¿Que topología de red hacer?

Saludos a todos.

Tiempo atrás empecé a configurar mi nuevo router Mikrotik 4011, y aunque no termina de estar todo correcto, debido a que no me he podido dedicarle mucho tiempo y a que la red funciona medianamente bien (si vuelvo a dejar sin Internet a la familia como hice con las pruebas anteriores me tiran de casa), lo dejé estar.
Ahora que en el trabajo nos vuelven a dar más días de descanso y en los próximos meses tendré algo más de tiempo, me gustaría termina de configurar todo.

Antes de seguir quisiera saber cual es la mejor topología de red para lo que quiero hacer, ya que este tiempo sin tocar nada he estado reflexionando y pienso que si esto está mal diseñado desde el principio, mejor corregirlo antes de seguir.

Mi idea es separar la red en varias Vlan, de forma que no se puedan ver algunos equipos entre ellos (como los dispositivos de la red WiFi de invitados, etc.).
Por la información que me dio Pokoyo, ya he renombrado las Vlan de 1, 2, 3 a 101, 102 y 103.
Dispongo de un AP, que genera tres Vlan (en realidad cuatro ya que tengo una para pruebas, aunque ahora no está operativa).

Para que se entienda mejor he hecho un esquema aproximado de lo que hay ahora:


pruebas.vpd.jpg


Resumiendo, lo que quiero es una red general en la que hay una impresora con una IP fija, a la que se tienen que conectar algunos equipos (la PS4 está en esta red puesto que el switch es el mismo que uno de los ordenadores que se conecta a ella), tanto por wifi como por cable.
Ahora esta red no está como Vlan (creo que esto no es correcto) y tiene el rango 192.168.21.xxx.

Luego hay otra red con Vlan del rango 192.168.102.xxx, para temas de cacharreo, donde quiero conectar una Raspberry pi y varios equipos tipo Arduino.
De momento los clientes wifi si que se conectan y se les asigna una IP del rango 102, pero no se a que puerto ethernet tengo que conectar la Raspberry (vamos, si tendría que estar en el bridge o no ¿?).

En la red de invitados se conectaría el teléfono del chaval (que se instala todo lo que ve sin mirar nada), así como el resto de invitados y tendría el rango 192.168.103.xxx.

La Vlan 4 la tengo para usarla de vez en cuando, para hacer pruebas y no interferir en lo que hay y tendría el rango 192.168.104.xxx.

Por último en el puerto ether 9, hay otro switch, donde se conecta la TV y un Android TV, que quiero que estén separados del resto de la red y lo mismo quisiera hacer en el futuro con el ether 10.

No se la causa, pero conforme está ahora configurado todas las redes están unidas entre si, a pesar de estar activado el filtro Vlan, cosa que quisiera arreglar.

Comentar que menos el router Mikrotik y el punto de acceso (de la marca Cisco y comprado en el Walapop), el resto de equipos switch, etc. son de uso domestico.

Esta es la configuración actual:

----------------------------------------------------------------------------------------------------------------------------------------------

