Red doméstica con Mikrotik como router principal

Hola buenas, antes de nada agradeceros vuestra ayuda.

El motivo de mi consulta es porque tengo una red que con los años se ha ido extendiendo y al ir añadiendo dispositivos se ha quedado un poco desordenada y caótica y me gustaría encontrar la mejor solución para mejorar el rendimiento ya que por localización no hay disponible fibra y la conexión a internet es ADSL con una media de 10mbps que se ven seriamente afectados.

Mi idea en cuanto a redes es limitada, lo que sé, es lo que he ido aprendiendo con los años en base a trastear, probar y meter la pata.

He realizado un diagrama para poder explicarlo mejor.

Captura de pantalla 2022-04-26 a las 17.11.01.png



Resumiendo un poco, la casa está dividida en varias zonas marcadas por líneas discontinuas en la Zona 1 (en rojo) se encuentra la primera parte donde está el router ADSL de Movistar BHA-RTA, conectado a este y en modo router para no sobrecargarlo instalé un Router Mikrotik y de este ya pasamos a un Switch no gestionable con 16 puertos en los cuales se encuentran: un servidor PBX (Asterisk) para la telefonía, un grabador (NVR) para el sistema CCTV, una Raspberry para el control domótico (Home Assistant), una cámara IP, diferentes teléfonos SIP y dos APs uno para dispositivos de demótica (revés, sensores, etc) y el otro para portátil, movil, tablet... Desde el switch sale otro cable ethernet que conecta con la zona 2 (verde) en la cual existe un router (en modo AP) y como switch para conectar otra Raspberry para el control domótico de esa zona de manera individual y otros dos routers (AP) compartiendo todos ellos la misma SSID a la cual se conectan los dispositivos domóticos.

Equipamiento:

- Router ADSL (Movistar BHA-RTA)
- Router Mikrotik hAP Lite v6.49.2 (estable)
- Switch OVISLINK (no gestionable)
- AP3 y AP4 son routers Tenda en modo AP
- AP1 es un Huwaei HG556A con openWRT utilizándolo como AP
- el resto de APs son routers de operadora reutilizados como AP

Nota: tengo también una pareja de routers WIFI Mesh de MERCUSYS que tenía para otra vivienda, pero podría utilizarlos en esta.

PROBLEMAS:

- Principalmente el desorden a nivel de IPs, todas van en el rango 192.168.1.X gestionadas por el DHCP del Mikrotik ordenadas por categoría (CCTV, VOIP, Demótica, etc.)
- La estabilidad del WIFI se ve afectada, pienso que puede ser por el tráfico generado entre las cámaras IP y el NVR, principalmente las que funcionan a través de WIFI congestionan en la que están conectadas provocando que los dispositivos de domótica se desconecten puntualmente y algunos no se reconecten hasta reiniciarlos.

LIMITACIONES:

Entre la zona 1 y la 2 solo hay un único cable ethernet, lo que imposibilita crear dos redes físicas independientes, la zona 3 va conectada a través de Switch en la zona 2.

OBJETIVOS:

- Una red LAN funcional, posiblemente dividida en subredes para mejorar su rendimiento, no es necesario que la Zona A sea visible desde la Zona B, pero si la Zona B desde la Zona A.

POSIBLES SOLUCIONES:

- ¿Creación de subredes por zonas?
- Estoy abierto a otras soluciones

Y aquí ya me pierdo y por eso estoy aquí... uno de los requisitos sería poder acceder desde la zona 1 al resto de las zonas en el caso de las subredes, puesto que desde la zona 1 es desde donde gestiono todos los dispositivos de la red.

Mi objetivo es lograr aprovechar equipos que tengo por casa muertos de la risa e integrarlos y que funcionen correctamente entre si.

¡Muchas gracias y espero que alguien me pueda echar un cable!

Configuración actual Mikrotik:

Código:
# apr/28/2022 11:26:28 by RouterOS 6.49.2
# software id = JP9Y-MXW4
#
# model = RB941-2nD
# serial number = D1190DC36501
/interface bridge
add admin-mac=08:55:31:2F:23:52 auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-g/n country=spain disabled=no \
    distance=indoors frequency=auto installation=indoor mode=ap-bridge ssid=\
    Mikrotik station-roaming=enabled wireless-protocol=802.11
/caps-man security
add authentication-types=wpa-psk,wpa2-psk encryption=aes-ccm \
    group-encryption=aes-ccm name=security passphrase=*******
/caps-man configuration
add channel.band=2ghz-b/g/n channel.control-channel-width=20mhz \
    channel.extension-channel=XX country=spain \
    datapath.client-to-client-forwarding=yes datapath.local-forwarding=yes \
    name=cfg-2ghz security=security ssid=Mikrotik
add channel.band=5ghz-a/n/ac channel.control-channel-width=20mhz \
    channel.extension-channel=XXXX country=spain \
    datapath.client-to-client-forwarding=yes datapath.local-forwarding=yes \
    name=cfg-5ghz-ac security=security ssid="Mikrotik 5G"
add channel.band=5ghz-a/n channel.control-channel-width=20mhz \
    channel.extension-channel=XX country=spain \
    datapath.client-to-client-forwarding=yes datapath.local-forwarding=yes \
    name=cfg-5ghz-an security=security ssid="Mikrotik 5G"
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
    dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=****** \
    wpa2-pre-shared-key=*******
add authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys name=profile \
    supplicant-identity=MikroTik wpa-pre-shared-key=******* \
    wpa2-pre-shared-key=*******
/ip pool
add name=dhcp ranges=192.168.1.154-192.168.1.254
add name=vpn ranges=192.168.89.2-192.168.89.255
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/ppp profile
set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
    sword,web,sniff,sensitive,api,romon,dude,tikapp"
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=gn master-configuration=\
    cfg-2ghz name-format=prefix-identity name-prefix=2ghz
add action=create-dynamic-enabled hw-supported-modes=ac master-configuration=\
    cfg-5ghz-ac name-format=prefix-identity name-prefix=5ghz-ac
add action=create-dynamic-enabled hw-supported-modes=an master-configuration=\
    cfg-5ghz-an name-format=prefix-identity name-prefix=5ghz-an
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=pwr-line1
add bridge=bridge comment=defconf interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface detect-internet
set detect-interface-list=all
/interface l2tp-server server
set authentication=mschap2 enabled=yes ipsec-secret=Oviedo8011@vpn use-ipsec=\
    required
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/interface pptp-server server
set enabled=yes
/interface sstp-server server
set default-profile=default-encryption enabled=yes
/interface wireless cap
set bridge=bridge interfaces=wlan1
/ip address
add address=192.168.1.1/24 comment=defconf interface=bridge network=\
    192.168.1.0
add address=192.168.0.2/24 interface=ether1 network=192.168.0.0
/ip cloud
set ddns-enabled=yes
/ip cloud advanced
set use-local-address=yes
/ip dhcp-client
add comment=defconf interface=ether1
/ip dhcp-server lease
add address=192.168.1.200 client-id=1:dc:a6:32:ac:f:5a mac-address=\
    DC:A6:32:AC:0F:5A server=defconf
add address=192.168.1.12 client-id=1:0:e:8:3c:98:9f comment=SIP-CV-SALON \
    mac-address=00:0E:08:3C:98:9F server=defconf
add address=192.168.1.15 client-id=1:0:d8:4a:0:0:f0 comment=SIP-PORTERO \
    mac-address=00:D8:4A:00:00:F0 server=defconf
add address=192.168.1.2 comment=ROUTER-TENDA-CN-SALON mac-address=\
    50:0F:F5:E3:F4:70
add address=192.168.1.3 comment=ROUTER-TENDA-CN-DESPACHO mac-address=\
    C8:3A:35:48:B2:E0
add address=192.168.1.13 client-id=1:0:80:f0:dc:d3:4c comment=\
    SIP-CN-PANASONIC mac-address=00:80:F0:DC:D3:4C server=defconf
add address=192.168.1.79 comment=CV-4CH-E mac-address=60:01:94:A3:4C:73 \
    server=defconf
add address=192.168.1.51 comment=NAS-IOMEGA-IX2 mac-address=00:D0:B8:1D:EB:D4 \
    server=defconf
