Gracias Droma2022. Creo que con tu explicación y el post anterior de pokoyo seré capaz de montarlo como tenía pensado y que sea Pepe el que levante la VPN.
Os iré contando.
MANUAL: Mikrotik, el amigo gorrón [IPTV pululante]
- Iniciador del tema pokoyo
- Fecha de inicio
Os iré contando.
Muchas gracias Pokoyo. Ahora he tenido tiempo de leer detenidamente la configuración que me has propuesto y creo que con lo que me has enviado y abriendo puertos en Paco va a funcionar perfectamente incluso sin abrir puerto en Pepe, simplemente con el UPnP activado en el Router. Probaré de las dos formas.
Lo siento pero aún me lío con Pepe y Paco y me toca ir al primer mensaje
, pero lo intento...
El tema del switch en vez de router en Paco tiene todo el sentido y una vez me funcione analizaré con detalle los que me comentas de la interfaz esclava dentro del bridge. La cuestión es aprender e intentar comprender porque funciona o no funciona cada configuración.
Cuando hablaba de VLANs es porque al final es lo que quiero "teletransportar". Como el HGU tiene puerto TRUNK contra el Mikrotik y los enlazamos en capa 2 con EOIP al final Pepe recibe el tráfico tanto de IPTV como de internet y LAN de Paco. La finalidad es que Pepe tenga acceso a los dispositivos de la LAN de Paco, reciba el tráfico IPTV de Paco y salga a Internet por la salida de Paco como si estuviera en casa de Paco a todos los efectos.
Bueno, tras esto, iré probando y os tendré al día de los resultados. Si logro que funcione, que supongo que sí, el próximo paso será dotar de un mínimo de seguridad el router de Pepe, por si un día en vez de conectar desde la casa de vacaciones lo hace desde un hotel (por ejemplo). Intentar conectar a Pepe por Wifi y que sirva el tunel por Wifi también, aunque para que esto tenga alguna posibilidad de éxito tendré que hacerme con un dispositivo con Wifi dual chain y el 951G-2HnD creo que no tiene.
Lo dicho y no me enrollo más. Ya os iré contando.
Lo siento pero aún me lío con Pepe y Paco y me toca ir al primer mensaje
, pero lo intento...El tema del switch en vez de router en Paco tiene todo el sentido y una vez me funcione analizaré con detalle los que me comentas de la interfaz esclava dentro del bridge. La cuestión es aprender e intentar comprender porque funciona o no funciona cada configuración.
Cuando hablaba de VLANs es porque al final es lo que quiero "teletransportar". Como el HGU tiene puerto TRUNK contra el Mikrotik y los enlazamos en capa 2 con EOIP al final Pepe recibe el tráfico tanto de IPTV como de internet y LAN de Paco. La finalidad es que Pepe tenga acceso a los dispositivos de la LAN de Paco, reciba el tráfico IPTV de Paco y salga a Internet por la salida de Paco como si estuviera en casa de Paco a todos los efectos.
Bueno, tras esto, iré probando y os tendré al día de los resultados. Si logro que funcione, que supongo que sí, el próximo paso será dotar de un mínimo de seguridad el router de Pepe, por si un día en vez de conectar desde la casa de vacaciones lo hace desde un hotel (por ejemplo). Intentar conectar a Pepe por Wifi y que sirva el tunel por Wifi también, aunque para que esto tenga alguna posibilidad de éxito tendré que hacerme con un dispositivo con Wifi dual chain y el 951G-2HnD creo que no tiene.
Lo dicho y no me enrollo más. Ya os iré contando.
itjdel
Usuari@ ADSLzone
- Mensajes
- 20
Buenas tardes!
Muchas gracias a @pokoyo y compañia por seguir alimentando esta base de conocimiento, para que luego los mortales, podamos sacar provecho de estos equipos y sus tecnologias. GRACIAS
Tengo lo expuesto en este hilo funcionando, casa de Paco con un Hex y casa Pepe con un HexS.
El caso es que en Pepe, tengo 3 decos, en 3 puntos de red diferentes y todos ellos llegan a un switch gestionable (Dlink DGS-1210-52), por lo que si desde el MKT de Pepe (eth5 que es el que añadi al bridge-iptv) quiero ahora conectarlo a un puerto del switch, para que luego los 3 decos conecten a Paco...
