MANUAL: Mikrotik, el amigo gorrón [IPTV pululante]
- Iniciador del tema pokoyo
- Fecha de inicio
- Mensajes
- 13,564
lesterpacheco
Usuari@ ADSLzone
- Mensajes
- 44
Se me había escapado este post! Metiendo esta ruta en Pepe, podría acceder desde otro Pepe, que está conectado a Paco (que puede acceder al Winbox de Paco) directamente a Pepe?
Es decir, sería algo así como Pepe2 conectado por túnel WG y EOIP a Paco, accediendo a Pepe1, que tiene otro túnel WG y EOIP independientes desde Paco.
Gracias!
- Mensajes
- 13,564
Sí, siguiendo el mismo principio, podría enrutar entre sí todos los extremos.
Saludos!
Buenas a todos, me sumo a la conversa tras haber descubierto el hilo hace meses y finalmente haberme tirado a la piscina para montar el sistema. Gracias a todos por las aportaciones, y en especial a @pokoyo por el trabajazo y contínuo apoyo. Tengo un par de dudas que no he conseguido resolver leyendo el hilo, y que quería plantear para ver si lo entiendo bien.
- En mi setup, yo seré Paco. Tengo un hAP ac² conectado directamente al HGU. Mi idea es que al hAP se conecte mi PC (sólo tengo una entrada de ethernet en el despacho), así como un receptor de movistar (pero que se conecte de forma local, sin WireGuard). En esencia, que me haga de switch para el PC, el Desco y cualquier otra cosa que quiera conectar.
- A la vez, claro, quiero que el mismo hAP cree el túnel para poder usar un hAP lite de "pepe" y poder verlo en otro sitio.
Entiendo que para hacer ello, bastaría con no crear el Bridge-lo (no me interesa la administración remota), y crear únicamente el bridge iptv para hacer EoIP, y asignar el mismo al puerto WAN (Eth1).
¿Es así, o he de hacer algo más? Dejo también el diagrama para que sea más fácil de entender.
Muchas gracias!
- En mi setup, yo seré Paco. Tengo un hAP ac² conectado directamente al HGU. Mi idea es que al hAP se conecte mi PC (sólo tengo una entrada de ethernet en el despacho), así como un receptor de movistar (pero que se conecte de forma local, sin WireGuard). En esencia, que me haga de switch para el PC, el Desco y cualquier otra cosa que quiera conectar.
- A la vez, claro, quiero que el mismo hAP cree el túnel para poder usar un hAP lite de "pepe" y poder verlo en otro sitio.
Entiendo que para hacer ello, bastaría con no crear el Bridge-lo (no me interesa la administración remota), y crear únicamente el bridge iptv para hacer EoIP, y asignar el mismo al puerto WAN (Eth1).
¿Es así, o he de hacer algo más? Dejo también el diagrama para que sea más fácil de entender.
Muchas gracias!
- Mensajes
- 13,564
Simplemente mete en el bridge-itpv tantos puertos quieras que se comporten como los de tu HGU, incluído el EoIP que se lleva el tráfico al remoto. El bridge-lo no hace falta que lo quites (puedes dedicar cuatro puertos al bridge-iptv y uno quinto a ese).
Saludos!
Saludos!
Hola buenas noches, antes de nada daros las gracias por el manual, y las explicaciones, estoy usando una vpn pptp para poder ver todos los canales por medio de la app original, pero me gustaría tener otro desco en la otra casa. los equipos que tengo es en casa PACO tengo un CRS112-8G-4S, y en casa PEPE estoy probando con un RB433AH, el problema que tengo que al crear los filtros de firewall ( /ip firewall filter add action=accept chain=input dst-port=54321 \ protocol=udp comment="vpn: allow wireguard gorron" \ place-before=[find comment="defconf: drop all not coming from LAN"] ) me devuelve el error NO SUCH ITEM, alguien me puede hechar una mano????
Gracias! He asignado el bridge-iptv a los puertos que me interesa usar, lo que me permite tener internet y poder acceder al HGU. Sin embargo, al hacerlo, pierdo cualquier capacidad de acceder al Mikrotik mediante Winbox (sólo me es posible si conecto al puerto 2), Entiendo que es justo al haber asignado dicho puerto para administrar remotamente.
Entiendo que pese a estar asignado a un puerto físico, la idea es que se pueda acceder desde fuera, pero no acabo de entender la lógica. He asignado una IP estática al hAP2 mediante HGU, y después, he asignado los Bridges :
- Bridge-ITPV para los puertos 1 (conectado a HGU), 3,4 (conectado a Desco) y 5 (Conectado a PC). Dan internet y me dejan acceder a HGU.
- Bridge-lo asginado a puerto 2.
El problema que tengo es que al asignar el bridge-lo (a eth2), pierdo la conexión mediante Winbox. El Mikrotik, sencillamente, desaparece, y ya no se puede acceder a él. Ni conectando el PC a eth2, ni a ninguno de los otros puertos.
He intentado también conectar el hAP lite (eth2) a uno de los puertos del hAP2 asignados al bridge-iptv para ver si funcionaba el túnel, pero nada de nada. No se si es problema de estar en la misma red, o si algún punto de la configuración se ha hecho de forma errónea.
Alguna cosa estoy haciendo mal, pero no acabo de ver qué puede ser.
