MANUAL: Mikrotik, túneles EoIP: Cómo llevarte tu red a cuestas

Buenos días a tod@s,

@pokoyo, cojo sitio en espera de tus noticias.

Como sabes por otros hilos, estoy muy interesado en montar esto mismo, con alguna puntualización.

Si lo he entendido bien, propones instalar un MK "tonto" colgando del HGU, siendo este MK "tonto" quien se encargue de transportar el bridge-IPTV.

¿Sería viable montar o extrapolar esto mismo que propones, a una configuración en la que en el lado HQ sólo exista ONT+Router MK y sea éste quien transporte el túnel a los distintos clientes? No tiene comparación la estabilidad/gestión de red/seguridad del HGU y el MK y me da urticaria pensar en tener que volver a instalar el HGU teniendo un bicho como el 4011.

Como siempre, agradecido por tu ayuda. Huelga decir que estoy a tu disposición para cuantas probaturas consideres oportunas


Saludos!!!

EDITO:

Creo que lo entendí mal. El router "tonto" iría en el cliente, entiendo que en HQ sí que lo gestionaría todo el MK.
 
Última edición:
Buenos días a tod@s,

@pokoyo, cojo sitio en espera de tus noticias.

Como sabes por otros hilos, estoy muy interesado en montar esto mismo, con alguna puntualización.

Si lo he entendido bien, propones instalar un MK "tonto" colgando del HGU, siendo este MK "tonto" quien se encargue de transportar el bridge-IPTV.

¿Sería viable montar o extrapolar esto mismo que propones, a una configuración en la que en el lado HQ sólo exista ONT+Router MK y sea éste quien transporte el túnel a los distintos clientes? No tiene comparación la estabilidad/gestión de red/seguridad del HGU y el MK y me da urticaria pensar en tener que volver a instalar el HGU teniendo un bicho como el 4011.

Como siempre, agradecido por tu ayuda. Huelga decir que estoy a tu disposición para cuantas probaturas consideres oportunas


Saludos!!!

EDITO:

Creo que lo entendí mal. El router "tonto" iría en el cliente, entiendo que en HQ sí que lo gestionaría todo el MK.
En tu caso no tiene mucho sentido, porque tú tienes un monstruo de router ya funcionando con la triple vlan en la parte HQ. Esto sería más bien para alguien que no quiera o no pueda tocar el HGU.

Para tu caso, ¿me puedes pasar el export de un cliente que funciona y uno que no? El de HQ lo tengo. Lo único que se me ocurre es que hayas copiado tal cual el export y hayas creado túneles con la misma MAC, y cuando se juntan dos en un bridge, se jode el invento.

Saludos!
 
Buenos días a tod@s,

@pokoyo, adjunto export's tanto del cliente que está funcionando correctamente a día de hoy (cliente_OK), como de otro cliente (cliente_KO) que, aunque levanta el túnel y obtengo IP del bridge-IPTV...no hay forma de visualizar nada con el deco conectado al MK (da constantemente error de red).

Cualquier cosa, a tu disposición como siempre. Y enormemente agradecido por tu ayuda!! La verdad ya no se por donde meterle mano....


Saludos.-
 

Adjuntos

  • cliente_OK.txt
    5.9 KB · Visitas: 53
  • cliente_KO.txt
    4.9 KB · Visitas: 41
@roolezz Tienes instalado en todos los clientes el paquete multicast ? Como se usa el imgp-snooping en el bridge. A lo mejor es una tontería lo que estoy diciendo, pero por comprobarlo no se pierde nada.
Saludos.
 
@roolezz Tienes instalado en todos los clientes el paquete multicast ? Como se usa el imgp-snooping en el bridge. A lo mejor es una tontería lo que estoy diciendo, pero por comprobarlo no se pierde nada.
Saludos.
@stargate4you , sí, los tengo instalados en todos los clientes. Pensé como tú y los instalé "de serie", aunque desconozco si al ser clientes sería o no necesario...aunque por tenerlo instalado tampoco pasa nada imagino...

