Restringir puerto

Buenos días,

Tengo una consulta a cerca de hacer una restriccion bastante acotada de una de las bocas del router. El caso es que tengo que llevar un latiguillo UTP hasta el garaje por las zonas comunes donde hay riesgo (remoto pero lo hay) de que corten el UTP y se puedan conectar. En el garaje voy a poner un punto de acceso con el SSID oculto, y me gustaria dar acceso solamente al AP y a un par de dispositivos que conecte a este AP (imagino que lo mejor será por MAC.

Sería recomendable hacer otro segmento de red? o se puede utilizar el mismo y solamente filtrar por MAC?

Este es mi código actual:

Código:
# nov/17/2022 17:06:18 by RouterOS 6.48.1
# software id = E82L-C64C
#
# model = RB4011iGS+
/interface bridge
add admin-mac=XX:XX:XX:XX:XX:XX auto-mac=no comment=defconf name=LAN-Bridge \
    protocol-mode=none
/interface ethernet
set [ find default-name=ether1 ] comment=ISP
set [ find default-name=ether2 ] comment=Switch
set [ find default-name=ether3 ] comment=PC
set [ find default-name=ether5 ] comment=AP
set [ find default-name=ether6 ] comment=LM
set [ find default-name=ether7 ] disabled=yes
set [ find default-name=ether8 ] disabled=yes
set [ find default-name=sfp-sfpplus1 ] disabled=yes

/interface vlan
add interface=ether1 name=INTERNET vlan-id=100
/interface pppoe-client
add add-default-route=yes comment="VPN Vodafone" default-route-distance=2 \
    disabled=no interface=INTERNET name=PPPoE-out1 user=user@vodafone
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add name=VPN_Invitados
/ip pool
add name=LAN-Pool ranges=192.168.2.20-192.168.2.150
add name=vpn ranges=10.10.1.1-10.10.1.200
add name=VPN-Pool ranges=192.168.10.200-192.168.10.250
/ip dhcp-server
add address-pool=LAN-Pool disabled=no interface=LAN-Bridge name=DHCP-LAN
/ppp profile
add change-tcp-mss=yes interface-list=LAN local-address=192.168.10.1 name=\
    profile-acceso-router remote-address=VPN-Pool use-encryption=yes
add change-tcp-mss=yes local-address=192.168.10.1 name=profile-clientes-Shelly \
    use-encryption=yes
add change-tcp-mss=yes interface-list=VPN_Invitados local-address=192.168.10.1 \
    name=profile-VPN-invitados remote-address=VPN-Pool use-encryption=yes
add change-tcp-mss=yes interface-list=VPN_Invitados local-address=192.168.10.1 \
    name="profile-VPN-invitados IPFija" use-encryption=yes
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,passw\
    ord,web,sniff,sensitive,api,romon,dude,tikapp"
/interface bridge port
add bridge=LAN-Bridge comment=defconf interface=ether2
add bridge=LAN-Bridge comment=defconf interface=ether3
add bridge=LAN-Bridge comment=defconf interface=ether4
add bridge=LAN-Bridge comment=defconf interface=ether5
add bridge=LAN-Bridge comment=defconf interface=ether6
add bridge=LAN-Bridge comment=defconf interface=ether7
add bridge=LAN-Bridge comment=defconf interface=ether8
add bridge=LAN-Bridge comment=defconf interface=ether9
add bridge=LAN-Bridge comment=defconf interface=sfp-sfpplus1
add bridge=LAN-Bridge hw=no interface=ether10
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set enabled=yes use-ipsec=required
/interface list member
add comment=defconf interface=LAN-Bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=PPPoE-out1 list=WAN
add list=LAN
/interface sstp-server server
set authentication=mschap2 certificate=vpn-server force-aes=yes pfs=yes port=\
    3443 tls-version=only-1.2
/ip address
add address=192.168.2.1/24 comment=defconf interface=LAN-Bridge network=\
    192.168.2.0
/ip cloud
set ddns-enabled=yes

