MANUAL: Mikrotik, túneles EoIP: Cómo conectar dos sedes (site-to-site)

Buenos días a tod@s,

Estoy tratando de configurar los túneles EoiP "a secas" sólo con certificado IPSec, para transmitir el bridge-IPTV de HQ, consigo que el túnel levante, pero no recibo IP's desde el DHCP server del HQ.

El rango de IP's del citado bridge (único tráfico que quiero enviar por EoiP) es 192.168.2.XXX.

Tanto en HQ como en clienteA tengo configurados dos bridges: bridge-LAN y bridge-IPTV. En ambos extremos, tengo el túnel EoiP asignado a bridge-IPTV. En clienteA no tengo ningún servidor DHCP configurado en él, por lo que entiendo debería recibir IP's del servidor DHCP-IPTV existente en HQ vía EoiP, pero no es así.

Los comandos que utilizo para la configuración del túnel son los siguientes, corregidme por favor si hay algo que estoy haciendo mal:

EN HQ:

/ip firewall address-list add address=direccion-cliente-a.sn.mynetname.net list=clienteA-public-ip
/ip firewall filter add action=accept chain=input comment="Accept GRE tunnel traffic" protocol=gre src-address-list=clienteA-public-ip place-before [ find where comment="defconf: accept ICMP" ]
/interface eoip add name=tunnel-to-A remote-address=direccion-cliente-a.sn.mynetname.net tunnel-id=1 mtu=1500
/interface eoip set numbers=1 ipsec-secret=XXXXXXXXXXXXXXX allow-fast-path=no

EN CLIENTE "A":

/ip firewall address-list add address=direccion-hq.sn.mynetname.net list=hq-public-ip
/ip firewall filter add action=accept chain=input comment="Accept GRE tunnel traffic" protocol=gre src-address-list=hq-public-ip place-before [ find where comment="defconf: accept ICMP" ]
/interface eoip add name=tunnel-to-hq remote-address=direccion-hq.sn.mynetname.net tunnel-id=1 mtu=1500
/interface eoip set numbers=1 ipsec-secret=XXXXXXXXXXXXXXX allow-fast-path=no

Como siempre, muchas gracias por vuestra ayuda.


Saludos!
 
Buenos días a tod@s,

Estoy tratando de configurar los túneles EoiP "a secas" sólo con certificado IPSec, para transmitir el bridge-IPTV de HQ, consigo que el túnel levante, pero no recibo IP's desde el DHCP server del HQ.

El rango de IP's del citado bridge (único tráfico que quiero enviar por EoiP) es 192.168.2.XXX.

Tanto en HQ como en clienteA tengo configurados dos bridges: bridge-LAN y bridge-IPTV. En ambos extremos, tengo el túnel EoiP asignado a bridge-IPTV. En clienteA no tengo ningún servidor DHCP configurado en él, por lo que entiendo debería recibir IP's del servidor DHCP-IPTV existente en HQ vía EoiP, pero no es así.

Los comandos que utilizo para la configuración del túnel son los siguientes, corregidme por favor si hay algo que estoy haciendo mal:

EN HQ:

/ip firewall address-list add address=direccion-cliente-a.sn.mynetname.net list=clienteA-public-ip
/ip firewall filter add action=accept chain=input comment="Accept GRE tunnel traffic" protocol=gre src-address-list=clienteA-public-ip place-before [ find where comment="defconf: accept ICMP" ]
/interface eoip add name=tunnel-to-A remote-address=direccion-cliente-a.sn.mynetname.net tunnel-id=1 mtu=1500
/interface eoip set numbers=1 ipsec-secret=XXXXXXXXXXXXXXX allow-fast-path=no

EN CLIENTE "A":

/ip firewall address-list add address=direccion-hq.sn.mynetname.net list=hq-public-ip
/ip firewall filter add action=accept chain=input comment="Accept GRE tunnel traffic" protocol=gre src-address-list=hq-public-ip place-before [ find where comment="defconf: accept ICMP" ]
/interface eoip add name=tunnel-to-hq remote-address=direccion-hq.sn.mynetname.net tunnel-id=1 mtu=1500
/interface eoip set numbers=1 ipsec-secret=XXXXXXXXXXXXXXX allow-fast-path=no

Como siempre, muchas gracias por vuestra ayuda.


