MANUAL: Mikrotik, el amigo gorrón [IPTV pululante]

Genial, entendido. Estoy probándolo en casa, pero me aparece que el router asigna una IP dinámica además de la estática que he fijado yo. ¿Es así como debería ser?

Saludos!

Capture.PNG
 
No, para nada, ese setup es incorrecto. ¿qué equipo es ese y qué configuración lleva? ¿qué rol juega en el setup?

Saludos!
 
Ahora está conectado al Mikrotik de mi casa para ver si funcionaba la parte de fijar la ip. En en futuro el map de la captura irá a Paco.

El map tiene la configuración del primer post. ¿La copio aquí?

Saludos!
 
Si vas a darle IP a mano, quita el cliente DHCP del bridge-iptv. Además de eso, necesitarás una ruta estática para el default gateway, puesto que ya no la dará de alta automáticamente el cliente dhcp.

Saludos!
 
No, eso sería para enrutar la LAN de Paco, para poder acceder directamente desde la LAN de Paco a Pepe. Suponiendo que tu VPN RW trabaja en el segmento 192.168.50.0/24 en Paco, y que 172.17.0.2 es la IP del túenel wireguard en Paco, sería meter esta ruta en Pepe:
Código:
/ip route
add dst-address=192.168.50.0/24 gateway=172.17.0.2

Saludos!

Se me había escapado este post! Metiendo esta ruta en Pepe, podría acceder desde otro Pepe, que está conectado a Paco (que puede acceder al Winbox de Paco) directamente a Pepe?

Es decir, sería algo así como Pepe2 conectado por túnel WG y EOIP a Paco, accediendo a Pepe1, que tiene otro túnel WG y EOIP independientes desde Paco.

Gracias!
 
Se me había escapado este post! Metiendo esta ruta en Pepe, podría acceder desde otro Pepe, que está conectado a Paco (que puede acceder al Winbox de Paco) directamente a Pepe?

Es decir, sería algo así como Pepe2 conectado por túnel WG y EOIP a Paco, accediendo a Pepe1, que tiene otro túnel WG y EOIP independientes desde Paco.

Gracias!
Sí, siguiendo el mismo principio, podría enrutar entre sí todos los extremos.

Saludos!
 
Buenas a todos, me sumo a la conversa tras haber descubierto el hilo hace meses y finalmente haberme tirado a la piscina para montar el sistema. Gracias a todos por las aportaciones, y en especial a @pokoyo por el trabajazo y contínuo apoyo. Tengo un par de dudas que no he conseguido resolver leyendo el hilo, y que quería plantear para ver si lo entiendo bien.

- En mi setup, yo seré Paco. Tengo un hAP ac² conectado directamente al HGU. Mi idea es que al hAP se conecte mi PC (sólo tengo una entrada de ethernet en el despacho), así como un receptor de movistar (pero que se conecte de forma local, sin WireGuard). En esencia, que me haga de switch para el PC, el Desco y cualquier otra cosa que quiera conectar.
- A la vez, claro, quiero que el mismo hAP cree el túnel para poder usar un hAP lite de "pepe" y poder verlo en otro sitio.

Entiendo que para hacer ello, bastaría con no crear el Bridge-lo (no me interesa la administración remota), y crear únicamente el bridge iptv para hacer EoIP, y asignar el mismo al puerto WAN (Eth1).

¿Es así, o he de hacer algo más? Dejo también el diagrama para que sea más fácil de entender.

Muchas gracias!

Untitled Diagram.drawio.png
 
Simplemente mete en el bridge-itpv tantos puertos quieras que se comporten como los de tu HGU, incluído el EoIP que se lleva el tráfico al remoto. El bridge-lo no hace falta que lo quites (puedes dedicar cuatro puertos al bridge-iptv y uno quinto a ese).

Saludos!
 
Hola buenas noches, antes de nada daros las gracias por el manual, y las explicaciones, estoy usando una vpn pptp para poder ver todos los canales por medio de la app original, pero me gustaría tener otro desco en la otra casa. los equipos que tengo es en casa PACO tengo un CRS112-8G-4S, y en casa PEPE estoy probando con un RB433AH, el problema que tengo que al crear los filtros de firewall ( /ip firewall filter add action=accept chain=input dst-port=54321 \ protocol=udp comment="vpn: allow wireguard gorron" \ place-before=[find comment="defconf: drop all not coming from LAN"] ) me devuelve el error NO SUCH ITEM, alguien me puede hechar una mano????
 
Simplemente mete en el bridge-itpv tantos puertos quieras que se comporten como los de tu HGU, incluído el EoIP que se lleva el tráfico al remoto. El bridge-lo no hace falta que lo quites (puedes dedicar cuatro puertos al bridge-iptv y uno quinto a ese).