Supongo que tengo que usar VLAN, pero no se si en el MKT de Pepe le tengo que establecer la vlan a eth5 o a que... he estado probando y no termina de funcionar nada... que si pongo la vlan20 a eth5, luego eth5 lo conecto al switch al puerto 49 por ejemplo, ese puerto lo hago Tagged de la vlan10 y luego los puertos de los decos los pongo untagged de vlan20 y luego al reves y no termina de conectar... ahora los tengo a un switch no gestionable y estan los decos funcionando sin problemas, pero me quiero ahorrar el tener otro switch conectado...
Muchas gracias por todo!
Muchas gracias a @pokoyo y compañia por seguir alimentando esta base de conocimiento, para que luego los mortales, podamos sacar provecho de estos equipos y sus tecnologias. GRACIAS
Tengo lo expuesto en este hilo funcionando, casa de Paco con un Hex y casa Pepe con un HexS.
El caso es que en Pepe, tengo 3 decos, en 3 puntos de red diferentes y todos ellos llegan a un switch gestionable (Dlink DGS-1210-52), por lo que si desde el MKT de Pepe (eth5 que es el que añadi al bridge-iptv) quiero ahora conectarlo a un puerto del switch, para que luego los 3 decos conecten a Paco...
Supongo que tengo que usar VLAN, pero no se si en el MKT de Pepe le tengo que establecer la vlan a eth5 o a que... he estado probando y no termina de funcionar nada... que si pongo la vlan20 a eth5, luego eth5 lo conecto al switch al puerto 49 por ejemplo, ese puerto lo hago Tagged de la vlan10 y luego los puertos de los decos los pongo untagged de vlan20 y luego al reves y no termina de conectar... ahora los tengo a un switch no gestionable y estan los decos funcionando sin problemas, pero me quiero ahorrar el tener otro switch conectado...
Muchas gracias por todo!
- Mensajes
- 11,587
Estabas intentando levantar un cliente DHCP sobre una interfaz esclava de un bridge, ether1. Una vez metes ether1 en el bridge, quien manda es el bridge, y la interfaz pasa a ser esclava del mismo. El root port pasa a ser el bridge, y si intentas trabajar con la sub-interfaz, verás errores en la config (haz un export y te los cantará).Lo siento pero aún me lío con Pepe y Paco y me toca ir al primer mensaje
El tema del switch en vez de router en Paco tiene todo el sentido y una vez me funcione analizaré con detalle los que me comentas de la interfaz esclava dentro del bridge. La cuestión es aprender e intentar comprender porque funciona o no funciona cada configuración.
El HGU no tiene ningún puerto trunk al mikrotik. El trunk del HGU es la fibra óptica, que es por donde vienen los tres servicios taggeados. A ti ya te los entrega en modo acceso, listos para su uso. Y tú no distingues IPTV de acceso a internet una vez estás en el mikrotik, porque esa distinción está en la tabla de rutas del HGU y en su DHCP condicional. Por eso el Mikrotik en Paco es conveniente que no haga más que de switch, puesto que lo que tú buscas es propagar ese comportamiento que te entrega en claro el HGU. Es decir, quieres trabajar en L2, no en L3 (como switch, y no como router).
El router de Pepe puede ser un router en todo su explendor. De hecho, en la configuración que planteo en el manual, lo es. La única razón por la que simplifiqué en tu setup, es porque me dijiste que tenías otro router por encima, y entonces ahí ya sí que carece de sentido. Pero, si lo vas a querer mover, entonces sí, claro, router completo. Asegúrate de aceptar el tráfico del EoIP explícitamente en input, especialmente si a ese equipo no le vas a poder mapear puertos. Incluso, si lo quieres simplificar aún más, podrías montar todo esto prescindiendo de wireguard, y hacerlo directamente con un EoIP securizado con IPSec, y te ahorras un túnel y la fragmentación que ello causa. Siendo un equipo pensado para roaming, cuanto más sencillo lo montes, mejor.
Ya nos contarás cómo acabas.
Saludos!
- Mensajes
- 11,587
Si a ese switch sólo van a ir conectados esos tres descos, no necesitas nada más. En el bridge-iptv de Pepe iría el EoIP que viene con el servicio de Paco y el puerto que te enlaza a ese switch (ether5 creo que tienes) y andando. A ether5 enchufas ese switch que comentas y, mientras sea compatible con igmp-snooping, no deberías tener mayor problema en ver el contenido en los tres descos. Simplemente estarías propagando el L2 que viene de Paco, aún más.
Saludos!
itjdel
Usuari@ ADSLzone
- Mensajes
- 20
Hola!
En ese switch tengo también conectado eth2 del MKT que da servicio LAN ya que tengo también antenas wifi, PCS, smart TV, etc... No se volverá loco si le conecto eth5 al switch por el tema del dhcp de Paco?
