Recomendación para VPN en zona rural de Cantabria (Starlink NO => 4G/LTE)

JuliaRural · 8 Agosto 2022

Hola, Pokoyo.

Estoy desde el PC del trabajo, he tenido que poner manualmente la IP (192.168.188.12 => 192.168.188.1; vlan-work) para poder navegar.

He perdido el acceso al router. Esto se ha dado una vez llegué a ejecutar la linea del "ip firewall filter".

El script de vlans.rsc tenía una errata con "domotica" (en vez de "trabajo") y decidí actualizarlo a inglés ("home", "work", "guest"), dejando todo igual. En cualquier caso, una vez metido eso, intenté meter las siguientes líneas (y no dio error, pero a la 4ª línea, se desconectó y ya perdí la conexión). Si trato de usar DHCP, no funciona. Tengo que hacerlo manualmente.

Estoy conectada al puerto 4 del router.

Código:

/ip firewall filter
add action=reject chain=forward comment="vlans: guest y work solo con acceso a internet" in-interface-list=\
  ISOLATED out-interface-list=!WAN reject-with=icmp-network-unreachable

# => noté algo en el gestor de red.

# Definimos la lista de VLANs en el bridge
/interface bridge vlan
add bridge=bridge comment=home tagged=bridge vlan-ids=189
add bridge=bridge comment=work tagged=bridge vlan-ids=188
add bridge=bridge comment=guest tagged=bridge vlan-ids=187

# => ejecuté sin dar errores

# Y, por último, activamos el vlan filtering
/interface bridge
set 0 frame-types=admit-only-vlan-tagged vlan-filtering=yes

# => se quedó "bloqueado", como si estuviese procesando esta línea, y luego se me desconectó el router (perdí la conexión al mismo).

Ya no puedo operar:

Una duda que me surgía era por qué montábamos VLANs solapando algunos rangos de IP de algunos aparatos (ej. 190 para el SXT, 189 para el Router, 191 para el cAP). Entiendo que no habría problema, pero ahora no tengo idea cómo conectarme al Router y seguir ejecutando el resto de instrucciones.

He probado también a forzar poniendo mi pc del trabajo en el puerto 3 del router y luego asignando en el interfaz la 192.168.189.12 => 192.168.189.1, pero me sigue sin dejar entrar en el router, ahora eso sí, sale un mensaje: "ERROR: router doe snot support secure connection, please enable Legacy Mode if you want to connect anyway". Aún así he marcado "Legacy" en Tools y no funciona.

¿Puede ser que hubiese que haber puesto alguna regla para poder acceder desde trabajo o casa a cualquier aparato SXT, Router o cAP? No sé cómo proceder.

Gracias.

Edito, fichero:

Código:

# Creamos las VLANs
# Para la vlan de invitados, no añadimos ARP automáticamente
# tal que forcemos a que nadie se pueda canectar metiendo
# una IP a mano
/interface vlan
add interface=bridge name=vlan-home vlan-id=189
add interface=bridge name=vlan-work vlan-id=188
add interface=bridge name=vlan-guest vlan-id=187 arp=reply-only

# Las direccionamos
/ip address
add address=192.168.189.1/24 interface=vlan-home
add address=192.168.188.1/24 interface=vlan-work
add address=192.168.187.1/24 interface=vlan-guest

# Creamos los pools para las vlans
/ip pool
add name=dhcp-home ranges=192.168.189.10-192.168.189.254
add name=dhcp-work ranges=192.168.188.10-192.168.188.254
add name=dhcp-guest ranges=192.168.187.10-192.168.187.254

# Cremos los servidores DHCP y las subredes que manejan
# Entregamos por DHCP el ARP de los invitados, para que puedan navegar
# Restringimos las IPs de invitados a no tenear nada de broadcast (/32)
# tal que crean que están solitos en la red
/ip dhcp-server
add address-pool=dhcp-home interface=vlan-home name=dhcp-home
add address-pool=dhcp-work interface=vlan-work name=dhcp-work
add address-pool=dhcp-guest interface=vlan-guest name=dhcp-guest add-arp=yes
/ip dhcp-server network
set [find comment=defconf] comment=home
add address=192.168.188.0/24 comment=work dns-server=8.8.8.8,8.8.4.4 gateway=192.168.188.1 netmask=24
add address=192.168.187.0/24 comment=guest dns-server=8.8.8.8,8.8.4.4 gateway=192.168.187.1 netmask=32

# Asignamos los puertos físicos del router a la vlan-home (si usas algo cableado en otra VLAN, dime)
# ether2 y ether3 los dejo para tu red local, ether4 para la de work
/interface bridge port
set [find interface=ether2] frame-types=admit-only-untagged-and-priority-tagged pvid=189
set [find interface=ether3] frame-types=admit-only-untagged-and-priority-tagged pvid=189
set [find interface=ether4] frame-types=admit-only-untagged-and-priority-tagged pvid=188

# Creamos una nueva lista para las VLANS que van a estar aisladas.
/interface list
add name=ISOLATED

# Metemos cada vlan en su lista, la vlan-home en LAN, las otras dos en ISOLATED
/interface list member
add interface=vlan-home list=LAN
add interface=vlan-work list=ISOLATED
add interface=vlan-guest list=ISOLATED

# Prohibimos de entrada que las vlans se comuniquen con nada más que internet
# Si luego necesitas otro tipo de comunicación inter-vlan, lo vemos
/ip firewall filter
add action=reject chain=forward comment="vlans: guest y work solo con acceso a internet" in-interface-list=\
  ISOLATED out-interface-list=!WAN reject-with=icmp-network-unreachable

# Definimos la lista de VLANs en el bridge
/interface bridge vlan
add bridge=bridge comment=home tagged=bridge vlan-ids=189
add bridge=bridge comment=work tagged=bridge vlan-ids=188
add bridge=bridge comment=guest tagged=bridge vlan-ids=187

# Y, por último, activamos el vlan filtering
/interface bridge
set 0 frame-types=admit-only-vlan-tagged vlan-filtering=yes

# Borramos lo que ya no necesitamos
/ip address
remove [find interface=bridge]
/ip dhcp-server
remove [find name=defconf]
/ip pool
remove [find name=dhcp]
/interface list member
remove [find interface=bridge]

pokoyo · 8 Agosto 2022

JuliaRural dijo:

Hola, Pokoyo.

Estoy desde el PC del trabajo, he tenido que poner manualmente la IP (192.168.188.12 => 192.168.188.1; vlan-work) para poder navegar.

He perdido el acceso al router. Esto se ha dado una vez llegué a ejecutar la linea del "ip firewall filter".

