MANUAL: Mikrotik, túneles EoIP: Cómo llevarte tu red a cuestas

Sí, esa es una manera. Pero te va a resultar más sencillo, en mi opinión, partir de una plantilla distinta del quick set, como la de CPE. Esa plantilla está pensada justo para lo que tú quieres, que la wifi sea un cliente inalámbrico y que sobre ella actúe la WAN.

Saludos!
Pues lo he intentado, haciendo un hard reset con default configuration, sin default configuration, etc. Es que no se muy bien qué tengo que hacer... Así que de momento he montado el tutorial de túnel eoip este del hilo y así voy tirando. Ciertamente me va peor que antes, pero bueno voy tirando...

Volviendo a WireGuard, que sería lo suyo montarlo. Quizás es que no me queda muy claro el sentido. Por un lado el hap mini obtiene internet, ya sea por eth1 o por wlan (a través de una sonda). Eso ya lo he hecho con este tutorial de eoip (a través de la plantilla cpe es que no me funciona muy bien). A ver, si el túnel eoip lo que hace es conectar el hap mini con mi router. Por qué tengo que meter WireGuard en la variable? O dicho de otro modo, si con WireGuard ya tengo conectado el hap mini a mi hex de casa. Qué gano montando sobre eso un túnel eoip?

Por otro lado, al montar la plantilla cpe. Marco la opción de NAT? Y la de montar el bridge sobre todos los puertos fisicos?
 
A ver, recapitulemos. ¿Para qué quieres el túnel? Si lo quieres únicamente para conectar dos lan remotas, usa wireguard a secas. Si necesitas algo más, tipo propagar el mismo dominio de broadcast completo (como lo haríamos con el iptv), en ese caso monta eoip, sin encriptación, sobre el wireguard ya establecido.

Saludos!
 
A ver, recapitulemos. ¿Para qué quieres el túnel? Si lo quieres únicamente para conectar dos lan remotas, usa wireguard a secas. Si necesitas algo más, tipo propagar el mismo dominio de broadcast completo (como lo haríamos con el iptv), en ese caso monta eoip, sin encriptación, sobre el wireguard ya establecido.

Saludos!
Pues lo quiero solo para los casos en los que se describe en este manual. No tengo intención de interconectar esta LAN con la mía. Solo quiero que los que nos conectemos al hAP mini (exclusivamente mi familia, no los usuarios de esta LAN) sean gestionados por mi router. En este caso estoy en una residencia familiar en la que el router lo usan 3 familias (no quiero que ellos tengan acceso a mi LAN de casa, solo nosotros los que nos conectamos al hAP mini). Otras veces me voy de vacaciones a un hotel y monto mi hAP mini para el mismo caso, que nosotros tengamos acceso a nuestra LAN del hogar, pero los demás usuarios de la LAN del hotel no la tengan.

Un saludo.
 
Vale, en ese caso olvídate de este manual, EoIP no es recomendable para lo que quieres hacer. Ve directamente a montar un site to site con wireguard. Y, dependiendo de qué accesos queráis entre ambos extremos, así configuramos el firewall.

Saludos!
 
Vale, en ese caso olvídate de este manual, EoIP no es recomendable para lo que quieres hacer. Ve directamente a montar un site to site con wireguard. Y, dependiendo de qué accesos queráis entre ambos extremos, así configuramos el firewall.

Saludos!
Vale. El primer paso sería un quickset normal y corriente con obtención de ip en automático entiendo. ¿No? Con nat y todo. Lo único que el NAT estará detrás de otro NAT, vamos lo que es un router bajo otro router (el del hotel o el de la residencia familiar).

Por otro lado, me gustó mucho la idea de usar el puerto ether3 para administración, y el puerto ether1 o wlan1 con la sonda para detectar internet, porque en algunos casos interesa conectarse al router del hotel por cable (si lo tienes a mano) o por wifi.
 
Correcto. Podemos montar dos configuraciones y que alternes entre ellas (dos backups y que cargues uno u otro en función del uso que le vayas a dar). O aprender a hacer los cambios a mano, y tirar millas.

Por el doble NAT no te preocupes, es más común de lo que parece en este tipo de setups y no tiene por qué dar problemas.

Saludos!
 
Correcto. Podemos montar dos configuraciones y que alternes entre ellas (dos backups y que cargues uno u otro en función del uso que le vayas a dar). O aprender a hacer los cambios a mano, y tirar millas.

