MANUAL: Mikrotik, túneles EoIP: Cómo llevarte tu red a cuestas

Sí, funciona, pero lee mi comentario anterior, tienes un buen galimatías.

Si el hap-mini lo configuras como RW, a él no le hace falta ninguna ruta, y en el router de casa sólo necesitarías una. Él aceptaría todo tráfico que viene de casa (peer allowed ip's 0.0.0.0/0) y andando. Y pertenecería al segmento .90.x, como road-warrior que es.

Saludos!
 
Sí, funciona, pero lee mi comentario anterior, tienes un buen galimatías.

Si el hap-mini lo configuras como RW, a él no le hace falta ninguna ruta, y en el router de casa sólo necesitarías una. Él aceptaría todo tráfico que viene de casa (peer allowed ip's 0.0.0.0/0) y andando. Y pertenecería al segmento .90.x, como road-warrior que es.
Sisi, lo he leído, pero estoy digiriéndolo... A ver, yo quiero un site-to-site, es decir, me gustaría que desde casa pueda acceder al router de viaje y viceversa.

Además los clientes que tenga conectados en el router de viaje quiero que tengan las DNS de AdGuard, y esto se lo he dado en el servidor dhcp.

O es que lo mismo no tengo muy claro la diferencia entre un site-to-site y un RW, o no termino de verlo. Qué ventajas tiene conectar el router de viaje mediante Site-to-site frente a un RW?
 
Para mi tu equipo se comporta más como un road warrior, que como un site to site. No controlas la red desde la que se conectas y tu principal interés es estar dentro de la red de tu casa, por mucho que luego, en algún momento puntual, alguien a alguien conectado al router de tu casa le interese llegar a los equipos que hay detrás de tu hAP-mini. No son dos equipos totalmente independientes corriendo sus redes y con sus WAN afianzadas. El hAP-mini va a ser siempre el equipo "llamante", con una wan intinerante, y por tanto, un road-warrior.

Saludos!
 
Para mi tu equipo se comporta más como un road warrior, que como un site to site. No controlas la red desde la que se conectas y tu principal interés es estar dentro de la red de tu casa, por mucho que luego, en algún momento puntual, alguien a alguien conectado al router de tu casa le interese llegar a los equipos que hay detrás de tu hAP-mini. No son dos equipos totalmente independientes corriendo sus redes y con sus WAN afianzadas. El hAP-mini va a ser siempre el equipo "llamante", con una wan intinerante, y por tanto, un road-warrior.

Saludos!
Creo que ya lo entiendo, y entiendo tus motivos pero quiero analizarlo bien porque le doy un uso bastante especial. Corrígeme si me equivoco:

En el caso site-to-site, los clientes conectados al hap mini tendrán su ip del la LANB, y será esta la que llegue al router principal de mi casa. En el caso RW, tendrán su ip de la LANB, pero llegará al router de casa con la IP 192.168.90.25 (por ejemplo) que le asigne en el peer. Da igual que sea mi movil, mi portatil o el movil de mi hijo, que a mi casa llegará con la ip 192.168.90.25.

Por otro lado, la salida a internet en el S2S en mi lugar de vacaciones será directa por la interfaz del puerto WAN, en cambio en RW se hará desde el router de mi casa. Dicho con otras palabras, le voy a generar más tráfico al router de mi casa estando en RW que si estoy en S2S, al que solo el generaré tráfico si quiero acceder como tal a un equipo de allí.

¿Es correcto?
 
Correcto. Pero recuerda que decides tú en el peer qué tráfico aceptas del otro lado, vía el allowed IP's. Si quieres, puedes no sacar la navegación al otro lado en un road warrior, jugando con esas IP's. Hay muchas ocasiones donde tú solo quieres que el road warrior llegue a la LAN remota, pero que su navegación normal de internet se quede en local.

Saludos!
 
Correcto. Pero recuerda que decides tú en el peer qué tráfico aceptas del otro lado, vía el allowed IP's. Si quieres, puedes no sacar la navegación al otro lado en un road warrior, jugando con esas IP's. Hay muchas ocasiones donde tú solo quieres que el road warrior llegue a la LAN remota, pero que su navegación normal de internet se quede en local.