El script de vlans.rsc tenía una errata con "domotica" (en vez de "trabajo") y decidí actualizarlo a inglés ("home", "work", "guest"), dejando todo igual. En cualquier caso, una vez metido eso, intenté meter las siguientes líneas (y no dio error, pero a la 4ª línea, se desconectó y ya perdí la conexión). Si trato de usar DHCP, no funciona. Tengo que hacerlo manualmente.

Estoy conectada al puerto 4 del router.

Código:

/ip firewall filter
add action=reject chain=forward comment="vlans: guest y work solo con acceso a internet" in-interface-list=\
  ISOLATED out-interface-list=!WAN reject-with=icmp-network-unreachable

# => noté algo en el gestor de red.

# Definimos la lista de VLANs en el bridge
/interface bridge vlan
add bridge=bridge comment=home tagged=bridge vlan-ids=189
add bridge=bridge comment=work tagged=bridge vlan-ids=188
add bridge=bridge comment=guest tagged=bridge vlan-ids=187

# => ejecuté sin dar errores

# Y, por último, activamos el vlan filtering
/interface bridge
set 0 frame-types=admit-only-vlan-tagged vlan-filtering=yes

# => se quedó "bloqueado", como si estuviese procesando esta línea, y luego se me desconectó el router (perdí la conexión al mismo).

Ya no puedo operar:
Ver el adjunto 97824

Una duda que me surgía era por qué montábamos VLANs solapando algunos rangos de IP de algunos aparatos (ej. 190 para el SXT, 189 para el Router, 191 para el cAP). Entiendo que no habría problema, pero ahora no tengo idea cómo conectarme al Router y seguir ejecutando el resto de instrucciones.

He probado también a forzar poniendo mi pc del trabajo en el puerto 3 del router y luego asignando en el interfaz la 192.168.189.12 => 192.168.189.1, pero me sigue sin dejar entrar en el router, ahora eso sí, sale un mensaje: "ERROR: router doe snot support secure connection, please enable Legacy Mode if you want to connect anyway". Aún así he marcado "Legacy" en Tools y no funciona.

¿Puede ser que hubiese que haber puesto alguna regla para poder acceder desde trabajo o casa a cualquier aparato SXT, Router o cAP? No sé cómo proceder.

Gracias.

Edito, fichero:

Código:

# Creamos las VLANs
# Para la vlan de invitados, no añadimos ARP automáticamente
# tal que forcemos a que nadie se pueda canectar metiendo
# una IP a mano
/interface vlan
add interface=bridge name=vlan-home vlan-id=189
add interface=bridge name=vlan-work vlan-id=188
add interface=bridge name=vlan-guest vlan-id=187 arp=reply-only

# Las direccionamos
/ip address
add address=192.168.189.1/24 interface=vlan-home
add address=192.168.188.1/24 interface=vlan-work
add address=192.168.187.1/24 interface=vlan-guest

# Creamos los pools para las vlans
/ip pool
add name=dhcp-home ranges=192.168.189.10-192.168.189.254
add name=dhcp-work ranges=192.168.188.10-192.168.188.254
add name=dhcp-guest ranges=192.168.187.10-192.168.187.254

# Cremos los servidores DHCP y las subredes que manejan
# Entregamos por DHCP el ARP de los invitados, para que puedan navegar
# Restringimos las IPs de invitados a no tenear nada de broadcast (/32)
# tal que crean que están solitos en la red
/ip dhcp-server
add address-pool=dhcp-home interface=vlan-home name=dhcp-home
add address-pool=dhcp-work interface=vlan-work name=dhcp-work
add address-pool=dhcp-guest interface=vlan-guest name=dhcp-guest add-arp=yes
/ip dhcp-server network
set [find comment=defconf] comment=home
add address=192.168.188.0/24 comment=work dns-server=8.8.8.8,8.8.4.4 gateway=192.168.188.1 netmask=24
add address=192.168.187.0/24 comment=guest dns-server=8.8.8.8,8.8.4.4 gateway=192.168.187.1 netmask=32

# Asignamos los puertos físicos del router a la vlan-home (si usas algo cableado en otra VLAN, dime)
# ether2 y ether3 los dejo para tu red local, ether4 para la de work
/interface bridge port
set [find interface=ether2] frame-types=admit-only-untagged-and-priority-tagged pvid=189
set [find interface=ether3] frame-types=admit-only-untagged-and-priority-tagged pvid=189
set [find interface=ether4] frame-types=admit-only-untagged-and-priority-tagged pvid=188

# Creamos una nueva lista para las VLANS que van a estar aisladas.
/interface list
add name=ISOLATED

# Metemos cada vlan en su lista, la vlan-home en LAN, las otras dos en ISOLATED
/interface list member
add interface=vlan-home list=LAN
add interface=vlan-work list=ISOLATED
add interface=vlan-guest list=ISOLATED

# Prohibimos de entrada que las vlans se comuniquen con nada más que internet
# Si luego necesitas otro tipo de comunicación inter-vlan, lo vemos
/ip firewall filter
add action=reject chain=forward comment="vlans: guest y work solo con acceso a internet" in-interface-list=\
  ISOLATED out-interface-list=!WAN reject-with=icmp-network-unreachable

# Definimos la lista de VLANs en el bridge
/interface bridge vlan
add bridge=bridge comment=home tagged=bridge vlan-ids=189
add bridge=bridge comment=work tagged=bridge vlan-ids=188
add bridge=bridge comment=guest tagged=bridge vlan-ids=187

# Y, por último, activamos el vlan filtering
/interface bridge
set 0 frame-types=admit-only-vlan-tagged vlan-filtering=yes

# Borramos lo que ya no necesitamos
/ip address
remove [find interface=bridge]
/ip dhcp-server
remove [find name=defconf]
/ip pool
remove [find name=dhcp]
/interface list member
remove [find interface=bridge]

Desde el trabajo no puedes acceder al router, sólo a internet; está hecho a propósito. Se puede permitir dicho acceso, si fuera necesario. La configuración que te mandé sólo permite el acceso desde la red interna, la .189.

Reviso el script que te mandé de VLANs a ver dónde está el error. Me extraña lo que me comentas, porque lo importé en un mAP (adaptando los puertos) y funcionó correctamente para las tres VLANs.

Dale un reset al hap-ac3 y restaura el último backup que tuvieras. Me pasas la config que exportes en ese momento, después de la restauración, y dime qué nombres quieres cambiar, porque el siguiente script de capsman depende de este, si tocas los nombres, no te va a funcionar. Hago yo las modificaciones y te las paso. Cuando me des el visto bueno, las importo en un equipo de pruebas, y si va bien, lo haces tú. ¿Te parece?

