MANUAL: Mikrotik, túneles EoIP: Cómo llevarte tu red a cuestas

Sí, desde luego esa es la manera buena de hacerlo, olvidándote del EoIP y enrutando el tráfico multicast por cualquier otro tipo de túnel VPN (yo optaría por IKEv2). Pero no me he puesto a ello, ni tengo nada sencillo el hacerlo, ya que no dispongo de Movistar TV.

Pero si os animáis a cacharrear, esa sería la manera buena de llevarse ese tipo de tráfico de un punto A a un punto B.

Saludos!
Yo si tengo, si quieres probamos a configurarlo
Yo hago de emisor y tu de receptor
¿Te parece?
 
Yo si tengo, si quieres probamos a configurarlo
Yo hago de emisor y tu de receptor
¿Te parece?
Por mi bien. Pero del tema del IPTV quien controla el a el amigo @furny, que hace un tiempo que no se le ve por aquí. Lo digo porque en ese manual hablan de PIM, y movistar usa RIP. No sé si podríamos seguir con RIP en la parte privada y extenderlo vía túnel VPN

Pero si quieres que cacharreemos, cacharreamos. Aunque nos vendría bien alguien que supiera bien cómo funciona el multicast de Movistar. Y ese no soy yo.

Saludos!
 
Por mi bien. Pero del tema del IPTV quien controla el a el amigo @furny, que hace un tiempo que no se le ve por aquí. Lo digo porque en ese manual hablan de PIM, y movistar usa RIP. No sé si podríamos seguir con RIP en la parte privada y extenderlo vía túnel VPN

Pero si quieres que cacharreemos, cacharreamos. Aunque nos vendría bien alguien que supiera bien cómo funciona el multicast de Movistar. Y ese no soy yo.

Saludos!
Este fin de semana lo intento cambiando la red wifi por la red que se monta con la VPN.
Te voy diciendo lo que consigo
 
Buenas tardes,

Recién me ha llegado un hAP mini y la idea es de conectar desde A (home) a este nuevo equipo (B) para poder trabajar desde otra ubicación como si estuviera en casa (es la idea que tenemos la mayoría jeje).

Para ello me puse mano a la obra y primero probé la config del router "tonto" y ahora esta que voy a describir "router normal pero como WAN la interfaz wlan1", ninguna de las dos me ha funcionado; estoy probando B en casa a través del 4G, simulando una red diferente, con dos móviles de diferentes marcas y compañías: xiaomi/samsung, pepephone/digi.

En la parte del hAP mini (B), tengo esta configuración:

