IPTV Vodafone en Mikrotik

Perfecto, ya he cambiado estas cosas.

Te comento un par de dudas:
-Al hacer la ruta desde mi router a la del cliente no tengo acceso, he tenido que hacer una ruta estatica tambien desde la del cliente hacia mi red.
/ip route add dst-address=192.168.2.0/24 gateway=192.168.30.2 (esto es obligatorio para que funcione?)
De esta forma puedo hacer ping desde la consola de mi router a la red del cliente, pero aun no tengo acceso desde mi reda la del cliente.
-Me gustaría preguntar algo a ver si es facil de hacer. He visto por los foros que es posible pero no se si es muy enredado. El caso que me gustaría dejar el router del cliente con 2 interfaces WAN, la primera con una IP fija del rango 192.168.1.x y la segunda con una IP dinamica por si el router de la compañía no es de ese rango. ¿Por que entiendo que no hay forma de que el router coja la red de forma dinamica y la direccion del dispositivo sea fija no?
Lo que quiero con esto es que si la red no es esa por lo menos salga a internet hasta que ponga el router de la compañia en DMZ.

Ya casi esta! :p
Muchas gracias

Un Saludo
 
DavidGrandes dijo:
-Al hacer la ruta desde mi router a la del cliente no tengo acceso, he tenido que hacer una ruta estatica tambien desde la del cliente hacia mi red.
/ip route add dst-address=192.168.2.0/24 gateway=192.168.30.2 (esto es obligatorio para que funcione?)
De esta forma puedo hacer ping desde la consola de mi router a la red del cliente, pero aun no tengo acceso desde mi reda la del cliente.
Haz clic para expandir...
Ojo con las direcciones, que no es la 192.168.2.0/24, sino la 192.168.20.0/24. Y la dirección del gateway es la IP del otro lado del túnel, la 192.168.30.1 Si ves que sigues sin conectividad, sospecho que debe ser algo de firewall en el equipo cliente.
DavidGrandes dijo:
El caso que me gustaría dejar el router del cliente con 2 interfaces WAN, la primera con una IP fija del rango 192.168.1.x y la segunda con una IP dinamica por si el router de la compañía no es de ese rango. ¿Por que entiendo que no hay forma de que el router coja la red de forma dinamica y la direccion del dispositivo sea fija no?
Lo que quiero con esto es que si la red no es esa por lo menos salga a internet hasta que ponga el router de la compañia en DMZ.
Haz clic para expandir...
Puedes poner dos IP's a la misma interfaz, para eso no hay problema. Lo que no debes hacer nunca es dar la misma IP a dos interfaces distintas.
En tu caso, yo añadiría en todos los routers una interfaz de "loopback", en todos la misma y con la misma IP (tipo IP de administración), tipo que tú puedas levantar el túnel desde tu casa y "llegar" a esa IP. Para eso, deja el cliente dhcp levantado sobre ether1, tal y como está, para que según conectes el equipo al router del cliente este obtenga una IP dinámica y arranque a funcionar. De esa IP te puedes olvidar, porque no la vas a usar nunca. Será la ruta por defecto de salida a internet de ese router, pero nada más.
La interfaz de loopback será tu bridge principal, el cual debería tener ya asignada la IP 192.168.88.1 de la LAN principal del mikrotik (o la que sea que hayas decidido que sea la LAN por defecto de tus routers cliente). Lo puedes consultar en IP -> Address, verás dicha IP asociada al bridge principal.

Además de esa, si tu router cliente monta un servidor VPN, verás que hemos asignado la 192.168.89.1 (en mi ejemplo, el tuyo será la 192.168.30.1) en el "Local Address" del perfil PPP. Si miras en el router, verás que esa IP no existe en ningún sitio (no la necesita para funcionar), pero no está de más crearla, como dirección de loopback de backup. Para ello, simplemente crearíamos un bridge y le daríamos esa IP, tal que así:
Código: 
/interface bridge add name=bridge-vpn
/ip address add address=192.168.30.1/24 interface=bridge-vpn network=192.168.30.0

Saludos!
 
pokoyo dijo:
Ojo con las direcciones, que no es la 192.168.2.0/24, sino la 192.168.20.0/24. Y la dirección del gateway es la IP del otro lado del túnel, la 192.168.30.1 Si ves que sigues sin conectividad, sospecho que debe ser algo de firewall en el equipo cliente.
Haz clic para expandir...
No me he equivocado, he hecho la ruta que me has dicho, hacia la 192.168.20.0/24 con la Gateway 192.168.30.1, pero no me funcionaba, y he tenido que hacer también la ruta inversa, desde el cliente a mi microtik. (Mi red es la 192.168.2.0/24). Con las dos rutas, una desde mi router al del cliente y otra desde el cliente hacia mi ruter, ya tengo acceso a la red. Por eso preguntaba si es obligatorio hacer rutas en ambos lados.

