Wireguard + VLANs

Pruébala si quieres, pero en ese caso no suele mover tráfico en lo que estuve yo probando en su día, así que no creo que te beneficie. No obstante, sí que la metería para cualquier otro tipo de tráfico que vaya directamente sobre los túneles wireguard en un enlace site to site. Si bien hay aplicaciones que no tienen problema a la hora de segmentar, hay otras tantas que se rompen, como es el caso que indicamos de una interfaz web de admin de un switch (no me preguntes porqué, yo me volví majara hasta que di con la tecla).

Saludos!
 
@pokoyo, voy a probar y os voy contando impresiones.

Curioso cuanto menos el tema de los MTU...lo sensibles que pueden ser en estos casos...

Mil gracias.


Saludos!
 
Por cierto, la regla solo tengo que indicarla en el extremo "paco" o también es conveniente en "pepe"?

Saludos!
 
pokoyo dijo:
Mete la siguiente regla de mangle para ajustar el MTU del tráfico de lan a lan, donde "STS" es una lista a la cual pertenecen las interfaces wireguard de tipo site to site (por si tienes más de una, sino, siempre puedes modificar la regla y, en lugar de "out-interface-list=STS" pone "out-interface=wireguardX" o la que sea tu interfaz).
Código: 
/ip firewall mangle
add action=change-mss chain=forward new-mss=clamp-to-pmtu out-interface-list=\
    STS passthrough=yes protocol=tcp tcp-flags=syn
Haz clic para expandir...
Pues no ha habido suerte con esta regla de mangle, sigo sin acceso a la interfaz Web del Switch a través del túnel Wireguard. Algo raro debe haber más ahí. ¿Alguna idea/sugerencia? Adjunto export por si ves algo raro:
Código: 
# jan/12/2023 00:13:58 by RouterOS 7.6
# software id = 05JI-0EWS
#
# model = RB5009UG+S+
# serial number =
/interface bridge
add admin-mac=DC:2C:6E:3E:D8:82 auto-mac=no comment=defconf frame-types=\
    admit-only-vlan-tagged name=bridge vlan-filtering=yes
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether2 name=\
    Internet-pppoe-out1 use-peer-dns=yes user=adslppp@telefonicanetpa
/interface wireguard
add listen-port=12345 mtu=1420 name=wireguard-rw
/interface vlan
add interface=bridge name=Home vlan-id=30
add arp=reply-only interface=bridge name=Invitados vlan-id=50
add interface=bridge name=IoT vlan-id=40
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add name=ISOLATED
add name=Wireguard_Interfaces
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
add name=pool-Home ranges=192.168.30.10-192.168.30.254
add name=pool-IoT ranges=192.168.40.10-192.168.40.254
add name=pool-Invitados ranges=192.168.50.10-192.168.50.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
add address-pool=pool-Home interface=Home name=dhcp-Home
add address-pool=pool-IoT interface=IoT name=dhcp-IoT
add add-arp=yes address-pool=pool-Invitados interface=Invitados name=\
    dhcp-Invitados
/interface bridge port
add bridge=bridge comment=defconf frame-types=admit-only-vlan-tagged \
    interface=ether1
add bridge=bridge comment=defconf frame-types=\
    admit-only-untagged-and-priority-tagged interface=ether3 pvid=40
add bridge=bridge comment=defconf interface=ether4 pvid=30
add bridge=bridge comment=defconf interface=ether5 pvid=30
add bridge=bridge comment=defconf interface=ether6 pvid=30
add bridge=bridge comment=defconf interface=ether7 pvid=30
add bridge=bridge comment=defconf interface=ether8 pvid=30
add bridge=bridge comment=defconf disabled=yes interface=sfp-sfpplus1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface bridge vlan
add bridge=bridge comment=Home tagged=bridge,ether1 vlan-ids=30
add bridge=bridge comment=IoT tagged=\
    bridge,ether1,ether4,ether5,ether6,ether7,ether8 vlan-ids=40
add bridge=bridge comment=Invitados tagged=bridge,ether1 vlan-ids=50
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=Internet-pppoe-out1 list=WAN
add comment=defconf interface=ether2 list=WAN
add interface=wireguard-rw list=LAN
add interface=Home list=LAN
add interface=IoT list=ISOLATED
add interface=Invitados list=ISOLATED
add interface=wireguard-rw list=Wireguard_Interfaces
/interface wireguard peers
add allowed-address=192.168.90.2/32 comment=PeerRW_MacbookPro interface=\
    wireguard-rw public-key="cegu2gm2IAcYAZhvzcIVIdAxreTF14UpZzKHgrZhoBI="
