Red CapsMan + Caps hAP ac2 en oficinas

Un saludo a todos los miembros del foro.
Quería hacer una consulta a ver como lo veis.

Me encargaron las conexiones de red de unas oficinas nuevas de una empresa de cooworking con unos 400m2. Cuando llegué me encontré todo cableado por los electricistas y en una sala pequeñita que han dejado a modo de sala de servidores me habían dejado todos los cables pelados y listo.

Mi trabajo ha consistido en montar un mueble rack con dos paneles de parcheo de 24 bocas cada uno, más un enrutador que yo aconsejé comprar a la empresa hace ya unos años, un mikrotik CCR1009-7G-1C-1S+ para mi es una “bestia parda” junto a él se han instalado 2 switches y se configuró una conexión directa a la ONT fibra del ISP que tienen.

Todo OK y han quedado contentos con la instalación, las VPN con sus otras oficinas van de lujo y ya tienen pedido incluso otra conexión a otro ISP y con otra tecnología (wifi) para dejarla de backup.

El tema cual es ¿? pues que me han vuelto a llamar porque inauguran en unas semanas y ahora a toro pasado se acuerdan de que no tienen sistema wifi para cubrir con un nivel aceptable todas las oficinas, despachos, salas de reuniones, office, recepción, etc…

El techo no se puede tocar, todo está nuevo y los únicos cables de red que dejaron preparados en el techo han sido para la instalación de cámaras de seguridad que están conectadas a un sistema de central de alarmas que no se puede tocar. Por lo que he descartado los platillos tipo “CAP” ó “CAP AC” si fuera de placas desmontables, me inclinaría de todas formas por meter cableado y ponerlo todo el sistema wifi en el techo, pero es que encima es todo de escayola continua y no puedo romper nada. Así que había pensado que, como han dejado tomas de red en las paredes de todas las salas e incluso en las mas grandes hasta 2 ó 3 tomas, les he propuesto usar las tomas de las paredes para poner equipos de pequeño tamaño tipo mikrotik colgados en la pared al lado de las tomas, ofreciéndoles así ademas tener mas “bocas de red” de conexión ethernet. Quería montar una red “mesh” con equipos “hAP ac2” estos si me los dejan colgar en la pared justo al lado de las tomas de red y de los enchufes.

¿ Sería factible la idea de usar estos HAP ac2 funcionando con Caps man ? ¿Como veis la idea? todos conectados por cable y a través del switch al CCR1009 de forma que éste actúa de CAPSMAN y los hAP ac2 de caps y que poniendo unos 6 ú 8 de ellos me cubrirían todas las instalaciones y siempre con la posibilidad de meter mas de ellos en las zonas que haya "sombra", y otra duda es si podría usar además el resto de bocas libres de cada uno de los hAP ac2 para otros dispositivos cercanos, impresoras en red, ordenadores, escaner, etc… vamos que la ídea es que parezca que hemos montado unos "switch" de 5 bocas para que en cada habitación tengan la posibilidad de conectar mas dispositivos y de camino con ellos damos el servicio de red malla. Por cierto las oficinas se concentran en una sola planta.

Gracias de ante mano a todos por los comentarios.
 
Sí, puedes usar esos equipos. Y, donde no necesites ampliar las tomas, no descartes los cAPs, se pueden poner de pared también con la carcasa cuadrada y no quedan mal. Y sí, se puede manejar todo por CAPsMAN.

Para empezar a planificarlo, dibuja porfa la planta de la oficina y las estancias. Así nos hacemos idea de donde planear poner los APs. Luego entraremos en harina con la configuración.

Saludos!
 
pokoyo dijo:
Sí, puedes usar esos equipos. Y, donde no necesites ampliar las tomas, no descartes los cAPs, se pueden poner de pared también con la carcasa cuadrada y no quedan mal. Y sí, se puede manejar todo por CAPsMAN.

Para empezar a planificarlo, dibuja porfa la planta de la oficina y las estancias. Así nos hacemos idea de donde planear poner los APs. Luego entraremos en harina con la configuración.

