MANUAL: Mikrotik, el amigo gorrón [IPTV pululante]

Hola, soy usuario de MK por primera vez y mis conocimientos son mínimos, con la ayuda de todos, pero en especial de Pokoyo, conseguí crear el túnel manteniendo los routers de operadora y la conexión entre Paco y Pepe es estable y funciona de mil maravillas.

Sé que hay gente, como yo, que estarán un poco perdidos y que, quizás, nunca vuelvan a tocar un MK, por eso dejo explicado (para inexpertos en MK) paso a paso como conseguí hacer el túnel.

Espero que le sirva a alguien.

Un saludo
Gracias Droma2022. Creo que con tu explicación y el post anterior de pokoyo seré capaz de montarlo como tenía pensado y que sea Pepe el que levante la VPN.

Os iré contando.
 
Muchas gracias Pokoyo. Ahora he tenido tiempo de leer detenidamente la configuración que me has propuesto y creo que con lo que me has enviado y abriendo puertos en Paco va a funcionar perfectamente incluso sin abrir puerto en Pepe, simplemente con el UPnP activado en el Router. Probaré de las dos formas.


Buenos días @august112, bienvenido al foro.

Lo primero de todo, vamos a llamar a las cosas por su nombre. Paco es Paco (el que tiene el servicio) y Pepe es Pepe (el que lo consume en remoto). No mareéis la perdiz con otros apellidos, que bastante nos ha costado ponerles nombre y diferenciarlos correctamente.

Problemas de tu config: Paco es un router, y no debería serlo, debería ser un switch. ¿se puede hacer lo que planteas? Sí, pero, ¿para qué? La premisa de este manual es entregar a Paco un equipo que, sin ninguna intervención por su parte (ni si quiera abrir puertos, así que Paco jamás debería comportarse únicamente como servidor), se enlace con Pepe tal cual lo conectes al router de operadora de Paco.
En tu config tienes un router completo y, además, mal configurado. Te sugiero que te ciñas estrictamente a la configuración de Paco que está en el manual, que es de las pocas que verás que arranca de un equipo sin configuración. ¿dónde tienes el problema más garrafal? Te lo cantará la propia configuración si te metes a verlo: no puedes usar una interfaz esclava (dentro de un bridge), como si estuviera aislada. Lo dicho, cíñete a la config del manual para Paco, y haz las peripecias que quieras en Pepe.

Lo siento pero aún me lío con Pepe y Paco y me toca ir al primer mensaje :cry:, pero lo intento...
El tema del switch en vez de router en Paco tiene todo el sentido y una vez me funcione analizaré con detalle los que me comentas de la interfaz esclava dentro del bridge. La cuestión es aprender e intentar comprender porque funciona o no funciona cada configuración.

Aquí no hay VLANs que valga. Estás transportando el servicio de Paco en claro, tal y como llega a los equipos. Por eso la necesidad de un EoIP (sino trabajaríamos en capa 3 y nos olvidaríamos de transportar broadcast de un lado al otro). Lo que te llega al otro extremo para los puertos que compartan bridge con el EoIP, es el servicio de Paco, tal y como a él le llega en un puerto de su router de operadora. Por eso es importante que Paco no haga NAT en su Mikrotik ni nada parecido, tenemos que seguir en el mismo segmento de L2 siempre.
Pepe puede ser iniciador de la conexión, pero lo que siempre debe ser es servidor(receptor) de la misma. Recuerda: a Paco no le vamos a pedir, de entrada ni que abra puertos en su router, así que Pepe sí que deberá hacerlo, si el mikrotik no es su equipo principal. Por otro lado, le complicas la vida a Paco dándole un equipo con firewall, cuando su equipo está pensado para ponerlo detrás de un router de operadora que ya lleva uno. El firewall de Paco sobra. Si Paco además tiene los puertos de su router de operadora redirigidos al Mikrotik, mejor que mejor, porque la iniciación del túnel será bidireccional, que es como debería darse en una VPN site to site (cualquier de los dos extremos hace los dos roles, servidor/cliente).