add address=192.168.1.110 comment=CN-PERSIANA-SALON-P mac-address=\
    18:69:D8:B9:8B:75 server=defconf
add address=192.168.1.61 comment=CV-RF-BRIDGE mac-address=DC:4F:22:CA:C8:E6 \
    server=defconf
add address=192.168.1.100 comment=CN-PERSIANA-SALITA-P mac-address=\
    18:69:D8:C4:1B:47 server=defconf
add address=192.168.1.75 comment=CV-4CH-A mac-address=84:0D:8E:65:FC:A2 \
    server=defconf
add address=192.168.1.76 comment=CV-4CH-B mac-address=60:01:94:CE:19:F0 \
    server=defconf
add address=192.168.1.62 mac-address=34:EA:34:F4:25:59 server=defconf
add address=192.168.1.105 comment=CN-PERSIANA-DORMITORIO-PRINCIPAL \
    mac-address=18:69:D8:B9:8A:A7 server=defconf
add address=192.168.1.93 comment=CV-TUYA-TERMO-75 mac-address=\
    84:E3:42:81:F6:EA server=defconf
add address=192.168.1.101 comment=CN-PERSIANA-SALITA-G mac-address=\
    18:69:D8:B9:93:C4 server=defconf
add address=192.168.1.71 comment=CV-BAJOCUBIERTA-2 mac-address=\
    B4:E6:2D:3A:37:94 server=defconf
add address=192.168.1.95 comment=CN-TUYA-TERMO-100 mac-address=\
    84:E3:42:74:1D:83 server=defconf
add address=192.168.1.108 comment=CN-PERSIANA-COCINA-P mac-address=\
    18:69:D8:B9:8D:4B server=defconf
add address=192.168.1.112 comment=CN-MUEBLE-DESPACHO mac-address=\
    B4:E6:2D:3A:45:EB server=defconf
add address=192.168.1.104 comment=CN-PERSIANA-INVITADOS mac-address=\
    18:69:D8:C2:78:56 server=defconf
add address=192.168.1.63 mac-address=34:EA:34:C7:A0:8C server=defconf
add address=192.168.1.103 comment=CN-PERSIANA-DESPACHO-G mac-address=\
    2C:F4:32:08:E0:35 server=defconf
add address=192.168.1.102 comment=CN-PERSIANA-DESPACHO-P mac-address=\
    18:69:D8:B9:88:7E server=defconf
add address=192.168.1.107 comment=CN-PERSIANA-COCINA-G mac-address=\
    18:69:D8:B9:90:F6 server=defconf
add address=192.168.1.78 comment=CV-4CH-D mac-address=DC:4F:22:CA:A2:F1 \
    server=defconf
add address=192.168.1.73 comment=CV-BAJOCUBIERTA-ESCRITORIO mac-address=\
    DC:4F:22:2D:92:2B server=defconf
add address=192.168.1.70 comment=CV-BAJOCUBIERTA-1 mac-address=\
    B4:E6:2D:3A:36:BE server=defconf
add address=192.168.1.60 comment=CV-MILIGHT-HUB mac-address=CC:50:E3:CE:00:AB \
    server=defconf
add address=192.168.1.64 comment="Aire Acondicionado" mac-address=\
    BC:0F:2B:AB:48:0A server=defconf
add address=192.168.1.92 comment=CV-TUYA-ALARMA mac-address=84:0D:8E:72:F1:A2 \
    server=defconf
add address=192.168.1.80 comment="CV-HIFI-BA\D1O" mac-address=\
    5C:CF:7F:7A:04:21 server=defconf
add address=192.168.1.91 comment=CV-VITRINA-2 mac-address=C4:4F:33:D4:06:9D \
    server=defconf
add address=192.168.1.106 comment=CN-PERSIANA-COMEDOR mac-address=\
    18:69:D8:B9:8B:D2 server=defconf
add address=192.168.1.74 comment=CV-TRASTEROS mac-address=5C:CF:7F:79:FD:58 \
    server=defconf
add address=192.168.1.90 comment=CV-VITRINA-1 mac-address=C4:4F:33:D4:05:9F \
    server=defconf
add address=192.168.1.72 comment=CV-BAJOCUBIERTA-3 mac-address=\
    EC:FA:BC:13:CD:4C server=defconf
add address=192.168.1.55 comment=KODI-CN-SALON mac-address=00:79:18:00:08:73 \
    server=defconf
add address=192.168.1.56 comment=KODI-CV-SALON mac-address=D0:76:58:33:07:34 \
    server=defconf
add address=192.168.1.21 comment=HA-CN mac-address=B8:27:EB:B0:DF:64 server=\
    defconf
add address=192.168.1.32 comment=CAM-POZO mac-address=30:FF:F6:78:C4:83 \
    server=defconf
add address=192.168.1.33 comment=CAM-ENTRADA mac-address=00:12:17:22:95:F7 \
    server=defconf
add address=192.168.1.34 comment=CAM-PLAZA mac-address=30:FF:F6:7E:17:40 \
    server=defconf
add address=192.168.1.35 comment=CAM-OLIVO mac-address=30:FF:F6:7E:C5:48 \
    server=defconf
add address=192.168.1.40 comment=MAC-MINI-CV mac-address=00:16:CB:A9:0C:65 \
    server=defconf
add address=192.168.1.50 comment=PBX mac-address=00:11:25:F5:9F:70 server=\
    defconf
add address=192.168.1.58 comment=KODI-APTO mac-address=58:04:54:6C:9E:0C \
    server=defconf
add address=192.168.1.109 comment=CN-PERSIANA-SALON-G mac-address=\
    18:69:D8:B9:89:81 server=defconf
add address=192.168.1.81 comment=CV-TERRAZA mac-address=DC:4F:22:2D:A2:1D \