Saludos!
Haz clic para expandir...
Pues aquí tenemos el reto.
plano red oficinas R02.png

He estado mirando y los Mikrotik Hap ac2 admiten poe pero en modo pasivo con rango de 18-28v, vamos que no podría usar un switch poe con soporte activo 802.3af para alimentarlos, mas bien tendría que usar el inyector propio de Mikrotik tipo RBGPOE y la fuente de alimentación que viene con cada uno de los Hap ac2. Creo que descarto el tema POE por ahora, lo que importa es desplegarlo y mas adelante siempre se puede pasar a alimentarlos mediante POE. No voy a descartar los CAPs porque hay dos puntos, uno en la sala de cursos y otro en la de conferencias donde dispongo de toma de corriente y red en el mismo techo. Consultaré si me dejan ponerlos ahí porque creo que lo quieren para temas de proyector.
Un Saludo
 
arubinop dijo:
Pues aquí tenemos el reto.
Ver el adjunto 91578
He estado mirando y los Mikrotik Hap ac2 admiten poe pero en modo pasivo con rango de 18-28v, vamos que no podría usar un switch poe con soporte activo 802.3af para alimentarlos, mas bien tendría que usar el inyector propio de Mikrotik tipo RBGPOE y la fuente de alimentación que viene con cada uno de los Hap ac2. Creo que descarto el tema POE por ahora, lo que importa es desplegarlo y mas adelante siempre se puede pasar a alimentarlos mediante POE. No voy a descartar los CAPs porque hay dos puntos, uno en la sala de cursos y otro en la de conferencias donde dispongo de toma de corriente y red en el mismo techo. Consultaré si me dejan ponerlos ahí porque creo que lo quieren para temas de proyector.
Un Saludo
Haz clic para expandir...
Hola!

genial el plano. Hay alguna restricción por la cual no puedas usar las tomas de techo? El cAP-ac sería el equipo ideal para eso. Se alimenta por PoE, es compatible con af/at y, además, lleva dos puertos y PoE passthrough. Quiere decir que tú alimentarías por PoE tanto la cámara como el AP, de un tirón.
Según lo pintas, usando B3 + B6 + B8, creo que le das cobertura a todo. Te va a llegar algo justo a la cocina quizá, por el tema baños, pero el resto debería quedar cubierto.

Saludos!
 
No puedo tocar nada de las conexiones "B" cuando volví a la oficina el otro día que me llamaron, habían sacado todos los cables correspondientes a las tomas "B" de las cámaras y los han metido en una caja metálica que está atornillada y sellada en la sala del enrutador, para la empresa de seguridad, vamos que me tengo que olvidar de tocar nada de esa instalación, podría usar, que están en el techo la toma "A13" y "A7" de forma que podríamos poner ahí dos platillos CAP ac (eso si, no es techo desmontable, tengo que hacer la instalación de manera superficial) y en el resto donde aparecieran zonas de sombra montar en las tomas de las paredes los Hap ac2 Como lo ves ¿?
Otra cosilla, cuando tenga el material y me ponga a instalar / configurar, no puedo partir de una configuración desde "cero" en el router CAPSman principal el CCR1009 puesto que ya está funcionando y dando servicio de internet y de conexiones remotas.
 
Pues sí, va a ser tu mejor baza. Como de entrada vas con sólo dos platos, mira los nuevos cAP-AC-XL, les cambiaron el deflector para ganar cobertura, y el hardware es idéntico al viejo. Lo único malo es que son un pelín más grandes, pero dado que los cAP-AC son muy muy pequeños (más pequeños que un plato de postre), ni tan mal.

Creo que es buena idea, usa esas dos tomas, y donde haya sombra, metemos un hAP-AC2. Aunque, con un poco de suerte, no deberías tener muchas.

Con respecto a CAPsMAN, no te preocupes lo más mínimo, que es una configuración que va totalmente aparte de lo demás, así que puedes montarla sin afectar lo más mínimo al CCR.

Dime, qué redes queréis manejar? Tienes actualmente algo segmentado en el CCR? Vas a querer manejar invitados en esa red (tipo un SSID para internos y otro para externos). Podemos empezar a currar en eso, mientras vas pidiendo el hardware. De momento, pide únicamente los dos platos, y cuando veamos las sombras, pedimos lo demás que necesites.