Bash:
# jul/15/2021 14:01:39 by RouterOS 6.48.3

# software id = UCU9-4RRD

#

# model = RB931-2nD

# serial number = D97XXXXXXX29

/interface bridge

add name=bridge-home

add admin-mac=08:55:31:1A:69:21 auto-mac=no comment=defconf name=bridge-local

/interface eoip

add allow-fast-path=no mac-address=FE:5C:9F:C1:D9:5E mtu=1500 name=\

    tunnel-home remote-address=d44XXXXXXX09.sn.mynetname.net tunnel-id=1

/interface list

add comment=defconf name=WAN

add comment=defconf name=LAN

/interface wireless security-profiles

set [ find default=yes ] supplicant-identity=MikroTik

add authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys name=\

    profile-home supplicant-identity="" wpa2-pre-shared-key=bbil5230

/interface wireless

set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no distance=indoors \

    frequency=2462 installation=indoor security-profile=profile-home ssid=\

    AndroidAP6A70 wireless-protocol=802.11

/ip pool

add name=default-dhcp ranges=192.168.87.10-192.168.87.254

/ip dhcp-server

add address-pool=default-dhcp disabled=no interface=bridge-local name=defconf

/interface bridge port

add bridge=bridge-local comment=defconf interface=ether3

add bridge=bridge-local comment=defconf interface=pwr-line1

add bridge=bridge-home interface=tunnel-home

add bridge=bridge-home interface=ether2

/ip neighbor discovery-settings

set discover-interface-list=LAN

/interface detect-internet

set detect-interface-list=WAN

/interface list member

add comment=defconf interface=bridge-local list=LAN

add comment=defconf interface=ether1 list=WAN

add interface=wlan1 list=WAN

add interface=bridge-home list=LAN

/ip address

add address=192.168.87.1/24 comment=defconf interface=bridge-local network=\

    192.168.87.0

/ip cloud

set ddns-enabled=yes

/ip dhcp-client

add comment=defconf disabled=no interface=ether1

/ip dhcp-server network

add address=192.168.87.0/24 comment=defconf dns-server=8.8.8.8,8.8.4.4 \

    gateway=192.168.87.1

/ip dns

set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4

/ip dns static

add address=192.168.88.1 comment=defconf name=router.lan

/ip firewall filter

add action=accept chain=input comment=\

    "defconf: accept established,related,untracked" connection-state=\

    established,related,untracked

add action=drop chain=input comment="defconf: drop invalid" connection-state=\

    invalid

add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp

add action=accept chain=input comment=\

    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1

add action=drop chain=input comment="defconf: drop all not coming from LAN" \

    in-interface-list=!LAN

add action=accept chain=forward comment="defconf: accept in ipsec policy" \

    ipsec-policy=in,ipsec

add action=accept chain=forward comment="defconf: accept out ipsec policy" \

    ipsec-policy=out,ipsec

add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \

    connection-state=established,related

add action=accept chain=forward comment=\

    "defconf: accept established,related, untracked" connection-state=\

    established,related,untracked

add action=drop chain=forward comment="defconf: drop invalid" \

    connection-state=invalid

add action=drop chain=forward comment=\

    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \

    connection-state=new in-interface-list=WAN

/ip firewall nat

add action=masquerade chain=srcnat comment="defconf: masquerade" \

    ipsec-policy=out,none out-interface-list=WAN

/system clock

set time-zone-name=Europe/Madrid

/tool mac-server

set allowed-interface-list=LAN

/tool mac-server mac-winbox

set allowed-interface-list=LAN



Lado Home (A)

Bash:
/interface eoip

add allow-fast-path=no mac-address=02:94:4E:76:BF:D7 mtu=1500 name=tunnel-to-hapmini remote-address=d97XXXXXXX29.sn.mynetname.net tunnel-id=1

add local-address=192.168.68.1 mac-address=FE:4F:32:98:6A:85 mtu=1500 name=tunnel-to-ether2-apto remote-address=192.168.68.2 tunnel-id=0

/interface bridge port

add bridge=bridge interface=tunnel-to-ether2-apto

add bridge=bridge interface=tunnel-to-hapmini

Señalar que tengo en A tengo actualmente un interfaz EoIP funcionando sobre IKEv2 y con policies, y funciona perfecto.

El problema reside en que el dominio dinámico del hAP mini no se registra correctamente o lo que sea, que desde A no tengo narices de llegar con el ping y por tanto el nuevo tunel EoIP no levanta

NQguSxsAti.png


En el lado B parece que se registra bien:

sfBsNQZWzx.png


Hay conectividad hacia internet y hacia A:

Ub1n7fSMYp.png


Pero desde el propio equipo B no puedo hacer ping a su propio DDNS de Mikrotik

Alguna idea?

S@lu2.
 
Última edición:
Estás mezclando cosas. Si en A ya tienes IKEv2, no vayas al esquema de router tonto, monta el EoIP sobre el túnel IKEv2 (es decir, llévate los certificados a este router, y enchúfalo como un road-warrior más y, sobre ese túnel IKEv2, el EoIP, usando las IP's locales del túnel).

Si necesitas un ejemplo dime, y te paso el que tengo yo como roaming.

Saludos!

PD: creo que ahora mismo no te funciona porque el firewall no permite el tráfico del EoIP en el router "tonto". Si vas sin IPSEC, tendrías que permitir el tráfico de tipo 47 (GRE) en input. Si vas con IPSEC, abrir los puertos 4500 y el 500 UDP.

Saludos!
 
Mira, un ejemplo. En tu caso, tendrías que poner la wlan1 como WAN y ponerla en modo station (si no vas a usar esa misma interfaz wireless para nada más) o en station-pseudobridge (si luego vas a querer montar una wifi virtual a partir de ella).