Saludos!
Gracias! He asignado el bridge-iptv a los puertos que me interesa usar, lo que me permite tener internet y poder acceder al HGU. Sin embargo, al hacerlo, pierdo cualquier capacidad de acceder al Mikrotik mediante Winbox (sólo me es posible si conecto al puerto 2), Entiendo que es justo al haber asignado dicho puerto para administrar remotamente.

Entiendo que pese a estar asignado a un puerto físico, la idea es que se pueda acceder desde fuera, pero no acabo de entender la lógica. He asignado una IP estática al hAP2 mediante HGU, y después, he asignado los Bridges :

- Bridge-ITPV para los puertos 1 (conectado a HGU), 3,4 (conectado a Desco) y 5 (Conectado a PC). Dan internet y me dejan acceder a HGU.
- Bridge-lo asginado a puerto 2.

El problema que tengo es que al asignar el bridge-lo (a eth2), pierdo la conexión mediante Winbox. El Mikrotik, sencillamente, desaparece, y ya no se puede acceder a él. Ni conectando el PC a eth2, ni a ninguno de los otros puertos.

He intentado también conectar el hAP lite (eth2) a uno de los puertos del hAP2 asignados al bridge-iptv para ver si funcionaba el túnel, pero nada de nada. No se si es problema de estar en la misma red, o si algún punto de la configuración se ha hecho de forma errónea.

Alguna cosa estoy haciendo mal, pero no acabo de ver qué puede ser.
 
Gracias! He asignado el bridge-iptv a los puertos que me interesa usar, lo que me permite tener internet y poder acceder al HGU. Sin embargo, al hacerlo, pierdo cualquier capacidad de acceder al Mikrotik mediante Winbox (sólo me es posible si conecto al puerto 2), Entiendo que es justo al haber asignado dicho puerto para administrar remotamente.

Entiendo que pese a estar asignado a un puerto físico, la idea es que se pueda acceder desde fuera, pero no acabo de entender la lógica. He asignado una IP estática al hAP2 mediante HGU, y después, he asignado los Bridges :

- Bridge-ITPV para los puertos 1 (conectado a HGU), 3,4 (conectado a Desco) y 5 (Conectado a PC). Dan internet y me dejan acceder a HGU.
- Bridge-lo asginado a puerto 2.

El problema que tengo es que al asignar el bridge-lo (a eth2), pierdo la conexión mediante Winbox. El Mikrotik, sencillamente, desaparece, y ya no se puede acceder a él. Ni conectando el PC a eth2, ni a ninguno de los otros puertos.

He intentado también conectar el hAP lite (eth2) a uno de los puertos del hAP2 asignados al bridge-iptv para ver si funcionaba el túnel, pero nada de nada. No se si es problema de estar en la misma red, o si algún punto de la configuración se ha hecho de forma errónea.

Alguna cosa estoy haciendo mal, pero no acabo de ver qué puede ser.
bridge-lo no es para ningún tipo de adminsitración remota, es para emergencias, cuando pierdes acceso al equipo y no hay manera de llega a él. El puerto que se quede en bridge-lo, tendrá un servidor dhcp propio que le dará una IP del segmento de esa red alternativa que no tiene nada que ver con el HGU y ni si quiera tendrá internet, lo único que tendrá es acceso al equipo, eso sí usando la IP que ves sobre bridge-lo, no la que tú reserves en el HGU.

Si me pasas un export concreto del equipo, revisamos que no hayas metido la pata con los puertos. Y, si ves que te estorba el bridge-lo lo quitamos, y dejamos ese equipo con una IP estática del rango del HGU y andando.

Saludos!
 
Hola buenas noches, antes de nada daros las gracias por el manual, y las explicaciones, estoy usando una vpn pptp para poder ver todos los canales por medio de la app original, pero me gustaría tener otro desco en la otra casa. los equipos que tengo es en casa PACO tengo un CRS112-8G-4S, y en casa PEPE estoy probando con un RB433AH, el problema que tengo que al crear los filtros de firewall ( /ip firewall filter add action=accept chain=input dst-port=54321 \ protocol=udp comment="vpn: allow wireguard gorron" \ place-before=[find comment="defconf: drop all not coming from LAN"] ) me devuelve el error NO SUCH ITEM, alguien me puede hechar una mano????
¿tiene ese equipo la config por defecto? Esa regla está ahí si la lleva, pero si arrancó sin configuración, obviamente no estará.

Saludos!
 
bridge-lo no es para ningún tipo de adminsitración remota, es para emergencias, cuando pierdes acceso al equipo y no hay manera de llega a él. El puerto que se quede en bridge-lo, tendrá un servidor dhcp propio que le dará una IP del segmento de esa red alternativa que no tiene nada que ver con el HGU y ni si quiera tendrá internet, lo único que tendrá es acceso al equipo, eso sí usando la IP que ves sobre bridge-lo, no la que tú reserves en el HGU.