Y lo del PoE no lo descartes, que es prácticamente lo más importante de este tipo de instalaciones. Mira comprar un chisme como RB260GSP, que puedes enganchar por fibra al CCR o, si lo quieres hacer bien, un CRS112, donde podrías correr incluso CAPsMAN, independizando esto del CCR. Con este último equipo, quedaría una instalación super bien segmentada, aunque es obviamente una opción más cara.

Saludos!
 
Buenos días a todos.

Antes de nada pokoyo disculpa la tardanza en contestar, resulta que ahora que planteo el tema de la compra a la empresa, no hay manera de encontrar a tiempo ni los cAP-AC y mucho menos los cAP-AC-XL vamos que para salir del paso voy a tener que montarlo seguramente con los hAP-AC2 para tenerlo antes de la inauguración y dejar pedidos los cAP-AC-XL para intalarlos a posteriori cuando nos los puedan suministrar.

He pensado también en lo que me comentaste del RB260GSP y se dejará pedido junto a las dos unidades de cAP-AC-XL. Mientras tanto para implantar en principio la wifi vamos a usar directamente los hAP-AC2 sin poe ni nada, puesto que la idea será ir retirandolos después.

En el CCR no hay ahora mismo nada segmentado,solo está la red de acceso a internet en ETH1, otra boca ETH2 para cuando se ponga la conexión de backup (failover) de internet y luego he dejado un bridge1 con el resto de bocas ETH3 ETH4 ETH5 ETH6 y ETH7 que unen los dos switches de 24 bocas cada uno así como una estación NAS y un par de servidores.

Si estaría bien que pudieramos tener una red interna con un solo SSID y además una para invitados, eso si, la de invitados que pueda restringir muy muy bien el ancho de banda para que no hagan abuso de ella los propios vecinos. Además seguramente la interna, la de los clientes, se haría si es posible con control por MAC a parte de contraseña para no arriesgar lo mas mínimo.

En fin que así estamos ahora mismo, se piden por lo pronto 4 hAP-AC2 y se monta por lo pronto así teniendolos conectados a bocas de uno de los switches y a posteriori se "mejorará" todo el sistema cuando tengamos el resto de material.
 
Mira Landashop (la tienda de Landatel), que justo me acaba de llegar hoy un mail, diciendo que vuelven a tener en stock los cAP-ac. Han estado agotadísimos en todo lados.

Saludos!
 
pokoyo dijo:
Mira Landashop (la tienda de Landatel), que justo me acaba de llegar hoy un mail, diciendo que vuelven a tener en stock los cAP-ac. Han estado agotadísimos en todo lados.

Saludos!
Haz clic para expandir...
pokoyo te comento como va el tema, al final se han decantado por pedir 4 unidades del cAP-ac (RBcAPGi-5acD2nD) y el switch poe (RB260GSP) para alimentarlas, así que vamos a partir justo de esta instalación, no querían en las paredes los hap ac2 por tema estético. Ya han pedido el material. Dos cAP-ac irán montados en techo y los otros dos en pared.

Con respecto a la configuración, si queremos poner una red de invitados ademas de la principal, entiendo que (no si me equivoco) podríamos tener como dos SSID's por ejemplo "Oficina" y "Oficina-Invitados" pero siempre teniendo en cuenta que ésta segunda red de invitados pudiera tener el ancho de banda reducido y también que la red principal pudiera tener control de acceso por contraseña y además MAC para aumentar la seguridad.

Te agradezco mucho tu ayuda, me ha servido para seleccionar bien los equipos. Ahora nos queda empezar la instalación, y si podemos ir preparando la parte del CCR, mejor que mejor, así cuando lleguen los equipos solo es montarlos y terminar.
 
Buenos días.

Con los cAP-ac puedes hacer tantas wifi virtuales como quieras así que podrás tener "Oficina", "Oficina-invitados", "Oficina-invitados-por-las-tardes" y lo que se te ocurra. A cada una de ellas le puedes dar la configuración que quieras teniendo en cuenta que van a ir todas por el mismo canal de wifi ya que van a utilizar la misma radio.
 