# oct/24/2021 10:57:59 by RouterOS 6.48.4
# software id = 644C-56Z6
#
# model = RB4011iGS+
# serial number = F02000000000
/interface bridge
add admin-mac=2C:C8:1B:B0:53:D2 auto-mac=no comment=defconf name=bridge \
vlan-filtering=yes
/interface vlan
add disabled=yes interface=ether4 name=vlan1 vlan-id=101
add interface=ether4 name=vlan2 vlan-id=102
add interface=ether4 name=vlan3 vlan-id=103
add interface=ether4 name=vlan4 vlan-id=104
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_Bridge ranges=192.168.21.10-192.168.21.254
add name=dhcp_pool_102 ranges=192.168.102.2-192.168.102.254
add name=dhcp_pool_103 ranges=192.168.103.2-192.168.103.254
add name=dhcp_pool_104 ranges=192.168.104.2-192.168.104.254
add name=dhcp_pool_9 ranges=192.168.9.2-192.168.9.6
add name=dhcp_pool_10 ranges=192.168.10.2-192.168.10.6
add name=dhcp_pool_101 ranges=192.168.101.2-192.168.101.254
/ip dhcp-server
add address-pool=dhcp_Bridge disabled=no interface=bridge name=dhcp_bridge
add address-pool=dhcp_pool_102 disabled=no interface=vlan2 name=dhcp_102
add address-pool=dhcp_pool_103 disabled=no interface=vlan3 name=dhcp_103
add address-pool=dhcp_pool_104 disabled=no interface=vlan4 name=dhcp_104
add address-pool=dhcp_pool_9 disabled=no interface=ether9 name=dhcp9
add address-pool=dhcp_pool_10 disabled=no interface=ether10 name=dhcp10
add address-pool=dhcp_pool_101 interface=vlan1 name=dhcp_101
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.21.1/24 comment=defconf interface=bridge network=\
192.168.21.0
add address=192.168.102.1/24 interface=vlan2 network=192.168.102.0
add address=192.168.103.1/24 interface=vlan3 network=192.168.103.0
add address=192.168.104.1/24 interface=vlan4 network=192.168.104.0
add address=192.168.9.1/29 interface=ether9 network=192.168.9.0
add address=192.168.10.1/29 interface=ether10 network=192.168.10.0
add address=192.168.101.1/24 disabled=yes interface=vlan1 network=\
192.168.101.0
/ip dhcp-client
add comment=defconf disabled=no interface=ether1
/ip dhcp-server lease
add address=192.168.21.71 client-id=1:0:80:92:bb:db:83 mac-address=\
00:80:92:BB:DB:83 server=dhcp_bridge
add address=192.168.21.3 client-id=1:54:a2:74:12:c7:18 mac-address=\
54:A2:74:12:C7:18 server=dhcp_bridge
/ip dhcp-server network
add address=192.168.9.0/29 dns-server=1.1.1.1,9.9.9.9 gateway=192.168.9.1
add address=192.168.10.0/29 dns-server=1.1.1.1,9.9.9.9 gateway=192.168.10.1
add address=192.168.21.0/24 comment=defconf dns-server=1.1.1.1,9.9.9.9 \
gateway=192.168.21.1 netmask=24
add address=192.168.101.0/24 dns-server=1.1.1.1,9.9.9.9 gateway=192.168.101.1
add address=192.168.102.0/24 dns-server=1.1.1.1,9.9.9.9 gateway=192.168.102.1
add address=192.168.103.0/24 dns-server=1.1.1.1,9.9.9.9 gateway=192.168.103.1
add address=192.168.104.0/24 dns-server=1.1.1.1,9.9.9.9 gateway=192.168.104.1
/ip dns
set servers=1.1.1.1,9.9.9.9
/ip dns static
add address=192.168.21.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
/system clock
set time-zone-name=Europe/Madrid
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

----------------------------------------------------------------------------------------------------------------------------------------------

Se ha realizado como me indicó Pokoyo, empezando con la configuración básica y luego ir añadiendo el resto.

Os agradecería me indicarais si esta topología de red es correcta, y que habría que modificar para separar las redes.
Más adelante ya miraría como solucionar el tema de la Raspberri pi.

Saludos.
 
Buenas @Capa8,

La idea que tienes es buena, pero está mal implementada. Lo primero que te tienes que plantear es si necesitas toda esa segmentación o no. Dado que no estás trabajando con switches administrables que soporten vlans, los puertos que conectan con los switches van a tener que ser siempre puertos de acceso, y una vez una vlan llegue untagged a ese switch, sólo ese segmento de red se propagará allí. No sé si es lo que buscas / te interesa. Quizá con montar una wifi de invitados y llevarte todo el tráfico no deseable allí, es más que suficiente.

