MANUAL: Mikrotik, túneles EoIP: Cómo llevarte tu red a cuestas

Tendrás que montar un script para encarrilar el tráfico del desco. Pero no te preocupes, que @furny tiene montado algo similar con dos descos. Entiendo que con más, será parecido.

Saludos!
 
Bueno. Pues después de cacharrear con mi nuevo hAP mini unos días y familiarizarme con él, ya he probado varias configuraciones. Pero lo interesante es que, gracias a las indicaciones de @pokoyo en este hilo, he conseguido montar un puente EoiP/Ipsec entre el router de casa, configurado con dos bridges (uno con HW offloading y el otro para IPTV), y el hAP. Lo primero, un millón de gracias por la guía, @pokoyo, pues me ha resultado facilísimo montarlo. He seguido las indicaciones tuyas al pie de la letra, metiendo la interfaz eoip, eso sí, en el bridge-IPTV, para transportar todo el tráfico al otro extremo, al hAP.

Lo segundo, buenas noticias. Le he enchufado un desco al puerto ether3 del hAP, y a la primera ha funcionado Movistar TV, como si estuviera conectado directamente al router de casa. (Bueno, iba más lento que el caballo del malo, pero eso era porque el banco de pruebas era conectando el hAP a internet por la red móvil a través del hotspot wifi del iPhone, pues no disponía en casa de una segunda conexión a internet de cable, claro). Pero el caso es que funciona exactamente como si estuviera en un switch: los canales multicast en directo, el VOD script cambia la regla NAT y el VOD funciona todo.

Lo que no he conseguido es usar la red fija del hAP para conectarme a internet. Si le intento engañar, conectándolo a la boca de un switch de mi LAN, detecta que está en la misma red y no establece el túnel EoIp. Probaré si hay alguna otra manera, o si no, iré a casa de un amigo con los trastos un día de estos, y veré si funciona con la red fija y si atraviesa NATs. (¿habría algún problema con el túnel EoIp/Ipsec para atravesar un firewall con NAT como el estándar de MK?)

En cualquier caso, se nos despejan muchas dudas, y vamos a poder disponer de Movistar TV en la playa este verano. No subo la configuración, porque sólo hay que seguir las indicaciones de este hilo sobre la configuración de los dos bridges del hilo de configuraciones básicas. Si tiene alguien alguna pega, estamos para ayudaros.

(Como estamos confinados, no puedo ir a la casa de la playa a probarlo este finde, vaya!).

Pues lo dicho. Muchísimas gracias, maestro!!!
 
Bueno. Pues después de cacharrear con mi nuevo hAP mini unos días y familiarizarme con él, ya he probado varias configuraciones. Pero lo interesante es que, gracias a las indicaciones de @pokoyo en este hilo, he conseguido montar un puente EoiP/Ipsec entre el router de casa, configurado con dos bridges (uno con HW offloading y el otro para IPTV), y el hAP. Lo primero, un millón de gracias por la guía, @pokoyo, pues me ha resultado facilísimo montarlo. He seguido las indicaciones tuyas al pie de la letra, metiendo la interfaz eoip, eso sí, en el bridge-IPTV, para transportar todo el tráfico al otro extremo, al hAP.

Lo segundo, buenas noticias. Le he enchufado un desco al puerto ether3 del hAP, y a la primera ha funcionado Movistar TV, como si estuviera conectado directamente al router de casa. (Bueno, iba más lento que el caballo del malo, pero eso era porque el banco de pruebas era conectando el hAP a internet por la red móvil a través del hotspot wifi del iPhone, pues no disponía en casa de una segunda conexión a internet de cable, claro). Pero el caso es que funciona exactamente como si estuviera en un switch: los canales multicast en directo, el VOD script cambia la regla NAT y el VOD funciona todo.

Lo que no he conseguido es usar la red fija del hAP para conectarme a internet. Si le intento engañar, conectándolo a la boca de un switch de mi LAN, detecta que está en la misma red y no establece el túnel EoIp. Probaré si hay alguna otra manera, o si no, iré a casa de un amigo con los trastos un día de estos, y veré si funciona con la red fija y si atraviesa NATs. (¿habría algún problema con el túnel EoIp/Ipsec para atravesar un firewall con NAT como el estándar de MK?)