Perfecto. Podemos ir dándole forma al tema CAPsMAN, y luego meternos con los bloqueos de la red de invitados. Con la de invitados se pueden hacer las virguerías que quieras, hasta montar un hotspot (no lo hice nunca, pero se puede). Aunque te recomiendo algo muy básico:
  • Dejar la red de invitados únicamente en 2,4GHz, así que quedas el radio de 5GHz solo para oficina (oficina tendrá ambos)
  • Obviamente, definir dos SSID. Yo descartaría el tema del filtrado MAC, puesto que no es una práctica muy aconsejable, a menos que seais cuatro gatos o que tengas un servidor RADIUS detrás. Si quieres hacerlo realmente bien, meterías certificados en las máquinas de la oficina que necesiten conectar por wifi, las cuales autenticarían por EAP contra la wifi interna. Esto es para nota, empezaremos por algo mucho más simple. Pero está bien que se lo plantées a tu cliente.
  • Programar el radio de invitados, para que sólo esté accesible en días de diario en horario de oficina. Esta es quizá la mejor regla de control de uso de tu red que puedas tener.
  • Reservar un ancho de banda fijo para la red de invitados, y trocearlo con PCC para que se reparta equitativamente entre todos los usuarios de esa red. Trabajaríamos con colas de prioridiad y control de tráfico, a modo muy básico.
  • Usaremos VLANs para separar el tráfico. Si no lo tienes implementado en tu LAN, es un buen momento para empezar.

¿cómo lo ves? Podemos ir montándolo desde ya mismo, la configuración del CCR no estorba. No me gusta hacer control de tráfico y que tengas el CCR de borde en el mismo equipo, pero como es algo "pequeñito" no importa demasiado.

Saludos!
 
falele_ dijo:
Buenos días.

Con los cAP-ac puedes hacer tantas wifi virtuales como quieras así que podrás tener "Oficina", "Oficina-invitados", "Oficina-invitados-por-las-tardes" y lo que se te ocurra. A cada una de ellas le puedes dar la configuración que quieras teniendo en cuenta que van a ir todas por el mismo canal de wifi ya que van a utilizar la misma radio.
Haz clic para expandir...
32 por cada interfaz física, para ser más exactos. Aunque todas tiran de la misma interfaz física, mermando su capacidad. Así que es conveniente no tener media docena por deporte.

Saludos!
 
Me siento aquí con unas palomitas a ver cómo implementáis todo esto. Alucino con lo que vamos a aprender de esta configuración.
 
Gracias falele_ bienvenido al jaleo éste. :)
Pokoyo tal y como me lo has comentado para mi es "perfecto" punto por punto, así que cuando tu quieras empiezo, tengo acceso remoto al CCR y si quieres te puedo enviar primero archivo con la configuración exportada para que veas de donde empezamos, ya como tu me digas.

---
  • Dejar la red de invitados únicamente en 2,4GHz, así que quedas el radio de 5GHz solo para oficina (oficina tendrá ambos)
Magnifica idea porque además por lo que entiendo, es mas "universal" a nivel de equipos antiguos compatibles, quiero decir que seguro que todo el que llegue a las oficinas invitado al menos se podrá conectar a esa red.
  • Obviamente, definir dos SSID. Yo descartaría el tema del filtrado MAC, puesto que no es una práctica muy aconsejable, a menos que seáis cuatro gatos o que tengas un servidor RADIUS detrás. Si quieres hacerlo realmente bien, meterías certificados en las máquinas de la oficina que necesiten conectar por wifi, las cuales autenticarían por EAP contra la wifi interna. Esto es para nota, empezaremos por algo mucho más simple. Pero está bien que se lo plantées a tu cliente.
Descartamos el tema MAC, no tengo servidor RADIUS detrás de la red, comenzamos por algo simple y se le plantea al cliente para mas adelante la generación de certificados para los ordenadores portatiles, tablets y teléfonos de los clientes del cooworking.
  • Programar el radio de invitados, para que sólo esté accesible en días de diario en horario de oficina. Esta es quizá la mejor regla de control de uso de tu red que puedas tener.
Ni se me había ocurrido, otra magnifica ídea si, si creo que ésta en particular como tu bien dices es de las mejores.
  • Reservar un ancho de banda fijo para la red de invitados, y trocearlo con PCC para que se reparta equitativamente entre todos los usuarios de esa red. Trabajaríamos con colas de prioridiad y control de tráfico, a modo muy básico.
Si podemos implementar el tema de colas y el control de tráfico todo así a modo de Qos para que nos permita que no haya abusos por parte de esa red en el consumo de internet, nos vale. Si es que lo cierto, es que gusta tener una red para que cuando llega un cliente, un amigo, un repartidor, o simplemente gente de oyente que acuda a alguno de los cursos que quieren implantar, que al menos no se queden desconectados totalmente. y no sacrificar por ellos seguridad en la red interna de la empresa.
  • Usaremos VLANs para separar el tráfico. Si no lo tienes implementado en tu LAN, es un buen momento para empezar.
Pues lo cierto es que solo tengo creadas las VLAN3 y VLAN6 asociadas al ETH1 por el tema de las conexiones de datos y voip de nuestro proveedor de internet, nada mas.

