MANUAL: Mikrotik, el amigo gorrón [IPTV pululante]

Bueno, os la dejo por aquí a ver si alguien consigue ver el fallo y me orienta.

Esto sería la configuración del router de donde parte todo.

Código:
/interface bridge
add igmp-snooping=yes name=bridge-iptv
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
set [ find default-name=wlan2 ] ssid=MikroTik
/interface wireguard
add listen-port=55447 mtu=1420 name=wg-sts-iptv
add listen-port=55550 mtu=1420 name=wg-sts-iptv-2
/interface eoip
add local-address=10.10.0.1 mac-address=02:CA:95:DE:CD:D1 name=eoip-tunnel1 \
    remote-address=10.10.0.2 tunnel-id=0
add local-address=172.17.0.2 mac-address=02:C1:DD:44:11:89 name=eoip-tunnel2 \
    remote-address=172.17.0.1 tunnel-id=1
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-server option
add code=240 name=opch-imagenio value="':::::239.0.2.29:22222'"
/ip pool
add name=movistar-general ranges=192.168.1.3-192.168.1.239
add name=movistar-iptv ranges=192.168.1.241-192.168.1.254
/ip dhcp-server
add address-pool=movistar-general interface=bridge-iptv name=movistar-dhcp
/interface bridge port
add bridge=bridge-iptv interface=ether1
add bridge=bridge-iptv interface=ether2
add bridge=bridge-iptv interface=ether3
add bridge=bridge-iptv interface=ether4
add bridge=bridge-iptv interface=ether5
add bridge=bridge-iptv interface=eoip-tunnel1
add bridge=bridge-iptv interface=eoip-tunnel2
/interface wireguard peers
add allowed-address=0.0.0.0/0 endpoint-address=XXXXXXXXXXXXXXXXXXXXXXXXXXXXX.sn.mynetname.net \
    endpoint-port=62001 interface=wg-sts-iptv public-key=\
    "XXXXXXXXXXXXXXXXXXXXXXXXXXXXX="
add allowed-address=0.0.0.0/0 endpoint-address=XXXXXXXXXXXXXXXXXXXXXXXXXXXXX.sn.mynetname.net \
    endpoint-port=54322 interface=wg-sts-iptv-2 public-key=\
    "XXXXXXXXXXXXXXXXXXXXXXXXXXXXX"
/ip address
add address=192.168.1.2/24 interface=bridge-iptv network=192.168.1.0
add address=10.10.0.1/30 interface=wg-sts-iptv network=10.10.0.0
add address=172.17.0.2/30 interface=wg-sts-iptv-2 network=172.17.0.0
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.2 gateway=192.168.1.1
add address=192.168.1.240/28 dhcp-option=opch-imagenio dns-server=172.26.23.3 \
    gateway=192.168.1.1 netmask=24
/ip dhcp-server vendor-class-id
add address-pool=movistar-iptv name=descos server=movistar-dhcp vid="[IAL]"
/ip dns
set allow-remote-requests=yes servers=80.58.61.250,80.58.61.254
/ip firewall filter
add action=accept chain=input dst-port=55447 protocol=udp
add action=accept chain=input dst-port=55550 protocol=udp
/ip route
add gateway=192.168.1.1
/system clock
set time-zone-name=Europe/Madrid

Y esto sería el router donde me da el fallo.