En cualquier caso, se nos despejan muchas dudas, y vamos a poder disponer de Movistar TV en la playa este verano. No subo la configuración, porque sólo hay que seguir las indicaciones de este hilo sobre la configuración de los dos bridges del hilo de configuraciones básicas. Si tiene alguien alguna pega, estamos para ayudaros.

(Como estamos confinados, no puedo ir a la casa de la playa a probarlo este finde, vaya!).

Pues lo dicho. Muchísimas gracias, maestro!!!

De nada majete! Como bien dices, el túnel EoIP es como conectar dos switches en remoto, te llevas toda la red. Pero échale un ojo a la cpu del chisme, a ver qué tal se comporta cuando lo tengas tirando de la tv, es un equipo con una cpu muy comedida.
Si vas a transportar el tráfico de dos bridges, ya sabes, dos túneles, cada uno con un ID y listo.

El tráfico para establecer los túneles es GRE, el cual suele atravesar sin problemas los NATs. Incluso lo he probado siendo un extremo una conexión con doble NAT y pasaba sin problema. Y, sobre 4G, también. Hay veces que le cuesta más reintegros levantar el túnel, pero al final lo levanta.
Del manual quite la regla de firewall que aceptaba el tráfico GRE en el chain de input, puesto que me di cuenta de que, si bien la regla recibía tráfico, sin la regla se conectaba igual de bien. Lo que sí tienes que abrir es el tráfico para IPSec en caso de querer encriptación el túnel.

Con respecto a las posibilidades... mil. He visto usar esto en una demo para montar un bonding de dos conexiones WAN lentas a una fibra rápida que manejaba ambos túneles. El extremo lento salía por una adsl con un túnel y con una 4G por el otro, creando al final una interfaz de tipo “bond” que repartia el tráfico por round robbin. En el otro extremo, el rápido, sendos túneles salían por la misma conexión (cada uno con un id), proporcionando un caudal suficiente para lo que demandaba el otro extremo (conexión de fibra).
Otra muy guapa es montar CAPsMAN en remoto. Yo te doy un router que tú pinchas a tu proveedor, haciendo de CAP, y el tráfico que generas no se reenvía, sino que se queda en tu propio equipo, pero te monto un túnel de administración remota de CAPsMAN, por donde te llega, por ejemplo, la configuración inalámbrica. El tráfico de una de las interfaces inalámbricas (ejemplo: trabajo), sí que la reenvío al CAPsMAN para que pase por su firewall. Mientras que el resto de tráfico es local y lo dejas salir por tu conexión con tus propias reglas de firewall.
Yo de momento solo lo he usado para hacer roaming en vacaciones y llevarme la casa a cuestas. Sobre una 4G (haciendo el router de station y de AP al mismo tiempo), funciona pero fluctúa. Pero si tienes la opción de engancharlo por cable a la red que te da salida a internet, va que se las pela. Hasta el propio servidor dhcp te parece que esté trabajando en local y no en remoto, es casi instantáneo (sobre wifi o 4G se le ve cierto delay).

Básicamente, cualquier cosa que puedas meter en un bridge, lo puedes transportar por un túnel EoIP.

Para probar lo del cable, una trampa es puentear una wifi y un ethernet en un portátil, compartiendo la conexión. La wifi la conectas al 4G del móvil y el ethernet al puerto que haga de WAN en el mikrotik. Aunque irse a casa del amigo/vecino es casi más sencillo (y si llevas unas latas fresquitas, ya ni te digo)

Saludos!
 
Pero échale un ojo a la cpu del chisme, a ver qué tal se comporta cuando lo tengas tirando de la tv, es un equipo con una cpu muy comedida.
Sí, tienes razón. Ya le echaré un ojo, por curiosidad, cuando tenga ocasión, pero creo que chuta bastante bien. Las imágenes no se pixelaban, iban bien.
 
Si vas a transportar el tráfico de dos bridges, ya sabes, dos túneles, cada uno con un ID y listo.

