MANUAL: Mikrotik, túneles EoIP: Cómo llevarte tu red a cuestas

@pokoyo vale, ya he hecho el punto 1, y perfecto.

Con respecto al wifi, vale, lo que veo es que está utilizando el mismo canal que la red wifi de la que capto los datos (no tengo acceso al router por cable por lo que necesito acceso por wifi).

Lo ideal sería hacer que la interfaz virtual wlan_home que cree estuviera en el canal 6, por ejemplo (adjunto imagen de escaner de redes). En el canal 11 emite el wifi de Movistar al que estoy conectado.

He mirado por los menús pero no he encontrado la opción de asignar el canal a la interfaz wifi virtual. Sabes si se puede hacer?
 

Adjuntos

  • Screenshot_20210102-115539.jpg
    Screenshot_20210102-115539.jpg
    258 KB · Visitas: 16
pokoyo dijo:
Si ves que no te funciona, es muy probable que sea tema de puertos, si estás usando IPSec. Si tienes los puertos 500 y 4500 abiertos en el chain de input del primer router, obviamente ese tráfico no va a llegar al segundo.

Saludos!
Haz clic para expandir...
Cierto!, @pokoyo, estás en todo!. Seguro que no le está llegando lo del segundo túnel. Pero como está en casa, el segundo túnel, (el pasadizo secreto entre mk_casa y mk_salon), lo puede hacer sin activar IPSec, un EoiP a secas. Aunque tarde un poco más en levantarse, yo creo que levantará.
 
sermayoral dijo:
@pokoyo vale, ya he hecho el punto 1, y perfecto.

Con respecto al wifi, vale, lo que veo es que está utilizando el mismo canal que la red wifi de la que capto los datos (no tengo acceso al router por cable por lo que necesito acceso por wifi).

Lo ideal sería hacer que la interfaz virtual wlan_home que cree estuviera en el canal 6, por ejemplo (adjunto imagen de escaner de redes). En el canal 11 emite el wifi de Movistar al que estoy conectado.

He mirado por los menús pero no he encontrado la opción de asignar el canal a la interfaz wifi virtual. Sabes si se puede hacer?
Haz clic para expandir...
No, creo que no se puede hacer. El funcionamiento cuando utilizas la interfaz de wireless en modo estación (el lado para conectarse a la wan) y una virtual sobre esta (el lado AP), es que usan exactamente el mismo canal. Pero NO hay interferencia. Lo que ocurre es que el acceso está dividido en el tiempo: cuando el lado station está mandando algo, el lado esclavo se calla. Este es el funcionamiento normal de cualquier canal Wifi. Es más: si tu tienes seleccionado el canal, digamos, 1 y tu vecino en su equipo también, los dos APs se coordinan para turnarse en el uso de ese canal: cuando está transmitiendo, el otro se calla durante un tiempo y escucha si hay alguien usándolo o no, y viceversa. Entonces el caudal efectivo de datos se ve reducido a la mitad (o dividido entre tantos APs que lo estén compartiendo y "se escuchen"). No sé si me he explicado bien, vaya.
Pero eso no explica que en cuanto te alejes pierda cobertura el hAP mini. MT no es lo mejor en cuanto a tecnología WiFi, pero además el equipo es pequeñito y las antenas creo que son de tan solo 1,5 dBi de ganancia, comparado con los equipos de antenas con cuernos de un palmo, que pueden ser 6-9dBi. Además, tampoco se beneficia de la tecnología MiMO (diversidad espacial), por sus limitaciones y ausencia de varias antenas externas orientables. Son solo 20€ !!
 
@sermayoral, planta el AP del mikrotik en el canal 6, que está limpio. Olvídate de la interfaz virtual, la principal. Tienes ambas operando en el canal 11. Sumado a que tendrás los equipos cerca, es fácil que generen tanto ruido que esas dos wifi degraden una barbaridad.

Separa los equipos un pelín (lo que te de el cable de red), y planta el AP del mikrotik en el canal 6 (2437) en lugar del 11.

Los APs virtuales operan en el mismo canal que si interfaz física padre original. Es decir, no puedes elegir en qué canal opera una interfaz virtual, solo puedes hacer eso con la física.

Saludos.
 
Olvídate de lo dicho, ahora he releído tu comentario y tu problema es que vas en modo station, cogiendo la WAN vía wifi y repitiéndola, verdad? Si es así, poco puedes hacer. Como te comentaba, la interfaz que lleva el canal es la física, en este caso haciendo de station, así que ha de ir en el mismo canal del AP original. No hay otra.
Saludos!
 
DFrostxj dijo:
Hola Pokoyo ( Y feliz año)

Repaso lo explicado de la instalación actual operativa que tengo:
oficina: mk_oficina con un bridge
bridge.lan.oficina formado por eth2,eth3,eth4,eth5 y eoip-tunel)
casa: mk_casa y mk_salon
mk_casa es el router principal con 2 bridge:
bridge.lan con las interfaces eth3,eth4,eth5,eth6,eth7, eth8, eth9 y eth10
bridge.eoip con las interfaces eth2 y la eoip con el túnel EOIP levantado (y operativo)
mk_salon hace de switch con un cable de red desde el mk_casa (eth10 poeOut) al mk_salon (eth1 poeIN) con un bridge:
bridge.lan eth1,eth2,eth3,eth4,eth5 (trabaja en el mismo rango que el bridge.lan del mk_casa

Como en el salón, solo me llega una toma de red (desde la ubicación del mk_casa) el mk_salon, hace de switch y puedo tener TV, y consolas conectadas con cable ethernet, sin problemas. Sin embargo, cuando quiero usar en un dispositivo del salon el túnel EoIP, tengo que desconectar el mk_salon y usar la toma de red que me llega desde el mk_casa, cambiando el cable del puerto eth10 (poeOut) al eth2 (eoip) y funciona, pero es un engorro cambiar el cable cada vez que lo quiero usar.

