MANUAL: Mikrotik, túneles EoIP: Cómo llevarte tu red a cuestas

Sí, desde luego esa es la manera buena de hacerlo, olvidándote del EoIP y enrutando el tráfico multicast por cualquier otro tipo de túnel VPN (yo optaría por IKEv2). Pero no me he puesto a ello, ni tengo nada sencillo el hacerlo, ya que no dispongo de Movistar TV.

Pero si os animáis a cacharrear, esa sería la manera buena de llevarse ese tipo de tráfico de un punto A a un punto B.

Saludos!
Yo si tengo, si quieres probamos a configurarlo
Yo hago de emisor y tu de receptor
¿Te parece?
 
Yo si tengo, si quieres probamos a configurarlo
Yo hago de emisor y tu de receptor
¿Te parece?
Por mi bien. Pero del tema del IPTV quien controla el a el amigo @furny, que hace un tiempo que no se le ve por aquí. Lo digo porque en ese manual hablan de PIM, y movistar usa RIP. No sé si podríamos seguir con RIP en la parte privada y extenderlo vía túnel VPN

Pero si quieres que cacharreemos, cacharreamos. Aunque nos vendría bien alguien que supiera bien cómo funciona el multicast de Movistar. Y ese no soy yo.

Saludos!
 
Por mi bien. Pero del tema del IPTV quien controla el a el amigo @furny, que hace un tiempo que no se le ve por aquí. Lo digo porque en ese manual hablan de PIM, y movistar usa RIP. No sé si podríamos seguir con RIP en la parte privada y extenderlo vía túnel VPN

Pero si quieres que cacharreemos, cacharreamos. Aunque nos vendría bien alguien que supiera bien cómo funciona el multicast de Movistar. Y ese no soy yo.

Saludos!
Este fin de semana lo intento cambiando la red wifi por la red que se monta con la VPN.
Te voy diciendo lo que consigo
 
Buenas tardes,

Recién me ha llegado un hAP mini y la idea es de conectar desde A (home) a este nuevo equipo (B) para poder trabajar desde otra ubicación como si estuviera en casa (es la idea que tenemos la mayoría jeje).

Para ello me puse mano a la obra y primero probé la config del router "tonto" y ahora esta que voy a describir "router normal pero como WAN la interfaz wlan1", ninguna de las dos me ha funcionado; estoy probando B en casa a través del 4G, simulando una red diferente, con dos móviles de diferentes marcas y compañías: xiaomi/samsung, pepephone/digi.

En la parte del hAP mini (B), tengo esta configuración:

