Yo si tengo, si quieres probamos a configurarlo
Yo hago de emisor y tu de receptor
¿Te parece?
MANUAL: Mikrotik, túneles EoIP: Cómo llevarte tu red a cuestas
- Iniciador del tema pokoyo
- Fecha de inicio
Yo hago de emisor y tu de receptor
¿Te parece?
- Mensajes
- 7,667
Por mi bien. Pero del tema del IPTV quien controla el a el amigo @furny, que hace un tiempo que no se le ve por aquí. Lo digo porque en ese manual hablan de PIM, y movistar usa RIP. No sé si podríamos seguir con RIP en la parte privada y extenderlo vía túnel VPN
Pero si quieres que cacharreemos, cacharreamos. Aunque nos vendría bien alguien que supiera bien cómo funciona el multicast de Movistar. Y ese no soy yo.
Saludos!
Este fin de semana lo intento cambiando la red wifi por la red que se monta con la VPN.
Te voy diciendo lo que consigo
diamuxin
Usuari@ ADSLzone
- Mensajes
- 231
Buenas tardes,
Recién me ha llegado un hAP mini y la idea es de conectar desde A (home) a este nuevo equipo (B) para poder trabajar desde otra ubicación como si estuviera en casa (es la idea que tenemos la mayoría jeje).
Para ello me puse mano a la obra y primero probé la config del router "tonto" y ahora esta que voy a describir "router normal pero como WAN la interfaz wlan1", ninguna de las dos me ha funcionado; estoy probando B en casa a través del 4G, simulando una red diferente, con dos móviles de diferentes marcas y compañías: xiaomi/samsung, pepephone/digi.
En la parte del hAP mini (B), tengo esta configuración:
Lado Home (A)
Señalar que tengo en A tengo actualmente un interfaz EoIP funcionando sobre IKEv2 y con policies, y funciona perfecto.
El problema reside en que el dominio dinámico del hAP mini no se registra correctamente o lo que sea, que desde A no tengo narices de llegar con el ping y por tanto el nuevo tunel EoIP no levanta
En el lado B parece que se registra bien:
Hay conectividad hacia internet y hacia A:
Pero desde el propio equipo B no puedo hacer ping a su propio DDNS de Mikrotik
Alguna idea?
S@lu2.
Recién me ha llegado un hAP mini y la idea es de conectar desde A (home) a este nuevo equipo (B) para poder trabajar desde otra ubicación como si estuviera en casa (es la idea que tenemos la mayoría jeje).
Para ello me puse mano a la obra y primero probé la config del router "tonto" y ahora esta que voy a describir "router normal pero como WAN la interfaz wlan1", ninguna de las dos me ha funcionado; estoy probando B en casa a través del 4G, simulando una red diferente, con dos móviles de diferentes marcas y compañías: xiaomi/samsung, pepephone/digi.
