DOMANDA Infrastruttura per videosorveglianza + scelta switch POE / router

[lorenzocalo]

Ho comprato i 2 router Mikrotik che mi hai consigliato, proverò a configurarli. Ci sono vari tutorial su YT abbastanza chiari, quanto meno per la funzione AP, mentre per la questione VLAN la vedo più complicata.

Ho però un altro dubbio. Perchè non posso lasciare acceso il WIFI del Fastweb a copertura della zona notte e mettere l'hAP AX3 direttamente nella zona giorno? Capisco che così sarebbe tutto meno "pulito", con WIFI mezzo fastweb e mezzo sotto VLAN generato dall'AX3 ma il grosso del lavoro deve farlo il dispositivo nella zona giorno, o sbaglio?
Ormai i dispositivi li ho comprati e proverò a configurarli ma se dovessi avere difficoltà il fatto di usarne solo 1 mi aiuterebbe.

 

[r3dl4nce]

Semplicemente perché così avresti un wifi unico, gestito tramite sistema centralizzato del mikrotik, essendo ax puoi attivare il FT (fast transition) per i dispositivi che lo supportano, ecc
Ti conviene iniziare un po' a capire come funziona un mikrotik, facendo una configurazione base, ovvero:
- nel hap ax3 connesso al router, usi la porta 1 come WAN e le altre porte nel bridge LAN
- nel hap ax2 metti tutte le porte nel bridge LAN
- imposti IP sui bridge LAN dei dispositivi, IP su porta WAN del hap ax3
- inizi a impostare le regole di firewall su hap ax3 per fargli fare da router (masquerade, accetta da lan a wan, ecc)
- su hap ax3 imposti server dhcp su bridge lan, server dns, server ntp e consenti le relative porte sul firewall interfaccia lan
- l'hap ax2 lo imposti come banale switch

Quando l'infrastruttura cablata funziona, parti a configurare la wifi ax, con il nuovo sistema che per certi versi è anche più facile del vecchio sistema. quando le wifi funzionano, puoi creare il capsman sul hap ax3 e mettere l'hap ax2 collegato al capsman

Questa è la base.

 

[lorenzocalo]

Dispositivi configurati, connessione internet funzionante anche in WIFI.

Router FWA: 192.168.1.1

Sui Mikrotik ho configurato IP statici.
hAP AX3: 192.168.2.1
hAP AX2: 192.168.2.2

FIREWALL
--------------------------------

inizi a impostare le regole di firewall su hap ax3 per fargli fare da router (masquerade, accetta da lan a wan, ecc)

al momento ho settato solo il NAT come masquerade, per le altre regole devo trovare qualche guida da seguire. Se mi linki qualcosa mi fai un favore.

WIFI
----------------------------------
Il WIFI funziona su entrambi ma è lento perchè sicuramente c'è da sistemare qualcosa sulle bande che ho impostato a caso.
Al momento ho dato SSID differenti tra wifi1 e wifi2 ma in generale è meglio mettere lo stesso nome? Come fa il dispositivo che si collega a scegliere se collegarsi al 2.4 o 5 ghz? Che bande devo configurare su wifi1 e wifi2?

VLAN
----------------------------------
Ora devo iniziare a smadonnare con le VLAN. Attualmente non ho ancora acquistato le videocamere ma posso usare 2 notebook e 1 PC fisso collegati via LAN o WIFI per testare le VLAN.

Da dove si inizia per le VLAN? Credimi ho visto un sacco di video su YT ma onestamente ho difficoltà a capire la logica tag-untagged.

Secondo te, partire dal realizzare una semplice suddivisione delle LAN come quella nell'immagine allegata può andar bene? Almeno per provare a capire la logica. Se si, mi puoi scrivere una miniguida come hai fatto prima?

Grazie infinite perchè sto imparando un sacco di cose nuove!

 

[r3dl4nce]

Dispositivi configurati, connessione internet funzionante anche in WIFI.

