IPTV Vodafone en Mikrotik

Pues vaya!.

La mac de la LAN del Sercomm (que es la más importante, la que debes asignar al bridge) la obtienes, o bien entrando en el Sercomm y mirando en "Status & Support" en LAN Network, la MAC que hay ahí. O bien, la dirección que figura en una etiqueta en su base, que en principio, coincide con la dirección MAC del propio cacharro (yo tengo un Sercomm que uso de AP, aunque no tengo Vodafone: lo conseguí por otro lado). La mac del puerto WAN, no sé como se obtiene, deberás averiguarlo. Pero creo que esta última no es tan relevante.

Si esto no te funcionara, deberíamos ver una cosa curiosa que tiene la configuración del Sercomm para IPTV. Si miras en el Sercomm en "Settings -> TV Settings" verás que hay tres redirecciones de puertos. Las llama "TiVo-Incoming-1", "TiVo-Incoming-2" y "TiVo-Incoming-3". A cada una le asigna tres direcciones de la LAN con el puerto 161, desde los puerto exteriores 161, 10001 y 10002. No sé si esto es una previsión para tres descos (TIVOs) o que el TIVO está esperando tres direcciones de LAN con tres entradas de flujos desde tres puertos públicos distintos (161, 10001 y 10002). Nosotros, con la configuración que tienes, le estamos mandando a una una dirección del TIVO (la 192.168.2.251) TODO el flujo de entrada desde la vlan 105 al desco, con la regla NAT. Si sólo estuviera esperando una dirección LAN el desco, debería funcionar como está. Si Vodafone es tan retorcido que asigna tres direcciones LAN al mismo desco (que ya me extraña), podríamos hacer una apaño para poner tres reglas NAT desde esos puertos, precisamente. Pero vayamos por partes: primero, prueba asignar la MAC de la LAN del Sercomm a tu bridge. Después, puedes modificar la regla NAT en este sentido:

add action=dst-nat chain=dstnat dst-address-type=local in-interface=TIVO src-port=161 to-addresses=192.168.2.251 to-port=161

para que el NAT respete los mismos números de puerto (creo que es una chorrada, pero por probar... que no quede).

Si vemos que no funcionase tampoco, ya te diría como crear las otras dos direcciones y las reglas NAT, que es algo más complejo.

Ya me dices. Suerte !!!
 
Ah! Y esa MAC que tienes asignada en tu bridge y no sabes de donde viene. es la de tu router MT original, por defecto. Si miras en la caja, verás que es la misma. Guárdala, por si hacemos la siguiente fase, para asignársela a otro bridge que creemos.

buenas noches
 
Tampoco. Te voy a mandar de nuevo como tengo el Mikrotik por si se me ha pasado algo...

Código: 
/interface bridge
add admin-mac=E8:1B:69:59:03:3C auto-mac=no comment=defconf igmp-snooping=yes name=LAN-Bridge
/interface ethernet
set [ find default-name=ether1 ] comment=ISP
set [ find default-name=ether2 ] comment=Switch
set [ find default-name=ether3 ] comment=PC
set [ find default-name=ether5 ] comment=AP
set [ find default-name=ether6 ] comment=LM
set [ find default-name=ether7 ] disabled=yes
set [ find default-name=ether8 ] disabled=yes
set [ find default-name=ether10 ] comment=IPTV
set [ find default-name=sfp-sfpplus1 ] disabled=yes
/interface vlan
add interface=ether1 name=INTERNET vlan-id=100
add interface=ether1 name=TIVO vlan-id=105
/interface pppoe-client
add add-default-route=yes disabled=no interface=INTERNET name=PPPoE-out1 user=ONH0000872543@vodafone
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/ip dhcp-server option
add code=12 name=TIVO value="'TIVO'"
/ip pool
add name=LAN-Pool ranges=192.168.2.20-192.168.2.150
add name=vpn ranges=10.10.1.1-10.10.1.200
add name=VPN-Pool ranges=192.168.10.20-192.168.10.250
/ip dhcp-server
add address-pool=LAN-Pool disabled=no interface=LAN-Bridge name=DHCP-LAN
/ppp profile
add change-tcp-mss=yes interface-list=LAN local-address=192.168.10.1 name=profile-acceso-router remote-address=VPN-Pool use-encryption=yes
set *FFFFFFFE local-address=10.10.1.1 remote-address=vpn
/user group
set full policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,sniff,sensitive,api,romon,dude,tikapp
/interface bridge port
add bridge=LAN-Bridge comment=defconf interface=ether2
add bridge=LAN-Bridge comment=defconf interface=ether3
add bridge=LAN-Bridge comment=defconf interface=ether4
add bridge=LAN-Bridge comment=defconf interface=ether5
add bridge=LAN-Bridge comment=defconf interface=ether6
add bridge=LAN-Bridge comment=defconf interface=ether7
add bridge=LAN-Bridge comment=defconf interface=ether8
add bridge=LAN-Bridge comment=defconf interface=ether9
add bridge=LAN-Bridge comment=defconf interface=sfp-sfpplus1
add bridge=LAN-Bridge interface=ether10
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set use-ipsec=required
/interface list member
add comment=defconf interface=LAN-Bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=PPPoE-out1 list=WAN
/interface sstp-server server
set default-profile=default-encryption
/ip address
add address=192.168.2.1/24 comment=defconf interface=LAN-Bridge network=192.168.2.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add add-default-route=no disabled=no interface=TIVO use-peer-dns=no use-peer-ntp=no
/ip dhcp-server lease
add address=192.168.2.225 client-id=1:cc:9e:a2:62:f2:cc comment="Alexa Yoga" mac-address=CC:9E:A2:62:F2:CC server=DHCP-LAN
add address=192.168.2.222 comment="Alexa Estudio" mac-address=14:91:38:F3:DF:F0 server=DHCP-LAN
add address=192.168.2.221 client-id=1:44:0:49:4d:e4:ab comment="Alexa Salon" mac-address=44:00:49:4D:E4:AB server=DHCP-LAN
add address=192.168.2.224 client-id=1:5c:41:5a:93:bd:85 comment="Alexa Cocina" mac-address=5C:41:5A:93:BD:85 server=DHCP-LAN
add address=192.168.2.13 client-id=1:44:85:0:30:1e:61 comment="PC Curro" mac-address=44:85:00:30:1E:61 server=DHCP-LAN
add address=192.168.2.231 comment="Xiaomi Vacuum" mac-address=40:31:3C:A2:E3:3B server=DHCP-LAN
add address=192.168.2.145 client-id=1:7c:d5:66:b8:e7:90 comment=Despertador mac-address=7C:D5:66:B8:E7:90 server=DHCP-LAN
add address=192.168.2.232 client-id=1:e8:f2:e2:ab:ea:39 comment="TV Salon" mac-address=E8:F2:E2:AB:EA:39 server=DHCP-LAN
add address=192.168.2.11 client-id=1:b8:ac:6f:9d:62:d6 comment="PC Estudio" mac-address=B8:AC:6F:9D:62:D6 server=DHCP-LAN
add address=192.168.2.12 client-id=1:ea:f2:30:ce:22:b6 comment="Movil David" mac-address=EA:F2:30:CE:22:B6 server=DHCP-LAN
add address=192.168.2.129 client-id=1:20:9a:7d:72:48:a0 comment=TIVO mac-address=20:9A:7D:72:48:A0 server=DHCP-LAN
/ip dhcp-server network
add address=192.168.2.0/24 comment=defconf gateway=192.168.2.1 netmask=24
add address=192.168.2.251/32 dhcp-option=TIVO gateway=192.168.2.1 netmask=29
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip dns static
add address=192.168.2.1 comment=defconf name=router.lan
/ip firewall address-list
add address=b8f60a38c7a4.sn.mynetname.net list=public-ip
add address=4ac704c13b00.sn.mynetname.net list=ip-aitas
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=input comment="Accept TIVO traffic" in-interface=TIVO
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=accept chain=forward in-interface-list=LAN
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=set-priority chain=postrouting new-priority=4 out-interface=TIVO
add action=set-priority chain=postrouting new-priority=0 out-interface=PPPoE-out1
/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=192.168.2.0/24 src-address=192.168.2.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=192.168.10.0/24
add action=masquerade chain=srcnat comment="TIVO masquerade" out-interface=TIVO
add action=dst-nat chain=dstnat dst-address-type=local in-interface=TIVO protocol=udp src-port=161 to-addresses=192.168.2.129 to-ports=161
add action=dst-nat chain=dstnat comment=NAS disabled=yes dst-address-list=public-ip dst-port=52151 log=yes log-prefix="Conexi\F3n NAS" protocol=tcp to-addresses=192.168.2.201
add action=dst-nat chain=dstnat comment="Solamente para instalar los certificados Lets Encrypt" disabled=yes dst-address-list=public-ip dst-port=80 protocol=tcp to-addresses=192.168.2.201 to-ports=40080
add action=dst-nat chain=dstnat comment="Hacia Proxy Inverso" dst-address-list=public-ip dst-port=443 protocol=tcp to-addresses=192.168.2.201 to-ports=40443
add action=dst-nat chain=dstnat comment=Plex disabled=yes dst-address-list=ip-aitas dst-port=32400 protocol=tcp src-address-list=ip-aitas to-addresses=192.168.2.201
add action=dst-nat chain=dstnat comment=LM disabled=yes dst-address-list=public-ip dst-port=52200 protocol=tcp to-addresses=192.168.2.205 to-ports=443
/ip route
add distance=1 dst-address=10.8.57.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.8.58.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.8.59.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.10.2.0/24 gateway=10.10.1.2
add distance=1 dst-address=10.15.220.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.179.32.0/23 gateway=TIVO pref-src=10.214.13.28
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api address=192.168.2.205/32
set winbox port=8299
set api-ssl disabled=yes
/ppp secret
add name=David profile=profile-acceso-router service=l2tp
add local-address=10.10.1.1 name=Cliente_2 profile=default-encryption remote-address=10.10.1.2 service=l2tp
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=TIVO upstream=yes
add interface=LAN-Bridge
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=D_Router
/system scheduler
add interval=15s name="Mikrotik Despierto" on-event="{\r\
    \n/tool fetch url=\"http://remote:AAaa1111@192.168.2.205/scada-remote\" http-data=\"m=json&r=grp&fn=write&alias=34/3/51&value=1\" http-method=post as-value output=user; \t \r\
    \n}" policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon start-date=nov/16/2019 start-time=13:44:56
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
 
DavidGrandes dijo:
Tampoco. Te voy a mandar de nuevo como tengo el Mikrotik por si se me ha pasado algo...