Saludos!
 
toma @roolezz, te mando tu config corregida. Tenían estas cosillas mal:
  • Quitar las direcciones MAC metidas a manija en bridge y EoIP (para que las regenere él solo). Me da que algún conflicto de MAC tenías.
  • Quitar el protocol-mode=none en el bridge IPTV
  • Sacar Ether1 del bridge LAN. Es tu WAN!
  • Quitar las cosas que tenían disabled=yes (limpiar configuración)
  • Quitar el cliente dhcp sobre el bridge-lan, no pinta nada.
  • Limpiar el deshaguisado con el servidor dhcp y dejar únicamente una red LAN, la 192.168.30.0/24
  • Ordenar el firewall, metiendo las reglas de input de ipsec en su sitio.
  • Habilitar el ddns de IP-> Cloud, para aprovechar el servidor NTP y que los certificados no den guerra con la hora del equipo
  • Quitar el desfase horario de +2H que tenías puesto. Si estás en Canarias, cambia time-zone-name=Europe/Lisbon. Sino, quita el IP > Cloud y pon a funcionar un cliente NTP que apunte a un servidor de tu zona horaria, ver: https://www.ntppool.org/zone/europe

Edita el fichero, métele el endpoint del router HQ en el peer, renombra a .rsc y puedes hacer un reset al equipo y cargarle la config tal cual va (asegúrate de que cuando hagas el export sólo tengas esta config, no vayas a mezclar esto con la config por defecto). Lo puedes hacer arrastrando el rsc a winbox y dándole un "System -> reset configuration -> run after reset -> elficheroquesea.rsc"

Prueba y me dices,

Saludos!
 

Adjuntos

  • cliente_KO_arreglado.txt
    4.3 KB · Visitas: 39
Buenas tardes a tod@s,

@pokoyo, he probado la configuración modificada que me remitiste, añadiendo la dirección de mi HQ, y nada...no hay forma, mismo error.

Desde mi desconocimiento, ¿este tipo de VPN's puede tener algún tipo de limitación a la hora de transportar tráfico IPTV?.


Saludos!!
 
Buenas tardes a tod@s,

@pokoyo, he probado la configuración modificada que me remitiste, añadiendo la dirección de mi HQ, y nada...no hay forma, mismo error.

Desde mi desconocimiento, ¿este tipo de VPN's puede tener algún tipo de limitación a la hora de transportar tráfico IPTV?.


Saludos!!
Lo único que se me ocurre es que tengas algún conflicto con las direcciones MAC de los bridges o las interfaces EoIP. No debería tener ningún otro tipo de limitación
Saludos!
 
Lo único que se me ocurre es que tengas algún conflicto con las direcciones MAC de los bridges o las interfaces EoIP. No debería tener ningún otro tipo de limitación
Saludos!

Buenos días a tod@s,

@pokoyo, las macs de los túneles EoiP en los clientes debe tener el mismo rango que el bridge IPTV en HQ, En mi caso lo único que cambio es el último par de la MAC en el túnel de cada cliente. ¿es así o estoy equivocado?


Saludos!
 
Buenos días a tod@s,

@pokoyo, las macs de los túneles EoiP en los clientes debe tener el mismo rango que el bridge IPTV en HQ, En mi caso lo único que cambio es el último par de la MAC en el túnel de cada cliente. ¿es así o estoy equivocado?


Saludos!
En absoluto. De ahí puede venir tu fallo, de hecho. No especifiques las MAC en esas interfaces, y déjalas que se creen solas con la MAC que le parezca al equipo. Si las pones correlativas, es posible que en el router remoto tengas la misma MAC que en alguna otra interfaz del router HQ, y de ahí el lío.

Saludos!
 
@pokoyo, como siempre muchas gracias por la aclaración. Voy a hacerle un reset al equipo cliente y vuelvo a meterle la configuración sin especificar mac's. Os voy contando!

Saludos.
 