Router FWA: 192.168.1.1

Sui Mikrotik ho configurato IP statici.
hAP AX3: 192.168.2.1
hAP AX2: 192.168.2.2

Crea due interface list, una chiamata WAN e una chiamata LAN, nell'interface list WAN metti l'interfaccia a cui hai conesso il router FWA, nell'interface list LAN metti il bridge su cui hai messo le porte per la LAN

mandami poi la tua configurazione, da terminal
/export file=aaa
da Files prendi il file aaa.rsc e mettilo qua tra i tag [ CODE ]

Tranquillo che senza l'opzione show-sensitive, il comando export non mette nulla di dati personali (password wifi, altre password, ecc)

FIREWALL
--------------------------------

al momento ho settato solo il NAT come masquerade, per le altre regole devo trovare qualche guida da seguire. Se mi linki qualcosa mi fai un favore.

se vedo la tua configurazione base come ho scritto sopra, ti dò le regole firewall base che imposto sempre io

WIFI
----------------------------------
Il WIFI funziona su entrambi ma è lento perchè sicuramente c'è da sistemare qualcosa sulle bande che ho impostato a caso.
Al momento ho dato SSID differenti tra wifi1 e wifi2 ma in generale è meglio mettere lo stesso nome? Come fa il dispositivo che si collega a scegliere se collegarsi al 2.4 o 5 ghz? Che bande devo configurare su wifi1 e wifi2?

è un ax, lascia i due SSID uguali con stessa password così se hai dispositivi che sfruttano WIFI 6, lo puoi usare

VLAN
----------------------------------
Ora devo iniziare a smadonnare con le VLAN. Attualmente non ho ancora acquistato le videocamere ma posso usare 2 notebook e 1 PC fisso collegati via LAN o WIFI per testare le VLAN.

Da dove si inizia per le VLAN? Credimi ho visto un sacco di video su YT ma onestamente ho difficoltà a capire la logica tag-untagged.

Secondo te, partire dal realizzare una semplice suddivisione delle LAN come quella nell'immagine allegata può andar bene? Almeno per provare a capire la logica. Se si, mi puoi scrivere una miniguida come hai fatto prima?

Ti servono due step:
- capire cos'è una VLAN e imparare i termine legati, ovvero tag, trunk, access, hybrid, ecc

- capire come si configurano le VLAN su Mikrotik

Per il primo passo, non guardare guide, ma leggi manuali si networking, parti dal capire cos'ì lo stack ISO/OSI, come funziona il data link (layer 2) per capire appunto come vengono suddivise le VLAN, poi com'è composto un pacchetto datagram IP e da lì alle funzionalità TCP(e UDP)/IP

Io queste cose le ho studiate sul Tanenbaum, che so che viene via via revisionato, oggi con risorse più disponibili probabilmente trovi informazioni facilmente fruibili con tutto ciò


Questo ti serve perché altrimenti "non si parla la stessa lingua". A quel punto posso aiutarti con le VLAN sul mikrotik, che una volta capite sono banali

 

[lorenzocalo]

mandami poi la tua configurazione, da terminal
/export file=aaa
da Files prendi il file aaa.rsc e mettilo qua tra i tag [ CODE ]

