Unir dos Hap ax3 y montar mesh con gestion centralizada

Muy buenas, uno nuevo por aquí, y como no, para preguntar :giggle:

Llevo desde hace bastante tiempo (varios meses la verdad) mirando para actualizar la red de mi casa y no consigo encontrar algo que cumpla lo que busco y crea que me pueda dar juego en el futuro. He visto el tema del nuevo mikrotik hap ax3 y creo que esta vez puede que sea la definitiva.

Actualmente tengo dos router Asus, un RT-AC1900U que hace las funciones de router y un RT-AC66B1 como nodo mesh por backhaul. A fin de cuenta los dos routers utilizan el mismo firmware y si no me equivoco dejan de tener soporte en breve.

La cosa es que quiero mantener la misma estructura, dos aparatos que tengan varias bocas (hay varios equipos en cada extremo), wifi (mesh) y a poder ser que pueda gestionar de forma centralizada.

Aquí es donde entra el hap ax3 y la idea que se me ha pasado por la cabeza es comprar dos e interconectarlos por el puerto de 2,5G para que ningún equipo de los extremos pueda canibalizar la conexión entre ellos al completo.

También la cosa seria poder montar dos vlan, una para wifi iot y otra para wifi guest, pero por lo poco que he visto con mikrotik no hay problemas para todas estas cosas, mas allá de leer (y preguntar XD) mucho. Actualmente con los asus en cuanto activo el wifi guest aislado me baja la conexión entre los dos aparatos a la mitad por alguna clase de bug en el aimesh de estos dispositivos (ojo, estando el aimesh por cable y no por wifi XD)

Resumiendo, ahí van las preguntas:

1- ¿Es posible gestionar de forma unificada los dos aparatos? He visto lo de capsman pero entiendo que eso es solo para el wifi.
2- ¿Qué tal el wifi de estos aparatos? entiendo que son bastante recientes, pero creo que tienen antenas y potencia parecidas al ac3... con que tengan una cobertura parecida a los asus me vale.

Realmente no es algo complicado lo que busco, pero cuando me meto con soluciones mesh no suelen tener vlan, se disparan de precio (con las mismas características que los mikrotik), o el puerto 2,5G es solo wan, etc... Al final y visto el precio de los hap ax3 si tengo que estudiar estudio y tengo algo realmente versátil y bastante más barato.

Estoy abierto a sugerencias de otros productos mikrotik, una vez asumido que voy a tener que leer y trastear me da lo mismo una cosa que otra (aunque creo que aun no hay cap ax no?)

Gracias :)
 
Si quieres usar CAPsMAN en esos equipos te toca esperar. CAPsMAN en los equipos AX aún está a medio desarrollar. Si optas por los equipos AC (hAP-ac3) ahí sí puedes usar CAPsMAN con driver inalámbrico tradicional sin problema. Eso sí, no esperes más de 400Mbps vía wifi.

Así que una de dos, o esperas, o sacrificas rendimiento inalámbrico. Y lo de unir los equipos por puerto 2,5Gbps... ¿para mover qué, IoT? ¿O tienes alguna otra cosa dentro de la red que pueda aprovechar más de 1Gbps?

Saludos!
 
Vale, con el tiempo que llevo dándole vueltas no me importa esperar algo más de tiempo, con lo que prefiero que sea el ax3. Con respecto a CAPsMAN si no lo he entendido mal eso es solo para el wifi, ¿hay alguna forma de gestinar los dos equipos a la vez a parte del wifi? Algo así como ponerlo en modo ap.

En cuanto a unirlos por el puerto 2,5G, si, hay equipos en los extremos que pueden generar transferencia de 1G y no quiero que canibalicen la conexión. Por ejemplo en un extremo hay un nas y en el otro un pc que puede estar transfiriendo a todo lo que da. Interconectados por 2,5 otro equipo podría además estar descargando de internet a todo lo que da y aún sobra caudal para que se comuniquen el resto de equipos. Si la conexión fuese por 1G en cuanto el pc tire del nas el resto se van a resentir.

