MANUAL: EoiP sobre IKEv2 site to site

Nada macho...ni por esas...

No sé si tendrá algo que ver...., el cliente DHCP entrega al router branch la IP 192.168.2.192, en tanto que al deco se asignan IP's de la .2.200 en adelante.

Es correcto? Tendrá algo que ver el NAT que genera la conexión del móvil donde tengo enganchado el branch para las pruebas? Entiendo que no, puesto que el túnel levanta y el Ikev2 va de maravilla.

Algo se tiene que estar escapando, tengo los "sesos líquidos" ya...jaja

Mil gracias por tu ayuda, @pokoyo! Solo por pesado...esto tiene que salir adelante.


Saludos!
No levantes si no quieres un cliente dhcp sobre el bridge en el branch; que no sería necesario. El comportamiento es correcto, si tienes dos segmentos independientes dentro de la subred. Yo te propuse tener uno único, /24, y así no tenías que andar con dos cachos de dhcp. Eso sólo es útil si vas a conectar cosas que no sean descos a ese bridge y quieres que sean capaces de navegar y salir a internet.

Puede ser que la conexión móvil no de suficiente chicha para que el multicast arranque. Es raro, pero podría pasar. ¿Tienes opción de probarlo de otra manera?

Saludos!
 
@pokoyo, me voy a llevar todos los bártulos para probar mañana por la mañana en la oficina, allí tengo fibra (aunque con NAT también...)

Borro entonces el cliente dhcp en el branch? No es necesario? He dejado un único pool para IPTV: 192.168.2.10 - 192.168.2.220, estaría bien?

Saludos!
 
@pokoyo, me voy a llevar todos los bártulos para probar mañana por la mañana en la oficina, allí tengo fibra (aunque con NAT también...)

Borro entonces el cliente dhcp en el branch? No es necesario? He dejado un único pool para IPTV: 192.168.2.10 - 192.168.2.220, estaría bien?

Saludos!
Si; el pool es lo de menos. Lo que tiene que estar bien es lo que definas en el dhcp-server, en el apartado “networks”. Si la conexión la arranca el branch, que de normal es así, no te preocupes por el NAT

Saludos!
 
Buenos días,

Te adjunto captura de la configuración del dhcp-server en HQ, debe estar correcto puesto que los decos en "local" funcionan perfectamente.

En un ratillo monto el tinglado en la ofi...y os cuento. Si se os ocurre alguna probatura más, a vuestra disposición. Ya por cabezonería tiene que salir esto andando.


Saludos!!
 

Adjuntos

  • Nueva imagen.jpg
    Nueva imagen.jpg
    35.4 KB · Visitas: 18
Buenas noches a tod@s...despues de realizar mil y una combinaciones a lo largo del día de hoy....sigue sin ir.

Os paso nuevo export de branch y HQ para que veáis cómo ha quedado y si veis algo raro, ya que es probable que estén "marraneados" después de tantas pruebas y cambios que le he hecho, ya que ahora por ejemplo...no recibo IP desde el bridge-iptv en branch.

Sigo pensando que tiene que ser una chorrada, pero yo creo que no falta nada en firewall...

Cualquier cosa que se os ocurra, aquí me tenéis.., no obstante sigo dándole vueltas a las configuraciones..

Saludos!

EDIT:

Solucionado lo del dhcp client en branch, ya recibe IP, era un problema en el DHCP server del bridge-iptv que no estaba correctamente dirigido al pool.
 

Adjuntos

  • branch.txt
    8.8 KB · Visitas: 17
  • hq.txt
    20.7 KB · Visitas: 14
Última edición:
No toques nada más, voy a echarle un rato a ambas y dejarlas limpias. Salva los certificados y los scripts que tengas en HQ, por si te toca reconfigurarlas desde cero.

Saludos!
 
@pokoyo, oído cocina!! Aquí tengo todos los chismes en la oficina por si hay que probar algo.

Los certificados los tengo guardados a buen recaudo ;-)

Mil gracias como siempre!!!
 
Pásame por privado la IP que va en este apartado, por favor.

Código:
add address=XXX.XXX.XXX.XXX/X comment="My Telefonica's IPTV address" \
    interface=Iptv-vlan2 network=10.128.0.0

@pokoyo, si lo necesitas, un compañero me presta otro 4011 que tiene arrumbado (qué lastima), por si hay que hacer cualquier prueba.
Porque no me pillas ahora mismo con un desco en casa, sino te lo pruebo yo mismo.

Saludos!
 
Pásame por privado la IP que va en este apartado, por favor.