Un Saludo
 
No debería. Tú buscas acceso en un sentido, no en el sentido opuesto, ¿me equivoco?. Y el origen de la conexión será siempre tu LAN, no al revés, ¿no?. Mira a ver si es un problema de firewall, que por ahí irán los tiros.

Saludos!
 
Buenas @pokoyo,

-No se como probé, si que tengo acceso desde mi Mikrotik hacia el router cliente y su red LAN. Hago ping desde el terminal a un dispositivo de su red LAN y me responde. Lo que no tengo es acceso desde mi red LAN hacia su red LAN, y en el firewall no bloqueo nada mas que la WAN no destinada, el resto debería de permitirlo.

pokoyo dijo:
Puedes poner dos IP's a la misma interfaz, para eso no hay problema. Lo que no debes hacer nunca es dar la misma IP a dos interfaces distintas.
En tu caso, yo añadiría en todos los routers una interfaz de "loopback", en todos la misma y con la misma IP (tipo IP de administración), tipo que tú puedas levantar el túnel desde tu casa y "llegar" a esa IP. Para eso, deja el cliente dhcp levantado sobre ether1, tal y como está, para que según conectes el equipo al router del cliente este obtenga una IP dinámica y arranque a funcionar. De esa IP te puedes olvidar, porque no la vas a usar nunca. Será la ruta por defecto de salida a internet de ese router, pero nada más.
La interfaz de loopback será tu bridge principal, el cual debería tener ya asignada la IP 192.168.88.1 de la LAN principal del mikrotik (o la que sea que hayas decidido que sea la LAN por defecto de tus routers cliente). Lo puedes consultar en IP -> Address, verás dicha IP asociada al bridge principal.
Haz clic para expandir...
- En cuanto a esta parte, me pierdo un poco. Entiendo que tenga que poner en ether1 el cliente DHCP y que internet salga por ahí. Lo que no acabo de entender es la parte de loopback y que es una interface loopback. Si yo no doy una IP estática al Mikrotik del cliente, no puedo configurar el DMZ en el router de la compañía y por lo tanto no puedo acceder por VPN desde mi Mikrotik. ¿Podrías ponerme un ejemplo de código de como configurar estas 2 interfaces (ether1 y bridge loopback)?¿Por que entiendo que dices que solo necesito eth1 para hacer todo esto no?. Mis conocimientos no llegan a entender como llegar al Mikrotik sin tener una IP fija para abrir puertos o poner DMZ.

Un Saludo y muchas gracias
 
DavidGrandes dijo:
-No se como probé, si que tengo acceso desde mi Mikrotik hacia el router cliente y su red LAN. Hago ping desde el terminal a un dispositivo de su red LAN y me responde. Lo que no tengo es acceso desde mi red LAN hacia su red LAN, y en el firewall no bloqueo nada mas que la WAN no destinada, el resto debería de permitirlo.
Haz clic para expandir...
Eso suena a NAT, revísalo. Necesitas una regla como esta, súbela a la primera regla de la lista del NAT (siendo la .20 tu red local, y la .30 la remota del cliente). Estoy iría en tu router, en el 4011
Código: 
/ip firewall nat
add action=masquerade chain=srcnat dst-address=192.168.20.0/24 src-address=\
    192.168.30.0/24

