick set y que aún no han corregido: Vas al menú IP -> DHCP Server -> Network y editas la entrada que allí verás. Si te fijas, la entrada estará sobre el segmento de red que has definido de inicio en el quick set, pero el DNS sigue apuntando a la 192.168.88.1. Esa IP hay que cambiarla por la 192.168.189.1 (o la equivalente que hayas configurado en el quick set como IP del router).

Con estos pasos deberías tener el hAP-ac3 listo para enchufar la SXT a su puerto 5 y el ADSL al puerto1, y tener una conexión de tipo failover (si desconectas ether1, saldrás por 5, y si desconectas ether5 saldrás por 1), dando prioridad a la interfaz con menor distancia de ruta (1 = menor distancia, 2 = mayor distancia). En el apartado IP -> routes puedes ver las dos rutas de salida (dst-address=0.0.0.0/0 o ruta por defecto), y verás que la que pusiste con un 2 como distancia, queda en azul, a la espera de que la primera se caiga.

Cuando tengas estos pasos hechos, vuelve a mandarme un export de ambos equipos, y pasaríamos al tema más delicado: dejar la antena como una simple conexión a internet y que deje de hacer de router, eliminando el doble NAT que ahora mismo tendrías. Es un paso más delicado, así que prefiero que tengas el hAP-ac3 configurado previamente.

Voy preparado los pasos para el siguiente movimiento, ves tú ejecutando esto. Luego retomaremos el tema de la velocidad y la SXT.

Saludos!

JuliaRural · 4 Agosto 2022

pokoyo dijo:
Puedes ser una buena prueba apuntar a las otras torres. ¿Cómo estás localizando la situación de las torres de telefonía móvil? Si te estás apoyando en mapas tipo el de cellmapper revisa las bandas en las que emiten las torres cercanas y para qué operadores se usan. Puede que la que tengas a 1,5KM sea de otro operador, con suerte de la segunda sim que hemos montado. Aunque no te quiero marear cambiando ahora la antena de sitio. Si no te resulta incómodo, puedes pasarme la dirección concreta del inmueble por privado, y le echo yo un vistazo también, a ver si entre los dos vemos algo más con respecto a las antenas.

Hola!

Te lo voy a pasar por privado la localización.

Ahora mismo, lo único que podemos hacer es girarla y orientarla mejor. Pero vamos, está a 1-1.5m por encima de la cumbrera del tejado, mejor situada imposible.
Llegué a instalar cellmapper (y opensignal), el problema es que tendría que quitar las SIM de la antena, pues en el móvil sigo con pepephone e imagino que no será representativo de las tarjetas Orange y Movistar (por mucho que use ambas redes). Actualmente usar las otras SIM requiere más tiempo por cómo está situada y anclada. Antes de eso, usé la "antenasgsm.com". Y en las que vi a 1.5 km estaban Movistar y Orange.

pokoyo dijo:
Esto es algo bastante común y que he experimentado en mis propias carnes. Puede que tengas una recepción estupenda, pero si la celda está a tope, la velocidad que vas a obtener de ella es menor que con una celda menos saturada, aunque esta última tenga peor calidad de recepción. Lo que ya no tengo tan claro es si lo vas a notar en la calidad del enlace en el día a día. Quiero insistir en este punto, porque al final todos caemos en el mismo error: el test de velocidad como medida de la calidad de conexión. Lo que de verdad te va a decir si el enlace que has hecho te vale o no para trabajar es el uso diario que le des, más allá de lo que arroje un test de velocidad en un momento dado. Los test de velocidad son una buena referencia, pero hay mil maneras de "trucarlos" para que siempre salgan bien, sino que se lo digan a los que tienen 1Gbps contratado en fibra y luego no ven netflix en condiciones. No te fíes demasiado de ellos, úsalos sólo como referencia, pero nada más.

Sí, lo tengo en cuenta. No digo que cuando el speedtest me da 50 Mbps eso se mantenga, pero está claro que cuando me da eso en vez de 2.5 luego consigo velocidades de bajada muy superiores en mi día a día (ej. descarga de ficheros y actualizaciones). Curiosamente, desde ayer siguen manteniéndose tanto la de Movistar como Orange con esas velocidades. No sé por qué durante las 2 semanas previas Movistar se situó en 2.5 la mayoría del tiempo, pues no he cambiado nada.

pokoyo dijo:
Intenta fijar las bandas. Es lo que te va a dar mejor calidad de señal y menor fluctuación, en mi opinión. Tanto si te decides por orange, como si lo haces por movistar, hay que buscar con el cell monitor las bandas que se usan y ajustar al antena para ellas. Si la dejas sin las bandas definidas, te pasará que cuando enganche una combinación de CA con dos bandas "rápidas", verás que tienes mayor velocidad, y cuando lo haga con bandas más lentas, menor.

En Orange he llegado a ver en alguna captura de estos días que recibía banda 3 (20mhz) en modo auto, pero al tratar de fijarla junto con banda 1 (15mhz), no ha obtenido nada. No sé si será que la banda 3 debe de recibirse solo de vez en cuando. Así que no he podido aprovechar las más rápidas.

Aquí se ve esta captura del 1 de Agosto:

He tenido que poner 1 + 20 (15mhz + 10mhz), que es la que solía tener en modo auto. Tanto en conectividad como en speedtest no veo diferencias notables con el modo auto.

De momento vuelvo a dejar Movistar, pues está trabajando en 20Mhz (3+7), hasta que vea que la velocidad baja notablemente. Pues Orange has sido permanente en esos ratios y he podido trabajar bien. Veremos si Movistar decide mantenerse así o vuelve a dejarme en algún momento en 2.5Mbps (lo notaré trabajando). Tal y como dices, a partir de ahora fijo las bandas siempre en ambos casos.

La instalación en el siguiente post

Gracias!

JuliaRural · 4 Agosto 2022

pokoyo dijo:
Me parece bien que pasemos a la instalación interior, porque con la antena creo que ya has hecho prácticamente todas las pruebas posibles.

Lo primero que tenemos que definir son los segmentos de red que quieres usar. Vas a tener 3 que sepamos, así a simple vista: el segmento de red que te entrega la antena, el que te entrega el modem/router adsl, y el que vamos a colocar en el hAP-ac3. Como verás, los equipos Mikrotik, según los enciendas vienen configurados como routers en la 192.168.88.0/24. Ese segmento de red es preferible evitarlo, puesto que cuando resetees un equipo, va a ser el segmento que te vas a encontrar. Y si dejas ese configurado en un equipo con ese rango, y reseteas un segundo equipo Mikrotik conectado a él, montarás un conflicto de IP. Según el último export que tengo tuyo, ya tienes la SXT funcionando en un segmento distinto, el 192.168.188.0/24. Te planteo entonces configurar el hAP-ac3 en la 192.168.189.0/24, por seguir correlativo. Además de eso, la SXT la vamos a dejar como una antena tonta en lugar de como un router. El router ADSL sospecho que tendrá una dirección tipo 192.168.1.0/24 o 192.168.0.0/24

Nada más entrar en el router:

Código:

The following default configuration has been installed on your router:

Welcome to RouterOS!
   1) Set a strong router password in the System > Users menu
   2) Upgrade the software in the System > Packages menu
   3) Enable firewall on untrusted networks
   4) Set your country name to observe wireless regulations
-----------------------------------------------------------------------------
RouterMode:
 * WAN port is protected by firewall and enabled DHCP client
 * Wireless and Ethernet interfaces (except WAN port/s)
   are part of LAN bridge
LAN Configuration:
    IP address 192.168.88.1/24 is set on bridge (LAN port)
    DHCP Server: enabled;
    DNS: enabled;
wlan1 Configuration:
    mode:                ap-bridge;
    band:                2ghz-b/g/n;
    tx-chains:           0;1;
    rx-chains:           0;1;
    installation:        indoor;
    wpa2:      no;
    ht-extension:        20/40mhz-XX;
wlan2 Configuration:
    mode:                ap-bridge;
    band:                5ghz-a/n/ac;
    tx-chains:           0;1;
    rx-chains:           0;1;
    installation:        indoor;
    wpa2:      no;
    ht-extension:        20/40/80mhz-XXXX;
WAN (gateway) Configuration:
    gateway:  ether1 ;
    ip4 firewall:  enabled;
    NAT:   enabled;
    DHCP Client: enabled;

Le he puesto contraseña y he accedido desde winbox. He hecho los pasos que me indicas, con las únicas diferencias:
- Quick Set: no vi lo de "Home API", pero puse WPA2 y "spain".
- IP -> he desmarcado ambas, tanto DNS como NTP ("Use Peer ..."), tanto para Ether1 como Ether5.
- IP > DHCP Server > Networks > Gateway apunta a 192.168.189.1 y Address es 192.168.189.0/24. No he tenido que cambiar nada. La versión del router es "stable" en 6.46.8.

