MANUAL: EoiP sobre IKEv2 site to site

Puedes probar a habilitar el multicast querier del lado playa?
Código:
interface bridge set [find where name=bridge-iptv] multicast-querier=yes

Si ves que sigue sin funcionar. vuelve a dejarlo con el multicast-querier=no y haz ese mismo cambio en el bridge-iptv del lado HQ. De momento no toques la configuración de los túneles, me da que la conexión y el tráfico son correctos, pero que lo que tenemos mal es el tema del multicast, por recientes cambios en la versión de routerOS.

También ayudaría si me mandases un pantallazo de lo que sale en la pestaña MDB, para el bridge-iptv, en ambos extremos.

Saludos!
 
Buenas tardes Pokoyo,

He probado en ambos extremos el multicast querier, pero no ha funcionado. Lo he dejado todo como estaba.

Adjunto pantallazo de la pestaña MDB de ambos extremos.

Un saludo.
 

Adjuntos

  • MDB HQ.png
    MDB HQ.png
    24.5 KB · Visitas: 81
  • MDB BRANCH.png
    MDB BRANCH.png
    28.6 KB · Visitas: 94
Buenas tardes Pokoyo,

He probado en ambos extremos el multicast querier, pero no ha funcionado. Lo he dejado todo como estaba.

Adjunto pantallazo de la pestaña MDB de ambos extremos.

Un saludo.
Eso te sale teniendo el desco levantado? Porque, si es así, no tienes tráfico multicast, así que es normal que no se vea nada. Volveríamos entonces a HQ. Con la config que tienes allí, te funciona l desco si lo conectas al puerto que tienes dentro del bridge-IPTV en HQ? Por otro lado, me mosquea que, para ese beige en HQ, tienes asignados puertos que salen con un asterisco y un número en el export… qué es eso? Sino, dale un pantallazo a la pestaña ports del bridge IPTV en HQ, a ver qué tiene.

Saludos!
 
Buenas tardes Pokoyo,

Efectivamente, el deco en la red del router HQ conectándolo al puerto 2 se ve perfecto.
Te paso captura de los puertos en HQ.

Un saludo.
 

Adjuntos

  • bridge ports hq.png
    bridge ports hq.png
    96 KB · Visitas: 90
Buenas tardes Pokoyo,

Efectivamente, el deco en la red del router HQ conectándolo al puerto 2 se ve perfecto.
Te paso captura de los puertos en HQ.

Un saludo.
Los dos últimos puertos de la lista, los que aparecen como “unknown” los puedes borrar. Son los que salen raros en el export. Supongo que vienen de alguna configuración antigua que ya no vale.

La verdad es que ahora mismo estoy un poco obstuso, no consigo encontrar qué pueda estar mal en el router branch o HQ que haga que el multicast no se propague correctamente. Me lo guardo para cuando tenga un ratito más libre y lo vuelvo a revisar a fondo. Cuando borres esos dos puertos, vuelve a hacer ambos export y me los mandas, con eso tengo lo último y más actualizado.

Saludos!
 
Buenas tardes Pokoyo,

Los he borrado y sigue sin verse.

Te adjunto un export de ambos extremos para que los veas cuando puedas.

Un saludo y muchas gracias por todo.
 

Adjuntos

  • ROUTER_HQ.txt
    11.3 KB · Visitas: 91
  • ROUTER_BRANCH.txt
    4.4 KB · Visitas: 92
Sobre el tema de ver la tv en remoto, yo en su día siguiendo estos pasos conseguí visualizar la tv en remoto, aunque el rendimiento era pobre y se trababa (por poca potencia de la raspberry usada supongo).

Me quiere sonar que lo que hice fue conectar por wifi una raspberry a un router con la tv contratada, montar ahí el servidor vpn, y luego en otra conexión independiente, un router como cliente vpn y el deco de movistar conectado a el, y funcionaba.

¿Habría forma de aplicar esta información para poder hacer lo mismo con los mikrotik a ver si tienen potencia suficiente para gestionarlo? Sin tener que poner uno de ellos como router principal sustituyendo el HGU.

