IPTV Vodafone en Mikrotik

Perfecto, ya he cambiado estas cosas.

Te comento un par de dudas:
-Al hacer la ruta desde mi router a la del cliente no tengo acceso, he tenido que hacer una ruta estatica tambien desde la del cliente hacia mi red.
/ip route add dst-address=192.168.2.0/24 gateway=192.168.30.2 (esto es obligatorio para que funcione?)
De esta forma puedo hacer ping desde la consola de mi router a la red del cliente, pero aun no tengo acceso desde mi reda la del cliente.
-Me gustaría preguntar algo a ver si es facil de hacer. He visto por los foros que es posible pero no se si es muy enredado. El caso que me gustaría dejar el router del cliente con 2 interfaces WAN, la primera con una IP fija del rango 192.168.1.x y la segunda con una IP dinamica por si el router de la compañía no es de ese rango. ¿Por que entiendo que no hay forma de que el router coja la red de forma dinamica y la direccion del dispositivo sea fija no?
Lo que quiero con esto es que si la red no es esa por lo menos salga a internet hasta que ponga el router de la compañia en DMZ.

Ya casi esta! :p
Muchas gracias

Un Saludo
 
DavidGrandes dijo:
-Al hacer la ruta desde mi router a la del cliente no tengo acceso, he tenido que hacer una ruta estatica tambien desde la del cliente hacia mi red.
/ip route add dst-address=192.168.2.0/24 gateway=192.168.30.2 (esto es obligatorio para que funcione?)
De esta forma puedo hacer ping desde la consola de mi router a la red del cliente, pero aun no tengo acceso desde mi reda la del cliente.
Haz clic para expandir...
Ojo con las direcciones, que no es la 192.168.2.0/24, sino la 192.168.20.0/24. Y la dirección del gateway es la IP del otro lado del túnel, la 192.168.30.1 Si ves que sigues sin conectividad, sospecho que debe ser algo de firewall en el equipo cliente.
DavidGrandes dijo:
El caso que me gustaría dejar el router del cliente con 2 interfaces WAN, la primera con una IP fija del rango 192.168.1.x y la segunda con una IP dinamica por si el router de la compañía no es de ese rango. ¿Por que entiendo que no hay forma de que el router coja la red de forma dinamica y la direccion del dispositivo sea fija no?
Lo que quiero con esto es que si la red no es esa por lo menos salga a internet hasta que ponga el router de la compañia en DMZ.
Haz clic para expandir...
Puedes poner dos IP's a la misma interfaz, para eso no hay problema. Lo que no debes hacer nunca es dar la misma IP a dos interfaces distintas.
En tu caso, yo añadiría en todos los routers una interfaz de "loopback", en todos la misma y con la misma IP (tipo IP de administración), tipo que tú puedas levantar el túnel desde tu casa y "llegar" a esa IP. Para eso, deja el cliente dhcp levantado sobre ether1, tal y como está, para que según conectes el equipo al router del cliente este obtenga una IP dinámica y arranque a funcionar. De esa IP te puedes olvidar, porque no la vas a usar nunca. Será la ruta por defecto de salida a internet de ese router, pero nada más.
La interfaz de loopback será tu bridge principal, el cual debería tener ya asignada la IP 192.168.88.1 de la LAN principal del mikrotik (o la que sea que hayas decidido que sea la LAN por defecto de tus routers cliente). Lo puedes consultar en IP -> Address, verás dicha IP asociada al bridge principal.

Además de esa, si tu router cliente monta un servidor VPN, verás que hemos asignado la 192.168.89.1 (en mi ejemplo, el tuyo será la 192.168.30.1) en el "Local Address" del perfil PPP. Si miras en el router, verás que esa IP no existe en ningún sitio (no la necesita para funcionar), pero no está de más crearla, como dirección de loopback de backup. Para ello, simplemente crearíamos un bridge y le daríamos esa IP, tal que así:
Código: 
/interface bridge add name=bridge-vpn
/ip address add address=192.168.30.1/24 interface=bridge-vpn network=192.168.30.0

Saludos!
 