add allowed-address=192.168.90.3/32 comment=PeerRW_MovilJesus interface=\
    wireguard-rw public-key="39TJx/InDYvDbcfWzyRpQimRLyTN1GPtW+dTg93nBDY="
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
add address=192.168.1.2/24 interface=ether2 network=192.168.1.0
add address=192.168.90.1/24 interface=wireguard-rw network=192.168.90.0
add address=192.168.30.1/24 interface=Home network=192.168.30.0
add address=192.168.40.1/24 interface=IoT network=192.168.40.0
add address=192.168.50.1/24 interface=Invitados network=192.168.50.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-server lease
add address=192.168.40.3 client-id=1:ec:71:db:aa:22:80 comment=\
    "C\E1mara Entrada" mac-address=EC:71:DB:AA:22:80 server=dhcp-IoT
add address=192.168.40.14 comment="Shelly Ba\F1os" mac-address=\
    84:CC:A8:7F:1E:37 server=dhcp-IoT
add address=192.168.40.13 client-id=1:84:cc:a8:7f:1e:33 comment=\
    "Shelly Habitaciones" mac-address=84:CC:A8:7F:1E:33 server=dhcp-IoT
add address=192.168.30.2 client-id="Switch Netgear" comment="Switch Netgear" \
    mac-address=94:A6:7E:78:4F:5B server=dhcp-Home
add address=192.168.30.3 client-id=1:70:a7:41:a6:53:29 comment=\
    "Unifi AP Salon" mac-address=70:A7:41:A6:53:29 server=dhcp-Home
add address=192.168.30.4 client-id=1:70:a7:41:a6:4c:71 comment=\
    "Unifi AP Pasillo" mac-address=70:A7:41:A6:4C:71 server=dhcp-Home
add address=192.168.40.12 client-id=1:84:cc:a8:7f:96:2f comment=\
    "Shelly Pasillo/Entrada" mac-address=84:CC:A8:7F:96:2F server=dhcp-IoT
add address=192.168.40.10 comment="Shelly Salon" mac-address=\
    84:CC:A8:7F:97:E3 server=dhcp-IoT
add address=192.168.40.11 comment="Shelly Cocina" mac-address=\
    84:CC:A8:7F:09:AF server=dhcp-IoT
/ip dhcp-server network
add address=192.168.30.0/24 dns-server=192.168.30.1 gateway=192.168.30.1
add address=192.168.40.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.40.1
add address=192.168.50.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.50.1 \
    netmask=32
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 domain=\
    lan gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,1.0.0.2,8.8.8.8
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall address-list
add address=ec190fe5bfc5.sn.mynetname.net list=public-ip
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment="vpn: allow wireguard-rw" dst-port=\
    12345 protocol=udp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=reject chain=forward comment=\
    "Isolated VLANs: Can only access Internet" in-interface-list=ISOLATED \
    out-interface-list=!WAN reject-with=icmp-net-prohibited
/ip firewall mangle
add action=change-mss chain=forward new-mss=clamp-to-pmtu out-interface-list=\
    Wireguard_Interfaces passthrough=yes protocol=tcp tcp-flags=syn
/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=\
    192.168.88.0/24 src-address=192.168.88.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/ip route
add comment=ruta-alternativa-HGU-multipuesto distance=2 gateway=192.168.1.1
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=Mikrotik-Jesus
/system script
add dont-require-permissions=no name=Cloud_Backup owner=admin policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source="#\
    \_Crear el backup\r\
    \n/system backup cloud upload-file action=create-and-upload password=MySup\
    3rB4ckup!\r\
    \n\r\
    \n#Descargar el backup en el propio equipo\r\
    \n/system backup cloud download-file action=download number=0\r\
    \n\r\
    \n#Borrar el backup, para dejar hueco al siguiente\r\
    \n/system backup cloud remove-file 0"
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Por otro lado, por más que lo he intentado, no consigo adoptar los 2 Unifi. Tienen IP asignada, el Network Controller los detecta, pero a la hora de adoptarlos falla.
Antes de configurar las VLANs, probé y los adopté sin problema, y a continuación los reinicié de fábrica de nuevo para dejarlos listo para adoptar con la nueva VLAN de Home. Sin embargo, ahora falla en ese proceso.
He probado a hacerles ping o conectarme por SSH, y tampoco devuelve nada, pero el servidor DHCP los detecta y le asigna su IP. ¿Alguien podría ayudarme con esto?
 