Saludos!

pokoyo · 8 Agosto 2022

Te dejo documentación cómo hacer el reset: https://help.mikrotik.com/docs/display/ROS/Reset+Button

Básicamente desconectas corriente, pulsas reset, metes corriente aguantando el reset pulsado, y sueltas cuando las luces empiecen a parpadear (unos 8-10s desde que aplicas corriente). Eso recargará la config por defecto, y te permitirá acceder al router para restaurar el último backup que hicieras, antes de aplicar VLANs.

Hecho esto, me vuelves a mandar el export, a ver en qué punto estamos.

Saludos!

JuliaRural · 8 Agosto 2022

pokoyo dijo:
Desde el trabajo no puedes acceder al router, sólo a internet; está hecho a propósito. Se puede permitir dicho acceso, si fuera necesario. La configuración que te mandé sólo permite el acceso desde la red interna, la .189.

Reviso el script que te mandé de VLANs a ver dónde está el error. Me extraña lo que me comentas, porque lo importé en un mAP (adaptando los puertos) y funcionó correctamente para las tres VLANs.

Dale un reset al hap-ac3 y restaura el último backup que tuvieras. Me pasas la config que exportes en ese momento, después de la restauración, y dime qué nombres quieres cambiar, porque el siguiente script de capsman depende de este, si tocas los nombres, no te va a funcionar. Hago yo las modificaciones y te las paso. Cuando me des el visto bueno, las importo en un equipo de pruebas, y si va bien, lo haces tú. ¿Te parece?

Saludos!

Gracias, qué susto. Disculpa por la confusión.

¿Qué regla tendría que meter al firewall para poder ver desde un máquina de trabajo una de casa o viceversa? ¿Y para poder acceder, por ejemplo, desde un pc del trabajo, la antena? (expondría la SXT por eso de ver los valores de conectividad y poder cambiar cómodamente de APN).

Apagué y encendí el router y curiosamente ahora sí me deja acceder desde winbox (a través de la VLAN de casa).

Acabé de ejecutar el script de vlans que te puse, con los nombres a "home", "work" and "guest" (es decir, según sea el caso era "vlan-home" o "home", siguiendo el patrón).

Te paso un export de la config del router actual:

Código:

/interface bridge
add admin-mac=2C:C8:1B:XX:XX:XX auto-mac=no comment=defconf frame-types=\
    admit-only-vlan-tagged name=bridge vlan-filtering=yes
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
    disabled=no distance=indoors frequency=auto installation=indoor mode=\
    ap-bridge ssid=MikroTik-911621 wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=\
    20/40/80mhz-XXXX disabled=no distance=indoors frequency=auto \
    installation=indoor mode=ap-bridge ssid=MikroTik-Router-911622 \
    wireless-protocol=802.11
/interface vlan
add arp=reply-only interface=bridge name=vlan-guest vlan-id=187
add interface=bridge name=vlan-home vlan-id=189
add interface=bridge name=vlan-work vlan-id=188
add interface=ether5 name=vlan1-wan-ether5 vlan-id=25
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add name=ISOLATED
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys \
    supplicant-identity=MikroTik
/ip pool
add name=dhcp-home ranges=192.168.189.10-192.168.189.254
add name=dhcp-work ranges=192.168.188.10-192.168.188.254
add name=dhcp-guest ranges=192.168.187.10-192.168.187.254
/ip dhcp-server
add address-pool=dhcp-home interface=vlan-home name=dhcp-home
/interface bridge port
add bridge=bridge comment=defconf frame-types=\
    admit-only-untagged-and-priority-tagged interface=ether2 pvid=189
add bridge=bridge comment=defconf frame-types=\
    admit-only-untagged-and-priority-tagged interface=ether3 pvid=189
add bridge=bridge comment=defconf frame-types=\
    admit-only-untagged-and-priority-tagged interface=ether4 pvid=188
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface bridge vlan
add bridge=bridge comment=home tagged=bridge vlan-ids=189
add bridge=bridge comment=work tagged=bridge vlan-ids=188
add bridge=bridge comment=guest tagged=bridge vlan-ids=187
/interface list member
add comment=defconf interface=ether1 list=WAN
add interface=ether5 list=LAN
add interface=vlan1-wan-ether5 list=WAN
add interface=vlan-home list=LAN
add interface=vlan-work list=ISOLATED
add interface=vlan-guest list=ISOLATED
/ip address
add address=192.168.190.2/30 interface=ether5 network=192.168.190.0
add address=192.168.189.1/24 interface=vlan-home network=192.168.189.0
add address=192.168.188.1/24 interface=vlan-work network=192.168.188.0
add address=192.168.187.1/24 interface=vlan-guest network=192.168.187.0
/ip dhcp-client
add comment=defconf default-route-distance=2 interface=ether1 use-peer-dns=no \
    use-peer-ntp=no
add interface=vlan1-wan-ether5 use-peer-dns=no use-peer-ntp=no
/ip dhcp-server network
add address=192.168.187.0/24 comment=guest dns-server=8.8.8.8,8.8.4.4 \
    gateway=192.168.187.1 netmask=32
add address=192.168.188.0/24 comment=work dns-server=8.8.8.8,8.8.4.4 gateway=\
    192.168.188.1 netmask=24
add address=192.168.189.0/24 comment=home dns-server=192.168.189.1 gateway=\
    192.168.189.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.189.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=reject chain=forward comment=\
    "vlans: guest y work solo con acceso a internet" in-interface-list=\
    ISOLATED out-interface-list=!WAN reject-with=icmp-network-unreachable
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
add action=masquerade chain=srcnat out-interface=ether5 src-address=\
    192.168.189.0/24
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/system identity
set name=MikroTik-Router
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Respecto al eror, me saltó en "address-pool", y claro, veo que allí ponía "dhcp-domotica", así que asumí errata en domótica, queriendo ser "trabajo". Por eso acabé poniendo los nombres en inglés y repasando todo el fichero. Ahora ya está así.

Respecto al script de CAPSMAN:

- ¿Entiendo que las MAC tengo que poner las que tenían los interfaces originalmente? Si quieres que me las invente, me valen las que has puesto tú.
- Supongo que aquí es sustituir de nuevo los nombres al inglés ("home", "work" y "guest") y listo.

Otra duda, entiendo que a cAP Lite, una vez metido en modo CAPS ya no es accesible por winbox. Y para poder volver a acceder, tendré que resetearlo (físicamente), ¿cierto? No lo voy a hacer, pero es el único al que ahora no puedo acceder, al resto sí (SXT y Router).

Antes de dar más pasos o incluso cambiar y ejecutar el script de capsman voy a dar un poco de margen, por si lo ves todo correcto.

