MANUAL: Mikrotik, túneles EoIP: Cómo llevarte tu red a cuestas

Buenas tardes, ¿que pasaría si perdiéramos el router B? Si nos damos cuenta al instante podemos conectarnos al router A y eliminar el peer o el extremo del tuner EOIP para evitar que usen el router B. Pero ¿y si no nos damos cuenta de que lo hemos perdido hasta pasadas unas horas o días? Si tenemos un wifi virtual estamos mas o menos protegidos porque no sabrán la contraseña, pero si tenemos ether1 como entrada de internet y ether 2 para conectarnos directamente dentro del tunel tenemos un problema si lo perdemos.

¿De qué forma se podría securizar ether2 para que solo levante la interfaz si le conectamos una determinada MAC?

O si hay otra forma de hacerlo, gracias.

He buscado por si se ha hablado de esto pero no he podido encontrar nada.
 
Última edición:
Yo no me complicaria tanto, y veamos el porque

Lo primeroo, NO usar rangos de IP "tradicionales", por ejemplo, en tu casa pones 192.168.156.x, y en este router portatil 192.168.243.x

Entonces, como no tiene acceso LOGICO (ver la configuracion), es dificil adivinar/intuir que hay un VPN y encima, el siguiente segmento de red que seria el 156

Aunque esto no es seguridad propiamente dicho, te disminuye las probabilidades

Luego, aunque las dos redes esten "integradas", nadie es loco para dejar servidores/recursos de red en una red ABIERTO.....

Siempre alguien se puede conectar por eth o wifi a una red (no puedes capar los puertos en las paredes) y pueden haber filtraciones de claves de red, pro lo cual, cada recurso debe estar asegurado, es LOGICO esto, asi que aunque si es un compromiso de seguridad que alguien este en tu red, tiene que pasar otros filtros...

Y por ultimo, si quieres estar muy muy seguro, deshabilita el usuario ppp de ese "router viajero" como yo lo llamo (tengo uno siempre en mi 4x4 overland funcionando jejeje, mas uno en cada maleta siempre metido, si viajo con la de mano nada mas, alli hay uno, si viajo con la grande, alli hay uno, y en casa de mis amistades por el mundo, ya cada casa tiene uno jeje), entonces te conectas poorimero con el pc o el telefoono via vpn de ese pc/telefono a tu red, entras en la config del mikrotik de tu CASA/OFICINA y activas el usuario ppp del router-viajero, luego te desconectas y "conectas" el roouter.

Pero es mas o menos lo mismo, si pierdes el telefono o el pc, son mas apetitosos que un router de 20 dolares.
 
Bueno, es una forma de verlo. La idea del usuario ppp estaria bien, pues tienes que activar la conexion desde casa.

Aun así aunque los servicios que tengamos en casa esten protegedios, siempre hay brechas o servicios que corren sin certificar, en http o similares. Ademas por muy protegida que tenga la red no me gusta la idea de que alguien siquiera pueda escanear la red o inyectar algun codigo o incluso crear una puerta trasera, ningun red esta protegida 100%. Es mejor no arriesgarse y por eso preguntaba alguna forma de securizar lógicamente el puerto físico ether2 en el ejemplo.
 
ZoNkeD dijo:
Bueno, es una forma de verlo. La idea del usuario ppp estaria bien, pues tienes que activar la conexion desde casa.

Aun así aunque los servicios que tengamos en casa esten protegedios, siempre hay brechas o servicios que corren sin certificar, en http o similares. Ademas por muy protegida que tenga la red no me gusta la idea de que alguien siquiera pueda escanear la red o inyectar algun codigo o incluso crear una puerta trasera, ningun red esta protegida 100%. Es mejor no arriesgarse y por eso preguntaba alguna forma de securizar lógicamente el puerto físico ether2 en el ejemplo.
Haz clic para expandir...
Bueno, como digo, usuario deshabilitado de ese "viajero", y antes de activarlo, con tu PC, te conectas por VPN tambien a tu casa/oficina, activas el usuario PPP y ya se puede conectar el viajero

Y recuerda, es casi imposible, que alguien, conecte el viajero y "sepa" que hay una ruta estatica para un segmento de red, sin entrar en su configuracion. Y si lo quieres hacer aun mas complicado, pon tu casa/oficina en 10.56.34.x jajajaja, la dificultad de acertar ESE segmento (puse uno aleatorio) es dificilisimo.....

