Sin conexión a internet al utilizar VLANS

Buenas tardes, llevo bastantes años leyendo el foro pero no estaba registrado. Con el tiempo he ido aprendiendo configuraciones y nuevos ajustes gracias a vosotros. Hoy tras leer e implementar las VLANS con este post: https://www.adslzone.net/foro/mikrotik.199/manual-mikrotik-bridge-vlan-filtering.564505 justo la sección -> BONUS TRACK - Implementar todo en el mismo bridge (PVID 1 = default VLAN) . He dejado funcionando las VLANS con sus respectivos servidores DHCP y la configuración siguiente:

Todo ello en el bridge llamado bridge-vlans:
vlan-home (id = 77) --> 172.16.0.0/26
vlan-servidores (id = 78 --> 172.16.0.64/26
vlan-domotica (id = 79) --> 172.16.0.128/26
vlan-camaras (id= 80) --> 172.16.0.192/28

*Actualmente como estoy probando por eso tengo el otro bridge llamado bridge. Así hago pruebas.

El problema me surge si por ejemplo, estoy en la vlan-domotica y quiero acceder a una cámara de la vlan-camaras. Aunque he probado diferentes cosas, en el firewall como podéis ver en el archivo de configuración he probado haciendo una regla de forward. Cuando hago ping desde un dispositivo desde la vlan-domotica hacía la vlan-camaras esta regla de firewall aumentan los paquetes (dentro de las estadísticas) pero sigo sin poder conectarme. Estoy seguro que algo se me debe de escapar.