No obstante, como el 4011 tiene un cerro de puertos, nos podemos llevar allí el setup de las vlans. Vamos a ello

Teniendo esto claro, podemos montar:
VLAN IDSegmento de redPropósitoTagged (trunk)Untagged (acceso)
1 (default vlan)192.168.21.1/24LAN principal-ether2-ether7, ether10
101192.168.101.1/24Servers (pi, etc)bridge, ether10ether8
102192.168.102.1/24Cacharreobridge, ether10ether9
103192.168.103.1/24Invitadosbridge, ether10-

Es decir, conectarías:
  • Ether10: el AP. Mandarías todas las vlans en modo trunk + la vlan por defecto para la red LAN en modo acceso (puerto híbrido)
  • Ether9: Conectarías en modo acceso lo que tienes ahora mismo, el switch que va para la TV y el Android TV
  • Ether8: Conectarías en modo acceso la raspberry pi, que quedaría aislada con únicamente salida a internet (no sé si es eso lo que buscas)

Si partes de un reset con el router vacío, pasas por el quick set y montas la red principal en la 192.168.21.1/24, te quedaría por montar a mano (bien vía comandos, bien desde el winbox)

Dar de alta todas las VLANs, asignadas todas al bridge, que contendrá por defecto todos los puertos del 2 al 10:
Código:
/interface vlan
add interface=bridge name=vlan-servers vlan-id=101
add interface=bridge name=vlan-cachareo vlan-id=102
add interface=bridge name=vlan-invitados vlan-id=102

Asignar los segmentos de red a las VLANs
Código:
/ip address
add address=192.168.101.1/24 interface=vlan-servers
add address=192.168.102.1/24 interface=vlan-cacharreo
add address=192.168.103.1/24 interface=vlan-invitados

Crear los pools y servidores DHCP para dichos nuevos segmentos de red
Código:
#Pools
/ip pool
add name=pool-servers ranges=192.168.101.2-192.168.101.254
add name=pool-cacharreo ranges=192.168.102.2-192.168.102.254
add name=pool-invitados ranges=192.168.103.2-192.168.103.254

#Servidores DHCP
/ip dhcp-server
add address-pool=pool-servers interface=vlan-servers name=dhcp-servers
add address-pool=pool-cacharreo interface=vlan-cacharreo name=dhcp-cacharreo
add address-pool=pool-invitados interface=vlan-invitados name=dhcp-invitados
/ip dhcp-server network
add address=192.168.101.0/24 dns-server=1.1.1.1,9.9.9.9 gateway=192.168.101.1
add address=192.168.102.0/24 dns-server=1.1.1.1,9.9.9.9 gateway=192.168.102.1
add address=192.168.103.0/24 dns-server=1.1.1.1,9.9.9.9 gateway=192.168.103.1

Ahora, aplicamos esas VLANs en el bridge, acorde a la tabla que hemos diseñado.
Código:
# Creamos las interfaces taggeadas, en la tabla de vlans
/interface bridge vlan
add bridge=bridge tagged=bridge,ether10 vlan-ids=101
add bridge=bridge tagged=bridge,ether10 vlan-ids=102
add bridge=bridge tagged=bridge,ether10 vlan-ids=103

# Modificamos los puertos que van a ser de acceso, poniendo su PVID correspondiente a la vlan a la que quieren acceder
/interface bridge port
set [find where interface=ether8] pvid=101
set [find where interface=ether9] pvid=102

Ahora creamos una lista de interfaces, y metemos las vlans que queramos aislar de nuestra red principal. Consideramos que vamos a querer comunicación entre nuestra red principal y la "vlan-servers", pero que las otras dos las vamos a aislar, y sólo vamos a dejarles que salgan a internet.
Código:
/interface list
add name=dirty-vlans
/interface list member
add interface=vlan-cacharreo list=dirty-vlans
add interface=vlan-invitados list=dirty-vlans

