MANUAL: Mikrotik, túneles EoIP: Cómo llevarte tu red a cuestas

Sí, funciona, pero lee mi comentario anterior, tienes un buen galimatías.

Si el hap-mini lo configuras como RW, a él no le hace falta ninguna ruta, y en el router de casa sólo necesitarías una. Él aceptaría todo tráfico que viene de casa (peer allowed ip's 0.0.0.0/0) y andando. Y pertenecería al segmento .90.x, como road-warrior que es.

Saludos!
 
Sí, funciona, pero lee mi comentario anterior, tienes un buen galimatías.

Si el hap-mini lo configuras como RW, a él no le hace falta ninguna ruta, y en el router de casa sólo necesitarías una. Él aceptaría todo tráfico que viene de casa (peer allowed ip's 0.0.0.0/0) y andando. Y pertenecería al segmento .90.x, como road-warrior que es.
Sisi, lo he leído, pero estoy digiriéndolo... A ver, yo quiero un site-to-site, es decir, me gustaría que desde casa pueda acceder al router de viaje y viceversa.

Además los clientes que tenga conectados en el router de viaje quiero que tengan las DNS de AdGuard, y esto se lo he dado en el servidor dhcp.

O es que lo mismo no tengo muy claro la diferencia entre un site-to-site y un RW, o no termino de verlo. Qué ventajas tiene conectar el router de viaje mediante Site-to-site frente a un RW?
 
Para mi tu equipo se comporta más como un road warrior, que como un site to site. No controlas la red desde la que se conectas y tu principal interés es estar dentro de la red de tu casa, por mucho que luego, en algún momento puntual, alguien a alguien conectado al router de tu casa le interese llegar a los equipos que hay detrás de tu hAP-mini. No son dos equipos totalmente independientes corriendo sus redes y con sus WAN afianzadas. El hAP-mini va a ser siempre el equipo "llamante", con una wan intinerante, y por tanto, un road-warrior.

Saludos!
 
Para mi tu equipo se comporta más como un road warrior, que como un site to site. No controlas la red desde la que se conectas y tu principal interés es estar dentro de la red de tu casa, por mucho que luego, en algún momento puntual, alguien a alguien conectado al router de tu casa le interese llegar a los equipos que hay detrás de tu hAP-mini. No son dos equipos totalmente independientes corriendo sus redes y con sus WAN afianzadas. El hAP-mini va a ser siempre el equipo "llamante", con una wan intinerante, y por tanto, un road-warrior.

Saludos!
Creo que ya lo entiendo, y entiendo tus motivos pero quiero analizarlo bien porque le doy un uso bastante especial. Corrígeme si me equivoco:

En el caso site-to-site, los clientes conectados al hap mini tendrán su ip del la LANB, y será esta la que llegue al router principal de mi casa. En el caso RW, tendrán su ip de la LANB, pero llegará al router de casa con la IP 192.168.90.25 (por ejemplo) que le asigne en el peer. Da igual que sea mi movil, mi portatil o el movil de mi hijo, que a mi casa llegará con la ip 192.168.90.25.

Por otro lado, la salida a internet en el S2S en mi lugar de vacaciones será directa por la interfaz del puerto WAN, en cambio en RW se hará desde el router de mi casa. Dicho con otras palabras, le voy a generar más tráfico al router de mi casa estando en RW que si estoy en S2S, al que solo el generaré tráfico si quiero acceder como tal a un equipo de allí.

¿Es correcto?
 
Correcto. Pero recuerda que decides tú en el peer qué tráfico aceptas del otro lado, vía el allowed IP's. Si quieres, puedes no sacar la navegación al otro lado en un road warrior, jugando con esas IP's. Hay muchas ocasiones donde tú solo quieres que el road warrior llegue a la LAN remota, pero que su navegación normal de internet se quede en local.

Saludos!
 
Correcto. Pero recuerda que decides tú en el peer qué tráfico aceptas del otro lado, vía el allowed IP's. Si quieres, puedes no sacar la navegación al otro lado en un road warrior, jugando con esas IP's. Hay muchas ocasiones donde tú solo quieres que el road warrior llegue a la LAN remota, pero que su navegación normal de internet se quede en local.

