Cliente Wireguard en HAP-Lite tras CG-NAT

Hola a todos,

En primer lugar quería agradeceros el trabajazo que haceis con este foro. Para todos aquellos que empezamos a manejarnos en el universo Mikrotik es oro puro.
Os cuento: Llevo varios días intentando configurar un mikrotik HAP Lite como cliente wireguard para conectarse a un servidor wireguard que tengo desplegado en una NAS en mi casa. La particularidad es que: el HAP Lite está en una ubicación remota y funciona solo como access point conectado a un router principal, que además es un router 4G que se conecta a internet a traves de un CG-NAT de mi ISP. Esto lo necesito para un proyecto de automatización en la vivienda remota.
He estado buscando en todos los tutoriales de este foro y probando diferentes setups, pero no soy capaz de hacerlo funcionar, estoy desesperado! Probablemente porque como os digo soy novato y me pierdo en algunas configuraciones
¿Me podríais echar una mano? Os pongo algunos detalles, un diagrama de mi instalación, lo que me gustaría conseguir y pantallazos de mi configuración en el mikrotik.
Muchas gracias de antemano!

Vivienda 1:
- Servidor WG en un NAS QNAP, a través de la aplicación QVPN. La NAS está conectada a un router standar de movistar (HGU). La IP del servidor WG es 198.18.7.1/24
- Mi red LAN es 192.168.0.X
- Tengo dados de alta 3 peers con sus respectivas claves públicas. Un teléfono android, un portatil con windows 10 y el router Mikrotik HAP Lite que tengo en la vivienda 2.
- El tunel WG con el Android y el portatil funciona perfectamente y puedo acceder desde ellos a la red LAN de mi vivienda.
- El tunel con el HAP Lite no funciona

Vivienda 2:
- Router Mikrotik HAP Lite en modo WISP AP. Está conectado a un router 4G/LTE, que a su vez se conecta a Internet a través de CG-NAT de mi operador (Lowi).
- La red LAN es 192.168.1.X. La IP asignada por el router principal al HAP lite es estática: 192.168.1.5
- El servidor DHCP es el router 4G, que asigna las IPs privadas de toda la red.
- Tengo creado un interfaz WG en el HAP lite con una IP asignada 198.18.7.3/32, la misma dada de alta en el servidor WG para este peer.
- Tengo hecho un forward en el router LTE del puerto 51820 a la IP del mikrotik (192.168.1.5). Este es el puerto que he asignado a la interfaz Wireguard. En este router principal no he hecho ningun setup adicional
- Además he definido algunos routes y reglas de Firewall que he ido viendo en el foro, sin éxito. Probablemente no aplicasen a mi caso exacto

Lo que me gustaría conseguir (la carta a los reyes):
- Poder acceder desde la vivienda 1 a los dispositivos de la red LAN en la vivienda 2 y viceversa, desde la vivienda 2 acceder a la red la vivienda 1 (donde está el WG server)
- En la vivienda 2, me gustaría que no todo el tráfico de salida vaya a través del tunel WG, solo el de algunos dispositivos concretos (raspberry y switchs Sonoff). No se si esto es compatible con el punto anterior

Venga, a ver si ha venido Baltasar, con un mes de adelanto, jeje.

El puerto te lo puedes ahorrar en el extremo que tiene CG-NAT, no sirve de nada que lo abras (recuerda que tienes un router por encima que no controlas tú). No te preocupes, no es necesario, puesto que será este el extremo que inicie la conexión.

Si el mikrotik es un AP, toda regla de firewall filter te sobra, no las va a usar, bórralas.

En la interfaz Wireguard que tienes en el AP, no especifiques el puerto, no lo necesitas.

En el peer, puedes usar un dominio DDNS, no hace falta que le pongas una IP (que sospecho no sera estática, a menos que la pagues aparte). Simplemente, asegúrate de que al AP tiene configurado un resolver para el DNS, bien de manera automática porque se lo entregue el cliente DHCP que lo conecta al router principal, bien porque se lo configures tú a mano en IP > DNS.

En IP > Address, configura la dirección que le has otorgado al peer como /32 en el servidor, como /24 aquí en el Mikrotik. No la modifiques, bórrala y créala de nuevo, tal que se genere el campo “network” automáticamente. Es decir, si lo hicieramos por terminal, algo como /ip address add interface=wireguard1 address=198.18.7.3/24
Esto es una pequeña trampa para que el mikrotik no considere esa ip como directamente conectada, y no te tengas que preocupar por las rutas, ya que él solito generará una ruta dinámica, asociada a esa ip, que diga que la subred 198.18.7.0/24 sale por la interfaz wireguard1.