Saludos!
Vale, me lo temía. Si, lo del tráfico me queda claro que puedo aceptar o no qué ips llegan, pero te voy a contar por ejemplo el principal motivo por el que uso un router de viaje, y no es más que este:

1641124584280.png


Es decir, a mi hijo le tengo capados muchos servicios (redes sociales, etc). El irme a un sitio de viaje y saber que mi hijo va a seguir con un acceso controlado y centralizado desde AdGuard me da una tranquilidad... Esto ahora mismo no se me ocurre cómo podría hacerlo con RW. Es decir, podría caparlo para todos, pero los demás si queremos acceder a servicios que él no puede.

Podría buscarme otras soluciones, como caparlo a nivel de movil, pero eso ya es más engorroso porque usa varias cosas (movil, tablet, ...).

Por cierto en la captura, creo que puedo asignar dos IPs a un mismo cliente, solo que he ido a lo rapido y he duplicado, pero luego lo probaré que seguro que se puede.

En resumen, ahora mismo tengo funcionando mi red de vacaciones exactamente como la quiero. Es cierto que ha sido un poco enrevesado, pero toda la configuracion enrevesada se la lleva el hAP mini. Mi router de casa apenas he tenido que hacer nada, crear el peer, la ip del extremo del tunel y la ruta estática. Todo lo demás funciona de maravilla (tengo acceso a la administracion del router de forma controlada, tanto al de mi casa como al de vacaciones, y desde cualquier parte (LAN de casa, de vacaciones o RW). Creo que para cómo yo lo uso me da mucha más versatilidad el S2S, y poder restrigir servicios a nivel de cada cliente conectado al router de vacaciones...

Cuando terminen las vacaciones, apago el hap mini, deshabilito (como mucho) el peer que he creado para el s2s y mi router de casa no tiene nada más...

¡Saludos!
 
Última edición:
Pues listo, si cumple con tus necesidades tal y como está, no lo toques más.

Saludos!
 
Buenos dias.
Una preguntilla... Para conectar un 2 router mediante esta configuracion , habria que meter en el router B un nuevo comando creando nuevamente esto:
  • Creamos el túnel EoIP hacia el otro router. Para evitar fragmentación, seteamos el MTU a 1500 y seleccionamos un número de túnel, en mi caso, el 0.
    • /interface eoip add name=tunnel-to-A remote-address=serialA.sn.mynetname.net tunnel-id=0 mtu=1500
  • Metemos el túnel y la interfaz ether2 en el bridge que creamos al principio, puenteando esas dos interfaces.
    • /interface bridge port add bridge=bridge1 interface=tunnel-to-A
    • /interface bridge port add bridge=bridge1 interface=ether2
pero configurandolo mas o menos asi ? :
  • /interface eoip add name=tunnel-to-AA remote-address=serialA.sn.newmynetname.net tunnel-id=0 mtu=1500
  • /interface bridge port add bridge=bridge1 interface=tunnel-to-AA
 
Buenos dias.
Una preguntilla... Para conectar un 2 router mediante esta configuracion , habria que meter en el router B un nuevo comando creando nuevamente esto:
  • Creamos el túnel EoIP hacia el otro router. Para evitar fragmentación, seteamos el MTU a 1500 y seleccionamos un número de túnel, en mi caso, el 0.
    • /interface eoip add name=tunnel-to-A remote-address=serialA.sn.mynetname.net tunnel-id=0 mtu=1500
  • Metemos el túnel y la interfaz ether2 en el bridge que creamos al principio, puenteando esas dos interfaces.
    • /interface bridge port add bridge=bridge1 interface=tunnel-to-A
    • /interface bridge port add bridge=bridge1 interface=ether2
pero configurandolo mas o menos asi ? :
  • /interface eoip add name=tunnel-to-AA remote-address=serialA.sn.newmynetname.net tunnel-id=0 mtu=1500
  • /interface bridge port add bridge=bridge1 interface=tunnel-to-AA
Sí, algo así. Pero todo depende de lo que pretendas.

Saludos!
 
Gracias por contestar como siempre @pokoyo.
Te explico , de mi casa de la playa donde tengo contratado fibra y tv, en la casa habitual me conecto para ver la tv mediante este tuto y ahora quiero conectarlo tambien en casa de mis padres ya que voy a tener que pasar un tiempo alli y no quiero dejar a la familia sin la tv.
Es posible realizarlo ? Osea conectar mediante otro router igual(hap mini) creando un nuevo tunel entre la casa de la playa y la casa de mis padres estando ya creado el tunel entre la casa de la playa y la otra habitual.
 