Bash:
# jul/15/2021 14:01:39 by RouterOS 6.48.3

# software id = UCU9-4RRD

#

# model = RB931-2nD

# serial number = D97XXXXXXX29

/interface bridge

add name=bridge-home

add admin-mac=08:55:31:1A:69:21 auto-mac=no comment=defconf name=bridge-local

/interface eoip

add allow-fast-path=no mac-address=FE:5C:9F:C1:D9:5E mtu=1500 name=\

    tunnel-home remote-address=d44XXXXXXX09.sn.mynetname.net tunnel-id=1

/interface list

add comment=defconf name=WAN

add comment=defconf name=LAN

/interface wireless security-profiles

set [ find default=yes ] supplicant-identity=MikroTik

add authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys name=\

    profile-home supplicant-identity="" wpa2-pre-shared-key=bbil5230

/interface wireless

set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no distance=indoors \

    frequency=2462 installation=indoor security-profile=profile-home ssid=\

    AndroidAP6A70 wireless-protocol=802.11

/ip pool

add name=default-dhcp ranges=192.168.87.10-192.168.87.254

/ip dhcp-server

add address-pool=default-dhcp disabled=no interface=bridge-local name=defconf

/interface bridge port

add bridge=bridge-local comment=defconf interface=ether3

add bridge=bridge-local comment=defconf interface=pwr-line1

add bridge=bridge-home interface=tunnel-home

add bridge=bridge-home interface=ether2

/ip neighbor discovery-settings

set discover-interface-list=LAN

/interface detect-internet

set detect-interface-list=WAN

/interface list member

add comment=defconf interface=bridge-local list=LAN

add comment=defconf interface=ether1 list=WAN

add interface=wlan1 list=WAN

add interface=bridge-home list=LAN

/ip address

add address=192.168.87.1/24 comment=defconf interface=bridge-local network=\

    192.168.87.0

/ip cloud

set ddns-enabled=yes

/ip dhcp-client

add comment=defconf disabled=no interface=ether1

/ip dhcp-server network

add address=192.168.87.0/24 comment=defconf dns-server=8.8.8.8,8.8.4.4 \

    gateway=192.168.87.1

/ip dns

set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4

/ip dns static

add address=192.168.88.1 comment=defconf name=router.lan

/ip firewall filter

add action=accept chain=input comment=\

    "defconf: accept established,related,untracked" connection-state=\

    established,related,untracked

add action=drop chain=input comment="defconf: drop invalid" connection-state=\

    invalid

add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp

add action=accept chain=input comment=\

    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1

add action=drop chain=input comment="defconf: drop all not coming from LAN" \

    in-interface-list=!LAN

add action=accept chain=forward comment="defconf: accept in ipsec policy" \

    ipsec-policy=in,ipsec

add action=accept chain=forward comment="defconf: accept out ipsec policy" \

    ipsec-policy=out,ipsec

add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \

    connection-state=established,related

add action=accept chain=forward comment=\

    "defconf: accept established,related, untracked" connection-state=\

    established,related,untracked

add action=drop chain=forward comment="defconf: drop invalid" \

    connection-state=invalid

add action=drop chain=forward comment=\

    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \

    connection-state=new in-interface-list=WAN

/ip firewall nat

add action=masquerade chain=srcnat comment="defconf: masquerade" \

    ipsec-policy=out,none out-interface-list=WAN

/system clock

set time-zone-name=Europe/Madrid

/tool mac-server

set allowed-interface-list=LAN

/tool mac-server mac-winbox

set allowed-interface-list=LAN



Lado Home (A)

Bash:
/interface eoip

add allow-fast-path=no mac-address=02:94:4E:76:BF:D7 mtu=1500 name=tunnel-to-hapmini remote-address=d97XXXXXXX29.sn.mynetname.net tunnel-id=1

add local-address=192.168.68.1 mac-address=FE:4F:32:98:6A:85 mtu=1500 name=tunnel-to-ether2-apto remote-address=192.168.68.2 tunnel-id=0

/interface bridge port

add bridge=bridge interface=tunnel-to-ether2-apto

add bridge=bridge interface=tunnel-to-hapmini

Señalar que tengo en A tengo actualmente un interfaz EoIP funcionando sobre IKEv2 y con policies, y funciona perfecto.

El problema reside en que el dominio dinámico del hAP mini no se registra correctamente o lo que sea, que desde A no tengo narices de llegar con el ping y por tanto el nuevo tunel EoIP no levanta

NQguSxsAti.png


En el lado B parece que se registra bien:

sfBsNQZWzx.png


Hay conectividad hacia internet y hacia A:

Ub1n7fSMYp.png


Pero desde el propio equipo B no puedo hacer ping a su propio DDNS de Mikrotik

Alguna idea?

S@lu2.
 
Última edición:
Estás mezclando cosas. Si en A ya tienes IKEv2, no vayas al esquema de router tonto, monta el EoIP sobre el túnel IKEv2 (es decir, llévate los certificados a este router, y enchúfalo como un road-warrior más y, sobre ese túnel IKEv2, el EoIP, usando las IP's locales del túnel).

Si necesitas un ejemplo dime, y te paso el que tengo yo como roaming.

Saludos!

PD: creo que ahora mismo no te funciona porque el firewall no permite el tráfico del EoIP en el router "tonto". Si vas sin IPSEC, tendrías que permitir el tráfico de tipo 47 (GRE) en input. Si vas con IPSEC, abrir los puertos 4500 y el 500 UDP.