Saludos!
Vale, me lo temía. Si, lo del tráfico me queda claro que puedo aceptar o no qué ips llegan, pero te voy a contar por ejemplo el principal motivo por el que uso un router de viaje, y no es más que este:

1641124584280.png


Es decir, a mi hijo le tengo capados muchos servicios (redes sociales, etc). El irme a un sitio de viaje y saber que mi hijo va a seguir con un acceso controlado y centralizado desde AdGuard me da una tranquilidad... Esto ahora mismo no se me ocurre cómo podría hacerlo con RW. Es decir, podría caparlo para todos, pero los demás si queremos acceder a servicios que él no puede.

Podría buscarme otras soluciones, como caparlo a nivel de movil, pero eso ya es más engorroso porque usa varias cosas (movil, tablet, ...).

Por cierto en la captura, creo que puedo asignar dos IPs a un mismo cliente, solo que he ido a lo rapido y he duplicado, pero luego lo probaré que seguro que se puede.

En resumen, ahora mismo tengo funcionando mi red de vacaciones exactamente como la quiero. Es cierto que ha sido un poco enrevesado, pero toda la configuracion enrevesada se la lleva el hAP mini. Mi router de casa apenas he tenido que hacer nada, crear el peer, la ip del extremo del tunel y la ruta estática. Todo lo demás funciona de maravilla (tengo acceso a la administracion del router de forma controlada, tanto al de mi casa como al de vacaciones, y desde cualquier parte (LAN de casa, de vacaciones o RW). Creo que para cómo yo lo uso me da mucha más versatilidad el S2S, y poder restrigir servicios a nivel de cada cliente conectado al router de vacaciones...

Cuando terminen las vacaciones, apago el hap mini, deshabilito (como mucho) el peer que he creado para el s2s y mi router de casa no tiene nada más...

¡Saludos!
 
Última edición:
Pues listo, si cumple con tus necesidades tal y como está, no lo toques más.

Saludos!
 
Buenos dias.
Una preguntilla... Para conectar un 2 router mediante esta configuracion , habria que meter en el router B un nuevo comando creando nuevamente esto:
  • Creamos el túnel EoIP hacia el otro router. Para evitar fragmentación, seteamos el MTU a 1500 y seleccionamos un número de túnel, en mi caso, el 0.
    • /interface eoip add name=tunnel-to-A remote-address=serialA.sn.mynetname.net tunnel-id=0 mtu=1500
  • Metemos el túnel y la interfaz ether2 en el bridge que creamos al principio, puenteando esas dos interfaces.
    • /interface bridge port add bridge=bridge1 interface=tunnel-to-A
    • /interface bridge port add bridge=bridge1 interface=ether2
pero configurandolo mas o menos asi ? :
  • /interface eoip add name=tunnel-to-AA remote-address=serialA.sn.newmynetname.net tunnel-id=0 mtu=1500
  • /interface bridge port add bridge=bridge1 interface=tunnel-to-AA
 
Buenos dias.
Una preguntilla... Para conectar un 2 router mediante esta configuracion , habria que meter en el router B un nuevo comando creando nuevamente esto:
  • Creamos el túnel EoIP hacia el otro router. Para evitar fragmentación, seteamos el MTU a 1500 y seleccionamos un número de túnel, en mi caso, el 0.
    • /interface eoip add name=tunnel-to-A remote-address=serialA.sn.mynetname.net tunnel-id=0 mtu=1500
  • Metemos el túnel y la interfaz ether2 en el bridge que creamos al principio, puenteando esas dos interfaces.
    • /interface bridge port add bridge=bridge1 interface=tunnel-to-A
    • /interface bridge port add bridge=bridge1 interface=ether2
pero configurandolo mas o menos asi ? :
  • /interface eoip add name=tunnel-to-AA remote-address=serialA.sn.newmynetname.net tunnel-id=0 mtu=1500
  • /interface bridge port add bridge=bridge1 interface=tunnel-to-AA
Sí, algo así. Pero todo depende de lo que pretendas.