Yo diría que estamos en el mismo punto, con la salvedad de cambiar los nombres

¡Gracias por todo!

pokoyo · 8 Agosto 2022

Vale, el equipo se ha quedado con la config a medias, por eso te daba problemas. ¿tienes backup que puedas restaurar, de justo antes de aplicar el script de las vlans? Si lo tienes, restáuralo y volvemos a meter el script corregido, sino dime y añadimos lo que falta.

Edito: sólo falta esto en la configuración, por si lo quieres crear a mano: la definición de los DHCP server para invitados y trabajo

Código:

/ip dhcp-server
add address-pool=dhcp-work interface=vlan-work name=dhcp-work
add address-pool=dhcp-guest interface=vlan-guest name=dhcp-guest

Si además quieres tener acceso al router desde la vlan de trabajo, simplemente mete la VLAN en la lista "LAN", tal que no le afecte la regla de drop generalista del chain de input (la que pone lleva el comentario "defconf: drop all not coming from LAN"). De esa manera llegarás desde la red de trabajo al router.

Una vez aplicado, comprueba que al pinchar un equipo a ether2/3 te da rango 189, mientras que si lo conectas a ether4, te da 188.

Después miramos tema CAPsMAN, voy adaptando el script que te pasé ayer a lo que has modificado. Las direcciones MAC no te las puedes inventar, son las que tienen las interfaces inalámbricas que quieres controlar. En el hAP-ac3 las puedes ver en Wireless -> Wifi Interfaces -> (wlan1 = wifi 2,4GHz / wlan2 = wifi 5GHz, en ese equipo). Para el cAP, es la que pone "W01" en la parte de atrás del chisme (del primer pantallazo que me mandaste de los equipos, que lo tienes oculto con un tachón).

Saludos!

pokoyo · 8 Agosto 2022

Te paso el script de CAPsMAN, ya modificado con tus cambios. No lo he podido probar porque justo brickeé el mAP donde estaba probando, lo tiraron esta mañana los gatos al suelo y no sé si ha sido el golpe o la útlima actualización, pero algo no le ha sentado muy bien. No obstante, como todo lo de CPAsMAN está en un mismo menú (el lateral de la izquierda con el mismo nombre), si te falla el import me dices, y simplemente corregimos lo que haya mal, borramos toda la config de capsman que hayas creado, y volvemos a ejecutarlo.

Si por un casual no tienes acceso físico al cAP ahora mismo, mira a ver si con suerte te aparece en IP -> Neighbors. Al ponerlo en modo CAP, levanta un cliente dhcp sobre su puerto ether1, así que habrá cogido IP del rango principal si lo tienes físicamente conectado la hAP en los puertos 2 o 3, o a algún switch que dependa de uno de esos dos puertos. Si te aparece dime, que te digo cómo acceder a él y sacar lo que necesitas.

Saludos!

pokoyo · 8 Agosto 2022

Acabo de probar los scripts de VLANs (el que pasaste con tus cambios) y CAPsMAN (el último que te acabo de mandar) en otro dispositivo y funcionan correctamente.

Otra cosa, fuera de tema: voy a pedir que muevan este post al sub de Mikrotik, ya que se ha convertido en un monólogo más de la marca. Poco o nada tiene que ver ya con Wimax / Satélite. Lo digo por si luego no lo localizas donde lo sueles mirar.

Saludos!

JuliaRural · 9 Agosto 2022

Hola, Pokoyo.

Ha sido una odisea, te pego aquí todo lo ocurrido.

Probé a resetear por software, indicando el último ".rsc" válido y nada, no había manera de acceder al router. Llegué tarde para ejecutar las líneas que faltaban, y ya no hubo manera de conseguir conexión al router ni a internet.

Sé que usé esto:

¿Qué pudo ocurrir?

Así que probé a hacer reset físico, como me dijiste. Y no había manera de acceder con esas IPs, sino que se me ponía en el 192.168.88.1. Hice pruebas de recuperación y no había manera, los ".rsc" no me los cargaba correctamente, y no había ficheros "backup" salvo el previo al reset (a saber qué reset de los 3 que hice en pruebas).

Aquí ya se ve que acabé cambiando la hora porque no me aclaraba nada los 1970.
Entonces, he tenido que empezar de cero esta mañana, pero he llegado a un problema y me voy a mantener a la espera a ver qué me dices.

Intenté cargar la configuración previa, haciendo "/import config-router-3-cfg.rsc", pero salta "failure: already have interface with such name". Así que supongo que eso mismo le pasaría al hacerlo por "Reset" y "Run after reset", que saltará ese error y se queda inconsistente.

Es decir, no es la manera de cargarlo todo, o al menos, no es válido lo que le intento meter. Te dejo aquí que tenía el "config-router-3-cfg.rsc" (con comentarios arriba y con la MAC completa):

Código:

/interface bridge
add admin-mac=2C:C8:1B:XX:XX:XX auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
    disabled=no distance=indoors frequency=auto installation=indoor mode=\
    ap-bridge ssid=MikroTik-911621 wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=\
    20/40/80mhz-XXXX disabled=no distance=indoors frequency=auto \
    installation=indoor mode=ap-bridge ssid=MikroTik-Router-911622 \
    wireless-protocol=802.11
/interface vlan
add interface=ether5 name=vlan1-wan-ether5 vlan-id=25
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys \
    supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.189.10-192.168.189.254
/ip dhcp-server
add address-pool=dhcp interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=ether5 list=LAN
add interface=vlan1-wan-ether5 list=WAN
/ip address
add address=192.168.189.1/24 comment=defconf interface=bridge network=\
    192.168.189.0
add address=192.168.190.2/30 interface=ether5 network=192.168.190.0
/ip dhcp-client
add comment=defconf default-route-distance=2 interface=ether1 use-peer-dns=no \
    use-peer-ntp=no
add interface=vlan1-wan-ether5 use-peer-dns=no use-peer-ntp=no
/ip dhcp-server network
add address=192.168.189.0/24 comment=defconf dns-server=192.168.189.1 \
    gateway=192.168.189.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.189.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
add action=masquerade chain=srcnat out-interface=ether5 src-address=\
    192.168.189.0/24
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/system identity
set name=MikroTik-Router
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Parece que expresamente tenía que haber hecho algún backup, cosa que los "rsc" no parecen ser suficientes (o al menos el que le he pasado).

Hecho otra vez Reset por software, por si acaso, probadas en manual la 88, 188 y la 189, en puerto lan 4 y puerto lan 5. Y no hay manera.