Saludos!
 
Mira, un ejemplo. En tu caso, tendrías que poner la wlan1 como WAN y ponerla en modo station (si no vas a usar esa misma interfaz wireless para nada más) o en station-pseudobridge (si luego vas a querer montar una wifi virtual a partir de ella).

Mi red VPN es la 192.168.78.0/24, y a este equipo se le asigna, vía perfil road-warrior, la IP 192.168.78.3. Como verás, los extremos del túnel EoIP son las IP's de loopback (192.168.78.1) de HQ y la que asigna IKEv2 a este extremo, 192.168.78.3, ambas locales. Aquí ya no hace falta aplicar encriptado al túnel, puesto que ya va dentro de otro que sí lo lleva, el IKEv2.

Ether2, al estar en el mismo bridge que el túnel EoIP, coge la IP del router de casa, la que da el DHCP de HQ.

Código:
###### ROAMING ROUTER ######
/interface bridge
add admin-mac=C4:AD:34:FA:0B:F5 auto-mac=no name=bridge-home
add admin-mac=C4:AD:34:FA:0B:F6 auto-mac=no name=bridge-local
/interface eoip
add local-address=192.168.78.3 mac-address=02:C0:AE:EC:AE:BF mtu=1500 name=\
    tunnel-home remote-address=192.168.78.1 tunnel-id=1
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec policy group
add name=ike2-template-group
/ip ipsec profile
add dh-group=modp2048,modp1536,modp1024 enc-algorithm=aes-256,aes-192,aes-128 \
    hash-algorithm=sha256 name=ike2-profile
/ip ipsec peer
add address=serialHQ.sn.mynetname.net exchange-mode=ike2 name=ike2-hq-peer \
    profile=ike2-profile
/ip ipsec proposal
add auth-algorithms=sha512,sha256,sha1 enc-algorithms="aes-256-cbc,aes-256-ctr\
    ,aes-256-gcm,aes-192-cbc,aes-192-ctr,aes-192-gcm,aes-128-cbc,aes-128-ctr,a\
    es-128-gcm" lifetime=8h name=ike2-proposal pfs-group=none
/ip pool
add name=dhcp-local ranges=192.168.76.2-192.168.76.254
/ip dhcp-server
add address-pool=dhcp-local disabled=no interface=bridge-local name=\
    dhcp-local
/interface bridge port
add bridge=bridge-home interface=ether2
add bridge=bridge-home interface=tunnel-home
add bridge=bridge-local interface=ether3
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface detect-internet
set detect-interface-list=WAN
/interface list member
add interface=bridge-home list=LAN
add interface=bridge-local list=LAN
add interface=ether1 list=WAN
/ip address
add address=192.168.76.1/24 interface=bridge-local network=192.168.76.0
/ip dhcp-client
add disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.76.0/24 gateway=192.168.76.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=1.1.1.2,1.0.0.2
/ip dns static
add address=192.168.76.1 comment=defconf name=roaming.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input dst-port=500,4500 protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input comment="allow vpn encrypted traffic" ipsec-policy=\
    in,ipsec src-address=192.168.78.0/24
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat ipsec-policy=out,none out-interface-list=\
    WAN
/ip ipsec identity
add auth-method=digital-signature certificate=vpn-client-roaming \
    generate-policy=port-strict mode-config=request-only peer=ike2-hq-peer \
    policy-template-group=ike2-template-group
/ip ipsec policy
add dst-address=0.0.0.0/0 group=ike2-template-group proposal=ike2-proposal \
    src-address=192.168.78.0/24 template=yes
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=hap-roaming
/system ntp client
set enabled=yes server-dns-names=pool.ntp.org
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Saludos!
 
Mira, un ejemplo. En tu caso, tendrías que poner la wlan1 como WAN y ponerla en modo station (si no vas a usar esa misma interfaz wireless para nada más) o en station-pseudobridge (si luego vas a querer montar una wifi virtual a partir de ella).