Mi pregunta es, si existe algún modo de configurar en el mk_salon que una de las eth que tiene, trabaje directamente con el túnel EoIP que ya está operativo en el mk_casa. (por eso hablaba de vlans)
El tema, es que probé a levantar el túnel EoIP desde el mk_salon hasta el mk_oficina, y no lo he conseguido (lo cual creo que sería la solución más fácil.

Espero haberme explicado mejor ahora. Quedo a la espera de tus comentarios.

Gracias por todo.
Haz clic para expandir...
Espero hayan tenido un feliz año todos, en estos días he estado leyendo el hilo y me entro curiosidad este caso y hoy que he estado probando en el GNS3 y me funcionó perfectamente con solo 1 túnel.
En el esquema hay 4 router
Oficina, ip publica 10.10.10.2
Internet, simula el ISP
Casa, ip publica 10.10.20.2
Salon, funciona como switch

1- En Oficina
Asigno al ether1, la ip publica 10.10.10.2
Creo el bridge1 y le agrego puertos del router y servidor DHCP asignado con la ip 192.168.10.0/24
creo el tunel EOIP con ID=0 y se lo agrego al bridge1
2- En Casa
Asigno al ether1, la ip publica 10.10.20.2
Creo el bridge1 y le agrego los puertos del router del 2 al 4 y servidor DHCP con ip 192.168.20.0/24
Creo la vlan1 con ID=101 en el ethe2, donde va conectado el router Salon
Creo el túnel EOIP con ID=0
Creo el bridge_EOIP y le agrego el tunel EOIP anterior, el puerto ether5 y la vlan1
3- En Salon
Creo un bridge1 y le asigno los puertos del 1 al 4
Creo la vlan1 con ID=101 en el ether1
Creo un bridge_EOIP y le agrego el puerto ether5 y la vlan1

Con esto logre que casa tenga su internet y red ampliada al switch Salon, mientras que por el puerto 5 del router Casa como el Salon sale la red de la oficina.
Espero se entienda
Captura de pantalla 2021-01-03 222254.png


EN OFICINA
Código: 
# jan/03/2021 21:21:01 by RouterOS 6.47
# software id =
#
#
#
/interface bridge
add name=bridge1
/interface ethernet
set [ find default-name=ether1 ] comment=WAN disable-running-check=no
set [ find default-name=ether2 ] disable-running-check=no
set [ find default-name=ether3 ] disable-running-check=no
set [ find default-name=ether4 ] disable-running-check=no
set [ find default-name=ether5 ] disable-running-check=no
set [ find default-name=ether6 ] disable-running-check=no
/interface eoip
add mac-address=02:C0:23:66:1C:B8 name=eoip-tunnel1 remote-address=10.10.20.2 \
    tunnel-id=0
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=192.168.10.10-192.168.10.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=bridge1 name=dhcp1
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=eoip-tunnel1
/ip address
add address=10.10.10.2/30 interface=ether1 network=10.10.10.0
add address=192.168.10.1/24 interface=bridge1 network=192.168.10.0
/ip dhcp-client
add add-default-route=no disabled=no interface=ether6
/ip dhcp-server network
add address=192.168.10.0/24 gateway=192.168.10.1
/ip route
add distance=1 gateway=10.10.10.1
/system identity
set name=Oficina

EN CASA
Código: 
# jan/03/2021 21:16:41 by RouterOS 6.47
# software id =
#
#
#
/interface bridge
add name=bridge1
add name=bridge_EOIP
/interface ethernet
set [ find default-name=ether1 ] comment=WAN disable-running-check=no
set [ find default-name=ether2 ] comment=Salon disable-running-check=no
set [ find default-name=ether3 ] disable-running-check=no
set [ find default-name=ether4 ] disable-running-check=no
set [ find default-name=ether5 ] comment=Puerto_Oficina \
    disable-running-check=no
set [ find default-name=ether6 ] disable-running-check=no
/interface eoip
add mac-address=02:57:BA:E2:FA:FF name=eoip-tunnel1 remote-address=10.10.10.2 \
    tunnel-id=0
/interface vlan
add interface=ether2 name=vlan1 vlan-id=101
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=192.168.20.10-192.168.20.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=bridge1 name=dhcp1
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge_EOIP interface=vlan1
add bridge=bridge_EOIP interface=eoip-tunnel1
add bridge=bridge_EOIP interface=ether5
/ip address
add address=10.10.20.2/30 interface=ether1 network=10.10.20.0
add address=192.168.20.1/24 interface=bridge1 network=192.168.20.0
/ip dhcp-client
add add-default-route=no disabled=no interface=ether6
/ip dhcp-server network
add address=192.168.20.0/24 gateway=192.168.20.1
/ip route
add distance=1 gateway=10.10.20.1
/system identity
set name=Casa