DavidGrandes dijo:
- En cuanto a esta parte, me pierdo un poco. Entiendo que tenga que poner en ether1 el cliente DHCP y que internet salga por ahí. Lo que no acabo de entender es la parte de loopback y que es una interface loopback. Si yo no doy una IP estática al Mikrotik del cliente, no puedo configurar el DMZ en el router de la compañía y por lo tanto no puedo acceder por VPN desde mi Mikrotik. ¿Podrías ponerme un ejemplo de código de como configurar estas 2 interfaces (ether1 y bridge loopback)?¿Por que entiendo que dices que solo necesito eth1 para hacer todo esto no?. Mis conocimientos no llegan a entender como llegar al Mikrotik sin tener una IP fija para abrir puertos o poner DMZ.
Haz clic para expandir...
tu olvídate de ether1 y del cliente dhcp que en él corre. Tú te vas a ponder conectar al router por cualquier de las IP's que aparece en IP -> Address, puesto que esas son las IP's que maneja tu equipo. como le has configurado la LAN del cliente en la 192.168.30.1/24, la cual estará asignada en ese menú a la interfaz del bridge principal, a esa misma IP te puedes conectar desde winbox una vez levantes el túnel. También te podrías conectar a la IP del extremo del túnel, la 192.168.89.1

Saludos!
 
pokoyo dijo:
tu olvídate de ether1 y del cliente dhcp que en él corre. Tú te vas a ponder conectar al router por cualquier de las IP's que aparece en IP -> Address, puesto que esas son las IP's que maneja tu equipo. como le has configurado la LAN del cliente en la 192.168.30.1/24, la cual estará asignada en ese menú a la interfaz del bridge principal, a esa misma IP te puedes conectar desde winbox una vez levantes el túnel. También te podrías conectar a la IP del extremo del túnel, la 192.168.89.1
Haz clic para expandir...
Buenos días @pokoyo,

Yo se que puedo conectarme al Winbox con las IPs que hay en IP -> Address, pero una vez que se levante el tunel.
La duda que tengo es que no se a que IP tengo que configurar el DMZ en el router de la compañía si no tengo una IP fija en el Mikrotik.

Te voy a resumir las redes:
-Bridge LAN: 192.168.20.0/24
-Red VPN: 192.168.30.0/24
-Cliente DHCP en ether1. La IP que me proporciona el router, que puede ser de cualquier rango: 192.168.1.0 ó 192.168.8.0 ó 192.168.0.0....

¿Qué IP configuro en el DMZ del router de la compañía para levantara el tunel L2TP hacia el Mikrotik?

Un Saludo
 
La que sea que reserves para el mikrotik en el DHCP del router de la compañía. Es decir, tú llegas a casa del cliente, pinchas el mikrotik en su puerto ether1, y este obtendrá una IP. En ese momento entras en el router de la operadora, reservas esa IP que tiene en ese momento con un dhcp binding (reserva estática de direcciones dinámicas entregadas por el servidor DHCP) y, una vez reservada, a esa IP le abres la DMZ.

Si tú configuras una IP a mano en ether1 y no machea con la red del cliente, el equipo no funcionará.

Saludos!
 
Vaaaaale.... ahora ya lo tengo claro.

Voy a hacer estos cambios y te digo algo.

Muchas gracias por la paciencia!!!!!

Un Saludo
 
Buenas!!! Acabo de ver el comentario en el canal jajajaja.
Lo probé y me fue perfecto se me paso contestar...

Para lo que necesitaba genial.

Muchas gracias!!! :):)
 
pokoyo dijo:
La que sea que reserves para el mikrotik en el DHCP del router de la compañía. Es decir, tú llegas a casa del cliente, pinchas el mikrotik en su puerto ether1, y este obtendrá una IP. En ese momento entras en el router de la operadora, reservas esa IP que tiene en ese momento con un dhcp binding (reserva estática de direcciones dinámicas entregadas por el servidor DHCP) y, una vez reservada, a esa IP le abres la DMZ.

Si tú configuras una IP a mano en ether1 y no machea con la red del cliente, el equipo no funcionará.

Saludos!
Haz clic para expandir...

Buenos días.

Me gustaría hacer una consulta.

Ya me funciona perfectamente la conexión con el mikrotik del cliente como me comentaste. Levantando el tunel cuando a mi me interese tengo acceso a la red interna del mikrotik (192.168.20.xx...). Mi pregunta es, para tener acceso a la ruta externa del mikrotik, es decir, a la red del router principal, como tendría que hacer? Una ruta estática hacia la 192.168.1.0/24 (si esta es la red del cliente). O como sería la mejor opción?