    server=defconf
add address=192.168.1.111 comment=CN-COCINA mac-address=18:69:D8:BA:03:F9 \
    server=defconf
add address=192.168.1.77 comment=CV-4CH-C mac-address=60:01:94:A3:4F:08 \
    server=defconf
add address=192.168.1.82 comment=CV-EXTRACTOR mac-address=B4:E6:2D:3B:03:70 \
    server=defconf
add address=192.168.1.14 comment=SIP-GIGASET mac-address=7C:2F:80:5F:E3:47 \
    server=defconf
add address=192.168.1.113 comment=CN-LAMPARA-SALITA mac-address=\
    DC:4F:22:43:BE:93 server=defconf
add address=192.168.1.59 comment=CN-ARCHOS mac-address=A4:D8:CA:8B:2E:E8 \
    server=defconf
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf gateway=192.168.1.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=192.168.1.1,192.168.0.1
/ip dns static
add address=192.168.1.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established
add action=accept chain=input connection-state=related
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 \
    protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp
add action=drop chain=input in-interface-list=!LAN
add action=accept chain=input protocol=ipsec-esp
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat comment=HA-CN-SSL dst-port=2020 protocol=tcp \
    to-addresses=192.168.1.21 to-ports=443
add action=dst-nat chain=dstnat comment=HA-CV-SSL dst-port=2021 protocol=tcp \
    to-addresses=192.168.1.200 to-ports=443
add action=dst-nat chain=dstnat comment=HA-CV-8123 dst-port=2022 protocol=tcp \
    to-addresses=192.168.1.200 to-ports=8123
add action=masquerade chain=srcnat dst-address=192.168.1.0/24
add action=dst-nat chain=dstnat comment="HCV Alexa" dst-port=443 \
    in-interface=ether1 protocol=tcp to-addresses=192.168.1.200 to-ports=443
add action=dst-nat chain=dstnat comment="Mac Mini" dst-port=4444 protocol=tcp \
    to-addresses=192.168.1.40 to-ports=5900
add action=dst-nat chain=dstnat comment=PBX dst-port=5555 protocol=tcp \
    to-addresses=192.168.1.50 to-ports=80
add action=dst-nat chain=dstnat comment="iMac Maribel" dst-port=4445 \
    protocol=tcp to-addresses=192.168.1.155 to-ports=5900
add action=dst-nat chain=dstnat comment=milight dst-port=2023 protocol=tcp \
    to-addresses=192.168.1.60 to-ports=80
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
    192.168.89.0/24
add action=dst-nat chain=dstnat comment=IAX2 dst-port=4569 protocol=udp \
    to-addresses=192.168.1.50 to-ports=4569
add action=dst-nat chain=dstnat comment="IAX2 TCP" dst-port=4569 protocol=tcp \
    to-addresses=192.168.1.50 to-ports=4569
add action=dst-nat chain=dstnat comment="Rango IAX TCP" disabled=yes \
    dst-port=5380 protocol=tcp to-addresses=192.168.1.50 to-ports=5380
add action=dst-nat chain=dstnat comment="Rango IAX UPD" disabled=yes \
    dst-port=5380 protocol=udp to-addresses=192.168.1.50 to-ports=5380
add action=dst-nat chain=dstnat comment="5060 tcp" dst-port=5010 protocol=tcp \
    to-addresses=192.168.1.50 to-ports=5060
add action=dst-nat chain=dstnat comment="5060 upd" dst-port=5010 protocol=udp \
    to-addresses=192.168.1.50 to-ports=5060
add action=dst-nat chain=dstnat comment="5061 tcp" dst-port=5011 protocol=tcp \
    to-addresses=192.168.1.50 to-ports=5011
add action=dst-nat chain=dstnat comment="5061 upd" dst-port=5011 protocol=udp \
    to-addresses=192.168.1.50 to-ports=5011
add action=dst-nat chain=dstnat comment="HACV SSH" dst-port=2222 protocol=tcp \
    to-addresses=192.168.1.200 to-ports=22
/ip firewall service-port
set sip disabled=yes sip-direct-media=no
/ip route
add distance=1 gateway=192.168.0.1
add distance=1 dst-address=192.168.1.0/24 gateway=192.168.1.250
add check-gateway=ping distance=1 dst-address=192.168.10.0/24 gateway=\
    wlan1,bridge,ether2
add distance=1 dst-address=192.168.10.1/32 gateway=192.168.1.209
/ip upnp interfaces
add interface=bridge type=internal
add interface=ether1 type=external
/ppp secret
add local-address=192.168.1.230 name=vpn password=******* profile=\
    default-encryption remote-address=192.168.1.250 service=l2tp
/system clock
set time-zone-name=Europe/Madrid
#error exporting /system routerboard settings
#interrupted