Saludos!
 
Gracias por contestar como siempre @pokoyo.
Te explico , de mi casa de la playa donde tengo contratado fibra y tv, en la casa habitual me conecto para ver la tv mediante este tuto y ahora quiero conectarlo tambien en casa de mis padres ya que voy a tener que pasar un tiempo alli y no quiero dejar a la familia sin la tv.
Es posible realizarlo ? Osea conectar mediante otro router igual(hap mini) creando un nuevo tunel entre la casa de la playa y la casa de mis padres estando ya creado el tunel entre la casa de la playa y la otra habitual.
 
Gracias por contestar como siempre @pokoyo.
Te explico , de mi casa de la playa donde tengo contratado fibra y tv, en la casa habitual me conecto para ver la tv mediante este tuto y ahora quiero conectarlo tambien en casa de mis padres ya que voy a tener que pasar un tiempo alli y no quiero dejar a la familia sin la tv.
Es posible realizarlo ? Osea conectar mediante otro router igual(hap mini) creando un nuevo tunel entre la casa de la playa y la casa de mis padres estando ya creado el tunel entre la casa de la playa y la otra habitual.
Vale, ya te sigo. En el sitio original montarias un segundo túnel, en el mismo bridge “iptv”, con otro id (este ha de ser distinto para cada par de conexiones). El router remoto, igual, pero con ese id de túnel.

Saludos
 
Hola @pokoyo . Una pregunta. En el lado HQ tengo una vlan donde meto todo el iptv. He puesto en el bridge de vlan10 el interfaz eoip y recibo multicast en el otro extremo. Sin embargo si pido DHCP client por el bridge en el sitio remoto, donde está el interfaz eoip y el puerto ethernet, no recibo

Alguna idea?
 
Hola @pokoyo . Una pregunta. En el lado HQ tengo una vlan donde meto todo el iptv. He puesto en el bridge de vlan10 el interfaz eoip y recibo multicast en el otro extremo. Sin embargo si pido DHCP client por el bridge en el sitio remoto, donde está el interfaz eoip y el puerto ethernet, no recibo

Alguna idea?
me pierdo. píntamelo y mándame ambos export.

Saludos!
 
me pierdo. píntamelo y mándame ambos export.

Saludos!
Te explico mejor

Tengo un Mikrotik en lado Remoto atacando a un UDM de mikrotik y tunel ipsec funcionando. la comunicación es ok en ambos lados en ambos sentidos

Aprovechando un mikrotik en la red del UDMp y el mikrotik remoto , levanto un eoip bridgeando a la vlan por la que va la ipvt (uso el deco de movistar por mantener RTSP helper) y sólo uso el UDM como router hacia la ip local del movistar. Port forwarding todo al UDM

En el lado remoto levanto el EOIP y si miro con torch recibo el multicast pero si intento un dhcp client en la interfaz eoip o bien en el bridge donde tengo el eoip interfaz y la interfaz ethernet del deco, pero no obtiene ip (searching) Si levanto un dhcp server en el lado remoto, y lo link con el interfaz eoip tampoco

Debe haber algo que me lo filtra pero no alcanzo a verlo porque si levantas el eoip sobre un tunel ipsec funcionando debería ser transparente

En extraer la config del lado remoto te la paso. El lado HQ simplemente es l interfaz eoip sin nada más
 
Vale, ya te sigo. En el sitio original montarias un segundo túnel, en el mismo bridge “iptv”, con otro id (este ha de ser distinto para cada par de conexiones). El router remoto, igual, pero con ese id de túnel.

