MANUAL: EoiP sobre IKEv2 site to site

Hazlo como quieras, si quieres puedes simplemente recrear los EoIP. Te paso la config de nuevo con esa pequeña corrección que mencionas.

Abre la config de todos los identities y asegurate de que apuntan al nombre de certificado correcto, y que es el mismo que tienes subido al apartado de certificados.

Saludos!
 

Adjuntos

  • roolez.zip
    6.1 KB · Visitas: 16
@pokoyo, en un ratillo llego a casa y me lío con HQ, voy a ver si me da tiempo a dejar preparado branch antes de irme de la ofi.

En un ratejo te cuento.

Gracias!

Saludos.-

EDIT:

Consulta....el branch lo configuro como router o bridge? Cuelga del HGU....
 
Tal y como está, como router. Abre y redirige los puertos 4500 y 500 a la IP que obtenga el router en ether1

Saludos!
 
Bueno...nueva configuración instalada en branch y HQ.

Antes de otras pruebas, acabo de observar lo siguiente: En HQ funciona todo perfecto, pero si estoy viendo la TV de Movistar y en ese momento conecta algún router brach por Ikev2 (lo veo en Active Peers) automáticamente dejo de ver la TV en HQ. Si mato las conexiones Ikev2, vuelvo a visualizar Movistar en HQ...., si se enganchan...otra vez problema....

Raro? Debo cambiar algo?

Saludos!!
 
Bueno...nueva configuración instalada en branch y HQ.

Antes de otras pruebas, acabo de observar lo siguiente: En HQ funciona todo perfecto, pero si estoy viendo la TV de Movistar y en ese momento conecta algún router brach por Ikev2 (lo veo en Active Peers) automáticamente dejo de ver la TV en HQ. Si mato las conexiones Ikev2, vuelvo a visualizar Movistar en HQ...., si se enganchan...otra vez problema....

Raro? Debo cambiar algo?

Saludos!!
Quité las reglas de NAT para que las volviera a generar el script, pero no sé si alguna la tenías hecha a mano con la reserva esa que tenías en el lease del "IPTV-dhcp-server".

No obstante, eso o podemos investigar luego. Al turrón, ¿te funciona en el remoto o no?

Saludos!
 
Negativo, no chuta macho...además veo muy poco tráfico en branch en la regla de NAT "allow ipsec" (no llega ni a 1Kb...no sé si es normal) para los puertos 500-4500.

Ahora estoy en casa, he conectado el MK "b" a un router 4G, también con puertos abiertos, DMZ....y nanai...no pita...

No sé si tendrá algo que ver los problemillas que ahora tengo con IPTV al tener más de una conexión a la vez, u otra cosa.

IP me entrega el bridge-DHCP y según observo en la propia config DHCP que recibe el deco "branch" aparentemente es correcta.

Obvia decir que la conexión de Ikev2 es instantánea entre HQ y branch..y el túnel levanta al momento...pero no quiere el "joío"


Saludos!!
 
Vale, en HQ, edita la regla de “allow-rw-ipsec” y quita el filtro que solo acepta el trafico de los road warriors en input y borra el filtro de la 192.168.68.0/24.

Si tampoco funciona, deshabilita lad dos reglas de “change tcp mss” del mangle.

Saludos!
 
Probados ambos cambios...nada, tampoco me van los decos de casa conectados directamente a HQ..mismo mensaje de error en el deco :-(


Saludos!
 
Probados ambos cambios...nada, tampoco me van los decos de casa conectados directamente a HQ..mismo mensaje de error en el deco :-(


Saludos!
Mándame las dos configuraciones, que las volveremos a revisar.

Saludos!
 
Vale, vamos a tratar de dejar primero funcionando HQ, no vaya a ser que nuestro problema de base sea este, y el remoto simplemente no funcione porque las cosas no está como deben en HQ. Los pasos que vamos a seguir son los siguientes, tratando de dejar todo como si de una instalación limpia se tratara, dejándola al mínimo. Sigue estos pasos para ello:
  • Elimina cualquier rastro de paquetes que no vayamos a necesitar, como Lora o User Manager. Deja únicamente el meta-paquete "routeros-arm" y el multicast. Si tienes dudas, puedes arrastrar el meta-paquete a la carpeta Files y darle un reinicio al equipo, que debería instalarte sólo ese. Una vez tengas únicamente ese paquete, instala encima el multicast, y nada mas. Resetea el equipo sin configuración
  • Carga la configuración nueva que te paso, he borrado todo lo que no es estrictamente necesario para que esto funcione. Los cambios que hice son
    • Quitar todos los identities que no sean el de road-warrior y el de beni (carga tú el resto cuando lo veas funcionando)
    • Quitar el DOH y dejar que el equipo trabaje con el DNS de telefónica, por si nos estuviera jodiendo eso en algún caso donde los descos necesiten acceder a algún dominio que sólo tengan esos resolvers
    • Quitar el filtro de la 192.168.68.0/24 de la regla de firewall que acepta el tráfico de IPSec, ahora acepta cualquier tipo de tráfico IPSec en input.
    • He quitado las reservas de leases en el DHCP, añádelas tú a posteriori. Vamos a dejar que sea el script quien cree las entradas correspondientes en el NAT, a ver si lo hace como debe.
    • He vuelto a poner el vendor-class a vid="[IAL]". No debería ser necesario, puesto que en el mismo pool no vas a compartir descos y otros dispositivos no descos, pero por si las moscas (se me acaban las ideas).
    • He desactivado el UPnP, para que no haya mayor interferencia con el NAT; no queremos que nada más abra puertos por su cuenta ni cree reglas dinámicas, de momento.
    • He dejado igual es tema del TCP Clamp del Mangle. Es necesario para ajustar el tamaño del paquete que se va a transportar por el túnel IPSec, y condicionará el tamaño del EoIP (como ves, ya no está puesto a 1500, sino que está en automático, y detectará por esas reglas que el tamaño del paquete a manejar es menor). Esta creía que era la principal causa de que esto no te funcionase cuando arrancamos, pero ya veo que la cosa va a ser más complicada que sólo eso.

