- Mensajes
- 13,626
No, el túnel EoIP no debe estar deshabilitado, sino no funciona. Sospecho que es una errata del manual, o simplemente lo configuró así para luego darlo de alta una vez finalizada la configuración.
Pásame la config de cómo tienes ahora mismo los dos equipos y la reviso a conciencia, que ahora sí tengo algo más de tiempo que poder dedicarle.
Por otro lado, sigue estos pasos a la hora de aplicar los manuales:
Lo dicho, si me pasas ambas, te las reviso. Pero ten en cuenta que yo NO tengo IPTV, y hago todo esto a ojo de buen cubero. Sé cual es el setup a montar, pero no puedo probarlo in situ.
Saludos!
Pásame la config de cómo tienes ahora mismo los dos equipos y la reviso a conciencia, que ahora sí tengo algo más de tiempo que poder dedicarle.
Por otro lado, sigue estos pasos a la hora de aplicar los manuales:
- Aplica la configuración de triple vlan en HQ y asegúrate de que funciona con los descos (modifica el segmento LAN a tu gusto)
- Crea todos los certificados, locales y remotos, y exporta la CA y los que te vayas a llevar a otros equipos.
- Aplica la configuración por defecto en el router remoto (modifica el segmento LAN a tu gusto, pero que no coincida con el de HQ
- Monta IKEv2 en HQ y Remoto, enrutando (vía templates) el tráfico de ambas redes LAN si así lo deseas o conectando únicamente el remoto como road-warrior (si desde el remoto sólo vas a acceder al desco de HQ, te sobra con esto último)
- Asegúrate de tener, al menos, las reglas de firewall que aceptan el 4500 y 500 en input, más la regla que acepta el tráfico encriptado para el segmento de la VPN. La regla que acepta el tráfico de ipsec-esp es opcional, ayuda, pero no es 100% necesaria si partiste de la configuración por defecto en ambos routers.
- Crea la interfaz de loopback en HQ. Será uno de los extremos del EoIP, el otro será la IP que otorga el IKEv2 al extremo que se conecta como road-warrior. Asegúrate de que hay conectividad vía IKEv2 entre ambos extermos, antes de montar el EoIP. Ping a la IP de loopback desde el remoto y viceversa, desde HQ a la que le otorgamos al remoto en el mode-config.
- Crea el túnel EoIP, usando esas dos IP's del pool de la VPN. Al correr sobre otro túnel, no apliques el MTU=1500 ni el encriptado por ipsec, puesto que ese túnel va encima de otro que ya va cifrado. No especifiques ninguna MAC para la creación de estos túneles, deja que las genere él automáticamente. Tampoco pongas el !keepalive, puesto que siempre te marcará el túnel como activo, incluso cuando no lo esté. En HQ, mete en el bridge iptv esta nueva interfaz creada.
- Añade un nuevo "bridge-iptv" al remoto, y mete en él el EoIP y el puerto que quieras dedicar al desco. Activa igmp-snooping en el bridge.
- Levanta un cliente DHCP sobre el bridge iptv en el remoto, pero que NO añada la ruta por defecto. Esto no es necesario, pero es muy recomendable para ver si el DHCP se propaga entre los extremos del EoIP. Si consigues una IP del rango del pool iptv del router principal, vas por buen camino.
- Conecta el desco y, en las propiedades de configuración del mismo, asegúrate de que se le está entregando la DNS reservada para los descos que tienes configurada en las opciones del DHCP del router principal. Es casi lo más importante de todo el setup, puesto que si esa DNS no llega al otro lado del túnel, el desco no cargará el contenido. Mira la tabla MDB en el bridge-iptv del remoto y fíjate si hay movimiento de tráfico multicast. Y, recuerda que, después de un reinicio de los descos, pueden tardar varios minutos en cargar el contenido desde que los arrancas.
Lo dicho, si me pasas ambas, te las reviso. Pero ten en cuenta que yo NO tengo IPTV, y hago todo esto a ojo de buen cubero. Sé cual es el setup a montar, pero no puedo probarlo in situ.
Saludos!