pokoyo dijo:
Ojo con las direcciones, que no es la 192.168.2.0/24, sino la 192.168.20.0/24. Y la dirección del gateway es la IP del otro lado del túnel, la 192.168.30.1 Si ves que sigues sin conectividad, sospecho que debe ser algo de firewall en el equipo cliente.
Haz clic para expandir...
No me he equivocado, he hecho la ruta que me has dicho, hacia la 192.168.20.0/24 con la Gateway 192.168.30.1, pero no me funcionaba, y he tenido que hacer también la ruta inversa, desde el cliente a mi microtik. (Mi red es la 192.168.2.0/24). Con las dos rutas, una desde mi router al del cliente y otra desde el cliente hacia mi ruter, ya tengo acceso a la red. Por eso preguntaba si es obligatorio hacer rutas en ambos lados.

Un Saludo
 
No debería. Tú buscas acceso en un sentido, no en el sentido opuesto, ¿me equivoco?. Y el origen de la conexión será siempre tu LAN, no al revés, ¿no?. Mira a ver si es un problema de firewall, que por ahí irán los tiros.

Saludos!
 
Buenas @pokoyo,

-No se como probé, si que tengo acceso desde mi Mikrotik hacia el router cliente y su red LAN. Hago ping desde el terminal a un dispositivo de su red LAN y me responde. Lo que no tengo es acceso desde mi red LAN hacia su red LAN, y en el firewall no bloqueo nada mas que la WAN no destinada, el resto debería de permitirlo.

pokoyo dijo:
Puedes poner dos IP's a la misma interfaz, para eso no hay problema. Lo que no debes hacer nunca es dar la misma IP a dos interfaces distintas.
En tu caso, yo añadiría en todos los routers una interfaz de "loopback", en todos la misma y con la misma IP (tipo IP de administración), tipo que tú puedas levantar el túnel desde tu casa y "llegar" a esa IP. Para eso, deja el cliente dhcp levantado sobre ether1, tal y como está, para que según conectes el equipo al router del cliente este obtenga una IP dinámica y arranque a funcionar. De esa IP te puedes olvidar, porque no la vas a usar nunca. Será la ruta por defecto de salida a internet de ese router, pero nada más.
La interfaz de loopback será tu bridge principal, el cual debería tener ya asignada la IP 192.168.88.1 de la LAN principal del mikrotik (o la que sea que hayas decidido que sea la LAN por defecto de tus routers cliente). Lo puedes consultar en IP -> Address, verás dicha IP asociada al bridge principal.
Haz clic para expandir...
- En cuanto a esta parte, me pierdo un poco. Entiendo que tenga que poner en ether1 el cliente DHCP y que internet salga por ahí. Lo que no acabo de entender es la parte de loopback y que es una interface loopback. Si yo no doy una IP estática al Mikrotik del cliente, no puedo configurar el DMZ en el router de la compañía y por lo tanto no puedo acceder por VPN desde mi Mikrotik. ¿Podrías ponerme un ejemplo de código de como configurar estas 2 interfaces (ether1 y bridge loopback)?¿Por que entiendo que dices que solo necesito eth1 para hacer todo esto no?. Mis conocimientos no llegan a entender como llegar al Mikrotik sin tener una IP fija para abrir puertos o poner DMZ.

Un Saludo y muchas gracias
 
DavidGrandes dijo:
-No se como probé, si que tengo acceso desde mi Mikrotik hacia el router cliente y su red LAN. Hago ping desde el terminal a un dispositivo de su red LAN y me responde. Lo que no tengo es acceso desde mi red LAN hacia su red LAN, y en el firewall no bloqueo nada mas que la WAN no destinada, el resto debería de permitirlo.
Haz clic para expandir...
Eso suena a NAT, revísalo. Necesitas una regla como esta, súbela a la primera regla de la lista del NAT (siendo la .20 tu red local, y la .30 la remota del cliente). Estoy iría en tu router, en el 4011
Código: 
/ip firewall nat
add action=masquerade chain=srcnat dst-address=192.168.20.0/24 src-address=\
    192.168.30.0/24