Cambia el puerto ether1 de "admit-only-vlan-tagged" a "admit-all", a ver si el problema viene de que el switch no tenga VLAN de management y no se acepte el ingress filtering.

Para lo del AP, asegúrate de que el ubiquiti tiene la vlan 30 como vlan de administración. Para hacer esto último, es posible que te toque volver a activar en el bridge la vlan1 (default vlan) para que provisionen tal cual están (edita el bridge y cambia el frame-types del propio bridge también a "admit-all") y una vez adoptados, le cambias la vlan de administración a la 30.

Saludos!
 
pokoyo dijo:
Cambia el puerto ether1 de "admit-only-vlan-tagged" a "admit-all", a ver si el problema viene de que el switch no tenga VLAN de management y no se acepte el ingress filtering.
Haz clic para expandir...
Antes de probarlo, imaginaba que no serviría porque si recuerdas, antes de montar las VLANs, monté la VPN, y ya en ese caso no tenía acceso al Switch a través del túnel Wireguard, por lo que no creo que sea tema de VLANs.

En cualquier caso, lo he probado y como esperaba, no ha solucionado nada.
He probado también, por probar rapidamente, desactivando el ingress filtering (solo por descartar aunque no iba a dejarlo deshabilitado), y tampoco. Otra opción que he probado, aunque creo que está activado ya por defecto, es habilitar los servicios WWW y WWW-SSL en el rango de direcciones de Wireguard, y tampoco ha surtido efecto.

Código: 
/ip/service
set www address=192.168.90.0/24
set www-ssl address=192.168.90.0/24

La verdad, no es algo de vida o muerte, pero no logro averiguar qué puede estar pasando. Me inclino a pensar que la idea inicial de que era algo de MTU iba por buen camino, pero ya activé la regla de mangle correspondiente, sin suerte.

pokoyo dijo:
Para lo del AP, asegúrate de que el ubiquiti tiene la vlan 30 como vlan de administración. Para hacer esto último, es posible que te toque volver a activar en el bridge la vlan1 (default vlan) para que provisionen tal cual están (edita el bridge y cambia el frame-types del propio bridge también a "admit-all") y una vez adoptados, le cambias la vlan de administración a la 30.

Saludos!
Haz clic para expandir...
Esto tengo que hacerlo insitu, a ver si esta tarde puedo escaparme otro rato para allá.
Para ello, además de cambiarlo en el router, imagino que tendré que cambiar también en el Switch para que en el puerto 1 (de conexión al router) y los puertos 9 y 11 (conexiones con los AP) vaya la VLAN ID 1 untagged, por lo que debo ponerle PVID =1 a esos 3 puertos. Correcto?
 
Última edición:
Olvídate entonces de lo que estamos haciendo, hay que dar un paso atrás y revisar el tema wireguard. Si tienes un backup (backup, no export) de la config antes de aplicar las vlans, cárgalo, y probamos desde ahí.

Mándame también un pantallazo de la configuración de wireguard que has hecho en el Mac (con que tapes la clave privada y la primera parte del DDNS ya vale)

Saludos!
 
pokoyo dijo:
Olvídate entonces de lo que estamos haciendo, hay que dar un paso atrás y revisar el tema wireguard. Si tienes un backup (backup, no export) de la config antes de aplicar las vlans, cárgalo, y probamos desde ahí.

Mándame también un pantallazo de la configuración de wireguard que has hecho en el Mac (con que tapes la clave privada y la primera parte del DDNS ya vale)

Saludos!
Haz clic para expandir...
He corregido mi post anterior porque con las prisas me he equivocado, y he puesto "router" en lugar de "switch"
Al router SIEMPRE he tenido acceso desde el túnel Wireguard (tanto antes como después de configurar las VLANs). A lo que no he tenido NUNCA acceso desde Wireguard es a la interfaz Web del Switch, pero siempre he tenido ping.