- Mensajes
- 13,564
bridge-lo no es para ningún tipo de adminsitración remota, es para emergencias, cuando pierdes acceso al equipo y no hay manera de llega a él. El puerto que se quede en bridge-lo, tendrá un servidor dhcp propio que le dará una IP del segmento de esa red alternativa que no tiene nada que ver con el HGU y ni si quiera tendrá internet, lo único que tendrá es acceso al equipo, eso sí usando la IP que ves sobre bridge-lo, no la que tú reserves en el HGU.
Si me pasas un export concreto del equipo, revisamos que no hayas metido la pata con los puertos. Y, si ves que te estorba el bridge-lo lo quitamos, y dejamos ese equipo con una IP estática del rango del HGU y andando.
Saludos!
- Mensajes
- 13,564
¿tiene ese equipo la config por defecto? Esa regla está ahí si la lleva, pero si arrancó sin configuración, obviamente no estará.
Saludos!
Gracias de nuevo, ahí va la config, además de una explicación de cómo están las cosas ahora.
He usado la guía del post inicial, simplemente sustituyendo las variables que me aplican. Como nota, al llegar a la parte en que bridge-lo se asigna a eth2, me devolvió este mensaje:
add bridge=bridge-lo interface=ether2
failure: device already added as bridge port
Por lo que lo he asignado (espero que bien), a través de la interfaz gráfica.
Igualmente, la situación ahora mismo es la siguiente:
Ether1: Bridge-iptv (Conexión a HGU)
Ether2: Bridge-lo (sin conectividad internet, no conecta mediante winbox, no conecta mediante web a 192.168.79.1)
Ether3: Bridge-iptv (conectividad a internet, conecta a HGU mediante 192.168.1.1). Sin conexión a Mikrotik.
Ether4: Bridge-iptv (conectividad a internet, conecta a HGU mediante 192.168.1.1) Sin conexión a Mikrotik.
Ether5: bridge (permite conectar a Mikrotik, tanto por Winbox como mediante http://192.168.88.1/)
Entiendo que bridge-iptv está haciendo lo que debe, y lo que me interesa. Verás que he mantenido el bridge por defecto (no se si este debería borrarse, imagino que si), ya que es el único que me da acceso al hAP mediante Winbox. Si asigno otro puerto a eth5, pierdo cualquier comunicación con el Mikrotik.
Código:
# dec/17/2022 11:11:39 by RouterOS 7.6
# software id = ZF9Q-983U
#
# model = RBD52G-5HacD2HnD
# serial number = A6470ADB74B2
/interface bridge
add admin-mac=74:4D:28:8B:FF:00 auto-mac=no comment=defconf name=bridge
add igmp-snooping=yes name=bridge-iptv
add admin-mac=74:4D:28:8B:FF:00 auto-mac=no name=bridge-lo
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
distance=indoors frequency=auto installation=indoor mode=ap-bridge ssid=\
MikroTik-8BFF04 wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=\
20/40/80mhz-XXXX distance=indoors frequency=auto installation=indoor \
mode=ap-bridge ssid=MikroTik-8BFF05 wireless-protocol=802.11
/interface eoip
add local-address=172.17.0.2 mac-address=FE:28:AE:D3:21:FA mtu=1500 name=\
eoip-iptv remote-address=172.17.0.1 tunnel-id=0
/interface wireguard
add listen-port=61135 mtu=1420 name=wg-sts-iptv
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
add name=pool-lo ranges=192.168.79.2-192.168.79.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
add address-pool=pool-lo interface=bridge-lo name=dhcp-lo
/interface bridge port
add bridge=bridge-lo comment=defconf interface=ether2
add bridge=bridge-iptv comment=defconf interface=ether3
add bridge=bridge-iptv comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
add bridge=bridge-iptv interface=ether1
add bridge=bridge-iptv interface=eoip-iptv
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/interface wireguard peers
add allowed-address=0.0.0.0/0 endpoint-address=.sn.mynetname.net \
endpoint-port=54321 interface=wg-sts-iptv persistent-keepalive=25s \
public-key="sGduMuT1GhPMZ8GFr0fZhHYlCQTDsZlam+xxxxx="
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
192.168.88.0
add address=192.168.79.1/24 interface=bridge-lo network=192.168.79.0
add address=172.17.0.2/30 interface=wg-sts-iptv network=172.17.0.0
/ip dhcp-client
# DHCP client can not run on slave or passthrough interface!
add comment=defconf interface=ether1
add interface=bridge-iptv
/ip dhcp-server network
add address=192.168.79.0/24 gateway=192.168.79.1
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=\
192.168.88.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
/ip route
add dst-address=192.168.88.0/24 gateway=172.17.0.1
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
33434-33534 protocol=udp
add action=accept chain=input comment=\
"defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
ipsec-esp
add action=accept chain=input comment=\
"defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
"defconf: drop everything else not coming from LAN" in-interface-list=\
!LAN
add action=accept chain=forward comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
"defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
ipsec-esp
add action=accept chain=forward comment=\
"defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
"defconf: drop everything else not coming from LAN" in-interface-list=\
!LAN
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=Mikrotik-Picdu-1
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LANTodo funcionando! Tras tener en cuenta lo que me has comentado, y empezar el tutorial desde 0 y con varios intentos fallidos por medio...ya lo tengo todo funcionando. Mil gracias por la ayuda!
lo he probado con las dos formas, reseteado por defecto y reseteado sin configuración por defecto tengo un hAP mini, para probar a ver si es el equipo pero no me actualiza a 7.x asi que no tengo wireGuard, se podria hacer tambien por pptp????
- Mensajes
- 13,564
muchas gracias, voy a probar