Gracias!
 
Cada vez más veo que mikrotik no es dispositivo para wifi... para wifi de verdad hay que mezclar otra marcas, Aruba, Ubiquiti... lo que sea, pero dejar la wifi en el Mikrotik no le veo sentido.
 
vdias dijo:
Cada vez más veo que mikrotik no es dispositivo para wifi... para wifi de verdad hay que mezclar otra marcas, Aruba, Ubiquiti... lo que sea, pero dejar la wifi en el Mikrotik no le veo sentido.
Haz clic para expandir...
No coincido, en absoluto. En mi humilde opinión, lo que suele pasar es que tenéis unas expectativas totalmente desmesuradas para lo que una conexión inalámbrica debería, según vosotros, hacer. Partiendo de la base de que una conexión inalámbrica es casi magia, (recordad esto cada vez que suene un móvil o te conectes a una wifi) codificar una señal digital que transporta una cantidad INGENTE de información en una onda electromagnética que viaja por un medio compartido como es el aire, es algo que depende muchísimo, como podéis imaginar, de las condiciones que afectan a ese medio. Dejando esto aparte, que es algo en lo que hemos insistido hasta que nos duele la boca, la pregunta real es, ¿Qué tenéis en vuestros setups que que aprovechen dicha conexión, tal que te merezca la pena gastarte 200, 300, 500 pavos en un AP?

Yo en mi setup no tengo NADA que lo aproveche, que no esté ya conectado por cable. Y, si me compro un teléfono de última generación con wifi6 y toda la hostia... ¿cuándo lo voy a aprovechar? Cuando esté a medio metro del router viendo... ¿twitter? ¿un video en youtube? ¿leyendo el periódico? ¿mandando un whatsapp? Sinceramente, creo que son ganas de tirar la pasta a lo loco.

Es más, los equipos de gama profesional se centran más en aguantar decenas de clientes con una calidad de servicio decente para todos, más que en darte 600Mbps a ti solo. Es decir, están pensados para operar correctamente con 50, 60, 100 dispositivos conectados. Y, como podéis imaginar, ese nivel de chismes no los tienes en tu casa.

Así que, como todo, depende del cristal con que se mire. Yo esto tremendamente contento con el setup que tengo en casa, y está entero montado en Mikrotik. Al igual que también lo estaba cuando tenía un Asus como AP, aunque podía hacer la mitad de cosas con él que puedo ahora (por ejemplo, no tenía posibilidad de mandarle tráfico de más de una VLAN y tener redes independientes, cosa que me mataba y me obligaba a tener un segundo AP para una wifi de invitados).

Y he tenido un AP poco más grande que una moneda de dos euros dando servicio a la wifi de invitados por más de dos años, en el entorno más hostil posible (dentro de una caja de comunicaciones, detrás de una chapa de 50x80cm, y nadie se ha quejado. Todo el que ha venido a casa se ha podido conectar a la wifi de invitados y nadie ha dicho "coño, qué mal va esto", sino más bien todo lo contrario. Y ese chisme era raro cuando daba más de 30Mbps en dicha situación. ¿magia? No, simplemente, rebajar las expectativas.

¿Conocéis muchos APs que te permitan regular una lista o control de acceso basada en expresiones regulares? ¿que pueda expulsar a clientes basados no sólo en el nivel de potencia de su señal, sino en el datarate que consiguen negociar? ¿donde puedas manejar 50 APs de un golpe desde un servidor que puede estar hasta en cloud? No sé, llamadme loco, pero prefiero sacrificar velocidad y tener esas características.

Saludos!
 
Es cierto que yo también he leído alguna peste que otra del wifi de Mikrotik, pero para lo que yo quiero creo que es suficiente y no me hace falta ir a por unos ap de unify.

A ver, si me decís que el wifi va a tener menor rango y estabilidad que los dos ASUS que tengo en la actualidad, pues entonces me preocupo…
 
@pokoyo si no te importa un par de preguntas, que creo que me voy a lanzar a pillarlos para ir jugando:

1. Aunque CAPsMAN no esté disponible por el momento, nada me impide por el momento poner el segundo en modo CAP y configurar directamente la wifi con la misma configuración del principal ¿no?