Por otro lado, sabiendo que Pepe está detrás de un router de operadora con firewall, su configuración se puede simplificar muchísimo. En este caso sí necesitas hacer NAT, puesto que sino estarías colisionando el L2 de Paco con el L2 de Pepe (a menos que encapsularas el tráfico en una VLAN), pero igualmente te puedes ahorrar el firewall. Y, una cosa esencial que te falta es aceptar el tráfico en el allowed address de Paco, sino, olvídate de que le llegue nada.

Cuando hablaba de VLANs es porque al final es lo que quiero "teletransportar". Como el HGU tiene puerto TRUNK contra el Mikrotik y los enlazamos en capa 2 con EOIP al final Pepe recibe el tráfico tanto de IPTV como de internet y LAN de Paco. La finalidad es que Pepe tenga acceso a los dispositivos de la LAN de Paco, reciba el tráfico IPTV de Paco y salga a Internet por la salida de Paco como si estuviera en casa de Paco a todos los efectos.

Bueno, tras esto, iré probando y os tendré al día de los resultados. Si logro que funcione, que supongo que sí, el próximo paso será dotar de un mínimo de seguridad el router de Pepe, por si un día en vez de conectar desde la casa de vacaciones lo hace desde un hotel (por ejemplo). Intentar conectar a Pepe por Wifi y que sirva el tunel por Wifi también, aunque para que esto tenga alguna posibilidad de éxito tendré que hacerme con un dispositivo con Wifi dual chain y el 951G-2HnD creo que no tiene.

Lo dicho y no me enrollo más. Ya os iré contando.
 
Buenas tardes!

Muchas gracias a @pokoyo y compañia por seguir alimentando esta base de conocimiento, para que luego los mortales, podamos sacar provecho de estos equipos y sus tecnologias. GRACIAS

Tengo lo expuesto en este hilo funcionando, casa de Paco con un Hex y casa Pepe con un HexS.

El caso es que en Pepe, tengo 3 decos, en 3 puntos de red diferentes y todos ellos llegan a un switch gestionable (Dlink DGS-1210-52), por lo que si desde el MKT de Pepe (eth5 que es el que añadi al bridge-iptv) quiero ahora conectarlo a un puerto del switch, para que luego los 3 decos conecten a Paco...

Supongo que tengo que usar VLAN, pero no se si en el MKT de Pepe le tengo que establecer la vlan a eth5 o a que... he estado probando y no termina de funcionar nada... que si pongo la vlan20 a eth5, luego eth5 lo conecto al switch al puerto 49 por ejemplo, ese puerto lo hago Tagged de la vlan10 y luego los puertos de los decos los pongo untagged de vlan20 y luego al reves y no termina de conectar... ahora los tengo a un switch no gestionable y estan los decos funcionando sin problemas, pero me quiero ahorrar el tener otro switch conectado...

Muchas gracias por todo!
 
Lo siento pero aún me lío con Pepe y Paco y me toca ir al primer mensaje :cry:, pero lo intento...
El tema del switch en vez de router en Paco tiene todo el sentido y una vez me funcione analizaré con detalle los que me comentas de la interfaz esclava dentro del bridge. La cuestión es aprender e intentar comprender porque funciona o no funciona cada configuración.
Estabas intentando levantar un cliente DHCP sobre una interfaz esclava de un bridge, ether1. Una vez metes ether1 en el bridge, quien manda es el bridge, y la interfaz pasa a ser esclava del mismo. El root port pasa a ser el bridge, y si intentas trabajar con la sub-interfaz, verás errores en la config (haz un export y te los cantará).

Cuando hablaba de VLANs es porque al final es lo que quiero "teletransportar". Como el HGU tiene puerto TRUNK contra el Mikrotik y los enlazamos en capa 2 con EOIP al final Pepe recibe el tráfico tanto de IPTV como de internet y LAN de Paco. La finalidad es que Pepe tenga acceso a los dispositivos de la LAN de Paco, reciba el tráfico IPTV de Paco y salga a Internet por la salida de Paco como si estuviera en casa de Paco a todos los efectos.
El HGU no tiene ningún puerto trunk al mikrotik. El trunk del HGU es la fibra óptica, que es por donde vienen los tres servicios taggeados. A ti ya te los entrega en modo acceso, listos para su uso. Y tú no distingues IPTV de acceso a internet una vez estás en el mikrotik, porque esa distinción está en la tabla de rutas del HGU y en su DHCP condicional. Por eso el Mikrotik en Paco es conveniente que no haga más que de switch, puesto que lo que tú buscas es propagar ese comportamiento que te entrega en claro el HGU. Es decir, quieres trabajar en L2, no en L3 (como switch, y no como router).