El tráfico para establecer los túneles es GRE, el cual suele atravesar sin problemas los NATs. Incluso lo he probado siendo un extremo una conexión con doble NAT y pasaba sin problema. Y, sobre 4G, también. Hay veces que le cuesta más reintegros levantar el túnel, pero al final lo levanta.
Del manual quite la regla de firewall que aceptaba el tráfico GRE en el chain de input, puesto que me di cuenta de que, si bien la regla recibía tráfico, sin la regla se conectaba igual de bien. Lo que sí tienes que abrir es el tráfico para IPSec en caso de querer encriptación el túnel.

Con respecto a las posibilidades... mil. He visto usar esto en una demo para montar un bonding de dos conexiones WAN lentas a una fibra rápida que manejaba ambos túneles. El extremo lento salía por una adsl con un túnel y con una 4G por el otro, creando al final una interfaz de tipo “bond” que repartia el tráfico por round robbin. En el otro extremo, el rápido, sendos túneles salían por la misma conexión (cada uno con un id), proporcionando un caudal suficiente para lo que demandaba el otro extremo (conexión de fibra).
Otra muy guapa es montar CAPsMAN en remoto. Yo te doy un router que tú pinchas a tu proveedor, haciendo de CAP, y el tráfico que generas no se reenvía, sino que se queda en tu propio equipo, pero te monto un túnel de administración remota de CAPsMAN, por donde te llega, por ejemplo, la configuración inalámbrica. El tráfico de una de las interfaces inalámbricas (ejemplo: trabajo), sí que la reenvío al CAPsMAN para que pase por su firewall. Mientras que el resto de tráfico es local y lo dejas salir por tu conexión con tus propias reglas de firewall.
Yo de momento solo lo he usado para hacer roaming en vacaciones y llevarme la casa a cuestas. Sobre una 4G (haciendo el router de station y de AP al mismo tiempo), funciona pero fluctúa. Pero si tienes la opción de engancharlo por cable a la red que te da salida a internet, va que se las pela. Hasta el propio servidor dhcp te parece que esté trabajando en local y no en remoto, es casi instantáneo (sobre wifi o 4G se le ve cierto delay).

Básicamente, cualquier cosa que puedas meter en un bridge, lo puedes transportar por un túnel EoIP.

La verdad es que es muy interesante. Cuando vaya sacando tiempo me pondré a hacer "experimentos", a ver, sin tener que usar el hEX, que está en producción en casa. Tienes razón, las posibilidades son tremendas.

Por curiosidad: ¿has probado lo de montar un túnel site-to-site con GRE e IPsec como dice el manual aquí: https://wiki.mikrotik.com/wiki/Manu...e_GRE_tunnel_over_IPsec_.28IKEv2.29_using_DNS ??
Antes de que publicases lo del Eoip le estuve dando vueltas a esto, pero como no tenía otro equipo para experimentar, no me metí con ello. Es que aquí usa IKEv2 y tiene la pinta de que se podría meter hasta RSA, ¿no?.
 
Para probar lo del cable, una trampa es puentear una wifi y un ethernet en un portátil, compartiendo la conexión. La wifi la conectas al 4G del móvil y el ethernet al puerto que haga de WAN en el mikrotik. Aunque irse a casa del amigo/vecino es casi más sencillo (y si llevas unas latas fresquitas, ya ni te digo)
Pues lo he probado rápido con el macbook e internet-sharing y no he tenido éxito, a sí que me iré este finde a casa de un amigo con las cervezas y el hAP mini, como sugieres. ;-))

Lo dicho, muchas gracias, eres un fenómeno.

Saludos!!
 
Buenas, yo estoy probando el manual con un 951-2n detrás del HGU de movistar, recibo internet, no lo tengo en modo bridge (router roaming B según el manual) y en el otro extremo tengo un hap ac2 con un pincho usb conectado (router A) y no consigo levantar el tunel. ¿alguna sugerencia o no se puede así?. Gracias.

Un Saludo.
 
Buenas, yo estoy probando el manual con un 951-2n detrás del HGU de movistar, recibo internet, no lo tengo en modo bridge (router roaming B según el manual) y en el otro extremo tengo un hap ac2 con un pincho usb conectado (router A) y no consigo levantar el tunel. ¿alguna sugerencia o no se puede así?. Gracias.