Y con respecto a lo que comentas del CCR, podríamos montar mejor como comentaste en otro momento el CRS112-8P-4S-IN y así segmentar totalmente la red wifi del resto, pero ahora mismo no podemos gastar mas yo creo que el CCR que es "pequeñito" :) no se verá muy afactado por el rendimiento, jijiji a ver si te mando un pantallazo para que veas que ahora mismo se ríe ese aparato de mi ...
Captura de pantalla de 2022-02-20 12-39-19.png
 
Venga, pues vamos tirando con lo que tenemos. Necesito que me identifiques en el plano donde van a ir los 4AP's. Te dejo por aquí abajo el script base que vamos a usar para el setup de CAPsMAN. Léetelo y mira los comentarios, a ver si lo entiendes más o menos todo. Cualquier duda, me dices.

Código: 
#######################################
######## Variables de entorno #########
#######################################

# Nombres y passwords de las redes
:local nombreWifiOficina "Oficina"
:local nombreWifiInvitados "Invitados"
:local passWifiOficina "abc123456"
:local passWifiInvitados "654321cba"

# VLANs de las redes
:local vlanOficina 200
:local vlanInvitados 201

# Direcciones MAC de los dos radios de cada AP (R2 = 2,4GHz; R5 = 5GHz)
:local macAP1R2 "AA:BB:CC:11:22:33"
:local macAP1R5 "AA:BB:CC:11:22:34"
:local macAP2R2 "AA:BB:CC:11:22:35"
:local macAP2R5 "AA:BB:CC:11:22:36"
:local macAP3R2 "AA:BB:CC:11:22:37"
:local macAP3R5 "AA:BB:CC:11:22:38"
:local macAP4R2 "AA:BB:CC:11:22:39"
:local macAP4R5 "AA:BB:CC:11:22:40"



#######################################
####### SCRIPT DE CONFIGURACION #######
#######################################

# Lista de acceso - Wifi invitados 8am-8pm L-V
/caps-man access-list
add action=accept comment="WiFi invitados 8am-8pm L-V" disabled=no ssid-regexp=\
    "^$nombreWifiInvitados\$" time=8h-20h,mon,tue,wed,thu,fri
add action=reject comment="WiFi invitados prohibida fuera de horas" disabled=no ssid-regexp=\
    "^$nombreWifiInvitados\$"

# Definimos la seguridad de las redes invitados y oficina
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=invitados-sp passphrase=$passWifiInvitados
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=oficina-sp passphrase=$passWifiOficina

# Definimos dónde van a ir los datos de cada una de las wifis
# Metemos cada una en un a VLAN distinta.
/caps-man datapath
add bridge=bridge client-to-client-forwarding=no name=invitados-dp vlan-id=$vlanInvitados \
    vlan-mode=use-tag
add bridge=bridge client-to-client-forwarding=yes name=oficina-dp vlan-id=$vlanOficina \
    vlan-mode=use-tag

# Definimos los canales que vamos a usar
# En 2,4GHz, canales 1, 6 y 11 únicamente, sin extensiones
# En 5GHz, canales de 40MHz, al tener 4 APs,
# canales 36 y 44 para los APs que siempre tengan que estar disponibles
# canales DFS 100 y 140 para los APs con mayor potencia
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2412 name=2ghz-ch01-20MHz
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2437 name=2ghz-ch06-20MHz
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2462 name=2ghz-ch11-20MHz
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ce \
    frequency=5180 name=5ghz-ch036-40Mhz
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ce \
    frequency=5220 name=5ghz-ch44-40Mhz
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=Ce \
    frequency=5500 name=5ghz-ch100-40Mhz
add band=5ghz-n/ac control-channel-width=20mhz extension-channel=eC \
    frequency=5700 name=5ghz-ch140-40Mhz

