MANUAL: Mikrotik, el amigo gorrón [IPTV pululante]

Tengo Movistar fibra en casa y fibra indirecta con un proveedor local en la casa de playa
 
Buenas @norbo, bienvenido.

Pues todo depende del uso que le vayas a dar a los equipos, y de si alguno aspira a sustituir o complementar el router del operador.

Manuales para torpes no hay, no te voy a engañar: Mikrotik no es un mundo sencillo, pero documentación y lectura tienes para aburrir, en este foro y en internet. Empieza por formarte en ello, y cuando cojas soltura, no te costará hacer este setup.

Saludos!
 
Buenas @norbo, bienvenido.

Pues todo depende del uso que le vayas a dar a los equipos, y de si alguno aspira a sustituir o complementar el router del operador.

Manuales para torpes no hay, no te voy a engañar: Mikrotik no es un mundo sencillo, pero documentación y lectura tienes para aburrir, en este foro y en internet. Empieza por formarte en ello, y cuando cojas soltura, no te costará hacer este setup.

Saludos!
Gracias por la bienvenida , ya estoy con la lectura de manuales y demás .De momento quiero dejar todo como está , solo añadir el mikrotik para hacer el túnel , que para mí será todo un logro.
 
Gracias por la bienvenida , ya estoy con la lectura de manuales y demás .De momento quiero dejar todo como está , solo añadir el mikrotik para hacer el túnel , que para mí será todo un logro.

Bienvenido al foro. Como te comentan, paciencia y buena letra… lo primero, en vez de hacer todo de golpe, pondría en funcionamiento el lado de Pepe, poniendo a comandar al mikrotik todo… y una vez hecho eso, te metes con Paco, donde tengas movistar con tv contratado…
 
Ok , que equipos necesito
Bienvenido al foro. Como te comentan, paciencia y buena letra… lo primero, en vez de hacer todo de golpe, pondría en funcionamiento el lado de Pepe, poniendo a comandar al mikrotik todo… y una vez hecho eso, te metes con Paco, donde tengas movistar con tv contratado…
Qué equipo recomendáis?
 
Ok , que equipos necesito

Qué equipo recomendáis?

Todo depende…. Necesitas que el equipo tenga wifi? Dispones de puntos de acceso que te solucionan la parte inalambrica? Aproximación de lo que se va a mover en el lado de Pepe en cuando a dispositivos…

En la parte donde vayas a meter donde este movistar, te vale con un map, que es el más básico de Mikrotik, pero va de lujo para este menester… (asi lo tengo yo)
 
Una pareja de mAP te pueden valer, si sólo lo quieres para eso. Si buscas algo más grande (en potencia, poco más en tamaño), una pareja de hEX (RB750gr3)

Saludos!
 
Una pareja de mAP te pueden valer, si sólo lo quieres para eso. Si buscas algo más grande (en potencia, poco más en tamaño), una pareja de hEX (RB750gr3)

Saludos!
Imaginemos que Pepe es de una operadora rumana por poner un ejemplo… ¿Pepe tiene que quitar el router de la operadora rumana o puede conectar el mikrotik a ese router?
 
Imaginemos que Pepe es de una operadora rumana por poner un ejemplo… ¿Pepe tiene que quitar el router de la operadora rumana o puede conectar el mikrotik a ese router?
Puedes colocar 2 mikrotik de forma semitransparente. La config de pepe cambia ligeramente, pero se puede hacer sin tocar ninguno de los dos routers que hay por encima.

Saludos!
 
Lo
Puedes colocar 2 mikrotik de forma semitransparente. La config de pepe cambia ligeramente, pero se puede hacer sin tocar ninguno de los dos routers que hay por encima.

Saludos!
Lo digo porque el RB750gr3 por ejemplo no tiene wifi, entonces necesita un router “por encima” que de wifi y demás, entonces es por si se puede dejar el de la operadora, o hay que poner otro router por encima de la marca mikrotik (si es así, qué modelo)
 
Puedes colocar 2 mikrotik de forma semitransparente. La config de pepe cambia ligeramente, pero se puede hacer sin tocar ninguno de los dos routers que hay por encima.

Saludos!
Eso es lo que yo necesito , no tocar los router de la operadora mantener su wifi que a mi me sobra . Yo solo quiero llevar el deco debajo del brazo y colocarlo en mi piso de playa sin mas.
 