Código: 
/interface bridge
add admin-mac=E8:1B:69:59:03:3C auto-mac=no comment=defconf igmp-snooping=yes name=LAN-Bridge
/interface ethernet
set [ find default-name=ether1 ] comment=ISP
set [ find default-name=ether2 ] comment=Switch
set [ find default-name=ether3 ] comment=PC
set [ find default-name=ether5 ] comment=AP
set [ find default-name=ether6 ] comment=LM
set [ find default-name=ether7 ] disabled=yes
set [ find default-name=ether8 ] disabled=yes
set [ find default-name=ether10 ] comment=IPTV
set [ find default-name=sfp-sfpplus1 ] disabled=yes
/interface vlan
add interface=ether1 name=INTERNET vlan-id=100
add interface=ether1 name=TIVO vlan-id=105
/interface pppoe-client
add add-default-route=yes disabled=no interface=INTERNET name=PPPoE-out1 user=ONH0000872543@vodafone
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/ip dhcp-server option
add code=12 name=TIVO value="'TIVO'"
/ip pool
add name=LAN-Pool ranges=192.168.2.20-192.168.2.150
add name=vpn ranges=10.10.1.1-10.10.1.200
add name=VPN-Pool ranges=192.168.10.20-192.168.10.250
/ip dhcp-server
add address-pool=LAN-Pool disabled=no interface=LAN-Bridge name=DHCP-LAN
/ppp profile
add change-tcp-mss=yes interface-list=LAN local-address=192.168.10.1 name=profile-acceso-router remote-address=VPN-Pool use-encryption=yes
set *FFFFFFFE local-address=10.10.1.1 remote-address=vpn
/user group
set full policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,sniff,sensitive,api,romon,dude,tikapp
/interface bridge port
add bridge=LAN-Bridge comment=defconf interface=ether2
add bridge=LAN-Bridge comment=defconf interface=ether3
add bridge=LAN-Bridge comment=defconf interface=ether4
add bridge=LAN-Bridge comment=defconf interface=ether5
add bridge=LAN-Bridge comment=defconf interface=ether6
add bridge=LAN-Bridge comment=defconf interface=ether7
add bridge=LAN-Bridge comment=defconf interface=ether8
add bridge=LAN-Bridge comment=defconf interface=ether9
add bridge=LAN-Bridge comment=defconf interface=sfp-sfpplus1
add bridge=LAN-Bridge interface=ether10
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set use-ipsec=required
/interface list member
add comment=defconf interface=LAN-Bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=PPPoE-out1 list=WAN
/interface sstp-server server
set default-profile=default-encryption
/ip address
add address=192.168.2.1/24 comment=defconf interface=LAN-Bridge network=192.168.2.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add add-default-route=no disabled=no interface=TIVO use-peer-dns=no use-peer-ntp=no
/ip dhcp-server lease
add address=192.168.2.225 client-id=1:cc:9e:a2:62:f2:cc comment="Alexa Yoga" mac-address=CC:9E:A2:62:F2:CC server=DHCP-LAN
add address=192.168.2.222 comment="Alexa Estudio" mac-address=14:91:38:F3:DF:F0 server=DHCP-LAN
add address=192.168.2.221 client-id=1:44:0:49:4d:e4:ab comment="Alexa Salon" mac-address=44:00:49:4D:E4:AB server=DHCP-LAN
add address=192.168.2.224 client-id=1:5c:41:5a:93:bd:85 comment="Alexa Cocina" mac-address=5C:41:5A:93:BD:85 server=DHCP-LAN
add address=192.168.2.13 client-id=1:44:85:0:30:1e:61 comment="PC Curro" mac-address=44:85:00:30:1E:61 server=DHCP-LAN
add address=192.168.2.231 comment="Xiaomi Vacuum" mac-address=40:31:3C:A2:E3:3B server=DHCP-LAN
add address=192.168.2.145 client-id=1:7c:d5:66:b8:e7:90 comment=Despertador mac-address=7C:D5:66:B8:E7:90 server=DHCP-LAN
add address=192.168.2.232 client-id=1:e8:f2:e2:ab:ea:39 comment="TV Salon" mac-address=E8:F2:E2:AB:EA:39 server=DHCP-LAN
add address=192.168.2.11 client-id=1:b8:ac:6f:9d:62:d6 comment="PC Estudio" mac-address=B8:AC:6F:9D:62:D6 server=DHCP-LAN
add address=192.168.2.12 client-id=1:ea:f2:30:ce:22:b6 comment="Movil David" mac-address=EA:F2:30:CE:22:B6 server=DHCP-LAN
add address=192.168.2.129 client-id=1:20:9a:7d:72:48:a0 comment=TIVO mac-address=20:9A:7D:72:48:A0 server=DHCP-LAN
/ip dhcp-server network
add address=192.168.2.0/24 comment=defconf gateway=192.168.2.1 netmask=24
add address=192.168.2.251/32 dhcp-option=TIVO gateway=192.168.2.1 netmask=29
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip dns static
add address=192.168.2.1 comment=defconf name=router.lan
/ip firewall address-list
add address=b8f60a38c7a4.sn.mynetname.net list=public-ip
add address=4ac704c13b00.sn.mynetname.net list=ip-aitas
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=input comment="Accept TIVO traffic" in-interface=TIVO
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=accept chain=forward in-interface-list=LAN
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=set-priority chain=postrouting new-priority=4 out-interface=TIVO
add action=set-priority chain=postrouting new-priority=0 out-interface=PPPoE-out1
/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=192.168.2.0/24 src-address=192.168.2.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=192.168.10.0/24
add action=masquerade chain=srcnat comment="TIVO masquerade" out-interface=TIVO
add action=dst-nat chain=dstnat dst-address-type=local in-interface=TIVO protocol=udp src-port=161 to-addresses=192.168.2.129 to-ports=161
add action=dst-nat chain=dstnat comment=NAS disabled=yes dst-address-list=public-ip dst-port=52151 log=yes log-prefix="Conexi\F3n NAS" protocol=tcp to-addresses=192.168.2.201
add action=dst-nat chain=dstnat comment="Solamente para instalar los certificados Lets Encrypt" disabled=yes dst-address-list=public-ip dst-port=80 protocol=tcp to-addresses=192.168.2.201 to-ports=40080
add action=dst-nat chain=dstnat comment="Hacia Proxy Inverso" dst-address-list=public-ip dst-port=443 protocol=tcp to-addresses=192.168.2.201 to-ports=40443
add action=dst-nat chain=dstnat comment=Plex disabled=yes dst-address-list=ip-aitas dst-port=32400 protocol=tcp src-address-list=ip-aitas to-addresses=192.168.2.201
add action=dst-nat chain=dstnat comment=LM disabled=yes dst-address-list=public-ip dst-port=52200 protocol=tcp to-addresses=192.168.2.205 to-ports=443
/ip route
add distance=1 dst-address=10.8.57.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.8.58.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.8.59.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.10.2.0/24 gateway=10.10.1.2
add distance=1 dst-address=10.15.220.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.179.32.0/23 gateway=TIVO pref-src=10.214.13.28
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api address=192.168.2.205/32
set winbox port=8299
set api-ssl disabled=yes
/ppp secret
add name=David profile=profile-acceso-router service=l2tp
add local-address=10.10.1.1 name=Cliente_2 profile=default-encryption remote-address=10.10.1.2 service=l2tp
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=TIVO upstream=yes
add interface=LAN-Bridge
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=D_Router
/system scheduler
add interval=15s name="Mikrotik Despierto" on-event="{\r\
    \n/tool fetch url=\"http://remote:AAaa1111@192.168.2.205/scada-remote\" http-data=\"m=json&r=grp&fn=write&alias=34/3/51&value=1\" http-method=post as-value output=user; \t \r\
    \n}" policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon start-date=nov/16/2019 start-time=13:44:56
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
Haz clic para expandir...
Bueno. Pues vamos a hacer algo que quizás debiéramos haber hecho al principio, pero que no quise para no liarte, ya que te estaba funcionando la TV: crear un IPTV-Bridge separado. Esto tiene varios beneficios.
1) Nos va a permitir crear un pool para las tres direcciones del desco, tal y como viene el el Sercomm y sendas reglas NAT. A ver si así chuta de una maldita vez.
2) Además, al separar el tráfico de IPTV y enchufarlo sólo al puerto ether10, al bridge principal le puedes quitar el IGMP-snooping y te funcionará el Hardware Offloading (aceleración hardware) en el switch para los otros puertos. Con ello aprovecharás esa facilidad e irá como una moto, sobre todo en tráfico entre puertos.
3) Por último, si conseguimos que funcione IPTV, y en algún momento quisieras llevarte un desco y la IPTV a otra localización (casa de la playa), lo podrías hacer con un túnel EoiP desde el IPTV-Bridge precisamente.

Manos a la obra:

a) Crea un IPTV-Bridge. Le vas a poner la MAC de la LAN del Sercomm (se la clonamos) y al LAN-Bridge, le pones la original que te daba el MT, que creo que es esta. Como ves, le he quitado el igmp-snooping al LAN-Bridge, para que tenga HW Offloading

/interface bridge
add admin-mac=LA:DE:EL:SE:RC:OM:MM auto-mac=no igmp-snooping=yes name=IPTV-Bridge
add admin-mac=74:4D:28:89:9B:11 auto-mac=no comment=defconf name=LAN-Bridge

b) Saca el ether10 del LAN-Bridge. Para ello vas a Bridge -> Ports y eliminas el puerto ether10

c) Añade ether10 a IPTV-Bridge.

/interface bridge port
add bridge=IPTV-Bridge hw=no interface=ether10

d) Añadimos el IPTV-Bridge a la lista LAN.