Por el doble NAT no te preocupes, es más común de lo que parece en este tipo de setups y no tiene por qué dar problemas.

Saludos!
Te refieres al setup que coge internet del wifi y el que lo coge del puerto ether1? Tener dos setups y cargar el que corresponda, no?
 
Correcto.

Saludos!
Hola pokoyo. Pues ya lo he montado pero no tengo acceso de un lado a otro. Tengo internet y me va todo muy bien, por lo que tenía esperanza en este setup, pero no, los peers WireGuard no tienen tráfico.

He revisado todo y no parece que me haya dejado nada en el tintero. No será el doble nat (o más bien el NAT principal) el que me esté jugando una mala pasada? Entiendo que no sirve de mucho abrir el puerto udp de Wireguard si en el router principal al que está conectado el hap mini no se abre también el puerto, no?
 
Si tienes doble nat en los dos sitios, por narices, al menos en uno de los dos, tienes que abrir el puerto UDP y mandarlo al router mikrotik.

Pero, si en tu casa comanda el mikrotik y en el remoto hay un NAT por encima, no debería haber problema, porque quien arrancaría la conexión sería el peer del lado remoto.

Saludos!
 
Si tienes doble nat en los dos sitios, por narices, al menos en uno de los dos, tienes que abrir el puerto UDP y mandarlo al router mikrotik.

Pero, si en tu casa comanda el mikrotik y en el remoto hay un NAT por encima, no debería haber problema, porque quien arrancaría la conexión sería el peer del lado remoto.

Saludos!
Efectivamente. Algo se tuvo que quedar en el tintero pero ya está funcionando. Y muy rápido!!

Me gustaría revisar contigo el setup, pero no te puedo mandar un export... Así que te cuento.

Para este setup parto del quickset normal en el hap mini (he configurado red 192.168.133.0) con NAT, DHCP y todo lo demás. He puesto la wlan1 en modo station conectada al router que me da internet, y he dejado en la lista WAN solo la interfaz wlan1. Tambien la he sacado del bridge. Luego he creado una interfaz wifi secundaria wlan-home en modo ap bridge para poder conectar clientes de forma inalámbrica y la he metido dentro del bridge

Entiendo que para el caso en el que obtenga internet por el puerto ether1, tendré que modificar la lista WAN para dejar solo ether1.

Lo mismo estaría bien dejar en la lista WAN tanto la interfaz wlan1 como la ether1, y por medio de la sonda de detect internet que se autoconfigure el cliente dhcp automáticamente para cada uno de los casos.

Lo que no estoy seguro es sobre la configuración del wifi en el modo ether1, porque creo que ya me pasó con el túnel eoip antiguo, que al no tener la wlan1 en modo station funcionando, la wlan-home no iba bien, pero no estoy seguro. Si esto es así, tendría que eliminar la interfaz wlan-home de este setup, y simplemente dejar wlan1 en modo ap-bridge.

Ya solo por curiosidad. Qué ganas con montar el tunel EoIP sobre el setup que ya tengo? Lo que conseguiría sería que el router de casa gestionara todos los clientes conectados al hap mini? Le da la IP y tal? Porque era un setup muy chulo.

Otra cosa. Cuando desconecte el hap mini (fin de vacaciones). Conviene que desactive algo en el router de casa? Por el tema de recursos, no se si quedará reintentando conexion o algo.

Con respecto a los accesos del firewall, creo que lo tengo controlado y puedo conseguir lo que quiera usando una address-list. Por eso no hay problema!

Saludos!!!
 
Última edición:
Entiendo que para el caso en el que obtenga internet por el puerto ether1, tendré que modificar la lista WAN para dejar solo ether1.

Lo mismo estaría bien dejar en la lista WAN tanto la interfaz wlan1 como la ether1, y por medio de la sonda de detect internet que se autoconfigure el cliente dhcp automáticamente para cada uno de los casos.
Esto de dejar ambos no te va a funcionar. El wifi virtual en modo ap bridge sólo te va a funcionar si la interfaz física está "running". Es decir, has de montar dos configuraciones por separado, guardar sendos backups, y cargarlos según lo vayas a usar.