Bueno, tras esto, iré probando y os tendré al día de los resultados. Si logro que funcione, que supongo que sí, el próximo paso será dotar de un mínimo de seguridad el router de Pepe, por si un día en vez de conectar desde la casa de vacaciones lo hace desde un hotel (por ejemplo). Intentar conectar a Pepe por Wifi y que sirva el tunel por Wifi también, aunque para que esto tenga alguna posibilidad de éxito tendré que hacerme con un dispositivo con Wifi dual chain y el 951G-2HnD creo que no tiene.
El router de Pepe puede ser un router en todo su explendor. De hecho, en la configuración que planteo en el manual, lo es. La única razón por la que simplifiqué en tu setup, es porque me dijiste que tenías otro router por encima, y entonces ahí ya sí que carece de sentido. Pero, si lo vas a querer mover, entonces sí, claro, router completo. Asegúrate de aceptar el tráfico del EoIP explícitamente en input, especialmente si a ese equipo no le vas a poder mapear puertos. Incluso, si lo quieres simplificar aún más, podrías montar todo esto prescindiendo de wireguard, y hacerlo directamente con un EoIP securizado con IPSec, y te ahorras un túnel y la fragmentación que ello causa. Siendo un equipo pensado para roaming, cuanto más sencillo lo montes, mejor.

Ya nos contarás cómo acabas.

Saludos!
 
Buenas tardes!

Muchas gracias a @pokoyo y compañia por seguir alimentando esta base de conocimiento, para que luego los mortales, podamos sacar provecho de estos equipos y sus tecnologias. GRACIAS

Tengo lo expuesto en este hilo funcionando, casa de Paco con un Hex y casa Pepe con un HexS.

El caso es que en Pepe, tengo 3 decos, en 3 puntos de red diferentes y todos ellos llegan a un switch gestionable (Dlink DGS-1210-52), por lo que si desde el MKT de Pepe (eth5 que es el que añadi al bridge-iptv) quiero ahora conectarlo a un puerto del switch, para que luego los 3 decos conecten a Paco...

Supongo que tengo que usar VLAN, pero no se si en el MKT de Pepe le tengo que establecer la vlan a eth5 o a que... he estado probando y no termina de funcionar nada... que si pongo la vlan20 a eth5, luego eth5 lo conecto al switch al puerto 49 por ejemplo, ese puerto lo hago Tagged de la vlan10 y luego los puertos de los decos los pongo untagged de vlan20 y luego al reves y no termina de conectar... ahora los tengo a un switch no gestionable y estan los decos funcionando sin problemas, pero me quiero ahorrar el tener otro switch conectado...

Muchas gracias por todo!
Si a ese switch sólo van a ir conectados esos tres descos, no necesitas nada más. En el bridge-iptv de Pepe iría el EoIP que viene con el servicio de Paco y el puerto que te enlaza a ese switch (ether5 creo que tienes) y andando. A ether5 enchufas ese switch que comentas y, mientras sea compatible con igmp-snooping, no deberías tener mayor problema en ver el contenido en los tres descos. Simplemente estarías propagando el L2 que viene de Paco, aún más.

Saludos!
 
Si a ese switch sólo van a ir conectados esos tres descos, no necesitas nada más. En el bridge-iptv de Pepe iría el EoIP que viene con el servicio de Paco y el puerto que te enlaza a ese switch (ether5 creo que tienes) y andando. A ether5 enchufas ese switch que comentas y, mientras sea compatible con igmp-snooping, no deberías tener mayor problema en ver el contenido en los tres descos. Simplemente estarías propagando el L2 que viene de Paco, aún más.

Saludos!
Hola!

En ese switch tengo también conectado eth2 del MKT que da servicio LAN ya que tengo también antenas wifi, PCS, smart TV, etc... No se volverá loco si le conecto eth5 al switch por el tema del dhcp de Paco?

Gracias
 
Hola!