Agradecería muchísimo vuestra ayuda y cualquier sugerencia.
# sep/03/2022 17:48:04 by RouterOS 7.4.1
# software id = XXXXX
#
# model = CCR1009-7G-1C-1S+
# serial number = xxxxxx
/interface bridge
add comment="-- BRIDGE INTERFACES --" dhcp-snooping=yes igmp-snooping=yes \
ingress-filtering=no name=bridge priority=0x9000 vlan-filtering=yes
add dhcp-snooping=yes igmp-snooping=yes ingress-filtering=no name=\
bridge-vlans vlan-filtering=yes
/interface ethernet
set [ find default-name=ether6 ] comment="-- TELEFON\CDA IP --" name=\
SIP_ether6 speed=100Mbps
set [ find default-name=ether5 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full comment=\
"-- WIFI --" name=WIFI_ether5 speed=100Mbps
set [ find default-name=ether3 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full comment=\
"-- ALBA --" name=alba_ether3
set [ find default-name=ether2 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full comment=\
"-- CAM --" name=camaras_ether2
set [ find default-name=ether1 ] comment="-- ENTRADA WAN INTERNET --" \
mac-address=E8:1B:69:60:49:FB name=internet speed=100Mbps
set [ find default-name=ether4 ] advertise=1000M-half,1000M-full comment=\
"-- SERVIDOR ---" name=servidor_ether4 speed=100Mbps
set [ find default-name=sfp-sfpplus1 ] advertise=10000M-full
set [ find default-name=ether7 ] comment="-- SWITCH --" name=switch_ether7 \
speed=100Mbps
/interface vlan
add interface=bridge-vlans name=vlan-camaras vlan-id=80
add interface=bridge-vlans name=vlan-domotica vlan-id=79
add interface=bridge-vlans name=vlan-home vlan-id=77
add interface=bridge-vlans name=vlan-servidores vlan-id=78
add interface=internet name=vlan100 vlan-id=100
/interface pppoe-client
add add-default-route=yes comment="-- PPPoe Client --" disabled=no interface=\
vlan100 name=pppoe-out1 user=xxxxxxxx
/interface list
add name=WAN
add name=LAN
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec proposal
set [ find default=yes ] disabled=yes
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
add name=dhcp ranges=0.0.0.1-0.0.0.254
add name=dhcp_pool ranges=192.168.1.30-192.168.1.254
add name=dhcp-home ranges=172.16.0.2-172.16.0.62
add name=dhcp-servidores ranges=172.16.0.65-172.16.0.126
add name=dhcp-domotica ranges=172.16.0.129-172.16.0.190
add name=dhcp-camaras ranges=172.16.0.197-172.16.0.206
/ip dhcp-server
add address-pool=dhcp_pool interface=bridge name=dhcp1
add address-pool=dhcp-home interface=vlan-home name=dhcp-home
add address-pool=dhcp-servidores interface=vlan-servidores name=\
dhcp-servidores
add address-pool=dhcp-domotica interface=vlan-domotica name=dhcp-domotica
add address-pool=dhcp-camaras interface=vlan-camaras name=dhcp-camaras
/port
set 0 name=serial0
set 1 name=serial1
/routing bgp template
set default disabled=no output.network=bgp-networks
/routing ospf instance
add disabled=no name=default-v2
/routing ospf area
add disabled=yes instance=default-v2 name=backbone-v2
/snmp community
set [ find default=yes ] name=publicHA
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
sword,web,sniff,sensitive,api,romon,dude,rest-api"
/interface bridge port
add bridge=bridge-vlans ingress-filtering=no interface=camaras_ether2 pvid=80
add bridge=bridge ingress-filtering=no interface=servidor_ether4
add bridge=bridge ingress-filtering=no interface=WIFI_ether5
add bridge=bridge-vlans ingress-filtering=no interface=SIP_ether6 pvid=79
add bridge=bridge ingress-filtering=no interface=switch_ether7
add bridge=bridge ingress-filtering=no interface=sfp-sfpplus1
add bridge=bridge-vlans ingress-filtering=no interface=combo1 pvid=79
add bridge=bridge-vlans ingress-filtering=no interface=alba_ether3 pvid=77
add bridge=bridge ingress-filtering=no interface=internet
/interface bridge settings
set use-ip-firewall=yes use-ip-firewall-for-vlan=yes
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/ip settings
set max-neighbor-entries=8192 tcp-syncookies=yes
/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192
/interface bridge vlan
add bridge=bridge-vlans comment=home tagged=bridge-vlans vlan-ids=77
add bridge=bridge-vlans comment=servidores tagged=bridge-vlans vlan-ids=78
add bridge=bridge-vlans comment=domotica tagged=bridge-vlans vlan-ids=79
add bridge=bridge-vlans comment=camaras tagged=bridge-vlans vlan-ids=80
/interface l2tp-server server
set enabled=yes use-ipsec=yes
/interface list member
add interface=internet list=WAN
add interface=camaras_ether2 list=LAN
add interface=alba_ether3 list=LAN
add interface=servidor_ether4 list=LAN
add interface=WIFI_ether5 list=LAN
add interface=SIP_ether6 list=LAN
add interface=switch_ether7 list=LAN
add interface=sfp-sfpplus1 list=LAN
add interface=combo1 list=LAN
add interface=bridge list=LAN
add interface=vlan100 list=WAN
add interface=pppoe-out1 list=WAN
add interface=vlan-home list=LAN
add interface=vlan-servidores list=LAN
add interface=vlan-domotica list=LAN
add interface=vlan-camaras list=LAN
add interface=bridge-vlans list=LAN
/interface ovpn-server server
set auth=sha1,md5
/ip address
add address=192.168.1.1/24 interface=bridge network=192.168.1.0
add address=172.16.0.0/26 interface=vlan-home network=172.16.0.0
add address=172.16.0.64/26 interface=vlan-servidores network=172.16.0.64
add address=172.16.0.128/26 interface=vlan-domotica network=172.16.0.128
add address=172.16.0.192/28 interface=vlan-camaras network=172.16.0.192
/ip dhcp-server lease
add address=192.168.1.94 client-id=1:e4:5f:1:5:7f:cd mac-address=\
E4:5F:01:05:7F:CD server=dhcp1
/ip dhcp-server network
add address=172.16.0.0/26 comment=home dns-server=172.16.0.1 gateway=\
172.16.0.1
add address=172.16.0.64/26 comment=servidores dns-server=172.16.0.64 gateway=\
172.16.0.64
add address=172.16.0.128/26 comment=domotica dns-server=172.16.0.128 gateway=\
172.16.0.128
add address=172.16.0.192/28 comment=camaras dns-server=172.16.0.192 gateway=\
172.16.0.192
add address=192.168.1.0/24 dns-server=192.168.1.1,1.1.1.1 gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,8.8.4.4
/ip firewall address-list
add address=192.168.1.0/24 list="Red Lan"
/ip firewall filter
add action=drop chain=input dst-port=53 in-interface-list=WAN protocol=tcp
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=accept chain=forward dst-address=172.16.0.192/28 src-address=\
172.16.0.128/26
add action=accept chain=forward dst-address=172.16.0.192/28 src-address=\
192.168.1.0/24
add action=accept chain=forward dst-address=172.16.0.128/26 src-address=\
172.16.0.192/28
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
disabled=yes ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
disabled=yes ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
add action=accept chain=srcnat comment=nateo-lan-to-wan dst-address=\
46.27.229.69 ipsec-policy=out,none src-address=192.168.1.0/24
/ip firewall nat
add action=masquerade chain=srcnat comment="HAIRPIN NAT" dst-address=\
192.168.1.0/24 src-address=192.168.1.0/24
add action=masquerade chain=srcnat comment="-- General --" out-interface=\
pppoe-out1
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
/ip ipsec policy
set 0 disabled=yes
/ip route
add disabled=yes dst-address=192.168.1.0/32 gateway=camaras_ether2
add disabled=yes dst-address=0.0.0.0/0 gateway=100.70.0.1
add disabled=yes dst-address=0.0.0.0/0 gateway=192.168.1.1
/ip service
set telnet disabled=yes
set ftp address=192.168.1.102/32 disabled=yes port=860
set www address=192.168.1.49/32 port=8093
set ssh disabled=yes
set www-ssl certificate=*1
set api disabled=yes
set winbox address=192.168.1.3/32,192.168.1.4/32,192.168.1.0/24 disabled=yes \
port=14581
set api-ssl certificate=DigiCertGlobalRootCA.crt.pem_0 disabled=yes
/ip ssh
set forwarding-enabled=remote
/ip upnp
set show-dummy-rule=no
/lcd
set backlight-timeout=5m color-scheme=dark default-screen=interfaces \
time-interval=daily
/system clock
set time-zone-name=Europe/Madrid
/system routerboard settings
set silent-boot=yes
/tool bandwidth-server
set enabled=no
/tool graphing queue
add
/tool graphing resource
add
Haz clic para expandir...
 