Saludos!
Olvídate del GRE. Si usas ipsec, puertos 4500 y 500 abiertos en ambos extremos, en el chain de input (tráfico con destino el router). En el lado HQ, servidor dhcp sobre el bridge al que pertenece el túnel EoIP. Del lado opuesto, cliente dhcp sobre el bridge equivalente del otro lado. Y, si los túneles levantan en ambos lados (flag “RS” en ambos lados), el dhcp se propagará en capa 2.

Saludos!
 
@roolezz
Te pongo como lo tengo yo montado. Simplemente un tunel EoIP/Ipsec en cada router.
Como dice pokoyo, sólo los puertos abiertos de ipsec en el firewall de cada router.
Utilizo el ether2 para conectar los descos en cada uno de los routers.
Esta es la única forma que de momento me ha funcionado.

Router A = ip cloud 1234567890.sn.mynetname.net = router principal = ether2 (bridge-iptv)

Router B = ip cloud abcdefghijk.sn.mynetname.net = router cliente = ether2 (bridge-EoIP)

ROUTER A

Código:
/ip cloud set ddns-enabled=yes

/interface eoip
add allow-fast-path=no disabled=yes ipsec-secret=MyPassword \
    !keepalive mtu=1500 name=\
    eoip-tunnel1-to-RouterB remote-address=abcdefghijk.sn.mynetname.net \
    tunnel-id=0

/interface bridge port add bridge=bridge-iptv interface=ether2

/interface bridge port add bridge=bridge-iptv interface=eoip-tunnel1-to-RouterB


ROUTER B

Código:
/ip cloud set ddns-enabled=yes
/interface eoip
add allow-fast-path=no disabled=yes ipsec-secret=MyPassword \
    !keepalive mtu=1500 name=\
    eoip-tunnel1-to-RouterA remote-address=1234567890.sn.mynetname.net \
    tunnel-id=0

/interface bridge port
add bridge=bridge-EoIP interface=ether2
add bridge=bridge-EoIP interface=eoip-tunnel1-to-RouterA

/ip dhcp-client
add add-default-route=no disabled=no interface=bridge-EoIP use-peer-dns=no \
    use-peer-ntp=no

Saludos.
 
@pokoyo, @stargate4you , como siempre, mil gracias por vuestra ayuda.

No os lo vais a creer (o quizá tiene su sentido lo que acabo de observar). He modificado las reglas de firewall conforme a vuestras indicaciones y he generado nuevos túneles siguiendo la config del compañero @stargate4you.

Le he puesto al túnel el ID=26 (por poner uno) en ambos extremos. Decir que es el único túnel que tengo configurado en HQ hasta el momento. El túnel levanta, pero sigo con el mismo problema, el DHCP del bridge-IPTV no entrega IP al deco conectado al cliente.

Se me ha ocurrido cambiarle el ID al túnel y le he puesto el 0 tal y como @stargate4you tenía en su config, et voilá!!, se hizo la magia! Sobre la marcha el DHCP de HQ ha entregado IP del bridge y empieza generarse bastante cantidad de tráfico en el túnel.

Pensaba que el ID del túnel no tenía relación alguna y se podría poner cualquiera aleatoriamente, siempre que fuese el mismo ID para los dos extremos. Decir que este es el primer túnel que tengo configurado ahora mismo en HQ. ¿Hay que tener alguna consideración al respecto de los ID's que desconozca? ¿Si genero más túneles, debería asignarles ID's correlativas...0, 1, 2...?

