MANUAL: Mikrotik, túneles EoIP: Cómo llevarte tu red a cuestas
- Iniciador del tema pokoyo
- Fecha de inicio
- Mensajes
- 14,229
Porque tienes una regla en el firewall que permite el IPSec. Si no lo usas, tienes que permitir explícitamente el tráfico del EoIP (protocolo GRE) en input.
Código:
/ip firewall filter
add action=accept chain=input comment="eoip: allow gre" in-interface=eoip-X protocol=greHola, En cada router 1 regla en la que permito todo el trafico del otro (o eso creo)
Casa
/ip firewall address-list add address=viaje.sn.mynetname.net list=Permitir
/ip firewall filter add action=accept chain=input src-address-list=Permitir
Viaje
/ip firewall address-list add address=casa.sn.mynetname.net list=Permitir
/ip firewall filter add action=accept chain=input src-address-list=Permitir
¿Hay que pertimir explicitamente el gre?
Otra cosa. ¿Se puede hacer que cuando el tunel este levantado default route sea el tunel?
Buenas!
Una consulta
Me interesa montarme algo de estilo con un hAP Lite para cuando viajo, pero quiero montarlo con Wireguard en alguno casos para todo el trafico por el tunel y en otros solo para acceso a Lan remota.
Como recomiendas montarlo?
Como el principio de esta guia como router tonto?
O mejor con una configuración basica por defecto + el tema de la sonda de detectar internet por eth1 o wlan1 + luego wireguard.
Gracias
Una consulta
Me interesa montarme algo de estilo con un hAP Lite para cuando viajo, pero quiero montarlo con Wireguard en alguno casos para todo el trafico por el tunel y en otros solo para acceso a Lan remota.
Como recomiendas montarlo?
Como el principio de esta guia como router tonto?
O mejor con una configuración basica por defecto + el tema de la sonda de detectar internet por eth1 o wlan1 + luego wireguard.
Gracias
- Mensajes
- 14,229
La pregunta que te tienes que hacer es si necesitas meter en tu propia red local (en el mismo dominio de broadcast), algún dispositivo, cuando estás en remoto. Si simplemente necesitas visibilidad entre redes, olvídate de este manual, y simplemente monta wireguard, y enruta el tráfico que necesites.
Saludos!
Hola buenas tardes.
Siento, que estas preguntas puedan molestar.
Estoy con este tutorial perfectamente desarrollado por pokoyo y muy puesto en bandeja. Tengo unas cuantas dudas, si me pueden ayudar lo agradecería mucho.
Lo he realizado dos veces y voy a por la tercera, cuando llego al código:
"/interface eoip add name=tunnel-to-A remote-address=serialA.sn.mynetname.net tunnel-id=0 mtu=1500"
¿lo sustituyo por el que tenga el mikrotik A?
"/interface bridge port add bridge=bridge1 interface=tunnel-to-A
/interface bridge port add bridge=bridge1 interface=ether2"
Aquí me lanza error (input does not match any value of bridge),hasta el ping a google todo bien.
Muchas gracias por adelantado
Siento, que estas preguntas puedan molestar.
Estoy con este tutorial perfectamente desarrollado por pokoyo y muy puesto en bandeja. Tengo unas cuantas dudas, si me pueden ayudar lo agradecería mucho.
Lo he realizado dos veces y voy a por la tercera, cuando llego al código:
"/interface eoip add name=tunnel-to-A remote-address=serialA.sn.mynetname.net tunnel-id=0 mtu=1500"
¿lo sustituyo por el que tenga el mikrotik A?
"/interface bridge port add bridge=bridge1 interface=tunnel-to-A
/interface bridge port add bridge=bridge1 interface=ether2"
Aquí me lanza error (input does not match any value of bridge),hasta el ping a google todo bien.
Muchas gracias por adelantado
- Mensajes
- 14,229
SerialA sería el número de serie de tu equipo en el otro extremo. Si ese número fuera 123456fed, tu comando sería:
Y si el segundo comando no te funciona, fíjate cómo se llama tu interfaz bridge. Puede que se llame "bridge" a secas, en lugar de "bridge1" o directamente le hayas cambiado el nombre o no tengas ni bridge creado.
Saludos!
Código:
/interface eoip add name=tunnel-to-A remote-address=123456fed.sn.mynetname.net tunnel-id=0 mtu=1500Y si el segundo comando no te funciona, fíjate cómo se llama tu interfaz bridge. Puede que se llame "bridge" a secas, en lugar de "bridge1" o directamente le hayas cambiado el nombre o no tengas ni bridge creado.
Saludos!
Código:
/interface eoip add name=tunnel-to-B remote-address=
serial.sn.mynetname.net tunnel-id=0 mtu=1500
failure: already have interface with such nameEn router A, como puedo hacer delete a este código ya que me manda el error
"already have interface with such name"ç
Este punto es el que creo que me faltal, siento mi ignorancia y agradezco tu pronta contesta.
Muchísimas gracias
- Mensajes
- 14,229
Si lo quieres visual, accede a winbox y localiza el menú interfaces, pestaña EoIP, y ahí tendrás la entrada a borrar.
Si lo quieres por comando, tan fácil como hacer esto
Código:
/interface eoip remove [find]Saludos!
- Mensajes
- 14,229
Según tu export, no le veo que uses ipsec para el túnel (encriptado). Si no lo usas, has de aceptar explícitamente en el firewall, en input, el tráfico de tipo gre.
Saludos!