Saludos
Hola @pocoyo, a ver si me puedes ayudar porque ando loco perdido....
Si sobre el tunel que tengo creado con id 0 establezco conexion entre ambos equipos y veo la tv sin problema, pero si cambio la id por cualquier otro numero , el ipsec me aparece establecido pero no funciona la tv ..... sabes porque ocurre esto ?.
Hago otra cosa tambien : haciendo lo siguiente .... creo un nuevo tunel para conectar la casa de mis padres con la de la playa , poniendole id diferente al tunel de la casa y en casa con id =0 funciona pero en casa de mis padres ... nada.
Hay algo que se me pasa que no esta bien ???
Gracias.
 
Hola @pocoyo, a ver si me puedes ayudar porque ando loco perdido....
Si sobre el tunel que tengo creado con id 0 establezco conexion entre ambos equipos y veo la tv sin problema, pero si cambio la id por cualquier otro numero , el ipsec me aparece establecido pero no funciona la tv ..... sabes porque ocurre esto ?.
Hago otra cosa tambien : haciendo lo siguiente .... creo un nuevo tunel para conectar la casa de mis padres con la de la playa , poniendole id diferente al tunel de la casa y en casa con id =0 funciona pero en casa de mis padres ... nada.
Hay algo que se me pasa que no esta bien ???
Gracias.
El id ha de ser consistente entre ambos pares (extremos) del túnel. También ojo con copiar y pegar el túnel, porque como dupliques su dirección MAC, la lías también.

Saludos!
 
Este tema ya se ha tratado por otros compis del foro, si montas un túnel EoIP con número Id distinto del 0 y macs distintas y no levanta, prueba activar el protocolo "gre" en el chain de imput del firewall filter.

S@lu2.
 
Última edición:
Introducción
Hace un tiempo estuve dándole vueltas a la idea de poder llevarme la red de casa a cuestas cuando viajo por trabajo. Estoy tan acostumbrado a tener mi entorno local a mano, que cada vez me cuesta más no tenerlo. Eso, y que me estoy mal-acostumbrando a navegar sin anuncios (bendito pi-hole). Para los móviles el tema estaba solventado, la VPN tipo IKEv2 funciona de maravilla, y el conectarse con certificados es una tranquilidad que no tiene precio; no he vuelto a tener que usar una lista negra de orígenes de IP bloqueados por intentos de conexión no autorizados a mi equipo. Pero, para lo demás, pensé: ¿y si me pudiera llevar todo de un golpe?

El propósito
Quiero disponer de mi red local allá donde esté. Sin importar desde dónde me esté conectando o con qué equipos lo haga. Me valía con conectar por VPN, pero no quería tener sólo acceso a lo que hay en casa, quería estar en casa. Me puse a investigar y di con los túneles EoIP, una solución propietaria de mikrotik para enlazar dos routers remotos, en capa 2 (como si enganchases dos switches con un cable, mismo dominio de broadcast). Además, como llevaba ya un tiempo batalleando con @Otro+ que anda detrás de montar algo así, dije: vamos a matar dos pájaros de un tiro; voy a ver cómo narices se monta esto.

El equipo
Para dicha tarea, me puse a darle vueltas al melón para ver qué equipo podría comprar para ello y qué soluciones había ya montadas; no me gusta reinventar la rueda. Pensé primero en una solución tipo software que conectara a mi VPN, pero me eché para atrás enseguida, dado que no puedo instalar nada en el equipo de trabajo sin permiso, y debía ser algo semi-transparente.
También debería ser algo pequeño, puesto que ya de por sí vas cargado cuando viajas, como para irlo aún más. Con todo ello me decanté por un equipo pequeño y barato, del que había oído hablar muchas veces a @hgonzale, el hAP mini. Un equipo de 22€ (18€ más portes en landashop, por si a alguien le interesa) que cumple perfectamente con lo que quería. Es pequeño, tienes más de un puerto ethernet (fast ethernet, no os vengáis arriba, mirad lo que cuesta), y wifi N. Más que suficiente para montar una conexión allá donde vayas (es realmente pequeño) para salir del paso.