En ese switch tengo también conectado eth2 del MKT que da servicio LAN ya que tengo también antenas wifi, PCS, smart TV, etc... No se volverá loco si le conecto eth5 al switch por el tema del dhcp de Paco?

Gracias
Obviamente, la cosa cambia, y mucho. Te fuerza a trabajar con un único bridge en Pepe, con igmp snooping y VLAN filtering, y a pasar dos vlans al switch por un único cable trunk: la que lleva la LAN de tu casa, y la que uses para taggear el tráfico que viene de Paco, que ha de entrar ya taggeado en el bridge.

Ese setup tiene chicha, aprende primero a usar el switch gestionable y, cuando tengas claro cómo se cren VLANs en él, le metemos mano al router.

Saludos!
 
En resumen,

La config de Paco: la del manual, no le des más vueltas
La config de Pepe: podría quedar así, una vez simplificada, abriendo puerto UDP correspondiente al puerto de escucha de la interfaz wireguard (por simplicidad, usé el mismo que en Paco)
Código:
/interface bridge
add admin-mac=4C:5E:0C:AA:7F:5F auto-mac=no comment=LAN-Pepe name=bridge
add igmp-snooping=yes name=bridge-iptv comment=LAN-Paco

/interface wireless
set [ find default-name=wlan1 ] band=2ghz-g/n channel-width=20mhz \
disabled=no distance=indoors frequency=2412 installation=indoor mode=\
ap-bridge ssid=WiFi01 wireless-protocol=802.11

/interface wireguard
add listen-port=5550 mtu=1420 name=wg-iptv

/interface wireguard peers
add endpoint-address=numerodeseriepaco.sn.mynetname.net endpoint-port=5550 \
interface=wg-iptv persistent-keepalive=25s allowed-address=172.17.0.2/30 \
public-key="CLAVE_PUBLICA_INTERFAZ_WIREGUARD_EN_PACO"

/interface eoip
add local-address=172.17.0.1 mtu=1500 name=eoip-iptv
remote-address=172.17.0.2 tunnel-id=0

/interface bridge port
add bridge=bridge-iptv comment=LAN-Paco interface=ether2
add bridge=bridge-iptv comment=LAN-Paco interface=ether3
add bridge=bridge-iptv comment=LAN-Paco interface=ether4
add bridge=bridge-iptv comment=LAN-Paco interface=wlan1
add bridge=bridge-iptv comment=LAN-Paco interface=eoip-iptv
add bridge=bridge comment=LAN-Pepe interface=ether5

/ip pool
add name=pool-pepe ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=pool-pepe interface=bridge name=dhcp-server-pepe
/ip dhcp-server network
add address=192.168.88.0/24 comment=dhcp-network-pepe dns-server=8.8.8.8,1.1.1.1 gateway=192.168.88.1

/ip address
add address=192.168.88.1/24 comment=LAN-Pepe interface=bridge network=192.168.88.0
add address=172.17.0.1/30 interface=wg-iptv network=172.17.0.0

/ip cloud
set ddns-enabled=yes

/ip dhcp-client
add comment=defconf interface=ether1
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface=ether1

/system clock
set time-zone-name=Europe/Madrid



Bueno pues siguiendo las indicaciones de pokoyo casi sale a la primera lo que quiero, en realidad el tunel EOIP ha funcionado a la primera pero algo no acaba de estar fino.
Tengo a Paco en la conexión de fibra con el puerto mapeado y a Pepe con un router 4g, por lo que se supone que el incio de la comunicación lo hace Pepe contra Paco.
Me conecto al puerto 4 de Pepe y veo el tunel EOIP levantado, de hecho desde el ordenador de Pepe conecto con Winbox por MAC Address al mikrotik de Paco sin problemas, pero ahora viene el problema, el ordenador de Pepe no coge dirección del DHCP de la red de Paco.

Si desde la terminal del Mikrotik de Pepe hago un ping a la dirección LAN del router de Paco no contesta, y la respuesta del ordenador de Pepe al ipconfig /renew es

Error al renovar la interfaz Ethernet 3: no se puede establecer contacto con el
servidor DHCP. La solicitud superó el tiempo de espera.

Bueno, mañana más y con dos fibras en vez de un 4g...
 