Así que no me queda otra que hacer reset completo y empezar a meter comandos desde cero, repasando posts de hace días:

1. Reset del Router. Físico o por software, pero en ese caso:
- Do not backup
- Keep users
Conectado con IP 192.168.88.1 (adaptador ethernet)
2. Establecido usuario y contraseña, grupo "full", borrado admin.
3. Quick set > IPs: rango 192.168.189.X, establezco pass en WPA2. "OK". Cambiar ip del adaptador para este nuevo rango. Conectar de nuevo.
4. Bridge > Elimino Puerto 5 (Ether5)
5. Interfaces > List > añado ether5 a lista WAN.
6. IP > DHCP Client:
- añado "ether5" no Peer DNS no Peer NTP, distance 1.
- cambio "ether1" a distance 2 (ADSL).
7. IP > DHCP Server > Networks > Actualiza "DNS Servers" a 192.168.189.1 (bug 192.168.88.1).
8. Conjunto de comandos (post del día 04/08/22 a las 22:04):

Código:

/interface vlan
add name=vlan-wan vlan-id=25 interface=ether5

/interface list member
add list=WAN interface=vlan-wan

/ip dhcp-client
set [find interface=ether5] add-default-route=no
add disabled=no interface=vlan-wan use-peer-dns=no use-peer-ntp=no

He ido a Files y puesto crear backup "steps-04082022.backup".

A ver si en caso de fallar puedo cargar esta backup.

Sigo con el 05/08/22 a las 18:44:

Código:

/ip dhcp-client
remove [find interface=ether5]

/ip address
add address=192.168.190.2/30 interface=ether5

/ip firewall nat
add chain=srcnat src-address=192.168.189.0/24 out-interface=ether5 action=masquerade

/interface list member
set [find interface=ether5] list=LAN

Probado que puedo acceder tanto a la SXT como al Router.

Backup "steps-05082022.backup". Por cierto, hago las backups sin cifrar.

Ahora los pasos del día 07/08/2022 a las 17.43, pero con mis modificaciones de nombres ("home", "work", "guest").
Y moviendo la regla del firewall después del vlan filtering.

Código:

# Creamos las VLANs
# Para la vlan de invitados, no añadimos ARP automáticamente
# tal que forcemos a que nadie se pueda canectar metiendo
# una IP a mano
/interface vlan
add interface=bridge name=vlan-home vlan-id=189
add interface=bridge name=vlan-work vlan-id=188
add interface=bridge name=vlan-guest vlan-id=187 arp=reply-only

# Las direccionamos
/ip address
add address=192.168.189.1/24 interface=vlan-home
add address=192.168.188.1/24 interface=vlan-work
add address=192.168.187.1/24 interface=vlan-guest

# Creamos los pools para las vlans
/ip pool
add name=dhcp-home ranges=192.168.189.10-192.168.189.254
add name=dhcp-work ranges=192.168.188.10-192.168.188.254
add name=dhcp-guest ranges=192.168.187.10-192.168.187.254

# Cremos los servidores DHCP y las subredes que manejan
# Entregamos por DHCP el ARP de los invitados, para que puedan navegar
# Restringimos las IPs de invitados a no tenear nada de broadcast (/32)
# tal que crean que están solitos en la red
/ip dhcp-server
add address-pool=dhcp-home interface=vlan-home name=dhcp-home
add address-pool=dhcp-work interface=vlan-work name=dhcp-work
add address-pool=dhcp-guest interface=vlan-guest name=dhcp-guest add-arp=yes
/ip dhcp-server network
set [find comment=defconf] comment=home
add address=192.168.188.0/24 comment=work dns-server=8.8.8.8,8.8.4.4 gateway=192.168.188.1 netmask=24
add address=192.168.187.0/24 comment=guest dns-server=8.8.8.8,8.8.4.4 gateway=192.168.187.1 netmask=32

# Asignamos los puertos físicos del router a la vlan-home (si usas algo cableado en otra VLAN, dime)
# ether2 y ether3 los dejo para tu red local, ether4 para la de work
/interface bridge port
set [find interface=ether2] frame-types=admit-only-untagged-and-priority-tagged pvid=189
set [find interface=ether3] frame-types=admit-only-untagged-and-priority-tagged pvid=189
set [find interface=ether4] frame-types=admit-only-untagged-and-priority-tagged pvid=188

# Creamos una nueva lista para las VLANS que van a estar aisladas.
/interface list
add name=ISOLATED

# Metemos cada vlan en su lista, la vlan-home en LAN, las otras dos en ISOLATED
/interface list member
add interface=vlan-home list=LAN
add interface=vlan-work list=ISOLATED
add interface=vlan-guest list=ISOLATED


# Definimos la lista de VLANs en el bridge
/interface bridge vlan
add bridge=bridge comment=home tagged=bridge vlan-ids=189
add bridge=bridge comment=work tagged=bridge vlan-ids=188
add bridge=bridge comment=guest tagged=bridge vlan-ids=187

# Y, por último, activamos el vlan filtering
/interface bridge
set 0 frame-types=admit-only-vlan-tagged vlan-filtering=yes

# JuliaRural: la regla del firewall la he movido aquí, por si acaso estaba desde el trabajo, para que no me echase.
# Prohibimos de entrada que las vlans se comuniquen con nada más que internet
# Si luego necesitas otro tipo de comunicación inter-vlan, lo vemos
/ip firewall filter
add action=reject chain=forward comment="vlans: guest y work solo con acceso a internet" in-interface-list=ISOLATED out-interface-list=!WAN reject-with=icmp-network-unreachable

# Borramos lo que ya no necesitamos
/ip address
remove [find interface=bridge]
/ip dhcp-server
remove [find name=defconf]
/ip pool
remove [find name=dhcp]
/interface list member
remove [find interface=bridge]

He ido ejecutando este script por bloques y una vez terminado, ya no me deja conectarme. Estoy en el ether2 y no hay manera de acceder al router. He apagado y encendido el router, por si pasaba como el otro día, que después de apagar y encender me dejó conectar, pero ahora nada. He probado tanto DHCP como IP manual (192.168.189.12=>192.168.189.1), con ether2 y ether3. Y nada.

Tengo que resetear de nuevo.

Vuelvo a poner el adaptador en manual a IP en rango 88. Me conecto con usuario por defecto y restauro la backup steps-05082022.backup. Cambio el adaptador a IP rango 189.

Al menos ahora sí que consigo restaurar una backup.