Última edición:
Tienes un buen carajal montado con el firewall y los settings del bridge. Te recomendaría rehacerlo desde la configuración por defecto, todo en un mismo bridge (hasta que no deshabilites la vlan por defecto vas a seguir teniendo acceso al equipo), ya que no es necesario separarlo en dos. Usando la config por defecto, todas las vlans se comunican entre sí, y eres tú el que ha de impedir esa comunicación vía firewall.

Además de esto, si ese equipo va a ir montado en una empresa, te recomendaría que le dieras una pensada al setup. Si te fijas en su ficha técnica, ese equipo tiene un hardware donde todos los puertos ethernet van con línea directa a la cpu, sin pasar por un switch chip. Eso quiere decir que es un equipo pensado para routing, no para switching. Si es para andar por casa no vas a notar mucha diferencia, pero si de verdad quieres que ese equipo haga el desempeño idóneo para el que lo construyeron, monta un switch estionable debajo y que el sea el switch el que se encargue de las vlans. Tú únicamente las definirías todas en un puerto ethernet, sin más bridge ni más nada, y las direccionarías y configurarías su comunicación en L3 vía firewall. Y el switch que haga switching, y el router que haga routing.

Saludos!
 
pokoyo dijo:
Tienes un buen carajal montado con el firewall y los settings del bridge. Te recomendaría rehacerlo desde la configuración por defecto, todo en un mismo bridge (hasta que no deshabilites la vlan por defecto vas a seguir teniendo acceso al equipo), ya que no es necesario separarlo en dos. Usando la config por defecto, todas las vlans se comunican entre sí, y eres tú el que ha de impedir esa comunicación vía firewall.

Además de esto, si ese equipo va a ir montado en una empresa, te recomendaría que le dieras una pensada al setup. Si te fijas en su ficha técnica, ese equipo tiene un hardware donde todos los puertos ethernet van con línea directa a la cpu, sin pasar por un switch chip. Eso quiere decir que es un equipo pensado para routing, no para switching. Si es para andar por casa no vas a notar mucha diferencia, pero si de verdad quieres que ese equipo haga el desempeño idóneo para el que lo construyeron, monta un switch estionable debajo y que el sea el switch el que se encargue de las vlans. Tú únicamente las definirías todas en un puerto ethernet, sin más bridge ni más nada, y las direccionarías y configurarías su comunicación en L3 vía firewall. Y el switch que haga switching, y el router que haga routing.

Saludos!
Haz clic para expandir...
Buenas, lo primero darte las gracias por contestar. Analizando lo que comentas, tiene toda la lógica que las VLANS desde un inicio estén conectadas y posteriormente tu seas quien vía firewall impidas esa comunicación (anteriormente he realizado algunas simulaciones con Cisco Packet Tracert y claro, en esa marca cuando creas las VLANS desde un inicio no están interconectadas y necesitas del /ip routing, de ahí la duda que tenía).
Tengo un TP-Link T1600G-28TS que quizás podría realizar la función de switch y gestionar correctamente las VLANS. ¿Tú que opinas, es viable? Sino entiendo mal sería un enlace Trunk desde el mikrotik hacía el Tp-Link, para que él fuera el que asignara las VLANS a los puertos ethernet.

Sobre el mikrotik, para hacerlo bien. Me podrías indicar como poner la configuración por defecto. Así empiezo creando ya el bridge-vlans desde 0 y lo llevo sin errores.
 
joaquin23 dijo:
Buenas, lo primero darte las gracias por contestar. Analizando lo que comentas, tiene toda la lógica que las VLANS desde un inicio estén conectadas y posteriormente tu seas quien vía firewall impidas esa comunicación (anteriormente he realizado algunas simulaciones con Cisco Packet Tracert y claro, en esa marca cuando creas las VLANS desde un inicio no están interconectadas y necesitas del /ip routing, de ahí la duda que tenía).
Tengo un TP-Link T1600G-28TS que quizás podría realizar la función de switch y gestionar correctamente las VLANS. ¿Tú que opinas, es viable? Sino entiendo mal sería un enlace Trunk desde el mikrotik hacía el Tp-Link, para que él fuera el que asignara las VLANS a los puertos ethernet.