/interface list member
add interface=IPTV-Bridge list=LAN

e) Creamos un pool para el IPTV-Bridge.

/ip pool
add comment="Pool for IPTV-bridge subnet" name=IPTV-pool ranges=192.168.3.129-192.168.3.131

f) Damos dirección al IPTV-Bridge.

/ip address
add address=192.168.3.1/24 comment="IPTV subnet" interface=IPTV-Bridge \
network=192.168.3.0

g) Elimina la lease estática que tenías al desco desde el LAN-Bridge, y apaga el desco.

h) Definimos la red para el DHCP del IPTV-Bridge. (Si te diera error la máscara /25, cambia el valor de la misma a /24, que no lo he probado en mi equipo)

/ip dhcp-server network
add address=192.168.3.129/25 comment="IPTV-Bridge subnet" dhcp-option=TIVO \
gateway=192.168.3.1 netmask=24

i) Arrancamos el DHCP para el IPTV-Bridge

/ip dhcp-server
add address-pool=IPTV-pool disabled=no interface=IPTV-Bridge \
lease-time=22h name=IPTV-dhcp-server

j) Ahora toca las reglas NAT. NO pongas el protocolo, por si necesitara UDP y TCP.

/ip firewall nat
add action=dst-nat chain=dstnat dst-address-type=local in-interface=TIVO dst-port=161 to-addresses=192.168.3.129 to-ports=161
add action=dst-nat chain=dstnat dst-address-type=local in-interface=TIVO dst-port=10001 to-addresses=192.168.3.130 to-ports=161
add action=dst-nat chain=dstnat dst-address-type=local in-interface=TIVO dst-port=10002 to-addresses=192.168.3.131 to-ports=161

k) Ahora toca modificar el IGMP-Proxy. Con esto SOLO inyectará tráfico IPTV al IPTV-Bridge y al puerto ether10, a él conectado. Sólo debes cambiar la interfaz de salida.

/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=TIVO upstream=yes
add interface=IPTV-Bridge

L) Y ahora toca reboot, por si acaso.

m) Y por fin, los consabidos pasos para poner la dirección del desco estática a 192.168.3.129. Ya sabes.

Ahora verás que en todos los puertos del LAN-Bridge te aparece a su lado un H. Eso es que se ha puesto en marcha la aceleración hardware. Si no te apareciera, debes entrar en el LAN-Bridge y poner el protocolo a "none". (NO recuerdo si el 4011 es compatible con STP/RSTP, pero creo que sí, por lo que esto no haría falta: /interface bridge add name=LAN-Bridge protocol-mode=none)

A ver si hay suerte. Ya me cuentas.
 
Última edición:
Huy!. Me he dado cuenta que había escrito mal las reglas de dst-nat. Tenía que haber puesto dst-port y to-port, así:
add action=dst-nat chain=dstnat dst-address-type=local in-interface=TIVO dst-port=161 to-addresses=192.168.3.129 to-ports=161

Estaba también mal en el consejo que te di ayer. Mira si no funcionaba por eso... De todas maneras, la recomendación de crear un IPTV-Bridge sigue siendo válida. Ahí SÍ he corregido las reglas. Disculpa...
 
DavidGrandes dijo:
add action=dst-nat chain=dstnat dst-address-type=local in-interface=TIVO protocol=udp src-port=161 to-addresses=192.168.2.129 to-ports=161
Haz clic para expandir...
La del otro día debía ser así:
add action=dst-nat chain=dstnat dst-address-type=local in-interface=TIVO dst-port=161 to-addresses=192.168.2.129 to-ports=161
 
Buenos dias @furny, estoy actualizando la configuración y la parte de:

/ip dhcp-server network
add address=192.168.3.129/25 comment="IPTV-Bridge subnet" dhcp-option=TIVO \
gateway=192.168.3.1 netmask=24

no me deja poner la red /25 ni /24. La he hecho manual para probar y tampoco. Ahora mismo esta solo la IP 192.168.3.129.

Y al crear las reglas del NAT no me deja crearlas sin poner udp o tcp. Me da error
Sigo con la configuración pero era por si no estaba bien
 
Vale. Pues a la regla cámbiala a:
add address=192.168.3.128/25 comment="IPTV-Bridge subnet" dhcp-option=TIVO \
gateway=192.168.3.1 netmask=24
así damos un intervalo de dirección desde un número entero bits

y las nat, crea 6 reglas, tres para UDP y tres para TCP. A ver que pasa.

Disculpa por los errores, pero es que no lo probé en MK router. Ya me dices...
 
Buenas,

Entiendo que la network que apuntaba antes a la 251 no es necesaria.
Sigue sin funcionar, ya no se si se me escapa algo... he seguido todos los pasos al pie de la letra y nada.

Por otro lado, no veo que me aparezca la H que me dices, échale un ojo al código y me dices si he hecho algo mal... El protocolo lo tengo en RSTP (dentro de la pestaña STP) pero cuando exporto el codigo me aparece protocol-mode=none. No se por que

Código: 
# mar/20/2021 10:28:52 by RouterOS 6.48.1
# software id = E82L-C64C
#
# model = RB4011iGS+
# serial number = B8F60A38C7A4
/interface bridge
add admin-mac=E8:1B:69:59:03:3C auto-mac=no igmp-snooping=yes name=IPTV-Bridge protocol-mode=none
add admin-mac=74:4D:28:89:9B:11 auto-mac=no comment=defconf name=LAN-Bridge
/interface ethernet
set [ find default-name=ether1 ] comment=ISP
set [ find default-name=ether2 ] comment=Switch
set [ find default-name=ether3 ] comment=PC
set [ find default-name=ether5 ] comment=AP
set [ find default-name=ether6 ] comment=LM
set [ find default-name=ether7 ] disabled=yes
set [ find default-name=ether8 ] disabled=yes
set [ find default-name=ether10 ] comment=IPTV
set [ find default-name=sfp-sfpplus1 ] disabled=yes
/interface vlan
add interface=ether1 name=INTERNET vlan-id=100
add interface=ether1 name=TIVO vlan-id=105
/interface pppoe-client
add add-default-route=yes disabled=no interface=INTERNET name=PPPoE-out1 user=ONH0000872543@vodafone
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/ip dhcp-server option
add code=12 name=TIVO value="'TIVO'"
/ip pool
add name=LAN-Pool ranges=192.168.2.20-192.168.2.150
add name=vpn ranges=10.10.1.1-10.10.1.200
add name=VPN-Pool ranges=192.168.10.20-192.168.10.250
add comment="Pool for IPTV-bridge subnet" name=IPTV-pool ranges=192.168.3.129-192.168.3.131
/ip dhcp-server
add address-pool=LAN-Pool disabled=no interface=LAN-Bridge name=DHCP-LAN
add address-pool=IPTV-pool disabled=no interface=IPTV-Bridge lease-time=22h name=IPTV-dhcp-server
/ppp profile
add change-tcp-mss=yes interface-list=LAN local-address=192.168.10.1 name=profile-acceso-router remote-address=VPN-Pool use-encryption=yes
set *FFFFFFFE local-address=10.10.1.1 remote-address=vpn
/user group
set full policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,sniff,sensitive,api,romon,dude,tikapp
/interface bridge port
add bridge=LAN-Bridge comment=defconf interface=ether2
add bridge=LAN-Bridge comment=defconf interface=ether3
add bridge=LAN-Bridge comment=defconf interface=ether4
add bridge=LAN-Bridge comment=defconf interface=ether5
add bridge=LAN-Bridge comment=defconf interface=ether6
add bridge=LAN-Bridge comment=defconf interface=ether7
add bridge=LAN-Bridge comment=defconf interface=ether8
add bridge=LAN-Bridge comment=defconf interface=ether9
add bridge=LAN-Bridge comment=defconf interface=sfp-sfpplus1
add bridge=IPTV-Bridge hw=no interface=ether10
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set enabled=yes use-ipsec=required
/interface list member
add comment=defconf interface=LAN-Bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=PPPoE-out1 list=WAN
add interface=IPTV-Bridge list=LAN
/interface sstp-server server
set default-profile=default-encryption
/ip address
add address=192.168.2.1/24 comment=defconf interface=LAN-Bridge network=192.168.2.0
add address=192.168.3.1/24 comment="IPTV subnet" interface=IPTV-Bridge network=192.168.3.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add add-default-route=no disabled=no interface=TIVO use-peer-dns=no use-peer-ntp=no
/ip dhcp-server lease
add address=192.168.2.225 client-id=1:cc:9e:a2:62:f2:cc comment="Alexa Yoga" mac-address=CC:9E:A2:62:F2:CC server=DHCP-LAN
add address=192.168.2.222 comment="Alexa Estudio" mac-address=14:91:38:F3:DF:F0 server=DHCP-LAN
add address=192.168.2.221 client-id=1:44:0:49:4d:e4:ab comment="Alexa Salon" mac-address=44:00:49:4D:E4:AB server=DHCP-LAN
add address=192.168.2.224 client-id=1:5c:41:5a:93:bd:85 comment="Alexa Cocina" mac-address=5C:41:5A:93:BD:85 server=DHCP-LAN
add address=192.168.2.13 client-id=1:44:85:0:30:1e:61 comment="PC Curro" mac-address=44:85:00:30:1E:61 server=DHCP-LAN
add address=192.168.2.231 comment="Xiaomi Vacuum" mac-address=40:31:3C:A2:E3:3B server=DHCP-LAN
add address=192.168.2.145 client-id=1:7c:d5:66:b8:e7:90 comment=Despertador mac-address=7C:D5:66:B8:E7:90 server=DHCP-LAN
add address=192.168.2.232 client-id=1:e8:f2:e2:ab:ea:39 comment="TV Salon" mac-address=E8:F2:E2:AB:EA:39 server=DHCP-LAN
add address=192.168.2.11 client-id=1:b8:ac:6f:9d:62:d6 comment="PC Estudio" mac-address=B8:AC:6F:9D:62:D6 server=DHCP-LAN
add address=192.168.2.12 client-id=1:ea:f2:30:ce:22:b6 comment="Movil David" mac-address=EA:F2:30:CE:22:B6 server=DHCP-LAN
/ip dhcp-server network
add address=192.168.2.0/24 comment=defconf gateway=192.168.2.1 netmask=24
add address=192.168.3.128/25 comment="IPTV-Bridge subnet" dhcp-option=TIVO gateway=192.168.3.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip dns static
add address=192.168.2.1 comment=defconf name=router.lan
/ip firewall address-list
add address=b8f60a38c7a4.sn.mynetname.net list=public-ip
add address=4ac704c13b00.sn.mynetname.net list=ip-aitas
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=input comment="Accept TIVO traffic" in-interface=TIVO
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=accept chain=forward in-interface-list=LAN
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=set-priority chain=postrouting new-priority=4 out-interface=TIVO
add action=set-priority chain=postrouting new-priority=0 out-interface=PPPoE-out1
/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=192.168.2.0/24 src-address=192.168.2.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=192.168.10.0/24
add action=masquerade chain=srcnat comment="TIVO masquerade" out-interface=TIVO
add action=dst-nat chain=dstnat comment=NAS disabled=yes dst-address-list=public-ip dst-port=52151 log=yes log-prefix="Conexi\F3n NAS" protocol=tcp to-addresses=192.168.2.201
add action=dst-nat chain=dstnat comment="Solamente para instalar los certificados Lets Encrypt" disabled=yes dst-address-list=public-ip dst-port=80 protocol=tcp to-addresses=192.168.2.201 to-ports=40080
add action=dst-nat chain=dstnat comment="Hacia Proxy Inverso" dst-address-list=public-ip dst-port=443 protocol=tcp to-addresses=192.168.2.201 to-ports=40443
add action=dst-nat chain=dstnat comment=Plex dst-address-list=public-ip dst-port=32400 protocol=tcp to-addresses=192.168.2.201
add action=dst-nat chain=dstnat comment=LM disabled=yes dst-address-list=public-ip dst-port=52200 protocol=tcp to-addresses=192.168.2.205 to-ports=443
add action=dst-nat chain=dstnat dst-address-type=local dst-port=161 in-interface=TIVO protocol=udp to-addresses=192.168.3.129 to-ports=161
add action=dst-nat chain=dstnat dst-address-type=local dst-port=10001 in-interface=TIVO protocol=udp to-addresses=192.168.3.130 to-ports=161
add action=dst-nat chain=dstnat dst-address-type=local dst-port=10002 in-interface=TIVO protocol=udp to-addresses=192.168.3.131 to-ports=161
add action=dst-nat chain=dstnat dst-address-type=local dst-port=161 in-interface=TIVO protocol=tcp to-addresses=192.168.3.129 to-ports=161
add action=dst-nat chain=dstnat dst-address-type=local dst-port=10001 in-interface=TIVO protocol=tcp to-addresses=192.168.3.130 to-ports=161
add action=dst-nat chain=dstnat dst-address-type=local dst-port=10002 in-interface=TIVO protocol=tcp to-addresses=192.168.3.131 to-ports=161
/ip route
add distance=1 dst-address=10.8.57.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.8.58.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.8.59.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.10.2.0/24 gateway=10.10.1.2
add distance=1 dst-address=10.15.220.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.179.32.0/23 gateway=TIVO pref-src=10.214.13.28
add disabled=yes distance=1 dst-address=192.168.1.0/24 gateway=10.10.1.2
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api address=192.168.2.205/32
set winbox port=8299
set api-ssl disabled=yes
/ppp secret
add name=David profile=profile-acceso-router service=l2tp
add local-address=10.10.1.1 name=Cliente_2 profile=default-encryption remote-address=10.10.1.2 service=l2tp
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=TIVO upstream=yes
add interface=IPTV-Bridge
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=D_Router
/system scheduler
add interval=15s name="Mikrotik Despierto" on-event="{\r\
    \n/tool fetch url=\"http://remote:AAaa1111@192.168.2.205/scada-remote\" http-data=\"m=json&r=grp&fn=write&alias=34/3/51&value=1\" http-method=post as-value output=user; \t \r\
    \n}" policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon start-date=nov/16/2019 start-time=13:44:56
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Te voy a pasar el código de nuevo a ver si hay algo que no tengo bien
 