DavidGrandes dijo:
- En cuanto a esta parte, me pierdo un poco. Entiendo que tenga que poner en ether1 el cliente DHCP y que internet salga por ahí. Lo que no acabo de entender es la parte de loopback y que es una interface loopback. Si yo no doy una IP estática al Mikrotik del cliente, no puedo configurar el DMZ en el router de la compañía y por lo tanto no puedo acceder por VPN desde mi Mikrotik. ¿Podrías ponerme un ejemplo de código de como configurar estas 2 interfaces (ether1 y bridge loopback)?¿Por que entiendo que dices que solo necesito eth1 para hacer todo esto no?. Mis conocimientos no llegan a entender como llegar al Mikrotik sin tener una IP fija para abrir puertos o poner DMZ.
Haz clic para expandir...
tu olvídate de ether1 y del cliente dhcp que en él corre. Tú te vas a ponder conectar al router por cualquier de las IP's que aparece en IP -> Address, puesto que esas son las IP's que maneja tu equipo. como le has configurado la LAN del cliente en la 192.168.30.1/24, la cual estará asignada en ese menú a la interfaz del bridge principal, a esa misma IP te puedes conectar desde winbox una vez levantes el túnel. También te podrías conectar a la IP del extremo del túnel, la 192.168.89.1

Saludos!
 
pokoyo dijo:
tu olvídate de ether1 y del cliente dhcp que en él corre. Tú te vas a ponder conectar al router por cualquier de las IP's que aparece en IP -> Address, puesto que esas son las IP's que maneja tu equipo. como le has configurado la LAN del cliente en la 192.168.30.1/24, la cual estará asignada en ese menú a la interfaz del bridge principal, a esa misma IP te puedes conectar desde winbox una vez levantes el túnel. También te podrías conectar a la IP del extremo del túnel, la 192.168.89.1
Haz clic para expandir...
Buenos días @pokoyo,

Yo se que puedo conectarme al Winbox con las IPs que hay en IP -> Address, pero una vez que se levante el tunel.
La duda que tengo es que no se a que IP tengo que configurar el DMZ en el router de la compañía si no tengo una IP fija en el Mikrotik.

Te voy a resumir las redes:
-Bridge LAN: 192.168.20.0/24
-Red VPN: 192.168.30.0/24
-Cliente DHCP en ether1. La IP que me proporciona el router, que puede ser de cualquier rango: 192.168.1.0 ó 192.168.8.0 ó 192.168.0.0....

¿Qué IP configuro en el DMZ del router de la compañía para levantara el tunel L2TP hacia el Mikrotik?

Un Saludo
 
La que sea que reserves para el mikrotik en el DHCP del router de la compañía. Es decir, tú llegas a casa del cliente, pinchas el mikrotik en su puerto ether1, y este obtendrá una IP. En ese momento entras en el router de la operadora, reservas esa IP que tiene en ese momento con un dhcp binding (reserva estática de direcciones dinámicas entregadas por el servidor DHCP) y, una vez reservada, a esa IP le abres la DMZ.

Si tú configuras una IP a mano en ether1 y no machea con la red del cliente, el equipo no funcionará.

Saludos!
 
Vaaaaale.... ahora ya lo tengo claro.

Voy a hacer estos cambios y te digo algo.

Muchas gracias por la paciencia!!!!!

Un Saludo
 
Debes estar conectado o registrado para responder aquí.

Similar threads

R
Problema al cambiar IP de mikrotik
Respuestas
14
Visitas
249
roolezz
B
Mikrotik CRS326 - Rendimiento subóptimo en el acceso a Internet
Respuestas
16
Visitas
624
pokoyo
Sgbsv
Movistar 1gb RB760iGS
Respuestas
15
Visitas
617
Sgbsv
V
Mikrotik rb4011 + Gpon uFiber nano g + tlf voIP + Wifi AP Nano HD
2
Respuestas
37
Visitas
1,883
pokoyo
P
Asesoramiento sobre reglas Firewall
Respuestas
1
Visitas
542
pokoyo
Arriba