Sobre el mikrotik, para hacerlo bien. Me podrías indicar como poner la configuración por defecto. Así empiezo creando ya el bridge-vlans desde 0 y lo llevo sin errores.
Haz clic para expandir...
Correcto. La implementación buena en tu equipo es poner todas las vlans en un puerto físico TRUNK, y pasarlas al swtich. Direccionas en IP -> address esas VLANs y las incomunicas como quieras en el firewall (en capa 2, en el switch, ya lo están, pero están comunicadas entre sí a nivel de router por defecto). Y sí, puedes usar perfectamente ese switch para el manejo de vlans: un puerto trunk y el resto de acceso de las VLANs que necesites.

La putada es que tu equipo, al ser gama profesional, creo que no lleva script de auto-configuración. Es decir que, si haces lo que te comenta @controlC, no vas a ver mucha config. Abajo te pongo cómo sería un export de una config por defecto.

No obstante, te dejo un enlace que te explica cómo montar VLANs en un equipo de tu ramo, de manera manual y mucho más restrictiva: https://forum.mikrotik.com/viewtopic.php?p=781603

Un ejemplo de config por defecto podría ser esta, para un router de 5 puertos:
Código: 
/interface bridge
add comment=defconf name=bridge
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
/ip dhcp-client
add comment=defconf interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=\
    192.168.88.1 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/system clock
set time-zone-name=Europe/London
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN


Y un ejemplo de vlans, sobre la config por defecto, usando bridge vlan filtering, sería este:
Código: 
# Creamos el cliente PPPoE que nos debe der IP pública
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=internet user=\
    adslppp@telefonicanetpa password=adslppp

# Reemplazamos ether1 en la lista WAN por la nueva interfaz internet
# Así mismo, borramos el cliente DHCP por defecto de ether1
/interface list member
set [find where interface=ether1 and list=WAN] interface=internet

# Creamos las VLANs internas
/interface vlan
add interface=bridge name=vlan-home vlan-id=77
add interface=bridge name=vlan-domotica vlan-id=78
add interface=bridge name=vlan-invitados vlan-id=79

# Las direccionamos
/ip address
add address=192.168.77.1/24 interface=vlan-home
add address=192.168.78.1/24 interface=vlan-domotica
add address=192.168.79.1/24 interface=vlan-invitados

# Creamos los pools para las vlans
/ip pool
add name=dhcp-home ranges=192.168.77.10-192.168.77.254
add name=dhcp-domotica ranges=192.168.78.10-192.168.78.254
add name=dhcp-invitados ranges=192.168.79.10-192.168.79.254

# Cremos los servidores DHCP
/ip dhcp-server
add address-pool=dhcp-home interface=vlan-home name=dhcp-home
add address-pool=dhcp-domotica interface=vlan-domotica name=dhcp-domotica
add address-pool=dhcp-invitados interface=vlan-invitados name=dhcp-invitados
/ip dhcp-server network
add address=192.168.77.0/24 comment=home dns-server=192.168.77.1 gateway=192.168.77.1
add address=192.168.78.0/24 comment=domotica dns-server=8.8.8.8,8.8.4.4 gateway=192.168.78.1
add address=192.168.79.0/24 comment=invitados dns-server=8.8.8.8,8.8.4.4 gateway=192.168.79.1

# Asignamos los puertos físicos del router a la vlan-home (si usas algo cableado en otra VLAN, dime)
/interface bridge port
set [find where interface=ether2] frame-types=admit-only-untagged-and-priority-tagged pvid=77
set [find where interface=ether3] frame-types=admit-only-untagged-and-priority-tagged pvid=77
set [find where interface=ether4] frame-types=admit-only-untagged-and-priority-tagged pvid=77
set [find where interface=ether5] frame-types=admit-only-untagged-and-priority-tagged pvid=77

# Creamos una nueva lista para las VLANS que van a estar aisladas.
/interface list
add name=ISOLATED

# Metemos cada vlan en su lista, la vlan-home en LAN, las otras dos en ISOLATED
/interface list member
add interface=vlan-home list=LAN
add interface=vlan-domotica list=ISOLATED
add interface=vlan-invitados list=ISOLATED

# Prohibimos de entrada que las vlans se comuniquen con nada más que internet (luego modificaremos esto)
/ip firewall filter
add action=reject chain=forward comment="vlans: can only access internet" in-interface-list=\
  ISOLATED out-interface-list=!WAN reject-with=icmp-network-unreachable

# Definimos la lista de VLANs en el bridge
/interface bridge vlan
add bridge=bridge comment=home tagged=bridge vlan-ids=77
add bridge=bridge comment=domotica tagged=bridge vlan-ids=78
add bridge=bridge comment=invitados tagged=bridge vlan-ids=79

# Y, por último, activamos el vlan filtering (a partir de ese momento, se acabó la subred .88)
/interface bridge
set 0 frame-types=admit-only-vlan-tagged vlan-filtering=yes

Saludos!
 
pokoyo dijo:
Correcto. La implementación buena en tu equipo es poner todas las vlans en un puerto físico TRUNK, y pasarlas al swtich. Direccionas en IP -> address esas VLANs y las incomunicas como quieras en el firewall (en capa 2, en el switch, ya lo están, pero están comunicadas entre sí a nivel de router por defecto). Y sí, puedes usar perfectamente ese switch para el manejo de vlans: un puerto trunk y el resto de acceso de las VLANs que necesites.