Lo

Lo digo porque el RB750gr3 por ejemplo no tiene wifi, entonces necesita un router “por encima” que de wifi y demás, entonces es por si se puede dejar el de la operadora, o hay que poner otro router por encima de la marca mikrotik (si es así, qué modelo)
Yo tengo un hap ac2 (tiene wifi) y quité totalmente el router que me dio mi operadora rumana en la playa. Si no tienes teléfono fijo incluido es muy fácil, y los datos que necesitas (usuario pppoe y contraseña) te los da la propia operadora sin problemas.
 
Algo así? NETGEAR GS308E: https://www.amazon.es/dp/B07PDHVZNS
Tienes una oferta muy buena de uno de segunda mano, que tiene pinta de ser de los devueltos de los que de equivocan comprando, por poco más de 28€, regalado. Compré el mismo modelo pero PoE (100€) no hace mucho, para la instalación de un familiar.
Saludos!

Creo que alguien lo ha pillado. Me he puesto la alarma a ver si cazo otro igual. Una vez teniendo el switch, ¿sería muy complicado adaptar la configuración?

Por otro lado, ayer vi en casa de mis padres un viejo 750GL. Tiene 64mb de ram pero una CPU AR7242 de 400 MHz. ¿Puedo montar aquí el router de Pepe donde conecto el desco (no el principal de la casa de Pepe, que es un hEX S). ¿O el de Paco?

Gracias!
 
Creo que alguien lo ha pillado. Me he puesto la alarma a ver si cazo otro igual. Una vez teniendo el switch, ¿sería muy complicado adaptar la configuración?

Por otro lado, ayer vi en casa de mis padres un viejo 750GL. Tiene 64mb de ram pero una CPU AR7242 de 400 MHz. ¿Puedo montar aquí el router de Pepe donde conecto el desco (no el principal de la casa de Pepe, que es un hEX S). ¿O el de Paco?

Gracias!
Aprovéchalo claro, ponlo como si fuera un switch administrable manejando VLANs

Saludos!
 
Hola a todos.
Yo he intentado una configuración parecida a la de Droba22, dos mikrotik detrás de sendos HGU. En Casa1 (Paco) monto un Hex y en Casa2 (Pepe) un RB951G-2HnD. Lo he hecho partiendo de la configuración por defecto en ambos.
En el Hex me daría igual como quede y he intentado que los puertos 2 a 5 se queden con la configuración por defecto (nat de la red de Paco) cambiando la IP de la red 192.168.88.0/24 por la 89.0/24 y el interface 1 con IP fija de la LAN de Paco.

El RB951G-2HnD me interesa que los puertos 2-4 y el WiFi sean un "teletransporte" de la red de Paco por EOIP tanto de la VLAN de IPTV como la de datos. De esta forma al final quedaría Ether1 para conectar a la red de Pepe con IP por DHCP y no fija (aunque no sería problema fijarla), Ether 2,3 y 4, Red de Paco por EOIP y el Puerto 5 con la configuración por defecto para administrar el Mikrotik.
La topología sería el Hex está a la escucha y el RB951G-2HnD es el que inicia la comunicación, teniendo el HEX los puertos mapeados (5550 tcp+udp) en el HGU.

En ambos he seguido el mismo método. Configuración por defecto, crea bridge-iptv, creo wireguard, creo EOIP y los añado al bridge iptv y saco los interfaces que me interesa del bridge por defecto y los añado al bridge-iptv en Pepe.

Pues no sé cual es el problema, pero el WG no levanta. Lo he probado con la conexión de fibra de Paco contra un Router 4G para tener ambos mikrotik encima de la misma mesa, aunque la real de Pepe es otra fibra movistar. Quitando el CG-NAT en la conexión móvil no debería haber difrencias y como es el que inicia la comunicación no debería importar...

Adjunto los ficheros con datos sensible editados. Las reglas de firewall por defecto "defconf: drop all from WAN not DSTNATed" y "defconf: drop everything else not coming from LAN" las desactivo en ambos mikrotik y tampoco funciona.