Gracias
- Mensajes
- 11,587
Obviamente, la cosa cambia, y mucho. Te fuerza a trabajar con un único bridge en Pepe, con igmp snooping y VLAN filtering, y a pasar dos vlans al switch por un único cable trunk: la que lleva la LAN de tu casa, y la que uses para taggear el tráfico que viene de Paco, que ha de entrar ya taggeado en el bridge.
Ese setup tiene chicha, aprende primero a usar el switch gestionable y, cuando tengas claro cómo se cren VLANs en él, le metemos mano al router.
Saludos!
Bueno pues siguiendo las indicaciones de pokoyo casi sale a la primera lo que quiero, en realidad el tunel EOIP ha funcionado a la primera pero algo no acaba de estar fino.
Tengo a Paco en la conexión de fibra con el puerto mapeado y a Pepe con un router 4g, por lo que se supone que el incio de la comunicación lo hace Pepe contra Paco.
Me conecto al puerto 4 de Pepe y veo el tunel EOIP levantado, de hecho desde el ordenador de Pepe conecto con Winbox por MAC Address al mikrotik de Paco sin problemas, pero ahora viene el problema, el ordenador de Pepe no coge dirección del DHCP de la red de Paco.
Si desde la terminal del Mikrotik de Pepe hago un ping a la dirección LAN del router de Paco no contesta, y la respuesta del ordenador de Pepe al ipconfig /renew es
Error al renovar la interfaz Ethernet 3: no se puede establecer contacto con el
servidor DHCP. La solicitud superó el tiempo de espera.
Bueno, mañana más y con dos fibras en vez de un 4g...
Última edición:
- Mensajes
- 11,587
Asegúrate de que los EoIP estén bridgeados en los bridges correspondientes: en Paco junto al resto de los puertos, en Pepe en el bridge-iptv, junto con los puertos físicos que quieres "teletransportar" a casa de Paco. Si el EoIP levanta y lo ves running RS (no le quites el keepalive o siempre saldrá como running, es algo que corregí de tu configuración), significa que por aquí se están mandando tramas ethernet, y el DHCP debería propagarse sin problemas.
Si tienes dudas, pásame export de ambos equipos, y lo revisamos.
Saludos!
itjdel
Usuari@ ADSLzone
- Mensajes
- 20
Hola!
Al final ya lo tengo funcionando, lo que he hecho es lo siguiente.
He sacado el puerto 4 y puerto 5 del bridge1.
He creado en el MKT una vlan10_lan y asignado al eth4
He creado en el MKT una vlan20_iptv y asignado al eth5
Luego he creado en Bridge, 2 puertos, uno para vlan10_lan asignado al bridge1 y otro puerto vlan20_iptv y asignado al bridge_iptv
Luego en el switch gestionado, he dado de alta las 2 vlans indicadas y he conectado eth4 a un puerto trunk del switch y luego los puertos que necesito para LAN, los he establecido en untagged y ya tengo LAN. He hecho lo mismo para eth5, en otro puerto del switch en trunk, y luego los 3 puertos donde tengo los decos, los he configurado en Untagged de esa vlan20_iptv y todo funcionando.
No se si es la forma mas optima o no... dime si lo ves correcto.
Muchas gracias
- Mensajes
- 11,587
No, no es la forma de hacerlo. Tienes varios errores:
- Estás metiendo vlans como puertos en el bridge, lo cual es incorrecto
- Estás enchufando dos cables al switch desde el router, aumentando enormemente la posibilidad de crear un bucle y tirar abajo la red (bendito R-STP)
Las vlans se filtran en el bridge, no se añaden como puertos. Y, cuando trabajas con VLANs, sólo tienes un puerto trunk entre dos equipos, no dos. Y por esa unión pasan tantas VLANs como se necesiten, taggeadas (en tu caso 2, pero podrían ser 100)
Saludos!
itjdel
Usuari@ ADSLzone
- Mensajes
- 20
Perdona, los 2 puertos del SW no estan como trunk, me equivoque, estan como tagged en sus respectivas VLANs, luego los puertos de cada dispositivo estan en untagged.
Lo de los 2 cables del switch, no termino entender porque dices que hay bucle, si no estan en el mismo bridge ni en la misma VLAN...
Podrias explicarme entonces, como configurar la parte del MK correctamente?
Muchas gracias una vez mas!