A continuación configuración de los demás routers funcionando como AP:

- AP1

Huwaei HG556A firmware OpenWRT (LUCI) - A este se conectan mediante WLAN algunas de las cámaras IP WIFI y algunos dispositivos domóticos de la ZONA 1

Captura de pantalla 2022-04-28 a las 11.51.30.png

- AP2

Sercomm AD1018 - Firmware vodafone liberado con acceso root - Funcionando también como AP, también en zona 1 a unos 10m del AP1 con diferente SSID al que se conectan el resto de dispositivos domótica. Anteriormente compartía la misma SSID que AP1 para tener una única SSID para CCTV y domótica pero esto causaba interrupciones constantes en la conexión de los mismos.
Captura de pantalla 2022-04-28 a las 11.52.41.png


ZONA 2, un switch no gestionado une el ethernet proveniente de zona 1 con lo siguiente:

- AP3

Tenda AC10, funcionando como AP en zona 2, SSID3, conectados dispositivos domótica y móviles, tablets... aquí la velocidad a través de wifi se empieza a ver bastante afectada.

Captura de pantalla 2022-04-28 a las 12.00.58.png


- AP4
Tenda N301, conectado a switch zona 2, funcionando como AP, misma SSID que AP3, a unos 10-15m de AP3, se conectan disp. domótica y una cámara WIFI que por proximidad es el AP mas cercano.

ZONA 3

- AP5

Sercomm AD1018, conectado al switch Zona 2 a unos 20m de este, SSID4, a este punto es al que menos dispositivos se conectan, únicamente un TVBOX y un iMac, ambos por WIFI, y un Teléfono SIP directamente por ethernet.

En esta zona, paradógicamente que es la mas alejada del principio es la mas estable y la que mejor mantiene las velocidad a internet, pese a las limitaciones del ADSL.

Captura de pantalla 2022-04-28 a las 12.13.34.png
 

Adjuntos

  • Captura de pantalla 2022-04-28 a las 11.39.56.png
    Captura de pantalla 2022-04-28 a las 11.39.56.png
    33.7 KB · Visitas: 64
Buenas @angelpri, bienvenido.

Si mal no entendí del primer post que abriste, las tres zonas son en verdad tres viviendas que están cerca una de la otra, en la misma parcela. ¿correcto? A partir de ahora, las nombraré como viviendas: A (zona1), B (zona2), C (zona 3), para entendernos mejor. Me gusta más el concepto de vivienda porque simplificas, ya que son sitios supuestamente aislados entre sí (entre cuatro paredes, para que nos entendamos).

Vamos a intentar hacerlo de atrás para adelante, me explico: vamos a ir tocando primero los APs y, cuando estén todos correctamente configurados, nos metemos con el router, al que le vamos a pegar un lavado de cara que no le va a conocer ni su padre.

Te voy a ser sincero: la config del router no es buena, pero tampoco es ningún desastre. Eso sí, manejas muchísimas leases estáticas, y eso le "pesa" a un equipo tan pequeñito (son sólo 32MB de RAM). No obstante, bien configurado, debería ser suficiente para manejar los equipos que tienes, especialmente porque la conexión a internet no tiene una velocidad alta.

Lo primero que vamos a hacer es ir apañando el tema inalámbrico, empezando por la vivienda C, y de ahí para atrás. En lugar de configurar todos los equipos como AP, vamos a intentar que en cada vivienda haya un equipo al menos haciendo de router, y luego crearemos rutas estáticas en el mikrotik para acceder a ellos.

Primera pregunta, para el equipo de la vivienda C, ¿te permite configurarlo en modo router, tal que uno de sus puertos sea WAN y los otros LAN? Veo que ese Sercomm AD1018 es compatible con dd-wrt / open-wrt. ¿lo tienes con ese firmware, o es el firm original de la casa? ¿podrías hacer lo que te digo, bien sea con un firmware o con otro?

La idea es poner ese equipo a eschuchar DHCP en la WAN, y montar la 192.168.3.X en la LAN. Tendría su propio DHCP y, si puedes, apágale el firewall, que no lo va a necesitar.

Para la wifi, vamos a seguir este patrón: de momento, un único SSID por vivienda (tú decides si distinto por cada vivienda, o el mismo en las tres). Únicamente canales 1, 6 , 11 en wifi 2,4GHz (los que no se pisan entre sí). Únicamente wifi g/n (fuera "b"), y únicamente con 20MHz de ancho de canal (fuera 20/40MHz o auto). Como en C sólo hay un punto inlámbrico, puedes dejarlo operando en el canal ya que tiene (canal 11). Simplemente asegúrate de que esté operando en 802.11 g/n y con 20MHz de ancho de canal.

Una vez tengas el primero, me dices y seguimos con B.

Saludos!
 
Ya decía yo que me sonaba este hilo de otro de ayer que se cerró... :unsure:
Sí, tuvimos un pequeño malentendido, fruto de lo impersonal de la comunicación escrita. Lo aclaramos por privado y listo.

A veces pasa, cosas de este medio.

Saludos!
 
Vale, si, realmente son 3 viviendas en una misma parcela. Así es menos lioso.

Ya he hecho en la 3ª lo que me comentaste. Los Sercomm están con el firmware de Vodafone porque creo que en su momento no estaba disponible openWRT o creo recordar que aún estaba en desarrollo y no había versiones estables o tenían alguna limitación. De todos modos lo que si les logré cambiar fue la contraseña de administrador con lo que se podría aprovechar uno de los ethernet que funcionaba como LAN o WAN para fibra.

Pero lo que he hecho al final fue poner en la vivienda 3 uno de los Tenda que al no ser de operador iba a haber menos problemas. Ya lo he configurado como Router con el WAN conectado al cable que llega a esa vivienda con DHCP para obtener la dirección del WAN y la red que crea el Tenda de la vivienda 3 está ya en el rango 192.168.3.X con ese router en la 192.168.3.1 y el DHCP entregando direcciones en ese rango.

Para la Vivienda 2 he pensado utilizar el par mesh que comenté que tenía de Mercusys, que al ser 2 cubrirán toda la vivienda, que es la mas grande.
 