Me voy a mantener a la espera para saber por qué los últimos pasos no han funcionado. Hago export de la configuración actual tras restaurar esa backup, por si se me ha pasado alguna cosa:

Código:

/interface bridge
add admin-mac=2C:C8:1B:XX:XX:XX auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
    disabled=no distance=indoors frequency=auto installation=indoor mode=\
    ap-bridge ssid=MikroTik-911621 wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=\
    20/40/80mhz-XXXX country=spain disabled=no distance=indoors frequency=\
    auto installation=indoor mode=ap-bridge ssid=MikroTik-911622 \
    wireless-protocol=802.11
/interface vlan
add interface=ether5 name=vlan-wan vlan-id=25
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys \
    supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.189.10-192.168.189.254
/ip dhcp-server
add address-pool=dhcp interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=vlan-wan list=WAN
/ip address
add address=192.168.189.1/24 comment=defconf interface=bridge network=\
    192.168.189.0
add address=192.168.190.2/30 interface=ether5 network=192.168.190.0
/ip dhcp-client
add comment=defconf default-route-distance=2 interface=ether1
add interface=vlan-wan use-peer-dns=no use-peer-ntp=no
/ip dhcp-server network
add address=192.168.189.0/24 comment=defconf dns-server=192.168.189.1 \
    gateway=192.168.189.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.189.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat out-interface=ether5 src-address=\
    192.168.189.0/24
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/system clock
set time-zone-name=Europe/Madrid
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

¡Gracias por todo!

pokoyo · 9 Agosto 2022

El problema es que los .rsc son ficheros de scripting, no de backup. Y sólo los de backup te valen para restaurar el equipo, los de scripting van a depender de la configuración que ya tiene el equipo para funcionar o no, razón por la que te los voy pidiendo cada vez que haces un cambio (sino no sé si lo siguientes comandos que te mande van a funcionar o no, porque dependen de cómo esté el equipo en ese momento).

No obstante, no te preocupes, la config del hAP-ac3 no es compleja, y si quieres la montamos desde cero, basándonos en la config por defecto que tiene el router, que es lo que suelo hacer con todo el mundo (por tener un punto de partida común, conocido por ambos y fácil de llegar vía un simple reset). Además, casi me viene mejor, porque así las VLANs son más sencillas de configurar, cuando no tienes que modificar el pool actual.

Hago una cosa, te preparo un .rsc para que puedas meterlo todo de un golpe, partiendo de la config por defecto del mikrotik, y esta tarde (me pillas ya con un pie fuera de casa), te lo paso para que lo apliques.

De aquí en adelante, cada paso que des, siempre: backup + export. El backup por si el siguiente paso rompe algo, tengas un fichero que puedas restaurar, y el .rsc para ver cómo queda la configuración después de aplicarla, y estar listos para dar el siguiente paso.

Saludos!

JuliaRural · 9 Agosto 2022

De acuerdo, eso será ideal, porque así nada más resetear, creo el usuario y directamente lanzo el script para que se den todos los pasos hasta lo que deseamos en la actualidad.

Porque está claro que algo se me ha pasado al ir haciéndolo esta mañana, ya que si ejecuto el último tramo (vlans) algo se queda inconsistente y no puedo acceder.

Sin prisa, pues hasta las 23h no podré ejecutarlo.

¡Gracias!

pokoyo · 9 Agosto 2022

Salvo error tipográfico, esta es la config que restauraría en el hAP-ac3 todo lo hecho anteriormente, partiendo de la configuración por defecto. Está explicado detalladamente, espero no haberme dejado nada. Léelo por si acaso.

Tras importarlo (desde cualquier equipo conectado a los puertos ether2 o ether3), cuando se ejecute el último comando, te quedarás sin conexión al equipo. Basta con que desconectes el cable de red y lo vuelvas a conectar. Ese par de puertos deberían estar en el segmento .189 y el ether4 en el .188. Desde ambos, deberías poder acceder a la SXT, sin embargo sólo desde la .189 deberías poder acceder al propio hAP-ac3.

Si el script tiene alguna errata, simplemente dímelo y lo corrijo. Volverías a resetear el router, marcando la opción de "do not backup" y "keep users" y listo para volver a importar.

Para importar el fichero, súbelo vía winbox y, desde terminal, ejecuta: import julia-hap.rsc

Saludos!

JuliaRural · 9 Agosto 2022

Perfecto, acabo de verlo, no te preocupes que cambio yo los valores de las variables.

Voy a hacer una prueba exprés reseteando el equipo, metiendo mi usuario y luego importando este script. En caso de que no me funcione reseteo y vuelvo a la backup actual.

Te digo en breve.

Por cierto, por si acaso he hecho solo este cambio con las "\", porque esta mañana al meter comandos me dio error al estar "in-interface-list=\" y en la línea siguiente " ISOLATED". A ver si así no me da guerra:

Código:

/ip firewall filter 
add action=accept chain=forward comment="vlans: work can access home network" \ 
  src-address=192.168.188.0/24 dst-address=192.168.189.0/24
add action=reject chain=forward comment="vlans: guest y work can only access internet" \
  in-interface-list=ISOLATED out-interface-list=!WAN reject-with=icmp-network-unreachable

JuliaRural · 9 Agosto 2022

No funcionó:

"expected end of command (line 38 column 7)"

He tenido que poner esto:

Código:

set 0 default-route-distance=2 use-peer-dns=no use-peer-ntp=no

Sigo ejecutando en bloques por si hay más erratas. Edito este mensaje en ese caso.

## Edito

Ahora he visto un comando que tenía el "\" entre los parámetros y ha funcionado (lo pongo debajo). No sé por qué estos días me ha dado guerra el otro.

Código:

add band=5ghz-n/ac control-channel-width=20mhz extension-channel=XXXX name=\
    5ghz-auto-80

## Edito

Error en "value of passphrase should not be shorter than 8". No entiendo, si las contraseñas son largas (unos 15-20 caracteres, eso sí, solo letras).

Veo que el problema es al usar la variable (y eso que el contenido no tiene $ ni nada similar). Si pongo el comando con mi password embebida, sin variable, funciona.

Ejemplo:

Código:

add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=home passphrase="misuperpasslarga"

## Edito

Mismo problema que en el caso anterior, como si aquí las variables no se pudiesen usar "invalid value of radio-mac, mac address required"

Código:

:local macRadioWifi2GHzhAP "2C:C8:1B:10:10:10" # inventada ahora

add action=create-dynamic-enabled comment=hap-cfg-2ghz \
    master-configuration=2ghz-home-hap \
    name-format=prefix-identity name-prefix=2ghz radio-mac=$macRadioWifi2GHzhAP \
    slave-configurations=work,guest

pokoyo · 9 Agosto 2022

Te vuelvo a pasar la configuración corregida. Las direcciones MAC no son datos sensibles, así que no te molestes en ocultarlas (las meto directamente). Como me has dicho por privado, ignoro las redes de invitados y trabajo para la config del cAP.

El error principal era el "distance=2", que en la v7 lo modificaron a "default-route-distance". Además de eso, decirte que las cosas que van con un = funcionan siempre y cuando no haya un espacio de por medio, y que las contra barras indican que el comando continúa en la siguiente línea. Es por eso que todos los nombres van con guiones y son cortos, y los comentarios van entre comillas dobles, por ejemplo. Si no hay espacios, no es necesidad de poner comillas.

