MANUAL: EoiP sobre IKEv2 site to site

Hazte el EoIP sobre e IKEv2, del manual de @furny

Saludos!
Túnel levantado.

Incluso intenta dar la IP local que le toca (la tengo por MAC en el HQ) desde el "remoto"

1632646441253.png


Pero sin éxito...
 
@OUTSIDE, has revisado que en ambos extremos tengas la interfaz del túnel dentro del bridge-IPTV? En el MK remoto, tienes el cliente dhcp creado?

Saludos.-
 
@OUTSIDE, este es el mejor método sin duda, si te animas, te echamos una mano...a ver si conseguimos echar a andar el túnel sobre la VPN Ikev2.


Saludos.-
Es como lo he hecho. Y no, no tengo el DHCP creado en el remoto... Tengo el DHCP Client
1632648037931.png


@OUTSIDE, has revisado que en ambos extremos tengas la interfaz del túnel dentro del bridge-IPTV? En el MK remoto, tienes el cliente dhcp creado?

Saludos.-
1632647929675.png
 
Es como lo he hecho. Y no, no tengo el DHCP creado en el remoto... Tengo el DHCP Client
Ver el adjunto 86838


Ver el adjunto 86835
El túnel en uno de los lados lo tienes en “bridgeLAN”. Tiene que ir en un bridge dedicado, con igmp activo y con el puerto que dediques al desco. Es decir, la Foto de la derecha se tiene que parecer a la de la izquierda, en lo relativo al bridge IPTV. En ambos lados tienes lan e IPTV, separados.

Si en el lado donde tienes contratado el servicio de IPTV tienes un único bridge, asegúrate de que va con el igmp snooping puesto, con el musticast activo sobre ese bridge y, sobre todo, con un servidor dhcp condicional para que a los dispositivos normales les dé un rango con tu dirección normal; y a los descos les de las opciones que necesitan especiales, como el dns específico para IPTV. La configuración con un único bridge es algo más compleja (es la que trae de serie el HGU).

Saludos!
 
El túnel en uno de los lados lo tienes en “bridgeLAN”. Tiene que ir en un bridge dedicado, con igmp activo y con el puerto que dediques al desco. Es decir, la Foto de la derecha se tiene que parecer a la de la izquierda, en lo relativo al bridge IPTV. En ambos lados tienes lan e IPTV, separados.

Saludos!
Es que en casa no tengo bridge dedicado para el desco... ya que no tengo cable dedicado directo para él en una interfaz.

Teniéndolo así configurado... no lo voy a poder hacer funcionar, no?
 
Es que en casa no tengo bridge dedicado para el desco... ya que no tengo cable dedicado directo para él en una interfaz.

Teniéndolo así configurado... no lo voy a poder hacer funcionar, no?
No, tendrías que migrar esa configuración a la de los dos bridges que está en el otro manual. Al final el EoIP tiene que ir metido en un bridge para que el dhcp se transporte de un extremo al otro.

Saludos!
 
No, tendrías que migrar esa configuración a la de los dos bridges que está en el otro manual. Al final el EoIP tiene que ir metido en un bridge para que el dhcp se transporte de un extremo al otro.

Saludos!
Entonces dejo este tema en stand-by hasta que tire un segundo cable al comedor.

Gracias
 
Buenas noches,

Ante todo me gustaría agradecer el apoyo prestado siempre por los miembros de este foro.

Siguiendo instrucciones de Pokoyo, he intentado configurar el router mikrotik que tengo en la playa para que se conecte con el mikrotik que tengo en la casa siguiendo este manual de Furny, para montar un túnel EOIP sobre Ikev2. Mi intención es llevarme el deco TV en la casa de la playa, pero no lo consigo.

Os cuento lo que he hecho. Llevaba mucho tiempo queriendo quitar el HGU de movistar y sustituirlo por un router mikrotik con las 3 VLAN. Seguí el manual de @furny para implementar las 3VLAN y configuración multideco. La verdad es que siguiendo todos los pasos descritos, lo conseguí sin problema. El deco funcionaba perfecto muy rápido.

Ahora quiero llevarme el deco de la TV a mi segunda residencia por lo que seguí el tutorial de @pokoyo para túneles EoIP: Cómo llevarte tu red a cuestas. Sin embargo Pokoyo me dijo que no usara ese manual, sino que usara el de furny para montar un tunel eoip sobre ikev2.

La configuración que tengo es la siguiente:

Router A: el que tiene la suscripción a movistar y las 3VLAN. El modelo del router mikrotik es: RB2011UiAS. Todo funcionando sin problema. El deco TV funciona perfectamente!!, (no me funcionaba bien hasta que cambié el HGU por una ONT HUAWEI). Luego seguí el manual de IKEv2 VPN a fondo de Pokoyo, tal y como comentaba Furny en su manual. Seguidamente, para probar si estaba correcto la configuración, probé a conectarme desde el iphone al router de casa por IKEv2 y funciona perfecto.

Router B: siguiendo las recomendaciones de Pokoyo, compré el mikrotik Hex y lo tengo instalado en mi segunda residencia y conectado por cable al router que me da Internet. He abierto los puertos 500 y 4500 en el router que me da internet para que me deje pasar tráfico hasta el mikrotik. Una vez configurado siguiendo este manual de Furny, conecto el deco TV en el ethernet4, le asigna IP del rango 192.168.99.2, pero se queda sin internet; sin embargo el túnel se levanta.

He realizado el tutorial varias veces, pero sin éxito; agradecería cualquier ayuda.