## CASA PACO y OYENTE CASA1

# may/08/2022 17:43:54 by RouterOS 7.2.3
# software id = E0WW-8S2Q
#
# model = RB750Gr3
# serial number = XXXXX
/interface bridge
add admin-mac=2C:C8:1B:F1:36:9F auto-mac=no comment=defconf name=bridge
add igmp-snooping=yes name=bridge-iptv
/interface eoip
add local-address=172.17.0.1 mac-address=FE:24:D1:81:BA:74 mtu=1500 name=\
eoip-iptv remote-address=172.17.0.2 tunnel-id=0
/interface wireguard
add listen-port=5550 mtu=1420 name=wg-iptv
/disk
set sd1 disabled=no name=disk1
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.89.40-192.168.89.200
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge-iptv interface=ether1
add bridge=bridge-iptv interface=eoip-iptv
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=bridge-iptv list=WAN
/interface wireguard peers
add allowed-address=172.17.0.2/30 interface=wg-iptv public-key=\
"CLAVE_PUBLICA_CASA_2"
/ip address
add address=192.168.89.1/24 comment=defconf interface=bridge network=\
192.168.89.0
add address=192.168.223.25/24 interface=ether1 network=192.168.223.0
add address=172.17.0.1/30 interface=wg-iptv network=172.17.0.0
/ip cloud
set ddns-enabled=yes ddns-update-interval=1m
/ip dhcp-client
add comment=defconf disabled=yes interface=ether1
/ip dhcp-server network
add address=192.168.89.0/24 comment=defconf dns-server=192.168.89.1,0.0.0.0 \
gateway=192.168.89.1
/ip dns
set allow-remote-requests=yes servers=80.58.61.250,80.58.61.254
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
disabled=yes in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new disabled=yes in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.223.1 \
pref-src=0.0.0.0 routing-table=main scope=30 suppress-hw-offload=no \
target-scope=10
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
33434-33534 protocol=udp
add action=accept chain=input comment=\
"defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
ipsec-esp
add action=accept chain=input comment=\
"defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
"defconf: drop everything else not coming from LAN" in-interface-list=\
!LAN
add action=accept chain=forward comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
"defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
ipsec-esp
add action=accept chain=forward comment=\
"defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
"defconf: drop everything else not coming from LAN" in-interface-list=\
!LAN
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=CASA
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

#CASA PEPE INICIA COMUNICACION (Casa2)

# may/08/2022 17:41:18 by RouterOS 7.2.3
# software id = G167-2X1B
#
# model = 951G-2HnD
# serial number = XXXXX
/interface bridge
add admin-mac=4C:5E:0C:AA:7F:5F auto-mac=no comment=defconf name=bridge
add igmp-snooping=yes name=bridge-iptv
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
disabled=no distance=indoors frequency=auto installation=indoor mode=\
ap-bridge ssid=WiFi01 wireless-protocol=802.11
/interface wireguard
add listen-port=12148 mtu=1420 name=wg-iptv
/interface eoip
add !keepalive local-address=172.17.0.2 mac-address=02:A6:CE:2B:48:F2 mtu=\
1500 name=eoip-iptv remote-address=172.17.0.1 tunnel-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk,wpa2-eap mode=\
dynamic-keys supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp interface=bridge name=defconf
/interface bridge port
add bridge=bridge-iptv comment=defconf interface=ether2
add bridge=bridge-iptv comment=defconf interface=ether3
add bridge=bridge-iptv comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge-iptv comment=defconf interface=wlan1
add bridge=bridge-iptv interface=eoip-iptv
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/interface wireguard peers
add endpoint-address=SERIE_MIKROTIK_CASA.sn.mynetname.net endpoint-port=5550 \
interface=wg-iptv persistent-keepalive=25s public-key=\
"CLAVE_PUBLICA_CASA"
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
192.168.88.0
add address=172.17.0.2/30 interface=wg-iptv network=172.17.0.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=\
192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
disabled=yes in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new disabled=yes in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
33434-33534 protocol=udp
add action=accept chain=input comment=\
"defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
ipsec-esp
add action=accept chain=input comment=\
"defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
"defconf: drop everything else not coming from LAN" in-interface-list=\
!LAN
add action=accept chain=forward comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
"defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
ipsec-esp
add action=accept chain=forward comment=\
"defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
"defconf: drop everything else not coming from LAN" in-interface-list=\
!LAN
/system clock
set time-zone-name=Europe/Madrid
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Si alguien me puede echar una mano estaría agradecido. Le he dado vueltas y me da la impresión de que el Wireguard de Pepe, que debe iniciar la comunicación, no sabe salir a Internet, pero no le acabo de ver la punta.

Por cierto, ¿es normal que al meter el endpoint-address del wireguard desde Webfig o Winbox por nombre de error y haya que metrlo por IP? Sólo conseguí meterlo por nombre desde consola. Las pruebas las hice tanto con la IP pública de PACO y como con el DDNS de Paco.
 
Buenos días @august112, bienvenido al foro.