Mi red VPN es la 192.168.78.0/24, y a este equipo se le asigna, vía perfil road-warrior, la IP 192.168.78.3. Como verás, los extremos del túnel EoIP son las IP's de loopback (192.168.78.1) de HQ y la que asigna IKEv2 a este extremo, 192.168.78.3, ambas locales. Aquí ya no hace falta aplicar encriptado al túnel, puesto que ya va dentro de otro que sí lo lleva, el IKEv2.

Ether2, al estar en el mismo bridge que el túnel EoIP, coge la IP del router de casa, la que da el DHCP de HQ.

Código:
###### ROAMING ROUTER ######
/interface bridge
add admin-mac=C4:AD:34:FA:0B:F5 auto-mac=no name=bridge-home
add admin-mac=C4:AD:34:FA:0B:F6 auto-mac=no name=bridge-local
/interface eoip
add local-address=192.168.78.3 mac-address=02:C0:AE:EC:AE:BF mtu=1500 name=\
    tunnel-home remote-address=192.168.78.1 tunnel-id=1
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec policy group
add name=ike2-template-group
/ip ipsec profile
add dh-group=modp2048,modp1536,modp1024 enc-algorithm=aes-256,aes-192,aes-128 \
    hash-algorithm=sha256 name=ike2-profile
/ip ipsec peer
add address=serialHQ.sn.mynetname.net exchange-mode=ike2 name=ike2-hq-peer \
    profile=ike2-profile
/ip ipsec proposal
add auth-algorithms=sha512,sha256,sha1 enc-algorithms="aes-256-cbc,aes-256-ctr\
    ,aes-256-gcm,aes-192-cbc,aes-192-ctr,aes-192-gcm,aes-128-cbc,aes-128-ctr,a\
    es-128-gcm" lifetime=8h name=ike2-proposal pfs-group=none
/ip pool
add name=dhcp-local ranges=192.168.76.2-192.168.76.254
/ip dhcp-server
add address-pool=dhcp-local disabled=no interface=bridge-local name=\
    dhcp-local
/interface bridge port
add bridge=bridge-home interface=ether2
add bridge=bridge-home interface=tunnel-home
add bridge=bridge-local interface=ether3
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface detect-internet
set detect-interface-list=WAN
/interface list member
add interface=bridge-home list=LAN
add interface=bridge-local list=LAN
add interface=ether1 list=WAN
/ip address
add address=192.168.76.1/24 interface=bridge-local network=192.168.76.0
/ip dhcp-client
add disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.76.0/24 gateway=192.168.76.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=1.1.1.2,1.0.0.2
/ip dns static
add address=192.168.76.1 comment=defconf name=roaming.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input dst-port=500,4500 protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input comment="allow vpn encrypted traffic" ipsec-policy=\
    in,ipsec src-address=192.168.78.0/24
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat ipsec-policy=out,none out-interface-list=\
    WAN
/ip ipsec identity
add auth-method=digital-signature certificate=vpn-client-roaming \
    generate-policy=port-strict mode-config=request-only peer=ike2-hq-peer \
    policy-template-group=ike2-template-group
/ip ipsec policy
add dst-address=0.0.0.0/0 group=ike2-template-group proposal=ike2-proposal \
    src-address=192.168.78.0/24 template=yes
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=hap-roaming
/system ntp client
set enabled=yes server-dns-names=pool.ntp.org
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Saludos!
 
Mira, un ejemplo. En tu caso, tendrías que poner la wlan1 como WAN y ponerla en modo station (si no vas a usar esa misma interfaz wireless para nada más) o en station-pseudobridge (si luego vas a querer montar una wifi virtual a partir de ella).

Mi red VPN es la 192.168.78.0/24, y a este equipo se le asigna, vía perfil road-warrior, la IP 192.168.78.3. Como verás, los extremos del túnel EoIP son las IP's de loopback (192.168.78.1) de HQ y la que asigna IKEv2 a este extremo, 192.168.78.3, ambas locales. Aquí ya no hace falta aplicar encriptado al túnel, puesto que ya va dentro de otro que sí lo lleva, el IKEv2.

Ether2, al estar en el mismo bridge que el túnel EoIP, coge la IP del router de casa, la que da el DHCP de HQ.