Última edición:
Bueno pues siguiendo las indicaciones de pokoyo casi sale a la primera lo que quiero, en realidad el tunel EOIP ha funcionado a la primera pero algo no acaba de estar fino.
Tengo a Paco en la conexión de fibra con el puerto mapeado y a Pepe con un router 4g, por lo que se supone que el incio de la comunicación lo hace Pepe contra Paco.
Me conecto al puerto 4 de Pepe y veo el tunel EOIP levantado, de hecho desde el ordenador de Pepe conecto con Winbox por MAC Address al mikrotik de Paco sin problemas, pero ahora viene el problema, el ordenador de Pepe no coge dirección del DHCP de la red de Paco.

Si desde la terminal del Mikrotik de Pepe hago un ping a la dirección LAN del router de Paco no contesta, y la respuesta del ordenador de Pepe al ipconfig /renew es

Error al renovar la interfaz Ethernet 3: no se puede establecer contacto con el
servidor DHCP. La solicitud superó el tiempo de espera.

Bueno, mañana más y con dos fibras en vez de un 4g...
Asegúrate de que los EoIP estén bridgeados en los bridges correspondientes: en Paco junto al resto de los puertos, en Pepe en el bridge-iptv, junto con los puertos físicos que quieres "teletransportar" a casa de Paco. Si el EoIP levanta y lo ves running RS (no le quites el keepalive o siempre saldrá como running, es algo que corregí de tu configuración), significa que por aquí se están mandando tramas ethernet, y el DHCP debería propagarse sin problemas.

Si tienes dudas, pásame export de ambos equipos, y lo revisamos.

Saludos!
 
Obviamente, la cosa cambia, y mucho. Te fuerza a trabajar con un único bridge en Pepe, con igmp snooping y VLAN filtering, y a pasar dos vlans al switch por un único cable trunk: la que lleva la LAN de tu casa, y la que uses para taggear el tráfico que viene de Paco, que ha de entrar ya taggeado en el bridge.

Ese setup tiene chicha, aprende primero a usar el switch gestionable y, cuando tengas claro cómo se cren VLANs en él, le metemos mano al router.

Saludos!
Hola!

Al final ya lo tengo funcionando, lo que he hecho es lo siguiente.

He sacado el puerto 4 y puerto 5 del bridge1.
He creado en el MKT una vlan10_lan y asignado al eth4
He creado en el MKT una vlan20_iptv y asignado al eth5

Luego he creado en Bridge, 2 puertos, uno para vlan10_lan asignado al bridge1 y otro puerto vlan20_iptv y asignado al bridge_iptv

Luego en el switch gestionado, he dado de alta las 2 vlans indicadas y he conectado eth4 a un puerto trunk del switch y luego los puertos que necesito para LAN, los he establecido en untagged y ya tengo LAN. He hecho lo mismo para eth5, en otro puerto del switch en trunk, y luego los 3 puertos donde tengo los decos, los he configurado en Untagged de esa vlan20_iptv y todo funcionando.

No se si es la forma mas optima o no... dime si lo ves correcto.

Muchas gracias
 
Hola!

Al final ya lo tengo funcionando, lo que he hecho es lo siguiente.

He sacado el puerto 4 y puerto 5 del bridge1.
He creado en el MKT una vlan10_lan y asignado al eth4
He creado en el MKT una vlan20_iptv y asignado al eth5

Luego he creado en Bridge, 2 puertos, uno para vlan10_lan asignado al bridge1 y otro puerto vlan20_iptv y asignado al bridge_iptv

Luego en el switch gestionado, he dado de alta las 2 vlans indicadas y he conectado eth4 a un puerto trunk del switch y luego los puertos que necesito para LAN, los he establecido en untagged y ya tengo LAN. He hecho lo mismo para eth5, en otro puerto del switch en trunk, y luego los 3 puertos donde tengo los decos, los he configurado en Untagged de esa vlan20_iptv y todo funcionando.

No se si es la forma mas optima o no... dime si lo ves correcto.

Muchas gracias
No, no es la forma de hacerlo. Tienes varios errores:
- Estás metiendo vlans como puertos en el bridge, lo cual es incorrecto
- Estás enchufando dos cables al switch desde el router, aumentando enormemente la posibilidad de crear un bucle y tirar abajo la red (bendito R-STP)

Las vlans se filtran en el bridge, no se añaden como puertos. Y, cuando trabajas con VLANs, sólo tienes un puerto trunk entre dos equipos, no dos. Y por esa unión pasan tantas VLANs como se necesiten, taggeadas (en tu caso 2, pero podrían ser 100)

Saludos!
 