DavidGrandes dijo:
Entiendo que la network que apuntaba antes a la 251 no es necesaria
Haz clic para expandir...
Hola. No, no es ya necesaria. La hemos cambiado por la 192.168.3.128/25

DavidGrandes dijo:
Por otro lado, no veo que me aparezca la H que me dices, échale un ojo al código y me dices si he hecho algo mal... El protocolo lo tengo en RSTP (dentro de la pestaña STP) pero cuando exporto el codigo me aparece protocol-mode=none. No se por que
Haz clic para expandir...
Si no te aparecen las "H" al lado de cada port (del 1-9) en /interface bridge port print, no está haciendo HW. Eso es que el 4011 no soporta protocolos interbridge (STP o RSTP). Lo he mirado en el manual y, efectivamente, no soporta HW Offloading y esos protocolos a la vez (solo los routers/switch gordos, de la serie profesional). Mira: https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge

Para activarlo HW Offloading, debes poner a "none" el protocolo en LAN-Bridge (no te preocupes en quitarlo: esos protocolos sirven básicamente para evitar bucles indeseados cuando conectas varios routers entre sí en circulo o polígono):

/interface bridge
add admin-mac=74:4D:28:89:9B:11 auto-mac=no comment=defconf name=LAN-Bridge protocol-mode=none

Después de hacerlo, se reinicia al cabo de unos segundos el bridge y ya te aparecerán las H (si no, reboot)

De lo demás, lo único que veo es que no has puesto estático el desco de TIVO a la dirección nueva 192.168.3.129. Ya sabes:

a) Make static a la dirección del TIVO que tuviera asignada por el DHCP
b) entras en el lease de nuevo y le cambias la dirección estática a 192.168.3.129
c) APAGAS Y DESENCHUFAS el set-top-box TIVO.
d) Lo vuelves a encender y compruebas que ha pillado la dirección correcta: 192.168.3.129

Si tras esto no te funcionase, lo último que se me ocurre es que clones también la MAC de la WAN del Sercomm y se la pongas a ether1. Para averiguar esa MAC, se me ocurre que enchufes el Sercomm a un puerto del MT y veas la MAC que está pidiendo por ese puerto dirección, bien en el DHCP de MT o bien en el LOG del MT.

Ya se me agotan las ideas! Siento que esté costando dar con la tecla!

Ya me dices. Suerte!!!
 
Buenas @furny, ya he hecho algunas de las configuraciones que me pones y lo único que me quedarías es clonar las MACS. Esta semana me va a ser imposible por que estoy fuera por trabajo.

Por otro lado @pokoyo he estado pensando en el tema de las VPN's y no tener que abrir puertos pero poder hacer los routers clientes lo mas iguales posibles. No se si lo habías pensado o no es la mejor forma, pero no se puede hacer algo como hacer la conexión VPN, ya sea por L2TP o por SSTP que sea la misma dirección y el mismo pool interno para todos los clientes y levantar yo la conexión del cliente que yo quiera? Es decir, que el cliente se intente conectar pero no se conecta hasta que yo no le doy permiso desde mi routers. Así solo crearía una ruta estática hacia un pool en concreto que estaría disponible cuando creo la conexión.

Un Saludo
 
DavidGrandes dijo:
Buenas @furny, ya he hecho algunas de las configuraciones que me pones y lo único que me quedarías es clonar las MACS. Esta semana me va a ser imposible por que estoy fuera por trabajo.

Por otro lado @pokoyo he estado pensando en el tema de las VPN's y no tener que abrir puertos pero poder hacer los routers clientes lo mas iguales posibles. No se si lo habías pensado o no es la mejor forma, pero no se puede hacer algo como hacer la conexión VPN, ya sea por L2TP o por SSTP que sea la misma dirección y el mismo pool interno para todos los clientes y levantar yo la conexión del cliente que yo quiera? Es decir, que el cliente se intente conectar pero no se conecta hasta que yo no le doy permiso desde mi routers. Así solo crearía una ruta estática hacia un pool en concreto que estaría disponible cuando creo la conexión.

Un Saludo
Haz clic para expandir...
perdona que no te haya escrito antes, pero no he tenido tiempo de ir trasteando con el setup, y hasta hoy no conseguí sacar un rato.

Sigo pensando que la mejor opción es SSTP, tal que tú configures todos tus routers iguales, y ellos levanten un túnel hacia atrás, al principal, como si ellos fueran "branches" y tú una "head office". Lo que no tengo tan claro es si vas a poder usar o no el mismo pool LAN en todos los equipos, pero sí que he podido probar que, con un setup muy parecido al tuyo (hap-ac2 debajo de un router de operadora), es capaz de levantar perfectamente el cliente y establecer el túnel. El equipo local no tiene visibilidad del remoto (la head office, el tuyo), hasta que no añade las rutas correspondientes a mano, así que por ahí vamos bien. Y, en el remoto, puedes crear un ppp -> secret para cada usuario, asignando una ruta dinámica, por si necesitaras acceder a la LAN del otro lado. Esto está probado y funcionando.

Si no necesitas ni eso, ni el acceso LAN a los clientes que pendan del mikrotik, con hacer un ping (quien dice un ping, dice levantar winbox) a la IP del otro lado del túnel, creo que ya lo tendrías. Para ello tendrías que aceptar en el chain de input la LAN del router remoto o la IP del otro extremo del túnel (ahora dudo si una u otra, dependiendo de con cual llegues)

Te dejo unos pincelazos de lo que te comento, por si quieres ir trasteando, mientras yo lo pruebo bien probado durante esta semana

Lado head office (tu 4011): hay que crear una CA y un certificado servidor. Tienes un ejemplo en los manuales de IKEv2/OpenVPN. El servidor, podría ser algo así:
1616442608761.png


Y el PPP -> Secret, tal que así (imagínate que necesitas acceder a la LAN remota, y esta está en la 192.168.88.1/24, la red por defecto de los mikrotik)

1616442769392.png


Y en el chain de input del router de "head office", el 3443 o el puerto que quieras usar, abierto y hacia el propio router:
1616442861007.png


Y en el router "branch" o cliente, sólo tendrías que levantar el servicio ppp-client, con los siguientes datos:
1616442984724.png


Con esto lo tendrías listo. Los dos extremos del túnel tienen IP's /32, de un segmento "raro" 172.168.0.0/24, para identificarlas bien. Si tú estás en tu red local y levantas winbox hacia la IP del otro extremo del túnel, ya tendrías conectividad. Si no necesitas ni si quiera acceso a la LAN de los clientes, la parte de la ruta dinámica que ves en "Routes" en el PPP te la puedes ahorrar.