Un saludo
 
Si el túnel lo levantas desde tu lado y el router del cliente está por encima del mikrotik, debes llegar directo, puesto que la IP de esa subred está en la tabla de rutas del mikrotik.

Saludos!
 
Al levantar el tunel solamente no tengo acceso a la red que esta por encima del mikrotik, al igual que tampoco podía a la red interna del mikrotik por lo que tube que añadir la ruta estática hacia la 192.168.20.0/24 con la Gateway de la VPN. He probado a poner igualmente una ruta estatica hacia la 192.168.1.0/24 y desde el mikrotik me responde al ping el router principal del cliente (el que da servicio al mikrotik) pero no desde mi red lan.

De todas formas, si tendría que tener acceso directo solamente levantando el tunel VPN que tengo algo mal configurado?

Un saludo
 
Añade el “default route” a la conexión VPN. ASIC cuando levantes el túnel, todo tu tráfico saldrá por esa conexión, teniendo de tacto acceso a los equipos remotos que quieras. De otra manera, como bien sospechas, tienes que ir metiendo las rutas a mano en tu tabla de rutas, y diciendo que la subred del cliente se accede por el túnel vpn.

Saludos!
 
Con esto tengo dos problemas.
Como tengo la salida a internet tiene algún tipo de conflicto y cuando levanto el tunel la ruta con Dst. Address 0.0.0.0/0 hacia la VPN se queda en azul. Ahora he puesto que la distancia por defecto sea 2 y la de la VPN 1 y se queda en azul la salida a internet. Esa opción sirve para eso?.

Una vez hecho esto desde el mikrotik tengo acceso a la red interna sin problema sin hacer manualmente las rutas, tanto a la 192.168.20.0/24 como a la 192.168.1.0/24, como a internet, pero desde la red interna del mikrotik principal solo tengo acceso a la que esta por debajo del mikrotik cliente (192.168.20.0/24), y no a la que esta por encima (192.168.1.0/24) ni tampoco tengo salida a internet.
No se que es lo que hago mal

Un Saludo y Gracias!
 
Última edición:
Si; la distancia vale justo para eso, para saber por qué ruta va a salir el tráfico por defecto. Si tienes dos rutas con el mismo peso para la 0.0.0.0/0, la de mayor distancia se pondrá en azul, y solo se usará cuando “caiga” la otra.

Saludos!
 
pokoyo dijo:
Si; la distancia vale justo para eso, para saber por qué ruta va a salir el tráfico por defecto. Si tienes dos rutas con el mismo peso para la 0.0.0.0/0, la de mayor distancia se pondrá en azul, y solo se usará cuando “caiga” la otra.

Saludos!
Haz clic para expandir...
Perfecto, me imaginaba.

Y el acceso a la red 192.168.1.0/24 y a internet desde mi red interna se te ocurre que puede ser?
 
Hola.
He estado leyendo este post y otros acerca de la IPTV sobre FTTH NEBA de Vodafone. Veo que este es el que más se acerca al escenario que yo tengo, es decir, TV e INTERNET, todo por la VLAN24. Por favor, ¿podríais poner esta configuración resumida solo para TV e INTERNET, todo sobre la VLAN24? El teléfono me daría igual.
Si este mensaje no va en este post, decirmelo y lo pongo en donde proceda. En resumen lo que quiero es sustituir el FG824CD por un HEX-S de mikrotik y tener INTERNET y la TV de Vodafone funcionando todo en Mikrotik, me daría igual no ver VIDEO ON DEMAND ni tener teléfono FIJO.
Gracias por adelantado.
 
Debes estar conectado o registrado para responder aquí.

Similar threads

DavidGrandes
Restringir puerto
Respuestas
6
Visitas
300
DavidGrandes
X
Configuracion Red Wireguard + Hairpin NAT + Pihole
Respuestas
4
Visitas
376
xaviuchiha
SmartPhoneLover
[SOLUCIONADO] Mikrotik + PiHole (sin internet cuando PiHole está offline)
Respuestas
12
Visitas
983
milfer322
diamuxin
Obtener internet con hAP en modo "station"
Respuestas
15
Visitas
507
pokoyo
C
WireGuard no funciona como cliente en mi red MicroTik
Respuestas
9
Visitas
327
convolucionado
Arriba