/ip dhcp-server network
add address=192.168.2.0/24 comment=defconf gateway=192.168.2.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip dns static
add address=192.168.2.1 comment=defconf name=router.lan
/ip firewall address-list
add address=b8f6tryfhg7a4.sn.mynetname.net list=public-ip
add address=4ayttftyfy4c13b00.sn.mynetname.net list=ip-aitas
add address=192.168.2.151-192.168.2.155 disabled=yes list=Internet_Bloqueado
add address=192.168.2.201 list=Permitidos_VPN_Invitados
add comment="Blocking IP addresses of ad networks from this list." list=\
    AdNetworks
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 protocol=\
    udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=reject chain=forward comment="Block Internet" reject-with=\
    icmp-network-unreachable src-address-list=Internet_Bloqueado
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=accept chain=forward in-interface-list=LAN
add action=accept chain=forward comment="Permitir a los invitados VPN" \
    dst-address-list=Permitidos_VPN_Invitados in-interface-list=VPN_Invitados
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
    invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" \
    connection-nat-state=!dstnat connection-state=new
/ip firewall mangle
add action=mark-routing chain=prerouting comment=\
    "Todas las IP que esten en la lista Internet_Bloqueado no tendran internet" \
    new-routing-mark=sin_internet passthrough=yes src-address-list=\
    Internet_Bloqueado
add action=set-priority chain=postrouting new-priority=0 out-interface=\
    PPPoE-out1
/ip firewall nat
add action=masquerade chain=srcnat comment=\
    "Para llegar a la red del cliente VPN" dst-address=192.168.20.0/24 \
    src-address=192.168.2.0/24
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=\
    192.168.2.0/24 src-address=192.168.2.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\
    out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
    192.168.10.0/24
add action=dst-nat chain=dstnat comment=\
    "Directo a nas para enlaces compartidos" dst-address-list=public-ip \
    dst-port=52151 protocol=tcp to-addresses=192.168.2.201 to-ports=52151
add action=dst-nat chain=dstnat comment="Hacia Proxy Inverso" dst-address-list=\
    public-ip dst-port=80 protocol=tcp to-addresses=192.168.2.201 to-ports=\
    40080
add action=dst-nat chain=dstnat comment="Hacia Proxy Inverso" dst-address-list=\
    public-ip dst-port=443 protocol=tcp to-addresses=192.168.2.201 to-ports=\
    40443
add action=dst-nat chain=dstnat comment="Solo para habilitar certificados" \
    disabled=yes dst-address-list=public-ip dst-port=80 protocol=tcp \
    to-addresses=192.168.2.201 to-ports=80
add action=dst-nat chain=dstnat comment="Solo para habilitar certificados" \
    disabled=yes dst-address-list=public-ip dst-port=443 protocol=tcp \
    to-addresses=192.168.2.201 to-ports=8081
add action=dst-nat chain=dstnat comment=Plex disabled=yes dst-address-list=\
    public-ip dst-port=32400 protocol=tcp to-addresses=192.168.2.201
add action=dst-nat chain=dstnat comment=prueba disabled=yes dst-port=52151 \
    protocol=tcp to-addresses=192.168.2.201 to-ports=52150
add action=dst-nat chain=dstnat comment=ControlTouch dst-port=2199 protocol=tcp \
    to-addresses=192.168.2.204 to-ports=2199
add action=dst-nat chain=dstnat comment=NAS disabled=yes dst-address-list=\
    public-ip dst-port=52151 log=yes log-prefix="Conexi\F3n NAS" protocol=tcp \
    to-addresses=192.168.2.201
add action=dst-nat chain=dstnat comment=LM disabled=yes dst-address-list=\
    public-ip dst-port=52200 protocol=tcp to-addresses=192.168.2.205 to-ports=\
    443
add action=dst-nat chain=dstnat disabled=yes dst-address-type=local dst-port=\
    161 in-interface=*10 protocol=udp to-addresses=192.168.3.129 to-ports=161
add action=dst-nat chain=dstnat disabled=yes dst-address-type=local dst-port=\
    10001 in-interface=*10 protocol=udp to-addresses=192.168.3.130 to-ports=161
add action=dst-nat chain=dstnat disabled=yes dst-address-type=local dst-port=\
    10002 in-interface=*10 protocol=udp to-addresses=192.168.3.131 to-ports=161
add action=dst-nat chain=dstnat disabled=yes dst-address-type=local dst-port=\
    161 in-interface=*10 protocol=tcp to-addresses=192.168.3.129 to-ports=161
add action=dst-nat chain=dstnat disabled=yes dst-address-type=local dst-port=\
    10001 in-interface=*10 protocol=tcp to-addresses=192.168.3.130 to-ports=161
add action=dst-nat chain=dstnat disabled=yes dst-address-type=local dst-port=\
    10002 in-interface=*10 protocol=tcp to-addresses=192.168.3.131 to-ports=161
/ip route
add comment="Para tener acceso a la red interna del cliente" disabled=yes \
    distance=1 dst-address=192.168.1.0/24 gateway=192.168.30.1
add comment="Red Aitas" distance=1 dst-address=192.168.12.0/24 gateway=\
    192.168.10.2
add comment="Para tener acceso a la red interna del mikrotik del cliente" \
    disabled=yes distance=1 dst-address=192.168.20.0/24 gateway=192.168.30.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api address=192.168.2.205/32
set winbox port=8299
set api-ssl disabled=yes
/ppp secret
add name=David profile=profile-acceso-router service=l2tp