Es que esa configuración me resulto infinitamente mas sencilla, y os doy fe que funcionaba.
 
Sobre el tema de ver la tv en remoto, yo en su día siguiendo estos pasos conseguí visualizar la tv en remoto, aunque el rendimiento era pobre y se trababa (por poca potencia de la raspberry usada supongo).

Me quiere sonar que lo que hice fue conectar por wifi una raspberry a un router con la tv contratada, montar ahí el servidor vpn, y luego en otra conexión independiente, un router como cliente vpn y el deco de movistar conectado a el, y funcionaba.

¿Habría forma de aplicar esta información para poder hacer lo mismo con los mikrotik a ver si tienen potencia suficiente para gestionarlo? Sin tener que poner uno de ellos como router principal sustituyendo el HGU.

Es que esa configuración me resulto infinitamente mas sencilla, y os doy fe que funcionaba.
Sí. En teoría, incluso podrías enrutar el tráfico multicast. Usamos EoIP porque trasladas de un extremo a otro la capa 2, nada recomendable en otro escenario, pero muy útil en este.

Saludos!
 
Buenas tardes,
He estado liado esta semana y no he podido dedicarle tiempo para seguir probando cosas. Voy a probar ahora con el tutorial de EOIP llevarse la red a cuestas.

Sin embargo estoy pensando que al no pasar el tráfico multicast entre ambos routers, puede ser que no estén abiertos todos los puertos en el router de branch.

Me explico: el router mikrotik que uso como branch, está conectado físicamente a la ONT de mi proveedor que es el modelo EG8245H. En dicha ONT, tengo abierto los puertos 500, 4500 en UDP y dirigidos al mikrotik. He leído que hay que permitir el tráfico GRE en input para que funcione el túnel EOIP; por tanto, no sé si tengo que abrir nuevos puertos en la ONT EG8245H. Estoy pensando cuál puede ser el motivo por el que no se envíe el tráfico multicast.

Muchas gracias.
 
GRE solo deberías tenerlo que permitir en input si no securizas el túnel. Si el túnel va con ipsec, bien sea él mismo, o sobre IKEv2, no necesitas nada más.
Lo que me deja un poco roto es eso de que tienes que abrir puertos en una ONT. Eso entonces no es una ONT, es un router, a todos los efectos.

Saludos!
 
Hola Pokoyo,
Lo he mirado y es un router GPON ONT. Por eso se comporta como un router y he tenido que abrir los puertos.
Voy a probar con tu manual de llevarse la red a cuestas y os digo como me ha ido.
Un saludo.
 
Hola Pokoyo, comentarte que usando tu manual para llevarte la red a cuestas, ha funcionado a la primera y ya tengo el deco funcionando en la casa playa. Muchas gracias por toda tu ayuda y tu interés.

Ahora me gustaría comentarte otra duda que tengo. He habilitado el puerto eth5 del router Branch dentro del túnel, para conectar un punto de acceso Ubiquiti y poder conectar el iPad por wifi para ver canales sin DRM por VLC.

Lo he configurado todo y al conectar el iPad por wifi le asigna la ip 192.168.77.55, que es correcto pero no consigo reproducir por ejemplo el canal 13Tv que no tiene DRM.

Se te ocurre que tenga que hacer algo más?

Lo dicho, muchas gracias por todo. No lo habría conseguido sin tu ayuda.
Un saludo.
 
Hola Pokoyo, comentarte que usando tu manual para llevarte la red a cuestas, ha funcionado a la primera y ya tengo el deco funcionando en la casa playa. Muchas gracias por toda tu ayuda y tu interés.

Ahora me gustaría comentarte otra duda que tengo. He habilitado el puerto eth5 del router Branch dentro del túnel, para conectar un punto de acceso Ubiquiti y poder conectar el iPad por wifi para ver canales sin DRM por VLC.

Lo he configurado todo y al conectar el iPad por wifi le asigna la ip 192.168.77.55, que es correcto pero no consigo reproducir por ejemplo el canal 13Tv que no tiene DRM.