He decidido cambiar la SXT a 192.168.190.0/24 ya que la 192.168.188.0/24 se me puso al actualizar el sistema y el firmware, por si acaso hay conflicto de IP a futuro cuando actualice algún otro equipo (como el ejemplo que me ponías que podía pasar con la 192.168.88.0/24).

Edito: Sin embargo, al cambiar la IP en el SXT (a 190) sí me ha pasado que los "DNS Servers" de IP > DHCP Server > Networks no se han actualizado y he tenido que cambiarlo a 192.168.190.1 (versión stable 7.4).

Te pego las dos configuraciones. Primero el Router:

Código:

/interface bridge
add admin-mac=2C:C8:1B:91:16:1D auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
    disabled=no distance=indoors frequency=auto installation=indoor mode=\
    ap-bridge ssid=MikroTik-911621 wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=\
    20/40/80mhz-XXXX disabled=no distance=indoors frequency=auto \
    installation=indoor mode=ap-bridge ssid=MikroTik-Router-911622 \
    wireless-protocol=802.11
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys \
    supplicant-identity=MikroTik wpa-pre-shared-key=mikrotik \
    wpa2-pre-shared-key=mikrotik
/ip pool
add name=dhcp ranges=192.168.189.10-192.168.189.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=ether5 list=WAN
/ip address
add address=192.168.189.1/24 comment=defconf interface=ether2 network=\
    192.168.189.0
/ip dhcp-client
add comment=defconf default-route-distance=2 disabled=no interface=ether1 \
    use-peer-dns=no use-peer-ntp=no
add disabled=no interface=ether5 use-peer-dns=no use-peer-ntp=no
/ip dhcp-server network
add address=192.168.189.0/24 comment=defconf gateway=192.168.189.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.189.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/system identity
set name=MikroTik-Router
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Ahora la SXT:

Código:

/interface bridge
add admin-mac=DC:2C:6E:XX:XX:XX auto-mac=no comment=defconf name=bridge
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface lte apn
add apn=movistar.es authentication=pap name=movistar use-network-apn=yes \
    use-peer-dns=no user=MOVISTAR
add apn=orangeworld authentication=pap name=orange use-network-apn=yes \
    use-peer-dns=no user=orange
/interface lte
set [ find ] allow-roaming=yes apn-profiles=movistar band=3,7 name=lte1 \
    network-mode=3g,lte
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/ip pool
add name=dhcp ranges=192.168.190.10-192.168.190.254
/ip dhcp-server
add address-pool=dhcp interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether1
add bridge=bridge comment=defconf interface=ether2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=lte1 list=WAN
/ip address
add address=192.168.190.1/24 comment=defconf interface=bridge network=\
    192.168.190.0
/ip dhcp-server network
add address=192.168.190.0/24 comment=defconf dns-server=192.168.188.1 \
    gateway=192.168.190.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=1.1.1.2,1.0.0.2
/ip dns static
add address=192.168.190.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=change-ttl chain=postrouting new-ttl=set:65 out-interface=lte1 \
    passthrough=yes protocol=!icmp
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=MikroTik-SXT
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

pokoyo dijo:
Poríamos quedarlo así para el hAP-ac3
ether1: cable que viene del modem ADSL
ether2-ether4: LAN (bridge)
ether5: hay que sacarlo del bridge principal y conectarlo al cable que baja de la SXT

Te dejo a continuación los pasos que habría que dar en el hAP-ac3 para empezar a ponerlo en modo que lo podamos enganchar a la antena:
- System -> Reset configuration (marcas "Do not backup" y "Keep users", este último si ya tenías un usuario propio creado).
- Quick set -> Cambias el rango de IP a la 192.168.189.X (allá donde veas un 192.168.88.X) y seleccionas el modo "Home AP" (no te esmeres mucho con la wifi porque esa no va a ser la config final, pon algo facilito para que recuerdes cómo entrar)
- Bridge -> Ports: sacas el puerto 5 del bridge principal (simplemente selecciona y lo eliminas)
- Interfaces -> Interface List (segunda pestaña) -> + -> añades ether5 a la lista WAN
- IP -> DHCP Client: encontrarás uno creado en ether1. Creamos uno más para ether5. Aquí es donde tienes que definir la prioridad de cada salida a internet, se hace con el campo "Default Route Distance", del apartado "Advanced", que por defecto está a 1. Si quieres que la SXT sea tu salida a internet, deja ese DHCP con distancia 1, y sube el de ether1 a distancia 2. O viceversa, si quieres dar salida por la ADSL. El resto de parámetros no hace falta que los toques, aunque yo prefiero desmarcarle la opciones de "Use peer DNS / Use Peer NTP" de la primera pestaña, ya que me gusta definir mis propios servidores DNS en IP -> DNS (como ya hicimos con la SXT).
- Una vez tengas todo, hay que corregir un pequeño bug que tiene el quick set y que aún no han corregido: Vas al menú IP -> DHCP Server -> Network y editas la entrada que allí verás. Si te fijas, la entrada estará sobre el segmento de red que has definido de inicio en el quick set, pero el DNS sigue apuntando a la 192.168.88.1. Esa IP hay que cambiarla por la 192.168.189.1 (o la equivalente que hayas configurado en el quick set como IP del router).

Con estos pasos deberías tener el hAP-ac3 listo para enchufar la SXT a su puerto 5 y el ADSL al puerto1, y tener una conexión de tipo failover (si desconectas ether1, saldrás por 5, y si desconectas ether5 saldrás por 1), dando prioridad a la interfaz con menor distancia de ruta (1 = menor distancia, 2 = mayor distancia). En el apartado IP -> routes puedes ver las dos rutas de salida (dst-address=0.0.0.0/0 o ruta por defecto), y verás que la que pusiste con un 2 como distancia, queda en azul, a la espera de que la primera se caiga.

Cuando tengas estos pasos hechos, vuelve a mandarme un export de ambos equipos, y pasaríamos al tema más delicado: dejar la antena como una simple conexión a internet y que deje de hacer de router, eliminando el doble NAT que ahora mismo tendrías. Es un paso más delicado, así que prefiero que tengas el hAP-ac3 configurado previamente.

Voy preparado los pasos para el siguiente movimiento, ves tú ejecutando esto. Luego retomaremos el tema de la velocidad y la SXT.

Saludos!

Lo único que no he visto es eso que me dices de ver en IP > routes las dos rutas de salida y una en azul. Supongo que tenga que conectar los cables de la SXT al puerto 5 y el del ADSL al de Internet.

Con esto ya estaría hecho y me mantengo a la espera de lo que me digas

Gracias!

pokoyo · 4 Agosto 2022

Genial. Yo ahora lo que haría sería subir el hAP-ac3 a la última versión de hardware, la 7.4, y a ver si no te deja demasiado residuo de la v6 en la configuración. Sino, después de subir la versión (acuérdate también de hacerlo a nivel hardware, en system -> routerboard -> upgrade), vuelve a ejecutar el reset y los pasos descritos, y así te aseguras de que vas desde la situación más limpia posible, con el script de autoconfiguración de la V7 (y ojo que el bug que te digo está ahí para la V7, como has podido comprobar con la antena)

Se me olvidó comentarte una cosa en el post anterior, relativo al cable y el crimpado: lo de la luz naranja / verde: el verde sólo lo vas a conseguir con dispositivos que sean gigabit. Es decir, la antena es normal que siempre te de naranja, porque su propia interfaz no da más de 100Mbps. Pero ese mismo cable, si está bien crimpado y conectas en los extremos chismes gigabit, debería ponerse verde.

Otra cosa Julia, relativo a las bandas y la agregación de las mismas (el famoso CA o Carrier Aggregation). Sabía que había visto esto en algún lado, pero me ha costado dar con ello: hay una cierta restricción a la hora de agregar bandas. En definitiva, sólo puedes agregar las siguientes bandas (de la documentación del módem):

Esto hay que tenerlo en cuenta a la hora de seleccionar las bada a las que quieres que se conecte la antena.

Con respecto a la SXT, el siguiente paso que tenemos que hacer es crear un APN de tipo "passthrough", de esa manera, la IP "pública" (pública o privada dependerá del operador móvil) que llegue a la SXT, se pase hacia abajo y llegue hasta router. Esto nos quita la necesidad de tener firewall (lo dejaremos en el mínimo exponente en la SXT) y sobre todo NAT en ese dispositivo. Al final NATear (hacer NAT) es siempre una cosa costosa, así que cuanto menos lo hagamos, mejor.