Código:
/interface bridge
add admin-mac=DC:2C:6E:35:2D:3F auto-mac=no comment=defconf igmp-snooping=yes \
    mtu=1500 name=bridgeLocal
/interface wireless
# managed by CAPsMAN
set [ find default-name=wlan1 ] ssid=MikroTik
# managed by CAPsMAN
set [ find default-name=wlan2 ] ssid=MikroTik
/interface wireguard
add listen-port=62001 mtu=1420 name=wg-sts-iptv
/interface eoip
add local-address=10.10.0.2 mac-address=02:78:AE:CE:66:7E mtu=1500 name=\
    eoip-tunnel1 remote-address=10.10.0.1 tunnel-id=0
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/zerotier
set zt1 comment="ZeroTier Central controller - https://my.zerotier.com/" \
    identity="XXXXXXXXXXXXXXXXXXXXXXXXXXXXX" name=zt1 \
    port=9993
/zerotier interface
add allow-default=no allow-global=no allow-managed=no disabled=no instance=\
    zt1 name=zerotier1 network=XXXXXXXXXXXXXXXXXXXXXXXXXXXXX
/interface bridge port
add bridge=bridgeLocal comment=defconf interface=ether2
add bridge=bridgeLocal interface=eoip-tunnel1
/interface ovpn-server server
set auth=sha1,md5
/interface wireguard peers
add allowed-address=0.0.0.0/0 endpoint-address=XXXXXXXXXXXXXXXXXXXXXXXXXXXXX endpoint-port=\
    55447 interface=wg-sts-iptv public-key=\
    "XXXXXXXXXXXXXXXXXXXXXXXXXXXXX"
/interface wireless cap
#
set bridge=bridgeLocal discovery-interfaces=bridgeLocal enabled=yes \
    interfaces=wlan1,wlan2
/ip address
add address=10.10.0.2/30 interface=wg-sts-iptv network=10.10.0.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add interface=ether3
/ip firewall filter
add action=accept chain=input dst-port=62001 protocol=udp
add action=accept chain=input in-interface=wg-sts-iptv protocol=gre
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=MikroTik
Abre un hilo aparte con lo que quieres hacer, explícalo detalladamente, y lo vemos. Esa primera configuración que posteas es un batiburrillo a medio camino entre lo que sería un router tonto de Paco y la config para ONT + Router. Y hace aguas por todos lados.
Si quieres hacer un Paco, y tienes un HGU delante, te sobra config. Si tienes una ONT, te falta firewall (espero que no tengas ese equipo directamente expuesto a internet).

Os agradecería enormemente mantuviésemos este hilo limpio de setups alternativos inventados. Si sabéis lo que estáis haciendo y queréis proponer un cambio en el original posteado, adelante. Pero asaltando hilos con configuraciones raras, lo único que podemos hacer es confundir al resto de usuarios.

Saludos!
 
Abre un hilo aparte con lo que quieres hacer, explícalo detalladamente, y lo vemos. Esa primera configuración que posteas es un batiburrillo a medio camino entre lo que sería un router tonto de Paco y la config para ONT + Router. Y hace aguas por todos lados.
Si quieres hacer un Paco, y tienes un HGU delante, te sobra config. Si tienes una ONT, te falta firewall (espero que no tengas ese equipo directamente expuesto a internet).

Os agradecería enormemente mantuviésemos este hilo limpio de setups alternativos inventados. Si sabéis lo que estáis haciendo y queréis proponer un cambio en el original posteado, adelante. Pero asaltando hilos con configuraciones raras, lo único que podemos hacer es confundir al resto de usuarios.

Saludos!
Disculpa las molestias, ya acabo de abrir un nuevo hilo a ver si alguien sabe darme solución a mi caso. Si quieres, te puedo borrar el mensaje para no ensuciar este hilo.

Un saludo!
 
Hola, después de muchas pruebas he conseguido hacer rodar mi túnel , pero me ocurre algo raro. Me funciona nada más meter la configuración en Paco se levanta el túnel , pero si reinicio paco no funciona y tengo que volver a meter el scrict y entonces vuelve a lenvantar el túnel con el consiguiente cambio de key Wg en el peer de pepe para que vuelva a conectar. Pepe no tengo qué cambiar nada solo meter la key nueva que genera Paco y en Paco como ya digo meter de nuevo el scritc
 
Hola, después de muchas pruebas he conseguido hacer rodar mi túnel , pero me ocurre algo raro. Me funciona nada más meter la configuración en Paco se levanta el túnel , pero si reinicio paco no funciona y tengo que volver a meter el scrict y entonces vuelve a lenvantar el túnel con el consiguiente cambio de key Wg en el peer de pepe para que vuelva a conectar. Pepe no tengo qué cambiar nada solo meter la key nueva que genera Paco y en Paco como ya digo meter de nuevo el scritc
¿No te sale más a cuenta darle simplemente un reinicio al Mikrotik? Estás matando moscas a cañonazos.