Añadimos una regla en el firewall que limite que esas vlans sólo salgan a internet. Recordemos que, aunque tratándose de VLANs, estamos en un router y no en un switch, y mirkrotik enruta (comunica) por defecto todas las vlans, es decir, por definición, tienen s ven entre sí a nivel de capa 3, aunque no lo hagan en capa 2.
Código:
/ip firewall filter
add action=drop chain=forward comment="dirty-vlans only access internet" \
    out-interface-list=!WAN in-interface-list=dirty-vlans

Y, por último, activamos el bridge-vlan-filtering en el bridge principal
Código:
/interface bridge
set 0 vlan-filtering=yes

Con esto y un bizcocho, si todo ha ido como debe, los puertos ether2-ether7 entregarán tu lan por defecto, en ether8 se entregará una red para servidores en la 192.168.101.0/24, igual en ether9 para cacharreo, donde se entregaría un segmento de red 192.168.102.0/24, y al AP le llegarían todas las VLANs para que las configures en él como desees en ether10 (recuerda taggear en el AP la red de invitados a la vlan 103). Las vlans 102 y 103 estarían aisladas del resto, y sólo tendrían salida a internet.

Antes de montar todo esto, te recomendaría actualizar tu equipo a la v7 (actualmente RouterOS 7.1rc4) en la rama development. No suelo recomendarlo, pero entre que ya está en release candidate y que en ese equipo gana una barbaridad de rendimiento con esta versión, además de que es compatible el modo r-stp del brige, el hardware offloading y el manejo de vlans, vas a ganar mucho comparado con el riesgo que corres actualizando. Así que creo que merece la pena.

Si quieres más referencias, te recomiendo un par de lecturas:

Saludos!
 
Última edición:
Agradecerte de nuevo tu ayuda Pokoyo.
De hecho, lo que tengo funcionando ahora es gracias a tus anteriores indicaciones.

Tomo nota de todo lo que me dices y mañana que no trabajo (cuando esté yo sólo en casa) empiezo a cambiarlo.

Si que me gustaría añadir algún switch más potente y separar algunos equipos de cable de la red principal, pero por ahora no quiero realizar más inversiones en esto.

Lo de montar tres redes, es por no juntar el tema del cacharreo (sensores, actuadores), con la red de invitados, ya que aunque no tengo conectadas las centrifugadoras de uranio a esta red ;) pienso que las cuatro bombillas que tengo, están mejor así, en una red aislada del resto.

Conectaré las conexiones ethernet siguiendo tu esquema y con un antiguo ordenador que tiene Windows (ahora utilizo uno que venía sin S.O. y le puse Linux), mediante WinBox, que me permite copiar y pegar tu información (desde el terminal de webfig no me deja pegar lo que tengo seleccionado con control C) iré implementando todo.

Entiendo que para que los dispositivos de cacharreo (que normalmente se conectarán por wifi), lleguen a la Raspberry, también tengo que taggear la Vlan 102 en el AP, al igual que la red de invitados.

Lo que me faltaría es como conectar la TV y el Android TV (van desde un puerto del 4011 a un switch que hay en el mueble de la TV), para que también queden fuera de la vista del resto de equipos), pero por lo que me has indicado, pienso que podría crear otra Vlan y asignarla al ether7.

Ya veo el motivo por el que todas las redes están conectadas, y aunque en principio no entiendo todo lo que me has indicado puesto que mis conocimientos de redes son limitados, haré como otras veces, que tras configurar todo poco a poco voy entrando vía webfig a la configuración y lo voy asimilando.

Al principio del todo, no sabía ni como crear un servidor de DHCP, etc. etc., y aunque ahora tampoco es que sepa mucho más, ya voy teniendo claro muchos conceptos y creo que voy entendiendo como funcionan las cosas.

Gracias de nuevo Pokoyo.
 
Conectaré las conexiones ethernet siguiendo tu esquema y con un antiguo ordenador que tiene Windows (ahora utilizo uno que venía sin S.O. y le puse Linux), mediante WinBox, que me permite copiar y pegar tu información (desde el terminal de webfig no me deja pegar lo que tengo seleccionado con control C) iré implementando todo
Si tienes linux instala wine, que puedes correr winbox perfectamente. Además, mejor incluso, genera un par de claves ssh y sube la pública al router, que eso sí lo puedes hacer por webfig, y a partir de ahi tienes la terminal de linux para conectarte por ssh al Router y trastear todo lo que quieras.