EN SALON
Código: 
# jan/03/2021 21:19:36 by RouterOS 6.47
# software id =
#
#
#
/interface bridge
add name=bridge1
add name=bridge_EOIP
/interface ethernet
set [ find default-name=ether1 ] comment=WAN disable-running-check=no
set [ find default-name=ether2 ] disable-running-check=no
set [ find default-name=ether3 ] disable-running-check=no
set [ find default-name=ether4 ] disable-running-check=no
set [ find default-name=ether5 ] comment=Puerto_Oficina \
    disable-running-check=no
set [ find default-name=ether6 ] disable-running-check=no
/interface vlan
add interface=ether1 name=vlan1 vlan-id=101
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge_EOIP interface=ether5
add bridge=bridge_EOIP interface=vlan1
/ip dhcp-client
add add-default-route=no disabled=no interface=ether6
/system identity
set name=Salon
 
Buenos dias.
estoy leyendo y no hago mas que pensar en lo mucho que me queda por aprender de vosotros.
Ayer por la tarde probando cosas deje el ac3 sin conexión con el pc de casa y sin wifi....ni poniendo el portátil conectado con cable al ether podia entrar en el.
Al final tuve que hacerle un reset con el boton y después ya pude colocarle el backup ( gracias a @pokoyo por el consejo de sobre todo backups).
Pero es la manera de ir aprendiendo.
Saludos y buen año
 
albter dijo:
Buenos dias.
estoy leyendo y no hago mas que pensar en lo mucho que me queda por aprender de vosotros.
Ayer por la tarde probando cosas deje el ac3 sin conexión con el pc de casa y sin wifi....ni poniendo el portátil conectado con cable al ether podia entrar en el.
Al final tuve que hacerle un reset con el boton y después ya pude colocarle el backup ( gracias a @pokoyo por el consejo de sobre todo backups).
Pero es la manera de ir aprendiendo.
Saludos y buen año
Haz clic para expandir...
Al equipo siempre vas a tener conectividad por L2 (por su dirección MAC), si tienes un cable de red pinchado a él y abres winbox. Salvo error catastrófico, por ahí siempre vas a poder entrar.
Pero sí, el backup es importante. Tanto, que en mi caso está automatizado y subido a cloud, usando la opción del cloud backup de los equipos.

Saludos!
 
santiagoADSL dijo:
Espero hayan tenido un feliz año todos, en estos días he estado leyendo el hilo y me entro curiosidad este caso y hoy que he estado probando en el GNS3 y me funcionó perfectamente con solo 1 túnel.
En el esquema hay 4 router
Oficina, ip publica 10.10.10.2
Internet, simula el ISP
Casa, ip publica 10.10.20.2
Salon, funciona como switch

1- En Oficina
Asigno al ether1, la ip publica 10.10.10.2
Creo el bridge1 y le agrego puertos del router y servidor DHCP asignado con la ip 192.168.10.0/24
creo el tunel EOIP con ID=0 y se lo agrego al bridge1
2- En Casa
Asigno al ether1, la ip publica 10.10.20.2
Creo el bridge1 y le agrego los puertos del router del 2 al 4 y servidor DHCP con ip 192.168.20.0/24
Creo la vlan1 con ID=101 en el ethe2, donde va conectado el router Salon
Creo el túnel EOIP con ID=0
Creo el bridge_EOIP y le agrego el tunel EOIP anterior, el puerto ether5 y la vlan1
3- En Salon
Creo un bridge1 y le asigno los puertos del 1 al 4
Creo la vlan1 con ID=101 en el ether1
Creo un bridge_EOIP y le agrego el puerto ether5 y la vlan1

Con esto logre que casa tenga su internet y red ampliada al switch Salon, mientras que por el puerto 5 del router Casa como el Salon sale la red de la oficina.
Espero se entienda
Ver el adjunto 76606

EN OFICINA
Código: 
# jan/03/2021 21:21:01 by RouterOS 6.47
# software id =
#
#
#
/interface bridge
add name=bridge1
/interface ethernet
set [ find default-name=ether1 ] comment=WAN disable-running-check=no
set [ find default-name=ether2 ] disable-running-check=no
set [ find default-name=ether3 ] disable-running-check=no
set [ find default-name=ether4 ] disable-running-check=no
set [ find default-name=ether5 ] disable-running-check=no
set [ find default-name=ether6 ] disable-running-check=no
/interface eoip
add mac-address=02:C0:23:66:1C:B8 name=eoip-tunnel1 remote-address=10.10.20.2 \
    tunnel-id=0
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=192.168.10.10-192.168.10.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=bridge1 name=dhcp1
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=eoip-tunnel1
/ip address
add address=10.10.10.2/30 interface=ether1 network=10.10.10.0
add address=192.168.10.1/24 interface=bridge1 network=192.168.10.0
/ip dhcp-client
add add-default-route=no disabled=no interface=ether6
/ip dhcp-server network
add address=192.168.10.0/24 gateway=192.168.10.1
/ip route
add distance=1 gateway=10.10.10.1
/system identity
set name=Oficina

EN CASA
Código: 
# jan/03/2021 21:16:41 by RouterOS 6.47
# software id =
#
#
#
/interface bridge
add name=bridge1
add name=bridge_EOIP
/interface ethernet
set [ find default-name=ether1 ] comment=WAN disable-running-check=no
set [ find default-name=ether2 ] comment=Salon disable-running-check=no
set [ find default-name=ether3 ] disable-running-check=no
set [ find default-name=ether4 ] disable-running-check=no
set [ find default-name=ether5 ] comment=Puerto_Oficina \
    disable-running-check=no
set [ find default-name=ether6 ] disable-running-check=no
/interface eoip
add mac-address=02:57:BA:E2:FA:FF name=eoip-tunnel1 remote-address=10.10.10.2 \
    tunnel-id=0
/interface vlan
add interface=ether2 name=vlan1 vlan-id=101
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=192.168.20.10-192.168.20.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=bridge1 name=dhcp1
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge_EOIP interface=vlan1
add bridge=bridge_EOIP interface=eoip-tunnel1
add bridge=bridge_EOIP interface=ether5
/ip address
add address=10.10.20.2/30 interface=ether1 network=10.10.20.0
add address=192.168.20.1/24 interface=bridge1 network=192.168.20.0
/ip dhcp-client
add add-default-route=no disabled=no interface=ether6
/ip dhcp-server network
add address=192.168.20.0/24 gateway=192.168.20.1
/ip route
add distance=1 gateway=10.10.20.1
/system identity
set name=Casa