Para hacer este paso, quiero que habilites el modo "Safe Mode" que tienes arriba a la izquierda en winbox. Este modo nos protejerá de perder la conexión con la antena, si la cagamos haciendo un cambio. Básicamente, si pierdes conectividad con el dispositivo (bien porque te quedas fuera o bien porque se corta la conexión con él por lo que sea, incluso si tú misma cierras winbox accidentalmente), hará un rollback de todos los cambios que hemos metido desde el momento en el que se habilitó, hasta el momento en el que perdimos esa conexión. Cuando vayas a hacer cambios delicados, acostúmbrate a ponerlo, especialmente para la SXT, que es un coñazo andar subiéndote al tejado si la dejas turuleta. Es este botón de aquí:

Una vez tengamos los cambios hechos, con pulsar de nuevo el botón, se guardan todos los cambios. Y, si no quedas muy conforme, con cerrar winbox te vale (si lo haces a las bravas hará rollback, y si lo haces pulsando el botón de "Exit", te preguntará si queires hacer rollback o quedarte como estás)

Bien, pues el cambio consiste en lo siguiente:
- Crear una interfaz VLAN sobre el puerto ether1 de la SXT (el puerto que te une el router). El número de VLAN, a elegir, por ejemplo, una que no suele estar usada por los operadores: vlan-id = 25. Lo puedes hacer vía winbox visualmente o por comandos. Vía winbox, lo tienes en Interfaces -> VLAN -> botón + -> nombre = lo que quieras, VLAN ID = 25, Interface = ether1. O vía código (terminal), sería así:

Código:

/interface vlan
add name=vlan-lte vlan-id=25 interface=ether1

Lo siguiente es crear una copia de los perfiles APN que tienes ya creados. Para ello lo más simple es irte a ellos en el menú Interfaces -> LTE -> APNs, darles doble click y pulsar luego el botón "copy". Editas el nombre (le pones el apellido -pass, por ejemplo), y, en el campo "Passthrough interface" seleccionamos la VLAN que hemos creado anteriormente: "vlan-lte". Ejemplo visual:

Y por comandos, sería:

Código:

/interface lte apn
add name=movistar-pass copy-from=[find name=movistar] passthrough-interface=vlan-lte

Y, por último, elegirías ese APN como el APN de la conexión LTE, en lugar del actual. En ese momento te vas a quedar sin conexión a internet, pero no importa. Lo que importa es que no pierdas conexión con la SXT (todo esto se supone que lo estamos haciendo ya desde un equipo conectado al hAP-ac3, en cualquiera de los puertos 2, 3 o 4 (o a cualquier switch que penda de él). Si todo ha ido bien, te habrás quedado sin conexión a internet en el hAP-ac3, pero seguirás teniendo conexión con la SXT para administrarla, que es lo que nos interesa no perder nunca.

En el hAP-ac3, haríamos ahora lo siguiente (voy ya más rápido vía comandos, pero siéntete como en casa si prefieres hacerlo vía winbox, sólo tienes que localizar el menú correspondiente)

Añadimos la VLAN por donde nos va a llegar ahora el servicio, la misma VLAN 25 definida en la SXT. En este caso, la llamo "vlan-wan", para que se entienda. Va creada sobre ether5, el puerto que nos une a la SXT

Código:

/interface vlan
add name=vlan-wan vlan-id=25 interface=ether5

Metemos la VLAN en la lista WAN, puesto que sobre ella vamos a aplicar masquerade (NAT)

Código:

/interface list member
add list=WAN interface=vlan-wan

Editamos el cliente DHCP que teníamos levantado sobre ether5, y le quitamos la opción del "add default route", puesto que nuestra ruta por defecto la meterá ahora otro cliente DHCP, el de la vlan-wan. Así mismo, damos de alta el nuevo cliente DHCP sobre la nueva interfaz vlan-wan

Código:

/ip dhcp-client
set [find interface=ether5] add-default-route=no
add disabled=no interface=vlan-wan use-peer-dns=no use-peer-ntp=no

Y, con esto y un bizcocho, tendríamos listo el passthrough, sin perder conexión con la SXT (crucemos los dedos, espero no haber metido la pata en nada!). Lo siguiente sería empezar a limpiar código de la SXT y quitar todo lo que nos sobra, pero antes de eso, por favor confírmame que esto te funciona.

Saludos!

JuliaRural · 5 Agosto 2022

Muchísimas gracias. He seguido todos tus pasos, ahora bien, hago lo que me dices sin comprenderlo al 100%. Con tiempo lo repasaré y trataré de entenderlo mejor.

Estoy conectada al router y con internet a través de la antena. Todos los pasos tal cual me has dicho.

Solo ha habido una cosa que quiero preguntarte: ¿Cómo se puede conectar uno a otro dispositivo sin quitar el safe mode del anterior dispositivo? No lo he conseguido y al cambiar a la configuración del router he tenido que quitar el safe mode de la SXT. Intenté crear nuevas sesiones y no me dejaba.

Podemos proseguir cuando me digas. Y si quieres que vaya haciendo algo con el cAP Lite (configurando, actualizándolo, si me dices cómo conectarlo a internet, porque no obtenía actualizaciones, etc) puedo ir avanzando también, así también voy viendo dónde instalarlo en casa (techo/pared de la segunda planta) para que la señal llegue donde me interesa.

Una curiosidad, ¿qué me puede aportar un switch mikrotik con respecto a los DGS-1008P? La verdad es que admita el winbox y todas estas opciones, terminal, etc ya me parece una ventaja muy grande sobre el resto de routers que conozco (domésticos, pues supongo que Cisco/Juniper/etc admitan mil cosas).

Gracias. Estoy acucando dinero para invitarte a otra buena tanda. Vas a acabar por los suelos

Si por algún casual vienes a Cantabria/Santander alguna vez, eso sí, a partir de Octubre (pues ahora no me da la vida), que sepas que te podemos invitar en persona

pokoyo · 5 Agosto 2022

JuliaRural dijo:
Muchísimas gracias. He seguido todos tus pasos, ahora bien, hago lo que me dices sin comprenderlo al 100%. Con tiempo lo repasaré y trataré de entenderlo mejor.

Las dudas que vayas teniendo ves comentándomelas. Al final, todo el equipo se puede configurar vía terminal, es la gracia de estos chismes. Y Winbox no es más que una interfaz bonita para manejar el equipo vía API. El equipo tiene muchas maneras de configurarlo, ahora después te voy a enseñar otra, cuando limpiemos la config de la SXT. De momento, ves guardando export y backup a cada paso que vayas dando (al principio es un poco pesado, pero va a ser lo que te salve el culo si la cagamos en algún paso).

JuliaRural dijo:
Estoy conectada al router y con internet a través de la antena. Todos los pasos tal cual me has dicho.

Esto es muy bueno. Si me puedes por favor mandar un export de cómo tienes ahora mismo la config de ambos equipos (por ir actualizandome yo y no cagarla en algo que te mande), te lo agradezco. Tengo tu setup montado en casa con un mAP (simulando tu hAP-ac3) y un ltap (simulando tu SXT), así que voy a ir replicando tu config para decirte los siguientes pasos, e intentar evitarte subir al tejado. Hoy ya tengo el día más despejado, esta semana ha sido un poco locura, pero a partir de ahora te responderé más frecuentemente.

JuliaRural dijo:
Podemos proseguir cuando me digas. Y si quieres que vaya haciendo algo con el cAP Lite (configurando, actualizándolo, si me dices cómo conectarlo a internet, porque no obtenía actualizaciones, etc) puedo ir avanzando también, así también voy viendo dónde instalarlo en casa (techo/pared de la segunda planta) para que la señal llegue donde me interesa.

Pásame como te digo los export de ambos equipos, y continuamos. El siguiente paso es dejar la SXT más limpia que limpia de configuración. Como sólo va a hacer de antena, le vamos a quitar absolutamente todo lo relativo a su previo trabajo como router. Otra cosa que puedes ir haciendo es actualizar el cAP a la 7.4. El cAP tiene arquitectura MIPSBE, y te puedes descargar su paquete correspondiente aquí. Para actualizar este equipo, sin conexión a internet, todo lo que tienes que hacer es arrastrar el fichero (.npk) al la ventana de winbox y darle un reinicio al chisme, una vez finalice la copia en la carpeta files (no es grande, pero tarda un poquito en equipos con esa arquitectura). El cAP, una vez tengamos CAPsMAN configurado en el hAP-ac3, todo lo que tienes que hacer con él es resetearlo en modo CAP (System -> Reset configuration -> CAPS Mode marcado; keep users también, si ya le cambiaste usuario y contraseña a uno propios). Todo lo demás, se lo va a mandar el hAP-ac3, lo comanda él.

JuliaRural dijo:
Una curiosidad, ¿qué me puede aportar un switch mikrotik con respecto a los DGS-1008P? La verdad es que admita el winbox y todas estas opciones, terminal, etc ya me parece una ventaja muy grande sobre el resto de routers que conozco (domésticos, pues supongo que Cisco/Juniper/etc admitan mil cosas).

