MANUAL: EoiP sobre IKEv2 site to site

HOSTIAS!!

No preguntes como....pero acabo de encender el deco que tengo en branch....Y FUNCIONAA!!!!!! WTF?? Y no ha cambiado ningún parámetro desde que estuvimos "bregando" ayer... Es de locos

Bien, ahora ocurre lo siguiente:

En branch se visualiza correctamente contenido en VOD, pero no se ven los canales en directo (cambia de canal, pero aparece pantalla en negro), en HQ no se ve nada, ni VOD ni video en directo.

Adjunto pantallazos de MDB tanto de branch como de HQ.

Ya se ve luz al final del túnel!!


Saludos!
 

Adjuntos

  • mdb_hq.jpg
    mdb_hq.jpg
    73.2 KB · Visitas: 36
  • mdb_branch.jpg
    mdb_branch.jpg
    61.3 KB · Visitas: 35
Pues no veo nada raro, la verdad. ¿las reglas de NAT dinámicas, se crean bien con las IP's de los descos como destino? ¿En la pestaña MDB del bridge iptv en HQ, sale tráfico multicast?

Saludos!
 
@pokoyo, no, en HQ no veo que se haya creado ninguna regla dinámica con destino a los descos, sólo está la regla del masq. de WAN.

En el post anterior tienes pantallazos de MDB....sí que hay tráfico!!

Saludos!
 
Dale un pantallazo en lo que tienes ahora mismo en /ip firewall NAT del HQ. Me da que el script de vod no se está ejecutando correctamente.

Saludos!
 
Vale, sólo tienes una regla dinámica creada, que sospecho que es la del desco remoto, sino no verías nada allí. ¿Puedes ver la IP a la que apunta esa regla y confirmarlo?

Si es así, asegúrate de que en HQ tienes el desco que no funciona conectado a uno de los puertos del bridge IPTV (7, 8 o 10) y, de ser así, apaga el deco, desconéctalo de corriente y déjalo apagado 10 minutos, y lo vuelves a arrancar desde cero. Si el script está creando entradas en el NAT para el remoto, lo ha de hacer igual para el que está enganchado en local, siempre y cuando esté enganchado en el bridge itpv.

Saludos!
 
Vale, te vuelvo a mandar la config de HQ. Te detallo un par de cosas que he cambiado, una de ellas probablemente la causa del problema que tenemos ahora mismo:

- He metido un segundo DNS en el servidor DHCP del bridge IPTV, el propio router de HQ, por si los descos tienen que obtener algo de internet que no tenga que ver con el dns de telefónica para IPTV
/ip dhcp-server network
add address=192.168.2.0/24 comment=IPTV \
dhcp-option=option_para_deco dns-server=172.26.23.3,192.168.2.1 gateway=\
192.168.2.1 netmask=24

- He metido un passthrough=yes en la penúltima regla de mangle para categorizar el tráfico de salida de las vlans, haciendo que todo lo que pase por el mangle llegue a la última regla, la que crea las entradas en el NAT dinámicamente para los descos. Sospecho que por esto no te estaba funcionando en HQ el tema IPTV; porque las reglas de NAT no se estaban lanzando.
/ip firewall nat
add action=set-priority chain=postrouting new-priority=1 out-interface=\
pppoe-out1 passthrough=yes
...
Aquí viene la regla del NAT

Vuelve a importar el fichero o cambia ese par de cosas y lo vemos.

Saludos!
 

Adjuntos

  • hq-clean.rsc.zip
    3.7 KB · Visitas: 26
Vale, sólo tienes una regla dinámica creada, que sospecho que es la del desco remoto, sino no verías nada allí. ¿Puedes ver la IP a la que apunta esa regla y confirmarlo?

Si es así, asegúrate de que en HQ tienes el desco que no funciona conectado a uno de los puertos del bridge IPTV (7, 8 o 10) y, de ser así, apaga el deco, desconéctalo de corriente y déjalo apagado 10 minutos, y lo vuelves a arrancar desde cero. Si el script está creando entradas en el NAT para el remoto, lo ha de hacer igual para el que está enganchado en local, siempre y cuando esté enganchado en el bridge itpv.

Saludos!
Correcto, acabo de revisarla y efectivamente apunta a la IP del desco remoto.

Voy a añadir la config que me pasas y te cuento.

Como siempre, mil gracias!!

Saludos!!
 
Acabo de modificar la config de HQ según tus indicaciones, pero sigue sin ir..., tampoco se ve en el desco de branch.

Voy a comparar la config actual con la última configuración que tenía en la que iba bien IPTV en HQ...a ver si echo en falta algo...

Saludos.-
 
Veo que en la config anterior que tenía, aparece esta regla en firewall:

add action=accept chain=input comment="Accepto vlan2 IGMP packets" protocol=igmp

Puede tener algo que ver?

Saludos!
 
Veo que en la config anterior que tenía, aparece esta regla en firewall:

add action=accept chain=input comment="Accepto vlan2 IGMP packets" protocol=igmp

Puede tener algo que ver?

Saludos!
No. Esa regla sólo acepta el tráfico igmp de la vlan2. Tú tienes una ahora mismo que se traga en input TODO tráfico que venga de la vlan2 o 3.

Saludos!
 
Bueno....ya he podido dejar "fina" la IPTV tanto en VOD como en video en directo. Era problema del script que generaba las reglas para VOD..

He probado a generar túnel EoIP estándar con IPsec, apuntando a las DDNS, para comprobar la config de IPTV y va bien, se visualiza todo el contenido.

Sin embargo es intentar montar el túnel sobre Ikev2..y volvemos al problema.

Sigo cacharreando (soy muy cabezón)...si entre tanto se os ocurre algo y queréis que hagamos pruebas...a vuestra disposición como siempre.