Lamentablemente, el tema de los backups lo aprendí después, y no tengo backup de antes de aplicar las VLANs.
Te adjunto pantallazo de la configuración Wireguard en el Mac (aunque también me pasa con el móvil)

1673536809661.png

1673536912052.png
 
Eso tiene buena pinta. ¿llegas a cualquier cosa que cuelgues del router, que no sea el switch? Lo único que se me ocurre es que el switch tenga la administración capada a una subred o vlan concreta.

Saludos!
 
pokoyo dijo:
Eso tiene buena pinta. ¿llegas a cualquier cosa que cuelgues del router, que no sea el switch? Lo único que se me ocurre es que el switch tenga la administración capada a una subred o vlan concreta.

Saludos!
Haz clic para expandir...
Sí, no tengo muchas cosas, pero sí llego a todas.
A una cámara POE llego, y a los Shelly cableados de domótica, también, a todos sin problema accedo a su interfaz Web.
Al único que no llego es al Switch, y solo a través de Wireguard (con o sin VLANs).
De hecho, ahora mismo que tengo las VLANs funcionando, desde la propia red (insitu en el piso) accedo a la interfaz sin problema ninguno, pero es conectarme a través de Wireguard y se acabó lo que se daba. Tiene que ser problema de MTU o de tiempo de respuesta (al ser más alto a través del túnel).

pokoyo dijo:
Para lo del AP, asegúrate de que el ubiquiti tiene la vlan 30 como vlan de administración. Para hacer esto último, es posible que te toque volver a activar en el bridge la vlan1 (default vlan) para que provisionen tal cual están (edita el bridge y cambia el frame-types del propio bridge también a "admit-all") y una vez adoptados, le cambias la vlan de administración a la 30.

Saludos!
Haz clic para expandir...
Aparte de hacer esto, me confirmas que además de cambiarlo en el router, tengo que cambiarlo también en el Switch para que en el puerto 1 (de conexión al router) y los puertos 9 y 11 (conexiones con los AP) vaya la VLAN ID 1 Untagged, por lo que debo ponerle PVID =1 a esos 3 puertos. Correcto? Si es así, en cuanto termine de trabajar tiro para allá a probarlo.
 
hubmania dijo:
Sí, no tengo muchas cosas, pero sí llego a todas.
A una cámara POE llego, y a los Shelly cableados de domótica, también, a todos sin problema accedo a su interfaz Web.
Al único que no llego es al Switch, y solo a través de Wireguard (con o sin VLANs).
De hecho, ahora mismo que tengo las VLANs funcionando, desde la propia red (insitu en el piso) accedo a la interfaz sin problema ninguno, pero es conectarme a través de Wireguard y se acabó lo que se daba. Tiene que ser problema de MTU o de tiempo de respuesta (al ser más alto a través del túnel).
Haz clic para expandir...
Ummm... no lo veo. Si fuera problema de MTU (que no debería, porque no es un site to site), se corregiría con la regla de mangle. Pero, si no llegas, apuesto más a una restricción del propio switch.

hubmania dijo:
Aparte de hacer esto, me confirmas que además de cambiarlo en el router, tengo que cambiarlo también en el Switch para que en el puerto 1 (de conexión al router) y los puertos 9 y 11 (conexiones con los AP) vaya la VLAN ID 1 Untagged, por lo que debo ponerle PVID =1 a esos 3 puertos. Correcto? Si es así, en cuanto termine de trabajar tiro para allá a probarlo.
Haz clic para expandir...
Correcto. O directamente desactivas el vlan filtering del bridge, y vuelve todo a ir con la vlan por defecto, que aún o la hemos borrado del todo.

Saludos!
 
pokoyo dijo:
Ummm... no lo veo. Si fuera problema de MTU (que no debería, porque no es un site to site), se corregiría con la regla de mangle. Pero, si no llegas, apuesto más a una restricción del propio switch.
Haz clic para expandir...
Pues tendrá que ser eso. Nos quedaremos con ganas de saberlo. Mira que soy cabezón, pero no se me ocurre qué puede ser, y he estado buscando por Internet y no veo nada similar tampoco. Tendré que aceptar que no puedo acceder al Switch mediante VPN.

pokoyo dijo:
Correcto. O directamente desactivas el vlan filtering del bridge, y vuelve todo a ir con la vlan por defecto, que aún o la hemos borrado del todo.