Mi red VPN es la 192.168.78.0/24, y a este equipo se le asigna, vía perfil road-warrior, la IP 192.168.78.3. Como verás, los extremos del túnel EoIP son las IP's de loopback (192.168.78.1) de HQ y la que asigna IKEv2 a este extremo, 192.168.78.3, ambas locales. Aquí ya no hace falta aplicar encriptado al túnel, puesto que ya va dentro de otro que sí lo lleva, el IKEv2.

Ether2, al estar en el mismo bridge que el túnel EoIP, coge la IP del router de casa, la que da el DHCP de HQ.

Código:
###### ROAMING ROUTER ######
/interface bridge
add admin-mac=C4:AD:34:FA:0B:F5 auto-mac=no name=bridge-home
add admin-mac=C4:AD:34:FA:0B:F6 auto-mac=no name=bridge-local
/interface eoip
add local-address=192.168.78.3 mac-address=02:C0:AE:EC:AE:BF mtu=1500 name=\
    tunnel-home remote-address=192.168.78.1 tunnel-id=1
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec policy group
add name=ike2-template-group
/ip ipsec profile
add dh-group=modp2048,modp1536,modp1024 enc-algorithm=aes-256,aes-192,aes-128 \
    hash-algorithm=sha256 name=ike2-profile
/ip ipsec peer
add address=serialHQ.sn.mynetname.net exchange-mode=ike2 name=ike2-hq-peer \
    profile=ike2-profile
/ip ipsec proposal
add auth-algorithms=sha512,sha256,sha1 enc-algorithms="aes-256-cbc,aes-256-ctr\
    ,aes-256-gcm,aes-192-cbc,aes-192-ctr,aes-192-gcm,aes-128-cbc,aes-128-ctr,a\
    es-128-gcm" lifetime=8h name=ike2-proposal pfs-group=none
/ip pool
add name=dhcp-local ranges=192.168.76.2-192.168.76.254
/ip dhcp-server
add address-pool=dhcp-local disabled=no interface=bridge-local name=\
    dhcp-local
/interface bridge port
add bridge=bridge-home interface=ether2
add bridge=bridge-home interface=tunnel-home
add bridge=bridge-local interface=ether3
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface detect-internet
set detect-interface-list=WAN
/interface list member
add interface=bridge-home list=LAN
add interface=bridge-local list=LAN
add interface=ether1 list=WAN
/ip address
add address=192.168.76.1/24 interface=bridge-local network=192.168.76.0
/ip dhcp-client
add disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.76.0/24 gateway=192.168.76.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=1.1.1.2,1.0.0.2
/ip dns static
add address=192.168.76.1 comment=defconf name=roaming.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input dst-port=500,4500 protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input comment="allow vpn encrypted traffic" ipsec-policy=\
    in,ipsec src-address=192.168.78.0/24
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat ipsec-policy=out,none out-interface-list=\
    WAN
/ip ipsec identity
add auth-method=digital-signature certificate=vpn-client-roaming \
    generate-policy=port-strict mode-config=request-only peer=ike2-hq-peer \
    policy-template-group=ike2-template-group
/ip ipsec policy
add dst-address=0.0.0.0/0 group=ike2-template-group proposal=ike2-proposal \
    src-address=192.168.78.0/24 template=yes
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=hap-roaming
/system ntp client
set enabled=yes server-dns-names=pool.ntp.org
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Saludos!
Sii, lo estaba montando ahora sobre el tunel existente IKEv2 a ver si tengo suerte, gracias @pokoyo!

S@lu2.
 
Mira, un ejemplo. En tu caso, tendrías que poner la wlan1 como WAN y ponerla en modo station (si no vas a usar esa misma interfaz wireless para nada más) o en station-pseudobridge (si luego vas a querer montar una wifi virtual a partir de ella).