Pues eso era... Al final no hay como que te lo digan y dejarlo madurar un poco para verlo. Estaba convencido que el problema era la comunicación del mikrotik de Paco con su LAN, ayer lo repasé infinidad de veces y no lo veía. Efectivamente a Paco le faltaba meter el EOIP en el bridge-iptv.
Ahora va como un cañón.
Muchas gracias por la ayuda pokoyo.
Saludos!
- Mensajes
- 11,587
Como te comenté: un único bridge con vlan filtering e igmp-snooping. Dos vlans, la tuya para la LAN y una cualquiera para el servicio que te viene de fuera. Los puertos de tu bridge dedicados a tu LAN, con PVID = número de vlan para la lan, el que viene de Paco (EoIP) con el PVID = VLAN X de Paco (la que sea que elijas) y el puerto que te une al switch con las dos VLANs taggeadas, como puerto trunk. Entre el router y el switch un único cable. Y, en el switch, entregas ambas VLANs en modo acceso a los puertos que correspondan.
Saludos!
Buenas !
He estado peleándome con la configuración de Paco. He seguido el tutorial de pokoyo pero he tratado de modificar la configuración para crear dos Pepes. También, al usar un map lite y tener solo 1 puerto, he tenido que modificar un poco la parte del bridge.
¿Podéis echar un vistazo a la config? Paco vive a un buen trecho y no me gustaría tener que ir para nada.
Gracias!!
He estado peleándome con la configuración de Paco. He seguido el tutorial de pokoyo pero he tratado de modificar la configuración para crear dos Pepes. También, al usar un map lite y tener solo 1 puerto, he tenido que modificar un poco la parte del bridge.
¿Podéis echar un vistazo a la config? Paco vive a un buen trecho y no me gustaría tener que ir para nada.
Gracias!!
Código:
# may/15/2022 11:20:18 by RouterOS 7.2.3
# software id = NZLH-RJP0
#
# model = RBmAPL-2nD
# serial number = X
/interface bridge
add igmp-snooping=yes name=bridge-iptv
add admin-mac=DC:2C:6E:F0:B5:9E auto-mac=no name=bridge-local
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
/interface eoip
add local-address=172.17.0.2 mac-address=FE:55:FE:0B:A8:EE mtu=1500 name=\
eoip-iptv remote-address=172.17.0.1 tunnel-id=0
add local-address=172.17.10.1 mac-address=FE:76:56:4A:0B:0C mtu=1500 name=\
eoip-iptv-f remote-address=172.17.10.2 tunnel-id=10
/interface wireguard
add listen-port=42523 mtu=1420 name=wg-sts-iptv
add listen-port=13231 mtu=1420 name=wg-sts-iptv-f
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=pool-local ranges=192.168.79.2-192.168.79.254
/ip dhcp-server
add address-pool=pool-local interface=bridge-local name=dhcp-local
/interface bridge port
add bridge=bridge-iptv interface=ether1
add bridge=bridge-iptv interface=eoip-iptv
add bridge=bridge-iptv interface=eoip-iptv-f
/interface wireguard peers
add allowed-address=0.0.0.0/0 endpoint-address=XXXX \
endpoint-port=54321 interface=wg-sts-iptv persistent-keepalive=25s \
public-key="XXXX="
add allowed-address=0.0.0.0/0 comment="Pending new public key" \
endpoint-address=XXXX endpoint-port=54322 interface=\
wg-sts-iptv-f persistent-keepalive=25s public-key=\
"XXXX="
/ip address
add address=192.168.79.1/24 interface=bridge-local network=192.168.79.0
add address=172.17.0.2/30 interface=wg-sts-iptv network=172.17.0.0
add address=172.17.10.2/30 interface=wg-sts-iptv-f network=172.17.10.0
/ip cloud
set ddns-enabled=yes ddns-update-interval=5m
/ip dhcp-client
add interface=bridge-iptv
/ip dhcp-server network
add address=192.168.79.0/24 gateway=192.168.79.1
/ip dns
set servers=1.1.1.1,1.0.0.1
/ip route
add dst-address=192.168.88.0/24 gateway=172.17.0.1
add disabled=no dst-address=192.168.2.0/24 gateway=172.17.10.2 routing-table=\
main suppress-hw-offload=no
add disabled=no dst-address=192.168.2.0/24 gateway=172.17.10.2 routing-table=\
main suppress-hw-offload=no
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=Paco- Mensajes
- 11,587
Tienes varias cosas mal.
