MANUAL: EoiP sobre IKEv2 site to site

No, el túnel EoIP no debe estar deshabilitado, sino no funciona. Sospecho que es una errata del manual, o simplemente lo configuró así para luego darlo de alta una vez finalizada la configuración.

Pásame la config de cómo tienes ahora mismo los dos equipos y la reviso a conciencia, que ahora sí tengo algo más de tiempo que poder dedicarle.

Por otro lado, sigue estos pasos a la hora de aplicar los manuales:
  • Aplica la configuración de triple vlan en HQ y asegúrate de que funciona con los descos (modifica el segmento LAN a tu gusto)
  • Crea todos los certificados, locales y remotos, y exporta la CA y los que te vayas a llevar a otros equipos.
  • Aplica la configuración por defecto en el router remoto (modifica el segmento LAN a tu gusto, pero que no coincida con el de HQ
  • Monta IKEv2 en HQ y Remoto, enrutando (vía templates) el tráfico de ambas redes LAN si así lo deseas o conectando únicamente el remoto como road-warrior (si desde el remoto sólo vas a acceder al desco de HQ, te sobra con esto último)
  • Asegúrate de tener, al menos, las reglas de firewall que aceptan el 4500 y 500 en input, más la regla que acepta el tráfico encriptado para el segmento de la VPN. La regla que acepta el tráfico de ipsec-esp es opcional, ayuda, pero no es 100% necesaria si partiste de la configuración por defecto en ambos routers.
  • Crea la interfaz de loopback en HQ. Será uno de los extremos del EoIP, el otro será la IP que otorga el IKEv2 al extremo que se conecta como road-warrior. Asegúrate de que hay conectividad vía IKEv2 entre ambos extermos, antes de montar el EoIP. Ping a la IP de loopback desde el remoto y viceversa, desde HQ a la que le otorgamos al remoto en el mode-config.
  • Crea el túnel EoIP, usando esas dos IP's del pool de la VPN. Al correr sobre otro túnel, no apliques el MTU=1500 ni el encriptado por ipsec, puesto que ese túnel va encima de otro que ya va cifrado. No especifiques ninguna MAC para la creación de estos túneles, deja que las genere él automáticamente. Tampoco pongas el !keepalive, puesto que siempre te marcará el túnel como activo, incluso cuando no lo esté. En HQ, mete en el bridge iptv esta nueva interfaz creada.
  • Añade un nuevo "bridge-iptv" al remoto, y mete en él el EoIP y el puerto que quieras dedicar al desco. Activa igmp-snooping en el bridge.
  • Levanta un cliente DHCP sobre el bridge iptv en el remoto, pero que NO añada la ruta por defecto. Esto no es necesario, pero es muy recomendable para ver si el DHCP se propaga entre los extremos del EoIP. Si consigues una IP del rango del pool iptv del router principal, vas por buen camino.
  • Conecta el desco y, en las propiedades de configuración del mismo, asegúrate de que se le está entregando la DNS reservada para los descos que tienes configurada en las opciones del DHCP del router principal. Es casi lo más importante de todo el setup, puesto que si esa DNS no llega al otro lado del túnel, el desco no cargará el contenido. Mira la tabla MDB en el bridge-iptv del remoto y fíjate si hay movimiento de tráfico multicast. Y, recuerda que, después de un reinicio de los descos, pueden tardar varios minutos en cargar el contenido desde que los arrancas.

Lo dicho, si me pasas ambas, te las reviso. Pero ten en cuenta que yo NO tengo IPTV, y hago todo esto a ojo de buen cubero. Sé cual es el setup a montar, pero no puedo probarlo in situ.

Saludos!
 
Muchas gracias Pokoyo por tu interés.

Te paso las configuraciones de los dos routers.

Un saludo.
 

Adjuntos

  • ROUTER_HQ.txt
    12 KB · Visitas: 21
  • Router_playa.txt
    4.4 KB · Visitas: 19
Buenas a todos, otra mañana entera perdida intentando hacer funcionar los mikrotik, y otra vez incapaz de hacer que se establezca si quiera el tunel...