/caps-man configuration
# Configuraciones WiFi de 2,4GHz
add channel=2ghz-ch01-20MHz channel.tx-power=14 country=spain datapath=oficina-dp \
    installation=indoor mode=ap name=AP1-2ghz-oficina security=oficina-sp ssid=$nombreWifiOficina
add channel=2ghz-ch06-20MHz channel.tx-power=14 country=spain datapath=oficina-dp \
    installation=indoor mode=ap name=AP2-2ghz-oficina security=oficina-sp ssid=$nombreWifiOficina
add channel=2ghz-ch11-20MHz channel.tx-power=14 country=spain datapath=oficina-dp \
    installation=indoor mode=ap name=AP3-2ghz-oficina security=oficina-sp ssid=$nombreWifiOficina
add channel=2ghz-ch01-20MHz channel.tx-power=14 country=spain datapath=oficina-dp \
    installation=indoor mode=ap name=AP4-2ghz-oficina security=oficina-sp ssid=$nombreWifiOficina
#  Configuraciones WiFi de 5GHz
add channel=5ghz-ch036-40Mhz country=spain datapath=oficina-dp installation=indoor \
    mode=ap name=AP1-5ghz-oficina security=oficina-sp ssid=$nombreWifiOficina
add channel=5ghz-ch44-40Mhz country=spain datapath=oficina-dp installation=indoor \
    mode=ap name=AP2-5ghz-oficina security=oficina-sp ssid=$nombreWifiOficina
add channel=5ghz-ch100-40Mhz country=spain datapath=oficina-dp installation=indoor \
    mode=ap name=AP3-5ghz-oficina security=oficina-sp ssid=$nombreWifiOficina
add channel=5ghz-ch140-40Mhz country=spain datapath=oficina-dp installation=indoor \
    mode=ap name=AP4-5ghz-oficina security=oficina-sp ssid=$nombreWifiOficina
# Configuración WiFi de invitados en 2,4GHz / 5GHz
add country=spain datapath=invitados-dp installation=indoor mode=ap name=APx-Xghz-invitados \
    security=invitados-sp ssid=$nombreWifiInvitados

/caps-man provisioning
# Provisioning AP1
add action=create-dynamic-enabled comment=AP1 master-configuration=\
    AP1-2ghz-oficina name-format=prefix-identity name-prefix=2ghz radio-mac=\
    $macAP1R2 slave-configurations=APx-Xghz-invitados
add action=create-dynamic-enabled master-configuration=\
    AP1-5ghz-oficina name-format=prefix-identity name-prefix=5ghz radio-mac=\
    $macAP1R5
# Provisioning AP2
add action=create-dynamic-enabled comment=AP2 master-configuration=\
    AP2-2ghz-oficina name-format=prefix-identity name-prefix=2ghz radio-mac=\
    $macAP2R2 slave-configurations=APx-Xghz-invitados
add action=create-dynamic-enabled master-configuration=\
    AP2-5ghz-oficina name-format=prefix-identity name-prefix=5ghz radio-mac=\
    $macAP2R5
# Provisioning AP3
add action=create-dynamic-enabled comment=AP3 master-configuration=\
    AP3-2ghz-oficina name-format=prefix-identity name-prefix=2ghz radio-mac=\
    $macAP3R2 slave-configurations=APx-Xghz-invitados
add action=create-dynamic-enabled master-configuration=\
    AP3-5ghz-oficina name-format=prefix-identity name-prefix=5ghz radio-mac=\
    $macAP3R5
# Provisioning AP4
add action=create-dynamic-enabled comment=AP4 master-configuration=\
    AP4-2ghz-oficina name-format=prefix-identity name-prefix=2ghz radio-mac=\
    $macAP4R2 slave-configurations=APx-Xghz-invitados
add action=create-dynamic-enabled master-configuration=\
    AP4-5ghz-oficina name-format=prefix-identity name-prefix=5ghz radio-mac=\
    $macAP4R5