En otro orden, para @stargate4you (o @furny que está muy puesto en estos temas), que tenéis servicio de TV contratado con Telefónica. Ya me ha pasado en alguna ocasión, de tanto que he trasteado el Mk-HQ y los decos por las pruebas que he ido realizando, resulta que ahora me aparece el menú principal del deco, pero no me aparecen las imágenes de las "miniaturas" (por llamarlas así). De igual forma, como he estado reseteando varias veces los decos, ahora me pide el deco descargar el software..y me da error (ya me pasó anteriormente y tuve que conectar el HGU hasta que volvió a la vida el deco.

Se te ocurre qué he podido tocar? Al menos el tema de las "miniatuas" sí que me interesaría. El resto me va perfecto, tanto video en directo como VOD.

Muchas gracias!!


Saludos.-
 
@roolezz

Yo tengo O2. MovistarTV lo tiene un familiar. Al montarles a ellos también equipos Mikrotik quise probar lo del tunel EoIP, más por entretenimiento y aprendizaje que por necesidad. De hecho tengo el túnel EoIP/Ipsec deshabilitado en los dos extremos. Quién domina el tema de la televisión es furny. Yo sólo soy un simple usuario. Los verdaderos conocimientos técnicos nos los sirven en bandeja @pokoyo y @furny (¡¡¡Qué haríamos sin ellos!!! Mil Gracias).

Yo llegué ha montar el site to site más el tunel siguiendo los manuales de pokoyo y furny pero no hubo manera de obtener imagen en el deco de esta forma. Lo he dejado de momento un poco de lado, a lo mejor en verano lo vuelvo a intentar.

Lo del id del tunel no creo que sea aunque cuando yo hice la prueba le puse id=22. Algo se nos escapa.
Lo de las miniaturas tampoco se decirte. Lo que si te digo es que en una de las conexiones mediante EoIP el desco se me actualizó (eso creo) y después se puso a funcionar normalmente.

WhatsApp Image 2021-06-09 at 13.16.33.jpeg
Saludos.
 
Muchas gracias @stargate4you!

Desde luego sin gente como @pokoyo o @furny (y seguro que me dejo a alguno más)...qué sería de estos aparatos en manos de neófitos como yo....gracias mil!

Debe ser ser alguna "chorrada" o alguna configuración del firewall.. lo mismo tengo alguna regla donde no es...., revisaré de nuevo la configuración por si encuentro algo raro. Cuando llegue a casa probaré a conectar el deco al mk-túnel a ver qué tal.


Saludos!!
 
Mientras el túnel ID esté configurado idéntico a ambos lados del túnel, puedes usar el número que te de la gana.

Saludos!
 
Buenos días a tod@s!

@pokoyo, he configurado en el router HQ dos túneles EoiP hacia dos clientes, con configuraciones "calcadas" salvando lógicamente el ID de cada túnel y remote address correspondiente a cada uno de los mk's. Los clientes igualmente tienen configuraciones idénticas (con las salvedades comentadas)

Como siempre me ocurre (y no logro comprender por qué) sólo funciona el primer túnel que levanto/configuro. A partir de ahí, el resto de túneles, levantan (RS) y en logs veo la negociación de la clave IPsec....y en principio todo OK, pero no hay forma de obtener ip del bridge-IPTV.

Supongamos que el primer túnel que levanto (y que funciona correctamente) tiene el ID=0 (funciona) y el segundo tiene ID=1 (no funciona).

El MK cliente con ID=0 obtiene IP desde HQ perfectamente, el MK cliente con ID=1 no hay forma que reciba IP. Sin embargo, si invierto las tornas y cambio los ID entre ambos clientes (y lógicamente en los túneles del HQ para que coincidan), el MK cliente que no funcionaba, ahora sí funciona y recibe IP, y el que funcionaba inicialmente.....deja de recibir IP.