Adjunto un export de ambas configuraciones por si hubiese hecho algo mal durante la configuración.

Muchas Gracias.
 

Adjuntos

  • router-HQ.txt
    12 KB · Visitas: 23
  • router_playa.txt
    4.5 KB · Visitas: 29
Las dos reglas de firewall que has metido en el router playa, las que aceptan el tráfico ipsec del 4500 y el 500 en input y la que aceptan el ipsec-esp, van en una posición concreta; justo delante de la regla que hace drop del tráfico que no vine de la LAN en input, la que reza “drop all not coming from LAN”.

Aparte de eso, le quitaría el “!keepalive” del EoIP para que te diga si el túnel EoIP se levanta o no (con ese flag marcado estará siempre con la “R” de running, incluso cuando no lo haga), y le quitaría el MTU forzado a 1500, puesto que si el túnel EoIP va encima de otro túnel, el tamaño máximo de paquete será menor.

Saludos!
 
Muchas Gracias Pokoyo, Qué rapidez!!

He realizado las modificaciones que me has dicho pero sigue sin funcionar. También me he dado cuenta que tenía algunas reglas debajo de "drop all not coming from lan" y las he movido también justo delante de esa, pero sin éxito.

Adjunto captura de pantalla de las reglas del firewall.

Muchas gracias.
 

Adjuntos

  • IMG_4779 (1).jpg
    IMG_4779 (1).jpg
    533.7 KB · Visitas: 23
Muchas Gracias Pokoyo, Qué rapidez!!

He realizado las modificaciones que me has dicho pero sigue sin funcionar. También me he dado cuenta que tenía algunas reglas debajo de "drop all not coming from lan" y las he movido también justo delante de esa, pero sin éxito.

Adjunto captura de pantalla de las reglas del firewall.

Muchas gracias.
No no, el resto de reglas no las toques. Las reglas van categorizadas por su “chain” o cadena de conexión a la que pertenecen. Las de input van por un lado, las de forward por otro, las de output (que no solemos tener, pero también las hay) por otro. Y es dentro de cada chain donde el orden de las reglas cobra sentido, no entre chains distintos. Las tres reglas que deberían quedar por delante de la que descarta el tráfico en input que no venga de la LAN, son estas tres:
- la que acepta el 4500 y el 500 en udp
- la que acepta ipsec-esp (está regla es opcional, ni si quiera hace falta si ya tienes delante otra que acepte el tráfico relativo a una conexión previa)
- la que acepta el tráfico encriptado de HQ (tampoco es obligatoria, pero te viene bien para que puedas acceder al router remoto desde la red de HQ o desde una conexión vpn de tipo road-warrior que hagas a HQ)

Una vez hechos los cambios, mándame de nuevo los exports, por si se me hubiera colado algo más.

La manera más sencilla de ver si vas por buen camino es ver el bridge IPTV en el lado playa, pestaña MDB, y ver si ahí se empieza a mover o no tráfico multicast.

También puedes ver si el cliente dhcp sobre el bridge IPTV en lado playa es capaz de obtener una ip del lado de HQ, esto confirmaría que el EoIP está funcionando como debe.

Saludos!
 
Buenas tardes Pokoyo,

Acabo de resetear el router de la playa a fábrica y hecho de nuevo el tutorial.

Te paso el export por si encontraras algo raro.

Muchas gracias.
 

Adjuntos

  • router-playa.txt
    4.5 KB · Visitas: 22
Buenas tardes Pokoyo,

Acabo de resetear el router de la playa a fábrica y hecho de nuevo el tutorial.

Te paso el export por si encontraras algo raro.

Muchas gracias.
La regla que reza “allow HQ access to router” iría también delante de la regla que dice “drop all not coming from LAN”, en el chain de input, en lugar de ir abajo del todo.

Saludos!
 
Buenas noches Pokoyo,

Me he dado cuenta que también en el router HQ las reglas IPSEC estaban al final, y las he movido justo antes de la regla DROP ALL NOT COMING FROM LAN.

Sin embargo, ahora no se levanta el túnel. No hay tráfico en la pestaña MDB y el cliente no recibe dirección IP por DHCP del lado del router HQ en el puerto 4.

Adjunto de nuevo las configuraciones de ambos router por si hubiese hecho algo mal.

Muchas gracias.
 

Adjuntos

  • router_playa.txt
    4.4 KB · Visitas: 21
  • router-HQ.txt
    12 KB · Visitas: 20
Mira el firewall en HQ. Las tienes repes. Allí ya tenías las reglas correctas y bien puestas en su sitio.

Saludos!
 
Buenas noches Pokoyo,

He vuelto a poner las reglas en el router HQ tal y como estaban pero sigue sin levantar el túnel entre ambos. Revisando la configuración del manual de furny, cuando crea el túnel EoIP en el router HQ lo deshabilita, esto es correcto así, verdad?

/interface eoip
add allow-fast-path=no disabled=yes !keepalive local-address=192.168.99.1 mac-address=00:00:5E:FF:07:36 mtu=1500 name=s2s-ike2-tunnel remote-address=192.168.99.2 tunnel-id=16

Por otro lado, y como no sé que más probar, entiendo que debo haberme saltado alguna parte del manual de Pokoyo o Furny en algún momento, os adjunto un archivo con la secuencia de instrucciones que he seguido desde el principio para comprobar si son correctas.

Muchas gracias de antemano.
 

Adjuntos

  • Paso a Paso Instrucciones.txt
    9 KB · Visitas: 21
Arriba