hAP AX3

# 2025-06-12 14:57:02 by RouterOS 7.16.2
# software id = 95BF-XXBX
#
# model = C53UiG+5HPaxD2HPaxD
# serial number = HH90A0D3H9N
/interface bridge
add name=bridge1
/interface ethernet
set [ find default-name=ether1 ] comment=WAN name=ether1-WAN
set [ find default-name=ether2 ] comment=LAN name=ether2-LAN
set [ find default-name=ether3 ] comment=LAN name=ether3-LAN
set [ find default-name=ether4 ] comment=LAN name=ether4-LAN
set [ find default-name=ether5 ] comment=LAN name=ether5-LAN
/interface wifi
set [ find default-name=wifi1 ] channel.band=5ghz-ax configuration.mode=ap \
    .ssid=FASTWEB-3661EA disabled=no name="wifi1-5 GHZ" \
    security.authentication-types=wpa3-psk
set [ find default-name=wifi2 ] channel.band=2ghz-ax configuration.country=\
    Italy .mode=ap .ssid=FASTWEB-3661EA disabled=no name="wifi2-2.4 GHZ" \
    security.authentication-types=wpa2-psk,wpa3-psk
/interface list
add name=LAN
add name=WAN
/ip pool
add name="dhcp_Router Letto" ranges=192.168.2.10-192.168.2.254
/ip dhcp-server
add address-pool="dhcp_Router Letto" interface=bridge1 name=dhcp1
/interface bridge port
add bridge=bridge1 interface=ether2-LAN
add bridge=bridge1 interface=ether3-LAN
add bridge=bridge1 interface=ether4-LAN
add bridge=bridge1 interface="wifi1-5 GHZ"
add bridge=bridge1 interface="wifi2-2.4 GHZ"
add bridge=bridge1 interface=ether5-LAN
/interface list member
add interface=bridge1 list=LAN
add interface=ether1-WAN list=WAN
/ip address
add address=192.168.2.1/24 interface=bridge1 network=192.168.2.0
add address=192.168.1.2/24 interface=ether1-WAN network=192.168.1.0
/ip dhcp-server lease
add address=192.168.2.2 client-id=1:f4:1e:57:d2:92:92 mac-address=\
    F4:1E:57:D2:92:92 server=dhcp1
/ip dhcp-server network
add address=192.168.2.0/24 dns-server=8.8.8.8,1.1.1.1 gateway=192.168.2.1
/ip firewall nat
add action=masquerade chain=srcnat
/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.1.1 \
    routing-table=main scope=30 suppress-hw-offload=no target-scope=10
/system identity
set name="hAP AX3 - Letto"
/system note
set show-at-login=no
/system ntp client
set enabled=yes
/system ntp client servers
add address=ntp1.inrim.it
add address=ntp2.inrim.it
add address=time.inrim.it
add address=pool.ntp.org

hAP AX2

# 2025-06-16 18:07:43 by RouterOS 7.16.2
# software id = 4CZZ-6XXF
#
# model = C52iG-5HaxD2HaxD
# serial number = HJ70A8J2EZ7
/interface bridge
add name=bridge_LAN
/interface wifi
set [ find default-name=wifi1 ] channel.band=5ghz-ax configuration.country=\
    Italy .mode=ap .ssid=FASTWEB-3661EA disabled=no name=wifi1-5ghz \
    security.authentication-types=wpa2-psk
set [ find default-name=wifi2 ] channel.band=2ghz-ax configuration.mode=ap \
    .ssid=FASTWEB-3661EA disabled=no name=wifi2-2.4ghz \
    security.authentication-types=wpa2-psk
/ip pool
add name=dhcp_pool0 ranges=192.168.2.2-192.168.2.254
/interface bridge port
add bridge=bridge_LAN interface=ether2
add bridge=bridge_LAN interface=ether3
add bridge=bridge_LAN interface=ether4
add bridge=bridge_LAN interface=ether5
add bridge=bridge_LAN interface=wifi1-5ghz
add bridge=bridge_LAN interface=wifi2-2.4ghz
/ip address
add address=192.168.2.2/24 interface=bridge_LAN network=192.168.2.0
/ip dhcp-client
add interface=bridge_LAN
/ip dhcp-server network
add address=192.168.2.0/24 gateway=192.168.2.1
/system clock
set time-zone-name=Europe/Rome
/system identity
set name="hAP AX2 - Salotto"
/system note
set show-at-login=no
/system ntp client
set enabled=yes
/system ntp client servers
add address=ntp1.inrim.it
add address=ntp2.inrim.it
add address=time.inrim.it
add address=pool.ntp.org

Non mi funziona l'NTP Client, mi resta in "waiting". Non vorrei si debba aprire qualche porta.

Fammi sapere come configurare il firewall.