Unido a lo anterior, borra la ruta estática que tienes creada al 0.0.0.0/0. No necesitas eso para nada, ya le estas diciendo en el peer que acepte todo tráfico del otro extremo.

Y ahora es cuando de verdad, por fin, viene Baltasar: como tu equipo es un AP, necesitas transformar el tráfico que viene del túnel en algo que sea capaz de salir a internet. Para ello, necesitas una regla de masquerade o, como bien optaste por ponerle IP estática a la interfaz que te conecta con el router que tienes por encima, una regla de src-nat. Esa regla transformara el tráfico de la subred 198.18.7.0/24, en lo único que entiende el AP, la ip de su salida a internet, 192.168.1.5

Prueba y me dices si vinieron o no los magos de oriente. Sino, pásame un export completo del hAP-Lite, porque me da que tienes más configuración de la necesaria. Para configurarlo como AP, lo mejor es que le des un reset sin configuración y que metas todos los puertos en el bridge. Levantes un cliente DHCP sobre esa interfaz (o configures la misma IP estática que ya tienes, pero sobre la interfaz del propio bridge). Y acuérdate de darle un DNS al equipo, si la configuración la vas a hacer manual (configura un par de servers en IP > DNS)

Saludos!

Muchisimas gracias por mirarlo y por este supermanual. Seguro que me sobra un monton de configuración de las pruebas que he ido haciendo (dando palos de ciego...). Ahora no estoy en casa pero esta noche o mañana en cuanto pueda lo pruebo y te digo.

Gracias!

Gcev_83 dijo:

Muchisimas gracias por mirarlo y por este supermanual. Seguro que me sobra un monton de configuración de las pruebas que he ido haciendo (dando palos de ciego...). Ahora no estoy en casa pero esta noche o mañana en cuanto pueda lo pruebo y te digo.

Gracias!

Haz clic para expandir...

OK, ya me contarás.

Saludos!

Hola Pokoyo,

No he podido probar esto hasta hoy. Los reyes aún no han llegado pero siento que ya están mas cerca! De lo que me decías he podido hacer todo excepto esto

pokoyo dijo:

En la interfaz Wireguard que tienes en el AP, no especifiques el puerto, no lo necesitas.

Haz clic para expandir...

Esto no me deja hacerlo, si elimino el "Listen Port" del interfaz WG me da un error de "Invalid Value in listen port". Estoy haciendo toda la configuracción a través de WebFig
Con respecto a usar el dominio DDNS en el Peer ya lo intenté pero no me deja guardarlo. Tambien me dice "Invalid Value". Creo recordar que leí en algún foro que esto era un bug a corregir. Actualmente estoy trabajando con la v7.1rc6. Asi que por ahora he puesto directamente la IP pública (he comprobado que no ha cambiado), aunque como bien dices es dinámica

Las DNS ya las tenía creadas (8.8.8.8 y 8.8.4.4)

El resto creo que lo he hecho todo como me has dicho. Pero no consigo que levante la conexión
Te paso el export de la configuración. No se por que pero el comando para exportar la configuración me ha tardado una barbaridad de tiempo en generar y veo que tiene algunos errores. No se si esto será normal...

Gracias!

Gcev_83 dijo:

Hola Pokoyo,

No he podido probar esto hasta hoy. Los reyes aún no han llegado pero siento que ya están mas cerca! De lo que me decías he podido hacer todo excepto esto

Esto no me deja hacerlo, si elimino el "Listen Port" del interfaz WG me da un error de "Invalid Value in listen port". Estoy haciendo toda la configuracción a través de WebFig
Con respecto a usar el dominio DDNS en el Peer ya lo intenté pero no me deja guardarlo. Tambien me dice "Invalid Value". Creo recordar que leí en algún foro que esto era un bug a corregir. Actualmente estoy trabajando con la v7.1rc6. Asi que por ahora he puesto directamente la IP pública (he comprobado que no ha cambiado), aunque como bien dices es dinámica

Las DNS ya las tenía creadas (8.8.8.8 y 8.8.4.4)

El resto creo que lo he hecho todo como me has dicho. Pero no consigo que levante la conexión
Te paso el export de la configuración. No se por que pero el comando para exportar la configuración me ha tardado una barbaridad de tiempo en generar y veo que tiene algunos errores. No se si esto será normal...