Básicamente el mismo nivel de control que tienes ahora mismo con un router. Pero, de momento, vamos a aprovechar lo que tienes. Recuerdo que querías trabajar con VLANs, y ese switch que mencionas no las soporta. Pero podemos dejar las VLANs a nivel inalámbrico + en los puertos del mikrotik, y. que todo lo que cuelgue del switch sea tu red local. Así no hay pega y reaprovechas los cacharros que ya tienes.

JuliaRural dijo:
Gracias. Estoy acucando dinero para invitarte a otra buena tanda. Vas a acabar por los suelos

Para para, que bastante has hecho ya. Voy a salir rodando como me las beba todas juntas.

JuliaRural dijo:
Si por algún casual vienes a Cantabria/Santander alguna vez, eso sí, a partir de Octubre (pues ahora no me da la vida), que sepas que te podemos invitar en persona

Pues no te digo que no! Hemos ido un par de veces a Noja, y nos encanta Cantabria. Lo mismo me pones cara y todo!

Saludos!

JuliaRural · 5 Agosto 2022

Te lo pego cuanto antes para poder proseguir, pues tengo la tarde movida de trabajo. En cuanto saque un hueco actualizo el cAP y hago lo que me has dicho.

¡Gracias por todo!

Router:

Código:

/interface bridge
add admin-mac=2C:C8:1B:XX:XX:XX auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
    disabled=no distance=indoors frequency=auto installation=indoor mode=\
    ap-bridge ssid=MikroTik-911621 wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=\
    20/40/80mhz-XXXX disabled=no distance=indoors frequency=auto \
    installation=indoor mode=ap-bridge ssid=MikroTik-Router-911622 \
    wireless-protocol=802.11
/interface vlan
add interface=ether5 name=vlan1-wan-ether5 vlan-id=25
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys \
    supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.189.10-192.168.189.254
/ip dhcp-server
add address-pool=dhcp interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=ether5 list=WAN
add interface=vlan1-wan-ether5 list=WAN
/ip address
add address=192.168.189.1/24 comment=defconf interface=bridge network=\
    192.168.189.0
/ip dhcp-client
add comment=defconf default-route-distance=2 interface=ether1 use-peer-dns=no \
    use-peer-ntp=no
add add-default-route=no interface=ether5 use-peer-dns=no use-peer-ntp=no
add interface=vlan1-wan-ether5 use-peer-dns=no use-peer-ntp=no
/ip dhcp-server network
add address=192.168.189.0/24 comment=defconf dns-server=192.168.189.1 \
    gateway=192.168.189.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.189.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/system identity
set name=MikroTik-Router
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

SXT:

Código:

/interface bridge
add admin-mac=DC:2C:6E:XX:XX:XX auto-mac=no comment=defconf name=bridge
/interface vlan
add interface=ether1 name=vlan1-lte-ether1-sxt-router vlan-id=25
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface lte apn
add apn=movistar.es authentication=pap name=movistar use-network-apn=yes \
    use-peer-dns=no user=MOVISTAR
add apn=orangeworld authentication=pap name=orange use-network-apn=yes \
    use-peer-dns=no user=orange
add apn=movistar.es authentication=pap name=apn1-movistar-passthrough \
    passthrough-interface=vlan1-lte-ether1-sxt-router passthrough-mac=auto \
    use-network-apn=yes use-peer-dns=no user=MOVISTAR
add apn=orangeworld authentication=pap name=apn2-orange-passthrough \
    passthrough-interface=vlan1-lte-ether1-sxt-router passthrough-mac=auto \
    use-network-apn=yes use-peer-dns=no user=orange
/interface lte
set [ find ] allow-roaming=yes apn-profiles=apn1-movistar-passthrough band=\
    3,7 name=lte1 network-mode=3g,lte
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.190.10-192.168.190.254
/ip dhcp-server
add address-pool=dhcp interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether1
add bridge=bridge comment=defconf interface=ether2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=lte1 list=WAN
/ip address
add address=192.168.190.1/24 comment=defconf interface=bridge network=\
    192.168.190.0
/ip dhcp-server network
add address=192.168.190.0/24 comment=defconf dns-server=192.168.190.1 \
    gateway=192.168.190.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=1.1.1.2,1.0.0.2
/ip dns static
add address=192.168.190.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=change-ttl chain=postrouting new-ttl=set:65 out-interface=lte1 \
    passthrough=yes protocol=!icmp
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=MikroTik-SXT
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

pokoyo · 5 Agosto 2022

Vale, te dejo los siguientes pasos a relizar. Hazlos cuando dejes de trabajar y nadie se te tire al cuello por dejarles sin internet. Antes de hacer los cambios, guarda backup de ambos equipos.

En el hAP-ac3

Vamos a hacer algunos cambios para empezar a limpiar configuración. De entrada, vamos a borrar el cliente DHCP que ahora mismo corre sobre ether5 (perderemos acceso de administración a la SXT temporalmente), y vamos a pasar a hacer ese enlace estático. Para ello:
IP -> DHCP Cliente -> borrar el cliente que corre ahora mismo sobre ether5 (vía comandos, sería)

Código:

/ip dhcp-client
remove [find interface=ether5]

Ahora, creamos sobre la interfaz que nos une con la SXT (ether5) una IP del rango de la IP de administración de la antena. En este caso, como es una conexión punto a punto, vamos a usar una subred /30 (dos IP's usables). Le daremos al hAP-ac3 la 192.168.190.2, siendo la .1 la que lleva la antena (según veo en tu config actual).
IP -> Addresses -> + -> Address = 192.168.190.2/30, interface=ether5 (vía comandos, sería)

Código:

/ip address
add address=192.168.190.2/30 interface=ether5

Ahora, necesitamos aplicar masquerade a lo que salga por esa interfaz, para que desde una IP local de la 192.168.189.x, lleguemos a la antena vía Winbox
IP -> Firewall -> NAT -> + -> chain=srcnat (la que viene por defecto) src-address=192.168.189.0/24, out-interface=ether5 (primera pestaña), action=masquerade (última). Si lo hacemos por comandos....

Código:

/ip firewall nat
add chain=srcnat src-address=192.168.189.0/24 out-interface=ether5 action=masquerade

Para que tengas visibilidad de la SXT, incluso si pierdes la comunicación por IP, cambiamos ether5 y lo metemos en la lista LAN, en lugar de WAN. Interface -> Interface List -> Movemos ether5 de WAN a LAN

Código:

/interface list member
set [find interface=ether5] list=LAN

En este punto, comprueba que sigues navegando por internet, saliendo por la SXT, y que tienes acceso de administración sobre ella (que sigues llegando a la 192.168.190.1 desde winbox). Si todo esto lo tienes OK, vamos a por el siguiente paso:

En la SXT

Lo que vamos a hacer ahora es cargarle un script de configuración a la SXT, para eliminar de un plumazo toda la configuración por defecto que ese equipo aplica, ya que está pensado para que el equipo se comporte como router. Como hemos visto, no es nuestro caso, y vamos a requerir que únicamente ese equipo nos de salida a internet. Te dejo el script de carga aquí abajo. Simplemente, modifica el apartado de las variables de entorno, indicando el pin de tu SIM (si no tienes pin, borra esa línea de las variables y la referencia a $pin en la línea que configura la interfaz LTE). He tratado de explicar detalladamente qué hace cada instrucción. Si tienes alguna duda antes de aplicarlo, me dices. Para ponerlo a funcionar, simplemente copia este contenido en un fichero llamado "import-sxt.rsc" (o como mejor te parezca el nombre, pero con esa extensión) y lo subes al equipo vía winbox (ojo súbelo a la SXT, no al hAP-ac3, no te confundas, que es algo que te puede pasar fácilmente). Una vez tengas el fichero arriba, ejecutas System -> Reset Configuration, marcando las opciones de "Do not backup" y, en la cajita de texto desplegable que pone "run after reset", seleccionas el fichero que acabas de subir.