Si Paco o Pepe reinician, y cambia la IP WAN, hasta que no detecte el cambio, vas a tener un túnel apuntando a una IP que no es. Dependiendo de lo que tarde ese proceso de actualización, así perderás conectividad.

Saludos!
 
Hola!
Hace tiempo que no escribo pero es que a mi Paco le cortaron internet por culpa de una avería (rotura del cable de fibra en la acometida) y ha tardado en arreglarlo ... Bueno, resuelto el problema físico, en mi config había problemas (pixelaciones y cortes cada X) hasta con el HGU original (Askey RTF8115VW) por lo que decidí hablar con el técnico y pedir que me lo sustituyera por uno de los MitraStar (en concreto han puesto el GPT-2741GNAC). Pues después de varios días y en la misma config, he de decir que el problema definitivamente era el HGU. Todo funciona a las mil maravillas sin problema alguno y con hasta 4 visionados simultáneos.

No sé si estaría bien señalarlo en el post principal, porque puedes tener toda la config perfecta, usar el HGU, seguir con problemas y al final es el maldito cacharrito.. Espero que sirva de ayuda a todos y gracias de nuevo por compartir chicos!

Un saludo!
Buenas! Estoy teniendo el mismo problema, además de que no me deja fijar la IP ni guarda los cambios de los puertos abiertos. ¿Qué dijiste en Movistar para que te lo cambiaran por el MitraStar? ¿El problema de las pixelaciones lo comprobaron? A mí me pasa al otro lado del túnel, pero no en el host.

Saludos!
 
Chicos, después de leer todo el hilo y teniendo en cuenta que no tengo nada comprado... Lo más barato que encuentro ahora mismo con 64mb son dos hex lite. Servirían o me voy al RB750Gr3+map? Muchas gracias
 
Chicos, después de leer todo el hilo y teniendo en cuenta que no tengo nada comprado... Lo más barato que encuentro ahora mismo con 64mb son dos hex lite. Servirían o me voy al RB750Gr3+map? Muchas gracias
Para un único equipo remoto, los dos hex lite deberían ser más que suficiente, hasta donde yo se
 
¿No te sale más a cuenta darle simplemente un reinicio al Mikrotik? Estás matando moscas a cañonazos.

Si Paco o Pepe reinician, y cambia la IP WAN, hasta que no detecte el cambio, vas a tener un túnel apuntando a una IP que no es. Dependiendo de lo que tarde ese proceso de actualización, así perderás conectividad.

Saludos!
Tienes una idea de cuanto es ese tiempo?, pues a mi me pasó, luego de tener la misma IP casi por 2 años, un día cambió y me di cuenta porque perdí la conexión con una VPN que no conectaba y me costó trabajo darme cuenta, hasta que no fui físicamente al router y entré al peer y ver que todo estaba bien y darle OK no se volvió a conectar.
 
Muchas gracias, tiro por ahí aunq la inversión sea un poco más alta, si me lo decís es por algo :)
Porque así lo vas a comprar de una vez, no vas a comprar chismes dos veces. Te vale tanto para lo grande como para lo chico.

Saludos!
 
Porque así lo vas a comprar de una vez, no vas a comprar chismes dos veces. Te vale tanto para lo grande como para lo chico.

Saludos!
Hecho! Espero no daros mucho por saco cuando me lleguen :) una duda, para el operador naranja pensáis que debe funcionar igual?
 
Buenas a todos, tras conseguir echar a andar el invento con un Pepe, me he animado a añadir un Pepe2, pero no consigo que levante el tunel wireguard.

