Buenos días, Pokoyo.
No lo importes a cachos, que te va a petar cuando, efectivamente, le quites la IP al bridge. Te monto un script más conservador, que no borre la config por defecto de la 192.168.88.1 ni deshabilite la vlan por defecto del tirón, tal que permita hacer el import desde ether2, y luego borraremos lo que sobra y meteremos ether2 en su sitio, y procederemos a deshabilitar la vlan por defecto, una vez accedas ya desde la vlan-home. La idea es que el script gordo corra del tirón, tal que luego lo guardes como oro en paño y/o te lo estudies entender lo que hace.
El script que estamos manejando está pendado para correrse encima de la config por defecto. Es decir, reset (que corre otro script que tú no ves para poner la config por defecto) + login + subir el script + import script.rsc. El otro método (reset + run after reset + especific) lo que hace es sustituir el script por defecto por el que tú le metas. ¿Se puede hacer? Sí, por su puesto, pero necesitas otras tantas líneas para meter el resto de la config que monta la config por defecto. No obstante, vamos por método 1: correr el script sobre la config por defecto.
Ahora lo entiendo, gracias.
Funcionando, gracias
Dejo aquí los pasos:
- Conecto mi pc al puerto ether2. Configuro el interfaz de red a 192.168.88.12 => gateway 192.168.88.1
- Reseteo el router (quito corriente, mantengo pulsado boton de reset y enchufo corriente, sigo manteniendo pulsado hasta que parpadea el led, a los 8-10s)
- Me conecto con el interfaz de red y accedo por winbox (192.168.88.1, user "admin").
- Cancelo el cambio de contraseña (porque voy a eliminar el usuario por defecto "admin")
- System > Users > + > creo el usuario y le asigno contraseña, grupo "full".
- Desconecto y vuelvo a conectar con el nuevo usuario.
- Borro el usuario Admin.
- Files > Arrastro el fichero de configuración "julia-hap-conservative.rsc"
- New Terminal y escribo: /import julia-hap-conservative.rsc
Aparece "Script file loaded and executed successfully".
- Cambio las contraseñas wifi: CAPsMAN > Security Cfg > edito cada una.
Respondiendo a tus últimas preguntas (me pillas fuera, mañana te monto las config y te respondo al resto):
El menú que ves en el import, relativo al DNS, es el equivalente a IP > DNS en Winbox. Dentro de ese apartado puedes definir los DNS de “upstream”, los que usa el propio router para resolver algún dominio, y para “llenar” la caché de dns que le vayan preguntando otros dispositivos. En el apartado “Cache” (botón) puedes ver cómo se va llenando dicha caché, y en el botón "Static" puedes definir entradas manuales. Esto si te parece lo dejamos para el post-setup, al igual que el fijar IPs en el DHCP server. Verás que juntando ambas opciones, puedes acabar montando un setup muy chulo, entregando el sufijo DNS en el propio DHCP (recuérdame que te enseñe a hacer eso). Y sí, respondiendo a tu pregunta, puedes definir en la parte estática las entradas que te parezcan, y si se las preguntas al router (entregas su propia IP como DNS principal en el DHCP, tal y como lo hace la vlan-home), te responderá con la que sea IP que configures ahí. Ahora mismo he considerado que sólo la red de la .189, la de la vlan-home, tenga acceso al chain de input (el propio router), pero lo podemos cambiar para que también puedas usar ese servicio desde la red de trabajo. Esa es la razón por la cual para trabajo e invitados se entregan DNS públicos en el DHCP y no la IP del gateway (porque no llegan, al no tener acceso en input). Si hilas un poco fino, verás que el acceso en input te lo da el pertenecer a la lista LAN, puesto que la última regla del chain de input es "descarta todo lo que no venga de la lista LAN". No obstante lo dicho, esto se puede moldear a gusto de consumidor, ya le daremos otra vuelta, lo que me interesa ahora mismo es hacer el setup inicial y que todo funcione.