2. Siendo lo del punto 1 así, entiendo que ni de esa forma ni con CAPsMAN es lo que se viene a entender por mesh, porque entiendo que en cada punto todo será igual salvo el canal que ira variando (como se hizo toda la vida) ... y llegados a este punto el roaming será menos fluido ¿no? He visto que hay un apartado "Mesh" pero por lo que veo hay que olvidarse de tenerlo por backhaul.

Gracias!
 
sczcaos dijo:
1. Aunque CAPsMAN no esté disponible por el momento, nada me impide por el momento poner el segundo en modo CAP y configurar directamente la wifi con la misma configuración del principal ¿no?
Haz clic para expandir...
Modo AP, no modo CAP. Modo CAP es configurar un AP buscando un manager, y eso en equipos AX aún no está disponible (de hecho, si tratas de poner un equipo AX en modo CAP con esa opción, el script correspondiente fallará.


sczcaos dijo:
2. Siendo lo del punto 1 así, entiendo que ni de esa forma ni con CAPsMAN es lo que se viene a entender por mesh, porque entiendo que en cada punto todo será igual salvo el canal que ira variando (como se hizo toda la vida) ... y llegados a este punto el roaming será menos fluido ¿no? He visto que hay un apartado "Mesh" pero por lo que veo hay que olvidarse de tenerlo por backhaul.
Haz clic para expandir...
El mesh que tú ves en Mikrotik es para hacer un mesh de verdad, no lo que tú entiendes por una “red mesh” de las que te venden por la tele. El equivalente al mesh de la tele es CAPsMAN. Pero CAPsMAN tampoco es que haga magia, simplemente centraliza la configuración en un punto (que puede ser un router de la instalación, una VPS en cloud, un nodo más de los N CAPs que montes, etc), y poco más. Pero no hace magia con el roaming, ni nada parecido. Y eso es algo que tú puedes hacer con APs independientes, simplemente jugando con los parámetros de configuración de los mismos (canal, potencia, data rates mínimos, listas de acceso basadas en potencia de señal, etc). Es más peñazo, porque tienes que ir de uno en uno, pero insisto, que la magia parte de los mil y un parámetros de configuración que puedes tocar en un equipo mikrotik, no de CAPsMAN per sé.

No sé si me he explicado. El mismo “mesh” que montas con CAPsMAN, lo montas de manera más tediosa equipo por equipo en modo AP. Y el “mesh” que te venden por la tv que se supone te abre las puertas del cielo y soluciona TODOS los problemas inalámbricos de TODO el mundo mundial (nótese la ironía) no es más que una combinación más o menos inteligente de la misma tecnología inalámbrica que lleva con nosotros MUCHOS años. Vamos, que no han inventado nada nuevo, más allá de combinar, con mejor o peor acierto (esto ya, depende de lo bien o mal que te vaya la solución como usuario concreto en cuestión) tecnologías existentes.

En resumen: si puedes, cablea. Y, si lo haces, monta APs (ya decides tú si gestionados al unísono o no). Esa solución no falla NUNCA, y es más robusta que ningún “mesh” de los que sale por la tele.

Un mesh de verdad, implica decenas de nodos y varios puntos de salida a internet y un procolo dinámico que decida por dónde sacar el tráfico según lo costoso del camino, al mismo tiempo que calcula rutas alternativas de manera dinámica cuando dichos nodos se caen y los enlaces se reconfiguran para que la salida a internet ahora vaya por otro lado. Este mesh, el de verdad, lleva mucha chicha detrás, y obviamente no es el que te venden por la tv, que en mi humilde opinión sólo le vale como solución al que no tiene más remedio (pero oye, vender vende que no veas).

Saludos!
 
Vale, entendido, modo ap y configurar cada uno por el momento.