Genial, qué rápido! Un par de preguntas, el Tenda y los Mercury, ¿soportan vlans en la WAN? Muchos equipos de operador y algunos neutros no te permiten crear VLANs a nivel LAN, pero sí que te permiten definir que por la WAN el servicio llega por una VLAN. De esa manera, podríamos sacar un par de VLANs del mikrotik y mandarlas a ambas viviendas.

Otra cosa, del switch que hay en la segunda vivienda, entiendo que nacen las conexiones de los routers de esa vivienda y de C. Pero ¿hay algo más conectado al switch?

Y por último, el cable que va de la segunda a la primera vivienda, ¿engancha en la primera vivienda con el mikrotik directo, o va primero al switch no gestionable?

Saludos!
 
Justo el tenda que puse en la 3ª vivienda no deja lo de las VLANs, ya que es el mas básico, el otro acabo de mirar desde la web del router y no veo la opción, pero esto puede ser por estar aún en modo AP, lo tendría que mirar... el mercusys no lo se, porque en ese tengo que trastear mas con él porque cuando me puse con él intenté ponerlo en modo router para luego hacer una ruta estática desde el mikrotik y no hubo manera, desde el mercusys podía acceder a la red de encima, osea, a la del mikrotik pero no a la inversa, imaginé que era por un firewall que en el menú no aparecía por ninguna parte, cosa que espero poder solucionar.

En el switch de la segunda vivienda te cuento conexiones x puertos:
1. El cable que une con la vivienda 1
2. 1er Router de la vivienda 2 (actualmente AP)
3. 2º Router vivienda 2 (AP)
4. Una Raspberry
5. TV

El cable que va de la vivienda 2 a la 1 va al otro switch no gestionable, pero esto está junto al mikrotik, por lo que podría ir directo al Mikrotik, entiendo que para dividir justo la red ahí aprovechando uno de los puertos físicos...

De todos modos mañana me pongo con el Mercusys que lo tengo apartado y te digo el tema VLANs en ese
 
Vale, si el Tenda no lo soporta (viendo el pdf del manual, lo hace, pero sólo para la IPTV, dedicando un puerto a ello de la LAN), nos olvidamos de momento del tema VLANs. Si en A puedes enganchar el cable que va a B directo al mikrotik, separamos así las LAN de las viviendas del "trunk" que las une. Pongamos que conectas ese cable al mikrotik en el puerto 4. Ese puerto 4, lo sacaríamos del bridge principal, y lo direccionaríamos aparte. Tendríamos en ese caso (para los cuatro puertos que tiene el hAP-Lite)
Ether1 - WAN -> módem
Ether2 + Ether3 (Bridge) -> LAN (actual 192.168.1.x)
Ether4 (aparte) -> troncal al switch en B.

Para en ese puerto, podríamos usar la subred 172.16.0.1/29, direccionaríamos de la siguiente manera:
MIkrotik: 172.16.0.1 (puerto 4) -> 192.168.1.x (Bridge, LAN)
Router en B (futuro Mercurys, el principal): 172.16.0.2 (WAN) -> 192.168.2.x (LAN)
Router en C (Tenda): 172.16.0.3 (WAN) -> 192.168.3.x (LAN)

Podemos incluso crearle un servidor DHCP al puerto 4 para que esos equipos se direccionen automáticamente. En B, al switch sólo conectarías 3 cables: el que viene del puerto 4 del mikrotik, el que va al router de esa misma vivienda, y el que va a la vivienda C. En B, si hay más equipos conectados al switch, el segundo equipo sería AP (o nodo mesh), la Pi y la TV, irían conectados al router principal directamente, no podrían ir al switch (ahora con el dibujo entenderás porqué.

Por otro lado, ¿qué modelo es el módem? ¿Se puede poner en modo puente? Porque, si la IP pública le llega al mikrotik y nos quitamos el NAT del módem, mejor que mejor.

Con todo y con esto, nos quedaría un mapa de red así:

1651183172812.png


¿Cómo lo ves, te gusta más la idea? Luego, en el mikrotik añadiríamos las rutas estáticas para indicar que, a la subred 192.168.3.0/24, se llega por la 172.16.0.3, y que a la subred 192.168.2.0/24, se llega por la 172.16.0.2. En los routers en B y C no haría falta mete nada, si el direccionamiento se lo damos por DHCP, puesto que tirarán todo hacia arriba por la ruta por defecto 0.0.0.0/0.

De esta manera descargas al mikrotik de la gestión del DHCP de los equipos subordinados en B y C. Y, si esos equipos nos permiten desactivarle el fierwall, con un poco de suerte, simplemente con las rutas estáticas, llegaríamos a ellos. Además, si tienes la opción (desconozco si en el tenda o en el mercury se puede hacer), te puedes ahorrar el NAT. Como el mikrotik maneja todas las rutas, B y C podrían no tener NAT, y funcionarían de igual manera.

Saludos!
 