Si alguien tiene interes en hacer una sesión remota y dejarmelo configurado, le pago lo que me pida, si no, me tocará devolver los routers y olvidarme del tema, por que obviamente, me viene grande. Sigo los pasos como un loro repitiendo sin entender que puñetas está haciendo, y así es imposible.

El que quiera sacarse unos euros y tenga el tema controlado, que me escriba un privado :ROFLMAO:
 
Muchas gracias Pokoyo por tu interés.

Te paso las configuraciones de los dos routers.

Un saludo.
Mira a ver si con esta configuración te funciona. Hice bastantes cambios, así que es posible que haya alguna cagada y te de fallo al importarla. Antes de importar nada, haz backup de ambos equipos, certificados incluidos. Primero importa HQ y dime si no falla y se ve la IPTV tal y como lo hacías antes.

Si eso está fino, importa el otro en el remoto "branch" (o playa o como lo quieras llamar).

Haz una copia de los certificados antes de darle un reset a los equipos y cargar esa configuración. O vuelve a generarlos con los scripts que tenías de mis manuales, y lo haces antes de arrancar con la configuración, al principio del todo del script.

Tu principal problema era el guirigay que tenías con las direcciones. Para implementar roadwarrior y site-to-site no es necesario manejar varios segmentos de red para IKEv2; con uno te basta y te sobra. Tal y como está ahora, hay un único segmento, el 192.168.68.0/24. El pool va de la dirección 192.168.68.10 en adelante, así que tienes de la 2 a la 9 para que se conecten equipos "site-to-site" (se conectan primero en modo road-warrior y se le entrega una IP de ese sub-rango de la .2 a la .9, y luego es cuando, hacia atrás, el router del sitio remoto levanta un segundo túnel para el site to site, ya con las subredes de las LAN que se quieren comunicar, en tu caso la .18 en el remoto y la .88 en el HQ). No obstante, el site to site no es necesario para el EoIP, podrías perfectamente prescindir de ello y, si el router branch y el hq sólo van a conectar para usar el desco, ovlidarte de ese segundo túnel IKEv2 y tirar sólo con el de tipo road-warrior para, encima de él, montar el EoIP. Sé que esto no quedaba mu claro en la configuración de @furny, porque él si que usaba otras direcciones de tipo /32 para comunicar los extremos del EoIP. Pero créeme, que como te lo doy funciona perfecto, y no es necesario liarlo más.

Es decir, ahora mismo el remoto se van a levantar dos túneles:
- El primer túnel lo levanta HQ hacia el remoto, cuando "contesta" a la petición de conexión por IKEv2 en modo road-warrior. HQ entregará al remoto la IP 192.168.68.2, reservada en un modo de configuración específico para ese identity llamante. Sobre ese túnel es sobre el que luego montamos EoIP, creando una IP ficticia en HQ para montar los dos extremos del túnel (192.168.68.1 en HQ, asociada a un bridge vacío de loopback y 192.168.68.2 en el branch remoto, IP que hemos entregado nosotros mismos por IKEv2 al establecerse este primer túnel)
- El segundo túnel lo levanta "branch" contra "HQ", a partir de la policy que une los dos segmentos LAN de ambos extremos. Esta policy es "activa" no una plantilla (tiene el modo "tunnel=yes"), quiere decir que va a lanzar ella el túnel y espera que al otro lado haya una plantilla que lo atienda. Si lo hay, las subredes LAN 192.168.18.0/24 (branch) y la 192.168.88.0/24 (HQ) estarán comunicadas entre sí, y podrás hacer ping desde una máquina conectada a HQ a otra que esté conectada al router remoto y viceversa. Este último túnel es el que te digo que es totalmente opcional y que no tiene nada que ver con el IPTV, que se transportará por el EoIP sobre el túnel que se establece en modo road-warrior, como si tu router fuera un móvil más que se conecta a HQ.

Ah! y asegúrate de ponerle los nombres a los certificados tal y como se referencian en las configuraciones. Cuando importes el certificado en el router remoto, renómbralo a "vpn-client-branch" para que la configuración "encaje"
servidor= vpn-server
cliente branch = vpn-client-branch
cliente móvil = vpn-client-mobile

Saludos!
 