EN SALON
Código: 
# jan/03/2021 21:19:36 by RouterOS 6.47
# software id =
#
#
#
/interface bridge
add name=bridge1
add name=bridge_EOIP
/interface ethernet
set [ find default-name=ether1 ] comment=WAN disable-running-check=no
set [ find default-name=ether2 ] disable-running-check=no
set [ find default-name=ether3 ] disable-running-check=no
set [ find default-name=ether4 ] disable-running-check=no
set [ find default-name=ether5 ] comment=Puerto_Oficina \
    disable-running-check=no
set [ find default-name=ether6 ] disable-running-check=no
/interface vlan
add interface=ether1 name=vlan1 vlan-id=101
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge_EOIP interface=ether5
add bridge=bridge_EOIP interface=vlan1
/ip dhcp-client
add add-default-route=no disabled=no interface=ether6
/system identity
set name=Salon
Haz clic para expandir...
Feliz año nuevo para tí también @santiagoADSL!

Buena currada. Es otra manera de solucionar ese escenario, sí.

Saludos!
 
santiagoADSL dijo:
Espero hayan tenido un feliz año todos, en estos días he estado leyendo el hilo y me entro curiosidad este caso y hoy que he estado probando en el GNS3 y me funcionó perfectamente con solo 1 túnel.
En el esquema hay 4 router
Oficina, ip publica 10.10.10.2
Internet, simula el ISP
Casa, ip publica 10.10.20.2
Salon, funciona como switch

1- En Oficina
Asigno al ether1, la ip publica 10.10.10.2
Creo el bridge1 y le agrego puertos del router y servidor DHCP asignado con la ip 192.168.10.0/24
creo el tunel EOIP con ID=0 y se lo agrego al bridge1
2- En Casa
Asigno al ether1, la ip publica 10.10.20.2
Creo el bridge1 y le agrego los puertos del router del 2 al 4 y servidor DHCP con ip 192.168.20.0/24
Creo la vlan1 con ID=101 en el ethe2, donde va conectado el router Salon
Creo el túnel EOIP con ID=0
Creo el bridge_EOIP y le agrego el tunel EOIP anterior, el puerto ether5 y la vlan1
3- En Salon
Creo un bridge1 y le asigno los puertos del 1 al 4
Creo la vlan1 con ID=101 en el ether1
Creo un bridge_EOIP y le agrego el puerto ether5 y la vlan1

Con esto logre que casa tenga su internet y red ampliada al switch Salon, mientras que por el puerto 5 del router Casa como el Salon sale la red de la oficina.
Espero se entienda
Ver el adjunto 76606

EN OFICINA
Código: 
# jan/03/2021 21:21:01 by RouterOS 6.47
# software id =
#
#
#
/interface bridge
add name=bridge1
/interface ethernet
set [ find default-name=ether1 ] comment=WAN disable-running-check=no
set [ find default-name=ether2 ] disable-running-check=no
set [ find default-name=ether3 ] disable-running-check=no
set [ find default-name=ether4 ] disable-running-check=no
set [ find default-name=ether5 ] disable-running-check=no
set [ find default-name=ether6 ] disable-running-check=no
/interface eoip
add mac-address=02:C0:23:66:1C:B8 name=eoip-tunnel1 remote-address=10.10.20.2 \
    tunnel-id=0
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=192.168.10.10-192.168.10.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=bridge1 name=dhcp1
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=eoip-tunnel1
/ip address
add address=10.10.10.2/30 interface=ether1 network=10.10.10.0
add address=192.168.10.1/24 interface=bridge1 network=192.168.10.0
/ip dhcp-client
add add-default-route=no disabled=no interface=ether6
/ip dhcp-server network
add address=192.168.10.0/24 gateway=192.168.10.1
/ip route
add distance=1 gateway=10.10.10.1
/system identity
set name=Oficina

EN CASA
Código: 
# jan/03/2021 21:16:41 by RouterOS 6.47
# software id =
#
#
#
/interface bridge
add name=bridge1
add name=bridge_EOIP
/interface ethernet
set [ find default-name=ether1 ] comment=WAN disable-running-check=no
set [ find default-name=ether2 ] comment=Salon disable-running-check=no
set [ find default-name=ether3 ] disable-running-check=no
set [ find default-name=ether4 ] disable-running-check=no
set [ find default-name=ether5 ] comment=Puerto_Oficina \
    disable-running-check=no
set [ find default-name=ether6 ] disable-running-check=no
/interface eoip
add mac-address=02:57:BA:E2:FA:FF name=eoip-tunnel1 remote-address=10.10.10.2 \
    tunnel-id=0
/interface vlan
add interface=ether2 name=vlan1 vlan-id=101
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=192.168.20.10-192.168.20.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=bridge1 name=dhcp1
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge_EOIP interface=vlan1
add bridge=bridge_EOIP interface=eoip-tunnel1
add bridge=bridge_EOIP interface=ether5
/ip address
add address=10.10.20.2/30 interface=ether1 network=10.10.20.0
add address=192.168.20.1/24 interface=bridge1 network=192.168.20.0
/ip dhcp-client
add add-default-route=no disabled=no interface=ether6
/ip dhcp-server network
add address=192.168.20.0/24 gateway=192.168.20.1
/ip route
add distance=1 gateway=10.10.20.1
/system identity
set name=Casa