Ya solo por curiosidad. Qué ganas con montar el tunel EoIP sobre el setup que ya tengo? Lo que conseguiría sería que el router de casa gestionara todos los clientes conectados al hap mini? Le da la IP y tal? Porque era un setup muy chulo.
Los túneles EoIP son muy chulos, pero tremendamente ineficientes. Están encapsulando L2 en L3, transportando el domino de broadcast y extendiéndolo fuera de su, valga la redundancia, "dominio" natural. Es como montar un switch en remoto, como si enlazaras con un cable ethernet virtual desde un sitio al otro.Los routers, normalmente, se intercomunican usando L3, no L2.
Ahora mismo date cuenta de que tienes dos extremos independientes entres sí, pero comunicados. Si uno de los dos muere, el otro ni se entera. Con el EoIP, si tu router principal se va al garete, se va todo. Se usan este tipo de túneles cuando no te queda más remedio, o cuando de verdad necesitas transportar una funcionalidad que sólo funciona bajo el mismo segmento de broadcast (se me ocurre, por ejemplo, un servidor DLNA).
Pero, si no es tu caso y lo único que quieres es comunicación entre A y B, evita el EoIP, por muy bonito que parezca.

Otra cosa. Cuando desconecte el hap mini (fin de vacaciones). Conviene que desactive algo en el router de casa? Por el tema de recursos, no se si quedará reintentando conexion o algo.

Con respecto a los accesos del firewall, creo que lo tengo controlado y puedo conseguir lo que quiera usando una address-list. Por eso no hay problema!
Si quieres, puedes apagar la interfaz de Wireguard, aunque no es necesario.

Saludos!
 
Esto de dejar ambos no te va a funcionar. El wifi virtual en modo ap bridge sólo te va a funcionar si la interfaz física está "running". Es decir, has de montar dos configuraciones por separado, guardar sendos backups, y cargarlos según lo vayas a usar
Me lo temía. Ya me pasó este verano en un apartamento de playa, que tenía el router al lado, lo conecté por cable y el wifi no funcionaba bien. Pues perfecto, me voy a montar dos setups y voy cargando uno u otro en función de si lo conecto por cable o no.

En el setup en el que internet lo coge de wlan1, y al estar ether1 fuera de la lista WAN. ¿Podría meter la interfaz ether1 dentro del bridge y usarlo como si otro puerto LAN se tratase, verdad? No debería haber inconveniente.

Los túneles EoIP son muy chulos, pero tremendamente ineficientes. Están encapsulando L2 en L3, transportando el domino de broadcast y extendiéndolo fuera de su, valga la redundancia, "dominio" natural. Es como montar un switch en remoto, como si enlazaras con un cable ethernet virtual desde un sitio al otro.Los routers, normalmente, se intercomunican usando L3, no L2.
Ahora mismo date cuenta de que tienes dos extremos independientes entres sí, pero comunicados. Si uno de los dos muere, el otro ni se entera. Con el EoIP, si tu router principal se va al garete, se va todo. Se usan este tipo de túneles cuando no te queda más remedio, o cuando de verdad necesitas transportar una funcionalidad que sólo funciona bajo el mismo segmento de broadcast (se me ocurre, por ejemplo, un servidor DLNA).
Pero, si no es tu caso y lo único que quieres es comunicación entre A y B, evita el EoIP, por muy bonito que parezca.
Oído cocina. Es verdad que no iba bien del todo. La velocidad de ahora poco o nada tiene que ver, así que nada.

Si quieres, puedes apagar la interfaz de Wireguard, aunque no es necesario.
Bueno, en mi caso esto no es una opción. He usado la misma interfaz de Wireguard que ya uso para RoadWarrior, solo que he añadido un peer más que es el hAP Mini. Solo podría deshabilitar el peer, pero si no se va a resentir nada el router, entonces no merece la pena.

¿No hay ningún inconveniente en que haya usado la misma interfaz que ya uso para el Road Warrior, verdad?

Otra cosilla, que la verdad no es necesaria, pero bueno para ver cómo se montaría bien. Si me conecto a mi router de casa desde un cliente con RoadWarrior (se le asigna una IP 192.168.90.x) éstos no acceden a los dispositivos conectados al hAP Mini (192.168.133.x). Solo hay visibilidad entre los del hAP Mini y el hEX (192.168.33.x). En principio no veo necesidad de esta comunicación, pero si la necesitara. ¿Verías más adecuado meter las reglas de firewall necesarias para esta comunicación? ¿O ves más limpio conectarme por RoadWarrior al hAP Mini?

¡Saludos!
 