@pokoyo, como siempre muchas gracias por la aclaración. Voy a hacerle un reset al equipo cliente y vuelvo a meterle la configuración sin especificar mac's. Os voy contando!

Saludos.
Yo que tú lo haría en todos los equipos cliente, y recrearía los bridges en HQ. Así será muy muy difícil que coincida una MAC. Y lo mismo para las interfaces de los túneles EoIP. Al estar en capa2, a la que dos chismes tengan la misma dirección física, ya la tienes liada.

Saludos!
 
@pokoyo, en HQ me indicas que debo eliminar y volver a crear bridge-lan y bridge-iptv?

Saludos!
yo crecrearía todos los bridges y túneles EoIP donde hayas definido a mano una dirección MAC. Para el birdge-lan en HQ, puedes usar una de las direcciones MAC de uno de los puertos físicos que lo componen como dirección de administración. Yo suelo usar el de Ether2, pero eso ya, a gusto de consumidor.

Saludos!
 
Buenas tardes a tod@s,

@pokoyo, en cuanto a asignar una mac a bridge-lan en HQ, voy a utilizar la asignada a ether2 como me recomiendas.

¿Recomiendas que haga lo propio con bridge-iptv, asignándole una mac de los puertos que tenga incluídos dentro del bridge-iptv? Ether7 es el primer puerto que tengo en ese bridge, al igual que ether2 es el primero del bridge-lan.

Saludos!

EDITO:

Extiendo mi consulta....¿es recomendable asignar una MAC de administración a cada bridge que se crea? Aparte de bridge-LAN y bridge-IPTV, tengo otro bridge creado (bridge-vpn)
 
Última edición:
Buenas tardes a tod@s,

@pokoyo, en cuanto a asignar una mac a bridge-lan en HQ, voy a utilizar la asignada a ether2 como me recomiendas.

¿Recomiendas que haga lo propio con bridge-iptv, asignándole una mac de los puertos que tenga incluídos dentro del bridge-iptv? Ether7 es el primer puerto que tengo en ese bridge, al igual que ether2 es el primero del bridge-lan.


Saludos!
Dado que a ese bridge no te vas a conectar (no vas a necesitar acceder al mikrotik usando las direcciones que maneja ese bridge o sus puertos), deja que sea él quien la seleccione. Es decir, NO lo indiques. Cogerá la dirección física de la primera interfaz que llegue al bridge, y puede que te cambie con el reinicio, pero para ti es indistinto.

Saludos!
 
Pues si te esperas unos días salimos de dudas, porque voy a tratar de montar un setup muy parecido. Solo que el mío va a ser más “chachi”: el lado tonto (full bridge, como si fuera un switch), va a ir del lado del HGU. Y la idea es que, sin tocarle, sacarle el jugo del IPTV. Él será el encargado de llamar a casa, al router padre que hará de servidor VPN.

Vamos, tal que le puedas regalar un mikrotik hEX a un colega y le digas, “toma, pínchalo en el router de telefónica, que lo le vamos a dar uso”, y todo lo que tengas que hacer en tu casa sea pinchar un segundo desco.

Saludos!
Hola
¿Has visto este articulo sobre como pasar el multicast entre dos routers mikrotik?
¿No te podría ayudar a pasar el multicast sin tener que crear el tunerl EoIP?
El esquema está en la diapositiva 19
 
Hola
¿Has visto este articulo sobre como pasar el multicast entre dos routers mikrotik?
¿No te podría ayudar a pasar el multicast sin tener que crear el tunerl EoIP?
El esquema está en la diapositiva 19
Sí, desde luego esa es la manera buena de hacerlo, olvidándote del EoIP y enrutando el tráfico multicast por cualquier otro tipo de túnel VPN (yo optaría por IKEv2). Pero no me he puesto a ello, ni tengo nada sencillo el hacerlo, ya que no dispongo de Movistar TV.

Pero si os animáis a cacharrear, esa sería la manera buena de llevarse ese tipo de tráfico de un punto A a un punto B.

Saludos!
 
Arriba