/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=D_Router

/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Gracias!!!
 
Una pregunta: esos dispsitivos, ¿simplemente necesitan acceso a internet, o también a tu red? Tirando de ARP se puede restringir que sólo se de de alta en la tabla ARP los chismes a los que hayas entregado IP por DHCP. Si a eso le sumas el crear un DHCP estático con una sola entrada que meta en la tabla ARP la MAC que necesitas, ya lo tienes: sólo el AP (del cual sabes de entrada la MAC) sería capaz de comunicarse con tu router. Si alguien corta y empalma, no le daría IP así que no entraría por ahí.

De todas maneras, como bien dices, es harto improbable que nadie te corte un cable y empalme ahí nada sin que te des cuenta, más temprano que tarde.

Otra cosa: es hora de subir ese equipo a la v7. Vas a ganar mucho en un 4011 con la actualización. De entrada, hardware offloading en el bridge, incluso con VLANS y RTSP como protocolo de prevención de bucles.

Saludos!
 
Una pregunta: esos dispsitivos, ¿simplemente necesitan acceso a internet, o también a tu red? Tirando de ARP se puede restringir que sólo se de de alta en la tabla ARP los chismes a los que hayas entregado IP por DHCP. Si a eso le sumas el crear un DHCP estático con una sola entrada que meta en la tabla ARP la MAC que necesitas, ya lo tienes: sólo el AP (del cual sabes de entrada la MAC) sería capaz de comunicarse con tu router. Si alguien corta y empalma, no le daría IP así que no entraría por ahí.

De todas maneras, como bien dices, es harto improbable que nadie te corte un cable y empalme ahí nada sin que te des cuenta, más temprano que tarde.

Otra cosa: es hora de subir ese equipo a la v7. Vas a ganar mucho en un 4011 con la actualización. De entrada, hardware offloading en el bridge, incluso con VLANS y RTSP como protocolo de prevención de bucles.

Saludos!
Buenas,

Estos dispositivos tienen que poder acceder a mi red tambien, pero solo a una IP en concreto (192.168.2.205).
Si no se me ocurre tambien otra cosa, ¿Hay alguna forma de hacer que se deshabilite la boca del mikrotik que esta conectada a este AP cuando este AP se desconecte? No se si por MAC o como... No se cual sería la opción mas interesante o sencilla de hacer.

Me podrias echar una mano con la configuración? Toco el router de tanto en tanto y no quiero fastidiar lo que ya tengo echo...

Muchas gracias por lo de la actualización!!
 
Puedes simplemente monitorizar con netwatch la IP del AP (fijada por DHCP en función a su MAC) y si no responde, dehabilitar dicho puerto. Esa sería relativamente sencilla de montar a partir de lo que tienes.

Saludos!
 
Genial gracias!
Entiendo que simplemente es añadir un nuevo Netwatch con la IP y poner en la pestaña de Down "interface ethernet disable ether7" no?

Un Saludo
 
Genial gracias!
Entiendo que simplemente es añadir un nuevo Netwatch con la IP y poner en la pestaña de Down "interface ethernet disable ether7" no?

Un Saludo
Eso es; no tiene más. Y quizá mandarte un mail para avisarte de que eso ha pasado. Con que lo corras una vez cada hora, suficiente.

Saludos!
 
Arriba