Saludos!
 
Perfecto entendido!

Voy a salsear a ver si dejo preparado lo que voy entendiendo hasta que puedas hacer las pruebas definitivas.

Hay alguna duda que tengo:
-Haciendo esto el tunel SSTP de todos los clientes esta levantado siempre hacia mi router no? O se levanta cuando yo accedo por winbox?
-Los certificados que voy a crear podría utilizarlos también para el acceso por https de mi dominio? Lo que he estado haciendo con el proxy inverso?

El acceso a la red interna del mikrotik local (el del cliente) si me interesaría tenerlo.

Voy creando los cerfificados y el servidor IKEv2 que por lo que veo es mas rapido e igual de seguro.

Muchas gracias!!
 
Última edición:
DavidGrandes dijo:
Voy a salsear a ver si dejo preparado lo que voy entendiendo hasta que puedas hacer las pruebas definitivas.
Hay algo que no me queda claro del todo, haciendo esto el tunel SSTP de todos los clientes esta levantado siempre hacia mi router no? O se levanta cuando yo accedo por winbox?
Haz clic para expandir...
Es una interfaz que está siempre levantada, y que reconecta en cualquier momento cuando haces un cambio, automáticamente. Y sí, tendrías un túnel por cliente, pero descuida que no te van a chutar ningún tráfico, puesto que no van a tener una ruta por defecto creada para esa conexión.

DavidGrandes dijo:
Y por otro lado, los certificados que voy a crear podria utilizarlos tambien para el acceso por https de mi dominio? Lo que he estado haciendo con el proxy inverso?
Haz clic para expandir...
Si ya tienes creados unos certificados firmados públicamente, puedes instalarlos también y usarlos en su lugar. Estos que aparecen en el manual son auto-firmados, es decir, creas y confías en tu propia CA, tal que luego firmas el resto de los certificados con esa CA auto-confiada. Puedes usar los auto-firmados, pero te tocará importar la CA allá donde quieras usarla y marcarla como confiable. La gracia de los certificados intermedios HTTPs es que los firme una CA pública, tal que el propio navegador o allá donde se usen, no necesites importar ninguna CA.

DavidGrandes dijo:
El acceso a la red interna del mikrotik local (el del cliente) si me interesaría tenerlo.
Haz clic para expandir...
En ese caso tienes que meter la ruta en el secreto PPP, para que se cree dinámicamente cuando el cliente establezca la conexión, tal y como ves en el pantallazo. Pero me da que, si lo haces así, vas a necesitar tener un segmento LAN distinto para cada cliente, porque sino tendrías muchas rutas en tu equipo con el mismo segmento de red, accesibles por distintas IP's de túnel remoto, y eso no te va a funcionar.
De ahí que te dijera que, lo suyo, es que el sentido sea el contrario, tener el servidor en los equipos clientes y tú levantar la conexión desde tu mikrotik cuando necesites acceder a ellos. Pero claro, ahí tienes la pega de tener que abrir puertos o poner en DMZ ese equipo con el de la operadora de la casa de los clientes.

DavidGrandes dijo:
Voy creando los cerfificados y el servidor IKEv2 que por lo que veo es mas rapido e igual de seguro.
Haz clic para expandir...
IKEv2 también se puede montar en modo túnel site-to-site (que es el ejemplo que estamos intentando montar), pero no está descrito en los manuales, aunque lo tienes explicado por internet.

Saludos!
 
pokoyo dijo:
Es una interfaz que está siempre levantada, y que reconecta en cualquier momento cuando haces un cambio, automáticamente. Y sí, tendrías un túnel por cliente, pero descuida que no te van a chutar ningún tráfico, puesto que no van a tener una ruta por defecto creada para esa conexión.


Si ya tienes creados unos certificados firmados públicamente, puedes instalarlos también y usarlos en su lugar. Estos que aparecen en el manual son auto-firmados, es decir, creas y confías en tu propia CA, tal que luego firmas el resto de los certificados con esa CA auto-confiada. Puedes usar los auto-firmados, pero te tocará importar la CA allá donde quieras usarla y marcarla como confiable. La gracia de los certificados intermedios HTTPs es que los firme una CA pública, tal que el propio navegador o allá donde se usen, no necesites importar ninguna CA.


En ese caso tienes que meter la ruta en el secreto PPP, para que se cree dinámicamente cuando el cliente establezca la conexión, tal y como ves en el pantallazo. Pero me da que, si lo haces así, vas a necesitar tener un segmento LAN distinto para cada cliente, porque sino tendrías muchas rutas en tu equipo con el mismo segmento de red, accesibles por distintas IP's de túnel remoto, y eso no te va a funcionar.
De ahí que te dijera que, lo suyo, es que el sentido sea el contrario, tener el servidor en los equipos clientes y tú levantar la conexión desde tu mikrotik cuando necesites acceder a ellos. Pero claro, ahí tienes la pega de tener que abrir puertos o poner en DMZ ese equipo con el de la operadora de la casa de los clientes.


IKEv2 también se puede montar en modo túnel site-to-site (que es el ejemplo que estamos intentando montar), pero no está descrito en los manuales, aunque lo tienes explicado por internet.

Saludos!
Haz clic para expandir...

Creo que lo suyo entonces va a ser hacer como me dijiste al principio para poder hacer todos los routers iguales. Montar un servidor en el router cliente y poner en DMZ el router de la compañia hacia el Mikrotik. Lo de levantar la conexión desde el Mikrotik principal para que es para unir las 2 redes? Que es mejor así que levantar la conexión VPN desde el PC desde donde vayas a conectarte? En estte caso valdría
pokoyo dijo:
Es una interfaz que está siempre levantada, y que reconecta en cualquier momento cuando haces un cambio, automáticamente. Y sí, tendrías un túnel por cliente, pero descuida que no te van a chutar ningún tráfico, puesto que no van a tener una ruta por defecto creada para esa conexión.


Si ya tienes creados unos certificados firmados públicamente, puedes instalarlos también y usarlos en su lugar. Estos que aparecen en el manual son auto-firmados, es decir, creas y confías en tu propia CA, tal que luego firmas el resto de los certificados con esa CA auto-confiada. Puedes usar los auto-firmados, pero te tocará importar la CA allá donde quieras usarla y marcarla como confiable. La gracia de los certificados intermedios HTTPs es que los firme una CA pública, tal que el propio navegador o allá donde se usen, no necesites importar ninguna CA.


En ese caso tienes que meter la ruta en el secreto PPP, para que se cree dinámicamente cuando el cliente establezca la conexión, tal y como ves en el pantallazo. Pero me da que, si lo haces así, vas a necesitar tener un segmento LAN distinto para cada cliente, porque sino tendrías muchas rutas en tu equipo con el mismo segmento de red, accesibles por distintas IP's de túnel remoto, y eso no te va a funcionar.
De ahí que te dijera que, lo suyo, es que el sentido sea el contrario, tener el servidor en los equipos clientes y tú levantar la conexión desde tu mikrotik cuando necesites acceder a ellos. Pero claro, ahí tienes la pega de tener que abrir puertos o poner en DMZ ese equipo con el de la operadora de la casa de los clientes.


IKEv2 también se puede montar en modo túnel site-to-site (que es el ejemplo que estamos intentando montar), pero no está descrito en los manuales, aunque lo tienes explicado por internet.

Saludos!
Haz clic para expandir...

Creo que lo mas facil va a ser como me decias al principio, por que me estan metiendo un poco de prisa con el proyecto y quiero tener algo y así hago todos los routers iguales.

Lo que ahora mismo tengo es conexión por L2TP al equipo cliente abriendo DMZ y de esa manera tengo acceso a toda la red.

Para hacer como me decías al principio (servidor en el router cliente) también dirías de hacerlo por SSTP? O directamente montar un L2TP y yo conectarme cuando necesite hacerlo? Que diferencia habría entre conectarme desde el PC desde el que quiero hacer la asistencia o desde el Mikrotik?

Quiero hacerlo como mas fácil sea y si esto funciona ya contratare a un informático que controle bien de VPN's por que me estoy comiendo el coco y no quiero que salga mal si me salto alguna regla.

Un Saludo
 
Lo más sencillo es lo primero de lo que hablamos: todos los mikrotik iguales y un servidor l2tp con ipsec con un usuario generico de administración remota. Router de la operadora en dmz con el mikrotik y andando. Habilita Romon, que te vendrá bien para un futuro. Y guarda los números de serie de los equipos que montes, y habilita su IP Cloud, para acceder por su dominio ddns.

Luego si quieres le damos una vuelta de tuerca y hacemos la inversa: tu router como head office y el resto con túneles iniciados desde los clientes. He estado probando SSTP y es muy sencillo y rápido de montar, pero está a años luz en rendimiento que cualquier conexión udp, especialmente las que van con ipsec aceleradas por hardware. No obstante me gusta que es un túnel que levanta solo y reconecta muy bien. Para una admin remota esporádica, más que suficiente.

Saludos!
 
Buenos días,

Por ahora lo que quiero es eso.

Tengo alguna duda:
-No se por que no me funciona el acceso a la VPN desde un PC y desde un telefono movil si. A la VPN del mío puedo acceder desde este mismo PC y si no me equivoco tengo la misma configuración.
-He creado una conexión "cliente" en el Router principal hacia el router del cliente y me conecta sin problema pero no puedo ver nada, ni siquiera haciendo ping desde la terminal del winbox. Había pensado que podría crear clientes en el Mikrotik principal con acceso a la red de cada cliente y activar y desactivar según me convenga. Así podrían ser todas las redes iguales. (No se si sería lo correcto)
-Para que sirve el "IP/firewall/NAT" de la red VPN? entiendo que el masquerade hacia la red WAN es para que los equipos salgan a internet. el de la -VPN es para que la red VPN tenga acceso al resto?
-He conectado la herramienta RoMon pero si no me equivoco hay que crear un tunel EoIP para que esten conectados no? O solo es para que en un futuro los conecte entre si?