En el setup en el que internet lo coge de wlan1, y al estar ether1 fuera de la lista WAN. ¿Podría meter la interfaz ether1 dentro del bridge y usarlo como si otro puerto LAN se tratase, verdad? No debería haber inconveniente.
Sí, sin problema.


Bueno, en mi caso esto no es una opción. He usado la misma interfaz de Wireguard que ya uso para RoadWarrior, solo que he añadido un peer más que es el hAP Mini. Solo podría deshabilitar el peer, pero si no se va a resentir nada el router, entonces no merece la pena.

¿No hay ningún inconveniente en que haya usado la misma interfaz que ya uso para el Road Warrior, verdad?
No, no es problema. De hecho, ese es justo mi setup para el router de viajes. Lo único es que tendrás que meter una ruta estática en el router principal de casa, para que tenga visibilidad de la red que monta a su vez por debajo ese road warrior.


Otra cosilla, que la verdad no es necesaria, pero bueno para ver cómo se montaría bien. Si me conecto a mi router de casa desde un cliente con RoadWarrior (se le asigna una IP 192.168.90.x) éstos no acceden a los dispositivos conectados al hAP Mini (192.168.133.x). Solo hay visibilidad entre los del hAP Mini y el hEX (192.168.33.x). En principio no veo necesidad de esta comunicación, pero si la necesitara. ¿Verías más adecuado meter las reglas de firewall necesarias para esta comunicación? ¿O ves más limpio conectarme por RoadWarrior al hAP Mini?
Lo comentado antes, rutas. Píntamelo con las ips que tiene cada uno y te digo la ruta que te falta.

Saludos!
 
Lo comentado antes, rutas. Píntamelo con las ips que tiene cada uno y te digo la ruta que te falta.
Router de casa (hEX): 192.168.33.0/24
IPs de clientes conectados a hEX por Wireguard RW: 192.168.90.0/24
Router de viaje (hAP mini): 192.168.133.0/24

Te pongo la tabla de rutas del router de casa (hEX):

1641076926237.png


Y esta la tabla de rutas del router de viaje (hAP mini):

1641076998641.png
 
Router de casa (hEX): 192.168.33.0/24
IPs de clientes conectados a hEX por Wireguard RW: 192.168.90.0/24
Router de viaje (hAP mini): 192.168.133.0/24

Te pongo la tabla de rutas del router de casa (hEX):

Ver el adjunto 90312

Y esta la tabla de rutas del router de viaje (hAP mini):

Ver el adjunto 90315
Las rutas están bien. En el router de viaje, cuando configures el peer que representa al router de casa, asegúrate de meter el rango de IPs 192.168.90.0/24 en el allowed IPs, para permitir que esa subred envíe tráfico al hAP mini.

Saludos!
 
Las rutas están bien. En el router de viaje, cuando configures el peer que representa al router de casa, asegúrate de meter el rango de IPs 192.168.90.0/24 en el allowed IPs, para permitir que esa subred envíe tráfico al hAP mini.

Saludos!

Cuando te he leído he dicho: "Esa era la clave", pero tras meterlo, y reiniciar el router y todo para asegurarme que coja los cambios, nada. No hay comunicación en ninguno de los dos sentidos (ping desde LAN de viaje a movil conectado por RW con la IP 192.168.90.2 y ping desde ese movil a un cliente conectado a la LAN de viaje en la IP 192.168.133.2):

sshot-1.jpg


¿Se te ocurre algo más?
 
Del otro lado, en el peer que representa al hAP-mini, aceptas tanto la 172.16.1.2/32 como la 192.168.133.0/24, ¿verdad?

Si es así, mete esta ruta extra en el hAP mini
Código:
/ip route
add dst-address=192.168.90.0/24 gateway=172.16.1.1

Saludos!
 
De toda formas, estoy pensando que estamos haciendo un popurrí de cojones. Si ese equipo lo estás conectando como un road-warrior, aplícale su configuración, y no la del site to site. Es decir, fuera las IPs 172.16.x.y y ese peer llevaría una IP del rango de la 192.168.90.x, que es la subred de roadwarriors.

Por eso te recomendaba partir las interfaces en dos, porque si lo montas todo en una, empiezas a montar un galimatías.

Decide si quieres que ese equipo se comporte como una red punto a punto o como un roadwarrior más, y configúralo como tal.

Saludos!
 
Arriba