- Ahora mismo bridge-local no vale para nada, más que para ponerle una IP encima. Si vas a querer administrar el equipo, desde ese rango (para eso está el DHCP server que tiene creado), y no tienes puertos físicos para asignarle, asígnale la wifi y por lo menos por ahí te podrás conectar a él. Si no lo vas a usar, deja el bridge y la IP sobre él, pero borra todo lo demás (dhcp server, network, pool, etc)
- En el segundo EoIP tienes las direcciones bailadas. Pones como local address la .1, y sin embargo la que aparece en tu wireguard es la .2.
- Al igual que lo anterior, aplica a las rutas. Tienes dos rutas idénticas, duplicadas, y con gateway = dirección local .2, cuando debería ser la del otro extremo.
Saludos!
- Ahora mismo bridge-local no vale para nada, más que para ponerle una IP encima. Si vas a querer administrar el equipo, desde ese rango (para eso está el DHCP server que tiene creado), y no tienes puertos físicos para asignarle, asígnale la wifi y por lo menos por ahí te podrás conectar a él. Si no lo vas a usar, deja el bridge y la IP sobre él, pero borra todo lo demás (dhcp server, network, pool, etc)
- En el segundo EoIP tienes las direcciones bailadas. Pones como local address la .1, y sin embargo la que aparece en tu wireguard es la .2.
- Al igual que lo anterior, aplica a las rutas. Tienes dos rutas idénticas, duplicadas, y con gateway = dirección local .2, cuando debería ser la del otro extremo.
Saludos!
Muchas gracias pokoyo. La verdad es que aún me hago un poco de lío.
He tratado de limpiarlo, pero no sé si me he dejado algo.
Gracias de nuevo.
He tratado de limpiarlo, pero no sé si me he dejado algo.
Gracias de nuevo.
Código:
/interface bridge
add igmp-snooping=yes name=bridge-iptv
add admin-mac=DC:2C:6E:F0:B5:9E auto-mac=no name=bridge-local
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
/interface eoip
add local-address=172.17.0.2 mac-address=FE:55:FE:0B:A8:EE mtu=1500 name=\
eoip-iptv remote-address=172.17.0.1 tunnel-id=0
add local-address=172.17.10.2 mac-address=FE:76:56:4A:0B:0C mtu=1500 name=\
eoip-iptv-f remote-address=172.17.10.1 tunnel-id=10
/interface wireguard
add listen-port=54321 mtu=1420 name=wg-sts-iptv
add listen-port=54322 mtu=1420 name=wg-sts-iptv-f
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge-iptv interface=ether1
add bridge=bridge-iptv interface=eoip-iptv
add bridge=bridge-iptv interface=eoip-iptv-f
/interface wireguard peers
add allowed-address=0.0.0.0/0 endpoint-address=XXXX \
endpoint-port=54321 interface=wg-sts-iptv persistent-keepalive=25s \
public-key="XXXX="
add allowed-address=0.0.0.0/0 comment="Pending new public key" \
endpoint-address=XXXX endpoint-port=54322 interface=\
wg-sts-iptv-f persistent-keepalive=25s public-key=\
"XXXX="
/ip address
add address=172.17.0.2/30 interface=wg-sts-iptv network=172.17.0.0
add address=172.17.10.2/30 interface=wg-sts-iptv-f network=172.17.10.0
/ip cloud
set ddns-enabled=yes ddns-update-interval=5m
/ip dhcp-client
add interface=bridge-iptv
/ip dhcp-server network
add address=192.168.79.0/24 gateway=192.168.79.1
/ip dns
set servers=1.1.1.1,1.0.0.1
/ip route
add disabled=no distance=1 dst-address=192.168.88.0/24 gateway=172.17.10.1 \
pref-src=0.0.0.0 routing-table=main scope=30 suppress-hw-offload=no \
target-scope=10
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=Paco- Mensajes
- 11,587
Ahora tiene mejor pinta pero, tal y como está, sobra el "bridge-local", ya que ahora no lo usas ni si quiera como interfaz de loopback.
Saludos!
Hola, es posible cambiar la clave pública del peer del wireguard y la dirección dns del endpoint desde la pestaña peer, para probar con otro paco sin hacer la configuración desde cero, es que he probado cambiando estos dos parámetros y no levanta el túnel (el Paco que quiero probar ya está configurado con la clave pública y el dns de pepe, si configuro pepe desde el principio tendré que ir a recoger el equipo paco y está algo lejos)
- Mensajes
- 11,587
Como poder, se puede, pero también necesitas cambiar la IP que va en la interfaz wireguard y aceptar esa en el allowed address. Date cuenta de que lo que configuras en la pestaña “peer” pertenece siempre al host remoto, no a ti.
Saludos!
Similar threads