Esta sería la configuración que tengo en el router cliente a ver si tengo alguna cosa mal...

Código: 
# mar/26/2021 17:52:31 by RouterOS 6.48.1
# software id = JUXZ-JDRK
#
# model = RB931-2nD
# serial number =
/interface bridge
add comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether1 ] comment=ISP
set [ find default-name=ether3 ] disabled=yes
/interface pwr-line
set [ find default-name=pwr-line1 ] disabled=yes
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=\
    dynamic-keys supplicant-identity=MikroTik
add authentication-types=wpa-psk,wpa2-psk eap-methods="" \
    management-protection=allowed mode=dynamic-keys name=Clave \
    supplicant-identity=""
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
    disabled=no distance=indoors frequency=auto hide-ssid=yes installation=\
    indoor mode=ap-bridge name=WiFi security-profile=Clave ssid=Domotica \
    station-roaming=enabled wireless-protocol=802.11
/ip pool
add name=Domotica-Pool ranges=192.168.20.150-192.168.20.250
add name=VPN-Pool ranges=192.168.30.150-192.168.30.250
/ip dhcp-server
add address-pool=Domotica-Pool disabled=no interface=bridge name=\
    DHCP-Domotica
/ppp profile
add change-tcp-mss=yes interface-list=LAN local-address=192.168.30.1 name=\
    profile-acceso-router remote-address=VPN-Pool use-encryption=yes
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
    sword,web,sniff,sensitive,api,romon,dude,tikapp"
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=pwr-line1
add bridge=bridge comment=defconf interface=WiFi
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set enabled=yes use-ipsec=required
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.20.1/24 comment=defconf interface=bridge network=\
    192.168.20.0
add address=192.168.1.201/24 interface=ether1 network=192.168.1.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-server network
add address=192.168.20.0/24 comment=defconf gateway=192.168.20.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip dns static
add address=192.168.20.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 \
    protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="defconf: masquerade" src-address=\
    192.168.30.0/24
/ip route
add distance=1 gateway=192.168.1.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox port=8299
set api-ssl disabled=yes
/ppp secret
add name=Administrador profile=profile-acceso-router service=l2tp
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=Roger
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
/tool romon
set enabled=yes

Y la del mio este, por si ayuda...

Código: 
# mar/26/2021 17:57:33 by RouterOS 6.48.1
# software id = E82L-C64C
#
# model = RB4011iGS+
# serial number =
/interface bridge
add admin-mac=E8:1B:69:59:03:3C auto-mac=no igmp-snooping=yes name=IPTV-Bridge \
    protocol-mode=none
add admin-mac=74:4D:28:89:9B:11 auto-mac=no comment=defconf name=LAN-Bridge \
    protocol-mode=none
/interface ethernet
set [ find default-name=ether1 ] comment=ISP
set [ find default-name=ether2 ] comment=Switch
set [ find default-name=ether3 ] comment=PC
set [ find default-name=ether5 ] comment=AP
set [ find default-name=ether6 ] comment=LM
set [ find default-name=ether7 ] disabled=yes
set [ find default-name=ether8 ] disabled=yes
set [ find default-name=ether10 ] comment=IPTV
set [ find default-name=sfp-sfpplus1 ] disabled=yes
/interface vlan
add interface=ether1 name=INTERNET vlan-id=100
add interface=ether1 name=TIVO vlan-id=105
/interface pppoe-client
add add-default-route=yes disabled=no interface=INTERNET name=PPPoE-out1 user=\
    ONH0000872543@vodafone
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/ip dhcp-server option
add code=12 name=TIVO value="'TIVO'"
/ip pool
add name=LAN-Pool ranges=192.168.2.20-192.168.2.150
add name=VPN-Pool ranges=192.168.10.200-192.168.10.250
add comment="Pool for IPTV-bridge subnet" name=IPTV-pool ranges=\
    192.168.3.129-192.168.3.131
/ip dhcp-server
add address-pool=LAN-Pool disabled=no interface=LAN-Bridge name=DHCP-LAN
add address-pool=IPTV-pool disabled=no interface=IPTV-Bridge lease-time=22h name=\
    IPTV-dhcp-server
/ppp profile
add change-tcp-mss=yes interface-list=LAN local-address=192.168.10.1 name=\
    profile-acceso-router remote-address=VPN-Pool use-encryption=yes
add change-tcp-mss=yes local-address=192.168.10.1 name=profile-clientes-Shelly \
    use-encryption=yes
/interface l2tp-client
add allow=mschap1,mschap2 connect-to=d9700dbb44dd.sn.mynetname.net name=Roger profile=\
    profile-acceso-router use-ipsec=yes user=Administrador
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web\
    ,sniff,sensitive,api,romon,dude,tikapp"
/interface bridge port
add bridge=LAN-Bridge comment=defconf interface=ether2
add bridge=LAN-Bridge comment=defconf interface=ether3
add bridge=LAN-Bridge comment=defconf interface=ether4
add bridge=LAN-Bridge comment=defconf interface=ether5
add bridge=LAN-Bridge comment=defconf interface=ether6
add bridge=LAN-Bridge comment=defconf interface=ether7
add bridge=LAN-Bridge comment=defconf interface=ether8
add bridge=LAN-Bridge comment=defconf interface=ether9
add bridge=LAN-Bridge comment=defconf interface=sfp-sfpplus1
add bridge=IPTV-Bridge hw=no interface=ether10
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set enabled=yes use-ipsec=required
/interface list member
add comment=defconf interface=LAN-Bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=PPPoE-out1 list=WAN
add interface=IPTV-Bridge list=LAN
/interface sstp-server server
set authentication=mschap2 certificate=vpn-server force-aes=yes pfs=yes port=3443 \
    tls-version=only-1.2
/ip address
add address=192.168.2.1/24 comment=defconf interface=LAN-Bridge network=192.168.2.0
add address=192.168.3.1/24 comment="IPTV subnet" interface=IPTV-Bridge network=\
    192.168.3.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add add-default-route=no disabled=no interface=TIVO use-peer-dns=no use-peer-ntp=no
/ip dhcp-server lease
add address=192.168.2.225 client-id=1:cc:9e:a2:62:f2:cc comment="Alexa Yoga" \
    mac-address=CC:9E:A2:62:F2:CC server=DHCP-LAN
add address=192.168.2.222 comment="Alexa Estudio" mac-address=14:91:38:F3:DF:F0 \
    server=DHCP-LAN
add address=192.168.2.221 client-id=1:44:0:49:4d:e4:ab comment="Alexa Salon" \
    mac-address=44:00:49:4D:E4:AB server=DHCP-LAN
add address=192.168.2.224 client-id=1:5c:41:5a:93:bd:85 comment="Alexa Cocina" \
    mac-address=5C:41:5A:93:BD:85 server=DHCP-LAN
add address=192.168.2.13 client-id=1:44:85:0:30:1e:61 comment="PC Curro" mac-address=\
    44:85:00:30:1E:61 server=DHCP-LAN
add address=192.168.2.231 comment="Xiaomi Vacuum" mac-address=40:31:3C:A2:E3:3B \
    server=DHCP-LAN
add address=192.168.2.145 client-id=1:7c:d5:66:b8:e7:90 comment=Despertador \
    mac-address=7C:D5:66:B8:E7:90 server=DHCP-LAN
add address=192.168.2.232 client-id=1:e8:f2:e2:ab:ea:39 comment="TV Salon" \
    mac-address=E8:F2:E2:AB:EA:39 server=DHCP-LAN
add address=192.168.2.11 client-id=1:b8:ac:6f:9d:62:d6 comment="PC Estudio" \
    mac-address=B8:AC:6F:9D:62:D6 server=DHCP-LAN
add address=192.168.2.12 client-id=1:ea:f2:30:ce:22:b6 comment="Movil David" \
    mac-address=EA:F2:30:CE:22:B6 server=DHCP-LAN
add address=192.168.3.129 client-id=1:20:9a:7d:72:48:a0 mac-address=20:9A:7D:72:48:A0 \
    server=IPTV-dhcp-server
/ip dhcp-server network
add address=192.168.2.0/24 comment=defconf gateway=192.168.2.1 netmask=24
add address=192.168.3.128/25 comment="IPTV-Bridge subnet" dhcp-option=TIVO gateway=\
    192.168.3.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip dns static
add address=192.168.2.1 comment=defconf name=router.lan
/ip firewall address-list
add address=b8f60a38c7a4.sn.mynetname.net list=public-ip
add address=4ac704c13b00.sn.mynetname.net list=ip-aitas
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" \
    connection-state=established,related,untracked
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="Accept TIVO traffic" in-interface=TIVO
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=accept chain=forward in-interface-list=LAN
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" \
    connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=set-priority chain=postrouting new-priority=4 out-interface=TIVO
add action=set-priority chain=postrouting new-priority=0 out-interface=PPPoE-out1
/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=192.168.2.0/24 \
    src-address=192.168.2.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none \
    out-interface-list=WAN
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
    192.168.10.0/24
add action=masquerade chain=srcnat comment="TIVO masquerade" out-interface=TIVO
add action=dst-nat chain=dstnat comment=NAS disabled=yes dst-address-list=public-ip \
    dst-port=52151 log=yes log-prefix="Conexi\F3n NAS" protocol=tcp to-addresses=\
    192.168.2.201
add action=dst-nat chain=dstnat comment=\
    "Solamente para instalar los certificados Lets Encrypt" disabled=yes \
    dst-address-list=public-ip dst-port=80 protocol=tcp to-addresses=192.168.2.201 \
    to-ports=40080
add action=dst-nat chain=dstnat comment="Hacia Proxy Inverso" dst-address-list=\
    public-ip dst-port=443 protocol=tcp to-addresses=192.168.2.201 to-ports=40443
add action=dst-nat chain=dstnat comment=Plex dst-address-list=public-ip dst-port=32400 \
    protocol=tcp to-addresses=192.168.2.201
add action=dst-nat chain=dstnat comment=LM disabled=yes dst-address-list=public-ip \
    dst-port=52200 protocol=tcp to-addresses=192.168.2.205 to-ports=443
add action=dst-nat chain=dstnat dst-address-type=local dst-port=161 in-interface=TIVO \
    protocol=udp to-addresses=192.168.3.129 to-ports=161
add action=dst-nat chain=dstnat dst-address-type=local dst-port=10001 in-interface=\
    TIVO protocol=udp to-addresses=192.168.3.130 to-ports=161
add action=dst-nat chain=dstnat dst-address-type=local dst-port=10002 in-interface=\
    TIVO protocol=udp to-addresses=192.168.3.131 to-ports=161
add action=dst-nat chain=dstnat dst-address-type=local dst-port=161 in-interface=TIVO \
    protocol=tcp to-addresses=192.168.3.129 to-ports=161
add action=dst-nat chain=dstnat dst-address-type=local dst-port=10001 in-interface=\
    TIVO protocol=tcp to-addresses=192.168.3.130 to-ports=161
add action=dst-nat chain=dstnat dst-address-type=local dst-port=10002 in-interface=\
    TIVO protocol=tcp to-addresses=192.168.3.131 to-ports=161
/ip route
add distance=1 dst-address=10.8.57.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.8.58.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.8.59.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.15.220.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.179.32.0/23 gateway=TIVO pref-src=10.214.13.28
add comment="Red Aitas" disabled=yes distance=1 dst-address=192.168.1.0/24 gateway=\
    192.168.10.2
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api address=192.168.2.205/32
set winbox port=8299
set api-ssl disabled=yes
/ppp secret
add name=David profile=profile-acceso-router service=l2tp
add name=Cliente_2 profile=profile-clientes-Shelly remote-address=192.168.10.2 \
    service=l2tp
add name=Cliente_3 profile=profile-clientes-Shelly remote-address=192.168.10.3 \
    service=l2tp
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=TIVO upstream=yes
add interface=IPTV-Bridge
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=D_Router
/system scheduler
add interval=15s name="Mikrotik Despierto" on-event="{\r\
    \n/tool fetch url=\"http://remote:AAaa1111@192.168.2.205/scada-remote\" http-data=\
    \"m=json&r=grp&fn=write&alias=34/3/51&value=1\" http-method=post as-value output=us\
    er; \t \r\
    \n}" policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
    start-date=nov/16/2019 start-time=13:44:56
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