Código:

###################################
####### VARIABLES A MODIFICAR #####
###################################
:local pin 1234
:local user "perico"
:local pass "palotes"
###################################

###################################
######### CONFIGURACION ##########
###################################
# Creamos la interfaz VLAN para propagar
# vía passthrough el tráfico de internet
/interface vlan
add interface=ether1 name=vlan-lte vlan-id=25

# Seteamos el network discovery, para que al menos
# tengas acceso por MAC desde IP -> Neighbors, en el caso
# de perder conectividad IP con la antena
/ip neighbor discovery-settings
set discover-interface-list=!dynamic

# Asignamos una IP de administración a ether1
# Por esta IP accederemos a la antena desde cualquier
# equipo conectado al hAP-ac3
/ip address
add address=192.168.190.1/30 interface=ether1

# Creamos un usuario y contraseña nuevos, a partir
# de las variables de entorno definidas. Borramos admin
/user
add name=$user password=$pass group=full
:delay 0.5
/user remove 0

# Creamos todos los APNs. En verdad sólo usaremos los dos
# últimos, que son los que llevan la opción de passthrough
# No obstante, te dejo los previos como referencia.
/interface lte apn
add apn=movistar.es authentication=pap name=movistar use-network-apn=yes \
  use-peer-dns=no user=MOVISTAR password=MOVISTAR
add apn=orangeworld authentication=pap name=orange use-network-apn=yes \
  use-peer-dns=no user=orange password=orange
add apn=movistar.es authentication=pap name=movistar-pass use-network-apn=yes \
  use-peer-dns=no user=MOVISTAR password=MOVISTAR \
  passthrough-interface=vlan-lte passthrough-mac=auto
add apn=orangeworld authentication=pap name=orange-pass use-network-apn=yes \
  use-peer-dns=no user=orange password=orange \
  passthrough-interface=vlan-lte passthrough-mac=auto

# Esperamos 30 segundos para darle tiempo
# a que el equipo detecte el módem LTE
:delay 30

# Configuramos la intefaz LTE, asignádole de entrada
# el perfil de movistar con passthrough
/interface lte
set [ find ] allow-roaming=yes apn-profiles=movistar-pass band=3,7 name=lte1 \
network-mode=lte pin=$pin

# Cremos unas reglas básica de protección para la SXT, para
# que sólo podamos acceder a ella desde IPs de tipo 192.168.x.y
# también añadimos alguna regla para cuando tengas que cambiar el perfil
# LTE, por ejemplo, para actualizar el módem o la routerboard
/ip firewall filter
add action=accept chain=input comment=\
    "aceptamos el trafico ya estableciodo o relacionado" connection-state=\
    established,related,untracked
add action=drop chain=input comment="rechazamos el trafico invalido" connection-state=\
    invalid
add action=accept chain=input comment="aceptamos el ping" protocol=icmp
add action=drop chain=input comment="rechazamos todo lo que no venga de red local" \
  src-address=!192.168.0.0/16

# Metemos la ruta por defecto, para que el propio equipo salga a internet
# (para actualizaciones, por ejemplo). Dicha ruta por defecto manda
# el tráfico de internet a la IP del hAP-ac3, 192.168.190.2,
# y esta la devuelve a la SXT vía VLAN de passthrough. No es genial?
/ip route
add gateway=192.168.190.2

# Definimos un par de servidores DNS para que
# el propio equipo resuelva direcciones de internet
/ip dns
set servers=8.8.8.8,8.8.4.4

# Asignamos un nombre al equipo
/system identity
set name=sxt
###################################

Si todo ha ido bien, tendrás una SXT con una configuración mínima y todo funcionando tal y como lo tenías hasta hace un rato. Cuando entres de nuevo a la SXT verás una línea roja en el log, indicando que la LTE necesita el ping, pero ignóralo si es el caso, puesto que esa línea sale siempre que se detecta un modem LTE. Como ves hay mucho comentario, pero lo que es configuración es la mínima expresión.

Suerte, espero no haberme equivocado en nada! cualquier duda, me dices. Mañana montamos CAPsMAN.

Saludos!

JuliaRural · 6 Agosto 2022

pokoyo dijo:
En el hAP-ac3

Vamos a hacer algunos cambios para empezar a limpiar configuración. De entrada, vamos a borrar el cliente DHCP que ahora mismo corre sobre ether5 (perderemos acceso de administración a la SXT temporalmente), y vamos a pasar a hacer ese enlace estático. Para ello:
IP -> DHCP Cliente -> borrar el cliente que corre ahora mismo sobre ether5 (vía comandos, sería)

Código:

/ip dhcp-client remove [find interface=ether5]

¡Hola, Pokoyo!
Estoy copiando y pegando tus comandos.

pokoyo dijo:
Ahora, creamos sobre la interfaz que nos une con la SXT (ether5) una IP del rango de la IP de administración de la antena. En este caso, como es una conexión punto a punto, vamos a usar una subred /30 (dos IP's usables). Le daremos al hAP-ac3 la 192.168.190.2, siendo la .1 la que lleva la antena (según veo en tu config actual).
IP -> Addresses -> + -> Address = 192.168.190.2/30, interface=ether5 (vía comandos, sería)

Código:

/ip address add address=192.168.190.2/30 interface=ether5

Ahora, necesitamos aplicar masquerade a lo que salga por esa interfaz, para que desde una IP local de la 192.168.189.x, lleguemos a la antena vía Winbox
IP -> Firewall -> NAT -> + -> chain=srcnat (la que viene por defecto) src-address=192.168.189.0/24, out-interface=ether5 (primera pestaña), action=masquerade (última). Si lo hacemos por comandos....

Código:

/ip firewall nat add chain=srcnat src-adddress=192.168.189.0/24 out-interface=ether5 action=masquerade

Vale, acabo de ver la errata ("adddress" => "address"). Ante el error, a mi también se me pasó y lo hice por GUI.
Lo único, te pego las dos reglas que hay, por si tengo que borrar la de arriba porque se haya quedado a medias del anterior comando:

Al final tenía yo el error por GUI (no tenía que marcar los checkboxs), y por si acaso he borrado la regla 0. Por favor, dime si está bien así:

Edito: Yo misma te confirmo, he tenido que meterlo para poder seguir navegando por internet:

Pego aquí el comando sin errata:

Código:

/ip firewall nat
add chain=srcnat src-address=192.168.189.0/24 out-interface=ether5 action=masquerade

Ahora sí consigo acceder a la SXT.

pokoyo dijo:
Para que tengas visibilidad de la SXT, incluso si pierdes la comunicación por IP, cambiamos ether5 y lo metemos en la lista LAN, en lugar de WAN. Interface -> Interface List -> Movemos ether5 de WAN a LAN

Código:

/interface list member set [find interface=ether5] list=LAN

En este punto, comprueba que sigues navegando por internet, saliendo por la SXT, y que tienes acceso de administración sobre ella (que sigues llegando a la 192.168.190.1 desde winbox). Si todo esto lo tienes OK, vamos a por el siguiente paso:

Hecho.

pokoyo dijo:

En la SXT

Lo que vamos a hacer ahora es cargarle un script de configuración a la SXT, para eliminar de un plumazo toda la configuración por defecto que ese equipo aplica, ya que está pensado para que el equipo se comporte como router. Como hemos visto, no es nuestro caso, y vamos a requerir que únicamente ese equipo nos de salida a internet. Te dejo el script de carga aquí abajo. Simplemente, modifica el apartado de las variables de entorno, indicando el pin de tu SIM (si no tienes pin, borra esa línea de las variables y la referencia a $pin en la línea que configura la interfaz LTE). He tratado de explicar detalladamente qué hace cada instrucción. Si tienes alguna duda antes de aplicarlo, me dices. Para ponerlo a funcionar, simplemente copia este contenido en un fichero llamado "import-sxt.rsc" (o como mejor te parezca el nombre, pero con esa extensión) y lo subes al equipo vía winbox (ojo súbelo a la SXT, no al hAP-ac3, no te confundas, que es algo que te puede pasar fácilmente). Una vez tengas el fichero arriba, ejecutas System -> Reset Configuration, marcando las opciones de "Do not backup" y, en la cajita de texto desplegable que pone "run after reset", seleccionas el fichero que acabas de subir.

Código:

###################################
####### VARIABLES A MODIFICAR #####
###################################
:local pin 1234
:local user "perico"
:local pass "palotes"
###################################

###################################
######### CONFIGURACION ##########
###################################
# Creamos la interfaz VLAN para propagar
# vía passthrough el tráfico de internet
/interface vlan
add interface=ether1 name=vlan-lte vlan-id=25

# Seteamos el network discovery, para que al menos
# tengas acceso por MAC desde IP -> Neighbors, en el caso
# de perder conectividad IP con la antena
/ip neighbor discovery-settings
set discover-interface-list=!dynamic

# Asignamos una IP de administración a ether1
# Por esta IP accederemos a la antena desde cualquier
# equipo conectado al hAP-ac3
/ip address
add address=192.168.190.1/30 interface=ether1

# Creamos un usuario y contraseña nuevos, a partir
# de las variables de entorno definidas. Borramos admin
/user
add name=$user password=$pass group=full
:delay 0.5
/user remove 0

# Creamos todos los APNs. En verdad sólo usaremos los dos
# últimos, que son los que llevan la opción de passthrough
# No obstante, te dejo los previos como referencia.
/interface lte apn
add apn=movistar.es authentication=pap name=movistar use-network-apn=yes \
  use-peer-dns=no user=MOVISTAR password=MOVISTAR
add apn=orangeworld authentication=pap name=orange use-network-apn=yes \
  use-peer-dns=no user=orange password=orange
add apn=movistar.es authentication=pap name=movistar-pass use-network-apn=yes \
  use-peer-dns=no user=MOVISTAR password=MOVISTAR \
  passthrough-interface=vlan-lte passthrough-mac=auto
add apn=orangeworld authentication=pap name=orange-pass use-network-apn=yes \
  use-peer-dns=no user=orange password=orange \
  passthrough-interface=vlan-lte passthrough-mac=auto