Gracias!

Haz clic para expandir...

Te sobra mucha config. Y, mientras la versión siga siendo release candidate, configura mejor el equipo usando winbox, o directamente desde terminal (ambas opciones se pueden usar en SOs distintos de Windows, por si es el caso, Winbox corre perfectamente sobre Wine en Linux o Mac).

En un ratito te paso un ejemplo de setup de un AP + tu config de wireguard, verás como no son más de 10-15 líneas de export.

Saludos!

Bueno, el ratito ha sido algo más de lo que yo pensaba, pero a cambio me ha dado para montarlo en casa y probarlo; bendita dual wan.

Te paso la config que te propongo, y ahora te saco los "peros"

Primer "pero": estamos creando un AP que no está haciendo de AP, sino casi casi de router. No me gusta, un AP no entiende de rutas, solo entiende de L2.
Segundo "pero": para que esta configuración funcione, en el router que tienes en el otro extremo (lado derecho de tu dibujo), necesitas crear una ruta estática que diga que cuando un cliente pregunte por la LAN de HQ (HQ = lado servidor, el de la izquierda del dibujo), lo mande a la IP del AP, que es el único que sabe cómo resolver ese segmento de red (metiéndolo por el túnel) en su tabla de rutas.



Y la buena del todo: partiendo de la config por defecto en modo router de la v7, para el remoto, haríamos:

Saludos!

Hola Pokoyo,

Perdona por la tardanza en contestar, pero es que quería hacer la configuración in situ en la propia ubicación remota para no liarla y perder el acceso (hasta ahora lo he hecho accediendo por VNC..). Este puente he estado por allí, he añadido la configuración que me ponias y... ¡Voilá! El tunel levanta y hay handshke! Aunque como dices no sea la configuración óptima tenerlo en el AP, para las necesidades que tengo creo que por ahora me vale.
Asi que un millón de gracias por decicarle tiempo, sin tu ayuda no lo habría conseguido! Eres un crack! El cuarto rey mago!

A pesar del gran avance, aun veo alguna limitación que me gustaría intentar solucionar:
* El tunel levanta y soy capaz de acceder desde la red remota (192.168.1.0, donde está el cliente wg) a la red local del servidor WG (192.168.0.0). Sin embargo, no soy capaz de acceder al revés: Desde la red del WG server a la del cliente WG. Es decir, me conecto desde mi portatil windows, activo Wireguard para conectarme al servidor e intento hacer ping o acceder a una ip de la red remota (p.ej. 192.168.1.1). Que configuración me faltaría para hacer esto? Quizás hay que añadir otra ruta estática a mi router "local" (el que está por encima del servdor WG) para que redirija por el tunel WG las direciones 192.168.1.x?
* Sigo sin poder añadir en el mikrotik como "endpoint-address" del peer mi dirección DDNS. Lo he intentado por terminal pero parece que no lo coge bien. Entro despues a traves de WinBox y me sale el campo en blanco. Solo he conseguido que levante el tunel poniendo la IP publica. Por ahora para la prueba me vale, pero es un rollo al ser la ip pública dinámica... Estoy en una release development (7.1rc6). Tu has probado con la 7.1 Stable verdad? Puedo hacer un downgrade a ver si asi me funciona

Muchas gracias otra vez!
Saludos

Muévete a la 7.1 y mira el último manual que he parido. No te líes, monta ambos equipos en modo router y haz un site to site.

Saludos!

Gcev_83 dijo:

Hola a todos,

En primer lugar quería agradeceros el trabajazo que haceis con este foro. Para todos aquellos que empezamos a manejarnos en el universo Mikrotik es oro puro.
Os cuento: Llevo varios días intentando configurar un mikrotik HAP Lite como cliente wireguard para conectarse a un servidor wireguard que tengo desplegado en una NAS en mi casa. La particularidad es que: el HAP Lite está en una ubicación remota y funciona solo como access point conectado a un router principal, que además es un router 4G que se conecta a internet a traves de un CG-NAT de mi ISP. Esto lo necesito para un proyecto de automatización en la vivienda remota.
He estado buscando en todos los tutoriales de este foro y probando diferentes setups, pero no soy capaz de hacerlo funcionar, estoy desesperado! Probablemente porque como os digo soy novato y me pierdo en algunas configuraciones
¿Me podríais echar una mano? Os pongo algunos detalles, un diagrama de mi instalación, lo que me gustaría conseguir y pantallazos de mi configuración en el mikrotik.
Muchas gracias de antemano!