Un Saludo.

Probablemente no tengas una IP pública del lado del router A, donde usas un pincho 3G.
Si puedes y para probar, dale la vuelta al túnel: haz que el router A sea el que conecta al HGU y pon ese equipo en monopuesto, que ahí sí te entregará seguro una IP pública. Y configura el lado del router 3G como roaming, y me dices si conecta.

Saludos!
 
Probablemente no tengas una IP pública del lado del router A, donde usas un pincho 3G.
Si puedes y para probar, dale la vuelta al túnel: haz que el router A sea el que conecta al HGU y pon ese equipo en monopuesto, que ahí sí te entregará seguro una IP pública. Y configura el lado del router 3G como roaming, y me dices si conecta.

Saludos!

Efectivamente, el pincho me da una ip 192.168.x.x. Intentaré lo que comentas, el tema es que no dominio todavía el tema de firewall y no me atrevo a dejarlo como router principal en la casa. Gracias por la respuesta.

Un Saludo.
 
Efectivamente, el pincho me da una ip 192.168.x.x. Intentaré lo que comentas, el tema es que no dominio todavía el tema de firewall y no me atrevo a dejarlo como router principal en la casa. Gracias por la respuesta.

Un Saludo.

El firewall que monta por defecto que monta el script de auto-configuración es más que suficiente para el 99% del uso que le puedas dar al router en una vivienda privada. Incluso me atrevería a decir que para cualquier uso, al menos para partir de una configuración conocida que funciona.

Si es por eso, no lo hagas; te animo a que lo uses como router principal, y que preguntes cualquier duda que te surja.

Saludos!
 
El firewall que monta por defecto que monta el script de auto-configuración es más que suficiente para el 99% del uso que le puedas dar al router en una vivienda privada. Incluso me atrevería a decir que para cualquier uso, al menos para partir de una configuración conocida que funciona.

Ok, pues lo tendré en cuenta, solo me he dado cuenta que de las 9 creo que se configuran, una la tengo que deshabilitar para entrar vía cloud desde fuera, la que pone !Lan.

Bueno, el caso es que esta mañana me he puesto a configurarlo al revés, he reseteado de fabrica sin configuraciones por defecto, el 951-2n lo tengo detrás del hgu de movistar en modo bridge y tengo ip pública, lo he configurado solo con lo justo, internet (pppoe), wifi, los puertos en bridge, masquerade para no dejar sin internet a los niños y funciona todo bien, no tiene reglas de firewall alguna. Por supuesto he desactivado todos los servicios menos el de winbox y cambiado la contraseña.

El HapAc2 con el pincho usb casi no me ha hecho falta configurar nada, resetee y comprobé haciendo ping desde la consola que salia a internet, de hecho solo he configurado el tunel sin firewall ni nada, los bridge que pones en el tutorial y poco más.

Pues nada, sigue sin aparecerme la RS, solo me aparece la S. Algo se me escapa. A ver si se te ocurre algo. Gracias de nuevo.

Un Saludo.
 
Ok, pues lo tendré en cuenta, solo me he dado cuenta que de las 9 creo que se configuran, una la tengo que deshabilitar para entrar vía cloud desde fuera, la que pone !Lan.

Bueno, el caso es que esta mañana me he puesto a configurarlo al revés, he reseteado de fabrica sin configuraciones por defecto, el 951-2n lo tengo detrás del hgu de movistar en modo bridge y tengo ip pública, lo he configurado solo con lo justo, internet (pppoe), wifi, los puertos en bridge, masquerade para no dejar sin internet a los niños y funciona todo bien, no tiene reglas de firewall alguna. Por supuesto he desactivado todos los servicios menos el de winbox y cambiado la contraseña.

El HapAc2 con el pincho usb casi no me ha hecho falta configurar nada, resetee y comprobé haciendo ping desde la consola que salia a internet, de hecho solo he configurado el tunel sin firewall ni nada, los bridge que pones en el tutorial y poco más.

Pues nada, sigue sin aparecerme la RS, solo me aparece la S. Algo se me escapa. A ver si se te ocurre algo. Gracias de nuevo.

Un Saludo.