Con respecto a cablear, lo tengo cableado, cada uno va a estar unido al otro por cable, lo que intento es que el wifi esté disponible por toda la casa en la mejor de las condiciones. Todo lo “importante” está por cable a uno de los dos puntos, pero siempre hay tablets, móviles y portátiles que van dando vueltas XD.

Sobre todo el tema del mesh de la tele, algo tiene que haber… cuando configuraba los ASUS manualmente (uno como ap) cada uno tenía la misma configuración wifi salvo por el canal (por ejemplo en 2,4g uno con canal 1 y otro con el 6) y el roaming nunca me funcionó tan bien como cuando active el “aimesh”… que me ha traído otros problemas, pero bueno, al menos pude poner un ssid para invitados aislado.

Creo que esta semana me animo a comprarlos, tengo ganas de jugar un poco e ir viendo cosas. ¿Me recomiendas alguna tienda? Yo he estado mirando en ciudadwireless y no tiene mal precio (creo)

Muchas gracias!
 
sczcaos dijo:
Vale, entendido, modo ap y configurar cada uno por el momento.

Con respecto a cablear, lo tengo cableado, cada uno va a estar unido al otro por cable, lo que intento es que el wifi esté disponible por toda la casa en la mejor de las condiciones. Todo lo “importante” está por cable a uno de los dos puntos, pero siempre hay tablets, móviles y portátiles que van dando vueltas XD.

Sobre todo el tema del mesh de la tele, algo tiene que haber… cuando configuraba los ASUS manualmente (uno como ap) cada uno tenía la misma configuración wifi salvo por el canal (por ejemplo en 2,4g uno con canal 1 y otro con el 6) y el roaming nunca me funcionó tan bien como cuando active el “aimesh”… que me ha traído otros problemas, pero bueno, al menos pude poner un ssid para invitados aislado.

Creo que esta semana me animo a comprarlos, tengo ganas de jugar un poco e ir viendo cosas. ¿Me recomiendas alguna tienda? Yo he estado mirando en ciudadwireless y no tiene mal precio (creo)

Muchas gracias!
Haz clic para expandir...
Ahí tienen buen precio, y el envío es rápido también. El ax2 lo compré allí y llegó enseguida.

Saludos!
 
Muy buenas de nuevo, hace ya un par de semanas que tengo los 2 ax3 pero no ha sido hasta hace 3 días que he podido jugar con ellos :)

Para empezar decir que soy un completo novato y que seguramente la estoy liando parda, pero bueno, por momento lo tengo en plan laboratorio para romperlo todo lo que haga falta XD

Lo que estoy intentando es lo siguiente:

1- Tener 3 wifi, una normal, otra para iot y otra para invitados
2- El wifi de iot y de invitados cada uno con su VLAN (10 y 20) y que estén aislados (mas adelante ya mirare como hacer bien el de iot)
2- El segundo ax3 se configure mediante CAPsMAN

En un principio con los export que voy a pegar aquí parece ser que consigo lo que quiero, pero soy un mar de dudas y creo que la estoy liando.