La putada es que tu equipo, al ser gama profesional, creo que no lleva script de auto-configuración. Es decir que, si haces lo que te comenta @controlC, no vas a ver mucha config. Abajo te pongo cómo sería un export de una config por defecto.

No obstante, te dejo un enlace que te explica cómo montar VLANs en un equipo de tu ramo, de manera manual y mucho más restrictiva: https://forum.mikrotik.com/viewtopic.php?p=781603

Un ejemplo de config por defecto podría ser esta, para un router de 5 puertos:
Código: 
/interface bridge
add comment=defconf name=bridge
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
/ip dhcp-client
add comment=defconf interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=\
    192.168.88.1 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/system clock
set time-zone-name=Europe/London
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN


Y un ejemplo de vlans, sobre la config por defecto, usando bridge vlan filtering, sería este:
Código: 
# Creamos el cliente PPPoE que nos debe der IP pública
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=internet user=\
    adslppp@telefonicanetpa password=adslppp

# Reemplazamos ether1 en la lista WAN por la nueva interfaz internet
# Así mismo, borramos el cliente DHCP por defecto de ether1
/interface list member
set [find where interface=ether1 and list=WAN] interface=internet

# Creamos las VLANs internas
/interface vlan
add interface=bridge name=vlan-home vlan-id=77
add interface=bridge name=vlan-domotica vlan-id=78
add interface=bridge name=vlan-invitados vlan-id=79

# Las direccionamos
/ip address
add address=192.168.77.1/24 interface=vlan-home
add address=192.168.78.1/24 interface=vlan-domotica
add address=192.168.79.1/24 interface=vlan-invitados

# Creamos los pools para las vlans
/ip pool
add name=dhcp-home ranges=192.168.77.10-192.168.77.254
add name=dhcp-domotica ranges=192.168.78.10-192.168.78.254
add name=dhcp-invitados ranges=192.168.79.10-192.168.79.254

# Cremos los servidores DHCP
/ip dhcp-server
add address-pool=dhcp-home interface=vlan-home name=dhcp-home
add address-pool=dhcp-domotica interface=vlan-domotica name=dhcp-domotica
add address-pool=dhcp-invitados interface=vlan-invitados name=dhcp-invitados
/ip dhcp-server network
add address=192.168.77.0/24 comment=home dns-server=192.168.77.1 gateway=192.168.77.1
add address=192.168.78.0/24 comment=domotica dns-server=8.8.8.8,8.8.4.4 gateway=192.168.78.1
add address=192.168.79.0/24 comment=invitados dns-server=8.8.8.8,8.8.4.4 gateway=192.168.79.1

# Asignamos los puertos físicos del router a la vlan-home (si usas algo cableado en otra VLAN, dime)
/interface bridge port
set [find where interface=ether2] frame-types=admit-only-untagged-and-priority-tagged pvid=77
set [find where interface=ether3] frame-types=admit-only-untagged-and-priority-tagged pvid=77
set [find where interface=ether4] frame-types=admit-only-untagged-and-priority-tagged pvid=77
set [find where interface=ether5] frame-types=admit-only-untagged-and-priority-tagged pvid=77

# Creamos una nueva lista para las VLANS que van a estar aisladas.
/interface list
add name=ISOLATED

# Metemos cada vlan en su lista, la vlan-home en LAN, las otras dos en ISOLATED
/interface list member
add interface=vlan-home list=LAN
add interface=vlan-domotica list=ISOLATED
add interface=vlan-invitados list=ISOLATED

# Prohibimos de entrada que las vlans se comuniquen con nada más que internet (luego modificaremos esto)
/ip firewall filter
add action=reject chain=forward comment="vlans: can only access internet" in-interface-list=\
  ISOLATED out-interface-list=!WAN reject-with=icmp-network-unreachable

# Definimos la lista de VLANs en el bridge
/interface bridge vlan
add bridge=bridge comment=home tagged=bridge vlan-ids=77
add bridge=bridge comment=domotica tagged=bridge vlan-ids=78
add bridge=bridge comment=invitados tagged=bridge vlan-ids=79

# Y, por último, activamos el vlan filtering (a partir de ese momento, se acabó la subred .88)
/interface bridge
set 0 frame-types=admit-only-vlan-tagged vlan-filtering=yes

Saludos!
Haz clic para expandir...
Okay, pues le doy un vistazo tranquilamente y en cuanto tenga un rato me pondré a ello. Con toda la información que has mandado me veo más capaz de ponerlo a funcionar jajaja. Ya iré actualizando con lo que surga :)

Un saludo.
 