Saludos!!
 
Última edición:
Bueno....ya he podido dejar "fina" la IPTV tanto en VOD como en video en directo. Era problema del script que generaba las reglas para VOD..

He probado a generar túnel EoIP estándar con IPsec, apuntando a las DDNS, para comprobar la config de IPTV y va bien, se visualiza todo el contenido.

Sin embargo es intentar montar el túnel sobre Ikev2..y volvemos al problema.

Sigo cacharreando (soy muy cabezón)...si entre tanto se os ocurre algo y queréis que hagamos pruebas...a vuestra disposición como siempre.


Saludos!!
Es decir, en HQ has conseguido dejarlo fino? Si es así, pásame la configuración, que modifico la copia que tengo limpia con los cambios que hayas metido.
Lo único que se me ocurre que te pueda estar pasando en el remoto es que haya un problema con el MTU y el tamaño de paquete a transmitir. Para eso son las dos reglas de mangle que bajan el tamaño a 1360 en input y output, y por eso el mtu del EoIP no va a 1500 como de normal cuando lo usas de manera individual, sino con el “clamp tcp mss”

Saludos!
 
@pokoyo, sí, ahora va perfecta IPTV tanto en HQ como en branch, si configuro el túnel directamente apuntando a DDNS y con IPsec. Lo que no me fío mucho es de la estabilidad de este tipo de túnel con IPsec tal cual lo tengo ahora mismo...hay veces que no levanta de ninguna de las maneras...(al menos por experiencias anteriores)

Te adjunto export. Cualquier cosa, a tu disposición.

Gracias!


Saludos.-
 

Adjuntos

  • hq_IPTV_OK.txt
    19.6 KB · Visitas: 25
Buenos días,

Me gustaría poder llevarme el desco fuera de casa... este es el manual óptimo para ello?

Gracias

Un saludo
 
Buenos días,

@OUTSIDE, yo he logrado hacerlo funcionar hasta ahora mediante un túnel EoIP con IPsec únicamente. Puedes leer el siguiente hilo creado por el compi @pokoyo y seguir sus instrucciones. Viene perfectamente explicado:


Importante, si los Mikrotik's están detrás de algún router de "operadora", abrir los puertos 500 y 4500 UDP y dirigirlos a la IP que obtenga el router Mikrotik.

Aunque también te informo que, al menos en mi caso, estos túneles son algo inestables y en ocasiones les cuesta levantar, de ahí que estemos tratando, mediante este hilo, montar los EoIP sobre una VPN Ikev2, mucho más estable.

No obstante, prueba con el hilo que te he indicado anteriormente, que seguro lo echas a andar, de lo contrario te echamos un cable.


Saludos.-
 
Buenos días,

@OUTSIDE, yo he logrado hacerlo funcionar hasta ahora mediante un túnel EoIP con IPsec únicamente. Puedes leer el siguiente hilo creado por el compi @pokoyo y seguir sus instrucciones. Viene perfectamente explicado:


Importante, si los Mikrotik's están detrás de algún router de "operadora", abrir los puertos 500 y 4500 UDP y dirigirlos a la IP que obtenga el router Mikrotik.

Aunque también te informo que, al menos en mi caso, estos túneles son algo inestables y en ocasiones les cuesta levantar, de ahí que estemos tratando, mediante este hilo, montar los EoIP sobre una VPN Ikev2, mucho más estable.

No obstante, prueba con el hilo que te he indicado anteriormente, que seguro lo echas a andar, de lo contrario te echamos un cable.


Saludos.-
Pues voy a probar con el hilo que comentas.

El de origen, está detrás de ONT. El de destino, si que estará detrás de un router de operadora (jazztel)

Como realizo esa gestión de los puertos allí?

Mañana será cuando haga el test final, hoy lo configuro todo en casa.

Un saludo
 
@OUTSIDE, que me corrija @pokoyo, pero creo que la VLAN2 (IPTV) no la puedes "transportar" por túnel si el propio Mikrotik no es el que la gestiona.

Dicho de otro modo, en ORIGEN, el Mikrotik debería ser el router principal, dejando el de operadora en bridge, en DESTINO sí podrías ponerlo detrás del router de jazztel, tendrás que acceder a la web de gestión del citado router (suele ser 192.168.1.1 y el usuario/password, si es como el HGU de telefónica, suele venir indicado en una pegatina en el propio router).

Saludos.-
 
@OUTSIDE, que me corrija @pokoyo, pero creo que la VLAN2 (IPTV) no la puedes "transportar" por túnel si el propio Mikrotik no es el que la gestiona.

Dicho de otro modo, en ORIGEN, el Mikrotik debería ser el router principal, dejando el de operadora en bridge, en DESTINO sí podrías ponerlo detrás del router de jazztel, tendrás que acceder a la web de gestión del citado router (suele ser 192.168.1.1 y el usuario/password, si es como el HGU de telefónica, suele venir indicado en una pegatina en el propio router).

Saludos.-
Buenas,

El Mikrotik, en mi casa, donde está la IPTV, tiene la TripleVlan. Está directa contra una ONT, no hay router intermedio.

En el destino, donde quiero llevarme el IPTV a cuestas, es donde está Jazztel y me voy a llevar otro Mikrotik.

Estoy probando con el enlace que me habéis pasado https://www.adslzone.net/foro/mikro...les-eoip-como-llevarte-tu-red-cuestas.520975/, y no consigo que interconecten las dos sedes, los dos mikrotik. Así que mal vamos...

El túnel no levanta.

Tengo internet en el mikrotik B, eso si.

Como nota, en el Cloud del mikrotik B, me indica "Router is behind a NAT. Remote connection might not work". A ver si me podéis ayudar...

Un saludo
 
Arriba