MANUAL: Mikrotik, túneles EoIP: Cómo llevarte tu red a cuestas

Pues no lo he probado, la verdad. Pero la parte de autenticación del portal cautivó la hará el cliente final, entiendo. Pero el router como tal, en modo station, conectara sin password, no?
Yo también opino que es así, no lo he probado aún.
Como hay varios portales cautivos, debo asegurarme que el "station" pilla el adecuado (en abierto -claro-).
También supongo que luego no habrá problema para loguear el cliente final con su usuario/pass.

Postearé los resultados para que le pueda servir a otros compis.
Ahora cruzaré los dedos, a ver primero si funciona.

Estaba pensando en un discreto mAP-lite amarrado a un laptop, mientras nos echamos
un cafecito, sentados en la terraza de una cafetería.

Salu2
 
Magnifico POST, aun no he tenido la necesidad del tunner mikrotik, pero si lo tengo por alli en pendiente.
 
Hola
¿Que router usarías para montar una red con unos 100-110 túneles EoIP sobre IPSEC?
Ninguno. No usaría esos túneles de normal, especialmente porque estás extendiendo el broadcast hasta un punto que probablemente no debas hacerlo. Si necesitas conectar 100 tíos a un mismo router, hazlo con IKEv2, no uses EoIP.

Saludos!
 
Ninguno. No usaría esos túneles de normal, especialmente porque estás extendiendo el broadcast hasta un punto que probablemente no debas hacerlo. Si necesitas conectar 100 tíos a un mismo router, hazlo con IKEv2, no uses EoIP.

Saludos!
Hola. Necesito extender el broadcast, por eso el el tema de los tuneles EoIP
Actualmente los tengo conectados con un PFsense y funciona, pero necesito conectarlo con el broascast
 
¿Qué tienes en la cabeza, para necesitar extender el broadcast a 100 puntos distintos?

Miraría un 4011, por ir sobrado. Y monta IKEv2 entre los equipos, y luego el EoIP encima, vas a tener mejor performance que haciéndolo sólo con EoIP+IPSec.

Saludos!
 
Necesito que en momentos puntuales vean la 5 o 10 de TV
Cuando estábamos en la Oficina no había ningún problema, pero al teletrabajar
 
Tengo una duda y a lo mejor, hasta la respuesta, pero no la veo.
Suponiendo un móvil compartiendo datos en modo AP y
el hAP conectado vía Wifi a este móvil mencionado.

1) Usando el Eth3 del hAP
- Conectando un PC por el puerto 3, obtengo IP por DHCP y DNS también.
La IP externa en el PC, es la IP externa del móvil (su IP de datos).
Hay navegación y todo funciona desde el PC.

2) Usando el Eth2 del hAP
- Conectando un PC por el puerto 2, no se obtiene IP.

Pero comprobando ambos equipos mikrotik (Rou_Casa y hAP)
En ninguno se levanta ahora el tunel EoIP.
(Debo haber tocado algo que no termino de ver).
Este es el volcado con la config del hAP:
# software id = 7CZ8-PBN9
# model = RB931-2nD
#
/interface bridge
add admin-mac=B8:69:F4:11:22:A1 auto-mac=no comment="Zona de Puentes" name=bridge-home protocol-mode=none
add admin-mac=B8:69:F4:11:22:A2 auto-mac=no name=bridge-local protocol-mode=none
/interface ethernet
set [ find default-name=ether1 ] comment="Zona Ethernet"
/interface pwr-line
set [ find default-name=pwr-line1 ] disabled=yes
/interface eoip
add allow-fast-path=no comment="Zona Tuneles" ipsec-secret=clave_del_tunel mac-address=FE:79:C0:33:44:A3 mtu=1500 name=tunnel-home remote-address=router_de_casa.sn.mynetname.net tunnel-id=0
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk,wpa2-eap mode=dynamic-keys name=ssid_wifi_movil supplicant-identity="" wpa2-pre-shared-key=clave_wifi_movil
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n comment="Zona Wifi" country=spain disabled=no security-profile=movil ssid=ssid_wifi_movil
/ip pool
add name=dhcp ranges=172.66.1.10-172.66.1.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge-local name=dhcp-local
/system logging action
set 0 memory-lines=100
/interface bridge port
add bridge=bridge-local interface=ether3
add bridge=bridge-home interface=ether2
add bridge=bridge-home interface=tunnel-home
/ip neighbor discovery-settings
set discover-interface-list=all
/interface detect-internet
set detect-interface-list=WAN
/interface list member
add interface=ether1 list=WAN
add interface=bridge-local list=LAN
add interface=bridge-home list=WAN
add interface=wlan1 list=WAN
/interface wireless cap
set bridge=bridge-local discovery-interfaces=bridge-home interfaces=wlan1
/ip address
add address=172.66.1.1/24 interface=bridge-local network=172.66.1.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add add-default-route=no disabled=no interface=bridge-home use-peer-dns=no use-peer-ntp=no
/ip dhcp-server network
add address=172.66.1.0/24 dns-server=172.6.1.1,172.66.1.1 gateway=172.66.1.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1
/ip dns static
add address=172.66.1.1 name=roaming.lan
/ip firewall filter
add action=accept chain=input comment="Accept established, related, untracked" connection-state=established,related,untracked
add action=drop chain=input comment="Drop Invalid" connection-state=invalid
add action=accept chain=input comment="Accept ICPM" protocol=icmp
add action=accept chain=input comment="Allow IPSec" dst-port=4500,500 protocol=udp
add action=accept chain=input comment="Accept local loopback (CAPSMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="Drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="Accept IPSec (in)" ipsec-policy=in,ipsec
add action=accept chain=forward comment="Accept IPSec (out)" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment=Fast-Track connection-state=established,related
add action=accept chain=forward comment="Accept established, related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="Drop Invalid" connection-state=invalid
add action=drop chain=forward comment="Drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="home-router-masq" dst-address=172.6.1.0/24 src-address=172.66.1.0/24
add action=masquerade chain=srcnat comment="default masq" ipsec-policy=out,none out-interface-list=WAN
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Atlantic/Canary
/system identity
set name=hap-roaming
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Saludos.
 