Adjuntos

  • crowfilm2004.zip
    4.8 KB · Visitas: 26
Genial! Muchas gracias Pokoyo.

Voy a probarlas mañana por la mañana, ya que ahora no estoy en casa.

Para importar las configuraciones, hago backup de cada router, de los certificados y luego hago un reset a fábrica con Quickset, verdad?

Una vez hecho el reseteo, importo los certificados y comienzo a escribir cada línea del script que me has mandado desde el terminal; así habría que hacerlo, verdad?

De nuevo muchas gracias.
 
Genial! Muchas gracias Pokoyo.

Voy a probarlas mañana por la mañana, ya que ahora no estoy en casa.

Para importar las configuraciones, hago backup de cada router, de los certificados y luego hago un reset a fábrica con Quickset, verdad?

Una vez hecho el reseteo, importo los certificados y comienzo a escribir cada línea del script que me has mandado desde el terminal; así habría que hacerlo, verdad?

De nuevo muchas gracias.
No, estos imports son completos. Tendrías que resetear los equipos sin configuración, generar los certificados e importar luego esos ficheros, sobre un equipo sin nada de configuración

Saludos!
 
Buenas tardes Pocoyo,

Acabo de probar las configuraciones que me has mandado y funciona bien el túnel, asigna las IP correctamente, puedo acceder a los dos extremos haciendo ping pero no se ve la TV en la casa del router branch.

El deco lo tengo conectado al puerto 4 del router branch. Por cierto en la red del router HQ no tengo ningún deco, me lo he llevado hacia la casa del router branch; pienso que esto dará igual, el tráfico IPTV se debería entregar al router branch aunque no haya decotv en la red del router hq, no?

Adjunto logs de ambos routers así como la configuración de como están ahora, por si ves algo raro.

Muchas gracias.
 

Adjuntos

  • router-hq.txt
    11.4 KB · Visitas: 33
  • router-branch.txt
    4.3 KB · Visitas: 21
  • log_router_hq.jpg
    log_router_hq.jpg
    915.7 KB · Visitas: 25
  • log_router_branch.jpg
    log_router_branch.jpg
    700.9 KB · Visitas: 24
Última edición:
Buenas tardes Pocoyo,

Acabo de probar las configuraciones que me has mandado y funciona bien el túnel, asigna las IP correctamente, puedo acceder a los dos extremos haciendo ping pero no se ve la TV en la casa del router branch.

El deco lo tengo conectado al puerto 4 del router branch. Por cierto en la red del router HQ no tengo ningún deco, me lo he llevado hacia la casa del router branch; pienso que esto dará igual, el tráfico IPTV se debería entregar al router branch aunque no haya decotv en la red del router hq, no?

Adjunto logs de ambos routers así como la configuración de como están ahora, por si ves algo raro.

Muchas gracias.
Te sale tráfico en MDB en el router remoto? Has visto en las propiedades del desco si te llega la ip del segmento de IPTV (parece que sí por los logs) y, sobre todo, si llega la ip del dns?

No puedo probar nada ahora mismo, no tengo IPTV. Pero revisa el manual de furny por si se nos escapa algo. También puedes desactivar temporalmente las reglas de mangle que ajustan el tamaño del paquete y poner a 1500 el MTU del EoIP, a ver si mejora. O montar un EoIP por separado entre ambos extremos, con ipsec, tal que pruebes si tiene o no que ver con el setup del IKEv2 o no.
Saludos!
 
Vale, vamos a hacer un par de cambios. No creo que sea la causa del problema, pero podría estar jodiendo la configuración del DNS el mode-config del lado playa. Yo usé directamente el que trae por defecto el router, y por defecto la configuración original es use-responder-dns=exclusively

Eso podría estar jodiendo la configuración del DNS que se propaga al router, así que vamos a hacer dos cambios

Primero, vamos a crear un nuevo mode-cofig, tal y como lo hace @furny en su manual. Después editaremos el identity del lado "branch" (o playa, como lo quieras llamar), y se lo asignaremos.
Código:
/ip ipsec mode-config
add name=branch-ike2-cfg responder=no
/ip ipsec identity
set 0 mode-config=branch-ike2-cfg

Otra cosa que vamos a editar es la configuración del cliente DHCP que levantamos sobre el router "branch"
Código:
/ip dhcp-client
set 1 use-peer-dns=yes

Después de este par de cambios, prueba y me dices. Si sigues sin ver nada en el remoto, vuelve a pasarme los export de ambos equipos.