Lo primero de todo, vamos a llamar a las cosas por su nombre. Paco es Paco (el que tiene el servicio) y Pepe es Pepe (el que lo consume en remoto). No mareéis la perdiz con otros apellidos, que bastante nos ha costado ponerles nombre y diferenciarlos correctamente.

Problemas de tu config: Paco es un router, y no debería serlo, debería ser un switch. ¿se puede hacer lo que planteas? Sí, pero, ¿para qué? La premisa de este manual es entregar a Paco un equipo que, sin ninguna intervención por su parte (ni si quiera abrir puertos, así que Paco jamás debería comportarse únicamente como servidor), se enlace con Pepe tal cual lo conectes al router de operadora de Paco.
En tu config tienes un router completo y, además, mal configurado. Te sugiero que te ciñas estrictamente a la configuración de Paco que está en el manual, que es de las pocas que verás que arranca de un equipo sin configuración. ¿dónde tienes el problema más garrafal? Te lo cantará la propia configuración si te metes a verlo: no puedes usar una interfaz esclava (dentro de un bridge), como si estuviera aislada. Lo dicho, cíñete a la config del manual para Paco, y haz las peripecias que quieras en Pepe.

El RB951G-2HnD me interesa que los puertos 2-4 y el WiFi sean un "teletransporte" de la red de Paco por EOIP tanto de la VLAN de IPTV como la de datos. De esta forma al final quedaría Ether1 para conectar a la red de Pepe con IP por DHCP y no fija (aunque no sería problema fijarla), Ether 2,3 y 4, Red de Paco por EOIP y el Puerto 5 con la configuración por defecto para administrar el Mikrotik.
La topología sería el Hex está a la escucha y el RB951G-2HnD es el que inicia la comunicación, teniendo el HEX los puertos mapeados (5550 tcp+udp) en el HGU.
Aquí no hay VLANs que valga. Estás transportando el servicio de Paco en claro, tal y como llega a los equipos. Por eso la necesidad de un EoIP (sino trabajaríamos en capa 3 y nos olvidaríamos de transportar broadcast de un lado al otro). Lo que te llega al otro extremo para los puertos que compartan bridge con el EoIP, es el servicio de Paco, tal y como a él le llega en un puerto de su router de operadora. Por eso es importante que Paco no haga NAT en su Mikrotik ni nada parecido, tenemos que seguir en el mismo segmento de L2 siempre.
Pepe puede ser iniciador de la conexión, pero lo que siempre debe ser es servidor(receptor) de la misma. Recuerda: a Paco no le vamos a pedir, de entrada ni que abra puertos en su router, así que Pepe sí que deberá hacerlo, si el mikrotik no es su equipo principal. Por otro lado, le complicas la vida a Paco dándole un equipo con firewall, cuando su equipo está pensado para ponerlo detrás de un router de operadora que ya lleva uno. El firewall de Paco sobra. Si Paco además tiene los puertos de su router de operadora redirigidos al Mikrotik, mejor que mejor, porque la iniciación del túnel será bidireccional, que es como debería darse en una VPN site to site (cualquier de los dos extremos hace los dos roles, servidor/cliente).

Por otro lado, sabiendo que Pepe está detrás de un router de operadora con firewall, su configuración se puede simplificar muchísimo. En este caso sí necesitas hacer NAT, puesto que sino estarías colisionando el L2 de Paco con el L2 de Pepe (a menos que encapsularas el tráfico en una VLAN), pero igualmente te puedes ahorrar el firewall. Y, una cosa esencial que te falta es aceptar el tráfico en el allowed address de Paco, sino, olvídate de que le llegue nada.

En resumen,

La config de Paco: la del manual, no le des más vueltas
La config de Pepe: podría quedar así, una vez simplificada, abriendo puerto UDP correspondiente al puerto de escucha de la interfaz wireguard (por simplicidad, usé el mismo que en Paco)
Código:
/interface bridge
add admin-mac=4C:5E:0C:AA:7F:5F auto-mac=no comment=LAN-Pepe name=bridge
add igmp-snooping=yes name=bridge-iptv comment=LAN-Paco

/interface wireless
set [ find default-name=wlan1 ] band=2ghz-g/n channel-width=20mhz \
disabled=no distance=indoors frequency=2412 installation=indoor mode=\
ap-bridge ssid=WiFi01 wireless-protocol=802.11

/interface wireguard
add listen-port=5550 mtu=1420 name=wg-iptv

/interface wireguard peers
add endpoint-address=numerodeseriepaco.sn.mynetname.net endpoint-port=5550 \
interface=wg-iptv persistent-keepalive=25s allowed-address=172.17.0.2/30 \
public-key="CLAVE_PUBLICA_INTERFAZ_WIREGUARD_EN_PACO"