Vale, me gusta

Lo único que los mercusys solo tienen 2 puertos eth cada uno, por lo que en el principal uno sería wan y solo quedaría uno para la lan del 192.168.2.x tendría que poner otro switch detrás, osea uno en la vivienda 2 para bifurcar las redes de vivienda 2 y 3 como me comentas y otro detrás para conectar la raspberry y tv de vivienda dos y el cable que iba para el 2º ap de vivienda dos, que aunque no hiciese falta por el mesh, ese cable también conecta un teléfono y un pc.

Al escribir esto se me viene a la mente otra posible solución, que es el huawei con openwrt, que en ese si sería posible tu planteamiento de las vlans, incluso puedo meter openwrt a alguno de los otros sercomm y podría hacerse la opción de las vlans también.

¿Habría mejoras significativas utilizando vlans en lugar de redes independientes como en el planteamiento actual?

También tengo un zyxel VMG5313-B10B, el cual no se si tendrá opción de trabajar con VLANs, lo puedo mirar mañana.

Y respecto a lo que me preguntabas del modem, si puede ponerse en modo bridge, ya lo tuve como tal pero lo volví a poner en modo router por comodidad para poder reiniciarlo desde la propia web del router pero esto lo podría solucionar con un relé a través de la domótica.

Creo que con esto ya aclaro las dudas, que estoy desde el movil y no veo tu mensaje ahora mismo.


Enviado desde mi iPhone utilizando Tapatalk
 
Con el planteamiento propuesto, el uso de VLANs ahora no soluciona nada. Si usas VLANs, la principal ventaja es que te podrías llevar las tres subredes (192.168.1, .2, .3 X) al mikrotik, y direccionarlas todas desde él, sacándolas todas por un único cable. O que puedes pasar dos segmentos totalmente independientes para las WAN en B y C, por el mismo cable, pero no le vas a sacar partido (por ejemplo 172.16.2.0/24 para B y 172.16.3.0/24 para C; siendo las IP's WAN 172.16.2.1 en B y 172.16.3.1 en C, totamente independientes entre sí; de distinta subred)

Lo que buscamos es hacer "cachitos" la red grande, para que cada vivienda independice la gestión de sus equipos locales, con su propio DHCP y subred, confluyendo todos luego en el mikrotik. Es decir, estamos huyendo de una red bridgeada para convertirla en routeada.

Simplemente, usa cualquiera de los equipos que tienes de pico como switch adicional en B y listo. Pero ten en cuenta de que el cable que llega a B ha de bifurcar en dos para las WAN de ambos equipos.

Y respecto a lo que me preguntabas del modem, si puede ponerse en modo bridge, ya lo tuve como tal pero lo volví a poner en modo router por comodidad para poder reiniciarlo desde la propia web del router pero esto lo podría solucionar con un relé a través de la domótica.
No creo que sea necesario el arco de iglesia. Normalmente, los modem/routers en bridge dejan siempre una IP de administración disponible que, configurada apropiadamente sobre el puerto que lo une en el mikrotik, te permitiría acceso a la web de administración del módem, incluso estando en modo bridge.

Saludos!
 
Vale, a ver que me he puesto ahora de nuevo con ello, estaba probando a crear una ruta estática en el mikrotik para acceder a la red que creamos para la vivienda 3, aunque luego cambiásemos la configuración del mikrotik pero para ir poder acceder ahora de manera provisional y algo hago mal que no puedo acceder, al router de 3 puedo acceder a través de la dirección del WAN que actualmente es 192.168.1.3 y el puerto 8080 que es el que permite el acceso remoto al router. Pero no logro acceder a él a través de su red que sería el 192.168.1.3 ni a un iMac que ya le asignó el DHCP la dirección 192.168.3.100

En el mikrotik he creado una ruta tal que así:
Captura de pantalla 2022-04-29 a las 11.06.49.png
 
Vale, a ver que me he puesto ahora de nuevo con ello, estaba probando a crear una ruta estática en el mikrotik para acceder a la red que creamos para la vivienda 3, aunque luego cambiásemos la configuración del mikrotik pero para ir poder acceder ahora de manera provisional y algo hago mal que no puedo acceder, al router de 3 puedo acceder a través de la dirección del WAN que actualmente es 192.168.1.3 y el puerto 8080 que es el que permite el acceso remoto al router. Pero no logro acceder a él a través de su red que sería el 192.168.1.3 ni a un iMac que ya le asignó el DHCP la dirección 192.168.3.100

En el mikrotik he creado una ruta tal que así:
Ver el adjunto 94635
El gateway no sería el bridge, sino la IP 172.16.0.3 (o la 192.168.1.3, si aún no has dedicado ether4 para ese propósito).

Saludos!
 
También había probado así y tampoco logro acceder a 192.168.3.100 desde la 192.168.1.x
He probado dejando el nodo de 192.168.1.3 en Pref Source y sin él, y nada.

Si, luego pasará a ser 172.16.0.3, pero de momento estaba probando con lo que ya estaba.