Tengo una duda y a lo mejor, hasta la respuesta, pero no la veo.
Suponiendo un móvil compartiendo datos en modo AP y
el hAP conectado vía Wifi a este móvil mencionado.

1) Usando el Eth3 del hAP
- Conectando un PC por el puerto 3, obtengo IP por DHCP y DNS también.
La IP externa en el PC, es la IP externa del móvil (su IP de datos).
Hay navegación y todo funciona desde el PC.

2) Usando el Eth2 del hAP
- Conectando un PC por el puerto 2, no se obtiene IP.

Pero comprobando ambos equipos mikrotik (Rou_Casa y hAP)
En ninguno se levanta ahora el tunel EoIP.
(Debo haber tocado algo que no termino de ver).
Este es el volcado con la config del hAP:


Saludos.
Si el túnel no funciona, es normal que ether2 no te de IP, puesto que depende del servicio dhcp del router del otro extremo. Y, si el túnel no anda, ese servicio tampoco

Tengo la tarde entretenida, pero a la noche lo miro y te digo algo.

Saludos!
 
Si el túnel no funciona, es normal que ether2 no te de IP
Exacto !!!
Ayer, probando en casa de un familiar, no conseguía levantar el túnel.
Y me dí cuenta de la caída del túnel al no tener IP en el Eth2 del hAP.
Una cosa me llevó a la otra.
...
El es que como ando de vacas, no tengo donde probar el túnel vía cable.
Por eso andaba haciendo pruebas con mi móvil usando el túnel vía wifi.
No se si he tocado algo sin querer. Con lo bien que iba, leñe.

Tengo la tarde entretenida, pero a la noche lo miro y te digo algo.
Gracias y no te peocupes.
Ando ocioso estos días. jajaja

Saludos.
 
Una cosa, si andas de vagares. ¿No te mola la idea de montar lo que publicó Furny, y unir ambos routers con IKEv2, y luego sobre ese túnel crear el EoIP? He montado algo parecido en el router que llevo de viaje, y ha quedado muy chulo, por si te interesa.

De esa manera, el EoIP trabaja sobre IP's locales, y no guarrea los logs cuando apagas uno de los extremos.

Saludos!
 