EN SALON
Código: 
# jan/03/2021 21:19:36 by RouterOS 6.47
# software id =
#
#
#
/interface bridge
add name=bridge1
add name=bridge_EOIP
/interface ethernet
set [ find default-name=ether1 ] comment=WAN disable-running-check=no
set [ find default-name=ether2 ] disable-running-check=no
set [ find default-name=ether3 ] disable-running-check=no
set [ find default-name=ether4 ] disable-running-check=no
set [ find default-name=ether5 ] comment=Puerto_Oficina \
    disable-running-check=no
set [ find default-name=ether6 ] disable-running-check=no
/interface vlan
add interface=ether1 name=vlan1 vlan-id=101
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge_EOIP interface=ether5
add bridge=bridge_EOIP interface=vlan1
/ip dhcp-client
add add-default-route=no disabled=no interface=ether6
/system identity
set name=Salon
Haz clic para expandir...
Muy bueno!. Además, entiendo que no estás haciendo filtrado de la vlan a nivel de bridge, por lo que los bridges de uso doméstico irán con HW Offloading, ¿no es así?. Estupenda solución, bien trabajada.

Saludos!!
 
pokoyo dijo:
Si ves que no te funciona, es muy probable que sea tema de puertos, si estás usando IPSec. Si tienes los puertos 500 y 4500 abiertos en el chain de input del primer router, obviamente ese tráfico no va a llegar al segundo.

Saludos!
Haz clic para expandir...
Si, eso lo entiendo, pero...
Se supone que los puertos, solo los tengo que abrir en el router que hace de servidor, no? Es decir, en este caso, el mk_oficina.
Porque es así como lo tengo, y hasta el mk_casa, funciona todo perfectamente.
santiagoADSL dijo:
Espero hayan tenido un feliz año todos, en estos días he estado leyendo el hilo y me entro curiosidad este caso y hoy que he estado probando en el GNS3 y me funcionó perfectamente con solo 1 túnel.
En el esquema hay 4 router
Oficina, ip publica 10.10.10.2
Internet, simula el ISP
Casa, ip publica 10.10.20.2
Salon, funciona como switch

1- En Oficina
Asigno al ether1, la ip publica 10.10.10.2
Creo el bridge1 y le agrego puertos del router y servidor DHCP asignado con la ip 192.168.10.0/24
creo el tunel EOIP con ID=0 y se lo agrego al bridge1
2- En Casa
Asigno al ether1, la ip publica 10.10.20.2
Creo el bridge1 y le agrego los puertos del router del 2 al 4 y servidor DHCP con ip 192.168.20.0/24
Creo la vlan1 con ID=101 en el ethe2, donde va conectado el router Salon
Creo el túnel EOIP con ID=0
Creo el bridge_EOIP y le agrego el tunel EOIP anterior, el puerto ether5 y la vlan1
3- En Salon
Creo un bridge1 y le asigno los puertos del 1 al 4
Creo la vlan1 con ID=101 en el ether1
Creo un bridge_EOIP y le agrego el puerto ether5 y la vlan1

Con esto logre que casa tenga su internet y red ampliada al switch Salon, mientras que por el puerto 5 del router Casa como el Salon sale la red de la oficina.
Espero se entienda
Ver el adjunto 76606

EN OFICINA
Código: 
# jan/03/2021 21:21:01 by RouterOS 6.47
# software id =
#
#
#
/interface bridge
add name=bridge1
/interface ethernet
set [ find default-name=ether1 ] comment=WAN disable-running-check=no
set [ find default-name=ether2 ] disable-running-check=no
set [ find default-name=ether3 ] disable-running-check=no
set [ find default-name=ether4 ] disable-running-check=no
set [ find default-name=ether5 ] disable-running-check=no
set [ find default-name=ether6 ] disable-running-check=no
/interface eoip
add mac-address=02:C0:23:66:1C:B8 name=eoip-tunnel1 remote-address=10.10.20.2 \
    tunnel-id=0
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=192.168.10.10-192.168.10.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=bridge1 name=dhcp1
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=eoip-tunnel1
/ip address
add address=10.10.10.2/30 interface=ether1 network=10.10.10.0
add address=192.168.10.1/24 interface=bridge1 network=192.168.10.0
/ip dhcp-client
add add-default-route=no disabled=no interface=ether6
/ip dhcp-server network
add address=192.168.10.0/24 gateway=192.168.10.1
/ip route
add distance=1 gateway=10.10.10.1
/system identity
set name=Oficina