Grazie

 

[r3dl4nce]

Alcune cose che noto

HAP AX3 (che fa da router)

/ip dhcp-server lease
add address=192.168.2.2 client-id=1:f4:1e:57:d2:92:92 mac-address=\
    F4:1E:57:D2:92:92 server=dhcp1

metti una lease statica con ip 192.168.2.2 poi però al HAP AX2 assegni in modo statico l'IP 192.168.2.2 - deciditi, o togli la lease statica dal HAP AX3 o la lasci e metti in DHCP client il bridge su HAP AX2 assegnandogli l'IP da lease dhcp statica



Su entrambi nel wifi attiva il fast transition, così se hai dispositivi che supportano 802.11r/k/v funziona il FT

/interface wifi configuration
set [ find default-name=wifi1 ] security.ft=yes .ft-over-ds=yes
set [ find default-name=wifi2 ] security.ft=yes .ft-over-ds=yes

Poi se vuoi usare wifi 6 e hai dispositivi compatibili, devi lasciare le bande 2.4 e 5 GHz con lo stesso SSID


Su entrambi non hai impostato i DNS, a questo punto imposti HAP AX3 come dns server

/ip dns
set allow-remote-requests=yes servers=1.1.1.1,8.8.8.8,9.9.9.9

e il HAP AX2 lo fai puntare al HAP AX3

/ip dns
set servers=192.168.2.1

Su HAP AX3 metti anche nel dhcp server - network le opzioni dns-server=192.168.2.1 e ntp-server=192.168.2.1

/ip dhcp-server network
set [find address=192.168.2.0/24 ]  dns-server=192.168.2.1  ntp-server=192.168.2.1

Da HAP AX2 devi togliere la roba da dhcp server, già lo fa l'altro
ovvero queste configurazioni

/ip pool
add name=dhcp_pool0 ranges=192.168.2.2-192.168.2.254
/ip dhcp-server network
add address=192.168.2.0/24 gateway=192.168.2.1

Nel HAP AX2 non hai messo la ether1 nel bridge, perché?


L'NTP server lo configuri su HAP AX3

/system ntp server
set enabled=yes manycast=yes

e su HAP AX3 metti come unico ntp server l'ip del hap ax3

/system ntp client servers
add address=192.168.2.1

infine di solito io disattivo servizi mikrotik non utilizzati, telnet, ftp, api, ecc, lascio attivo l'accesso al mikrotik via web, ma si può anche togliere tanto si fa tutto da winbox64

/ip service
set telnet disabled=yes
set ftp disabled=yes
set api disabled=yes
set api-ssl disabled=yes

Ed infine la parte firewall, che va su HAP AX3
Questa è la mia configurazione base di default, tendo a fare regole esplicite e chiare, di solito io imposto anche una wifi ospiti con la interface list OSPITI, te l'ho messa, se non la vuoi basta che ignori le relative configurazioni
Ricorda che le regole di firewall vengono analizzate in sequenza, quindi l'ordine è importante, io metto sempre prima le regole di input (ovvero accesso al mikrotik) poi le regole di forward (ovvero dal mikrotik a altre reti). Le uniche regole che devono stare all'inizio sono quelle per il FASTTRACK
Ti ho diviso a sezioni


Intanto io creo una address list per gli IP della subnet LAN, inoltre se utilizzi la rete OSPITI oltre a creare l'interface list io creo una address list con gli indirizzi che assegno in dhcp alla wifi ospiti, in questo esempio 172.20.90.0/24

/ip firewall address-list
add address=192.168.2.0/24 list=NetLan
add address=172.20.90.0/24 list=NetWifiOspiti

REGOLE FASTRACK - all'inizio
dal fasttrack escludo la rete OSPITI perché di solito poi ci imposto una queue per limitare la banda massima utilizzata

/ip firewall filter
add action=fasttrack-connection chain=forward comment="FWD - FASTTRACK established, related" connection-state=established,related \
    hw-offload=yes in-interface-list=!OSPITI out-interface-list=!OSPITI
add action=accept chain=forward comment="FWD - ACCEPT established, related" connection-state=established,related

dal fasttrack escludo la rete OSPITI perché di solito poi ci imposto una queue per limitare la banda massima utilizzata, se non ti interessa le imposti così