Pongo los export de Paco y Pepe2 para ver si podéis echarme un cable:

PACO
# jul/13/2022 14:59:31 by RouterOS 7.3.1
# software id = HKC2-1Q6X
#
# model = RB750Gr3
# serial number = AAAAAAAAAA
/interface bridge
add igmp-snooping=yes name=bridge-iptv
add admin-mac=XX:XX:XX:XX:XX:XX auto-mac=no name=bridge-lo
/interface eoip
add local-address=172.17.0.2 mac-address=XX:XX:XX:XX:XX:XX mtu=1500 name=\
eoip-iptv remote-address=172.17.0.1 tunnel-id=0
add local-address=172.17.10.2 mac-address=XX:XX:XX:XX:XX:XX mtu=1500 name=\
eoip-iptv-a remote-address=172.17.10.1 tunnel-id=10
/interface wireguard
add listen-port=3559 mtu=1420 name=wg-sts-iptv
add listen-port=13231 mtu=1420 name=wg-sts-iptv-a
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=pool-lo ranges=192.168.79.2-192.168.79.254
/ip dhcp-server
add address-pool=pool-lo interface=bridge-lo name=dhcp-lo
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge-lo interface=ether2
add bridge=bridge-iptv interface=ether1
add bridge=bridge-iptv interface=eoip-iptv
add bridge=bridge-iptv interface=ether3
add bridge=bridge-iptv interface=ether4
add bridge=bridge-iptv interface=ether5
add bridge=bridge-iptv interface=eoip-iptv-a
/interface wireguard peers
add allowed-address=0.0.0.0/0 endpoint-address=DNSPEPE1.NET \
endpoint-port=54321 interface=wg-sts-iptv persistent-keepalive=25s \
public-key="PUBLIC_KEY_PEPE1"
add allowed-address=0.0.0.0/0 endpoint-address=DNSPEPE2.NET \
endpoint-port=54321 interface=wg-sts-iptv-a persistent-keepalive=25s \
public-key="PUBLIC_KEY_PEPE2"
/ip address
add address=192.168.79.1/24 interface=bridge-lo network=192.168.79.0
add address=172.17.0.2/30 interface=wg-sts-iptv network=172.17.0.0
add address=172.17.10.2/30 interface=wg-sts-iptv-a network=172.17.10.0
/ip dhcp-client
add interface=bridge-iptv
/ip dhcp-server network
add address=192.168.79.0/24 gateway=192.168.79.1
/ip dns
set servers=1.1.1.1,1.0.0.1
/ip route
add dst-address="" gateway=172.17.0.1
add disabled=no distance=1 dst-address=192.168.88.0/24 gateway=172.17.10.1 \
pref-src=0.0.0.0 routing-table=main scope=30 suppress-hw-offload=no \
target-scope=10
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=gorron

PEPE2
# jul/13/2022 14:59:46 by RouterOS 7.3.1
# software id = J09P-EK5J
#
# model = RB931-2nD
# serial number = AAAAAAAAA
/interface bridge
add admin-mac=XX:XX:XX:XX:XX:XX auto-mac=no comment=defconf name=bridge
add igmp-snooping=yes name=bridge-iptv
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
distance=indoors frequency=auto installation=indoor mode=ap-bridge ssid=\
MikroTik-AAAAA wireless-protocol=802.11
/interface eoip
add local-address=172.17.10.1 mac-address=XX:XX:XX:XX:XX:XX mtu=1500 name=\
eoip-iptv remote-address=172.17.10.2 tunnel-id=0
/interface wireguard
add listen-port=54321 mtu=1420 name=wg-sts-iptv
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
/interface bridge port
add bridge=bridge-iptv comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=pwr-line1
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge-iptv interface=eoip-iptv
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/interface wireguard peers
add allowed-address=172.17.10.2/32 comment=gorron-iptv interface=wg-sts-iptv \
public-key="PUBLIC_KEY_PACO"
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
192.168.88.0
add address=172.17.10.1/30 interface=wg-sts-iptv network=172.17.10.0
/ip cloud
set ddns-enabled=yes ddns-update-interval=5m
/ip dhcp-client
add comment=defconf interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=\
192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment="vpn: allow wireguard gorron" dst-port=\
54321 protocol=udp
add action=accept chain=input comment="iptv: allow gre for eoip" \
in-interface=wg-sts-iptv protocol=gre
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
33434-33534 protocol=udp
add action=accept chain=input comment=\
"defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
ipsec-esp
add action=accept chain=input comment=\
"defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
"defconf: drop everything else not coming from LAN" in-interface-list=\
!LAN
add action=accept chain=forward comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
"defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
ipsec-esp
add action=accept chain=forward comment=\
"defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
"defconf: drop everything else not coming from LAN" in-interface-list=\
!LAN
/system clock
set time-zone-name=Europe/Madrid
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Un saludo y muchas gracias.
 