Buenas de nuevo, al fin he tenido tiempo de poder dedicarle un buen rato a probar lo que me comentaste. A partir del link https://forum.mikrotik.com/viewtopic.php?p=781603 realicé la siguiente configuración que dejo al final del post.

He dejado el puerto 2 como trunk para que así proporcione las vlans al switch gestionable, el problema que tengo tras realizar bastantes pruebas es que no tengo conexión a internet cuando estoy conectado a una vlan pero si puedo gestionar el router. Como se puede ver en la configuración se que tengo que borrar el bridge llamado bridge, lo que si he probado sin éxito ha sido mover el puerto llamado "internet" junto con su vlan 100 (que es la que proporciona internet al router mediante el cliente pppoe) al bridge denominado "VLAN_BRIDGE".

Ante todo, muchas gracias de antemano.

Un saludo.

# dec/14/2022 17:41:05 by RouterOS 7.4.1
# software id = ZZZXXX
#
# model = CCR1009-7G-1C-1S+
# serial number = XXXX
/interface bridge
add dhcp-snooping=yes igmp-snooping=yes name=VLAN_BRIDGE vlan-filtering=yes
add comment="-- BRIDGE INTERFACES --" dhcp-snooping=yes igmp-snooping=yes \
name=bridge priority=0x9000
/interface ethernet
set [ find default-name=ether6 ] comment="-- TELEFON\CDA IP --" name=\
SIP_ether6 speed=100Mbps
set [ find default-name=ether5 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full name=\
WIFI_ether5 speed=100Mbps
set [ find default-name=ether3 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full name=\
ether3
set [ find default-name=ether1 ] comment="-- ENTRADA WAN INTERNET --" \
mac-address=x.x.x.x name=internet speed=100Mbps
set [ find default-name=ether4 ] advertise=1000M-half,1000M-full name=\
servidor_ether4 speed=1000Mbps
set [ find default-name=sfp-sfpplus1 ] advertise=10000M-full
set [ find default-name=ether7 ] comment="-- SWITCH --" name=switch_ether7 \
speed=1000Mbps
set [ find default-name=ether2 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full comment=\
"-- TRUNK PORT --" name=trunk_ether2
/interface vlan
add interface=VLAN_BRIDGE name=BASE_VLAN vlan-id=99
add interface=VLAN_BRIDGE name=vlan-camaras vlan-id=80
add interface=VLAN_BRIDGE name=vlan-domotica vlan-id=79
add interface=VLAN_BRIDGE name=vlan-home vlan-id=77
add interface=VLAN_BRIDGE name=vlan-servidores vlan-id=78
add interface=internet name=vlan100 vlan-id=100
/interface pppoe-client
add add-default-route=yes comment="-- PPPoe Client --" disabled=no interface=\
vlan100 name=pppoe-out1 user=XXXXXXX@vodafone
/interface list
add name=WAN
add name=LAN
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec proposal
set [ find default=yes ] disabled=yes
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
add name=dhcp ranges=0.0.0.1-0.0.0.254
add name=dhcp_pool ranges=192.168.1.30-192.168.1.254
add name=dhcp-home ranges=172.16.0.2-172.16.0.62
add name=dhcp-servidores ranges=172.16.0.65-172.16.0.126
add name=dhcp-domotica ranges=172.16.0.129-172.16.0.190
add name=dhcp-camaras ranges=172.16.0.197-172.16.0.206
/ip dhcp-server
add address-pool=dhcp_pool interface=bridge name=dhcp1
add address-pool=dhcp-home interface=vlan-home name=dhcp-home
add address-pool=dhcp-servidores interface=vlan-servidores name=\
dhcp-servidores
add address-pool=dhcp-domotica interface=vlan-domotica name=dhcp-domotica
add address-pool=dhcp-camaras interface=vlan-camaras name=dhcp-camaras
/port
set 0 name=serial0
set 1 name=serial1
/routing bgp template
set default disabled=no output.network=bgp-networks
/routing ospf instance
add disabled=no name=default-v2
/routing ospf area
add disabled=yes instance=default-v2 name=backbone-v2
/snmp community
set [ find default=yes ] name=publicHA
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
sword,web,sniff,sensitive,api,romon,dude,rest-api"
/interface bridge port
add bridge=VLAN_BRIDGE frame-types=admit-only-vlan-tagged interface=\
trunk_ether2
add bridge=bridge ingress-filtering=no interface=servidor_ether4
add bridge=bridge ingress-filtering=no interface=WIFI_ether5
add bridge=bridge ingress-filtering=no interface=SIP_ether6
add bridge=bridge ingress-filtering=no interface=switch_ether7
add bridge=bridge ingress-filtering=no interface=sfp-sfpplus1
add bridge=bridge ingress-filtering=no interface=combo1
add bridge=bridge ingress-filtering=no interface=ether3
add bridge=bridge ingress-filtering=no interface=internet