Captura de pantalla 2022-04-29 a las 15.30.40.png
 
Desactivaste el firewall del equipo en cuestión, al que pretendes acceder vía WAN? De normal, un firewal/nat tradicional impedirá esa conexión.

Saludos!
 
El problema va a ser que los tenda no tienen manera de desactivar ni firewall ni nat… la única opción que veo sería redireccionar puertos, pero menudo engorro.


Enviado desde mi iPhone utilizando Tapatalk
 
Tengo novedades, al final descarto los Tenda y Mercusys para usar como routers, puesto que no permiten desactivar ni el firewal ni la NAT y no podría acceder desde wan a la lan. Probando con otros he conseguido que funcione con el Zyxel, así que colocaré este en la vivienda 3 y esa ya la dejo liquidada. Y luego tengo también el Huawei con OpenWRT que espero que no me de problemas para utilizarlo como router al igual que el Zyxel y con eso ya dejo las dos subredes configuradas.
Por otro lado, los otros dos Sercomm que tenía iguales también dejan desactivar el firewall y la NAT, pero no logro ver los equipos conectados en LAN a través de WAN, no se que estaré haciendo mal...

Y respecto a las configuraciones del Wifi que me propusiste en la mayoría de estos no me dan opción de activar únicamente las bandas g/n, permiten o b/g/n o b/g o cada una por separado.
 
Por otro lado, los otros dos Sercomm que tenía iguales también dejan desactivar el firewall y la NAT, pero no logro ver los equipos conectados en LAN a través de WAN, no se que estaré haciendo mal...
Sin firewall, si las rutas están bien creadas, deberías poder llegar a los equipos de la LAN. Pero desconozco la implementación del firewall que harán esos equipos.

Y respecto a las configuraciones del Wifi que me propusiste en la mayoría de estos no me dan opción de activar únicamente las bandas g/n, permiten o b/g/n o b/g o cada una por separado.
b/g/n, en ese caso. Lo más importante no es eso, sino el ancho de banda de canal y los canales usados. Canales 1, 6, 11; y nada más, y ancho de banda de canal de 20MHz, sino quieres pisar de un plumazo 6 canales.

Saludos!
 
Buenas, ya estoy aquí de nuevo.

Al final he tenido que volver a dejar los routers como APs porque al configurarlos como routers, desactivarles firewall y nat, pese a que todo parecía que funcionaba bien al tratar de acceder desde la red de la vivienda 1 (192.168.1.x) a las otras viviendas (192.168.2.x y 192.168.3.x) accedía a los equipos pero iba extremadamente lento, imagino que era problema de los otros routers al hacer ese puente por WAN, lo curioso es que si por ejemplo activaba el wan en los equipos de las subredes y mapeaba puertos al entrar por la propia ip del router de vivienda 2 o 3 iba fluído.

Ahora parece ir todo mas o menos bien, imagino que gran parte era problema de las redes wifi que estaban tapándose en los canales.

En el mikrotik la carga de la CPU me marca poquísimo de normal ahora 4% y en RAM libre 7,1Mb de sus 32Mb

Como me habías comentado que tener tantas asignaciones en el servidor DHCP del mikrotik podía consumir bastantes recursos he pensado eliminar gran parte de ellas, a fin de cuentas lo tenía así por tener un poco organizados los dispositivos, pero son pocos los que necesitan realmente estar en una dirección fija.

Si en lugar de asignaciones en el DHCP utilizase direcciones fijas por parte del cliente sería una opción válida?

Por otro lado, utilizando direcciones físicas habría manera en el mikrotik de crearle redes en otro rango por categoría y otro DHCP y que asignase direcciones en un rango u otro por MAC? O estaría en las mismas?

Por ejemplo:
- DHCP principal para PCs, TVs, móviles, etc, que utilizase como hasta ahora 192.168.1.x
- CCTV 192.168.2.x
- Domótica 192.168.3.x
 
Si en lugar de asignaciones en el DHCP utilizase direcciones fijas por parte del cliente sería una opción válida?
NO. De hecho, es la principal causa de tener un problema serio en una red, meter IP's a manija en los dispositivos. Si los tienes que reservar, resérvalos. Pero hazlo con cabeza, no todos los dispositivos necesitan un lease estático.

Por otro lado, utilizando direcciones físicas habría manera en el mikrotik de crearle redes en otro rango por categoría y otro DHCP y que asignase direcciones en un rango u otro por MAC? O estaría en las mismas?
No te vale para nada. O segmentas en destino, plantando un router, o partir la red en cachitos en origen, sin usar VLANs, no te vale para nada.

Es decir, o usas VLANs, y partes en cachitos en capa 2, o lo que sea que hagas en capa 3 no vale para nada, si lo tienes todo en el mismo router.

De todas maneras, prueba con todo en un mismo segmento de L2 (router mikrotik como principal y todo lo demás como APs) y organiza correctamente los canales, los anchos de banda de canal. Es más que probable que todo el rollo que tenías viniera por ahí.

Saludos!
 
Arriba