# Esperamos 30 segundos para darle tiempo
# a que el equipo detecte el módem LTE
:delay 30

# Configuramos la intefaz LTE, asignádole de entrada
# el perfil de movistar con passthrough
/interface lte
set [ find ] allow-roaming=yes apn-profiles=movistar-pass band=3,7 name=lte1 \
network-mode=lte pin=$pin

# Cremos unas reglas básica de protección para la SXT, para
# que sólo podamos acceder a ella desde IPs de tipo 192.168.x.y
# también añadimos alguna regla para cuando tengas que cambiar el perfil
# LTE, por ejemplo, para actualizar el módem o la routerboard
/ip firewall filter
add action=accept chain=input comment=\
    "aceptamos el trafico ya estableciodo o relacionado" connection-state=\
    established,related,untracked
add action=drop chain=input comment="rechazamos el trafico invalido" connection-state=\
    invalid
add action=accept chain=input comment="aceptamos el ping" protocol=icmp
add action=drop chain=input comment="rechazamos todo lo que no venga de red local" \
  src-address=!192.168.0.0/16

# Metemos la ruta por defecto, para que el propio equipo salga a internet
# (para actualizaciones, por ejemplo). Dicha ruta por defecto manda
# el tráfico de internet a la IP del hAP-ac3, 192.168.190.2,
# y esta la devuelve a la SXT vía VLAN de passthrough. No es genial?
/ip route
add gateway=192.168.190.2

# Definimos un par de servidores DNS para que
# el propio equipo resuelva direcciones de internet
/ip dns
set servers=8.8.8.8,8.8.4.4

# Asignamos un nombre al equipo
/system identity
set name=sxt
###################################

Comentado ":local pin 1234" (y la parte de de "pin=$pin") y cambiado user y pass. En el Router estará con el "admin" y su pass por el momento.

pokoyo dijo:
Si todo ha ido bien, tendrás una SXT con una configuración mínima y todo funcionando tal y como lo tenías hasta hace un rato. Cuando entres de nuevo a la SXT verás una línea roja en el log, indicando que la LTE necesita el ping, pero ignóralo si es el caso, puesto que esa línea sale siempre que se detecta un modem LTE. Como ves hay mucho comentario, pero lo que es configuración es la mínima expresión.

Suerte, espero no haberme equivocado en nada! cualquier duda, me dices. Mañana montamos CAPsMAN.

Saludos!

Perfecto, todo funcionando

Prueba hecha:

Listo para empezar el CAPsMAN.
Edito: tengo pendiente de hacer lo del cAP Lite que me dijiste ayer, lo haré mañana de madrugada

¡¡Gracias!!

JuliaRural · 7 Agosto 2022

Buenos días, Pokoyo.

Sobre los pasos previos, me faltó saber esto:

"Solo ha habido una cosa que quiero preguntarte: ¿Cómo se puede conectar uno a otro dispositivo sin quitar el safe mode del anterior dispositivo? No lo he conseguido y al cambiar a la configuración del router he tenido que quitar el safe mode de la SXT. Intenté crear nuevas sesiones y no me dejaba."

Por otro lado, esta mañana he actualizado el cAP Lite a la 7.4 de forma manual (además del RouterBOARD) y he cambiado su IP a la 192.168.191.1, hasta que me digas más instrucciones, a parte de dejar pendiente "El cAP, una vez tengamos CAPsMAN configurado en el hAP-ac3, todo lo que tienes que hacer con él es resetearlo en modo CAP (System -> Reset configuration -> CAPS Mode marcado; keep users también, si ya le cambiaste usuario y contraseña a uno propios). Todo lo demás, se lo va a mandar el hAP-ac3, lo comanda él.".

El cAP Lite lo he tenido que configurar via conexión WiFi, no por ethernet (ahí ni con DHCP ni con IP manual).

¡Un saludo!

PD: Entiendo que el otro día te llego mi mensaje privado de la localización de las antenas, con los enlaces de google maps y antenasgsm. No hay ninguna prisa, es solo por asegurar que lo hice bien.

pokoyo · 7 Agosto 2022

JuliaRural dijo:
"Solo ha habido una cosa que quiero preguntarte: ¿Cómo se puede conectar uno a otro dispositivo sin quitar el safe mode del anterior dispositivo? No lo he conseguido y al cambiar a la configuración del router he tenido que quitar el safe mode de la SXT. Intenté crear nuevas sesiones y no me dejaba."

¿Te refieres a conectarte a la SXT y el hAP-ac3 a la vez? Simplemente abre una nueva sesión de winbox. En la columna de la izquierda, donde están todos los menús, abajo, tienes un botón "New Winbox", que te lanza otra sesión para que te conectes a otro equipo. Ahora mismo, tal y como lo tienes, desde un PC conectado a tu red local, deberías poder acceder tanto a la antena (IP 192.168.190.1) como al router (192.168.190.2 / 192.168.189.1). Si te refieres a otra cosa dime, no sé si he pillado bien la pregunta.

JuliaRural dijo:
Por otro lado, esta mañana he actualizado el cAP Lite a la 7.4 de forma manual (además del RouterBOARD) y he cambiado su IP a la 192.168.191.1, hasta que me digas más instrucciones, a parte de dejar pendiente "El cAP, una vez tengamos CAPsMAN configurado en el hAP-ac3, todo lo que tienes que hacer con él es resetearlo en modo CAP (System -> Reset configuration -> CAPS Mode marcado; keep users también, si ya le cambiaste usuario y contraseña a uno propios). Todo lo demás, se lo va a mandar el hAP-ac3, lo comanda él.".

Perfecto. Si quieres, puedes ir haciendo en él los dos últimos pasos:
1- Cambiarle el usuario y password por defecto y borrar admin. (Lo tienes en el apartado System -> Users). El usuario propio que crees, lo vinculas al grupo "full", para que tenga todos los permisos.
2- System -> Reset Configuration -> Marcadas las opciones de "Keep Users" + "CAPS Mode"). Y ya está, no necesita más.

Hecho el reset al cAP en modo CAPS Mode, te quedarás sin acceso a él, y este chisme se quedará "escuchando" instrucciones de un CAPsMAN, que han de venir por el puerto ethernet (es decir, ha de estar conectado físicamente al hAP-ac3 o al switch PoE que tienes debajo de él). Ese equipo es "tontito" y el manejo de la parte inalámbrica lo harás luego después desde el hAP-ac3. Ese equipo acabará teniendo una IP del segmento 192.168.189.x, que posteriormente fijaremos por DHCP para que siempre le entregue la misma y sepas cuál es (lo podemos hacer también con otros dispositivos que te interese conocer siempre su IP).

Antes de meternos con CAPsMAN; ¿vas a querer segmentar la red? Me suena que en uno de los post me dijiste que sí, que querías hacerlo. Si es así, dime en cuantos cachitos la vamos a partir y a qué se va a dedicar cada cachito. De entrada podríamos implementar la partición más simple, que es partirlo en dos, con una red privada para ti, y otra para invitados, separadas en sendas VLANs. Pero ahora es el momento de pedir y de ver qué necesidades tienes. Podríamos montar primero CAPsMAN, pero prefiero hacerlo todo del tirón, que ya lo que queda de configuración está muy relacionado entre sí.

Si puedes, ves adjuntándome los export según vayamos tocando cosas (de aquí para adelante sólo te pediré el del hAP-ac3, ya que la antena la tenemos medio rematada). Por otro lado, comprueba que la antena tiene salida a internet. Ayer me rompí bien la cabeza para averiguar cómo hacerlo, incluso lo documenté aquí. Simplemente ve a la SXT y, desde su propio terminal, lanza un ping a www.google.com

JuliaRural dijo:
PD: Entiendo que el otro día te llego mi mensaje privado de la localización de las antenas, con los enlaces de google maps y antenasgsm. No hay ninguna prisa, es solo por asegurar que lo hice bien.

Me llegó, descuida; lo hiciste muy bien. En cuanto tenga un rato largo libre te lo miro. No obstante, me da que el trabajo de campo ya le has hecho tú mucho mejor del que pueda aportar yo en remoto. No obstante, le daré una vuelta.

Saludos!

pokoyo · 7 Agosto 2022

Hola Julia,

Después de releer el hilo, veo que comentamos tener al menos dos subredes. He añadido una más, para invitados, quedando así:

VLAN 189 -> Tu red local, con el mismo segmento de red que el número de VLAN (no es necesario, pero como regla mnemotécnica viene bien). Se entrega en los puertos 2 y 3 del router, lista para su uso. A uno de esos puertos ha de ir conectado el switch y el resto de chismes que sean pertenecientes a esa red.
VLAN 188 -> Red para el trabajo. Se entrega lista para su uso en el puerto ether4 del router. Sólo con acceso a internet.
VLAN 187 -> Invitados. De momento no se entrega en ningún sitio, ahora después la entregaremos en inalámbrico. Sólo con acceso a internet.