Vivienda 1:
- Servidor WG en un NAS QNAP, a través de la aplicación QVPN. La NAS está conectada a un router standar de movistar (HGU). La IP del servidor WG es 198.18.7.1/24
- Mi red LAN es 192.168.0.X
- Tengo dados de alta 3 peers con sus respectivas claves públicas. Un teléfono android, un portatil con windows 10 y el router Mikrotik HAP Lite que tengo en la vivienda 2.
- El tunel WG con el Android y el portatil funciona perfectamente y puedo acceder desde ellos a la red LAN de mi vivienda.
- El tunel con el HAP Lite no funciona

Vivienda 2:
- Router Mikrotik HAP Lite en modo WISP AP. Está conectado a un router 4G/LTE, que a su vez se conecta a Internet a través de CG-NAT de mi operador (Lowi).
- La red LAN es 192.168.1.X. La IP asignada por el router principal al HAP lite es estática: 192.168.1.5
- El servidor DHCP es el router 4G, que asigna las IPs privadas de toda la red.
- Tengo creado un interfaz WG en el HAP lite con una IP asignada 198.18.7.3/32, la misma dada de alta en el servidor WG para este peer.
- Tengo hecho un forward en el router LTE del puerto 51820 a la IP del mikrotik (192.168.1.5). Este es el puerto que he asignado a la interfaz Wireguard. En este router principal no he hecho ningun setup adicional
- Además he definido algunos routes y reglas de Firewall que he ido viendo en el foro, sin éxito. Probablemente no aplicasen a mi caso exacto

Lo que me gustaría conseguir (la carta a los reyes):
- Poder acceder desde la vivienda 1 a los dispositivos de la red LAN en la vivienda 2 y viceversa, desde la vivienda 2 acceder a la red la vivienda 1 (donde está el WG server)
- En la vivienda 2, me gustaría que no todo el tráfico de salida vaya a través del tunel WG, solo el de algunos dispositivos concretos (raspberry y switchs Sonoff). No se si esto es compatible con el punto anterior

Ver el adjunto 88668

Ver el adjunto 88671
Ver el adjunto 88674
Ver el adjunto 88677
Ver el adjunto 88680

Haz clic para expandir...

Hola,

Yo llamaría a lowi para quitar cgnat, te lo quitan sin problemas y sin tener que pagar nada. Es lo que hice yo al minuto 0 de estar con lowi...

Saludos

ectoplasma dijo:

Hola,

Yo llamaría a lowi para quitar cgnat, te lo quitan sin problemas y sin tener que pagar nada. Es lo que hice yo al minuto 0 de estar con lowi...

Saludos

Haz clic para expandir...

Disculpa pensaba q era con fibra

Hola a todos, perdonad que me meta, pero tengo una configuración parecida, y siguiendo este y otros hilos creo que lo tengo a punto de caramelo, pero me falta enrutar desde el wireguard a la lan del mikrotik, y se me debe estar pasando algo realmente sencillo, pero por si me podeis dar alguna pista...

la configuración es casi igual, pego un esquema...
El tunel wireguard contra el nas funciona tanto en el mikrotik conectado por LTE como desde el portátil con un pincho 4G.
Hago ping desde cualquiera de los tres equipos (NAS/Portatil/Mikrotik) al resto (ping cruzado). Incluso acceso remoto al winbox del mikrotik.
Pero no consigo saltar desde el Mikrotik al equipo web dirección 192.168.88.252.
Pensaba añadir una ruta, pero hasta donde leo (soy novel en estas cosas) no se permite hacer rutas sobre una VPN Wireguard al ser VPN L3 y no L2...
Entonces cómo lo puedo realizar? A través de firewall?
Si necesitáis más datos pedídmelos sin problemas.
Gracias por adelantado y Feliz 2022!!!