Código:
###### ROAMING ROUTER ######
/interface bridge
add admin-mac=C4:AD:34:FA:0B:F5 auto-mac=no name=bridge-home
add admin-mac=C4:AD:34:FA:0B:F6 auto-mac=no name=bridge-local
/interface eoip
add local-address=192.168.78.3 mac-address=02:C0:AE:EC:AE:BF mtu=1500 name=\
    tunnel-home remote-address=192.168.78.1 tunnel-id=1
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec policy group
add name=ike2-template-group
/ip ipsec profile
add dh-group=modp2048,modp1536,modp1024 enc-algorithm=aes-256,aes-192,aes-128 \
    hash-algorithm=sha256 name=ike2-profile
/ip ipsec peer
add address=serialHQ.sn.mynetname.net exchange-mode=ike2 name=ike2-hq-peer \
    profile=ike2-profile
/ip ipsec proposal
add auth-algorithms=sha512,sha256,sha1 enc-algorithms="aes-256-cbc,aes-256-ctr\
    ,aes-256-gcm,aes-192-cbc,aes-192-ctr,aes-192-gcm,aes-128-cbc,aes-128-ctr,a\
    es-128-gcm" lifetime=8h name=ike2-proposal pfs-group=none
/ip pool
add name=dhcp-local ranges=192.168.76.2-192.168.76.254
/ip dhcp-server
add address-pool=dhcp-local disabled=no interface=bridge-local name=\
    dhcp-local
/interface bridge port
add bridge=bridge-home interface=ether2
add bridge=bridge-home interface=tunnel-home
add bridge=bridge-local interface=ether3
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface detect-internet
set detect-interface-list=WAN
/interface list member
add interface=bridge-home list=LAN
add interface=bridge-local list=LAN
add interface=ether1 list=WAN
/ip address
add address=192.168.76.1/24 interface=bridge-local network=192.168.76.0
/ip dhcp-client
add disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.76.0/24 gateway=192.168.76.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=1.1.1.2,1.0.0.2
/ip dns static
add address=192.168.76.1 comment=defconf name=roaming.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input dst-port=500,4500 protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input comment="allow vpn encrypted traffic" ipsec-policy=\
    in,ipsec src-address=192.168.78.0/24
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat ipsec-policy=out,none out-interface-list=\
    WAN
/ip ipsec identity
add auth-method=digital-signature certificate=vpn-client-roaming \
    generate-policy=port-strict mode-config=request-only peer=ike2-hq-peer \
    policy-template-group=ike2-template-group
/ip ipsec policy
add dst-address=0.0.0.0/0 group=ike2-template-group proposal=ike2-proposal \
    src-address=192.168.78.0/24 template=yes
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=hap-roaming
/system ntp client
set enabled=yes server-dns-names=pool.ntp.org
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Saludos!
Sii, lo estaba montando ahora sobre el tunel existente IKEv2 a ver si tengo suerte, gracias @pokoyo!

S@lu2.
 
Mira, un ejemplo. En tu caso, tendrías que poner la wlan1 como WAN y ponerla en modo station (si no vas a usar esa misma interfaz wireless para nada más) o en station-pseudobridge (si luego vas a querer montar una wifi virtual a partir de ella).

Mi red VPN es la 192.168.78.0/24, y a este equipo se le asigna, vía perfil road-warrior, la IP 192.168.78.3. Como verás, los extremos del túnel EoIP son las IP's de loopback (192.168.78.1) de HQ y la que asigna IKEv2 a este extremo, 192.168.78.3, ambas locales. Aquí ya no hace falta aplicar encriptado al túnel, puesto que ya va dentro de otro que sí lo lleva, el IKEv2.

Ether2, al estar en el mismo bridge que el túnel EoIP, coge la IP del router de casa, la que da el DHCP de HQ.