La red VPN es 192.168.10.0 por que la cambie cuando me recomendasteis poner ese rango. No se si es mejor poner en la 172.168.0.0/24.

Son muchos conceptos nuevos e igual en alguna cosa me repita...
Gracias por la ayuda

Un Saludo
 
Última edición:
DavidGrandes dijo:
Buenos días,

Por ahora lo que quiero es eso.

Tengo alguna duda:
-No se por que no me funciona el acceso a la VPN desde un PC y desde un telefono movil si. A la VPN del mío puedo acceder desde este mismo PC y si no me equivoco tengo la misma configuración.
-He creado una conexión "cliente" en el Router principal hacia el router del cliente y me conecta sin problema pero no puedo ver nada, ni siquiera haciendo ping desde la terminal del winbox. Había pensado que podría crear clientes en el Mikrotik principal con acceso a la red de cada cliente y activar y desactivar según me convenga. Así podrían ser todas las redes iguales. (No se si sería lo correcto)
-Para que sirve el "IP/firewall/NAT" de la red VPN? entiendo que el masquerade hacia la red WAN es para que los equipos salgan a internet. el de la -VPN es para que la red VPN tenga acceso al resto?
-He conectado la herramienta RoMon pero si no me equivoco hay que crear un tunel EoIP para que esten conectados no? O solo es para que en un futuro los conecte entre si?

Esta sería la configuración que tengo en el router cliente a ver si tengo alguna cosa mal...

Código: 
# mar/26/2021 17:52:31 by RouterOS 6.48.1
# software id = JUXZ-JDRK
#
# model = RB931-2nD
# serial number =
/interface bridge
add comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether1 ] comment=ISP
set [ find default-name=ether3 ] disabled=yes
/interface pwr-line
set [ find default-name=pwr-line1 ] disabled=yes
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=\
    dynamic-keys supplicant-identity=MikroTik
add authentication-types=wpa-psk,wpa2-psk eap-methods="" \
    management-protection=allowed mode=dynamic-keys name=Clave \
    supplicant-identity=""
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
    disabled=no distance=indoors frequency=auto hide-ssid=yes installation=\
    indoor mode=ap-bridge name=WiFi security-profile=Clave ssid=Domotica \
    station-roaming=enabled wireless-protocol=802.11
/ip pool
add name=Domotica-Pool ranges=192.168.20.150-192.168.20.250
add name=VPN-Pool ranges=192.168.30.150-192.168.30.250
/ip dhcp-server
add address-pool=Domotica-Pool disabled=no interface=bridge name=\
    DHCP-Domotica
/ppp profile
add change-tcp-mss=yes interface-list=LAN local-address=192.168.30.1 name=\
    profile-acceso-router remote-address=VPN-Pool use-encryption=yes
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
    sword,web,sniff,sensitive,api,romon,dude,tikapp"
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=pwr-line1
add bridge=bridge comment=defconf interface=WiFi
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set enabled=yes use-ipsec=required
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.20.1/24 comment=defconf interface=bridge network=\
    192.168.20.0
add address=192.168.1.201/24 interface=ether1 network=192.168.1.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-server network
add address=192.168.20.0/24 comment=defconf gateway=192.168.20.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip dns static
add address=192.168.20.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 \
    protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="defconf: masquerade" src-address=\
    192.168.30.0/24
/ip route
add distance=1 gateway=192.168.1.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox port=8299
set api-ssl disabled=yes
/ppp secret
add name=Administrador profile=profile-acceso-router service=l2tp
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=Roger
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
/tool romon
set enabled=yes

Y la del mio este, por si ayuda...