En la parte del hAP mini (B), tengo esta configuración:
Bash:
# jul/15/2021 14:01:39 by RouterOS 6.48.3
# software id = UCU9-4RRD
#
# model = RB931-2nD
# serial number = D97XXXXXXX29
/interface bridge
add name=bridge-home
add admin-mac=08:55:31:1A:69:21 auto-mac=no comment=defconf name=bridge-local
/interface eoip
add allow-fast-path=no mac-address=FE:5C:9F:C1:D9:5E mtu=1500 name=\
tunnel-home remote-address=d44XXXXXXX09.sn.mynetname.net tunnel-id=1
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys name=\
profile-home supplicant-identity="" wpa2-pre-shared-key=bbil5230
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no distance=indoors \
frequency=2462 installation=indoor security-profile=profile-home ssid=\
AndroidAP6A70 wireless-protocol=802.11
/ip pool
add name=default-dhcp ranges=192.168.87.10-192.168.87.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge-local name=defconf
/interface bridge port
add bridge=bridge-local comment=defconf interface=ether3
add bridge=bridge-local comment=defconf interface=pwr-line1
add bridge=bridge-home interface=tunnel-home
add bridge=bridge-home interface=ether2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface detect-internet
set detect-interface-list=WAN
/interface list member
add comment=defconf interface=bridge-local list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=wlan1 list=WAN
add interface=bridge-home list=LAN
/ip address
add address=192.168.87.1/24 comment=defconf interface=bridge-local network=\
192.168.87.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.87.0/24 comment=defconf dns-server=8.8.8.8,8.8.4.4 \
gateway=192.168.87.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
/system clock
set time-zone-name=Europe/Madrid
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LANLado Home (A)
Bash:
/interface eoip
add allow-fast-path=no mac-address=02:94:4E:76:BF:D7 mtu=1500 name=tunnel-to-hapmini remote-address=d97XXXXXXX29.sn.mynetname.net tunnel-id=1
add local-address=192.168.68.1 mac-address=FE:4F:32:98:6A:85 mtu=1500 name=tunnel-to-ether2-apto remote-address=192.168.68.2 tunnel-id=0
/interface bridge port
add bridge=bridge interface=tunnel-to-ether2-apto
add bridge=bridge interface=tunnel-to-hapminiSeñalar que tengo en A tengo actualmente un interfaz EoIP funcionando sobre IKEv2 y con policies, y funciona perfecto.
El problema reside en que el dominio dinámico del hAP mini no se registra correctamente o lo que sea, que desde A no tengo narices de llegar con el ping y por tanto el nuevo tunel EoIP no levanta
En el lado B parece que se registra bien:
Hay conectividad hacia internet y hacia A:
Pero desde el propio equipo B no puedo hacer ping a su propio DDNS de Mikrotik
Alguna idea?
S@lu2.
Última edición:
- Mensajes
- 7,667
Estás mezclando cosas. Si en A ya tienes IKEv2, no vayas al esquema de router tonto, monta el EoIP sobre el túnel IKEv2 (es decir, llévate los certificados a este router, y enchúfalo como un road-warrior más y, sobre ese túnel IKEv2, el EoIP, usando las IP's locales del túnel).
Si necesitas un ejemplo dime, y te paso el que tengo yo como roaming.
Saludos!
PD: creo que ahora mismo no te funciona porque el firewall no permite el tráfico del EoIP en el router "tonto". Si vas sin IPSEC, tendrías que permitir el tráfico de tipo 47 (GRE) en input. Si vas con IPSEC, abrir los puertos 4500 y el 500 UDP.
Saludos!
Si necesitas un ejemplo dime, y te paso el que tengo yo como roaming.
Saludos!
PD: creo que ahora mismo no te funciona porque el firewall no permite el tráfico del EoIP en el router "tonto". Si vas sin IPSEC, tendrías que permitir el tráfico de tipo 47 (GRE) en input. Si vas con IPSEC, abrir los puertos 4500 y el 500 UDP.
Saludos!
- Mensajes
- 7,667
Mira, un ejemplo. En tu caso, tendrías que poner la wlan1 como WAN y ponerla en modo station (si no vas a usar esa misma interfaz wireless para nada más) o en station-pseudobridge (si luego vas a querer montar una wifi virtual a partir de ella).
Mi red VPN es la 192.168.78.0/24, y a este equipo se le asigna, vía perfil road-warrior, la IP 192.168.78.3. Como verás, los extremos del túnel EoIP son las IP's de loopback (192.168.78.1) de HQ y la que asigna IKEv2 a este extremo, 192.168.78.3, ambas locales. Aquí ya no hace falta aplicar encriptado al túnel, puesto que ya va dentro de otro que sí lo lleva, el IKEv2.
Ether2, al estar en el mismo bridge que el túnel EoIP, coge la IP del router de casa, la que da el DHCP de HQ.
Saludos!