No, no es la forma de hacerlo. Tienes varios errores:
- Estás metiendo vlans como puertos en el bridge, lo cual es incorrecto
- Estás enchufando dos cables al switch desde el router, aumentando enormemente la posibilidad de crear un bucle y tirar abajo la red (bendito R-STP)

Las vlans se filtran en el bridge, no se añaden como puertos. Y, cuando trabajas con VLANs, sólo tienes un puerto trunk entre dos equipos, no dos. Y por esa unión pasan tantas VLANs como se necesiten, taggeadas (en tu caso 2, pero podrían ser 100)

Saludos!
Perdona, los 2 puertos del SW no estan como trunk, me equivoque, estan como tagged en sus respectivas VLANs, luego los puertos de cada dispositivo estan en untagged.

Lo de los 2 cables del switch, no termino entender porque dices que hay bucle, si no estan en el mismo bridge ni en la misma VLAN...

Podrias explicarme entonces, como configurar la parte del MK correctamente?

Muchas gracias una vez mas!
 
Asegúrate de que los EoIP estén bridgeados en los bridges correspondientes: en Paco junto al resto de los puertos, en Pepe en el bridge-iptv, junto con los puertos físicos que quieres "teletransportar" a casa de Paco. Si el EoIP levanta y lo ves running RS (no le quites el keepalive o siempre saldrá como running, es algo que corregí de tu configuración), significa que por aquí se están mandando tramas ethernet, y el DHCP debería propagarse sin problemas.

Si tienes dudas, pásame export de ambos equipos, y lo revisamos.

Saludos!

Pues eso era... Al final no hay como que te lo digan y dejarlo madurar un poco para verlo. Estaba convencido que el problema era la comunicación del mikrotik de Paco con su LAN, ayer lo repasé infinidad de veces y no lo veía. Efectivamente a Paco le faltaba meter el EOIP en el bridge-iptv.
Ahora va como un cañón.

Muchas gracias por la ayuda pokoyo.

Saludos!
 
Perdona, los 2 puertos del SW no estan como trunk, me equivoque, estan como tagged en sus respectivas VLANs, luego los puertos de cada dispositivo estan en untagged.

Lo de los 2 cables del switch, no termino entender porque dices que hay bucle, si no estan en el mismo bridge ni en la misma VLAN...

Podrias explicarme entonces, como configurar la parte del MK correctamente?

Muchas gracias una vez mas!
Como te comenté: un único bridge con vlan filtering e igmp-snooping. Dos vlans, la tuya para la LAN y una cualquiera para el servicio que te viene de fuera. Los puertos de tu bridge dedicados a tu LAN, con PVID = número de vlan para la lan, el que viene de Paco (EoIP) con el PVID = VLAN X de Paco (la que sea que elijas) y el puerto que te une al switch con las dos VLANs taggeadas, como puerto trunk. Entre el router y el switch un único cable. Y, en el switch, entregas ambas VLANs en modo acceso a los puertos que correspondan.

Saludos!
 
Buenas !

He estado peleándome con la configuración de Paco. He seguido el tutorial de pokoyo pero he tratado de modificar la configuración para crear dos Pepes. También, al usar un map lite y tener solo 1 puerto, he tenido que modificar un poco la parte del bridge.

¿Podéis echar un vistazo a la config? Paco vive a un buen trecho y no me gustaría tener que ir para nada.

Gracias!!