Saludos!
 
Buenas noches Pokoyo,

Muchas gracias por tus indicaciones.

He lanzado los comandos que me has mandado en el router branch pero sigo sin ver la TV. Sin embargo, la IP que se le asigna el deco está en el rango correcto; le ha asignado la 192.168.77.206.
La pasarela que le ha asignado al deco es: 192.168.77.1
El DNS primario del deco es: 172.26.23.3

Te paso la configuración de los dos router tal y como están ahora mismo.

Muchas gracias de nuevo Pokoyo por todo tu esfuerzo y dedicación.
Un saludo.
 

Adjuntos

  • ROUTER-BRANCH-.TXT
    4.4 KB · Visitas: 28
  • ROUTER-HQ-.txt
    11.4 KB · Visitas: 28
Lo único que en un principio echo de menos es la opción de “use-peer-dns=yes” en el cliente dhcp que corre sobre el bridge IPTV en el lado remoto (branch). Edita el cliente y marca esa opción. Con eso, en IP-> DNS -> Dynamic servers deberían aparecer los dns de telefónica (80.58.61.250/80.58.61.254). También necesito que te fijes si en HQ se crea la regla dinámica del NAT para el deco que conectas al otro lado, la que crea el script que tienes corriendo cada 6 segundos.

Aunque no creo que el problema venga de ahí. Si no te funciona dime, y montamos un EoIP individual que vaya de lado a lado sin pasar por encima del IKEv2, a ver si con ese sí funciona. Algo debe de haber cambiado con las últimas actualizaciones, bien a nivel mikrotik o a nivel Telefónica que hace que eso no funcione como lo hacía antes. La pena es que @furny hace tiempo que no pasa por aquí, sino seguro nos echaba un cable y lo cazaba rápido, sospecho que se habrá topado con lo mismo ya, si ha ido actualizando los equipos.

Saludos!
 
Buenas tardes Pokoyo,

Lo he mirado y sí estaba activada “use-peer-dns=yes” en el cliente dhcp que corre sobre el bridge IPTV en el lado branch. Además me aparecen los DNS de movistar en dynamic server; adjunto foto.
La regla NAT que me comentas, no sé donde mirarla.

Podemos probar a hacer el túnel EoIP directo, como comentabas, ya que sigue sin verse la TV.

Un saludo.
 

Adjuntos

  • IMG_4788.jpg
    IMG_4788.jpg
    794.9 KB · Visitas: 23
Buenas tardes Pokoyo,

Lo he mirado y sí estaba activada “use-peer-dns=yes” en el cliente dhcp que corre sobre el bridge IPTV en el lado branch. Además me aparecen los DNS de movistar en dynamic server; adjunto foto.
La regla NAT que me comentas, no sé donde mirarla.

Podemos probar a hacer el túnel EoIP directo, como comentabas, ya que sigue sin verse la TV.

Un saludo.
Vale, perdona, que se me olvidaba que es opción por defecto, por eso no sale en el export. La regla del NAT la ves en HQ en IP -> Firewall -> NAT. Si funciona, la ip del desco remoto debería de tener una regla de NAT dinámica creada por el script de “vod”. Si todo eso está bien, pasa a lo siguiente que te comento:

Haz dos pruebas, porfa. La primera, desactiva (que no borrarlas) las reglas de mangle (IP -> Firewall -> Mangle) Que hay en HQ, relativas al setup del TCP MSS. Una vez hecho eso, edita los tienes EoIP y le pones el MTU en ambos lados a 1500 y pruebas.