Código: 
# mar/26/2021 17:57:33 by RouterOS 6.48.1
# software id = E82L-C64C
#
# model = RB4011iGS+
# serial number =
/interface bridge
add admin-mac=E8:1B:69:59:03:3C auto-mac=no igmp-snooping=yes name=IPTV-Bridge \
    protocol-mode=none
add admin-mac=74:4D:28:89:9B:11 auto-mac=no comment=defconf name=LAN-Bridge \
    protocol-mode=none
/interface ethernet
set [ find default-name=ether1 ] comment=ISP
set [ find default-name=ether2 ] comment=Switch
set [ find default-name=ether3 ] comment=PC
set [ find default-name=ether5 ] comment=AP
set [ find default-name=ether6 ] comment=LM
set [ find default-name=ether7 ] disabled=yes
set [ find default-name=ether8 ] disabled=yes
set [ find default-name=ether10 ] comment=IPTV
set [ find default-name=sfp-sfpplus1 ] disabled=yes
/interface vlan
add interface=ether1 name=INTERNET vlan-id=100
add interface=ether1 name=TIVO vlan-id=105
/interface pppoe-client
add add-default-route=yes disabled=no interface=INTERNET name=PPPoE-out1 user=\
    ONH0000872543@vodafone
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/ip dhcp-server option
add code=12 name=TIVO value="'TIVO'"
/ip pool
add name=LAN-Pool ranges=192.168.2.20-192.168.2.150
add name=VPN-Pool ranges=192.168.10.200-192.168.10.250
add comment="Pool for IPTV-bridge subnet" name=IPTV-pool ranges=\
    192.168.3.129-192.168.3.131
/ip dhcp-server
add address-pool=LAN-Pool disabled=no interface=LAN-Bridge name=DHCP-LAN
add address-pool=IPTV-pool disabled=no interface=IPTV-Bridge lease-time=22h name=\
    IPTV-dhcp-server
/ppp profile
add change-tcp-mss=yes interface-list=LAN local-address=192.168.10.1 name=\
    profile-acceso-router remote-address=VPN-Pool use-encryption=yes
add change-tcp-mss=yes local-address=192.168.10.1 name=profile-clientes-Shelly \
    use-encryption=yes
/interface l2tp-client
add allow=mschap1,mschap2 connect-to=d9700dbb44dd.sn.mynetname.net name=Roger profile=\
    profile-acceso-router use-ipsec=yes user=Administrador
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web\
    ,sniff,sensitive,api,romon,dude,tikapp"
/interface bridge port
add bridge=LAN-Bridge comment=defconf interface=ether2
add bridge=LAN-Bridge comment=defconf interface=ether3
add bridge=LAN-Bridge comment=defconf interface=ether4
add bridge=LAN-Bridge comment=defconf interface=ether5
add bridge=LAN-Bridge comment=defconf interface=ether6
add bridge=LAN-Bridge comment=defconf interface=ether7
add bridge=LAN-Bridge comment=defconf interface=ether8
add bridge=LAN-Bridge comment=defconf interface=ether9
add bridge=LAN-Bridge comment=defconf interface=sfp-sfpplus1
add bridge=IPTV-Bridge hw=no interface=ether10
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set enabled=yes use-ipsec=required
/interface list member
add comment=defconf interface=LAN-Bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=PPPoE-out1 list=WAN
add interface=IPTV-Bridge list=LAN
/interface sstp-server server
set authentication=mschap2 certificate=vpn-server force-aes=yes pfs=yes port=3443 \
    tls-version=only-1.2
/ip address
add address=192.168.2.1/24 comment=defconf interface=LAN-Bridge network=192.168.2.0
add address=192.168.3.1/24 comment="IPTV subnet" interface=IPTV-Bridge network=\
    192.168.3.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add add-default-route=no disabled=no interface=TIVO use-peer-dns=no use-peer-ntp=no
/ip dhcp-server lease
add address=192.168.2.225 client-id=1:cc:9e:a2:62:f2:cc comment="Alexa Yoga" \
    mac-address=CC:9E:A2:62:F2:CC server=DHCP-LAN
add address=192.168.2.222 comment="Alexa Estudio" mac-address=14:91:38:F3:DF:F0 \
    server=DHCP-LAN
add address=192.168.2.221 client-id=1:44:0:49:4d:e4:ab comment="Alexa Salon" \
    mac-address=44:00:49:4D:E4:AB server=DHCP-LAN
add address=192.168.2.224 client-id=1:5c:41:5a:93:bd:85 comment="Alexa Cocina" \
    mac-address=5C:41:5A:93:BD:85 server=DHCP-LAN
add address=192.168.2.13 client-id=1:44:85:0:30:1e:61 comment="PC Curro" mac-address=\
    44:85:00:30:1E:61 server=DHCP-LAN
add address=192.168.2.231 comment="Xiaomi Vacuum" mac-address=40:31:3C:A2:E3:3B \
    server=DHCP-LAN
add address=192.168.2.145 client-id=1:7c:d5:66:b8:e7:90 comment=Despertador \
    mac-address=7C:D5:66:B8:E7:90 server=DHCP-LAN
add address=192.168.2.232 client-id=1:e8:f2:e2:ab:ea:39 comment="TV Salon" \
    mac-address=E8:F2:E2:AB:EA:39 server=DHCP-LAN
add address=192.168.2.11 client-id=1:b8:ac:6f:9d:62:d6 comment="PC Estudio" \
    mac-address=B8:AC:6F:9D:62:D6 server=DHCP-LAN
add address=192.168.2.12 client-id=1:ea:f2:30:ce:22:b6 comment="Movil David" \
    mac-address=EA:F2:30:CE:22:B6 server=DHCP-LAN
add address=192.168.3.129 client-id=1:20:9a:7d:72:48:a0 mac-address=20:9A:7D:72:48:A0 \
    server=IPTV-dhcp-server
/ip dhcp-server network
add address=192.168.2.0/24 comment=defconf gateway=192.168.2.1 netmask=24
add address=192.168.3.128/25 comment="IPTV-Bridge subnet" dhcp-option=TIVO gateway=\
    192.168.3.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip dns static
add address=192.168.2.1 comment=defconf name=router.lan
/ip firewall address-list
add address=b8f60a38c7a4.sn.mynetname.net list=public-ip
add address=4ac704c13b00.sn.mynetname.net list=ip-aitas
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" \
    connection-state=established,related,untracked
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="Accept TIVO traffic" in-interface=TIVO
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=accept chain=forward in-interface-list=LAN
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" \
    connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=set-priority chain=postrouting new-priority=4 out-interface=TIVO
add action=set-priority chain=postrouting new-priority=0 out-interface=PPPoE-out1
/ip firewall nat
add action=masquerade chain=srcnat comment=hairpin-nat dst-address=192.168.2.0/24 \
    src-address=192.168.2.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none \
    out-interface-list=WAN
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
    192.168.10.0/24
add action=masquerade chain=srcnat comment="TIVO masquerade" out-interface=TIVO
add action=dst-nat chain=dstnat comment=NAS disabled=yes dst-address-list=public-ip \
    dst-port=52151 log=yes log-prefix="Conexi\F3n NAS" protocol=tcp to-addresses=\
    192.168.2.201
add action=dst-nat chain=dstnat comment=\
    "Solamente para instalar los certificados Lets Encrypt" disabled=yes \
    dst-address-list=public-ip dst-port=80 protocol=tcp to-addresses=192.168.2.201 \
    to-ports=40080
add action=dst-nat chain=dstnat comment="Hacia Proxy Inverso" dst-address-list=\
    public-ip dst-port=443 protocol=tcp to-addresses=192.168.2.201 to-ports=40443
add action=dst-nat chain=dstnat comment=Plex dst-address-list=public-ip dst-port=32400 \
    protocol=tcp to-addresses=192.168.2.201
add action=dst-nat chain=dstnat comment=LM disabled=yes dst-address-list=public-ip \
    dst-port=52200 protocol=tcp to-addresses=192.168.2.205 to-ports=443
add action=dst-nat chain=dstnat dst-address-type=local dst-port=161 in-interface=TIVO \
    protocol=udp to-addresses=192.168.3.129 to-ports=161
add action=dst-nat chain=dstnat dst-address-type=local dst-port=10001 in-interface=\
    TIVO protocol=udp to-addresses=192.168.3.130 to-ports=161
add action=dst-nat chain=dstnat dst-address-type=local dst-port=10002 in-interface=\
    TIVO protocol=udp to-addresses=192.168.3.131 to-ports=161
add action=dst-nat chain=dstnat dst-address-type=local dst-port=161 in-interface=TIVO \
    protocol=tcp to-addresses=192.168.3.129 to-ports=161
add action=dst-nat chain=dstnat dst-address-type=local dst-port=10001 in-interface=\
    TIVO protocol=tcp to-addresses=192.168.3.130 to-ports=161
add action=dst-nat chain=dstnat dst-address-type=local dst-port=10002 in-interface=\
    TIVO protocol=tcp to-addresses=192.168.3.131 to-ports=161
/ip route
add distance=1 dst-address=10.8.57.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.8.58.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.8.59.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.15.220.0/24 gateway=TIVO pref-src=10.214.13.28
add distance=1 dst-address=10.179.32.0/23 gateway=TIVO pref-src=10.214.13.28
add comment="Red Aitas" disabled=yes distance=1 dst-address=192.168.1.0/24 gateway=\
    192.168.10.2
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api address=192.168.2.205/32
set winbox port=8299
set api-ssl disabled=yes
/ppp secret
add name=David profile=profile-acceso-router service=l2tp
add name=Cliente_2 profile=profile-clientes-Shelly remote-address=192.168.10.2 \
    service=l2tp
add name=Cliente_3 profile=profile-clientes-Shelly remote-address=192.168.10.3 \
    service=l2tp
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=TIVO upstream=yes
add interface=IPTV-Bridge
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=D_Router
/system scheduler
add interval=15s name="Mikrotik Despierto" on-event="{\r\
    \n/tool fetch url=\"http://remote:AAaa1111@192.168.2.205/scada-remote\" http-data=\
    \"m=json&r=grp&fn=write&alias=34/3/51&value=1\" http-method=post as-value output=us\
    er; \t \r\
    \n}" policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
    start-date=nov/16/2019 start-time=13:44:56
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

La red VPN es 192.168.10.0 por que la cambie cuando me recomendasteis poner ese rango. No se si es mejor poner en la 172.168.0.0/24.

Son muchos conceptos nuevos e igual en alguna cosa me repita...
Gracias por la ayuda

Un Saludo
Haz clic para expandir...
Mañana por la mañana intento sacar un rato y reviso ambas configuraciones. En el firewall de los clientes, en el chain de input, debes permitir el tráfico de tu red, o meter la interfaz que se crea, de manera dinámica, en la lista LAN. El planteamiento que quieres hacer es correcto, tú levantas el cliente en tu router hacia el suyo, a demanda, es perfectamente correcto.

El NAT de la vpn vale para que los clientes remotos, (hablando de un supuesto usuario en modo “roaming” o road warrior, no de tu router) naveguen por internet cuando se conectan a la vpn de su router, y este les asigna una IP del pool de la vpn, distinta del pool principal. Si usas ipsec la regla general del masquerade ya te vale, porque enmascara ambos tipos de tráfico (ipsec-policy=none,out), tanto el normal como el de salida encriptado en ipsec. Esa segunda regla de masquerade ha de ir hecha sobre la red que uses en el pool de vpn, ojo con eso.

Una vez haya conectividad en modo túnel entre ambos routers, lo que te permite RoMON es un acceso en capa 2. Es decir, acceder por dirección MAC, incluso si los clientes en algún momento no tuvieran una IP accesible. De momento no le vas a sacar partido, pero no está demás que lo dejes encendido por si las moscas.

Por si te interesa, esta semana he estado probando varias alternativas para unir dos sirios en un túnel vpn, donde amos equipos son routers clientes (en el head office conectado directo a la IP pública, y en la oficina remota debajo de otro router con su NAT, tal y como lo vas a tener tú) y probé tanto SSTP como IKEv2. El resultado de este último está a años luz de SSTP. Si quieres y te interesa, puedo montar un par de manuales para explicarlo, ha quedado muy chulo.

Saludos!
 
No veo nada raro en la configuración del cliente, está perfecta. En la del servidor, el l2tp-client que vas a levantar bajo demanda, déjalo con el perfil "default-encryption", no se lo cambies. Yo lo dejaría así:

1616836193270.png


Un par de cosas si quieres afinar un poco más el equipo cliente: permite sólo mschap2 en el tipo de conexión al servidor L2TP, y en lugar de dar un pool de VPN, como sólo te vas a conectar tú a ese perfil (si el usuario quiere otro para usar su propia VPN, que use otra copia del default encryption, sólo para él), no hace falta que crees un pool, puedes usar una única IP (solo levantarías una conexión). Así, el servidor l2tp, podría quedar así (salvando que yo uso otra dirección, pero que para ti sería, según tu configuración, la 192.168.30.1 y 192.168.30.2

1616836327450.png


Si ves que tu router no tiene conectividad con el del cliente, es porque te faltará la ruta correspondiente. Podrías marcar el "add default route" en el cliente, pero eso podría derivar en que todo tu tráfico saliera por el router del cliente, y eso no lo queremos. Así que vamos a crear esa ruta a mano. En tu caso, sería lago así, considerando la .20 la red de la LAN de los clientes, y la .30 la de la VPN

Código: 
/ip route add dst-address=192.168.20.0/24 gateway=192.168.30.1

Con eso tu router debería poder hacer ping a la LAN remota de los clientes.

Saludos!
 
Debes estar conectado o registrado para responder aquí.

Similar threads

DavidGrandes
Restringir puerto
Respuestas
6
Visitas
266
DavidGrandes
X
Configuracion Red Wireguard + Hairpin NAT + Pihole
Respuestas
4
Visitas
355
xaviuchiha
SmartPhoneLover
[SOLUCIONADO] Mikrotik + PiHole (sin internet cuando PiHole está offline)
Respuestas
12
Visitas
910
milfer322
diamuxin
Obtener internet con hAP en modo "station"
Respuestas
12
Visitas
357
diamuxin
C
WireGuard no funciona como cliente en mi red MicroTik
Respuestas
9
Visitas
292
convolucionado
Arriba