Te pongo en todas las contraseñas "mySup3rp4ssw0rd123", puedes cambiarlo en CAPsMAN -> Security Profiles, una vez vuelvas a acceder al router. Sospecho que estás metiendo un carácter inválido en la password, por eso no te funciona (da el mismo error que si fuera corta, eso no lo tienen muy bien hecho)

A ver si esta vez es la definitiva!

Saludos!

pokoyo · 10 Agosto 2022

Buenos días Julia,

¿qué tal, pudiste aplicar el último script? ¿funciona? Me tienes en ascuas!

Saludos!

JuliaRural · 10 Agosto 2022

pokoyo dijo:
Te vuelvo a pasar la configuración corregida. Las direcciones MAC no son datos sensibles, así que no te molestes en ocultarlas (las meto directamente). Como me has dicho por privado, ignoro las redes de invitados y trabajo para la config del cAP.

El error principal era el "distance=2", que en la v7 lo modificaron a "default-route-distance". Además de eso, decirte que las cosas que van con un = funcionan siempre y cuando no haya un espacio de por medio, y que las contra barras indican que el comando continúa en la siguiente línea. Es por eso que todos los nombres van con guiones y son cortos, y los comentarios van entre comillas dobles, por ejemplo. Si no hay espacios, no es necesidad de poner comillas.

Te pongo en todas las contraseñas "mySup3rp4ssw0rd123", puedes cambiarlo en CAPsMAN -> Security Profiles, una vez vuelvas a acceder al router. Sospecho que estás metiendo un carácter inválido en la password, por eso no te funciona (da el mismo error que si fuera corta, eso no lo tienen muy bien hecho)

A ver si esta vez es la definitiva!

Saludos!

Hola Pokoyo, anoche acabé destrozada y no podía con el alma.

Ahora lo he terminado. Lo he montado y los puertos de ethernet hacen lo que deben

pero el WiFi no me funciona, no hay emisión WiFi con las tres redes. Como he ido ejecutando cada uno de los pasos en bloques, igual hago la prueba de ejecutar todo a la vez.

Edito: algo pasa con las variables, pues no se habían reemplazado por el valor. ($ssidHome, etc). He puesto los SSID a mano y ya funciona el WiFi.

Aprovecho para preguntar unas cuantas cosillas más.

A. ¿Por algún motivo pones que el rango vaya de 10 a 254? (ej. en vez del 2 al 254)

B. ¿Cómo se puede definir por script un conjunto de asociaciones MAC - interfaz (red) - IP asignada?

Ej. MAC de mi pc de trabajo - Red VLAN de trabajo - IP 192.168.188.10.
Ej. MAC de mi pc de trabajo - Red VLAN de casa - IP 192.168.189.10.
etc
Así los dispositivos conocidos siempre tienen la misma IP.

Porque sí que me gustaría definir un conjunto (que oscilarán de la .2 a la .30) y el resto que sean dinámicas y vayan en rangos superiores (.30 a .254, por ejemplo). Esto no es indispensable, es solo comodidad para IPs fijas e IPs dinámicas.

C. Otra más, ¿es posible tener un servidor DNS en el router Mikrotik? Y que todos los dispositivos consulten a este, que haga sus cacheos, tenga otros DNS de respaldo si no tiene sus direcciones, etc. Un poco al estilo de "dnsmasq", pues sería muy útil para reemplazar direcciones temporalmente, o definir otras, espacios de nombre, etc. Eso me evitaría tener otro dispositivo siempre corriendo para tener un DNS, y así la configuración de los DNS lo hago desde el propio router.

D. Otra más, relativa a la instalación. Actualmente tengo:
- Router-modem de movistar para el ADSL. De ahí saco un cable al puerto de internet del TP-Link.
- Router TP-Link, configurado con WiFi y su propia red 192.168.1.0/24. Creo que aquí configuré PPPoE (telefonicanetpa etc). Un cable LAN sale de aquí y va al puerto "Internet" del Mikrotik.
¿Me recomiendas prescindir del Router TP-Link y directamente hacer esto en el Mikrotik? ¿Cómo habría que configurar ese PPPoE y parámetros? O no es necesario y me estoy liando. La única ventaja que le veo a tener ese router es que si por lo que sea se desconfigura todo mikrotik, si se conecta un cable al otro router al menos hay ADSL en casa. Pero idealmente guardaría ese router y solo usaría el Modem de Movistar + Router Mikrotik. En caso de desastre fatal no hay más que volver a sacarlo y conectarlo.

E. Relativo al script, por curiosidad, ¿sabes por qué no se podía usar la variable en radio-mac?

F. ¿Y esto será un bug?

Voy a probar a resetear de nuevo y ejecutar todo de un plumazo.

¡Gracias!

Edito2: Estoy pensando que quizás por ejecutar en bloques no funciona (esos 3 problemas del reemplazo de variables), y en cambio si ejecuto todo el script considera que es un mismo "scope" (hay algunas erratas):

Hasta que no he puesto las "{}" de "scope" no ha funcionado.

En la terminal parece que tengo que usar :global

pokoyo · 10 Agosto 2022

JuliaRural dijo:
Ahora lo he terminado. Lo he montado y los puertos de ethernet hacen lo que deben pero el WiFi no me funciona, no hay emisión WiFi con las tres redes. Como he ido ejecutando cada uno de los pasos en bloques, igual hago la prueba de ejecutar todo a la vez.

Prueba de una vez.

JuliaRural dijo:
A. ¿Por algún motivo pones que el rango vaya de 10 a 254? (ej. en vez del 2 al 254)

Sí, para que metas de .2 al .9 dispositivos reservados, que siempre tengan la misma IP (luego te enseñaré a hacer eso con las leases)

JuliaRural dijo:
Ej. MAC de mi pc de trabajo - Red VLAN de trabajo - IP 192.168.188.10.
Ej. MAC de mi pc de trabajo - Red VLAN de casa - IP 192.168.189.10.
etc
Así los dispositivos conocidos siempre tienen la misma IP.

Porque sí que me gustaría definir un conjunto (que oscilarán de la .2 a la .30) y el resto que sean dinámicas y vayan en rangos superiores (.30 a .254, por ejemplo). Esto no es indispensable, es solo comodidad para IPs fijas e IPs dinámicas.

En IP -> DHCP Server -> Leases. Localizas la que quieres marcar estática, doble click, pulsas "make static". Cierras ventana, y otra vez doble click, y ahora será editable. Pones la IP que quieras (no toques el resto de los campos) y listo. De ahí que dejase el agujero (que se puede hacer más grande en ip -> pool) en el rango del DHCP.