Un poco de teoría
Lo primero que tenemos que tener claro es qué es el protocolo EoIP. Básicamente, y como su nombre indica, es un protocolo para transportar ethernet sobre IP (transportar capa 2, sobre capa 3). Es un túnel capaz de correr encima de otro túnel. Es decir, puedes enlazar A con B con un túnel de otro tipo, como L2TP, PPTP, IPIP, y montar esto encima. Utiliza el protocolo GRE para montar el túnel (ojo con el firewall, hay que permitir ese tráfico en input) y añade un extra de 42 bytes al tamaño del paquete, así que mejor poner un MTU a 1500 para eliminar problemas de fragmentación.

Manos a la obra
Voy a tratar de hacer esto de la manera más simple posible. Me estuve dando de cabezazos contra la pared por no entender bien cómo funcionaba el túnel, así que os voy a ir al caso más simple: tengo un router en casa (que hace de router, con su firewall, nat, etc) y tengo un router "tonto" que llevo conmigo (hAP mini), que lo único que va a hacer es levantar la conexión con el router de casa.

Para el ejemplo vamos a usar estos datos:
  • Router A) Router de casa, con dominio ddns serialA.mynetname.net
  • Router B) Router roaming, con dominio ddns serialB.mynetnamet.net

En el router que llevaremos consigo, router roaming B)
  • Reseteamos el equipo para arrancar sin configuración (System -> Reset -> No default configuration), ya que esto va a ser un router tonto. Nos tocará entrar por winbox al equipo, puesto que necesitaremos acceder vía MAC address.
  • Le cambiamos la password al usuario de admin en System -> Users. O, mejor aún, creamos uno nuevo con permisos "full" y borramos el de admin.
  • Creamos la lista WAN, donde meteremos las interfaces que vamos a usar como posibles fuentes de conectividad
    • /interface list add name=WAN
  • Añadimos las interfaces que conforman mi WAN. En mi caso, ether1 y wlan1 (para poder conectar a otro router si puedo por cable, sino por wifi)
    • /interface list member add interface=ether1 list=WAN
    • /interface list member add interface=wlan1 list=WAN
  • Levantamos la sonda que detectará si hay internet en esa lista de interfaces. De haberlo, creará automáticamente un cliente DHCP sobre la interfaz en la que detecte conectividad a internet, añadiendo a su vez la ruta correspondiente en IP -> Routes. Todo esto de manera auto-mágica, ¿no es la hostia?
    • /interface detect-internet set detect-interface-list=WAN
  • Creamos el bridge principal, donde irán las interfaces que queramos puentear con nuestra red LAN remota
    • /interface bridge add name=bridge
  • Creamos una dirección IP para uno de los puertos ethernet, en mi caso ether3, que usaremos coomo puerto de administración. De esta manera podremos acceder al router por IP.
    • /ip address add address=192.168.99.1/24 interface=ether3 network=192.168.99.0
  • Por comodidad, levantamos un servidor DHCP para dicha interfaz, así no tenemos que andar metiendo las IP's a mano. Como esa interfaz es puramente de administración y no va a tener salida a internet, ni nos molestamos en darle un DNS. Primero creamos el pool:
    • /ip pool add name=pool-mgmnt ranges=192.168.99.2-192.168.99.5
  • Luego la red, sin DNS:
    • /ip dhcp-server network add address=192.168.99.0/24 dns-none=yes gateway=192.168.99.1
  • Y por último lo echamos a andar
    • /ip dhcp-server add address-pool=pool-mgmnt interface=ether3 name=dhcp-mgmnt
  • En este momento, si queremos, podremos desconectarnos de winbox por mac, y acceder por IP al equipo, conectandolo por cable a ether3. Nos debería dar una IP y poder acceder a él vía la 192.168.99.1. Seguimos para bingo...
  • Configuramos los DNS del mikrotik (cliente) para que el propio router pueda salir a internet y encontrar el otro lado del túnel. Usad los que más os gusten
    • /ip dns set servers=1.1.1.1,1.0.0.1