Código:
###### ROAMING ROUTER ######
/interface bridge
add admin-mac=C4:AD:34:FA:0B:F5 auto-mac=no name=bridge-home
add admin-mac=C4:AD:34:FA:0B:F6 auto-mac=no name=bridge-local
/interface eoip
add local-address=192.168.78.3 mac-address=02:C0:AE:EC:AE:BF mtu=1500 name=\
    tunnel-home remote-address=192.168.78.1 tunnel-id=1
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec policy group
add name=ike2-template-group
/ip ipsec profile
add dh-group=modp2048,modp1536,modp1024 enc-algorithm=aes-256,aes-192,aes-128 \
    hash-algorithm=sha256 name=ike2-profile
/ip ipsec peer
add address=serialHQ.sn.mynetname.net exchange-mode=ike2 name=ike2-hq-peer \
    profile=ike2-profile
/ip ipsec proposal
add auth-algorithms=sha512,sha256,sha1 enc-algorithms="aes-256-cbc,aes-256-ctr\
    ,aes-256-gcm,aes-192-cbc,aes-192-ctr,aes-192-gcm,aes-128-cbc,aes-128-ctr,a\
    es-128-gcm" lifetime=8h name=ike2-proposal pfs-group=none
/ip pool
add name=dhcp-local ranges=192.168.76.2-192.168.76.254
/ip dhcp-server
add address-pool=dhcp-local disabled=no interface=bridge-local name=\
    dhcp-local
/interface bridge port
add bridge=bridge-home interface=ether2
add bridge=bridge-home interface=tunnel-home
add bridge=bridge-local interface=ether3
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface detect-internet
set detect-interface-list=WAN
/interface list member
add interface=bridge-home list=LAN
add interface=bridge-local list=LAN
add interface=ether1 list=WAN
/ip address
add address=192.168.76.1/24 interface=bridge-local network=192.168.76.0
/ip dhcp-client
add disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.76.0/24 gateway=192.168.76.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=1.1.1.2,1.0.0.2
/ip dns static
add address=192.168.76.1 comment=defconf name=roaming.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input dst-port=500,4500 protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input comment="allow vpn encrypted traffic" ipsec-policy=\
    in,ipsec src-address=192.168.78.0/24
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat ipsec-policy=out,none out-interface-list=\
    WAN
/ip ipsec identity
add auth-method=digital-signature certificate=vpn-client-roaming \
    generate-policy=port-strict mode-config=request-only peer=ike2-hq-peer \
    policy-template-group=ike2-template-group
/ip ipsec policy
add dst-address=0.0.0.0/0 group=ike2-template-group proposal=ike2-proposal \
    src-address=192.168.78.0/24 template=yes
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=hap-roaming
/system ntp client
set enabled=yes server-dns-names=pool.ntp.org
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Saludos
Puff no hay forma de conectar al extremo B (hAP mini), he probado todas los escenarios que se barajan en el foro para "llevarte la red a cuestas" incluso esta config última que has enviado, pero forzando la actualizacion del DDNS me da ese mensaje..

09KKlT2CPx.png


Para mi que la conexión 4G (Xiaomi/Pepephone) a la que tengo conectado el hAP mini tiene algún NAT que impide conexiones entrantes al hAP mini. Seguro que tendría que conectarlo a otra conexión de fibra (había leído que los túneles EoIP se saltaban los NAT), pero ahora imposible jeje.

Mi gozo en un pozo :(

S@lu2.
 
Si el lado que origina la conexión es el nateado y "HQ" está en modo "pasivo", no deberías tener problema.

Saludos!
 
Hola a todos!! Pues tengo un problemita con este tema. Hasta ahora he estado usando muy bien esto en una segunda residencia en la que me conecto a un router de forma inalambrica para levantar la sonda, y al mismo tiempo emito una wlan_home donde los clientes se conectan.

Sin embargo nos acabamos de venir a un apartamento donde tengo el router de la compañía en él. He conectado el hAP mini al router en el puerto ether1, pero el problema que tengo es que no veo en los clientes la wlan home. Entiendo que esto debiera de verlo incluso sin el túnel EoIP habilitado. No? Sabéis qué puede estar pasando?

Gracias!!
 
Hola a todos!! Pues tengo un problemita con este tema. Hasta ahora he estado usando muy bien esto en una segunda residencia en la que me conecto a un router de forma inalambrica para levantar la sonda, y al mismo tiempo emito una wlan_home donde los clientes se conectan.

Sin embargo nos acabamos de venir a un apartamento donde tengo el router de la compañía en él. He conectado el hAP mini al router en el puerto ether1, pero el problema que tengo es que no veo en los clientes la wlan home. Entiendo que esto debiera de verlo incluso sin el túnel EoIP habilitado. No? Sabéis qué puede estar pasando?

Gracias!!
Sin un export, difícil. Pásalo, a ver qué vemos.