/interface bridge settings
set use-ip-firewall=yes use-ip-firewall-for-vlan=yes
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/ip settings
set max-neighbor-entries=8192 tcp-syncookies=yes
/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192
/interface bridge vlan
add bridge=VLAN_BRIDGE comment=home tagged=VLAN_BRIDGE,trunk_ether2 vlan-ids=\
77
add bridge=VLAN_BRIDGE comment=servidores tagged=VLAN_BRIDGE,trunk_ether2 \
vlan-ids=78
add bridge=VLAN_BRIDGE comment=domotica tagged=VLAN_BRIDGE,trunk_ether2 \
vlan-ids=79
add bridge=VLAN_BRIDGE comment=camaras tagged=VLAN_BRIDGE,trunk_ether2 \
vlan-ids=80
/interface l2tp-server server
set enabled=yes use-ipsec=yes
/interface list member
add interface=internet list=WAN
add interface=trunk_ether2 list=LAN
add interface=switch_ether7 list=LAN
add interface=sfp-sfpplus1 list=LAN
add interface=combo1 list=LAN
add interface=bridge list=LAN
add interface=vlan100 list=WAN
add interface=pppoe-out1 list=WAN
add interface=vlan-home list=LAN
add interface=vlan-servidores list=LAN
add interface=vlan-domotica list=LAN
add interface=vlan-camaras list=LAN
add interface=BASE_VLAN list=LAN
add interface=VLAN_BRIDGE list=LAN
/interface ovpn-server server
set auth=sha1,md5
/ip address
add address=192.168.1.1/24 interface=bridge network=192.168.1.0
add address=172.16.0.0/26 interface=vlan-home network=172.16.0.0
add address=172.16.0.64/26 interface=vlan-servidores network=172.16.0.64
add address=172.16.0.128/26 interface=vlan-domotica network=172.16.0.128
add address=172.16.0.192/28 interface=vlan-camaras network=172.16.0.192
/ip dhcp-server lease
add address=192.168.1.94 client-id=1:e4:5f:1:5:7f:cd mac-address=\
E4:5F:01:05:7F:CD server=dhcp1
/ip dhcp-server network
add address=172.16.0.0/26 comment=home dns-server=1.1.1.1 gateway=172.16.0.1 \
netmask=26
add address=172.16.0.64/26 comment=servidores dns-server=1.1.1.1 gateway=\
172.16.0.64
add address=172.16.0.128/26 comment=domotica dns-server=1.1.1.1 gateway=\
172.16.0.128
add address=172.16.0.192/28 comment=camaras dns-server=1.1.1.1 gateway=\
172.16.0.192
add address=192.168.1.0/24 dns-server=192.168.1.1,1.1.1.1 gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,8.8.4.4
/ip firewall address-list
add address=192.168.1.0/24 list="Red Lan"
/ip firewall filter
add action=drop chain=input dst-port=53 in-interface-list=WAN protocol=tcp
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="Allow Base_Vlan Full Access" disabled=\
yes in-interface=BASE_VLAN
add action=accept chain=forward comment="VLan internet" connection-state=new \
disabled=yes in-interface-list=LAN out-interface-list=WAN
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
disabled=yes ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
disabled=yes ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
add action=accept chain=srcnat comment=nateo-lan-to-wan dst-address=\
x.x.x.x ipsec-policy=out,none src-address=192.168.1.0/24
/ip firewall nat
add action=masquerade chain=srcnat comment="HAIRPIN NAT" dst-address=\
192.168.1.0/24 src-address=192.168.1.0/24
add action=masquerade chain=srcnat comment="-- General --" out-interface=\
pppoe-out1
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
/ip ipsec policy
set 0 disabled=yes
/ip route
add disabled=yes distance=1 dst-address=192.168.1.0/32 gateway=trunk_ether2 \
pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
target-scope=10
add disabled=yes dst-address=0.0.0.0/0 gateway=100.70.0.1
add disabled=yes dst-address=0.0.0.0/0 gateway=192.168.1.1
/ip service
set telnet disabled=yes
set ftp address=192.168.1.102/32 disabled=yes port=860
set www address=192.168.1.49/32 port=8093
set ssh disabled=yes
set www-ssl certificate=*1
set api disabled=yes
set winbox address=192.168.1.3/32,192.168.1.4/32,192.168.1.0/24 disabled=yes \
port=14581
set api-ssl certificate=DigiCertGlobalRootCA.crt.pem_0 disabled=yes
/ip ssh
set forwarding-enabled=remote
/ip upnp
set show-dummy-rule=no
/lcd
set backlight-timeout=5m color-scheme=dark default-screen=interfaces \
time-interval=daily
/lcd pin
set hide-pin-number=yes pin-number=xxx
/ppp secret
add disabled=yes name=xxx profile=*1 service=l2tp
/system clock
set time-zone-name=Europe/Madrid
/system routerboard settings
set silent-boot=yes
/tool bandwidth-server
set enabled=no
/tool graphing queue
add
/tool graphing resource
add
Haz clic para expandir...
 