Un saludo

El peer de la izquierda ha de llevar tambien la subred del mikrotik remoto en el allowed ip (son las ips que vas a premitir se comuniquen contigo vía el túnel)

Es decir, en el NAS, el peer que representa al hap mini, ha de tener como allowed IPs: 172.16.7.3/32,192.168.88.0/24

A su vez, el peer opuesto ha de hacer lo mismo, pero a la inversa, teniendo en el allowed IPs no sólo la IP del otro extremo del túnel, sino la de la subred que quiere conectar a ella: 172.16.7.1/32,192.168.1.0/24

Hecho lo anterior, recuerda que el router de la izquierda no tiene ni pajoteta idea de qué o quién es la subred .88, así que necesitas enrutarla (no sé de dónde has sacado la info, pero justo una cosa buena de esta vpn es que es enrutable). Te pongo el código de cómo se crea una ruta estática en RouterOS, y luego ya te las apañas tú con el router de Vodafone:
Lo cual quiere decir: la subred 88, se encuentra al otro lado del túnel.
Y viceversa en al lado opuesto, a menos que en el peer opuesto tengas un 0.0.0.0/0

Y, si lo quieres para nota, crea dos interfaces wireguard separadas: una para la VPN de tipo road warrior, y otra para el enlace site to site. Así independizas las conexiones y las tratas por separado. Los peers de tipo road warrior los configuras con el 0.0.0.0/0, mientras que en los site yo site vas específico por IP permitiendo sólo la IP del otro lado del túnel y la subred LAN correspondiente que quieras comunicar.

Saludos!

Hola a todos y feliz 2022!
lo primero, gracias por responder tan rápido y entretener a mis hijos pequeños, todo a la vez

Así explicado hasta se ve a la primera y muy claramente... gracias!

Lo intentaré probar esta semana, pero el router VF hasta el lunes como pronto no podré pedir los cambios... y me he encontrado dos sorpresas en el QNAP.. (no es del ámbito de este foro, pero por si le ayuda a alguien)

1. Sólo puedo poner un servidor wireguard, por lo que lo de separar los s2s y los c2s o lo hago con otra VPN (ahora los client 2 site los hacemos con OVPN) o espero algo más.
2. sorpresa... al ir a la configuración para modificar las allowed IPs veo que no son editables. El lunes pararé el servicio a ver si parado sí me dejara modificarlos... pero parece que no.

Si no me dejara, estoy pensando que una opción, que puede venirme hasta bien, es no usar el qnap para servidores VPN y meter un mikrotik en paralelo al mismo nivel para hacer las mismas funciones.. no sustituyendo al router central de VF, sólo sustituyendo las funciones VPN del QNAP.
¿en qué modelo podría basarme? Estoy pensando a medio plazo en 15-20 conexiones site2site, y como mucho 10-15 conexiones client2site. Con poco tráfico, para supervisar unos estados de equipos.

Gracias de nuevo por adelantado

OxO dijo:

Hola a todos y feliz 2022!
lo primero, gracias por responder tan rápido y entretener a mis hijos pequeños, todo a la vez

Así explicado hasta se ve a la primera y muy claramente... gracias!

Lo intentaré probar esta semana, pero el router VF hasta el lunes como pronto no podré pedir los cambios... y me he encontrado dos sorpresas en el QNAP.. (no es del ámbito de este foro, pero por si le ayuda a alguien)

1. Sólo puedo poner un servidor wireguard, por lo que lo de separar los s2s y los c2s o lo hago con otra VPN (ahora los client 2 site los hacemos con OVPN) o espero algo más.
2. sorpresa... al ir a la configuración para modificar las allowed IPs veo que no son editables. El lunes pararé el servicio a ver si parado sí me dejara modificarlos... pero parece que no.

Si no me dejara, estoy pensando que una opción, que puede venirme hasta bien, es no usar el qnap para servidores VPN y meter un mikrotik en paralelo al mismo nivel para hacer las mismas funciones.. no sustituyendo al router central de VF, sólo sustituyendo las funciones VPN del QNAP.
¿en qué modelo podría basarme? Estoy pensando a medio plazo en 15-20 conexiones site2site, y como mucho 10-15 conexiones client2site. Con poco tráfico, para supervisar unos estados de equipos.

Gracias de nuevo por adelantado

Haz clic para expandir...

Un hEX te puede hacer el apaño (RB750gr3). Si vas a interconectar 15 o 20 sitios entre sí, te recomiendo enfáticamente que te leas el manual de OSPF y lo pongas en práctica.

Saludos!

Gracias por la respuesta... Realmente los site2site no se deben ver entre ellos (son instalaciones independientes, uno puede ser un hotel y otro una vivienda...), las conexiones móviles si deberían ver todos las instalaciones, pero pensaré ese puente cuando llegue a ese río... Creo que con la información que me diste antes conseguiré hacerlo, pero me leo tu indicación en cuanto pueda.. Gracias de nuevo!