EN CASA
Código: 
# jan/03/2021 21:16:41 by RouterOS 6.47
# software id =
#
#
#
/interface bridge
add name=bridge1
add name=bridge_EOIP
/interface ethernet
set [ find default-name=ether1 ] comment=WAN disable-running-check=no
set [ find default-name=ether2 ] comment=Salon disable-running-check=no
set [ find default-name=ether3 ] disable-running-check=no
set [ find default-name=ether4 ] disable-running-check=no
set [ find default-name=ether5 ] comment=Puerto_Oficina \
    disable-running-check=no
set [ find default-name=ether6 ] disable-running-check=no
/interface eoip
add mac-address=02:57:BA:E2:FA:FF name=eoip-tunnel1 remote-address=10.10.10.2 \
    tunnel-id=0
/interface vlan
add interface=ether2 name=vlan1 vlan-id=101
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=192.168.20.10-192.168.20.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=bridge1 name=dhcp1
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge_EOIP interface=vlan1
add bridge=bridge_EOIP interface=eoip-tunnel1
add bridge=bridge_EOIP interface=ether5
/ip address
add address=10.10.20.2/30 interface=ether1 network=10.10.20.0
add address=192.168.20.1/24 interface=bridge1 network=192.168.20.0
/ip dhcp-client
add add-default-route=no disabled=no interface=ether6
/ip dhcp-server network
add address=192.168.20.0/24 gateway=192.168.20.1
/ip route
add distance=1 gateway=10.10.20.1
/system identity
set name=Casa

EN SALON
Código: 
# jan/03/2021 21:19:36 by RouterOS 6.47
# software id =
#
#
#
/interface bridge
add name=bridge1
add name=bridge_EOIP
/interface ethernet
set [ find default-name=ether1 ] comment=WAN disable-running-check=no
set [ find default-name=ether2 ] disable-running-check=no
set [ find default-name=ether3 ] disable-running-check=no
set [ find default-name=ether4 ] disable-running-check=no
set [ find default-name=ether5 ] comment=Puerto_Oficina \
    disable-running-check=no
set [ find default-name=ether6 ] disable-running-check=no
/interface vlan
add interface=ether1 name=vlan1 vlan-id=101
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge_EOIP interface=ether5
add bridge=bridge_EOIP interface=vlan1
/ip dhcp-client
add add-default-route=no disabled=no interface=ether6
/system identity
set name=Salon
Haz clic para expandir...
Genial!!

Al revisar tu información, me di cuenta de mi error al montar las vlan, y por eso no me funcionaba.
Ahora sí que me funciona!!

Muchísimas gracias @santiagoADSL (y a @pokoyo y @furny ) por supuesto!

Gracias chicos!
 
DFrostxj dijo:
Si, eso lo entiendo, pero...
Se supone que los puertos, solo los tengo que abrir en el router que hace de servidor, no? Es decir, en este caso, el mk_oficina.
Porque es así como lo tengo, y hasta el mk_casa, funciona todo perfectamente.

Genial!!

Al revisar tu información, me di cuenta de mi error al montar las vlan, y por eso no me funcionaba.
Ahora sí que me funciona!!

Muchísimas gracias @santiagoADSL (y a @pokoyo y @furny ) por supuesto!

Gracias chicos!
Haz clic para expandir...
Si quieres ir por la otra vía, en lugar de abrir esos dos puertos en el mkcasa, en ese mismo router, los quitas del filter y los pasas al NAT, creando una regla de dst-nat con ambos puertos, enviándoselos al mksalon. De esta manera el tráfico llega a ese equipo, en lugar de al primero.

Saludos!
 
Hola chicos.

Me está pasando una cosa curiosa, vuelta a casa de Navidad, apago el hAP mini, y nada llego a casa, me da por mirar el log del hEX (el principal) y lo tengo lleno de errores de ipsec:

1610060647060.png


¿Es normal? ¿Hay que hacer algo al hEX cuando ya no vas a utilizar el tunel EoIP?

Saludos!!
 
sermayoral dijo:
Hola chicos.

Me está pasando una cosa curiosa, vuelta a casa de Navidad, apago el hAP mini, y nada llego a casa, me da por mirar el log del hEX (el principal) y lo tengo lleno de errores de ipsec:

Ver el adjunto 76768

¿Es normal? ¿Hay que hacer algo al hEX cuando ya no vas a utilizar el tunel EoIP?

Saludos!!
Haz clic para expandir...
Claro que es normal! Lo podemos llamar “efecto divorcio”. Después de haber deshecho el túnel entre el hEX y el hAP mini, por haber apagado uno de los dos (entiendo que en este caso, el segundo), el pobre hEX se queda tristísimo intentando restablecer el túnel roto, y como lo tienes con IPSec, lo que te da es errores de fallo en la negociación con el otro peer, el divorciado. Creo que si no pones IPSec al túnel Eoip no da errores, pero si que hay intentos de restablecimiento continuos, n tre otras cosa, por el “keepalive“ (creo, pero ahora no estoy seguro de esto último).

Yo, lo que hago, es que como tengo VPN (del tipo IKEv2, pero valdría otra), activo y desactivo (enable/disable) el túnel en el lado hEX conectándome por VPN al router, una vez que apago el hAP mini. Asi, cuando lo necesite solo tengo que volver a activarlo, sin tener que reconfigurar, y mientras, no se queja, el pobre, de su divorcio.

Saludos!
 
Correctísimo. Me asalta la duda de si se podría hacer un divorcio ordenado, iniciado por cualquiera de las partes, cuando tienes IPSec activo.

La historia de ese túnel es que cada uno levanta un extremo, pero al ser algo en L2, necesitas una confirmación del extremo contrario para ponerlos “R” running. En cuanto el otro extremo se cae, la negociación del IPSec falla. Pero, por la misma razón, podría detectar que el otro extremo está caído y parar en ese reintento, hasta que detecte vida al otro lado. Aunque claro, eso implicaría mandar algo de información de negociación sin encriptar por el túnel.

Quizá sea una buena duda a abrir en el foro de soporte oficial.