El que te lo robe, en el 99% de los caso, no sera para ver tu informacion confidencial, a menos que seas alguien de la CIA que te tengan ya fichado los del FSB, Mossad y demas amigos.... jejeje, el que lo haga sera por el aparatito...

Tambien tendrias la opcion de tener "apagado" el eth1 (the gateway) del viajero, y cuando lo enciendas, debes conectarte a el, via wifi o eth2/3 (con su usuario y clave), y activar fisicamente el eth1 para que el vpn pueda entrar a trabajar...
 
Vale, es dificil, pero en realidad el que se encuentre con el router no tiene que acertar nada más allá de conectar un pc al ether2 y un cable con internet al ether1. Cuando haga eso, el router A le estará entregando una direccion en el rango de mi red local automaticamente por DHCP al ordenador que haya conectado al ether2. Con eso, un nmap y un wireshark y ya tiene diversión para rato a mi costa mientras yo no me de cuenta.
 
Ahhh, es que yo lo hago distinto. Yo en mi viajero creo una red "nueva". por ejemplo, el viajero es 192.168.75.0 y mi casa es 192.168.10.0, entonces cuando quiero acceder a mi casa, debo ir a la red 10...... y para eso tengo una ruta estatica en el viajero via el VPN....

Pero mi red viajera "no es parte" literal.... lo tengo distinto...
 
ZoNkeD dijo:
Vale, es dificil, pero en realidad el que se encuentre con el router no tiene que acertar nada más allá de conectar un pc al ether2 y un cable con internet al ether1. Cuando haga eso, el router A le estará entregando una direccion en el rango de mi red local automaticamente por DHCP al ordenador que haya conectado al ether2. Con eso, un nmap y un wireshark y ya tiene diversión para rato a mi costa mientras yo no me de cuenta.
Haz clic para expandir...
Y porqué no te olvidas de este manual y montas una conexión que requiera autenticación, tipo un L2TP/IPsec? No metes la contraseña en el router y listo, cuando te quieras conectar, tienes que editar manualmente tu configuración en el router y saberte las credenciales del otro extremo. Lo digo porque las VPN de normal se enrutan, un túnel EoIP es un caso de uso muy particular que no deberías usar, a menos que sea estrictamente necesario (y no sólo por seguridad, sino por rendimiento).

Saludos!
 
pokoyo dijo:
Y porqué no te olvidas de este manual y montas una conexión que requiera autenticación, tipo un L2TP/IPsec? No metes la contraseña en el router y listo, cuando te quieras conectar, tienes que editar manualmente tu configuración en el router y saberte las credenciales del otro extremo. Lo digo porque las VPN de normal se enrutan, un túnel EoIP es un caso de uso muy particular que no deberías usar, a menos que sea estrictamente necesario (y no sólo por seguridad, sino por rendimiento).

Saludos!
Haz clic para expandir...
Exacto, mi tema va por alli, que mejor por VPN creo... dudo aunque no es imposible que requieras siempre que es un roadwarrior tener una super velocidad, y mas aun, con lo poco que dan los hoteles, los modems4g y sitios donde uno va.....

Yo lo tengo como tu bien sabes amigo, via l2tp+i[sec (siempre activo en mi poco e routers repartidos jajajajaa) y ern el caso de algo, quito el usuario del principal (nunca me ha pasado)

Ademas, si no usas los rangos basicos, y no tienen acceso al router.... casi imposible...
 
Vale, yo solo planteaba ese hipotético caso en el que se perdiera el router, la verdad es que EoIP lo utilizo solo para iptv pululante pero ya que estamos me he quedado con la duda de si lo de securizar un puerto a una mac se puede hacer.

También tiene que la configuración de wireguard + eoip es mucho más sencilla creo que l2tp+ipsec, y tener que estar modificando la configuración del router para que haya conexión es una buena opción pero le resta la versatilidad de llegar y conectar.
 
ZoNkeD dijo:
Vale, yo solo planteaba ese hipotético caso en el que se perdiera el router, la verdad es que EoIP lo utilizo solo para iptv pululante pero ya que estamos me he quedado con la duda de si lo de securizar un puerto a una mac se puede hacer.