Entiendo que para que los dispositivos de cacharreo (que normalmente se conectarán por wifi), lleguen a la Raspberry, también tengo que taggear la Vlan 102 en el AP, al igual que la red de invitados
No. La wifi ya lleva todo taggeado (mira ether10 en el bridge vlan, le llegan todas las vlans), lo que tendrías que hacer es una de dos: o meter una regla de firewall por delante de la que he creado yo que acepte ese tráfico explícitamente, o sacar la “vlan-cacharreo” de la lista “dirty-vlans”, para que se comunique con el resto de redes, en lugar de tener únicamente salida a internet.


Lo que me faltaría es como conectar la TV y el Android TV (van desde un puerto del 4011 a un switch que hay en el mueble de la TV), para que también queden fuera de la vista del resto de equipos), pero por lo que me has indicado, pienso que podría crear otra Vlan y asignarla al ether7.
A esos los he considerado “cacharreo” y van en esa vlan, que llega al puerto ether9 en modo acceso. Si no lo quieres así, se puede crear otra vlan, sólo para estos. Pero los puertos respétalos, porque sino hay que cambiar los PVID de los mismos.

Si te puedo ayudar en algo más, dime.

Saludos!
 
Hola Pokoyo.

Al final me han mandado hacer varios recados y la hora que es no me atrevo a ponerme a cambiar cosas, que enseguida sale el chaval del cole y no tiene Internet.

Viendo tu primera respuesta he preferido documentar todo de forma similar a como lo has puesto tu, y así, cuando se pinte o cualquier otra situación que se tenga que desconectar el Mikrotik, luego no habrá sorpresas por no dejar todo como estaba.

Por un lado el Ansia Viva me pide ponerme ya a toquitear, pero la cabeza me aconseja paciencia y hacerlo poco a poco y entendiendo lo que hago.

Aquí he puesto todo lo que intenté explicar en mi primer mensaje, pero más detallado:

1635154855275.png


1635154922145.png



pruebas.vpd.jpg



He añadido las Vlan de cada equipo, etc., y con el ejemplo y los enlaces que me has puesto, creo que podré hacerlo.

Ya he accedido al router por SSH y así ya tengo solucionado lo de pegar las ordenes que me has indicado y que no conocía.

Como en los próximos días no me podré poner con esto, aprovecho para terminar de asimilarlo y en cuanto me vuelvan a dar fiesta entre semana, ya lo modifico todo de golpe.

Saludos y muchas gracias.
 
Yo de ti simplificaría... mucho. No obstante, como cacharrear es gratis, tu tira, y a ver dónde te quedas.

De tu tabla, si la 108 y la 109 no las quieres llevar al AP, no las tagges en ether10, únicamente en el bridge. Y las entregarías untagged (con el PVID = número de vlan) en los puertos que consideres de acceso para dichas vlans.

Saludos!
 
Yo de ti simplificaría... mucho. No obstante, como cacharrear es gratis, tu tira, y a ver dónde te quedas.

De tu tabla, si la 108 y la 109 no las quieres llevar al AP, no las tagges en ether10, únicamente en el bridge. Y las entregarías untagged (con el PVID = número de vlan) en los puertos que consideres de acceso para dichas vlans.

Saludos!

Ahora que he tenido varios días libres por fin he podido realizar todas las indicaciones que me habías dado, y decirte que todo funciona perfectamente.

Podía haberme puesto antes pero he preferido hacerlo estos días que tengo más tiempo libre y he ido paso a paso (para entender lo que hace cada instrucción), y a la vez me he hecho unos apuntes comparando la configuración por WebFig con la línea de comandos.