AX3 Principal:
Código: 
/interface bridge
add admin-mac=48:A9:8A:48:59:F1 auto-mac=no comment=defconf name=bridge vlan-filtering=yes
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether5 name=internet user=adslppp@telefonicanetpa
/interface vlan
add interface=bridge name=vlan-guest vlan-id=20
add interface=bridge name=vlan-iot vlan-id=10
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add name=ISOLATED
/interface wifiwave2 datapath
add bridge=bridge client-isolation=yes disabled=no interface-list=all name=iot vlan-id=10
add bridge=bridge client-isolation=yes disabled=no interface-list=all name=guest vlan-id=20
/interface wifiwave2 security
add authentication-types=wpa2-psk,wpa3-psk disabled=no name=home wps=disable
add authentication-types=wpa2-psk,wpa3-psk disabled=no name=iot wps=disable
add authentication-types=wpa2-psk,wpa3-psk disabled=no name=guest wps=disable
/interface wifiwave2 configuration
add channel.skip-dfs-channels=all country=Spain disabled=no name=home security=home security.ft=yes ssid=WiFi_HoMe_M
add channel.skip-dfs-channels=all country=Spain datapath=iot disabled=no name=iot security=iot security.ft=yes ssid=WiFi_HoMe_iot_M
add channel.skip-dfs-channels=all country=Spain datapath=guest disabled=no name=guest security=guest security.ft=yes ssid=WiFi_HoMe_inv_M
/interface wifiwave2
set [ find default-name=wifi1 ] configuration=home configuration.mode=ap disabled=no
set [ find default-name=wifi2 ] configuration=home configuration.mode=ap disabled=no
add configuration=guest configuration.mode=ap disabled=no mac-address=4A:A9:8A:48:59:F5 master-interface=wifi1 name=wifi3
add configuration=guest configuration.mode=ap disabled=no mac-address=4A:A9:8A:48:59:F6 master-interface=wifi2 name=wifi4
add configuration=iot configuration.mode=ap disabled=no mac-address=4A:A9:8A:48:59:F7 master-interface=wifi1 name=wifi5
add configuration=iot configuration.mode=ap disabled=no mac-address=4A:A9:8A:48:59:F8 master-interface=wifi2 name=wifi6
/ip pool
add name=dhcp-home ranges=192.168.1.10-192.168.1.254
add name=dhcp-iot ranges=192.168.10.10-192.168.10.254
add name=dhcp-guest ranges=192.168.20.10-192.168.20.254
/ip dhcp-server
add address-pool=dhcp-home interface=bridge name=dhcp-home
add address-pool=dhcp-iot interface=vlan-iot name=dhcp-iot
add address-pool=dhcp-guest interface=vlan-guest name=dhcp-guest
/interface bridge port
add bridge=bridge interface=ether1
add bridge=bridge interface=ether2
add bridge=bridge interface=ether3
add bridge=bridge interface=ether4
add bridge=bridge interface=wifi1
add bridge=bridge interface=wifi2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface bridge vlan
add bridge=bridge comment=iot tagged=bridge,ether1,wifi5,wifi6 vlan-ids=10
add bridge=bridge comment=guest tagged=bridge,ether1,wifi3,wifi4 vlan-ids=20
/interface list member
add interface=internet list=WAN
add interface=bridge list=LAN
add interface=vlan-iot list=ISOLATED
add interface=vlan-guest list=ISOLATED
add interface=ether5 list=WAN
/interface wifiwave2 cap
set caps-man-addresses=127.0.0.1 certificate=request
/interface wifiwave2 capsman
set ca-certificate=auto enabled=yes package-path="" require-peer-certificate=no upgrade-policy=none
/interface wifiwave2 provisioning
add action=create-dynamic-enabled disabled=no master-configuration=home slave-configurations=iot,guest supported-bands=2ghz-ax
add action=create-dynamic-enabled disabled=no master-configuration=home slave-configurations=iot,guest supported-bands=5ghz-ax
/ip address
add address=192.168.1.1/24 interface=bridge network=192.168.1.0
add address=192.168.10.1/24 interface=vlan-iot network=192.168.10.0
add address=192.168.20.1/24 interface=vlan-guest network=192.168.20.0
/ip dhcp-server lease
add address=192.168.1.100 mac-address=10:DD:B1:9E:9B:E6 server=dhcp-home
add address=192.168.1.101 mac-address=1C:1A:DF:6B:6F:EE server=dhcp-home
add address=192.168.1.104 mac-address=00:11:32:45:2F:80 server=dhcp-home
add address=192.168.1.110 mac-address=00:01:2E:56:01:27 server=dhcp-home
add address=192.168.1.200 mac-address=24:68:B0:95:D8:9C server=dhcp-home
add address=192.168.1.201 mac-address=78:00:9E:9D:46:04 server=dhcp-home
add address=192.168.1.202 mac-address=A8:06:00:C4:57:31 server=dhcp-home
add address=192.168.1.203 mac-address=BC:F5:AC:F9:1D:CC server=dhcp-home
/ip dhcp-server network
add address=192.168.1.0/24 comment=home dns-server=192.168.1.1 domain=lan gateway=192.168.1.1
add address=192.168.10.0/24 comment=iot dns-server=1.1.1.1,1.0.0.1 gateway=192.168.10.1
add address=192.168.20.0/24 comment=guest dns-server=1.1.1.1,1.0.0.1 gateway=192.168.20.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.2,1.0.0.2 use-doh-server=https://1.1.1.3/dns-query verify-doh-cert=yes
/ip dns static
add address=192.168.1.1 name=router.lan
add address=192.168.1.104 name=nas.lan
add address=192.168.1.110 name=zotac.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new \
    in-interface-list=WAN
add action=reject chain=forward comment="vlans: can only access internet" in-interface-list=ISOLATED out-interface-list=!WAN reject-with=\
    icmp-network-unreachable
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=Principal
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