Hola! Primer escollo... la ruta en el mikrotik ya está "ocupada" por una ruta en el bridge...

Intento poner esta:
add dst-address=192.168.88.0/24 gateway=172.16.7.3

Y ya hay una que es
dst-address=192.168.88.0/24 gateway=bridge

La verdad es que con las rutas siempre me lío...

resumiendo (a ver si la idea que tengo está bien cogida) tenemos que tener:

Router VF (con la conexión wireguard establecida)
add dst-address=0.0.0.0/0 gateway=192.168.1.1
add dst-address=192.168.88.0/24 gateway=172.16.7.1

Router MikroTik (con la conexión wireguard establecida)
add dst-address=0.0.0.0/0 gateway=lte1
add dst-address=172.16.7.0/24 gateway=MTik001 (es el peer de la VPN)
add dst-address=172.22.44.91/32 gateway=lte1 (esta la ha creado de forma dinámica, entiendo que es la salida por la 4G)
***** Esta es la que hay*** add dst-address= 192.168.88.0/24 gateway=bridge (el bridge une ether1 y wlan1)
add dst-address= 192.168.88.0/24 gateway=172.16.7.3

Estoy conectado en remoto, y no sé si es buena idea cambiar el gateway de la red 88.0 a la 172.16.7.3 que es lo que entiendo que hay que hacer.

¿Me lo puedes confirmar?

Básicamente lo que no sé es si desde VF tengo que enrutar la red 192.168.88.0/24 al 172.16.7.1 o al 172.16.7.3, y viceversa en el MikroTik, entiendo que debería ser cada uno con su extremo "cercano", y el tunel en sí no necesita enrutarse, no?

Un saludo.

Lo estás haciendo todo mal compi. La ruta ha de ir en el router de Vodafone de la izquierda. Y ese router no te puede decir que conoce la red .88, porque no tiene ni pajotera de quien es. Las rutas dicen, literalmente "a este segmento de red que yo te doy aquí, se llega por esta IP". Y, cuando hablamos de túneles VPN, esa "se llega por esta IP" es siempre la IP del otro extremo del túnel.

Simplificándolo muchísimo, tienes esto:

Y tu s rutas dirían:

Ruta en A: A la subred B, se llega por la IP 2.
Ruta en B: A la subred A, se llega por la IP 1.

Ahora, con tu configuración:


Y tus rutas dirían:
En el router Vodafone: Al router mikrotik, subred 192.168.88.0/24, se llega por la IP 172.16.7.3
En el router Mikrotik: Al router Vodafone, subred 192.168.1.0/24, se llega por la IP 172.16.7.1

¿Problema que le veo a tu setup? Que las direcciones que estás usando son /32 (únicas), y no tienen broadcast ninguno, ni ninguna otra dirección en el segmento. Cuando vayas a meter la segunda ruta en el mikrotik, te la va a marcar en rojo como "unreachable", puesto que, en su lista de direcciones, no hay ninguna interfaz que tenga una IP de ese segmento que pueda alcanzar a otra IP de ese mismo segmento.
¿Solución? Cuando des de alta la 172.16.7.3 en el mikrotik, declárala como /24, para que ese equipo sea efectivamente capaz de "alcanzar" la 172.16.7.1 vía esa interfaz.

Y, si quieres un consejo, deshecha ese setup, coge un mikrotik para el lado izquierdo, y monta dos interfaces wireguard, una para un site-to-site, y otra para los road-warriors, y hazlo como dios manda. Ahora mismo tienes un apaño, que lo único que te produce son dolores de cabeza.

Saludos!

La paciencia que tienes El mikrotik que me recomendaste ya está pedido, a ver si llega mañana o pasado...

Y lo haré como dices, que como decía un compañero... "cuesta casi lo mismo hacer bien que mal las cosas" jejeje

Gracias

Hola! Aquí estoy con el flamante nuevo equipo... lo que he caído en la cuenta que realmente no necesito (o no puedo) tener conexiones site-2-site, ya que como los routers 4G que están por fuera de la oficina tienen cg-nat, (creo que) no puedo establecer un túnel entre los dos, sino sólo que automáticamente el mikrotik 4G levante una vpn como cliente contra el servidor (nuevo equipo) de la oficina.
No sé si es relevante.
Os sigo contando mis desventuras. Gracias de nuevo.