Tiene un chocho de configuración importante. Te recomendaría arrancar desde cero con un setup limpio, preferentemente con la config por defecto y, primero de todo, plasmar en un papel como quieres que quede tu red, incluyendo todos los elementos que la componen.

Hecho esto, decide qué función va a tener el CCR en la red: si va a ser únicamente router y sus puertos son independientes, no necesitas si quiera usar vlan filtering: todo taggeado al puerto concreto que te une al switch, y el setup de vlans lo mueves al switch. Si además de ello quieres aprovechar parte de sus puertos como si de un switch se tratase, entonces sí nos movemos al setup de vlan filtering, usando un bridge.

Ahora mismo tienes un galimatías. Filtras VLANs, pero no tiene ningún puerto de acceso, así que es normal que no navegues ni hagas nada desde una VLAN. Todo lo que tienes montado es un trunk a ether2.

Lo dicho, replantéalo primero en papel y, cuando lo tengas claro, dehechamos eso que tienes y lo hacemos bien.

Saludos!
 
Según lo que me has comentado lo he estado replanteando, lo que busco es que el CCR sea únicamente router gestionando las vlans y que el puerto ether2 actúe de trunk hacía el switch gestionable.

Si no he entendido mal, ¿ tu te refieres con la frase "El setup de las vlans lo mueves al switch" a que el switch sea quien gestiona las vlans y no el router?

Muchas gracias por la ayuda.


1671277386025.png
 
Eso eso. En el caso que pintas, no hay bridge en el router. Hay un puerto con muchas vlans encima, cada una de ellas diereccionada individualmente (con su pool, su dhcp-server, su IP, etc). En el switch, el puerto que te une al router sería trunk de todas las vlans, y luego defines cada puerto como trunk/acceso, dependiendo de las vlans que lleve. Por ejemplo, si es un puerto que te une a un AP, y quieres mandarle un par de las N vlans que definas, ese puerto sería trunk también. Y si es un puerto al que conecta un equipo final de una vlan concreta, sería un puerto de acceso. En este supuesto, como cada puerto del router es independiente, no hay ni bridge ni vlan filtering que valga.

Saludos!
 
Vale, de acuerdo. Entonces no tendría que tener bridge y para asignar que todas las vlans "cuelguen" sobre el puerto ether2 y actúe como trunk ¿sería algo de este estilo?

1671406970960.png
 
joaquin23 dijo:
Vale, de acuerdo. Entonces no tendría que tener bridge y para asignar que todas las vlans "cuelguen" sobre el puerto ether2 y actúe como trunk ¿sería algo de este estilo?

Ver el adjunto 102210
Haz clic para expandir...
Justo así. Simplemente, asegúrate de que ese puerto no pertenezca a ningún bridge, dentro de ese equipo. El bridge (y por tanto el vlan filtering) lo tendrías sí, por ejemplo, quisieras que más de un puerto del bridge se comportase igual. Por ejemplo, si quisieras que a ether3 le llegase la vlan-camaras en modo acceso.
Pero, si todas las bocas del router son independientes y no se comportan como un switch, el bridge y su filtrado de vlans sobra.

Te paso un enlace del foro oficial donde se muestran varias configuraciones con VLANs, escoge la que mejor se adapte a ti.

Saludos!
 
Le volveré a dar un vistazo al link que has pasado para ver si lo dejo ya funcionando. Muchas gracias por la ayuda.

@pokoyo una ayudita :)

Edit: se me asigna bien la ip del dhcp a través del switch con una vlan en modo acceso pero no me da internet, ni sacando el puerto ether2_trunk del bridge, quizás está mal el tagged en el switch?

En la foto lo que se pretende es que en el puerto 2 viene el cable trunk que está al mikrotik y en el puerto 15 probar que asigne la vlan 77 (para que la use)

1671484826830.png

Un saludo.
 
Última edición:
Debes estar conectado o registrado para responder aquí.

Similar threads

E
Cerbot renovación
Respuestas
2
Visitas
373
pokoyo
leptismame
configurar Digi 10 g - RB4011
Respuestas
6
Visitas
512
leptismame
G
Home Assistant, DuckDNS y Mikrotik ¿un problema?
Respuestas
9
Visitas
1,064
generalpirata
P
Problemas Vodafone TV NEBA
Respuestas
3
Visitas
392
PaNg
R
VLANS Problema
Respuestas
6
Visitas
688
Rey68
Arriba