He preparado el siguiente script de carga para que sólo tengas que importarlo en el hAP-ac3. Descomprime el fichero adjunto, revisa el .rsc y lee los comenarios, y si te parece todo bien, previo backup, lo subes al router y, desde terminal, corres el siguiente comando:

Código:

import vlans.rsc

... voy montando CAPsMAN, pero ves importando ese y dime si lo hace sin errores.

Saludos!

JuliaRural · 7 Agosto 2022

pokoyo dijo:
¿Te refieres a conectarte a la SXT y el hAP-ac3 a la vez? Simplemente abre una nueva sesión de winbox. En la columna de la izquierda, donde están todos los menús, abajo, tienes un botón "New Winbox", que te lanza otra sesión para que te conectes a otro equipo. Ahora mismo, tal y como lo tienes, desde un PC conectado a tu red local, deberías poder acceder tanto a la antena (IP 192.168.190.1) como al router (192.168.190.2 / 192.168.189.1). Si te refieres a otra cosa dime, no sé si he pillado bien la pregunta.

Eso es, gracias. Probé "new" pero no a abrir de nuevo winbox como proceso y ventana independiente (estoy en Linux por lo que no me aparecía "New winbox").

pokoyo dijo:
Perfecto. Si quieres, puedes ir haciendo en él los dos últimos pasos:
1- Cambiarle el usuario y password por defecto y borrar admin. (Lo tienes en el apartado System -> Users). El usuario propio que crees, lo vinculas al grupo "full", para que tenga todos los permisos.
2- System -> Reset Configuration -> Marcadas las opciones de "Keep Users" + "CAPS Mode"). Y ya está, no necesita más.

He creado también un usuario en el router (tipo "full").

pokoyo dijo:
Hecho el reset al cAP en modo CAPS Mode, te quedarás sin acceso a él, y este chisme se quedará "escuchando" instrucciones de un CAPsMAN, que han de venir por el puerto ethernet (es decir, ha de estar conectado físicamente al hAP-ac3 o al switch PoE que tienes debajo de él). Ese equipo es "tontito" y el manejo de la parte inalámbrica lo harás luego después desde el hAP-ac3. Ese equipo acabará teniendo una IP del segmento 192.168.189.x, que posteriormente fijaremos por DHCP para que siempre le entregue la misma y sepas cuál es (lo podemos hacer también con otros dispositivos que te interese conocer siempre su IP).

Perfecto. Lo único, yo para conectarme y configurarlo lo estoy haciendo por WiFi a la 192.168.191.1 (por si eso afectase de alguna manera luego). Dejado en modo CAPS a la espera de más instrucciones.

pokoyo dijo:
Antes de meternos con CAPsMAN; ¿vas a querer segmentar la red? Me suena que en uno de los post me dijiste que sí, que querías hacerlo. Si es así, dime en cuantos cachitos la vamos a partir y a qué se va a dedicar cada cachito. De entrada podríamos implementar la partición más simple, que es partirlo en dos, con una red privada para ti, y otra para invitados, separadas en sendas VLANs. Pero ahora es el momento de pedir y de ver qué necesidades tienes. Podríamos montar primero CAPsMAN, pero prefiero hacerlo todo del tirón, que ya lo que queda de configuración está muy relacionado entre sí.

Sí, sería muy interesante. Te planteo lo siguiente:

Desde mi PC del trabajo, si alguna vez quiero ser capaz de entrar a algún computador de la red de casa (scp/ssh), o a la inversa, que desde algún equipo de casa quiera transferir algo al computador del trabajo, ¿qué haríamos? Será un rara avis, pero a veces se da la situación, o por ejemplo para usar la impresora (es de casa, no del trabajo), pues hasta ahora envío los ficheros a un pc de casa y desde ahí ya imprimo (máquina virtual con el software de la impresora). La impresora también tiene una IP de casa, pero eso serviría solo para imprimir documentos básicos (sin demasiadas opciones), cosa que a veces sería más cómodo que arrancar la máquina virtual para imprimir.

Como es algo muy puntual, se me ocurre algo sencillo: usar el adaptador WiFi para conectarme a la wifi de casa, realizar las operaciones necesarias y desconectar de nuevo.

La idea es que no haya WiFI del trabajo, eso será todo vía Ethernet, pero desconozco si el router podría hacer una emisión de dos tipos de redes inalámbricas: una para el trabajo, otra para casa. No es indispensable, pues si se puede solo una escogería que solo exista la de casa.

Porque llegar a tener un switch que soporte VLANs en mi zona del trabajo, para hacer que un puerto ethernet concreto vaya en una VLAN (VLAN Casa, solo uno al ser algo muy raro) y el resto de puertos en otra (VLAN Trabajo, la normal en la mesa del trabajo, para conectar ahí los distintos aparatos), sería muy versátil. Pero entiendo que esto solo podría ser con un switch de mikrotik. Veo que existe un RB260GSP que tiene PoE out, Gigabit con 5 puertos, aunque desconozco si soporta VLANs. ¿Sería una solución? Porque veo que vale 60€ y después de todo el esfuerzo, materiales y tiempo, es lo de menos. Además, tengo claro que ya no vuelvo a algo que no sea mikrotik. Edito: también veo "Routers" bien baratitos que lo mismo suplen ese problema (aunque no es gigabit... y ahí veo que tendría que acabar subiendo a un AC3) y el del WiFi en zona de trabajo: https://www.amazon.es/Mikrotik-500M...p/B019PCF3QY/ref=psdc_937972031_t2_B0144ESOSM Tú me dirás qué es lo mejor para estas situaciones.
Se me escapa cómo proporcionar WiFi de Trabajo en esta zona (no indispensable, pero sí sería cómodo y me permitiría conectar mi teléfono a esa WiFi para estar en red y trabajar temporalmente con el PC). Entiendo que para esto ya es un Router, no un switch.

Que conste que en cada equipo del trabajo siempre voy a contar con:
- 2 puertos ethernet
- 1 puerto ethernet y un adaptador wifi.
Y entiendo que podría dos posibles conexiones, en caso de meter dos redes, una para casa (que activo temporalmente cuando quiera acceder a la otra red) y la habitual que es la del trabajo.

Refresco un poco la situación de la casa:

Planta 3:
- Zona trabajo: 2 equipos con ethernet. Idealmente un móvil de forma temporal. Había pensado poner un switch para conectar los aparatos. Viene un cable por la pared desde el router Mikrotik en Zona Mikrotik (a unos 15m)
- Zona casa: PC principal de casa, WiFi principal de planta 3, Impresora Brother por IP.
- Zona mikrotik: pegado a la Zona Casa (1m). Tiene el Router Mikrotik + Cable salida SXT, Router ADSL Movistar, cables bajantes a Planta 2 (Zona TV) y cable a cAP Lite (en el techo de la planta 2). Tiene Switches.

Planta 2:
- Zona TV: Switch + TV + Android TV + cables bajantes a Planta 1 Zona Ocio/Gimnasio (desde el switch).
- Zona cAP Lite: emisión WiFi.

Planta 1:
- Zona Ocio/Gimnasio: Cable Ethernet. En principio con un aparato estilo Android TV. Habrá temporalmente móviles pero no es importante que se puedan conectar a la WiFi que proporcione el cAP Lite de la Planta 2.

Espero no haberte mareado con esto.

pokoyo dijo:
Si puedes, ves adjuntándome los export según vayamos tocando cosas (de aquí para adelante sólo te pediré el del hAP-ac3, ya que la antena la tenemos medio rematada). Por otro lado, comprueba que la antena tiene salida a internet. Ayer me rompí bien la cabeza para averiguar cómo hacerlo, incluso lo documenté aquí. Simplemente ve a la SXT y, desde su propio terminal, lanza un ping a www.google.com

Funcional:

Código:

[manager@sxt] > /ping www.google.com
  SEQ HOST                                     SIZE TTL TIME       STATUS        
    0 142.250.200.132                            56 114 37ms425us 
    1 142.250.200.132                            56 114 36ms239us 
    2 142.250.200.132                            56 114 34ms380us 
    3 142.250.200.132                            56 114 34ms595us 
    sent=4 received=4 packet-loss=0% min-rtt=34ms380us avg-rtt=35ms659us 
   max-rtt=37ms425us

pokoyo dijo:
Me llegó, descuida; lo hiciste muy bien. En cuanto tenga un rato largo libre te lo miro. No obstante, me da que el trabajo de campo ya le has hecho tú mucho mejor del que pueda aportar yo en remoto. No obstante, le daré una vuelta.

Saludos!