# De momento, no habilitamos CAPsMAN
/caps-man manager
set enabled=no

Pendiente:
  • Definir las VLANs en el CCR y ver cómo se van a comportar
  • Definir las reglas de comunicación de las VLANs
  • Servidores DHCP y pool para dichas VLANs
  • Colas de prioridad
  • Fasttrack condicional (sólo tu LAN, requerido por el paso previo. colas = pierdes fasttrack)
  • Enlazar CAP y CAPsMAN con certificados, tal que nadie te pueda pinchar un AP ni un CAPsMAN en tu red y secuestrarla

Necesito que me mandes, si quieres por privado, la configuración actual del CCR. Y, antes de meter ni media línea de código más, te sugiero que guardes un export y un backup y lo actualicemos a la última versión estable de RouterOS, haciendo de paso el upgrade: 7.1.3

Por cierto, ya que nos ponemos, ¿encargamos un par de SFP's y una fibra y le damos vidilla a los puertos SFP del CCR? Lo digo porque el swtich que has comprado tiene un puerto para un SPF y así tienes los 5 puertos del switch para ti (aunque PoE sólo sean 4).

Saludos!
 

Adjuntos

  • arubinop-capsman.zip
    1.9 KB · Visitas: 62
pokoyo dijo:
32 por cada interfaz física, para ser más exactos. Aunque todas tiran de la misma interfaz física, mermando su capacidad. Así que es conveniente no tener media docena por deporte.

Saludos!
Haz clic para expandir...
Aprovecho el hilo y consulto, vamos al extremo, si tengo 30 interfaces virtuales pero 29 están deshabilitadas, ahí no influiría en el rendimiento, no? o solo por el hecho de estar ya estarían afectando?
Otra consulta, se puede ajustar la potencia en una interfaz virtual que sea inferior a la potencia de la interfaz física?
 
Abejo dijo:
Aprovecho el hilo y consulto, vamos al extremo, si tengo 30 interfaces virtuales pero 29 están deshabilitadas, ahí no influiría en el rendimiento, no? o solo por el hecho de estar ya estarían afectando?
Haz clic para expandir...
Ni idea. Pero te hago la siguiente pregunta, para que reflexiones lo que has preguntado: ¿conducirías un coche con treinta remolques encadenados, aunque no vayan cargados? ¿Crees que lo notarías a la hora de conducir, o lo podrías a 120km/h por la autovía sin mayor problema? Piénsalo.

Abejo dijo:
Otra consulta, se puede ajustar la potencia en una interfaz virtual que sea inferior a la potencia de la interfaz física?
Haz clic para expandir...
No. De la misma manera que no puedes hacer que el remolque tenga más o menos potencia que el motor del coche que lo arrastra.

Saludos!
 
pokoyo dijo:
Ni idea. Pero te hago la siguiente pregunta, para que reflexiones lo que has preguntado: ¿conducirías un coche con treinta remolques encadenados, aunque no vayan cargados? ¿Crees que lo notarías a la hora de conducir, o lo podrías a 120km/h por la autovía sin mayor problema? Piénsalo.
Haz clic para expandir...
jejejeje buena comparativa, igual era yendo a un punto extremo, mas por curiosidad que otra cosa
 
Buenas tardes, vaya por delante mis disculpas por el tiempo que he tardado en responder, pero es que hemos tenido problemas en el suministro de los equipos y en las conexiones en remoto al tilera CCR1009 que me han impedido contestar antes.

Los equipos nos llegan sino vuelve a pasar nada, la semana que viene, y solamente 3 de ellos porque el proveedor que al final ha sido LambdaTek de GB después de decirnos que si los tenía, nos manda hoy mismo un mensaje diciendo que el cuarto, tendremos que esperar hasta junio, que si queremos los otros tres primero o lo dejamos todo para junio. Locura total. Así que por lo pronto si todo va bien la semana que viene recibimos 3 CAP AC

Pokoyo te mando por privado un archivo con la configuración que actualmente el CCR. en cuanto pueda

Te comento que hemos actualizado antes de nada a la versión 7.1.3 y nos empezaron justo en ese momento los problemas, al parecer la VLAN6 que teníamos creada para la parte de voip del proveedor de internet nos tiraba la conexión de fibra. hasta que no hemos acudido y nos hemos dado cuenta del problema no tenía conexión en remoto de ninguna forma.