Si lo anterior no da resultado, crea un túnel EoIP nuevo en ambos lados, sin fasttrack y con la opción del use IPSec marcada, con el MTU a 1500 y sin especificar el local address. Y, en el remote address, metes el ddns del otro extremo. Usas el mismo túnel id en ambos lados, desactivas los túneles previos que teníamos creados para IKEv2 y metes este nuevo en ambos extremos en el bridge IPTV y pruebas.

Cualquier duda, me mandas el export de nuevo y lo reviso.

Saludos!
 
Gracias Pokoyo por tus comentarios.

Estoy comprobando la regla NAT y no aparece. Puede que sea ese el problema…
Te paso foto de las reglas que tengo en NAT.

He probado a deshabilitar las reglas del TCP MSS y he puesto 1500 en MTU ambos túneles pero sigue sin verse.

Voy a probar a realizar el nuevo túnel.

Te voy contando.
 

Adjuntos

  • IMG_4789.jpg
    IMG_4789.jpg
    652.8 KB · Visitas: 22
Última edición:
Gracias Pokoyo por tus comentarios.

Estoy comprobando la regla NAT y no aparece. Puede que sea ese el problema…
Te paso foto de las reglas que tengo en NAT.

He probado a deshabilitar las reglas del TCP MSS y he puesto 1500 en MTU ambos túneles pero sigue sin verse.

Voy a probar a realizar el nuevo túnel.

Te voy contando.
Claro, sin esa regla quiero parado, que no vas a ver nada.

la numero 3 lleva es etiqueta. Es de un desco local en HQ?

Saludos!
 
Pokoyo, No tengo ningún deco local en HQ; el deco lo tengo en la casa de la playa (router branch). Entiendo que cuando conecto el deco en la red local HQ se activa esa regla y se ve la TV perfectamente.
Entonces, tendría que cambiar el script?
 
Pokoyo, No tengo ningún deco local en HQ; el deco lo tengo en la casa de la playa (router branch). Entiendo que cuando conecto el deco en la red local HQ se activa esa regla y se ve la TV perfectamente.
Entonces, tendría que cambiar el script?
Revisa la regla que hay creada y mira a qué ip local apunta. Debería ser a la de ese deco. Sino, cámbiala a mano y prueba. Y luego revisamos el script si es necesario.

Saludos!
 
No apunta a ninguna IP. Entiendo que tengo que poner en Src. address la IP del deco: 192.168.77.206, verdad?

Lo he configurado así pero sigue sin verse.

Por otro lado, he estado mirando la regla más detenidamente y en el campo To Addresses pone: 192.168.77.201 y lo he cambiado a 192.168.77.206, que es la que tiene asignada el deco tv en el router branch. También he eliminado la IP que había puesto en Src. address. He reiniciado todos los equipos pero siguen sin verse.
 
Última edición:
No apunta a ninguna IP. Entiendo que tengo que poner en Src. address la IP del deco: 192.168.77.206, verdad?

Lo he configurado así pero sigue sin verse.

Por otro lado, he estado mirando la regla y en el campo To Addresses pone: 192.168.77.201 y lo he cambiado a 192.168.77.206. También he eliminado la IP que había puesto en Src. address. He reiniciado todos los equipos pero siguen sin verse.
La regla solo ha de llevar al “to-address” y debe apuntar a la que sea la IP del desco en el otro extremo. Es decir, algo así, si la ip del desco es la 206
Código:
add action=dst-nat chain=dstnat comment="VOD Script" dst-address-type=local \
    in-interface=iptv-vlan2 to-addresses=192.168.77.206

Si ves que no te funciona tampoco, prueba a quitarle el filtro de “dst-address-type=local”, no acabo de entender por qué está ahí ese filtro ni qué aporta.
Saludos!
 
Hola Pokoyo, he probando también quitando el filtro de “dst-address-type=local” pero sigue sin verse.
He mirado el log del router branch y ahora la ip que le asigna al deco es la 199, no la 206.

Desconozco si con los cambios realizados hemos desconfigurado la pool del IPTV. He mirado la pool y parece correcta pero ahora no le asigna al deco la IP correcta.

Falsa alarma; he desconectado el deco durante 5 minutos y ya tiene la ip correcta.

Pero sigue sin verse.
 
Última edición:
Arriba