JuliaRural dijo:
C. Otra más, ¿es posible tener un servidor DNS en el router Mikrotik? Y que todos los dispositivos consulten a este, que haga sus cacheos, tenga otros DNS de respaldo si no tiene sus direcciones, etc. Un poco al estilo de "dnsmasq", pues sería muy útil para reemplazar direcciones temporalmente, o definir otras, espacios de nombre, etc. Eso me evitaría tener otro dispositivo siempre corriendo para tener un DNS, y así la configuración de los DNS lo hago desde el propio router.

Sí. Lo tienes para la red local. Si lo necesita para trabajo también, mete la vlan-work en la lista LAN.

JuliaRural dijo:
D. Otra más, relativa a la instalación. Actualmente tengo:
- Router-modem de movistar para el ADSL. De ahí saco un cable al puerto de internet del TP-Link.
- Router TP-Link, configurado con WiFi y su propia red 192.168.1.0/24. Creo que aquí configuré PPPoE (telefonicanetpa etc). Un cable LAN sale de aquí y va al puerto "Internet" del Mikrotik.
¿Me recomiendas prescindir del Router TP-Link y directamente hacer esto en el Mikrotik? ¿Cómo habría que configurar ese PPPoE y parámetros? O no es necesario y me estoy liando. La única ventaja que le veo a tener ese router es que si por lo que sea se desconfigura todo mikrotik, si se conecta un cable al otro router al menos hay ADSL en casa. Pero idealmente guardaría ese router y solo usaría el Modem de Movistar + Router Mikrotik. En caso de desastre fatal no hay más que volver a sacarlo y conectarlo.

Puedes (y debes) presdindir del TP-Link, luego te enseño a crear un PPPoE cliente (me pillas saliendo de casa).

JuliaRural dijo:
E. Relativo al script, por curiosidad, ¿sabes por qué no se podía usar la variable en radio-mac?

Sospecho que no le gusta que la trates como string.

JuliaRural dijo:
F. ¿Y esto será un bug?

No. Eso es que :local es un contexto local, del mismo hilo de ejecución. Ahí estás metiendo comandos por separado, así que local no es el local que tú quieres. Si quieres que funcione, englóbalo entre llaves.

JuliaRural dijo:
Voy a probar a resetear de nuevo y ejecutar todo de un plumazo.

Eso es. Reset, accede, sube el script, y ejecuta. Con un poco de suerte, lo último que te mandé va del tirón.

Saludos!

JuliaRural · 10 Agosto 2022

pokoyo dijo:
Prueba de una vez.

Sí, para que metas de .2 al .9 dispositivos reservados, que siempre tengan la misma IP (luego te enseñaré a hacer eso con las leases)

En IP -> DHCP Server -> Leases. Localizas la que quieres marcar estática, doble click, pulsas "make static". Cierras ventana, y otra vez doble click, y ahora será editable. Pones la IP que quieras (no toques el resto de los campos) y listo. De ahí que dejase el agujero (que se puede hacer más grande en ip -> pool) en el rango del DHCP.

Sí. Lo tienes para la red local. Si lo necesita para trabajo también, mete la vlan-work en la lista LAN.

Puedes (y debes) presdindir del TP-Link, luego te enseño a crear un PPPoE cliente (me pillas saliendo de casa).

Sospecho que no le gusta que la trates como string.

No. Eso es que :local es un contexto local, del mismo hilo de ejecución. Ahí estás metiendo comandos por separado, así que local no es el local que tú quieres. Si quieres que funcione, englóbalo entre llaves.

Eso es. Reset, accede, sube el script, y ejecuta. Con un poco de suerte, lo último que te mandé va del tirón.

Saludos!

He realizado varios intentos (reset físico, conectarme con 192.168.88.1 y hacer el /import del script) y no hay manera. He probado a apagar y encender el router y tampoco. Nunca me da IP por DHCP.
Veo que algo ha cogido de la configuración porque sí se listan las 3 SSIDs configuradas.

He probado incluso a hacer Reset > Run after Reset > y seleccionar el script. Pero aquí es incluso peor, porque no se emite ninguna red WiFi.

Me da que voy a tener que ir por bloques en la terminal. Como ya no hay variables, sino que está todo literal, deberá funcionar. Vuelvo a resetear y voy por regiones, a ver qué ocurre.

JuliaRural · 10 Agosto 2022

He ido metiendolo en regiones y no ha dado error. Ahora bien, al llegar a la ejecución de:

Código:

/ip address
remove [find interface=bridge]

Se queda bloqueado y se cierra winbox. Por asegurar que el resto de instrucciones están bien metidas, muestro pantallazos:

Código:

/ip dhcp-server
remove [find name=defconf]
/ip dns-server network
remove [find name=defconf]
/ip pool
remove [find name=dhcp]
/interface list member
remove [find interface=bridge]

# Y, por último, activamos el vlan filtering
/interface bridge
set 0 frame-types=admit-only-vlan-tagged vlan-filtering=yes

El que no llego a ver en el panel es el "/ip dns-server network", solo veo "DNS", que he mostrado arriba.

NO tengo ni idea por qué ejecutando todo el script (import, o con Run after Reset) no funciona y poco a poco en terminal sí.

JuliaRural · 10 Agosto 2022

pokoyo dijo:
Prueba de una vez.

Sí, para que metas de .2 al .9 dispositivos reservados, que siempre tengan la misma IP (luego te enseñaré a hacer eso con las leases)

Fenómeno, gracias. Hecho

pokoyo dijo:
Sí. Lo tienes para la red local. Si lo necesita para trabajo también, mete la vlan-work en la lista LAN.

Dos preguntas:

a) Cómo hago que al resolver el nombre "pc.trabajo.lan" desde cualquiera de los equipos conectados resuelva a la IP 192.168.188.6, y desde "principal.hogar.lan" a 192.168.189.2, por poner dos casos reales. ¿O no es a así de configurable?
b) ¿Qué pasa si muevo en Interface List el "vlan-guest" de ISOLATED a LAN? ¿Qué implicaciones tiene?

pokoyo dijo:
Puedes (y debes) presdindir del TP-Link, luego te enseño a crear un PPPoE cliente (me pillas saliendo de casa).

Genial.

¡Muchas gracias!

Recomendación para VPN en zona rural de Cantabria (Starlink NO => 4G/LTE)

Usuari@ ADSLzone

Moderador ADSLZone - Mikrotik ★★★★★

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Moderador ADSLZone - Mikrotik ★★★★★

Moderador ADSLZone - Mikrotik ★★★★★

Adjuntos

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Moderador ADSLZone - Mikrotik ★★★★★

Adjuntos

Usuari@ ADSLzone

Usuari@ ADSLzone

Moderador ADSLZone - Mikrotik ★★★★★

Adjuntos

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Adjuntos

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Usuari@ ADSLzone

Usuari@ ADSLzone