Por otro lado te comento que del script, entiendo bastante, pero no todo, yo me considero un usuario algo aventajado pero nada mas. Bueno que sino pasa nada en breve empezamos, a ver si les puedo dejar de una vez por todas esto funcionando en condiciones.

Un saludo
 
En mi último mensaje entre otras cosas le decía a pokoyo que le mandaba una copia de mi archivo rsc del router CCR1009 como me pidió, para echar un vistazo antes de meter ni una sola linea de código mas.

Pues bien, cuando lo vió, creo que se echó las manos a la cabeza, mal es poco, estaba fatal y con mas agujeros de seguridad que un queso de gruyere, yo no soy experto en redes, como mucho un usuario autodidacta algo avanzado y con inquietudes siempre por aprender. Gracias a pokoyo, me revisó todo el código y como yo digo vulgarmente "hemos limpiado la era".
Ahora la programación del CCR1009 para unas oficinas de cooworking está lista para empezar, partimos de una configuración por defecto que hemos ido mejorando y antes de meternos con Capsman vamos a configurar las VLANs para segmentar el tráfico en función de los tipos de usuarios que se van a manejar en el router.

Para abreviar con el tema organizativo, lo que vamos a tener es 6 tipos de usuarios básicamente, independientemente de como se conecten (exterior por vpn, localmente por wifi ó localmente conectados a una boca de red de las oficinas)
estos son:

1.- Administradores del sistema (Cualquier tipo de conexión, vpn, local, wifi y sin restricciones de acceso) de 1 a 3 usuarios.

2.- Empleados A (Cualquier tipo de conexión vpn, local, wifi con acceso a internet y también a 3 servidores de la red local 192.168.5.0/24 y los puestos fijos de sus compañeros, para poder trabajar en las mismas oficinas o en remoto) contabilidad, facturación, recursos humanos, etc... tienen puestos fijos instalados en las oficinas y portátiles para el trabajo en remoto. de 1 a 8 usuarios.
3.- Empleados B (Conexión por vpn ó wifi, con acceso a internet limitada en velocidad y también a 1 servidor de la red local 192.168.5.0/24 solamente vuelcan datos) comerciales y empleados deslocalizados sin puestos fijos instalados en las oficinas, solo portátiles, tablet's ó terminales móviles. de 1 a 15 usuarios.

4.- Clientes Cooworking A (Conexión por wifi ó local, con acceso a internet limitada en velocidad usan localmente los servicios ofrecidos por el cooworking) tienen que poder conectarse por red local si lo requieren, porque habrían contratado servicios de despacho cerrado independiente. Nunca acceso a servidores u otros puestos de la red local 192.168.5.0/24 de 1 a 10 usuarios.
5. Clientes B Cooworking B (Conexión por wifi, con acceso a internet limitada en velocidad) usan los servicios ofrecidos por el cooworking, pero no tienen despacho cerrado independiente. Nunca acceso a servidores u otros puestos de la red local 192.168.5.0/24 de 1 a 20 usuarios.

6.- Invitados (Conexión solamente por wifi, con acceso a internet con límite de velocidad) visitantes, asistentes a cursos gratuitos, clientes de cualquiera de las empresas que alberga el cooworking, etc... de 1 a 50 usuarios, puede darse el caso de realizar algún curso ó ponencia y que tengamos que atender y dar wifi para móviles a todos los asistentes aunque sea de forma puntual.

Bueno pues estoy abierto a sugerencias por si la estructura no es la mas correcta, pero mas o menos esto es lo que tendría que montar según los requerimientos.

Un Saludo y reitero mi agradecimiento personal particularmente a pokoyo y a todos los demás miembros de este magnifico foro.
 
Debes estar conectado o registrado para responder aquí.

Similar threads

M
Replanteamiento red en casa
2 3 4
Respuestas
68
Visitas
1,886
mariopetit
D
hAP ax3 (router) + hAP ax2 (switch + AP) - VLANs
Respuestas
7
Visitas
559
pokoyo
S
Unir dos Hap ax3 y montar mesh con gestion centralizada
Respuestas
13
Visitas
919
sczcaos
W
Setup cableando casa
Respuestas
3
Visitas
1,187
pokoyo
E
Consejo para compra de Mikrotik para HGU Movistar
Respuestas
7
Visitas
1,242
pokoyo
Arriba