Buenas a todos, tras conseguir echar a andar el invento con un Pepe, me he animado a añadir un Pepe2, pero no consigo que levante el tunel wireguard.

Pongo los export de Paco y Pepe2 para ver si podéis echarme un cable:

PACO


PEPE2


Un saludo y muchas gracias.
Hola,

Parece que tienes un pequeño lío en la configuración. Esto es lo que yo veo:

PACO

- Hay dos enlaces WireGuard (WG), uno que va hacia PEPE1 y otro hacia PEPE2, son dos enlaces distintos tipo Site to Site (STS) por lo que en los peers de PEPE1 y PEPE2 debes poner correctamente las key públicas que se han creado en PACO, importante.

- En los enlaces WG recomendable poner los mismos puertos que tenes abiertos en los extremos PEPE1 y PEPE2. Yo lo dejaría así, suponiendo que "wg-sts-iptv-a" corresponda a PEPE2:

Código:
/interface wireguard
add listen-port=54321 mtu=1420 name=wg-sts-iptv
add listen-port=54322 mtu=1420 name=wg-sts-iptv-a

Si estás debajo del router de Operadora abre estos puertos a la IP del hEX.

- Tienes un error en el segundo peer, has puesto el mismo puerto que el primero:

Código:
/interface wireguard peers
add allowed-address=0.0.0.0/0 endpoint-address=DNSPEPE1.NET \
endpoint-port=54321 interface=wg-sts-iptv persistent-keepalive=25s \
public-key="PUBLIC_KEY_PEPE1"
add allowed-address=0.0.0.0/0 endpoint-address=DNSPEPE2.NET \
endpoint-port=54321 interface=wg-sts-iptv-a persistent-keepalive=25s \
public-key="PUBLIC_KEY_PEPE2"

debería ser:

Código:
/interface wireguard peers
add allowed-address=0.0.0.0/0 endpoint-address=DNSPEPE1.NET \
endpoint-port=54321 interface=wg-sts-iptv persistent-keepalive=25s \
public-key="PUBLIC_KEY_PEPE1"
add allowed-address=0.0.0.0/0 endpoint-address=DNSPEPE2.NET \
endpoint-port=54322 interface=wg-sts-iptv-a persistent-keepalive=25s \
public-key="PUBLIC_KEY_PEPE2"

PEPE2

- En el túnel EOIP te has liado con el ID, según la config con PACO, para la IP 172.17.10.1 debería ser el ID:10.
- En la interfaz WG el puerto correcto debería ser 54322 para este enlace entre PACO<-->PEPE2.
- En el peer deberías poner la public-key de PACO (la segunda WG correspondiente a "wg-sts-iptv-a").
- En el Firewall corregir el puerto a 54322.

Es aconsejable dibujar un esquema de red para tener claro donde va cada cosa:

1657724685998.png


En ambos extremos, yo pondría allowed-address=0.0.0.0/0

S@lu2.
 
Última edición:
Hola,

Parece que tienes un pequeño lío en la configuración. Esto es lo que yo veo:

PACO

- Hay dos enlaces WireGuard (WG), uno que va hacia PEPE1 y otro hacia PEPE2, son dos enlaces distintos tipo Site to Site (STS) por lo que en los peers de PEPE1 y PEPE2 debes poner correctamente las key públicas que se han creado en PACO, importante.