Si me pasas un export concreto del equipo, revisamos que no hayas metido la pata con los puertos. Y, si ves que te estorba el bridge-lo lo quitamos, y dejamos ese equipo con una IP estática del rango del HGU y andando.

Saludos!
Gracias de nuevo, ahí va la config, además de una explicación de cómo están las cosas ahora.

He usado la guía del post inicial, simplemente sustituyendo las variables que me aplican. Como nota, al llegar a la parte en que bridge-lo se asigna a eth2, me devolvió este mensaje:

add bridge=bridge-lo interface=ether2
failure: device already added as bridge port

Por lo que lo he asignado (espero que bien), a través de la interfaz gráfica.

Igualmente, la situación ahora mismo es la siguiente:

Ether1: Bridge-iptv (Conexión a HGU)
Ether2: Bridge-lo (sin conectividad internet, no conecta mediante winbox, no conecta mediante web a 192.168.79.1)
Ether3: Bridge-iptv (conectividad a internet, conecta a HGU mediante 192.168.1.1). Sin conexión a Mikrotik.
Ether4: Bridge-iptv (conectividad a internet, conecta a HGU mediante 192.168.1.1) Sin conexión a Mikrotik.
Ether5: bridge (permite conectar a Mikrotik, tanto por Winbox como mediante http://192.168.88.1/)

Entiendo que bridge-iptv está haciendo lo que debe, y lo que me interesa. Verás que he mantenido el bridge por defecto (no se si este debería borrarse, imagino que si), ya que es el único que me da acceso al hAP mediante Winbox. Si asigno otro puerto a eth5, pierdo cualquier comunicación con el Mikrotik.

Código:
# dec/17/2022 11:11:39 by RouterOS 7.6

# software id = ZF9Q-983U

#

# model = RBD52G-5HacD2HnD

# serial number = A6470ADB74B2

/interface bridge

add admin-mac=74:4D:28:8B:FF:00 auto-mac=no comment=defconf name=bridge

add igmp-snooping=yes name=bridge-iptv

add admin-mac=74:4D:28:8B:FF:00 auto-mac=no name=bridge-lo

/interface wireless

set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \

    distance=indoors frequency=auto installation=indoor mode=ap-bridge ssid=\

    MikroTik-8BFF04 wireless-protocol=802.11

set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=\

    20/40/80mhz-XXXX distance=indoors frequency=auto installation=indoor \

    mode=ap-bridge ssid=MikroTik-8BFF05 wireless-protocol=802.11

/interface eoip

add local-address=172.17.0.2 mac-address=FE:28:AE:D3:21:FA mtu=1500 name=\

    eoip-iptv remote-address=172.17.0.1 tunnel-id=0

/interface wireguard

add listen-port=61135 mtu=1420 name=wg-sts-iptv

/interface list

add comment=defconf name=WAN

add comment=defconf name=LAN

/interface wireless security-profiles

set [ find default=yes ] supplicant-identity=MikroTik

/ip hotspot profile

set [ find default=yes ] html-directory=hotspot

/ip pool

add name=default-dhcp ranges=192.168.88.10-192.168.88.254

add name=pool-lo ranges=192.168.79.2-192.168.79.254

/ip dhcp-server

add address-pool=default-dhcp interface=bridge name=defconf

add address-pool=pool-lo interface=bridge-lo name=dhcp-lo

/interface bridge port

add bridge=bridge-lo comment=defconf interface=ether2

add bridge=bridge-iptv comment=defconf interface=ether3

add bridge=bridge-iptv comment=defconf interface=ether4

add bridge=bridge comment=defconf interface=ether5

add bridge=bridge comment=defconf interface=wlan1

add bridge=bridge comment=defconf interface=wlan2

add bridge=bridge-iptv interface=ether1

add bridge=bridge-iptv interface=eoip-iptv

/ip neighbor discovery-settings

set discover-interface-list=LAN

/interface list member

add comment=defconf interface=bridge list=LAN

add comment=defconf interface=ether1 list=WAN

/interface wireguard peers

add allowed-address=0.0.0.0/0 endpoint-address=.sn.mynetname.net \

    endpoint-port=54321 interface=wg-sts-iptv persistent-keepalive=25s \

    public-key="sGduMuT1GhPMZ8GFr0fZhHYlCQTDsZlam+xxxxx="