También tiene que la configuración de wireguard + eoip es mucho más sencilla creo que l2tp+ipsec, y tener que estar modificando la configuración del router para que haya conexión es una buena opción pero le resta la versatilidad de llegar y conectar.
Haz clic para expandir...
Umm... ¿sigues con acceso al router principal? pues es tas sencillo como apagar el EoIP. Y, con respecto a que es más sencillo, diría que no. En uno creas un túnel dentro de otro, en el otro simplemente marcas una pestaña en el EoIP, y ya va encriptado. La gracia del wireguard+eoip es que wireguard es UDP y lo puedes correr en el puerto que te de la gana, evitando que algún simpático con un script llame a la puerta de los puertos 4500/500 de IPSec.

Saludos!
 
Vale, gracias por la explicación me queda más claro. Estoy investigando lo de securizar un puerto basandose en la mac del dispositivo conectado, a ver si encuentro algo, me vendría bien para otro setup.
 
ZoNkeD dijo:
Vale, gracias por la explicación me queda más claro. Estoy investigando lo de securizar un puerto basandose en la mac del dispositivo conectado, a ver si encuentro algo, me vendría bien para otro setup.
Haz clic para expandir...
Le quitas el que aprenda ARP automático (arp=reply-only) y lo añades manualmente a la tabla ARP. Y listo, ya está securizado.

Saludos!
 
Buenas noches, gracias por la idea pero he creado un bridge con arp=reply-only y con un dhcp server y le he asociado el ether4, he conectado un portatil a ether4 y ha cogido ip por dhcp. No se si lo estoy haciendo correctamente.

[EDITO] He trasteado un poco y he creado dos reglas en el bridge filters una con el chain input y la otra con el chain forward diciendole que lo que le entre en el ether2 y que no tenga la source mac address definida le haga drop y parece que funciona.

Todo lo que no sea esa mac no coge ip por dhcp, aunque me sigue encontrando el mikrotik en el winbox, aunque cuando le doy a conectar me da error diciendo que no hay ruta hacia el host.
 
Última edición:
Buenas tardes, he intentado hacer el tunnel, pero no me da ip del router principal, me sle RS en los mk y en los logs, salen que los eoip estan levantados, y si me hace ping desde uno al otro, pero nada, tengo en los router de operadoras el DMZ activado, para que me de ip tendría que crear un pptp y las ips remotas de los eoip poner las ips que me crea la vpn. pero me va lenta la conexión, (en los dos sitios tienen 600M)
 

Adjuntos

  • eoip tunnel.png
    eoip tunnel.png
    79.8 KB · Visitas: 46
opochico dijo:
Buenas tardes, he intentado hacer el tunnel, pero no me da ip del router principal, me sle RS en los mk y en los logs, salen que los eoip estan levantados, y si me hace ping desde uno al otro, pero nada, tengo en los router de operadoras el DMZ activado, para que me de ip tendría que crear un pptp y las ips remotas de los eoip poner las ips que me crea la vpn. pero me va lenta la conexión, (en los dos sitios tienen 600M)
Haz clic para expandir...
Hola, puedes hacer un export de la configuración? Puedes ir al terminal y ejecutar
Código: 
/export hide-sensitive file=export_mikrotik
y luego en files puedes descargar el archivo dandole boton derecho sobre el archivo.
 
ZoNkeD dijo:
Hola, puedes hacer un export de la configuración? Puedes ir al terminal y ejecutar
Código: 
/export hide-sensitive file=export_mikrotik
y luego en files puedes descargar el archivo dandole boton derecho sobre el archivo.
Haz clic para expandir...
hola, este es el archivo:

# jan/02/1970 01:07:51 by RouterOS 7.6
# software id = RQZT-Q1GC
#
# model = RB931-2nD
# serial number = ZZZZZZZZZZZZ
/interface bridge
add igmp-snooping=yes igmp-version=3 mld-version=2 name=bridge
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
/interface eoip
add !keepalive mac-address=FE:2A:19:4C:4B:75 mtu=1500 name=tunnel-to-A \
remote-address=XXXXXXXXXXXX.sn.mynetname.net tunnel-id=155
/interface list
add name=WAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=pool-mgmnt ranges=192.168.99.2-192.168.99.5
/ip dhcp-server
add address-pool=pool-mgmnt disabled=yes interface=ether3 name=dhcp-mgmnt
/routing ospf instance
add disabled=no name=default-v2
/routing ospf area
add disabled=yes instance=default-v2 name=backbone-v2
/interface bridge port
add bridge=bridge ingress-filtering=no interface=tunnel-to-A
add bridge=bridge ingress-filtering=no interface=ether2
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192
/interface detect-internet
set detect-interface-list=WAN
/interface list member
add interface=ether1 list=WAN
/ip address
add address=192.168.99.1/24 disabled=yes interface=ether3 network=\
192.168.99.0
/ip cloud
set ddns-enabled=yes ddns-update-interval=1m
/ip dhcp-client
add add-default-route=no interface=bridge
/ip dhcp-server network
add address=192.168.99.0/24 dns-none=yes gateway=192.168.99.1
/ip dns
set servers=1.1.1.1,1.0.0.1
/system clock
set time-zone-name=Europe/Madrid
/system package update
set channel=testing
/system routerboard settings
set auto-upgrade=yes
 