Ahora ya me queda solamente algunos pequeños detalles, como ir asignando IPs estáticas a determinados elementos de la red y hacer un back-up de ello, etc., que voy haciendo poco a poco.


Comentar que la única duda que me queda es sobe el acceso entre redes, ya que he confirmado que desde las redes de la lista "dirty-vlans" no se puede acceder al resto de redes (ni entre ellas ni a la red principal), pero desde la red principal si que es posible acceder a cada una de las redes aisladas:

/ip firewall filter

add action=drop chain=forward comment="dirty-vlans only access internet" \ out-interface-list=!WAN in-interface-list=dirty-vlans

¿Se puede crear alguna otra regla para bloquear el acceso desde la red principal (pvid=1) al resto de redes dirty-vlans?.

El filtro que tu me habías indicado entiendo que viene a decir, que se bloquee todo el trafico que venga de la lista de redes "dirty-vlans", menos a la WAN, y entonces para hacer lo contrario sería algo parecido a esto :

add action=drop chain=forward comment="no access lan to dirty-vlans" \ out-interface-list=dirty-vlans interface-list=in-LAN

Saludos.
 
¿Se puede crear alguna otra regla para bloquear el acceso desde la red principal (pvid=1) al resto de redes dirty-vlans?.
Más sencillo, crea una vlan para tu red local y listo, deja el PVID=1 sin vlan para la administración del router y listo.

Ojo con meter varios filtros en las reglas que luego empiezan a hacer cosas "raras" si no tienes muy muy claro lo que hacen.

Saludos!
 
Más sencillo, crea una vlan para tu red local y listo, deja el PVID=1 sin vlan para la administración del router y listo.

Ojo con meter varios filtros en las reglas que luego empiezan a hacer cosas "raras" si no tienes muy muy claro lo que hacen.

Saludos!

Muchas gracias Pokoyo.

Era más que nada porqué de vez en cuando si que necesito acceder desde otra red a alguno de los equipos y así simplemente sería deshabilitar el filtro temporalmente.

Saludos.
 
Si lo quieres hacer como lo has planteado tú, es tan sencillo como darle la vuelta a la relga, y trabajar con IP's


Código:
# Crea una lista con todas las subredes de las VLANs
/ip firewall address-list
add address=192.168.102.0/24 list=dirty-vlans-ips
add address=192.168.103.0/24 list=dirty-vlans-ips
add address=192.168.104.0/24 list=dirty-vlans-ips
add address=192.168.108.0/24 list=dirty-vlans-ips
add address=192.168.109.0/24 list=dirty-vlans-ips

# Regla que impide la comunicación LAN -> VLANs
/ip firewall filter
add action=reject chain=forward comment="lan do not access vlans" \
reject-with=icmp-net-prohibited src-address=192.168.21.0/24 \
dst-address-list=dirty-vlans-ips

Saludos!
 
Si lo quieres hacer como lo has planteado tú, es tan sencillo como darle la vuelta a la relga, y trabajar con IP's


Código:
# Crea una lista con todas las subredes de las VLANs
/ip firewall address-list
add address=192.168.102.0/24 list=dirty-vlans-ips
add address=192.168.103.0/24 list=dirty-vlans-ips
add address=192.168.104.0/24 list=dirty-vlans-ips
add address=192.168.108.0/24 list=dirty-vlans-ips
add address=192.168.109.0/24 list=dirty-vlans-ips

# Regla que impide la comunicación LAN -> VLANs
/ip firewall filter
add action=reject chain=forward comment="lan do not access vlans" \
reject-with=icmp-net-prohibited src-address=192.168.21.0/24 \
dst-address-list=dirty-vlans-ips

Saludos!
Así mejor, ya que podría deshabilitar el filtro a voluntad, para poder entrar en las VLANs.

Entonces antes era "DROP" porqué era un bloqueo parcial (se permitía el salto a la WAN), pero ahora es "REJECT" por ser un bloqueo total desde la IP de la red LAN hacia el resto de VLAN.