Es para volverse loco, es justo lo que me pasaba cuando configuraba el EoiP sobre IKEv2. El primer túnel que configuraba iba perfecto, pero a partir de ahí, no había forma de "echar a andar" más túneles. He probado con numerosos ID (2, 3 cifras....idéntico resultado)

Decir que he partido de configuraciones "limpias" tanto en HQ como en los clientes, HQ funciona perfectamente con el doble bridge, etc...

Se os ocurre algo? Expediente X? Algún bug del firmware?

Una vez más, gracias de antemano por la ayuda que me podáis prestar.


Saludos!!

EDIT:

Para HQ y clientes, he utilizado las config. que posteó el compañero @stargate4you
 
Última edición:
Señor@s, creo que acabo de dar con la "tecla".

Despues de calentarme mucho la cabeza y leer...leer (así se aprende)...he encontrado este post del foro de Mikrotik en el que expresan el mismo problema que estoy teniendo:


Resulta que para poder tener más de un túnel (con ID's distintos de 0), hay que permitir en firewall aceptar conexiones por protocolo GRE tanto en HQ como en los clientes en cuestión. Parece algún problema o limitación del EoiP.

He realizado la prueba, y se hizo la magia! Ya levanta el túnel con cualquier ID y obtiene IP del DHCP del HQ


Saludos!!
 
Si llevas ipsec, no debería. Usaría 4500 y 500. No obstante, me alegro de que te funcione de esa manera.

Saludos!
 
Código:
/ip firewall filter
add action=accept chain=input protocol=gre

@roolezz

Con esta simple regla se ha solucionado ?

Me alegro que hayas conseguido averiguar la solución. Gracias.

La verdad es que el túnel EoIP que me funciona lleva id=0. Y claro a los siguientes había que ponerles otra numeración.

A ver si durante el verano me animo a montar otra vez el s2s ikev2+EoIP y le añado la regla al firewall para probar.

Saludos.
 
Buenos días a tod@s!

@stargate4you, disculpa la tardanza en responder.

Así es, y posiblemente este era el problema que tenía cuando intenté montar el túnel mediante IKEv2 con certificados, que para mí es una solución mucho más segura, aparte del "marraneo" de logs que evitas, ya que con IPsec y con más de un túnel...es un "tocho" de log el que se forma...

Cuando tenga todo bien montado, probablemente me anime de nuevo a montar el IKEv2+EoiP, a ver qué tal se da. Ahora tengo otro pequeño problema, que ya comenté anteriormente (que me ocurre tanto con los decos conectados a HQ como con el que conecte a algún cliente) y es que no me aparecen las miniaturas en el menú principal del deco. Es problema de HQ fijo, no sé si será por alguna regla del firewall...o alguna config que se me esté escapando. Si el compañero @furny está por aquí (que está muy puesto en este tema de IPTV con Movistar)...agradecería sus consejos al respecto.



Saludos!!
 
Buenas tardes!

He montado un segundo router Mikrotik en una segunda residencia y me he animado a montar un tunel EOIP entre ambos routers y la verdad que siguiendo todos los pasos del manual, ha ido muy bien, pero siempre sale un "pero" jeje.

Las IPs utilizadas en mi caso:

Router A
IP Local: 192.168.88.1/24
IP Tunel: 172.168.1.1/30

Router B
IP Local: 192.168.2.10/24
IP Tunel: 172.168.1.2/30

Está establecida la ruta correctamente, ya que hago ping en las dos direcciones y responde sin problema:

Router A
Ct4EYWduob.png


Router B
ewxxfTRHG3.png


la cuestión viene que no puedo acceder al Winbox y a la terminal SSH, lo tengo configurado así:

Router A
GDbNOtL0RW.png


Router B
W9BnYEPlzn.png


No entiendo donde puede estar el problema, he probado también poner como autorizada la IP del tunel, esto es:

172.168.1.0/30 en ambos extremos.

Seguro que es alguna tontería, la cuestión es que desde A accedo vía SSH local a una Rasberry Pi que tengo en el Site B, pero a los servicios del Mikrotik no llego..