Dale una prueba y me dices. Cuando veamos HQ funcionando con el desco o descos que tengas en casa, pasamos al remoto. Guárdate el resto de cambios que quieras ir tú metiendo a posteriori para hacerlos uno a uno y chequeando que no rompemos nada, porque ya no sé de dónde puede venir tu problema, así que vamos a tener que ir validando cada coma que metamos nueva de configuración.

La configuración del branch no la he tocado, es la misma que te pasé ayer. En esta última sí que no veo nada raro que nos pueda joder.

Saludos!
 

Adjuntos

  • roolez.zip
    5.8 KB · Visitas: 16
OK! He aprovechado para actualizar HQ a 6.48.4 (lo tenia en .3), se ha quedado sólo con el meta-paquete de fábrica + multicast y he reseteado sin default config.

He metido la config que me has pasado, sin errores, pero no logra levantar el pppoe, por lo que no tengo internet. Teléfono sí tengo y en cuanto a IPTV, puedo visualizar canales en directo pero me da error al acceder a contenido VOD.

No puedo probar el branch ya que al no coger internet HQ..no levanta Ikev2. Puede ser algún problema con el firewall?


Saludos!!
 
OK! He aprovechado para actualizar HQ a 6.48.4 (lo tenia en .3), se ha quedado sólo con el meta-paquete de fábrica + multicast y he reseteado sin default config.

He metido la config que me has pasado, sin errores, pero no logra levantar el pppoe, por lo que no tengo internet. Teléfono sí tengo y en cuanto a IPTV, puedo visualizar canales en directo pero me da error al acceder a contenido VOD.

No puedo probar el branch ya que al no coger internet HQ..no levanta Ikev2. Puede ser algún problema con el firewall?


Saludos!!
Edita el cliente pppoe y metele usuario y contraseña.
 
OK, ya hay internet, seguimos con el mismo problema, veo IPTV en HQ pero solo canales en directo (nada de VOD) y cuando se conecta el cliente "branch" automáticamente dejo de tener IPTV en HQ

EDIT:

He probado a establecer el túnel con IPSEC apuntando directamente a cada uno de los DDNS..., obtengo IP del dhcp cliente en branch (tal y como ocurre al montar el túneo a través de Ikev2) pero tampoco funciona. Por si puede servir para diagnosticar qué puede ocurrir


Saludos!
 
Última edición:
Olvídate del remoto. En HQ, si no se ven ni allí los canales VOD, algo tenemos mal en esa configuración.
¿Se está ejecutando correctamente el script de VOD y metiendo en el NAT las reglas dinámicas cuando arranca un desco nuevo en HQ?

Saludos!
 
Mete esta regla de NAT adicional, que veo que nos la hemos dejado
Código:
/ip firewall nat
add action=masquerade chain=srcnat comment=\
    masq-iptv-subnet src-address=192.168.2.0/24

Saludos!
 
Te vuelvo a pasar la config, con esas dos cosillas corregidas (pppoe con usuario y contraseña y la regla NAT que falta).

Saludos!
 

Adjuntos

  • roolez.zip
    5.8 KB · Visitas: 16
Sí, el script se está ejecutando. He añadido la regla NAT, he reiniciado deco y HQ....y nada. Video en directo OK, pero VOD nada.

Huele a algo más que falte en firewall??

Saludos!!
 
Tienes aceptado en input todo tráfico de las vlans 2 y 3. No veo nada más que eche de menos a priori.

Dale un pantallazo q las rutas, a ver qué pinta tienen. Y mira si en el bridge IPTV hay tráfico multicast, en la pestaña MDB.

Saludos!
 
Buenos días!

Ayer tuve comida familiar...y no pude echarle un ratejo...

Adjunto pantallazos tanto de branch como HQ...a ver si ves algo raro.

Mil gracias!!

Saludos.-
 

Adjuntos

  • Route_branch.jpg
    Route_branch.jpg
    57.4 KB · Visitas: 11
  • Route_hq.jpg
    Route_hq.jpg
    144.4 KB · Visitas: 11
Arriba