Se te ocurre que tenga que hacer algo más?

Lo dicho, muchas gracias por todo. No lo habría conseguido sin tu ayuda.
Un saludo.
Ni idea. No tengo IPTV, pero pon tu configuración aquí a ver si alguien que lo tenga montado igual te puede echar una mano. A priori se me ocurre que te asegures no sólo de que le llega el rango correcto, sino también el dns específico para IPTV.

Saludos!
 
Buenas noches a tod@s,

He estado ausente por trabajo y he visto se ha retomado este hilo, cosa que me alegra ya que igualmente sigo trabajando en montar EoIP sobre IKEv2 para transportar IPTV. Ahora mismo tengo montados un par de túneles EOIP "a pelo" con IPsec, funciona perfecto, pero lo suyo es montarlo con IKEv2 para securizarlo aún más (amén que es mucho más "silencioso" de cara a logs).

@crowfilm2004, aparte de los puertos que indicas, en mi caso también tuve que abrir el GRE (47) ya que no había forma que levantasen los túneles (tras documentarme creo que se trata de un bug de routerOS cuando se utiliza más de un túnel y con ID distinto a 0. Teóricamente es como comenta @pokoyo y únicamente es necesario cuando el túnel no va securizado, pero como comento, en mi caso sólo conseguí levantarlos abriendo el puerto.

Por aquí me tenéis para seguir investigando sobre este tema.

Saludos!!

 
Ante todo gracias @furny y @pokoyo por estos manuales tan fantásticos. He probado el tunel y funciona a las mil maravillas.

Tengo el R1 (HQ) con 3 redes (Brige con 192.168.88.0/24 - VPN con 192.168.50.0/24 y la del tunel EoIP con 192.168.199.0/24)
El R2 (Playa) tiene 3 redes + 1 la del tunel (Bridge 192.168.88.0/24 - Bridge_cm 192.168.99.0/24 - Bridge_IOT 172.172.172.0/24 y la del tunel Bridge-tunel 192.168.199.0/24 que viene del HQ)

Mi pregunta es, ¿desde la LAN principal del R2 (playa) 192.168.88.X se puede configurar para poder acceder a las LANs del R1 (HQ) incluida la del mismo rango 192.168.88.0/24 ?

He intentado con reglas de firewall pero no he conseguido que se comuniquen, ¿alguna idea?
 
Ante todo gracias @furny y @pokoyo por estos manuales tan fantásticos. He probado el tunel y funciona a las mil maravillas.

Tengo el R1 (HQ) con 3 redes (Brige con 192.168.88.0/24 - VPN con 192.168.50.0/24 y la del tunel EoIP con 192.168.199.0/24)
El R2 (Playa) tiene 3 redes + 1 la del tunel (Bridge 192.168.88.0/24 - Bridge_cm 192.168.99.0/24 - Bridge_IOT 172.172.172.0/24 y la del tunel Bridge-tunel 192.168.199.0/24 que viene del HQ)

Mi pregunta es, ¿desde la LAN principal del R2 (playa) 192.168.88.X se puede configurar para poder acceder a las LANs del R1 (HQ) incluida la del mismo rango 192.168.88.0/24 ?

He intentado con reglas de firewall pero no he conseguido que se comuniquen, ¿alguna idea?
Sí, claro. Añadiendo policy templates que permitan dicha comunicación.

Saludos!
 
Buenas noches a tod@s,

He estado ausente por trabajo y he visto se ha retomado este hilo, cosa que me alegra ya que igualmente sigo trabajando en montar EoIP sobre IKEv2 para transportar IPTV. Ahora mismo tengo montados un par de túneles EOIP "a pelo" con IPsec, funciona perfecto, pero lo suyo es montarlo con IKEv2 para securizarlo aún más (amén que es mucho más "silencioso" de cara a logs).