El pincho USB es a una red móvil 4g, ¿no?. ¿Tienes buena cobertura? Acércate a una ventana o en una terraza. Y espera un poco. Si no, prueba con un móvil al que le has quitado la conexión wifi a tu LAN, y te conectas a él a traves de wifi desde el hapAC2
 
Ok, pues lo tendré en cuenta, solo me he dado cuenta que de las 9 creo que se configuran, una la tengo que deshabilitar para entrar vía cloud desde fuera, la que pone !Lan.

Bueno, el caso es que esta mañana me he puesto a configurarlo al revés, he reseteado de fabrica sin configuraciones por defecto, el 951-2n lo tengo detrás del hgu de movistar en modo bridge y tengo ip pública, lo he configurado solo con lo justo, internet (pppoe), wifi, los puertos en bridge, masquerade para no dejar sin internet a los niños y funciona todo bien, no tiene reglas de firewall alguna. Por supuesto he desactivado todos los servicios menos el de winbox y cambiado la contraseña.

El HapAc2 con el pincho usb casi no me ha hecho falta configurar nada, resetee y comprobé haciendo ping desde la consola que salia a internet, de hecho solo he configurado el tunel sin firewall ni nada, los bridge que pones en el tutorial y poco más.

Pues nada, sigue sin aparecerme la RS, solo me aparece la S. Algo se me escapa. A ver si se te ocurre algo. Gracias de nuevo.

Un Saludo.

Haz lo mismo pero configurandolo desde el webfig, en lugar de winbox. Algún hay con winbox y los túneles EoIP que a veces no se ponen a running, ya nos ha pasado a más de uno.

Saludos!
 
Gracias a los dos por las respuestas, yo estoy mas en algo que estoy haciendo mal porque no es la primera vez que pruebo, eso si, siempre lo he hecho con 4g de por medio. Probare de nuevo a ver.

Un Saludo.
 
Hola Pokoyo, he probado casi todos tus manuales y me han servido de mucho para comprender como funciona no solo RouterOS sino también las redes, ahora me puse a pensar en este caso donde usas el túnel Eoip, túnel de capa 2, por el cual extiendes la red del router de tu casa al otro que llevas contigo, todo funciona bien.
Ahora como los túneles Eoip son tuneles de capa 2, al igual que el tunel PPPT y el L2PT, por lo que intenté hacer lo mismo pero no me funciona.
Por ejemplo en el router servidor:
1- Cree un bridge donde adicioné un puerto del router (ether5)
2- Levanté un servidor DHCP y se lo asigné al bridge.
3- En PPP-Profile cree uno nuevo, le puse una dirección local y remota y también le asigné el bridge anterior creado.
4- Cree un secret usuario, contraseña y le asigné el profile anterior.
5- Habilité el servidor, probé con los dos PPPT y L2PT
En el otro router.
1- Cree un brigde donde le adicioné un puerto del router (ether4)
2- Creé un profile nuevo al que le asigné el bridge (lo demás lo dejé vacío)
3- Levanté el servicio correspondiente al servidor que había habilitado en el otro router (PPPT o L2PT), le puse el usuario, contraseña y el profile creado anteriormente.
Inmediatamente se crea el túnel, esta conectado. Sin problemas y se asigna dinámicamente el túnel al bridge junto al otro puerto.
Ahora le conecto una PC al puerto ether5 (el que está en el bridge) del router servidor y el DHCP me da la ip bien, sin embargo si conecto la computadora en el puerto ether4 del router cliente la computadora no recibe respuesta del DHCP que está en el router servidor, sin embargo la petición si le llega y éste le da una ip, pero al parecer no le llega la respuesta por el túnel por lo que se queda sin IP.
Tienes idea que estaré haciendo mal?
Captura de pantalla 2020-10-08 234218.jpg
 