/ip address

add address=192.168.88.1/24 comment=defconf interface=bridge network=\

    192.168.88.0

add address=192.168.79.1/24 interface=bridge-lo network=192.168.79.0

add address=172.17.0.2/30 interface=wg-sts-iptv network=172.17.0.0

/ip dhcp-client

# DHCP client can not run on slave or passthrough interface!

add comment=defconf interface=ether1

add interface=bridge-iptv

/ip dhcp-server network

add address=192.168.79.0/24 gateway=192.168.79.1

add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=\

    192.168.88.1

/ip dns

set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1

/ip dns static

add address=192.168.88.1 comment=defconf name=router.lan

/ip firewall filter

add action=accept chain=input comment=\

    "defconf: accept established,related,untracked" connection-state=\

    established,related,untracked

add action=drop chain=input comment="defconf: drop invalid" connection-state=\

    invalid

add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp

add action=accept chain=input comment=\

    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1

add action=drop chain=input comment="defconf: drop all not coming from LAN" \

    in-interface-list=!LAN

add action=accept chain=forward comment="defconf: accept in ipsec policy" \

    ipsec-policy=in,ipsec

add action=accept chain=forward comment="defconf: accept out ipsec policy" \

    ipsec-policy=out,ipsec

add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \

    connection-state=established,related hw-offload=yes

add action=accept chain=forward comment=\

    "defconf: accept established,related, untracked" connection-state=\

    established,related,untracked

add action=drop chain=forward comment="defconf: drop invalid" \

    connection-state=invalid

add action=drop chain=forward comment=\

    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \

    connection-state=new in-interface-list=WAN

/ip firewall nat

add action=masquerade chain=srcnat comment="defconf: masquerade" \

    ipsec-policy=out,none out-interface-list=WAN

/ip route

add dst-address=192.168.88.0/24 gateway=172.17.0.1

/ipv6 firewall address-list

add address=::/128 comment="defconf: unspecified address" list=bad_ipv6

add address=::1/128 comment="defconf: lo" list=bad_ipv6

add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6

add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6

add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6

add address=100::/64 comment="defconf: discard only " list=bad_ipv6

add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6

add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6

add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6

/ipv6 firewall filter

add action=accept chain=input comment=\

    "defconf: accept established,related,untracked" connection-state=\

    established,related,untracked

add action=drop chain=input comment="defconf: drop invalid" connection-state=\

    invalid

add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\

    icmpv6

add action=accept chain=input comment="defconf: accept UDP traceroute" port=\

    33434-33534 protocol=udp

add action=accept chain=input comment=\

    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\

    udp src-address=fe80::/10

add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \

    protocol=udp

add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\

    ipsec-ah

add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\

    ipsec-esp

add action=accept chain=input comment=\

    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec

add action=drop chain=input comment=\

    "defconf: drop everything else not coming from LAN" in-interface-list=\

    !LAN

add action=accept chain=forward comment=\

    "defconf: accept established,related,untracked" connection-state=\

    established,related,untracked

add action=drop chain=forward comment="defconf: drop invalid" \

    connection-state=invalid

add action=drop chain=forward comment=\

    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6

add action=drop chain=forward comment=\

    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6

add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \

    hop-limit=equal:1 protocol=icmpv6

add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\

    icmpv6

add action=accept chain=forward comment="defconf: accept HIP" protocol=139

add action=accept chain=forward comment="defconf: accept IKE" dst-port=\

    500,4500 protocol=udp

add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\

    ipsec-ah

add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\

    ipsec-esp

add action=accept chain=forward comment=\

    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec

add action=drop chain=forward comment=\

    "defconf: drop everything else not coming from LAN" in-interface-list=\

    !LAN

/system clock

set time-zone-name=Europe/Madrid

/system identity

set name=Mikrotik-Picdu-1

/tool mac-server

set allowed-interface-list=LAN

/tool mac-server mac-winbox

set allowed-interface-list=LAN
 
La config del equipo de Paco parte de un equipo sin ninguna configuración. Tú tienes toda la config por defecto, de ahí el problema.

Saludos.
 
La config del equipo de Paco parte de un equipo sin ninguna configuración. Tú tienes toda la config por defecto, de ahí el problema.

Saludos.
Todo funcionando! Tras tener en cuenta lo que me has comentado, y empezar el tutorial desde 0 y con varios intentos fallidos por medio...ya lo tengo todo funcionando. Mil gracias por la ayuda!
 
¿tiene ese equipo la config por defecto? Esa regla está ahí si la lleva, pero si arrancó sin configuración, obviamente no estará.

Saludos!
lo he probado con las dos formas, reseteado por defecto y reseteado sin configuración por defecto tengo un hAP mini, para probar a ver si es el equipo pero no me actualiza a 7.x asi que no tengo wireGuard, se podria hacer tambien por pptp????
 
lo he probado con las dos formas, reseteado por defecto y reseteado sin configuración por defecto tengo un hAP mini, para probar a ver si es el equipo pero no me actualiza a 7.x asi que no tengo wireGuard, se podria hacer tambien por pptp????
Te diría que lo hicieras directamente con EoIP + IPSec.

Saludos!
 
Arriba