Lo que no tengo claro del todo es si solamente se puede hacer por IP o se podría aprovechar la lista de VLAN (creada anteriormente para bloquear el acceso desde las VLANs a la LAN), y así se ahorra crear otra lista:

/interface list
add name=dirty-vlans
/interface list member
add interface=vlan-cacharreo list=dirty-vlans
add interface=vlan-invitados list=dirty-vlans
add interface=vlan-pruebas_wifi list=dirty-vlans
add interface=vlan-pruebas_eth list=dirty-vlans
add interface=vlan-tv list=dirty-vlans


Entiendo que de cara a tener todo más flexible es mejor tener dos listas separadas, ya que podría darse el caso de no ser iguales y querer bloquear solamente una VLAN en un sentido de forma permanente.

Saludos.
 
Así mejor, ya que podría deshabilitar el filtro a voluntad, para poder entrar en las VLANs.

Entonces antes era "DROP" porqué era un bloqueo parcial (se permitía el salto a la WAN), pero ahora es "REJECT" por ser un bloqueo total desde la IP de la red LAN hacia el resto de VLAN.

Lo que no tengo claro del todo es si solamente se puede hacer por IP o se podría aprovechar la lista de VLAN (creada anteriormente para bloquear el acceso desde las VLANs a la LAN), y así se ahorra crear otra lista:

/interface list
add name=dirty-vlans
/interface list member
add interface=vlan-cacharreo list=dirty-vlans
add interface=vlan-invitados list=dirty-vlans
add interface=vlan-pruebas_wifi list=dirty-vlans
add interface=vlan-pruebas_eth list=dirty-vlans
add interface=vlan-tv list=dirty-vlans


Entiendo que de cara a tener todo más flexible es mejor tener dos listas separadas, ya que podría darse el caso de no ser iguales y querer bloquear solamente una VLAN en un sentido de forma permanente.

Saludos.
Te estás liando. Las reglas son muy parecidas, solo que en sentido opuesto y usando distitnas listas. En la primera, usamos listas de interfaces vlan, y bloqueamos tráfico que venía de ellas, para que sólo pudiera ir a internet. En la segunda, hemos hecho lo mismo pero a la inversa, usando listas de IPs, en lugar de interfaces. Pero el propósito es el mismo.

Si te gusta más por IP, que de hecho es más correcto, al tratarse de un firewall, dime qué comunicación quieres que haya o no haya entre VLANs y tu lan local y lo montamos así, que lo veas más claro.

Saludos!
 
Te estás liando. Las reglas son muy parecidas, solo que en sentido opuesto y usbado distitnas listas. En la primera, usamos listas de interfaces vlan, y bloquramos tráfico que venía de ellas, para que sólo pudiera ir a internet. En la segunda, hemos hecho lo mismo pero a la inversa, usando listas de IPs, en lugar de interfaces. Pero el propósito es el mismo.

Si te gusta más por IP, que de hecho es más correcto, al tratarse de un firewall, dime qué comunicación quieres que haya o no haya entre VLANs y tu lan local y lo montamos así, que lo veas más claro.

Saludos!
La verdad es que si que estoy algo liado con esto de los filtros.

Después de estar trasteando un poco(ya lo he cambiado cuatro o cinco veces), ya tengo claro como empezar desde cero con el router y gestionar la configuración básica, crear VLANs, el DHCP, etc.

Lo que pretendía hacer es añadir una regla inversa a la que ya me habías dado anteriormente:

/ip firewall filter

add action=drop chain=forward comment="dirty-vlans only access internet" \ out-interface-list=!WAN in-interface-list=dirty-vlans

Y así con la misma lista ya creada ("dirty-vlans"), impediría el acceso desde la red principal a las VLANs.

Lo de hacerlo por VLANs en lugar de por IP es que si dentro de algún tiempo modifico la dirección de red de alguna VLAN y no me acuerdo de modificar también el nuevo valor en el filtro, entiendo que se perdería ese bloqueo.
 
Arriba