- Mensajes
- 14,229
Si vas por ipsec, en input tienes que tener abierto el 4500 y el 500, y el tráfico gre sería relativo a esas conexiones, así que no haría falta abrirlo explícitamente (si usas el firewall por defecto). Si no llevas ipsec, hay que meter simplemente una regla que acepte el tráfico de ese tipo en input, delante de la regla que rechaza todo lo que no venga de la LAN.
Saludos!
Buenas tardes.
En el router A tengo el túnel en Rs, pero en router B se me queda en S no he conseguido levantarlo, la verdad que en el aspecto positivo me he familiarizado bastante con la interfaz del mikrotik.
Pongo el export del router A y B, agradecido por vuestra ayuda en todo momento.
Router A
Router B
Editado para que cada router corresponda a su export
En el router A tengo el túnel en Rs, pero en router B se me queda en S no he conseguido levantarlo, la verdad que en el aspecto positivo me he familiarizado bastante con la interfaz del mikrotik.
Pongo el export del router A y B, agradecido por vuestra ayuda en todo momento.
Router A
Código:
/interface bridge
add admin-mac=08F auto-mac=no comment=defconf name=bridge
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 max-mru=1492 max-mtu=\
1492 name=pppoe-out1 password=adslppp use-peer-dns=yes user=\
adslppp@telefonicanetpa
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-onlyn channel-width=20/40mhz-XX \
disabled=no distance=indoors installation=indoor mode=ap-bridge ssid=\
MikroTik station-roaming=enabled wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-onlyac channel-width=\
20/40/80mhz-XXXX disabled=no distance=indoors frequency=auto \
installation=indoor mode=ap-bridge ssid=MikroTik-78 station-roaming=\
enabled wireless-protocol=802.11
/interface eoip
add allow-fast-path=no ipsec-secret=secrettunel mac-address=FE:3C:FA:53:77:75 \
mtu=1500 name=tunnel-to-B remote-address=d.sn.mynetname.net \
tunnel-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys \
supplicant-identity=MikroTik wpa-pre-shared-key=çç \
wpa2-pre-shared-key=ç
/ip pool
add name=dhcp ranges=192.
add name=vpn ranges=192.1
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/ppp profile
set *FFFFFFFE local-address=19 remote-address=vpn
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
sword,web,sniff,sensitive,api,romon,dude,tikapp"
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
add bridge=bridge interface=tunnel-to-B
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set enabled=yes use-ipsec=yes
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=pppoe-out1 list=WAN
/interface pptp-server server
set enabled=yes
/interface sstp-server server
set default-profile=default-encryption enabled=yes
/ip address
add address=192. comment=defconf interface=bridge network=\
192
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf interface=ether1
/ip dhcp-server network
add address=192.1 comment=defconf gateway=1921
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1
/ip dns static
add address=1.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 \
protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
192
/ppp secret
add name=vpn
/system clock
set time-zone-name=Europe
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LANRouter B
Código:
/interface bridge
add name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
disabled=no mode=station-bridge ssid=MikroTik
/interface eoip
add allow-fast-path=no ipsec-secret=....... mac-address=\
FE3 mtu=1500 name=tunnel-to-A remote-address=\
........sn.mynetname.net tunnel-id=0
/interface list
add name=WAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys \
supplicant-identity=MikroTik wpa2-pre-shared-key=.......
add authentication-types=wpa2-psk mode=dynamic-keys name=wlan-home-security \
supplicant-identity=MikroTik wpa2-pre-shared-key=........
/interface wireless
add disabled=no mac-address=DE7 master-interface=wlan1 name=\
wlan-home security-profile=wlan-home-security ssid=MY wps-mode=\
disabled
/ip pool
add name=pool-mgmnt ranges=192.
/ip dhcp-server
add address-pool=pool-mgmnt interface=ether3 name=dhcp-mgmnt
/interface bridge port
add bridge=bridge interface=ether2
add bridge=bridge interface=wlan-home
/interface detect-internet
set detect-interface-list=WAN
/interface list member
add interface=ether1 list=WAN
add interface=wlan1 list=WAN
/ip address
add address=192.16 interface=ether3 network=19.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add add-default-route=no interface=bridge
/ip dhcp-server network
add address=192.164 dns-none=yes gateway=19.1
/ip dns
set servers=1.1.1.1,1.0.0.1
/system cloc
set time-zone-name=EuropeEditado para que cada router corresponda a su export
Última edición:
- Mensajes
- 14,229
Si A tiene un router por encima (que sospecho lo tiene) asegúrate de abrirle el 4500 y 500 UDP y mandárselo a la que sea la dirección que tienes aquí definida:
Saludos!
Código:
/ip address
add address=192.16 interface=ether3 network=19.0Saludos!
He logrado que los dos túneles esten en ambos lados RS. A la hora de conectar un dispositivo al router B no llega a la dirección ip.
Entiendo que a la hora de abrir puerto, cree una regla para cada uno en nat, dsnat, udp, puerto 500 y la dirección que me indicas y a su vez al 4500.
En los export que subí tuve un error a la hora de indicar, el A sería el B y al contrario.
El router A es el principal y el B que pueda llevar, encima no tengo ninguno
Muchas gracias por toda tu ayuda
Entiendo que a la hora de abrir puerto, cree una regla para cada uno en nat, dsnat, udp, puerto 500 y la dirección que me indicas y a su vez al 4500.
En los export que subí tuve un error a la hora de indicar, el A sería el B y al contrario.
El router A es el principal y el B que pueda llevar, encima no tengo ninguno
Muchas gracias por toda tu ayuda