/interface eoip
add local-address=172.17.0.1 mtu=1500 name=eoip-iptv
remote-address=172.17.0.2 tunnel-id=0

/interface bridge port
add bridge=bridge-iptv comment=LAN-Paco interface=ether2
add bridge=bridge-iptv comment=LAN-Paco interface=ether3
add bridge=bridge-iptv comment=LAN-Paco interface=ether4
add bridge=bridge-iptv comment=LAN-Paco interface=wlan1
add bridge=bridge-iptv comment=LAN-Paco interface=eoip-iptv
add bridge=bridge comment=LAN-Pepe interface=ether5

/ip pool
add name=pool-pepe ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=pool-pepe interface=bridge name=dhcp-server-pepe
/ip dhcp-server network
add address=192.168.88.0/24 comment=dhcp-network-pepe dns-server=8.8.8.8,1.1.1.1 gateway=192.168.88.1

/ip address
add address=192.168.88.1/24 comment=LAN-Pepe interface=bridge network=192.168.88.0
add address=172.17.0.1/30 interface=wg-iptv network=172.17.0.0

/ip cloud
set ddns-enabled=yes

/ip dhcp-client
add comment=defconf interface=ether1
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface=ether1

/system clock
set time-zone-name=Europe/Madrid
 
Buenos días @august112, bienvenido al foro.

Lo primero de todo, vamos a llamar a las cosas por su nombre. Paco es Paco (el que tiene el servicio) y Pepe es Pepe (el que lo consume en remoto). No mareéis la perdiz con otros apellidos, que bastante nos ha costado ponerles nombre y diferenciarlos correctamente.

Problemas de tu config: Paco es un router, y no debería serlo, debería ser un switch. ¿se puede hacer lo que planteas? Sí, pero, ¿para qué? La premisa de este manual es entregar a Paco un equipo que, sin ninguna intervención por su parte (ni si quiera abrir puertos, así que Paco jamás debería comportarse únicamente como servidor), se enlace con Pepe tal cual lo conectes al router de operadora de Paco.
En tu config tienes un router completo y, además, mal configurado. Te sugiero que te ciñas estrictamente a la configuración de Paco que está en el manual, que es de las pocas que verás que arranca de un equipo sin configuración. ¿dónde tienes el problema más garrafal? Te lo cantará la propia configuración si te metes a verlo: no puedes usar una interfaz esclava (dentro de un bridge), como si estuviera aislada. Lo dicho, cíñete a la config del manual para Paco, y haz las peripecias que quieras en Pepe.
Gracias pokoyo. Llevo tiempo leyendo aquí y en su momento me toco pelearme con routers y switches Cisco, pero lo tengo un poco oxidado...

Me explico un poco el porqué de esa configuración. Paco es mi casa con mi M+ y tengo acceso total al HGU, por lo que me viene mejor que sea el que esta esperando la conexión y mapearle el puerto de wireguard. Pepe es una fibra en la que podría mapear puertos y poner IP fija al mikrotik, pero preferiría no hacerlo pues es mucho más versátil si en vez de a la casa de vacaciones me lo llevo a cualquier otro sitio. Por eso me interesa que Pepe sea el que inicia la comunicación.

De todas formas este finde puedo probar la configuración siendo Paco el que inicie la wireguard, que seguramente funcionará, pero seguiré intentado darle la vuelta al inicio del wg.


Si pongo el keep-alive en los dos extremos teniendo ambos con sus puertos mapeados como comentas en el mensaje #156 de este hilo, Pepe también sería capaz de iniciar la comunicación aunque estuviera detras de un nat sin puertos mapeados (pero con UDP UPnP activo), ¿no?
 
Última edición:
Hola, soy usuario de MK por primera vez y mis conocimientos son mínimos, con la ayuda de todos, pero en especial de Pokoyo, conseguí crear el túnel manteniendo los routers de operadora y la conexión entre Paco y Pepe es estable y funciona de mil maravillas.

Sé que hay gente, como yo, que estarán un poco perdidos y que, quizás, nunca vuelvan a tocar un MK, por eso dejo explicado (para inexpertos en MK) paso a paso como conseguí hacer el túnel.

Espero que le sirva a alguien.

Un saludo
 

Adjuntos

  • Mi Pepe y paco.pdf
    433 KB · Visitas: 92
Arriba