/ip firewall filter

add action=fasttrack-connection chain=forward comment="FWD - FASTTRACK established, related" connection-state=established,related 
add action=accept chain=forward comment="FWD - ACCEPT established, related" connection-state=established,related

REGOLE INPUT - accesso al mikrotik e ai servizi di rete (dns, ntp, ecc) da LAN

/ip firewall filter

add action=accept chain=input comment="IN - ACCEPT established, related" connection-state=established,related

add action=accept chain=input comment="IN - ACCEPT - ICMP ping ecc" protocol=icmp

add action=accept chain=input comment="IN - ACCEPT da LAN - DNS" dst-port=53 in-interface-list=LAN protocol=udp
add action=accept chain=input comment="IN - ACCEPT da LAN - NTP" dst-port=123 in-interface-list=LAN protocol=udp
add action=accept chain=input comment="IN - ACCEPT da LAN - WEB" dst-port=80 in-interface-list=LAN protocol=tcp
add action=accept chain=input comment="IN - ACCEPT LAN - WINBOX" dst-port=8291 in-interface-list=LAN protocol=tcp

REGOLE INPUT - e qui le regole di input per accedere a DNS e NTP dalla rete ospiti

/ip firewall filter

add action=accept chain=input comment="IN - ACCEPT - WIFI OSPITI CAPSMAN AX - DNS" dst-port=53 in-interface-list=OSPITI protocol=udp src-address-list=NetWifiOspiti
add action=accept chain=input comment="IN - ACCEPT - WIFI OSPITI CAPSMAN AX - NTP" dst-port=123 in-interface-list=OSPITI protocol=udp src-address-list=NetWifiOspiti

REGOLE INPUT - infine si dropppa tutto li resto

/ip firewall filter

add action=drop chain=input comment="IN - DROP TUTTO IL RESTO" log-prefix="[IN-DROP]" log=yes

REGOLE FORWARD - Ora si passa alle regole forward, ovvero pacchetti in transito dal mikrotik verso altre reti

/ip firewall filter

add action=accept chain=forward comment="FWD - ACCEPT - LAN   -->  INTERNET  " in-interface-list=LAN out-interface-list=WAN src-address-list=NetLan
add action=accept chain=forward comment="FWD - ACCEPT - RETE  OSPITI  -->  INTERNET  (ESCLUSA LAN)" \
    dst-address-list=!NetLan in-interface-list=OSPITI out-interface-list=WAN src-address-list=NetWifiOspiti

REGOLE FORWARD - prevedo di accettare i pacchetti che hanno dst-nat, ovvero i port forwarding (da configurare in firewall->mangle)

/ip firewall filter

add action=accept chain=forward comment="FWD - ACCEPT - PACCHETTI DST-NAT" connection-nat-state=dstnat log=yes log-prefix="[DST-NAT]"

REGOLE FORWARD - infine scarto tutti i pacchetti non previsti

/ip firewall filter

add action=drop chain=forward comment="FWD - DROP tutto il resto" log=yes log-prefix="[FWD-DROP]"

La regola di Firewall -> mangle di maquerade l'hai già fatta, ci aggiungerei solo out-interface-list=WAN


Prima di configurare gli apparati con questi consigli e questo codice, cerca magari di capire cosa fa e in caso adattalo alle tue esigenze

Buon divertimento

 

[lorenzocalo]

Prima di configurare gli apparati con questi consigli e questo codice, cerca magari di capire cosa fa e in caso adattalo alle tue esigenze

Eccetto per il firewall dove onestamente ho capito poco, tutti gli altri passi sono chiari, ho usato l'interfaccia grafica e non i comandi da terminale.