Saludos!
 
pokoyo dijo:
Correctísimo. Me asalta la duda de si se podría hacer un divorcio ordenado, iniciado por cualquiera de las partes, cuando tienes IPSec activo.

La historia de ese túnel es que cada uno levanta un extremo, pero al ser algo en L2, necesitas una confirmación del extremo contrario para ponerlos “R” running. En cuanto el otro extremo se cae, la negociación del IPSec falla. Pero, por la misma razón, podría detectar que el otro extremo está caído y parar en ese reintento, hasta que detecte vida al otro lado. Aunque claro, eso implicaría mandar algo de información de negociación sin encriptar por el túnel.

Quizá sea una buena duda a abrir en el foro de soporte oficial.

Saludos!
Haz clic para expandir...
Muchas gracias chicos!! Bueno pues espero que el hEX no se divorcie de mi, porque me tiene loquito!! Jeje.

Nada, deshabilitado el tunel se acabaron los problemas. Si, yo también tengo VPN, aunque no es IKEv2, pero me vale igualmente.

La verdad es que si @pokoyo, lo suyo sería una solución en la que detectase que no hay comunicación y no reintentara, al menos tan a menudo. Pero vamos que ya es nota eso!!

Saludos!!
 
Buenas chicos! El caso es que he seguido cacharreando con los túneles EoIP, especialmente con esta configuración de llevarte la red a cuestas, y la he afinado hasta un punto que creo merece la pena compartirla con vosotros. La configuración que os adjunto a continuación está hecha con un router hAP-mini de tres puertos, usado como router (es decir, que lo podríais conectar sin miedo directamente a una ONT), aunque ahora mismo lo tengo enchufado a un router de operadora en casa de un vecino. Hay un puerto que se comporta como se comportaba el router "tonto", ether2, y otro puerto que entrega una nueva red local, ether3, y tiene las siguiente particularidades:
  • Es una configuración de un router totalmente funcional. Quiere decir, el router ya no es tonto, hace de router con todas las letras, pudiendo ser un router principal en una segunda vivienda.
  • Trabaja en un segmento de red distinto del router de mi casa, pero ambos están comunicados. Es decir, desde la nueva red local que monta este router "veo" los equipos de mi casa (comunicado en capa 3) y puedo acceder a ellos con sólo teclear sus IP's en un navegador.
  • Tiene un puerto dedicado a trabajar como trabajaba antes el router tonto, es decir, obteniendo el segmento de red del router de casa y el mismo dominio de broadcast. Muy útil para cuando tienes que acceder a un servidor DLNA o cualquier otro chisme que no sólo necesite enrutado, sino que necesite que estés en el mismo dominio de broadcast.
  • La nueva red local aprovecha el tráfico WAN de la red a la que está conectado (o la ONT si se diera el caso de estar directamente expuesto a internet), pero tiene comunicación con los recursos de la red remota, pudiendo hacer uso normal de ellos. Por ejemplo, su servidor DHCP local entrega el DNS remoto (pi-hole) como primario.
  • Ya que estamos, me traigo también la configuración wifi por CAPsMAN, aprovechando la comunicación del túnel EoIP. Esta configuración puede traerse una o dos redes, una que reenvíe todo el tráfico de vuelta a CAPsMAN, como si estuvieramos conectados a ether2, (local-forwarding=no) y otra que aproveche la conexión local y deje el tráfico aquí (local-forwarding=yes), el equivalente a estar conectados por cable a ether3. Ambas dos, con comunicación con el router de casa.

Y, sin más, espero que os sirva de inspiración. No he querido cambiar el manual porque creo que sigue siendo útil en el caso de querer montar un router tonto que vaya siempre detrás de un router de operadora. Pero, desde luego, este setup es muchísimo más versátil que el allí descrito, puesto que te permite hacer ambas opciones. Seguro que al compi @arogerm que estaba preguntaodo por algo similar, le viene de perlas. He añadido comentarios sobre la configuración, para saber por qué están ahí cada una de esas instrucciones que se salen de la config original. No obstante, si lo comparáis con una configuración por defecto de las que monta el quick set, veréis que hay muy poquito que cambia.

Saludos!
 

Adjuntos

  • roaming-router.zip
    1.9 KB · Visitas: 28
pokoyo dijo:
Buenas chicos! El caso es que he seguido cacharreando con los túneles EoIP, especialmente con esta configuración de llevarte la red a cuestas, y la he afinado hasta un punto que creo merece la pena compartirla con vosotros. La configuración que os adjunto a continuación está hecha con un router hAP-mini de tres puertos, usado como router (es decir, que lo podríais conectar sin miedo directamente a una ONT), aunque ahora mismo lo tengo enchufado a un router de operadora en casa de un vecino. Hay un puerto que se comporta como se comportaba el router "tonto", ether2, y otro puerto que entrega una nueva red local, ether3, y tiene las siguiente particularidades:
  • Es una configuración de un router totalmente funcional. Quiere decir, el router ya no es tonto, hace de router con todas las letras, pudiendo ser un router principal en una segunda vivienda.
  • Trabaja en un segmento de red distinto del router de mi casa, pero ambos están comunicados. Es decir, desde la nueva red local que monta este router "veo" los equipos de mi casa (comunicado en capa 3) y puedo acceder a ellos con sólo teclear sus IP's en un navegador.
  • Tiene un puerto dedicado a trabajar como trabajaba antes el router tonto, es decir, obteniendo el segmento de red del router de casa y el mismo dominio de broadcast. Muy útil para cuando tienes que acceder a un servidor DLNA o cualquier otro chisme que no sólo necesite enrutado, sino que necesite que estés en el mismo dominio de broadcast.
  • La nueva red local aprovecha el tráfico WAN de la red a la que está conectado (o la ONT si se diera el caso de estar directamente expuesto a internet), pero tiene comunicación con los recursos de la red remota, pudiendo hacer uso normal de ellos. Por ejemplo, su servidor DHCP local entrega el DNS remoto (pi-hole) como primario.
  • Ya que estamos, me traigo también la configuración wifi por CAPsMAN, aprovechando la comunicación del túnel EoIP. Esta configuración puede traerse una o dos redes, una que reenvíe todo el tráfico de vuelta a CAPsMAN, como si estuvieramos conectados a ether2, (local-forwarding=no) y otra que aproveche la conexión local y deje el tráfico aquí (local-forwarding=yes), el equivalente a estar conectados por cable a ether3. Ambas dos, con comunicación con el router de casa.