Saludos!
Haz clic para expandir...
Pues AP Unifi adoptados y configurados con VLAN management= 30. Primero como dijiste, tuve que adoptarlos con la VLAN 1, en el rango .88, y sacarla por otro puerto también para el portátil (donde tengo el Unifi Controller). Una vez adoptados, es fácil crear una nueva red, y decirle la VLAN ID que quieres. La verdad que una vez que entiendes el tema de las VLAN, no es complicado hacer cambios, y es muy gratificante ver lo que has aprendido. Finalmente he dejado el bridge con frame-type = "admit-all", para tener la VLAN 1 ahí untagged (aunque en el Ether1 solo admito VLAN tagged), de forma que cuando quiera adoptar de nuevo los Unifi, solo necesite cambiar el Ether1 a "Admit all". La VLAN 1 solo se usará para eso, ya que el resto de puertos los he configurado con PVID=30 para tenerlos por defecto en la VLAN Home.

Si se te ocurre algo más para el tema del Switch, o cualquier otra mejora o funcionalidad que le pueda meter a mi setup, bien sea de VLANs o de cualquier otra cosa, dímelo y lo probamos, que estoy aprendiendo un montón :)

Cuando dejemos el setup listo del todo, te pago unas cervecillas, que bien merecido lo tienes!
Muchas gracias!
 
hubmania dijo:
Pues tendrá que ser eso. Nos quedaremos con ganas de saberlo. Mira que soy cabezón, pero no se me ocurre qué puede ser, y he estado buscando por Internet y no veo nada similar tampoco. Tendré que aceptar que no puedo acceder al Switch mediante VPN.
Haz clic para expandir...
Si desactivas el vlan filtering en el bridge, sólo se manejará la vlan1 (por defecto) y la subred 88, ignorando el resto de PVIDs de los puertos y la tabla de vlans. En ese caso, al router accederás, desde wireguard, usando la 192.168.88.1. Habrá un cliente DHCP por defecto en el bridge, que ahora trabajará con dicha vlan por defecto y subred únicamente, el cual otorgará una IP al switch, si este tiene un cliente DHCP levantado. Mira a ver si llegas a esa IP, tanto desde local (conectado por LAN al router) como en remoto desde wireguard.

Creo que lo que te está pasando viene todo derivado de que el switch no tenga como tal vlan de administración. Esto causa que el cliente dhcp que el switch usa para pedir una IP (o la que metas a mano) no sepa sobre qué VLAN trabaja. Y eso es un problema porque si está esperando recibirlo sobre la vlan por defecto, vamos mal con el setup. Leyendo la documentación del switch veo que si configuras las VLANs usando 802.1Q (Advanced 802.1Q-based VLANs, página 35-39 del manual), hay un apartado que reza "Advanced 802.1Q-based VLANs: Specify a port PVID" donde dice que haciendo eso modificas la vlan por defecto que se otorga a los puertos no asignados. Me da que esa es la misma VLAN que se va a usar para el DHCP client, así que te diría que pusieras el PVID de todos los puertos por defecto a 30, salvo en los que tengas ya configurado un modo acceso para otra vlan distinta. Creo que por ahí pueden venir los tiros. No es que no accedas vía wireguard, es que no accedes tampoco desde local al switch usando un navegador, ¿me equivoco?

Con lo de los APs, perfecto si lo tienes ya. Es donde menos te puedo ayudar, porque no tengo ahora mismo ningún ubiquiti a mano, y el controller ha cambiado mucho desde que los toqué.

Saludos!
 
hubmania dijo:
Ver el adjunto 102798
Haz clic para expandir...
Buenas @pokoyo !