Toma, te lo paso, por si te puede venir bien. He cambiado ligéramente mi setup para que se parezca al tuyo, y anonimizado el mismo un pelín. Asume los siguientes datos:
- Red local del router de viaje 192.168.76.0/24
- Red remota del router HQ 192.168.77.0/24
- Pool VPN en el router HQ 192.168.78.0/24
- Ambos routers unidos por IKEv2, siguiendo el modelo road-warrior, pero especificando una IP concreta para el router remoto, 192.168.78.3. Bridge de loopback en HQ con la IP 192.168.78.1, para conformar los dos extremos del túnel EoIP. De esta manera el túnel se monta sobre IP's locales, y no da la lata en los logs si un extremo se cae.
- CAPsMAN sobre EoIP, puesto que no he conseguido ejecutar el manager forwarding (reenviar todo el tráfico al manager, con el local-forwarding=no) sobre el propio túnel IKEv2. Pendiente de confirmar con el soporte oficial de mikrotik si se trata de un bug o tengo algo mal en ese setup.
- Puerto ether2 en bridge con el CAPsMAN: en mi configuración no lo tengo así, y únicamente uso el túnel para traerme la configuración de la wifi vía CAPsMAN, pero ambos puertos los meto en mi bridge local, y no pido una dirección DHCP sobre dicho bridge. Es decir, sólo reenvío el tráfico que pertenece a HQ, usando la primera regla de NAT. No obstante, lo he adaptado para que se parezca más a lo tuyo.
- Como he tocado directamente sobre el fichero de configuración, puede haber algún gazapo. Pruébalo antes de darlo 100% por bueno.
- Necesitas generar los certificados en HQ y llevarte al router de viaje tanto la CA como el certificado cliente. Para este último, cuando lo importes, asegúrate de darle un nombre significativo (el nombre se puede editar una vez importado) para referenciarlo luego en la configuración del identity. En mi caso, se llama vpn-client-hap-de-viaje
- Si quieres probarlo sobre wifi, simplemente deshabilita CAPsMAN y configura la interfaz inalámbrica principal en modo station. Luego puedes crear un AP virtual, en modo AP y meterlo dentro del bridge-local, para tener tú también wifi, aunque le bajará el rendimiento total al chisme.

Código:
/interface bridge
add name=bridge-local
add name=bridge-home
/interface eoip
add local-address=192.168.78.3 name=\
    tunnel-home remote-address=192.168.78.1 tunnel-id=3
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/ip ipsec policy group
add name=ike2-template-group
/ip ipsec profile
add dh-group=modp2048,modp1536,modp1024 enc-algorithm=aes-256,aes-192,aes-128 \
    hash-algorithm=sha256 name=ike2-profile
/ip ipsec peer
add address=router.pericopalotes.com exchange-mode=ike2 name=ike2-hq-peer \
    profile=ike2-profile
/ip ipsec proposal
add auth-algorithms=sha512,sha256,sha1 enc-algorithms="aes-256-cbc,aes-256-ctr\
    ,aes-256-gcm,aes-192-cbc,aes-192-ctr,aes-192-gcm,aes-128-cbc,aes-128-ctr,a\
    es-128-gcm" lifetime=8h name=ike2-proposal pfs-group=none
/ip pool
add name=dhcp ranges=192.168.76.10-192.168.76.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge-local name=dhcp
/interface bridge port
add bridge=bridge-local interface=ether3
add bridge=bridge-home interface=ether2
add bridge=bridge-home interface=tunnel-home
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface detect-internet
set detect-interface-list=WAN
/interface list member
add interface=bridge-local list=LAN
add interface=bridge-home list=LAN
add interface=ether1 list=WAN
/interface wireless cap
# 
set bridge=bridge-local discovery-interfaces=bridge-home enabled=yes interfaces=\
    wlan1
/ip address
add address=192.168.76.1/24 interface=bridge-local network=192.168.76.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-server network
add address=192.168.76.0/24 dns-server=192.168.77.7,192.168.76.1 gateway=\
    192.168.76.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.76.1 comment=defconf name=deviaje.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input dst-address-list=public-ip dst-port=500,4500 \
    protocol=udp
add action=accept chain=input dst-address-list=public-ip protocol=ipsec-esp
add action=accept chain=input comment="allow in-ipsec traffic" ipsec-policy=\
    in,ipsec
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=src-nat chain=srcnat src-address=192.168.76.0/24 \
    dst-address=192.168.77.0/24 to-addresses=192.168.78.3
add action=masquerade chain=srcnat ipsec-policy=out,none out-interface-list=\
    WAN
/ip ipsec identity
add auth-method=digital-signature certificate=vpn-client-hap-de-viaje \
    generate-policy=port-strict mode-config=request-only peer=ike2-hq-peer \
    policy-template-group=ike2-template-group
/ip ipsec policy
add dst-address=0.0.0.0/0 group=ike2-template-group proposal=ike2-proposal \
    src-address=192.168.78.0/24 template=yes
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=hap-de-viaje
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
/ip dhcp-client
add add-default-route=no disabled=no interface=bridge-home use-peer-dns=no use-peer-ntp=no
 
Arriba