AX3 Secundario:
Código: 
/interface bridge
add name=bridge vlan-filtering=yes
/interface wifiwave2
# managed by CAPsMAN
set [ find default-name=wifi1 ] configuration.manager=capsman .mode=ap disabled=no
# managed by CAPsMAN
set [ find default-name=wifi2 ] configuration.manager=capsman .mode=ap disabled=no
/interface bridge port
add bridge=bridge interface=all tag-stacking=yes
/interface wifiwave2 cap
set caps-man-addresses=192.168.1.1 certificate=request enabled=yes
/ip dhcp-client
add interface=bridge
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=Oficina

Parte de esta configuracion la he pillado de este tema de Donette:

Cosas que no he conseguido:
- Resolver automáticamente en el DNS las máquinas conectadas mediante el dominio "lan". Si que me funcionan los que he definido estáticamente en los DNS pero me gustaría hacerlo funcionar como lo tenia con los asus, que lo hacia automáticamente por su nombre. (en el DHCP principal he puesto el dominio pero no se si es ahi ni si se supone que eso hace lo que yo creo)
- Definir unos DNS específicos (¿y un nombre?) para algunos de los DHCP Lease que tengo (en el asus al hacer la reserva le puedes asignar también sus DNS)
- Configurar el wifi del router principal mediante su propio CAPsMAN por 127.0.0.1. CAPsMAN lo reconoce pero no le provisiona, parece ser que eso aun no está disponible.
- En el secundario he conseguido que funcionen las VLAN cuando he puesto en el bridge port la opcion tag-stacking=yes, no se si es correcto pero por las pruebas que he hecho me da IP sin problema y aparecen los interface como tagged en bridge vlan. Si esto es correcto, ¿Cómo podría hacer algo equivalente en el router principal? en el principal lo he tenido que hacer a mano y ahora parece que funciona, pero si en un futuro se configura mediante capsman no se muy bien como lo haría.
- Configurar bien el firewall... reinicie el router sin configuración por defecto para ir haciendo las cosas de cero con lo que iba viendo y creo que el firewall posiblemente este cojo XD

@pokoyo ¿podrías darle un vistazo y darme alguna indicación?, o quien pueda, toda ayuda se agradece :)

Muchas gracias
 
sczcaos dijo:
- Resolver automáticamente en el DNS las máquinas conectadas mediante el dominio "lan". Si que me funcionan los que he definido estáticamente en los DNS pero me gustaría hacerlo funcionar como lo tenia con los asus, que lo hacia automáticamente por su nombre. (en el DHCP principal he puesto el dominio pero no se si es ahi ni si se supone que eso hace lo que yo creo)
Haz clic para expandir...
mDNS/Avahi no está implementado de forma automática aún, así que lo tienes que hacer mapeando manualmente los hosts en IP -> DNS -> Static. Hay muchas solicitudes de mDNS/mDNS proxy para la v7, así que es posible que en un futuro cercano nos den una alegría al respecto.