Saludos!
 
Sin un export, difícil. Pásalo, a ver qué vemos.

Saludos!

Gracias pokoyo.

Lo que más me extraña es eso, que no levante la wlan-home. Por más que lo miro, solo me cuadraría que al ser slave de la wlan1, a lo mejor si wlan1 no realiza la conexión, entonces no levanta la wlan-home (SYM_EoIP), pero no tendría sentido para esta casuística.

Sin más dilación, te paso el export:

Código:
/interface bridge
add admin-mac=48:8F:5A:B6:DA:2A auto-mac=no name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no ssid=MiFibra-D480 \
    station-roaming=enabled
/interface eoip
add allow-fast-path=no mac-address=02:D0:6B:F6:D2:98 mtu=1500 name=\
    tunnel-to-hex remote-address=serial.sn.mynetname.net tunnel-id=0
/interface list
add name=WAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=\
    dynamic-keys supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys name=\
    wlan-home-security supplicant-identity=""
/interface wireless
add disabled=no keepalive-frames=disabled mac-address=4A:8F:5A:B6:DA:2D \
    master-interface=wlan1 multicast-buffering=disabled name=wlan-home \
    security-profile=wlan-home-security ssid=SYM_EoIP wds-cost-range=0 \
    wds-default-cost=0 wps-mode=disabled
/ip pool
add name=pool-mgmnt ranges=192.168.99.2-192.168.99.5
/ip dhcp-server
add address-pool=pool-mgmnt disabled=no interface=ether3 name=dhcp-mgmnt
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,passw\
    ord,web,sniff,sensitive,api,romon,dude,tikapp"
/interface bridge port
add bridge=bridge interface=ether2
add bridge=bridge interface=wlan-home
add bridge=bridge interface=tunnel-to-hex
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface detect-internet
set detect-interface-list=WAN
/interface list member
add interface=ether1 list=WAN
add interface=wlan1 list=WAN
/ip address
add address=192.168.99.1/24 interface=ether3 network=192.168.99.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add add-default-route=no disabled=no interface=bridge
/ip dhcp-server network
add address=192.168.99.0/24 dns-server=192.168.99.1 domain=lan gateway=\
    192.168.99.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1
/ip dns static
add address=192.168.99.1 name=router-eoip.lan
/system clock
set time-zone-name=Europe/Madrid
/system scheduler
add interval=1d name=planificador-backup-cloud on-event=crear-backup-cloud \
    policy=read,write,test start-date=oct/14/2020 start-time=05:30:00
/system script
add comment="Actualiza un backup en la nube de Mikrotik" \
    dont-require-permissions=yes name=crear-backup-cloud owner=sermayoral \
    policy=read,write,test,password source="/log info message=\"cloud backup sta\
    rted\"\r\
    \n/system backup cloud upload-file action=create-and-upload password=passwo\
    rd replace=[/system backup cloud get 0 name]\r\
    \n/log info message=\"cloud backup finished\"\r\
    \n"
 
Última edición:
Sí, es eso. Para que la interfaz wireless virtual levante, la física tiene que estar en modo AP. Si está en modo station y no está conectado a nada; la virtual no levanta.

Saludos!
 
Sí, es eso. Para que la interfaz wireless virtual levante, la física tiene que estar en modo AP. Si está en modo station y no está conectado a nada; la virtual no levanta.

Saludos!
Entonces habría alguna forma de dejarlo configurado bien para que, independientemente de si uso la wlan1 o el puerto ether1 para conectarme a internet, la wlan virtual levante y pueda conectarme?

Por lo que entiendo, si voy a conectar el hAP mini al router que tiene internet por wlan1, tendré que tener la wlan1 en modo station, y si voy a conectarme por ether1, tendría que cambiarlo a modo AP?
 
Correcto. Debes de tener las dos configuraciones y, dependiendo de tu setup, aplicar una u otra. Es tan sencillo como guardar dos backup, y cargar el que necesites. Si el equipo fuera doble banda, podrías dedicar una interfaz física a la conexión, y otra al AP, pero tratándose de un equipo con un único radio, no te queda otra que hacerlo así.

otro cambio que tienes que tener en cuenta es meter o no esa interfaz en el bridge (solo lo harías en el caso de AP, y que la conexión te viniera por cable), y la actualización de la lista WAN, para que le aplique el masquerade a la interfaz correcta que haga las veces de pasarela a internet.