¡Gracias! Un saludo

JuliaRural · 7 Agosto 2022

Aquí las configs antes de tu último mensaje, antes de importar lo que me pones:

Router:

Código:

/interface bridge
add admin-mac=2C:C8:1B:XX:XX:XX auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
    disabled=no distance=indoors frequency=auto installation=indoor mode=\
    ap-bridge ssid=MikroTik-911621 wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=\
    20/40/80mhz-XXXX disabled=no distance=indoors frequency=auto \
    installation=indoor mode=ap-bridge ssid=MikroTik-Router-911622 \
    wireless-protocol=802.11
/interface vlan
add interface=ether5 name=vlan1-wan-ether5 vlan-id=25
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys \
    supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.189.10-192.168.189.254
/ip dhcp-server
add address-pool=dhcp interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=ether5 list=LAN
add interface=vlan1-wan-ether5 list=WAN
/ip address
add address=192.168.189.1/24 comment=defconf interface=bridge network=\
    192.168.189.0
add address=192.168.190.2/30 interface=ether5 network=192.168.190.0
/ip dhcp-client
add comment=defconf default-route-distance=2 interface=ether1 use-peer-dns=no \
    use-peer-ntp=no
add interface=vlan1-wan-ether5 use-peer-dns=no use-peer-ntp=no
/ip dhcp-server network
add address=192.168.189.0/24 comment=defconf dns-server=192.168.189.1 \
    gateway=192.168.189.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.189.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
add action=masquerade chain=srcnat out-interface=ether5 src-address=\
    192.168.189.0/24
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/system identity
set name=MikroTik-Router
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

SXT:

Código:

/interface vlan
add interface=ether1 name=vlan-lte vlan-id=25
/interface lte apn
add apn=movistar.es authentication=pap name=movistar use-network-apn=yes \
    use-peer-dns=no user=MOVISTAR
add apn=orangeworld authentication=pap name=orange use-network-apn=yes \
    use-peer-dns=no user=orange
add apn=movistar.es authentication=pap name=movistar-pass \
    passthrough-interface=vlan-lte passthrough-mac=auto use-network-apn=yes \
    use-peer-dns=no user=MOVISTAR
add apn=orangeworld authentication=pap name=orange-pass \
    passthrough-interface=vlan-lte passthrough-mac=auto use-network-apn=yes \
    use-peer-dns=no user=orange
/interface lte
set [ find ] allow-roaming=yes apn-profiles=movistar-pass band=3,7 name=lte1 \
    network-mode=lte
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/ip address
add address=192.168.190.1/30 interface=ether1 network=192.168.190.0
/ip dns
set servers=8.8.8.8,8.8.4.4
/ip firewall filter
add action=accept chain=input comment=\
    "aceptamos el trafico ya estableciodo o relacionado" connection-state=\
    established,related,untracked
add action=drop chain=input comment="rechazamos el trafico invalido" \
    connection-state=invalid
add action=accept chain=input comment="aceptamos el ping" protocol=icmp
add action=drop chain=input comment=\
    "rechazamos todo lo que no venga de red local" src-address=\
    !192.168.0.0/16
/ip route
add gateway=192.168.190.2
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=sxt

Al cAP LIte ya no me puedo conectar y por lo tanto no he podido sacar la config.

Voy a dejar un margen de 1h para ir crimpando todos los cables de casa (el que va al cAP Lite y el que va de Planta 2 a Planta 1), por si acaso con todo esto que he puesto quieres cambiar o indicarme algo. Sino, luego a eso de las 18:30 me pongo a aplicar el script que me has pasado.

¡Gracias!

pokoyo · 7 Agosto 2022

JuliaRural dijo:
Desde mi PC del trabajo, si alguna vez quiero ser capaz de entrar a algún computador de la red de casa (scp/ssh), o a la inversa, que desde algún equipo de casa quiera transferir algo al computador del trabajo, ¿qué haríamos? Será un rara avis, pero a veces se da la situación, o por ejemplo para usar la impresora (es de casa, no del trabajo), pues hasta ahora envío los ficheros a un pc de casa y desde ahí ya imprimo (máquina virtual con el software de la impresora). La impresora también tiene una IP de casa, pero eso serviría solo para imprimir documentos básicos (sin demasiadas opciones), cosa que a veces sería más cómodo que arrancar la máquina virtual para imprimir.

Podemos hacerlo de muchas maneras, pero la más sencilla es tirar de firewall. Mikrotik comunica por defecto las VLANs en capa 3 (en el router), así que tienes que meter reglas para impedir esa conexión, como la que ves que va en el script de import:

Código:

# Prohibimos de entrada que las vlans se comuniquen con nada más que internet
# Si luego necesitas otro tipo de comunicación inter-vlan, lo vemos
/ip firewall filter
add action=reject chain=forward comment="vlans: invitados y trabajo solo con acceso a internet" in-interface-list=\
  ISOLATED out-interface-list=!WAN reject-with=icmp-network-unreachable

Si delante de esa regla metemos otra que permita la comunicación entre la vlan de trabajo y la de casa, ya lo tienes (la activas tú cuando la necesites y luego te acuerdas y la quitas). Si vas a necesitar acceder a una impresora que está en la subred de casa regularmente desde las máquinas del trabajo, lo más sencillo es meter una regla, delatne de la regla que prohibe el paso, para que desde la subred de trabajo se llegue a una IP en particualar de la subred de casa (la de la impresora), la cual fijaríamos para mayor comodidad (en los leases del DHCP), tal que siempre tenga la misma. Todo esto lo podemos ir tuneando a posteriori, el firewall es una de las cosas más versátiles que tienen estos chismes, y no deja de ser por debajo muy un iptables de linux, así que si sabes cómo funciona uno de esos, no te va a costar entender las reglas de firewall.
Por hacer un resumen muy rápido: chain=input => acceso al propio router, chain=forward => comunicación entre equipos o de equipos a internet y viceversa.

JuliaRural dijo:
La idea es que no haya WiFI del trabajo, eso será todo vía Ethernet, pero desconozco si el router podría hacer una emisión de dos tipos de redes inalámbricas: una para el trabajo, otra para casa. No es indispensable, pues si se puede solo una escogería que solo exista la de casa.

De hecho, he montado ya 3: casa, invitados, y trabajo. Puedes emitir hasta 32 SSID's virtuales por cada interfaz inalámbrica física.

JuliaRural dijo:
- Zona trabajo: 2 equipos con ethernet. Idealmente un móvil de forma temporal. Había pensado poner un switch para conectar los aparatos. Viene un cable por la pared desde el router Mikrotik en Zona Mikrotik (a unos 15m)

Asegúrate de que ese switch de trabajo va al puerto ether4 conectado, ahí es donde entrego la subred de trabajo lista para su uso.

JuliaRural dijo:
- Zona mikrotik: pegado a la Zona Casa (1m). Tiene el Router Mikrotik + Cable salida SXT, Router ADSL Movistar, cables bajantes a Planta 2 (Zona TV) y cable a cAP Lite (en el techo de la planta 2). Tiene Switches.

Esos switches, a los puertos ether2/3 que es donde se entrega la red de casa.

He modificado un pelín el fichero de las VLANs par securizar aún más la red de invitados. Luego podemos hablar de aplicar colas de prioridad para que priorices el "poco" tráfico que te da la antena y no te venga algún invitado listillo y se zumbe los megas. Esto ya con más calma, que prisa no creo que corra demasiado (a unas malas capas la wifi de invitados y andando).

Vuelve a descargar el fichero y dale zapatilla. Te mando CAPsMAN en dos minutos, lo tengo ya hecho y probado, estoy comentando el fichero para que lo estudies y entiendas.

Saludos!

pokoyo · 7 Agosto 2022

Te dejo también el script de CAPsMAN. Mismo procedimiento que el anterior para importarlo. Cualquier duda, me dices.

Cuando tengas ambos aplicados, me vuelves a mandar la config del hAP-ac3 y le doy una revisión final.

Saludos!

pokoyo · 7 Agosto 2022

Relativo a los switches, luego hablamos de ello. De momento, si tienes más de uno, usa el PoE para la red local y cualquier otro conectado al puerto 4 para el equipo o equipos que tengas de trabajo. Un switch administrable te valdría para conectar todo a un único equipo, dicho switch, pasando un puerto trunk con todas las vlans del hAP-ac3 al switch en cuestión. Pero, si ya tienes otros switches y no te importa el aparaterío, aprovéchalos.

Saludos!

Recomendación para VPN en zona rural de Cantabria (Starlink NO => 4G/LTE)

Usuari@ ADSLzone

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Usuari@ ADSLzone

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Adjuntos

Usuari@ ADSLzone

Moderador ADSLZone - Mikrotik ★★★★★

Moderador ADSLZone - Mikrotik ★★★★★

Adjuntos

Usuari@ ADSLzone

Usuari@ ADSLzone

Moderador ADSLZone - Mikrotik ★★★★★

Moderador ADSLZone - Mikrotik ★★★★★

Adjuntos

Moderador ADSLZone - Mikrotik ★★★★★