Como ya comenté en un post anterior, cuando configuré las VLANs, ya dejé el Switch configurado como comentas, es decir todos los puertos con PVID=30, excepto el puerto que va al Switch unmanaged que va al cuadro domótico.
pokoyo dijo:
Si desactivas el vlan filtering en el bridge, sólo se manejará la vlan1 (por defecto) y la subred 88, ignorando el resto de PVIDs de los puertos y la tabla de vlans. En ese caso, al router accederás, desde wireguard, usando la 192.168.88.1. Habrá un cliente DHCP por defecto en el bridge, que ahora trabajará con dicha vlan por defecto y subred únicamente, el cual otorgará una IP al switch, si este tiene un cliente DHCP levantado. Mira a ver si llegas a esa IP, tanto desde local (conectado por LAN al router) como en remoto desde wireguard.
Haz clic para expandir...
Creo recordar que ese escenario ya lo probé, ya que monté Wireguard antes de configurar las VLANs, tal y como me recomendaste. Y en ese escenario, creo recordar que ya tenía el problema que expongo, pero puedo probarlo de nuevo.

pokoyo dijo:
Creo que lo que te está pasando viene todo derivado de que el switch no tenga como tal vlan de administración. Esto causa que el cliente dhcp que el switch usa para pedir una IP (o la que metas a mano) no sepa sobre qué VLAN trabaja. Y eso es un problema porque si está esperando recibirlo sobre la vlan por defecto, vamos mal con el setup. Leyendo la documentación del switch veo que si configuras las VLANs usando 802.1Q (Advanced 802.1Q-based VLANs, página 35-39 del manual), hay un apartado que reza "Advanced 802.1Q-based VLANs: Specify a port PVID" donde dice que haciendo eso modificas la vlan por defecto que se otorga a los puertos no asignados. Me da que esa es la misma VLAN que se va a usar para el DHCP client, así que te diría que pusieras el PVID de todos los puertos por defecto a 30, salvo en los que tengas ya configurado un modo acceso para otra vlan distinta. Creo que por ahí pueden venir los tiros.
Haz clic para expandir...
Hecho así desde el principio, tal y como explico arriba y se muestra en la imagen.
pokoyo dijo:
No es que no accedas vía wireguard, es que no accedes tampoco desde local al switch usando un navegador, ¿me equivoco?
Haz clic para expandir...
Te equivocas poco, pero en este caso sí :p Al Switch en Local, siempre he podido acceder desde un navegador, incluso con la configuración actual. El único escenario en el que no puedo acceder vía Web al Switch (pero sí con ping), es a través de Wireguard. Actualmente, tal y como esperaba, tiene asignada por DHCP una IP del rango .30, de la VLAN Home

Saludos!
 
Joder, pues me lo pones cada vez más difícil. Es decir, que en local, compruebas que efectivamente el switch coge una dirección 192.168.30.x a la cual llegas perfectamente desde un navegador, ¿es correcto? Pero, conectado a ese mismo router vía wireguard, no lo haces.

Cuando estés en el sitio en cuestión, ¿te importaría hacer esta prueba rápida? Compartes wifi con tu móvil y te conectas con el macbook a ese AP. Levantas wireguard e intentas llegar primero al router, con la dirección 192.168.30.1 (VLAN filtering activado y toda la pesca que hemos estado montando) y, si desde un navegador llegas, lo mismo pero a 192.168.30.x, siendo esa "x" la IP que se le asigne al switch. Y me repites la misma prueba desde el propio móvil, conectando este como un cliente wireguard más (es decir, desde 3G, conectar a wireguard con el móvil y acceder vía navegador también desde el móvil).

Por discernir si de verdad tenemos realmente un problema de MTU o qué demonios está pasando.

Saludos!
 
pokoyo dijo:
Joder, pues me lo pones cada vez más difícil. Es decir, que en local, compruebas que efectivamente el switch coge una dirección 192.168.30.x a la cual llegas perfectamente desde un navegador, ¿es correcto? Pero, conectado a ese mismo router vía wireguard, no lo haces.
Haz clic para expandir...
Es correcto.
Vía Wireguard, tengo ping al Switch (192.168.30.2), pero no acceso desde el navegador.
pokoyo dijo:
Cuando estés en el sitio en cuestión, ¿te importaría hacer esta prueba rápida? Compartes wifi con tu móvil y te conectas con el macbook a ese AP. Levantas wireguard e intentas llegar primero al router, con la dirección 192.168.30.1 (VLAN filtering activado y toda la pesca que hemos estado montando) y, si desde un navegador llegas, lo mismo pero a 192.168.30.x, siendo esa "x" la IP que se le asigne al switch.
Haz clic para expandir...
Esa ya lo he probado. Y es como comentas, compartiendo conexión con el móvil, conectándome a esa red Wifi con el Macbook y activando Wireguard, tengo acceso al router desde el navegador (y a la cámara, y a los dispositivos domóticos cableados), pero no al Switch.
pokoyo dijo:
Y me repites la misma prueba desde el propio móvil, conectando este como un cliente wireguard más (es decir, desde 3G, conectar a wireguard con el móvil y acceder vía navegador también desde el móvil).
Haz clic para expandir...
Eso no lo he probado. Pero lo pruebo cuando vaya. Probaré los 2 escenarios de nuevo, y te comento. Si pudiera coger logs o algo que puedan ayudar, me dices.
pokoyo dijo:
Por discernir si de verdad tenemos realmente un problema de MTU o qué demonios está pasando.
Haz clic para expandir...
Es realmente raro, yo diría que al meter el túnel el tiempo de respuesta es más alto, y por ese motivo, la interfaz Web no levanta, aunque haya ping.