Mi red VPN es la 192.168.78.0/24, y a este equipo se le asigna, vía perfil road-warrior, la IP 192.168.78.3. Como verás, los extremos del túnel EoIP son las IP's de loopback (192.168.78.1) de HQ y la que asigna IKEv2 a este extremo, 192.168.78.3, ambas locales. Aquí ya no hace falta aplicar encriptado al túnel, puesto que ya va dentro de otro que sí lo lleva, el IKEv2.

Ether2, al estar en el mismo bridge que el túnel EoIP, coge la IP del router de casa, la que da el DHCP de HQ.

Código:
###### ROAMING ROUTER ######
/interface bridge
add admin-mac=C4:AD:34:FA:0B:F5 auto-mac=no name=bridge-home
add admin-mac=C4:AD:34:FA:0B:F6 auto-mac=no name=bridge-local
/interface eoip
add local-address=192.168.78.3 mac-address=02:C0:AE:EC:AE:BF mtu=1500 name=\
    tunnel-home remote-address=192.168.78.1 tunnel-id=1
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec policy group
add name=ike2-template-group
/ip ipsec profile
add dh-group=modp2048,modp1536,modp1024 enc-algorithm=aes-256,aes-192,aes-128 \
    hash-algorithm=sha256 name=ike2-profile
/ip ipsec peer
add address=serialHQ.sn.mynetname.net exchange-mode=ike2 name=ike2-hq-peer \
    profile=ike2-profile
/ip ipsec proposal
add auth-algorithms=sha512,sha256,sha1 enc-algorithms="aes-256-cbc,aes-256-ctr\
    ,aes-256-gcm,aes-192-cbc,aes-192-ctr,aes-192-gcm,aes-128-cbc,aes-128-ctr,a\
    es-128-gcm" lifetime=8h name=ike2-proposal pfs-group=none
/ip pool
add name=dhcp-local ranges=192.168.76.2-192.168.76.254
/ip dhcp-server
add address-pool=dhcp-local disabled=no interface=bridge-local name=\
    dhcp-local
/interface bridge port
add bridge=bridge-home interface=ether2
add bridge=bridge-home interface=tunnel-home
add bridge=bridge-local interface=ether3
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface detect-internet
set detect-interface-list=WAN
/interface list member
add interface=bridge-home list=LAN
add interface=bridge-local list=LAN
add interface=ether1 list=WAN
/ip address
add address=192.168.76.1/24 interface=bridge-local network=192.168.76.0
/ip dhcp-client
add disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.76.0/24 gateway=192.168.76.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=1.1.1.2,1.0.0.2
/ip dns static
add address=192.168.76.1 comment=defconf name=roaming.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input dst-port=500,4500 protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input comment="allow vpn encrypted traffic" ipsec-policy=\
    in,ipsec src-address=192.168.78.0/24
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat ipsec-policy=out,none out-interface-list=\
    WAN
/ip ipsec identity
add auth-method=digital-signature certificate=vpn-client-roaming \
    generate-policy=port-strict mode-config=request-only peer=ike2-hq-peer \
    policy-template-group=ike2-template-group
/ip ipsec policy
add dst-address=0.0.0.0/0 group=ike2-template-group proposal=ike2-proposal \
    src-address=192.168.78.0/24 template=yes
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=hap-roaming
/system ntp client
set enabled=yes server-dns-names=pool.ntp.org
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Saludos
Puff no hay forma de conectar al extremo B (hAP mini), he probado todas los escenarios que se barajan en el foro para "llevarte la red a cuestas" incluso esta config última que has enviado, pero forzando la actualizacion del DDNS me da ese mensaje..

09KKlT2CPx.png


Para mi que la conexión 4G (Xiaomi/Pepephone) a la que tengo conectado el hAP mini tiene algún NAT que impide conexiones entrantes al hAP mini. Seguro que tendría que conectarlo a otra conexión de fibra (había leído que los túneles EoIP se saltaban los NAT), pero ahora imposible jeje.

Mi gozo en un pozo :(

S@lu2.
 
Si el lado que origina la conexión es el nateado y "HQ" está en modo "pasivo", no deberías tener problema.

Saludos!
 
Arriba