Código:
# may/15/2022 11:20:18 by RouterOS 7.2.3
# software id = NZLH-RJP0
#
# model = RBmAPL-2nD
# serial number = X
/interface bridge
add igmp-snooping=yes name=bridge-iptv
add admin-mac=DC:2C:6E:F0:B5:9E auto-mac=no name=bridge-local
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
/interface eoip
add local-address=172.17.0.2 mac-address=FE:55:FE:0B:A8:EE mtu=1500 name=\
    eoip-iptv remote-address=172.17.0.1 tunnel-id=0
add local-address=172.17.10.1 mac-address=FE:76:56:4A:0B:0C mtu=1500 name=\
    eoip-iptv-f remote-address=172.17.10.2 tunnel-id=10
/interface wireguard
add listen-port=42523 mtu=1420 name=wg-sts-iptv
add listen-port=13231 mtu=1420 name=wg-sts-iptv-f
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=pool-local ranges=192.168.79.2-192.168.79.254
/ip dhcp-server
add address-pool=pool-local interface=bridge-local name=dhcp-local
/interface bridge port
add bridge=bridge-iptv interface=ether1
add bridge=bridge-iptv interface=eoip-iptv
add bridge=bridge-iptv interface=eoip-iptv-f
/interface wireguard peers
add allowed-address=0.0.0.0/0 endpoint-address=XXXX \
    endpoint-port=54321 interface=wg-sts-iptv persistent-keepalive=25s \
    public-key="XXXX="
add allowed-address=0.0.0.0/0 comment="Pending new public key" \
    endpoint-address=XXXX endpoint-port=54322 interface=\
    wg-sts-iptv-f persistent-keepalive=25s public-key=\
    "XXXX="
/ip address
add address=192.168.79.1/24 interface=bridge-local network=192.168.79.0
add address=172.17.0.2/30 interface=wg-sts-iptv network=172.17.0.0
add address=172.17.10.2/30 interface=wg-sts-iptv-f network=172.17.10.0
/ip cloud
set ddns-enabled=yes ddns-update-interval=5m
/ip dhcp-client
add interface=bridge-iptv
/ip dhcp-server network
add address=192.168.79.0/24 gateway=192.168.79.1
/ip dns
set servers=1.1.1.1,1.0.0.1
/ip route
add dst-address=192.168.88.0/24 gateway=172.17.0.1
add disabled=no dst-address=192.168.2.0/24 gateway=172.17.10.2 routing-table=\
    main suppress-hw-offload=no
add disabled=no dst-address=192.168.2.0/24 gateway=172.17.10.2 routing-table=\
    main suppress-hw-offload=no
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=Paco
 
Tienes varias cosas mal.

- Ahora mismo bridge-local no vale para nada, más que para ponerle una IP encima. Si vas a querer administrar el equipo, desde ese rango (para eso está el DHCP server que tiene creado), y no tienes puertos físicos para asignarle, asígnale la wifi y por lo menos por ahí te podrás conectar a él. Si no lo vas a usar, deja el bridge y la IP sobre él, pero borra todo lo demás (dhcp server, network, pool, etc)

- En el segundo EoIP tienes las direcciones bailadas. Pones como local address la .1, y sin embargo la que aparece en tu wireguard es la .2.

- Al igual que lo anterior, aplica a las rutas. Tienes dos rutas idénticas, duplicadas, y con gateway = dirección local .2, cuando debería ser la del otro extremo.

Saludos!
 
Muchas gracias pokoyo. La verdad es que aún me hago un poco de lío.

He tratado de limpiarlo, pero no sé si me he dejado algo.

Gracias de nuevo.

Código:
/interface bridge
add igmp-snooping=yes name=bridge-iptv
add admin-mac=DC:2C:6E:F0:B5:9E auto-mac=no name=bridge-local
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
/interface eoip
add local-address=172.17.0.2 mac-address=FE:55:FE:0B:A8:EE mtu=1500 name=\
    eoip-iptv remote-address=172.17.0.1 tunnel-id=0
add local-address=172.17.10.2 mac-address=FE:76:56:4A:0B:0C mtu=1500 name=\
    eoip-iptv-f remote-address=172.17.10.1 tunnel-id=10
/interface wireguard
add listen-port=54321 mtu=1420 name=wg-sts-iptv
add listen-port=54322 mtu=1420 name=wg-sts-iptv-f
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge-iptv interface=ether1
add bridge=bridge-iptv interface=eoip-iptv
add bridge=bridge-iptv interface=eoip-iptv-f
/interface wireguard peers
add allowed-address=0.0.0.0/0 endpoint-address=XXXX \
    endpoint-port=54321 interface=wg-sts-iptv persistent-keepalive=25s \
    public-key="XXXX="
add allowed-address=0.0.0.0/0 comment="Pending new public key" \
    endpoint-address=XXXX endpoint-port=54322 interface=\
    wg-sts-iptv-f persistent-keepalive=25s public-key=\
    "XXXX="
/ip address
add address=172.17.0.2/30 interface=wg-sts-iptv network=172.17.0.0
add address=172.17.10.2/30 interface=wg-sts-iptv-f network=172.17.10.0
/ip cloud
set ddns-enabled=yes ddns-update-interval=5m
/ip dhcp-client
add interface=bridge-iptv
/ip dhcp-server network
add address=192.168.79.0/24 gateway=192.168.79.1
/ip dns
set servers=1.1.1.1,1.0.0.1
/ip route
add disabled=no distance=1 dst-address=192.168.88.0/24 gateway=172.17.10.1 \
    pref-src=0.0.0.0 routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=Paco
 