La regola di Firewall -> mangle di maquerade l'hai già fatta, ci aggiungerei solo out-interface-list=WAN

questa onestamente non l'ho capita...non so come procedere

REGOLE FORWARD - infine scarto tutti i pacchetti non previsti
/ip firewall filter add action=drop chain=forward comment="FWD - DROP tutto il resto" log=yes log-prefix="[FWD-DROP]"

questa ultima regola se la attivo non riesco più a navigare quindi l'ho disattivata come puoi vedere nell'immagine in basso.

 

[r3dl4nce]

Eccetto per il firewall dove onestamente ho capito poco, tutti gli altri passi sono chiari, ho usato l'interfaccia grafica e non i comandi da terminale.

Se vedi bene i comandi da terminale replicano le impostazioni dall'interfaccia, puoi farli come meglio credi, ma chiaramente si fa ben prima a mettere i comandi che a far vedere mille schermate

questa onestamente non l'ho capita...non so come procedere

In IP - FIREWALL - MANGLE hai già messo la regola di masquerade, però non hai specificato in quale interfaccia di uscita deve operare, per questo metterei la out-interface-list sulla WAN

questa ultima regola se la attivo non riesco più a navigare quindi l'ho disattivata come puoi vedere nell'immagine in basso.

In IP - Firewall - Address List hai creato la lista chiamata NetLan con la subnet della tua rete che deve navigare?


Ma soprattutto, hai letto il manuale mikrotik relativo alla parte firewall?

Firewall - RouterOS - MikroTik Documentation

help.mikrotik.com

e le varie sottosezioni

 

[lorenzocalo]

Mi metto a studiare un po' il firewall, grazie!

Ne approfitto per un'altra domanda.
Ho notato che una presa smart non funziona se lo smartphone non è sotto rete wifi, presumo per via del fatto che non ho ip pubblico. Mi sembra strano considerando che normalmente questi dispositivi si poggiano su server esterni quindi mi aspettavo funzionasse. In ogni caso,
se volessi sostituire l'FWA di Fastweb con un modem 5G outdoor (esempio MC889) con sim denattata (tipo Alplsim), una volta configurato il modem basta mettere il cavo di rete nella porta WAN dell'hAP AX3? O devo rimettere mano alla configurazione? Giusto per capire...

 

[r3dl4nce]

Ho notato che una presa smart non funziona se lo smartphone non è sotto rete wifi, presumo per via del fatto che non ho ip pubblico. Mi sembra strano considerando che normalmente questi dispositivi si poggiano su server esterni quindi mi aspettavo funzionasse.

di solito è così, che apparato è?

se volessi sostituire l'FWA di Fastweb con un modem 5G outdoor (esempio MC889) con sim denattata (tipo Alplsim), una volta configurato il modem basta mettere il cavo di rete nella porta WAN dell'hAP AX3? O devo rimettere mano alla configurazione? Giusto per capire...

Dipende se cambiano i parametri sulla WAN, esempio se c'è una subnet e un gateway diverso sull'interfaccia wan... il resto è tutto invariato

 

[lorenzocalo]

di solito è così, che apparato è?

Non te lo dico altrimenti mi maledici (Tapo P100...non esistono prese smart Mikrotik )

Dipende se cambiano i parametri sulla WAN, esempio se c'è una subnet e un gateway diverso sull'interfaccia wan... il resto è tutto invariato

Beh se è solo questo nessun problema, pensavo ci fossero altre configurazioni particolari.

 

[r3dl4nce]

Non te lo dico altrimenti mi maledici (Tapo P100...non esistono prese smart Mikrotik )

Per 'sta robetta domotica va bene tutto, io ho un paio di smart plug amazon per esempio
Comunque mi sembra strano che non funzioni, va sicuramente con il suo cloud, ricontrolla magari la configurazione della pres asmart dalla sua app

Beh se è solo questo nessun problema, pensavo ci fossero altre configurazioni particolari.

Alla fine a meno di impostazioni particolari (esempio dual-wan failover o load balancing, oppure multipli IP pubblici, ecc) la configurazione lato WAN sono 3 cacchiate di numero: interfaccia, ip sull'interfaccia e default route o dhcp-client . Fine