Pues que tiene acceso al chain de input y que empieza a estar comunicada con las otras dos VLANs, puesto que no le afectará la regla de prohibición que metimos en el firewall, que dice que lo que pertenece a la lista ISOLATED, sólo puede acceder a la WAN (internet). Me refiero a esta regla:
Código:
/ip firewall filter
add action=reject chain=forward comment="vlans: guest y work can only access internet" in-interface-list=\
ISOLATED out-interface-list=!WAN reject-with=icmp-network-unreachable
Esto te lo paso abajo, como punto 2 de otras dudas.
Te paso de nuevo el script. Está pensado para que lo corras desde ether2 y no pierdas acceso al equipo por la 192.168.88.1. Una vez veas que en la consola se pinta el mensaje de que el script se ha corrido correctamente, necesito que chequees lo siguiente:
- Que pinchando un cable a ether3 te da un rango .189, que navegas y que tienes acceso al router por la 192.168.189.1
- Que pinchando un cable a ether4 te da un rango .188, que navegas, pero no tienes acceso al equipo por la 192.168.188.1
- Que conectado a sus equivalentes redes inalámbricas, sucede los mismo que lo anteriormente descrito + que guest no tiene acceso al router en la 192.168.187.1
Testado todo.
Si todo esto está bien, necesito que te conectes al router vía puerto
ether3 (subred vlan-home con la .189) y ejecutes lo siguiente por terminal:
Código:
/ip dhcp-server
remove [find name=defconf]
/ip dns-server network
remove [find name=defconf]
/ip pool
remove [find name=dhcp]
/interface list member
remove [find interface=bridge]
/interface bridge port
set [find interface=ether2] frame-types=admit-only-untagged-and-priority-tagged pvid=189
/interface bridge
set 0 frame-types=admit-only-vlan-tagged
Ha habido un error en este paso:
Te listo lo que se ve bajo dns, pero no hay nada con 'dns-server'
Estoy a falta de ejecutar esa parte y la última línea (set 0...)
Como calculo que esto sea algo sencillo de añadir, te planteo un par de cosas abajo:
Vas a perder el acceso momentáneo al router (como un par de segundos, quizá ni lo notes) y, en ese momento, habrá desaparecido la .88 que viene por defecto de todos sitios. Compruébalo volviendo a conectarte vía la 192.168.189.1. El puerto ether2, pasaría a pertenecer también a esa subred y vlan, dejando de entregar la .88 y entregando entonces la .189.
Prueba y me dices.
Saludos!
Otras dudas:
1. En la zona para el cAP (/caps-man provisioning), hubo un punto en el que decidiste quitar el último parámetro (slave-configurations), ¿por qué?
Código:
add action=create-dynamic-enabled comment=cap-cfg-2ghz \
master-configuration=2ghz-home-cap \
name-format=prefix-identity name-prefix=2ghz radio-mac=DC:2C:6E:80:B7:74
# Julia: Preguntar por qué
# slave-configurations=work,guest
2. Lo de los DNS que me cuentas es lo que busco, poder establecer nombres (incluso varios, ej "pc.trabajo.lan", "servidor.trabajo.lan" y que apunten a la misma IP.
Lo único, me gustaba el concepto de ISOLATED, y solo cuando quiera comunicarme entre equipos de las dos redes, pasar momentáneamente el Interfaz List de vlan-work de ISOLATED a LAN.
Ahora bien, me gusta que esté siempre en ISOLATED, pero es verdad que vendría muy bien tener su propio DNS configurable. Pienso una situación que sería ideal (pero igual no se puede hacer) y otra que estaría muy bien también:
Ideal:
- mismo DNS para las distintas redes, así configuro solo uno. Se verán nombres de trabajo y nombres de hogar.
- ahora bien, siguiendo lo de ISOLATED de antes, no pueden acceder unos equipos con otros si son de redes distintas.
Buena:
- dos DNS, uno para trabajo y otro para hogar.
- cuando pase la vlan-work a LAN, si ya se pierde el DNS de trabajo, no pasa nada, pues será momentáneamente. En ese caso tendría alguna mac de equipo de trabajo en el DNS de hogar, para poder comunicarnos en esos momentos.
¡Un saludo!