  • Llega el momento de conectar el equipo a la red que nos proporcione salida a internet. En este caso, tenemos dos opciones: Por cable: tan simple como enchufar ether1 a una boca ethernet del router que nos de salida a internet. Me centro en hacerlo por wifi, que será lo más normal (pocos sitios te encuentras donde te dejen usar una conexión cableada tal cual). Primero creamos el perfil de seguridad (la clave) que usa la wifi a la que nos conectemos, obviamente, no pongáis esa clave, poned la de la red a la que os conectéis.
    • /interface wireless security-profiles set [ find default=yes ] mode=dynamic-keys authentication-types=wpa2-psk wpa2-pre-shared-key="MySuperWifiPassword123"
  • Y nos conectamos con la interfaz física wlan1 en modo station (cliente) a la red de marras. Para esto no os voy a dar comando, puesto que tendríais que especificar hasta el canal. Lo más sencillo para esto es usar el botón "Scan" que tenéis en la pestaña de WiFi Interfaces. Escaneais las redes, seleccionais la que sea y le days a conectar. Como la interfaz wlan1 ya está apuntando por defecto al security profile "default", tal y como le déis se va a conectar y authenticar, todo de un tirón.
  • Si todo ha ido bien y os vais a los logs, veréis que la sonda "detect internet" empieza a funcionar. Si detecta conectividad en ether1 o en wlan1 la propia sonda creará un cliente DHCP y obtendrá una IP del rango de la red que nos proporcione internet, así como la ruta de salida a internet necesaria. Lo podéis ver en IP -> DHCP Client y en IP -> Routes. Si todo ha ido como debe y tenemos conexión, podremos lanzar un ping desde la terminal del router, para ver si alcanzamos internet. Si se resulve, vamos por buen camino.
    • ping google.com
  • Activamos en este momento el dominio DDNS de este equipo, para que registre la IP pública contra nuestro dominio de mikrotik
    • /ip cloud set ddns-enabled=yes
  • Creamos el túnel EoIP hacia el otro router. Para evitar fragmentación, seteamos el MTU a 1500 y seleccionamos un número de túnel, en mi caso, el 0.
    • /interface eoip add name=tunnel-to-A remote-address=serialA.sn.mynetname.net tunnel-id=0 mtu=1500
  • Metemos el túnel y la interfaz ether2 en el bridge que creamos al principio, puenteando esas dos interfaces.
    • /interface bridge port add bridge=bridge1 interface=tunnel-to-A
    • /interface bridge port add bridge=bridge1 interface=ether2
  • Si queremos no solo conectarnos por cable, sino también por wifi al router remoto (lo maś normal), tendremos que crear una interfaz virtual, enciama de la interfaz física wlan1, la cual ya tenemos configurada como nuestra salida WAN. Para ello, al igual que antes, creamos primero el security profile (nuestra contraseña, ahora sí, para nuestra red) y daremos de alta la interfaz virtual, apuntando a ese perfil de seguridad:
    • /interface wireless security-profiles add name=wlan-home-security mode=dynamic-keys authentication-types=wpa2-psk wpa2-pre-shared-key="MySupperPassowrdForMyOwnWifi123"
    • /interface wireless add master-interface=wlan1 name=wlan-home security-profile=wlan-home-security ssid=MY_HOME_WIFI disabled=no mode=ap-bridge wps-mode=disabled
  • Metemos también esa nueva interfaz en el bridge, puesto que queremos que, al conectarnos a ella, nos de una IP del router A, nuestro router principal que está en casa:
    • /interface bridge port add bridge=bridge1 interface=wlan-home
  • Ahora vamos a hacer que bridge principal obtenga una dirección propia del routar A. De esta manera, cuando estemos conectados y tengamos una IP del rango del router A, podremos seguir accediendo por IP al equipo B. En este caso, como el túnel ya nos da la salida a internet que necesitamos y dicho tráfico va enrutado hacia el router A, usaremos la opción correspondiente del cliente dchp para que no nos añada una ruta dinámica a la tabla de rutas. Con esto, cuando estemos conectados a la LAN principal, dentro del túnel, podremos seguir teniendo acceso al router B usando la IP que obtenga por DHCP el propio equipo, pertenenciente al rango de A. Esta IP no se resolverá hasta que el túnel se establezca, como es lógico.
    • /ip dhcp-client add interface=bridge1 add-default-route=no