¿Igual es algo de certificados? Porque con Brave (navegador que uso) no accedo a la interfaz (ni en Local siquiera), pero con Safari o Firefox sin problemas (solo en Local como estamos comentando).

Saludos y gracias!
 
Prueba desde la 3G del móvil, si quieres en remoto mismo. Sácalo de ninguna wifi y activa wireguard (veo que tienes un Peer para un teléfono dado de alta en tu último export "PeerRW_MovilJesus") y mira si abriendo un navegador en el móvil llegas al router, a un dispositivo debajo del router, y al switch de marras. Cuando tenía los problemas de MTU, este acceso seguía funcionando, cuando iba directo desde el móvil + wireguard a la web de admin de un switch, Netgear igualmente.

Saludos!
 
pokoyo dijo:
Prueba desde la 3G del móvil, si quieres en remoto mismo. Sácalo de ninguna wifi y activa wireguard (veo que tienes un Peer para un teléfono dado de alta en tu último export "PeerRW_MovilJesus") y mira si abriendo un navegador en el móvil llegas al router, a un dispositivo debajo del router, y al switch de marras. Cuando tenía los problemas de MTU, este acceso seguía funcionando, cuando iba directo desde el móvil + wireguard a la web de admin de un switch, Netgear igualmente.

Saludos!
Haz clic para expandir...

Probado, tal y como dices. Conectado a la red móvil, usando Wireguard.
Tengo acceso al WebFig del Router, a la interfaz Web de la cámara y reproducción en vivo, a la Interfaz Web de un dispositivo domótico y puedo controlarlo.

1673605472624.jpeg


Sin embargo, en la dirección del Switch, se rechaza la conexión:

1673605496209.jpeg


Esto es un expediente X!!
Saludos :)
 
Hostias, además te está dando un refuse. ¿cómo tienes el NAT ahora mismo? Deja en él únicamente la regla de masquerade y comenta si tienes alguna otra. Igualmente, comenta la de mangle del MTU, que esto es otro tema y no van por ahí los tiros (cuando es tema MTU se queda pensando forever el navegador, pero no da refuse)

Se me ocurre hacerle que le actualices el firmware al chacharro, a ver si traga: https://community.netgear.com/t5/Pl...age-JGS524Ev2-from-another-subnet/m-p/1142952

Si buscas por internet hay más casos parecidos. En otro dicen que entres con la propia utilidad del switch (desde local) y deshabilites y vuelvas a habilitar el acceso web.

Si quieres, podemos meter una regla en el NAT para que enmascaremos la IP que le llega al switch cuando vienes de la VPN y se crea que vienes del propio router. Quizá si lo anterior no te funcione, esa chapuza te valga.

Saludos!
 
Debes estar conectado o registrado para responder aquí.

Similar threads

D
hAP ax3 (router) + hAP ax2 (switch + AP) - VLANs
Respuestas
19
Visitas
990
Donette
A
Ayuda con CAPsMAN y VLANs
Respuestas
7
Visitas
833
pokoyo
Joshua.brcr
ayuda en vlans mikrotik
Respuestas
3
Visitas
883
pokoyo
SmartPhoneLover
Asesoramiento sobre la reestructuración de la red de casa
Respuestas
18
Visitas
1,833
pokoyo
P
Ayuda para crear Vlans en mi red
Respuestas
14
Visitas
1,167
pokoyo
Arriba