acceder a HGU desde el bridge del Mikrotik

Buenas,
Estoy haciendo pruebas y trasteando, y no veo la manera de -usando el HGU en modo monopuesto- poder acceder a él desde los puertos del Mikrotik.

Al Mikrotik 2011 le entro internet por el puerto SFP con un adaptador Ethernet-SFP, hago pppoe en el interface sfp1, y masquerade de este pppoe.
Este interface SFP no lo tengo en el bridge y tiene como IP 192.168.0.10 y la IP del HGU de Movistar es la 192.168.0.1.
El mikrotik y los equipos que cuelgan de él tienen el rango 192.168.23.X/24 , con un bridge de todos los puertos ethernet usando la IP 192.168.23.1.
No se me ocurre por más que lo intento como acceder al HGU desde los puertos del MK.
¿ Acaso hay que poner en el mismo rango el SFP y el brige, o mejor dicho hay que poner el SFP dentro el bridge ?

Simplemente necesitas otra regla masquerade sobre esa interfaz y listo. O, si usas una lista "WAN" y estás haciendo masquerade sobre ella, meter la interfaz física sfp en ella.

Saludos!

Ostras gracias, era más sencillo de lo que parecía........... y yo intentando NATs e inventos de todo tipo que no funcionaban..........

Buenas, ahora la cosa ya la he complicado.......
Siguendo el manual del wireguard, ya tengo unidas dos casas, y puedo acceder a la LAN local del otro sitio y al Mikrotik también ya que he puesto el interface de wireguard en la lista LAN de cada sitio.
Pero para acceder al HGU remoto, ¿ cómo se puede hacer ?

Casa 1:
IP HGU (monopuesto): 192.168.0.1
IP WAN (SFP1) Mikr. 192.168.0.10
IP LAN (Bridge) Mikr. : 192.168.23.1
Red que cuelga del MK:192.168.23.X/24
srcnat-masquerade a 192.168.0.1 por interface SFP1 (para acceder localmente al HGU)


Casa 2:
IP HGU (monopuesto): 192.168.0.2
IP WAN (Ether1) Mikr. 192.168.0.11
IP LAN (Bridge) Mikr. : 192.168.80.1
Red que cuelga del MK: 192.168.80.X/24
srcnat-masquerade a 192.168.0.2 por interface Ether1 (para acceder localmente al HGU)

Puedo acceder a los dos MK por sus IP del bridge (192.168.23.1 y ...80.1) y por las del wire (172.16.1.1 y 172.16.1.2)

De momento el acceso a los HGU remotamente lo tengo funcionando en el método chapuzas, que es con un dstnat y entrando por un puerto externo, redirigido al 192.168.0.1 puerto 80 y 192.168.0.2 puerto 80 en el otro caso, pero lo que quiero es acceder directamente a través del túnel, y no via nat externa.

¿ sabeis como se puede hacer ?

Con una trampa: una regla de netmap (lo tienes explicado aquí). Básicamente nos vamos a inventar un par de redes que no existen y la vamos a mapear contra la que sí que existe y que se repite en ambos lados. Por comodidad, vamos a usar un segmento de red que se diferencia en una unidad de la subred remota, así es fácil de recordar.
Ni si quiera necesitas cambiar las IPs de los HGU en los extremos como has hecho, ambas se pueden quedar en la 192.168.1.1 original (la que se queda cuando pasas el equipo a monopuesto desde un router recién reseteado). Así tendrías:

Casa 1:
IP HGU (monopuesto): 192.168.1.1
IP WAN (SFP1) Mikr. 192.168.1.2
IP LAN (Bridge) Mikr. : 192.168.23.1/24
Red inventada: 192.168.24.1/24 (sobre la misma interfaz que conecta al HGU, sfp1)
Lista WAN = pppoe + interfaz que conecta al HGU


Casa 2:
IP HGU (monopuesto): 192.168.1.1
IP WAN (Ether1) Mikr. 192.168.1.2
IP LAN (Bridge) Mikr. : 192.168.80.1/24
Red inventada: 192.168.81.1/24 (sobre la misma interfaz que conecta al HGU, ether1)
Lista WAN = pppoe + interfaz que conecta al HGU


En la casa 1, haríamos

Y, en la casa 2, idéntico, pero a la inversa:

Y listo, desde casa1 podremos acceder al HGU de la casa 2 usando la IP 192.168.81.1. Así mismo, desde la casa2 podremos acceder al HGU de la casa1 usando la IP 192.168.24.1

Saludos!

Gracias, no se me había ocurrido este invento de dirección "inventada".
He estado haciendo pruebas y se me ha ocurrido otro método.
Como la red 0 sólo la uso en los HGU y su conexión con los interface WAN de sus Mikrotik locales, usando máscara /30 me vale.
Por tanto he cambiado algunas IPs y máscaras.

Casa 1:
IP HGU (monopuesto): 192.168.0.1/30
IP WAN (SFP1) Mikr.: 192.168.0.2/30
IP Wireguard: 172.16.1.1/30
IP LAN (Bridge) Mikr. : 192.168.23.1/24 (Red que cuelga del MK:192.168.23.X/24)
srcnat-masquerade a 192.168.0.0/30 por interface SFP1 => Da acceso local a 192.168.0.1 y 2
En el peer de Wireguard, en allowed adresses le añado: 192.168.0.4/30 a las ya existentes 192.168.80.0/24 y 172.16.1.2/32
Le añado a ip - route list, el rango 192.168.0.4/30 al gateway 172.16.1.2


Casa 2:
IP HGU (monopuesto): 192.168.0.5/30
IP WAN (Ether1) Mikr.: 192.168.0.6/30
IP Wireguard: 172.16.1.2/30
IP LAN (Bridge) Mikr. : 192.168.80.1/24 (Red que cuelga del MK: 192.168.80.X/24)
srcnat-masquerade a 192.168.0.4/30 por interface Ether1 => Da acceso local a 192.168.0.5 y 6
En el peer de Wireguard, en allowed adresses le añado: 192.168.0.0/30 a las ya existentes 192.168.23.0/24 y 172.16.1.1/32
Le añado a ip - route list, el rango 192.168.0.0/30 al gateway 172.16.1.1

Ya sé que podia haber puesto máscaras de 32 en los peers de wireguard y en ip route, pero así de este modo tengo acceso a los mikrotiks con la IP siguente a cada HGU.
Bueno, realmente a los MK se accede por 3 IP a cada uno..... la del brigde, la del wireguard y la del puerto WAN.

Correcto, es otra manera de hacerlo.

Saludos!