En el router de casa, Router A)
  • Creamos en túnel, apuntando al dominio cloud del otro router, que previamente hemos activado en IP -> Cloud. Para evitar fragmentación, seteamos el MTU a 1500 y seleccionamos un número de túnel, idéntico al que hemos usado en el router remoto, en mi caso, el 0.
    • /interface eoip add name=tunnel-to-B remote-address=serialB.sn.mynetname.net tunnel-id=0 mtu=1500
  • Metemos la nueva interfaz del túnel dentro de nuestro bridge, el que lleve las interfaces que conformen nuestra red LAN de casa. Asumo que mi bridge principal se llama "bridge1", vosotros adaptarlo a como se llame el vuestro.
    • /interface bridge port add bridge=bridge1 interface=tunnel-to-B
  • Con este router hemos terminado.
Si todo ha ido bien, veremos que, en ambos routers, el túnel está con dos flags, R de Running y S de Slave (este último por estar dentro de un bridge).

Con esto, si lo hemos hecho bien, tendremos conectividad en capa 2 entre el router A y B. Basta con conectar un equipo por cable al puerto 2 del router B o la interfaz virtual inalámbrica que hemos creado, para que el DHCP del otro extremo nos asigne una dirección de la LAN del router A. En este momento estamos como en casa, y podemos acceder a todo lo que esté en dicho dominio de broadcast. Y cuando digo todo, es todo: desde un NAS que nos ofrece música por DAAP o video por DLNA, a un chromecast que esté pinchado en la TV, a lo que sea que esté en la LAN, se transporta absolutamente todo.

Rizando el rizo: securizando el túnel
Todo esto está muy bien, pero si no podemos encriptar la comunicación entre los dos equipos, cualquier puede interceptar el tráfico del túnel y verlo. Y, cuando te conectas a una wifi pública o sin contraseña, nunca sabes a quien te vas a encontrar. Por suerte, este tipo de túnel soporta IPSec de una manera muy sencilla. Tan sólo tenemos que dar de alta un secreto compartido, común a ambos lados del túnel. Tan sencillo como hacer esto, en ambos lados del túnel:
Código:
/interface eoip set numbers=0 ipsec-secret="MySuperSecret" allow-fast-path=no
A partir de ese momento IPSec añadirá una plantilla dinámica para conectar con el otro extremo y encriptar el tráfico dentro del túnel. Cuando ambos extremos hayan negociado sus pertinentes claves, veréis en IP -> IPSec -> Policies una plantilla dinámica, con el nombre de la interfaz del túnel, con la columna PH2 State = established.

Con esto protegemos un poco más si cabe quien se puede conectar a nuestro router de casa.

Espero os sirva de ejemplo por si lo necesitáis en algún momento. Para otro ratito, montaremos un manual similar, pero en capa 3. Es decir, interconectar dos routers remotos con LANs distintas, donde cada equipo hace de router en su localización (site-to-site), usando también EoIP.

Saludos!
Hola pOcOyO, una consulta, sobre el MTU que estoy perdido, tengo el tunel EoiP corriendo sobre un tunel WireGuard, que valo debe tener el MTU del tunel WireGuard para evitar fragmentacion si el EoiP es de 1500. Gracias.
 
Hola pOcOyO, una consulta, sobre el MTU que estoy perdido, tengo el tunel EoiP corriendo sobre un tunel WireGuard, que valo debe tener el MTU del tunel WireGuard para evitar fragmentacion si el EoiP es de 1500. Gracias.
No toques el MTU del túnel wireguard, y ajusta a 1500 el del EoIP si lo vas a puentear con una interfaz ethernet en un bridge. Fragmentación siempre vas a tener en una VPN, lo importante es dónde la tienes. Y, en el caso que te ocupa, es mejor que fragmente al la la entrada del túnel wireguard que en todo el bridge (MTU del bridge = menor MTU de cualquiera de sus interfaces).

Saludos!
 
Arriba