¿algún consejo?

Gracias anticipadas y enhorabuena @pokoyo por este gran manual!

S@lu2
 
Última edición:
Buenas tardes!

He montado un segundo router Mikrotik en una segunda residencia y me he animado a montar un tunel EOIP entre ambos routers y la verdad que siguiendo todos los pasos del manual, ha ido muy bien, pero siempre sale un "pero" jeje.

Las IPs utilizadas en mi caso:

Router A
IP Local: 192.168.88.1/24
IP Tunel: 172.168.1.1/30

Router B
IP Local: 192.168.2.10/24
IP Tunel: 172.168.1.2/30

Está establecida la ruta correctamente, ya que hago ping en las dos direcciones y responde sin problema:

Router A
Ver el adjunto 83619

Router B
Ver el adjunto 83622


la cuestión viene que no puedo acceder al Winbox y a la terminal SSH, lo tengo configurado así:

Router A
Ver el adjunto 83628

Router B
Ver el adjunto 83625


No entiendo donde puede estar el problema, he probado también poner como autorizada la IP del tunel, esto es:

172.168.1.0/30 en ambos extremos.

Seguro que es alguna tontería, la cuestión es que desde A accedo vía SSH local a una Rasberry Pi que tengo en el Site B, pero a los servicios del Mikrotik no llego..

¿algún consejo?

Gracias anticipadas y enhorabuena @pokoyo por este gran manual!

S@lu2
Acceso al router es chain de input. Y tienes una regla de firewall que dice “tira a la basura todo lo que no venga de la lista LAN”. Esa es la que te está parando.

Saludos!
 
Acceso al router es chain de input. Y tienes una regla de firewall que dice “tira a la basura todo lo que no venga de la lista LAN”. Esa es la que te está parando.

Saludos!
Entonces, ¿meto la nueva interfaz "tunnel-to-other-end" en la Interface list "LAN"..?
o autorizo la 172.168.1.0/30 como chain de input antes de la regla que deniega todo lo que no venga de LAN?

S@lu2.
 
Entonces, ¿meto la nueva interfaz "tunnel-to-other-end" en la Interface list "LAN"..?
o autorizo la 172.168.1.0/30 como chain de input antes de la regla que deniega todo lo que no venga de LAN?

S@lu2.
Lo que más te guste.

Saludos!
 
Buenos días,

@pokoyo he estado leyendo en la wiki de Mikrotik que hay otra opción para crear túneles transparentes utilizando MPLS con VPLS ya que aseguran que este método tiene un 60% más de velocidad que con túneles EoIP.

¿Qué opináis sobre esto? ¿Es posible implementarlo en un escenario Site to Site?

S@lu2.
 
Buenos días,

@pokoyo he estado leyendo en la wiki de Mikrotik que hay otra opción para crear túneles transparentes utilizando MPLS con VPLS ya que aseguran que este método tiene un 60% más de velocidad que con túneles EoIP.

¿Qué opináis sobre esto? ¿Es posible implementarlo en un escenario Site to Site?

S@lu2.
Es que en un site to site no usaría nunca EoIP, a menos que fuera estrictamente necesario. Para un site to site, buscas un enlace en L3 normalmente, no en capa 2. Usaría IKEv2 para un site to site, como preferencia sobre otro método.

Con MPLS y VPLS no me he metido aún, pero en el mundo de los WISPs son bien conocidas y al final acaban siempre de la misma manera: cuando la red crece, una red “bridgeada” pasa a ser inmanejable, y toca migrar a una red ”routeada” tipo OSPF.

No obstante, para un site to site sencillo, sigo prefiriendo la opción de IKEv2. Si entiendes cómo funcionan las policies, es muy sencillo comunicar el tráfico de dos redes distintas, y los equipos siguen siendo routers independientes entre sí, no dependiendo uno de otro.

Saludos!
 
Arriba