- En los enlaces WG recomendable poner los mismos puertos que tenes abiertos en los extremos PEPE1 y PEPE2. Yo lo dejaría así, suponiendo que "wg-sts-iptv-a" corresponda a PEPE2:

Código:
/interface wireguard
add listen-port=54321 mtu=1420 name=wg-sts-iptv
add listen-port=54322 mtu=1420 name=wg-sts-iptv-a

Si estás debajo del router de Operadora abre estos puertos a la IP del hEX.

- Tienes un error en el segundo peer, has puesto el mismo puerto que el primero:

Código:
/interface wireguard peers
add allowed-address=0.0.0.0/0 endpoint-address=DNSPEPE1.NET \
endpoint-port=54321 interface=wg-sts-iptv persistent-keepalive=25s \
public-key="PUBLIC_KEY_PEPE1"
add allowed-address=0.0.0.0/0 endpoint-address=DNSPEPE2.NET \
endpoint-port=54321 interface=wg-sts-iptv-a persistent-keepalive=25s \
public-key="PUBLIC_KEY_PEPE2"

debería ser:

Código:
/interface wireguard peers
add allowed-address=0.0.0.0/0 endpoint-address=DNSPEPE1.NET \
endpoint-port=54321 interface=wg-sts-iptv persistent-keepalive=25s \
public-key="PUBLIC_KEY_PEPE1"
add allowed-address=0.0.0.0/0 endpoint-address=DNSPEPE2.NET \
endpoint-port=54322 interface=wg-sts-iptv-a persistent-keepalive=25s \
public-key="PUBLIC_KEY_PEPE2"

PEPE2

- En el túnel EOIP te has liado con el ID, según la config con PACO, para la IP 172.17.10.1 debería ser el ID:10.
- En la interfaz WG el puerto correcto debería ser 54322 para este enlace entre PACO<-->PEPE2.
- En el peer deberías poner la public-key de PACO (la segunda WG correspondiente a "wg-sts-iptv-a").
- En el Firewall corregir el puerto a 54322.

Es aconsejable dibujar un esquema de red para tener claro donde va cada cosa:

Ver el adjunto 96843

En ambos extremos, yo pondría allowed-address=0.0.0.0/0

S@lu2.

Mil gracias, solo he tenido que tocar el ID del tunel EOIP en Pepe2 y ha empezado a funcionar.

El tema de los puertos, al ser Paco quien llama a los Pepes, entiendo que debería ser indiferente que los Pepes usen el mismo puerto, ya que va contra direcciones diferentes. ¿Me equivoco?

Tengo conectado a Pepe2 ahora mismo con un router 4G para las pruebas, y Pepe1 se lo he dejado a un amigo para que lo conecte en su casa. Veremos en un rato si es necesario usar puertos diferentes o no :LOL:
 
Mil gracias, solo he tenido que tocar el ID del tunel EOIP en Pepe2 y ha empezado a funcionar.
Me alegro que ya te funcione.
El tema de los puertos, al ser Paco quien llama a los Pepes, entiendo que debería ser indiferente que los Pepes usen el mismo puerto, ya que va contra direcciones diferentes. ¿Me equivoco?
Lo que tu planteas son conexiones WG tipo Road Warrior, solo tenemos un puerto contra varios peers, en mi caso he utilizado enlaces STS (creo que como la mayoría de los usuarios) para independizar los enlaces.
Tengo conectado a Pepe2 ahora mismo con un router 4G para las pruebas, y Pepe1 se lo he dejado a un amigo para que lo conecte en su casa. Veremos en un rato si es necesario usar puertos diferentes o no :LOL:
Ya nos cuentas si funciona como tú lo planteas, si no, tendrías que valorar independizar los enlaces como te he comentado en el anterior post.

S@lu2.
 
Arriba