Una pregunta totalmente teórica, y que no quiero aplicar a la realidad, es simple curiosidad. Creando y usando este tipo de túnel, el administrador del PC / Dispositivo del que se conecte desde el otro lado (no domicilio), dispone de alguna forma de saber que ese usuario no se encuentra físicamente en el lugar en el que se origina la red?

Por ejemplo, en caso de que una empresa exigiese conectarse desde una localización X y montásemos un tunel EoIP que se originase en dicha localización; y nos conectásemos desde otra ciudad / país: ¿Podría el ISP o administrador de red saberlo?
 
picdu dijo:
Una pregunta totalmente teórica, y que no quiero aplicar a la realidad, es simple curiosidad. Creando y usando este tipo de túnel, el administrador del PC / Dispositivo del que se conecte desde el otro lado (no domicilio), dispone de alguna forma de saber que ese usuario no se encuentra físicamente en el lugar en el que se origina la red?

Por ejemplo, en caso de que una empresa exigiese conectarse desde una localización X y montásemos un tunel EoIP que se originase en dicha localización; y nos conectásemos desde otra ciudad / país: ¿Podría el ISP o administrador de red saberlo?
Haz clic para expandir...
Supongo que un ISP sería capaz de verlo. Pero un equipo final, me extraña mucho.

Saludos!
 
pokoyo dijo:
Llega el momento de conectar el equipo a la red que nos proporcione salida a internet. En este caso, tenemos dos opciones: Por cable: tan simple como enchufar ether1 a una boca ethernet del router que nos de salida a internet. Me centro en hacerlo por wifi
Haz clic para expandir...
Hola! Me viene súper bien esta solución pero me surge un problema.
La red desde la que me quiero conectar es eduroam, que es una red extendida por todas las universidades de Europa y para poder salir a internet hay que poner un usuario y contraseña (de tu universidad), se te instala un perfil en el dispositivo desde el que te conectas y tienes roaming entre todos los sitios donde esté la red.
El problema es, ¿como reflejo ese usuario en el mikrotik?
Dudo que sea posible o al menos sencillo y por lo tanto rentable invertir tiempo en hacerlo.
Gracias de antemano!
 
sergiogarciia19 dijo:
Hola! Me viene súper bien esta solución pero me surge un problema.
La red desde la que me quiero conectar es eduroam, que es una red extendida por todas las universidades de Europa y para poder salir a internet hay que poner un usuario y contraseña (de tu universidad), se te instala un perfil en el dispositivo desde el que te conectas y tienes roaming entre todos los sitios donde esté la red.
El problema es, ¿como reflejo ese usuario en el mikrotik?
Dudo que sea posible o al menos sencillo y por lo tanto rentable invertir tiempo en hacerlo.
Gracias de antemano!
Haz clic para expandir...
Mira si esa red soporta autenticación por certificados EAP. Parece que sí, y los de la universidad de valencia lo tienen documentado:

Configuración de la conexión

www.uv.es www.uv.es

Saludos!
 
Debes estar conectado o registrado para responder aquí.

Similar threads

S
cambiar VLAN administracion
Respuestas
4
Visitas
255
santiagoADSL
leptismame
TUNEL CONECTADO - DECO NO ACCEDE A RED
Respuestas
7
Visitas
1,094
pokoyo
G
2 tuneles eoip
Respuestas
18
Visitas
781
guisante86
jakejake
vlan en mikrotik velociadad baja
2
Respuestas
26
Visitas
862
pokoyo
I
Fallo red WIFI CAPsMan con SFP Stick
Respuestas
5
Visitas
209
Irok
Arriba