@crowfilm2004, aparte de los puertos que indicas, en mi caso también tuve que abrir el GRE (47) ya que no había forma que levantasen los túneles (tras documentarme creo que se trata de un bug de routerOS cuando se utiliza más de un túnel y con ID distinto a 0. Teóricamente es como comenta @pokoyo y únicamente es necesario cuando el túnel no va securizado, pero como comento, en mi caso sólo conseguí levantarlos abriendo el puerto.

Por aquí me tenéis para seguir investigando sobre este tema.

Saludos!!

hola, feliz año, podrías mandar los export de ambos routers para compararlos con los mios que en algo me fallan, gracias
 
@leptismame, finalmente no llegué a echar a andar el túnel sobre IKEv2 y lo deseché, pero sí he logrado hacerlo sobre Wireguard.

Te animo a que eches un ojo al hilo que el compi @pokoyo abrió, en el que tiene un impresionante tutorial para montarlo. Cualquier duda, por aquí estamos.

Saludos y Feliz Año!
 
Buenas noches,
llevo varios días pegandome con el tema de unir HQ con una sede para luego hacerlo a otras 2 playas más (como vosotros decis). Me he querido leer todo el hilo entero e incluso en algún momento vi que alguien triunfo pero no me quedó claro el número de desco que tenía.
Yo siempre he hecho las pruebas con eoip con IPsec, es decir eoip con IPsec secret, ya que me levanta el tunel directamente con IPsec como bien explico Pokoyo, creo que en este mismo Post.
El tunel se levanta del tirón y el desco remoto funciona perfectamente. El problema es que en HQ se ralentiza el tráfico y solo ven canales perdiendo la guia y el VOD. En el remoto todo levantado.
Si en HQ pongo 3 desco funciona todo, pero en el momento que meto el puerto eoip en el bridge de IPTVy levanto el tunel el tráfico de los decos de HQ comienza a fallar y a perder el VOD (en el remoto no conecto nada al puerto donde pondré el desco), da ip por dhcp al MKT remoto perfectamente. Como es posible que sin conectar aun el deco remoto y solo abriendo el tunel me tire la red local.
Tendría que probarlo otra vez pero diría que si monto un desco en HQ y otro en remoto no tengo problemas.
Da la sensación que empiece a propagar el multicast sin control.
Alguna idea?
No soy un gran experimentado de mikrotik, llevo 15 días tocandolos pero soy de los que si empiezan algo lo acaban. Firewalls y switching toco desde hace mucho tiempo y los conceptos creo tenerlos bastante claros.
 
Buenas noches,
llevo varios días pegandome con el tema de unir HQ con una sede para luego hacerlo a otras 2 playas más (como vosotros decis). Me he querido leer todo el hilo entero e incluso en algún momento vi que alguien triunfo pero no me quedó claro el número de desco que tenía.
Yo siempre he hecho las pruebas con eoip con IPsec, es decir eoip con IPsec secret, ya que me levanta el tunel directamente con IPsec como bien explico Pokoyo, creo que en este mismo Post.
El tunel se levanta del tirón y el desco remoto funciona perfectamente. El problema es que en HQ se ralentiza el tráfico y solo ven canales perdiendo la guia y el VOD. En el remoto todo levantado.
Si en HQ pongo 3 desco funciona todo, pero en el momento que meto el puerto eoip en el bridge de IPTVy levanto el tunel el tráfico de los decos de HQ comienza a fallar y a perder el VOD (en el remoto no conecto nada al puerto donde pondré el desco), da ip por dhcp al MKT remoto perfectamente. Como es posible que sin conectar aun el deco remoto y solo abriendo el tunel me tire la red local.
Tendría que probarlo otra vez pero diría que si monto un desco en HQ y otro en remoto no tengo problemas.
Da la sensación que empiece a propagar el multicast sin control.
Alguna idea?
No soy un gran experimentado de mikrotik, llevo 15 días tocandolos pero soy de los que si empiezan algo lo acaban. Firewalls y switching toco desde hace mucho tiempo y los conceptos creo tenerlos bastante claros.
Asegúrate de que el igmp snooping lo tienes funcionando, no sólo en el bridge local, sino también en el remoto.

Saludos!
 
Arriba