Hola Pokoyo, he probado casi todos tus manuales y me han servido de mucho para comprender como funciona no solo RouterOS sino también las redes, ahora me puse a pensar en este caso donde usas el túnel Eoip, túnel de capa 2, por el cual extiendes la red del router de tu casa al otro que llevas contigo, todo funciona bien.
Ahora como los túneles Eoip son tuneles de capa 2, al igual que el tunel PPPT y el L2PT, por lo que intenté hacer lo mismo pero no me funciona.
Por ejemplo en el router servidor:
1- Cree un bridge donde adicioné un puerto del router (ether5)
2- Levanté un servidor DHCP y se lo asigné al bridge.
3- En PPP-Profile cree uno nuevo, le puse una dirección local y remota y también le asigné el bridge anterior creado.
4- Cree un secret usuario, contraseña y le asigné el profile anterior.
5- Habilité el servidor, probé con los dos PPPT y L2PT
En el otro router.
1- Cree un brigde donde le adicioné un puerto del router (ether4)
2- Creé un profile nuevo al que le asigné el bridge (lo demás lo dejé vacío)
3- Levanté el servicio correspondiente al servidor que había habilitado en el otro router (PPPT o L2PT), le puse el usuario, contraseña y el profile creado anteriormente.
Inmediatamente se crea el túnel, esta conectado. Sin problemas y se asigna dinámicamente el túnel al bridge junto al otro puerto.
Ahora le conecto una PC al puerto ether5 (el que está en el bridge) del router servidor y el DHCP me da la ip bien, sin embargo si conecto la computadora en el puerto ether4 del router cliente la computadora no recibe respuesta del DHCP que está en el router servidor, sin embargo la petición si le llega y éste le da una ip, pero al parecer no le llega la respuesta por el túnel por lo que se queda sin IP.
Tienes idea que estaré haciendo mal?
Ver el adjunto 73183

Porque no estás transmitiendo frames ethernet por el túnel. Te falta la parte del BCP. Lee sobre el tema: https://mum.mikrotik.com/presentations/VN19/presentation_6325_1548043842.pdf

Y tienes explicado el setup en la wiki (vas bien, casi lo tienes hecho), pero ojo que ahí usa ether1 como local y ether2 como interfaz pública: https://wiki.mikrotik.com/wiki/Manual:BCP_bridging_(PPP_tunnel_bridging)

No lo he probado pero, en teoría, debería funcionar.

Saludos!
 
Buenas, por fin he visto la luz, jajaja. Después de probar todo o casi todo, teléfono android, iphone, usb metido en el 4g, usb solo en modo punto de acceso, levantar el túnel por webif, por fin me ha salido la RS del túnel. Ayer leí algo del keepalive y lo he quitado en los dos extremos. Ahora tengo el problema que no me da ip al portátil por eth2. Me he dado cuenta que cuando hago esto:

  • /ip dhcp-client add interface=bridge1 add-default-route=no
Se me queda en inactivo y si lo activo se queda en searching

¿sabéis de que puede ser??

Un Saludo.
 
Eso significa que no tienes el túnel funcionando en ambos sentidos. Mira los logs, o ambos routers, en uno de los lados el túnel no tendrá tráfico en RX.

Saludos!
 
Porque no estás transmitiendo frames ethernet por el túnel. Te falta la parte del BCP. Lee sobre el tema: https://mum.mikrotik.com/presentations/VN19/presentation_6325_1548043842.pdf

Y tienes explicado el setup en la wiki (vas bien, casi lo tienes hecho), pero ojo que ahí usa ether1 como local y ether2 como interfaz pública: https://wiki.mikrotik.com/wiki/Manual:BCP_bridging_(PPP_tunnel_bridging)

No lo he probado pero, en teoría, debería funcionar.

Saludos!
Gracias Pokoyo por tu tiempo, pero no me funcionó la vía por BCP, sin embargo estuve probando que si en ves de solicitar la ip por DHCP le pongo una estatica en el rango de la red que reparte el servidor DHCP que se encuentra en el otro router si puedo tener acceso a la otra red en el otro router y desde la otra red a esta pc. Seguiré probando cuando se me ocurra algo o me des alguna idea. :)
Gracias, entre mas estudio mas me doy cuenta que no se nada :(
 

Similar threads

A
Respuestas
1
Visitas
3,704
A
Respuestas
0
Visitas
1,988
Anonymous
A
Respuestas
2
Visitas
2,897
Anonymous
A
Respuestas
1
Visitas
4,525
Anonymous
Arriba