Saludos!
 
Saludos:

Os cuento mi problema a ver si alguien me puede ayudar. La semana pasada deje a mi hijo en el Colegio Mayor, tiene internet en la habitacion, suministrada tanto por wifi, con por ehernet a traves de un telefono UNIFI- No lo habia visto nunca.
Instalamos su ordenador, e hicimos un test de velocidad por cable 50Mb, muy bien, pero..... no todo podia ser perfecto, la red esta capada y no puede acceder a ciertas paginas.
Rapidamente me acorde de este post y pense que era la solucion perfecta, ya que tengo sobrante un hAp LITE.
Este finde semana me he puesto a montar la configuracion de la primera pagina. Para simular estar fuera de la red le doy internet al router B a traves de un iphone, consigo que detecte internet, obtener ip clud, registra el tunel Eoip en ambos lados, pero cuando conecto el portatil al puerto ethernet2, el odenador me dice que no hay una ip valida.

Alguien tiene el scrip completo de la configuracion de la primera pagina funcionando ???, es probable que me falte algo , no se, no obtengo ip. No he puesto reglas en el firewall, ya que entiendo que en teoria salgo por el router A y este ya tiene sus reglas.

En Nat hay que poner algo ???

Gracias de antemano.
 
No montes un EoIP para eso, que no lo necesitas, y vas a tener un rendimiento Liu pobre. En casa monta un servidor l2tp y en la residencia con el l hAP-lite un cliente, con la ruta por defecto para que saque todo el tráfico por la vpn.

Saludos!
 
En los manuales tienes cómo se monta un servidor l2tp con ipsec. Montar el cliente es realmente sencillo, con pulsar en interfaces e botón + y añadir una de tipo l2tp client y rellenar los datos es suficiente, marcando la opción del “add default route” para que ese equipo saqué todo por la vpn.

Saludos!
 
Buenas noches,

En primer lugar, me gustaría agradecer el gran trabajo que hacen los maestros expertos y que nos ayudan en la configuración tediosa de los aparatos Mikrotik desinteresadamente.

Os escribo porque llevaba mucho tiempo queriendo quitar el HGU de movistar y sustituirlo por un router mikrotik con las 3 VLAN. Seguí el manual de @furny para implementar las 3VLAN y configuración multideco. La verdad es que siguiendo todos los pasos descritos, lo conseguí sin problema. El deco funcionaba perfecto muy rápido.

Ahora quiero llevarme el deco de la TV a mi segunda residencia por lo que he seguido el tutorial de @pokoyo para túneles EoIP: Cómo llevarte tu red a cuestas.
Sin embargo, no consigo que funcione el túnel entre ambos router: lo cierto es que en ambos túneles aparecen los flags RS tal y como comenta Pokoyo pero el tráfico recibido es cero y el trasmitido casi nulo. La verdad es que he tenido que crear los túneles desde Webfig porque desde Winbox no levantaba la conexión entre ambos, tal y como comentaban otros compañeros en el hilo.

La configuración que tengo es la siguiente:

Router A: el que tiene la suscripción a movistar y las 3VLAN. El modelo del router mikrotik es: RB2011UiAS. Todo funcionando sin problema. El deco TV funciona perfectamente!!, (no me funcionaba bien hasta que cambié el HGU por una ONT HUAWEI).

Router B: siguiendo las recomendaciones de Pokoyo, compré el mikrotik Hex y lo tengo instalado en mi segunda residencia y conectado por cable al router que me da Internet. Una vez configurado siguiendo el tutorial EOIP: cómo llevarte tu red a cuestas, conecto el deco TV en el ethernet2 pero no recibe IP alguna y aparece el mensaje de que no se encuentra la red en el deco TV.

He realizado el tutorial varias veces, pero sin éxito; agradecería cualquier ayuda.

Adjunto un export de ambas configuraciones por si hubiese hecho algo mal durante la configuración del router B.

Muchas Gracias.
 

Adjuntos

  • config_Router_A.txt
    8.7 KB · Visitas: 25
  • config_router_B.txt
    1.2 KB · Visitas: 18
Arriba