Gracias por contestar como siempre @pokoyo.
Te explico , de mi casa de la playa donde tengo contratado fibra y tv, en la casa habitual me conecto para ver la tv mediante este tuto y ahora quiero conectarlo tambien en casa de mis padres ya que voy a tener que pasar un tiempo alli y no quiero dejar a la familia sin la tv.
Es posible realizarlo ? Osea conectar mediante otro router igual(hap mini) creando un nuevo tunel entre la casa de la playa y la casa de mis padres estando ya creado el tunel entre la casa de la playa y la otra habitual.
Vale, ya te sigo. En el sitio original montarias un segundo túnel, en el mismo bridge “iptv”, con otro id (este ha de ser distinto para cada par de conexiones). El router remoto, igual, pero con ese id de túnel.

Saludos
 
Hola @pokoyo . Una pregunta. En el lado HQ tengo una vlan donde meto todo el iptv. He puesto en el bridge de vlan10 el interfaz eoip y recibo multicast en el otro extremo. Sin embargo si pido DHCP client por el bridge en el sitio remoto, donde está el interfaz eoip y el puerto ethernet, no recibo

Alguna idea?
 
Hola @pokoyo . Una pregunta. En el lado HQ tengo una vlan donde meto todo el iptv. He puesto en el bridge de vlan10 el interfaz eoip y recibo multicast en el otro extremo. Sin embargo si pido DHCP client por el bridge en el sitio remoto, donde está el interfaz eoip y el puerto ethernet, no recibo

Alguna idea?
me pierdo. píntamelo y mándame ambos export.

Saludos!
 
me pierdo. píntamelo y mándame ambos export.

Saludos!
Te explico mejor

Tengo un Mikrotik en lado Remoto atacando a un UDM de mikrotik y tunel ipsec funcionando. la comunicación es ok en ambos lados en ambos sentidos

Aprovechando un mikrotik en la red del UDMp y el mikrotik remoto , levanto un eoip bridgeando a la vlan por la que va la ipvt (uso el deco de movistar por mantener RTSP helper) y sólo uso el UDM como router hacia la ip local del movistar. Port forwarding todo al UDM

En el lado remoto levanto el EOIP y si miro con torch recibo el multicast pero si intento un dhcp client en la interfaz eoip o bien en el bridge donde tengo el eoip interfaz y la interfaz ethernet del deco, pero no obtiene ip (searching) Si levanto un dhcp server en el lado remoto, y lo link con el interfaz eoip tampoco

Debe haber algo que me lo filtra pero no alcanzo a verlo porque si levantas el eoip sobre un tunel ipsec funcionando debería ser transparente

En extraer la config del lado remoto te la paso. El lado HQ simplemente es l interfaz eoip sin nada más
 
Vale, ya te sigo. En el sitio original montarias un segundo túnel, en el mismo bridge “iptv”, con otro id (este ha de ser distinto para cada par de conexiones). El router remoto, igual, pero con ese id de túnel.

Saludos
Hola @pocoyo, a ver si me puedes ayudar porque ando loco perdido....
Si sobre el tunel que tengo creado con id 0 establezco conexion entre ambos equipos y veo la tv sin problema, pero si cambio la id por cualquier otro numero , el ipsec me aparece establecido pero no funciona la tv ..... sabes porque ocurre esto ?.
Hago otra cosa tambien : haciendo lo siguiente .... creo un nuevo tunel para conectar la casa de mis padres con la de la playa , poniendole id diferente al tunel de la casa y en casa con id =0 funciona pero en casa de mis padres ... nada.
Hay algo que se me pasa que no esta bien ???
Gracias.
 
Hola @pocoyo, a ver si me puedes ayudar porque ando loco perdido....
Si sobre el tunel que tengo creado con id 0 establezco conexion entre ambos equipos y veo la tv sin problema, pero si cambio la id por cualquier otro numero , el ipsec me aparece establecido pero no funciona la tv ..... sabes porque ocurre esto ?.
Hago otra cosa tambien : haciendo lo siguiente .... creo un nuevo tunel para conectar la casa de mis padres con la de la playa , poniendole id diferente al tunel de la casa y en casa con id =0 funciona pero en casa de mis padres ... nada.
Hay algo que se me pasa que no esta bien ???
Gracias.
El id ha de ser consistente entre ambos pares (extremos) del túnel. También ojo con copiar y pegar el túnel, porque como dupliques su dirección MAC, la lías también.

Saludos!
 
Este tema ya se ha tratado por otros compis del foro, si montas un túnel EoIP con número Id distinto del 0 y macs distintas y no levanta, prueba activar el protocolo "gre" en el chain de imput del firewall filter.

S@lu2.
 
Última edición:
Arriba