sczcaos dijo:
- Definir unos DNS específicos (¿y un nombre?) para algunos de los DHCP Lease que tengo (en el asus al hacer la reserva le puedes asignar también sus DNS)
Haz clic para expandir...
Hay varias maneras de hacer lo mismo. La más sencilla, en IP -> DHCP Server -> Network. Lo puedes definir para una subred, un host único, etc. También puedes asignarlos vía opción especial del DHCP, te paso un ejemplo de esto último, para definir un DNS especial para la lease número 192.168.1.203
Código: 
/ip dhcp-server option
add code=6 name=specialdns value="'8.8.8.8''8.8.4.4'"
/ip dhcp-server lease
set [find address=192.168.1.203] dhcp-option=specialdns

sczcaos dijo:
- Configurar el wifi del router principal mediante su propio CAPsMAN por 127.0.0.1. CAPsMAN lo reconoce pero no le provisiona, parece ser que eso aun no está disponible.
Haz clic para expandir...
Ni lo intentes, no lo soporta. No obstante, como ahora la config de CAPsMAN es idéntica de la normal inalámbrica, esta opción pasa a segundo plano y no tiene tanto sentido como antes. Tampoco uses de momento el datapath, no funciona correctamente con VLANs en lo poco que he podido probar, ya que el modo forwarding no funciona (de momento los CAP sólo funcionan en modo local forwarding, no reenvían el tráfico al manager como hacía el antiguo CAPsMAN en la config por defecto). Así que, para usarlo, monta vlan filtering en el router, mapeando luego los puertos inalámbricos al bridge con el PVID correspondiente. En el segundo equipo, implemente vlan filtering pero com si de un switch se tratase (sólo con la tabla de vlans del bridge).

sczcaos dijo:
- En el secundario he conseguido que funcionen las VLAN cuando he puesto en el bridge port la opcion tag-stacking=yes, no se si es correcto pero por las pruebas que he hecho me da IP sin problema y aparecen los interface como tagged en bridge vlan. Si esto es correcto, ¿Cómo podría hacer algo equivalente en el router principal? en el principal lo he tenido que hacer a mano y ahora parece que funciona, pero si en un futuro se configura mediante capsman no se muy bien como lo haría.
Haz clic para expandir...
No neceistas hacer tag stacking, simplemente definir el puerto que te une al router principal como puerto trunk. Al mismo tiempo, si necesitas acceso a ese equipo desde una VLAN concreta, crea dicha VLAN sobre el bridge en interface/vlan (el resto no has de declararlas ahí, sino directamente en la tabla de vlans del bridge, como si de un switch se tratase). Si necesitas un ejemplo de esto, dime.

sczcaos dijo:
- Configurar bien el firewall... reinicie el router sin configuración por defecto para ir haciendo las cosas de cero con lo que iba viendo y creo que el firewall posiblemente este cojo XD
Haz clic para expandir...
Tienes el firewall por defecto en el router prinicpal. En el secundario, no lo necesitas.

Saludos!
 
Muchas gracias pokoyo, a ver si en un par de días puedo hacer más pruebas con lo que me has comentado.

Lo del puerto trunk no lo tengo muy claro pero intentaré trasladarlo del hilo donde se lo comentaste a Donette, a ver dónde llego.

Con respecto al datapath algo si debe estar haciendo, la red wifi de invitados y de iot me da ip del dhcp correcto (tanto en el principal como en el secundario) con lo que entiendo que al menos si que está asignando la VLAN. Eso si, no aparecen taggeados hasta que se conecta al menos un dispositivo.

Un saludo!
 
Debes estar conectado o registrado para responder aquí.

Similar threads

O
Hap Ac2 + dos routers Huawei AX3 en mesh
Respuestas
6
Visitas
1,436
overdriver
E
Consejo para compra de Mikrotik para HGU Movistar
Respuestas
7
Visitas
1,245
pokoyo
J
Dudas HAP AC3
Respuestas
10
Visitas
2,205
pokoyo
G
Duda modelo router
Respuestas
17
Visitas
1,759
galz
masket
Mikrotik hAP AC2 & Cap AC & hAP Lite
2 3 4
Respuestas
60
Visitas
8,888
pokoyo
Arriba