Mi red VPN es la 192.168.78.0/24, y a este equipo se le asigna, vía perfil road-warrior, la IP 192.168.78.3. Como verás, los extremos del túnel EoIP son las IP's de loopback (192.168.78.1) de HQ y la que asigna IKEv2 a este extremo, 192.168.78.3, ambas locales. Aquí ya no hace falta aplicar encriptado al túnel, puesto que ya va dentro de otro que sí lo lleva, el IKEv2.
Ether2, al estar en el mismo bridge que el túnel EoIP, coge la IP del router de casa, la que da el DHCP de HQ.
Código:
###### ROAMING ROUTER ######
/interface bridge
add admin-mac=C4:AD:34:FA:0B:F5 auto-mac=no name=bridge-home
add admin-mac=C4:AD:34:FA:0B:F6 auto-mac=no name=bridge-local
/interface eoip
add local-address=192.168.78.3 mac-address=02:C0:AE:EC:AE:BF mtu=1500 name=\
tunnel-home remote-address=192.168.78.1 tunnel-id=1
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec policy group
add name=ike2-template-group
/ip ipsec profile
add dh-group=modp2048,modp1536,modp1024 enc-algorithm=aes-256,aes-192,aes-128 \
hash-algorithm=sha256 name=ike2-profile
/ip ipsec peer
add address=serialHQ.sn.mynetname.net exchange-mode=ike2 name=ike2-hq-peer \
profile=ike2-profile
/ip ipsec proposal
add auth-algorithms=sha512,sha256,sha1 enc-algorithms="aes-256-cbc,aes-256-ctr\
,aes-256-gcm,aes-192-cbc,aes-192-ctr,aes-192-gcm,aes-128-cbc,aes-128-ctr,a\
es-128-gcm" lifetime=8h name=ike2-proposal pfs-group=none
/ip pool
add name=dhcp-local ranges=192.168.76.2-192.168.76.254
/ip dhcp-server
add address-pool=dhcp-local disabled=no interface=bridge-local name=\
dhcp-local
/interface bridge port
add bridge=bridge-home interface=ether2
add bridge=bridge-home interface=tunnel-home
add bridge=bridge-local interface=ether3
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface detect-internet
set detect-interface-list=WAN
/interface list member
add interface=bridge-home list=LAN
add interface=bridge-local list=LAN
add interface=ether1 list=WAN
/ip address
add address=192.168.76.1/24 interface=bridge-local network=192.168.76.0
/ip dhcp-client
add disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.76.0/24 gateway=192.168.76.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=1.1.1.2,1.0.0.2
/ip dns static
add address=192.168.76.1 comment=defconf name=roaming.lan
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input dst-port=500,4500 protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input comment="allow vpn encrypted traffic" ipsec-policy=\
in,ipsec src-address=192.168.78.0/24
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat ipsec-policy=out,none out-interface-list=\
WAN
/ip ipsec identity
add auth-method=digital-signature certificate=vpn-client-roaming \
generate-policy=port-strict mode-config=request-only peer=ike2-hq-peer \
policy-template-group=ike2-template-group
/ip ipsec policy
add dst-address=0.0.0.0/0 group=ike2-template-group proposal=ike2-proposal \
src-address=192.168.78.0/24 template=yes
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=hap-roaming
/system ntp client
set enabled=yes server-dns-names=pool.ntp.org
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LANSaludos!
diamuxin
Usuari@ ADSLzone
- Mensajes
- 231
Puff no hay forma de conectar al extremo B (hAP mini), he probado todas los escenarios que se barajan en el foro para "llevarte la red a cuestas" incluso esta config última que has enviado, pero forzando la actualizacion del DDNS me da ese mensaje..
Para mi que la conexión 4G (Xiaomi/Pepephone) a la que tengo conectado el hAP mini tiene algún NAT que impide conexiones entrantes al hAP mini. Seguro que tendría que conectarlo a otra conexión de fibra (había leído que los túneles EoIP se saltaban los NAT), pero ahora imposible jeje.
Mi gozo en un pozo
S@lu2.