Código:
add address=XXX.XXX.XXX.XXX/X comment="My Telefonica's IPTV address" \
    interface=Iptv-vlan2 network=10.128.0.0


@pokoyo, hecho!!

Porque no me pillas ahora mismo con un desco en casa, sino te lo pruebo yo mismo.

Saludos!

Si me pillases cerca, te lo llevaba ahora mismo, llevo una mochila con todos los chismes que transporto a diario desde mi casa a la oficina (deco, mando, Mk's....lo típico de una persona normal xD)

Lo que necesites, aquí tengo esto montado


Saludos!
 
El servidor L2TP parece que no lo uses ya en la configuración de HQ, ¿me lo puedo calzar? (por ir haciendo limpieza de paso

Saludos!
 
Vale, te paso ambas configuraciones limpias. Luego te explico de donde creo que venía el problema, no vayamos a vender la piel del oso antes de cazarlo.

Cosas que tienes que hacer con esto
  • Guardar un export y un backup de ambos equipos, tal y como los tienes ahora mismo
  • Guardar una copia de los scripts de duckdns que me he cepillado (creo que no los necesitas teniendo el ddns de mikrotik activado, por mucho que fallara el otro día)
  • Guardar una copia de todos los certificados, vas a necesitar importarlos luego a mano.
  • Darle un reset a los equipos, esta vez sí, marcando la opción "no default configuration". Vas a perder todo con este paso, incluso el acceso web al equipo, así que ten Winbox a mano.
  • Entrar por Winbox, vía MAC address, y cargar los certificados. Mucho ojo con los nombres, pues puede que te los importe con unos distintos a los que tu usas en los identities. Asegúrate de renombrarlos, después de subirlos, al mismo nombre que usan ahora mismo en tu configuración (esa parte no la he tocado).
  • Definir en ambas configuraciones el valor de la variable ":local" que verás arriba del todo. En HQ es la IP de movistar, la que me has pasado por privado. En el branch, el dominio DDNS de router HQ, para conectar a él.
  • Subir la configuración a cada equipo. Una vez arriba correr desde terminal import hq-clean.rsc o import branch-clean.rsc respectivamente en cada equipo.
  • Cruzar los dedos de que ninguna de las dos tenga ningún typo (si lo tienes, me avisas en qué linea te da el castañazo al importarlo y lo corrijo.
  • Una vez funcione, limpia los identities, sigues teniendo varios en HQ que apuntan a la misma configuración "ike2-conf-branch", y no son road-warriors

Si esa configuración no funciona, no la toques: déjame que sea yo el que vaya haciendo cambios sobre ella y te los voy pasando. Así mantenemos la copia master en un mismo sitio.

Saludos!
 

Adjuntos

  • roolez.zip
    6.2 KB · Visitas: 13
Cuando tengas ambas metidas en los equipos, pásamelas, que nos aseguremos de que está todo en orden antes de probarlas.

Saludos!
 
@pokoyo, configuraciones cargadas tanto en HQ como en branch.

Adjunto export's tal cual están ahora mismo. Decirte que se han conectado entre sí "al momento".

Ya me vas diciendo si tengo que hacer algo más.

Gracias!!


Saludos.-

EDIT: He cargado la configuración "sensible" según tus indicaciones, si bien he vuelto a omitirla para subir los export's.
 

Adjuntos

  • hq_nuevo.txt
    18 KB · Visitas: 8
  • branch_nuevo.txt
    9 KB · Visitas: 10
Vale, por precaución, te las vuelo a mandar, esta vez sin especificar las direcciones MAC de los EoIP, de tal manera que las regeneren los dos extremos, por si las moscas

Haz el mismo proceso con ambos equipos, porfa.

Si los import no dan ningún error y la pestaña entities del ipsec está limpia, quiere decir que todos han cogido la configuración correctamente y los certificados, lo cual es todo un logro.

Pruebas y me dices.

Saludos!
 

Adjuntos

  • roolez.zip
    6.1 KB · Visitas: 14
Únicamente han dado algún error en el HQ pero era por el orden de algunos comandos (por ej. al crear los mode-config hace mención al pool-vpn y la creación de éste venía en líneas posteriores), pero vamos, me he dado cuenta rápido y lo he solucionado.

OK, quieres que regenere sólo los túneles EoIP o meto de nuevo la config completa en ambos equipos?

Te paso pantallazos de identities tanto en HQ como en Branch.


Saludos!
 

Adjuntos

  • Branch_Identities.jpg
    Branch_Identities.jpg
    28.6 KB · Visitas: 13
  • HQ_Identities.jpg
    HQ_Identities.jpg
    53.8 KB · Visitas: 13
Arriba