Muchas gracias pokoyo. La verdad es que aún me hago un poco de lío.

He tratado de limpiarlo, pero no sé si me he dejado algo.

Gracias de nuevo.

Código:
/interface bridge
add igmp-snooping=yes name=bridge-iptv
add admin-mac=DC:2C:6E:F0:B5:9E auto-mac=no name=bridge-local
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
/interface eoip
add local-address=172.17.0.2 mac-address=FE:55:FE:0B:A8:EE mtu=1500 name=\
    eoip-iptv remote-address=172.17.0.1 tunnel-id=0
add local-address=172.17.10.2 mac-address=FE:76:56:4A:0B:0C mtu=1500 name=\
    eoip-iptv-f remote-address=172.17.10.1 tunnel-id=10
/interface wireguard
add listen-port=54321 mtu=1420 name=wg-sts-iptv
add listen-port=54322 mtu=1420 name=wg-sts-iptv-f
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge-iptv interface=ether1
add bridge=bridge-iptv interface=eoip-iptv
add bridge=bridge-iptv interface=eoip-iptv-f
/interface wireguard peers
add allowed-address=0.0.0.0/0 endpoint-address=XXXX \
    endpoint-port=54321 interface=wg-sts-iptv persistent-keepalive=25s \
    public-key="XXXX="
add allowed-address=0.0.0.0/0 comment="Pending new public key" \
    endpoint-address=XXXX endpoint-port=54322 interface=\
    wg-sts-iptv-f persistent-keepalive=25s public-key=\
    "XXXX="
/ip address
add address=172.17.0.2/30 interface=wg-sts-iptv network=172.17.0.0
add address=172.17.10.2/30 interface=wg-sts-iptv-f network=172.17.10.0
/ip cloud
set ddns-enabled=yes ddns-update-interval=5m
/ip dhcp-client
add interface=bridge-iptv
/ip dhcp-server network
add address=192.168.79.0/24 gateway=192.168.79.1
/ip dns
set servers=1.1.1.1,1.0.0.1
/ip route
add disabled=no distance=1 dst-address=192.168.88.0/24 gateway=172.17.10.1 \
    pref-src=0.0.0.0 routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=Paco
Ahora tiene mejor pinta pero, tal y como está, sobra el "bridge-local", ya que ahora no lo usas ni si quiera como interfaz de loopback.

Saludos!
 
Hola, es posible cambiar la clave pública del peer del wireguard y la dirección dns del endpoint desde la pestaña peer, para probar con otro paco sin hacer la configuración desde cero, es que he probado cambiando estos dos parámetros y no levanta el túnel (el Paco que quiero probar ya está configurado con la clave pública y el dns de pepe, si configuro pepe desde el principio tendré que ir a recoger el equipo paco y está algo lejos)
 
Hola, es posible cambiar la clave pública del peer del wireguard y la dirección dns del endpoint desde la pestaña peer, para probar con otro paco sin hacer la configuración desde cero, es que he probado cambiando estos dos parámetros y no levanta el túnel (el Paco que quiero probar ya está configurado con la clave pública y el dns de pepe, si configuro pepe desde el principio tendré que ir a recoger el equipo paco y está algo lejos)
Como poder, se puede, pero también necesitas cambiar la IP que va en la interfaz wireguard y aceptar esa en el allowed address. Date cuenta de que lo que configuras en la pestaña “peer” pertenece siempre al host remoto, no a ti.

Saludos!
 
Arriba