Y, sin más, espero que os sirva de inspiración. No he querido cambiar el manual porque creo que sigue siendo útil en el caso de querer montar un router tonto que vaya siempre detrás de un router de operadora. Pero, desde luego, este setup es muchísimo más versátil que el allí descrito, puesto que te permite hacer ambas opciones. Seguro que al compi @arogerm que estaba preguntaodo por algo similar, le viene de perlas. He añadido comentarios sobre la configuración, para saber por qué están ahí cada una de esas instrucciones que se salen de la config original. No obstante, si lo comparáis con una configuración por defecto de las que monta el quick set, veréis que hay muy poquito que cambia.

Saludos!
Haz clic para expandir...
Muchas Gracias por acordarte de mi
El Problema es que el wapR que tengo solo tiene 1 Puerto ethernet
Actualmente ya comunico el wapR con el hex. pero tengo varios problemas
hago ping a los routers pero no a los equipos que están detras de los routers y porsupuesto no puedo ver la TV desde el wapR
¿Podrías ver que estoy haciendo mal?

Esta es la configuración del wapR,

Muchas Gracias
 

Adjuntos

  • wapr.txt
    3.2 KB · Visitas: 16
Última edición:
¿Llega a coger IP del otro extremo el cliente dhcp que tienes puesto en el bridge? Si lo hace, mira a ver si haces ping desde el propio equipo a una IP del otro lado.

Por otro lado, esa configuración no se parece a ninguna de las dos configuraciones de los manuales que se describen. Si pretendes montar ahí el router tonto, te sobraría todo el firewall.

No obstante, trata de replicar mi configuración, la que acabo de poner, que mucha parte te vale. Aunque sólo tengas un puerto, si lo único que necesitas es comunicación con el otro extremo sin necesidad de tener el mismo dominio de broadcast, sería para ti como mi ether3 (el túnel se quedaría solo en uno de los bridges). Si por el contrario necesitas el dominio de broadcast, tendrías un único bridge y las tres interfaces en ella (tal y como lo tienes), teniendo un segundo bridge de administración (en lugar de darle una IP al bridge principal en IP -> Address, como haces ahora), así no queda “raro”, porque ahora tienes una IP metida a manija sobre el bridge, y otra que debería estar cogiendo del cliente dhcp que tienes levantado, del segmento de red del otro lado del túnel.

También probaría con IPSec en el túnel, por si el tema de la conexión LTE nateada te está dando guerra. Por el puerto 500 suele pasar mejor el tráfico en esas situaciones.

Saludos!
 
pokoyo dijo:
¿Llega a coger IP del otro extremo el cliente dhcp que tienes puesto en el bridge? Si lo hace, mira a ver si haces ping desde el propio equipo a una IP del otro lado.

Por otro lado, esa configuración no se parece a ninguna de las dos configuraciones de los manuales que se describen. Si pretendes montar ahí el router tonto, te sobraría todo el firewall.

No obstante, trata de replicar mi configuración, la que acabo de poner, que mucha parte te vale. Aunque sólo tengas un puerto, si lo único que necesitas es comunicación con el otro extremo sin necesidad de tener el mismo dominio de broadcast, sería para ti como mi ether3 (el túnel se quedaría solo en uno de los bridges). Si por el contrario necesitas el dominio de broadcast, tendrías un único bridge y las tres interfaces en ella (tal y como lo tienes), teniendo un segundo bridge de administración (en lugar de darle una IP al bridge principal en IP -> Address, como haces ahora), así no queda “raro”, porque ahora tienes una IP metida a manija sobre el bridge, y otra que debería estar cogiendo del cliente dhcp que tienes levantado, del segmento de red del otro lado del túnel.

También probaría con IPSec en el túnel, por si el tema de la conexión LTE nateada te está dando guerra. Por el puerto 500 suele pasar mejor el tráfico en esas situaciones.

Saludos!
Haz clic para expandir...
El Tunel EoIP está establecido y desde A a B y Desde B a A, pero solo al router
En el Firewall entiendo que solo hay que dejar el gre
Ya he quitado la IP fija del router
Probaré el IPSEC
Gracias
 
Debes estar conectado o registrado para responder aquí.

Similar threads

S
Novato con mikorik "empezando a lo grande"...
2 3 4
Respuestas
71
Visitas
3,284
roolezz
V
Mikrotik rb4011 + Gpon uFiber nano g + tlf voIP + Wifi AP Nano HD
Respuestas
18
Visitas
806
furny
pokoyo
  • Anclado
MANUAL: Mikrotik, configuraciones básicas ISPs
14 15 16
Respuestas
315
Visitas
12,984
pokoyo
pokoyo
  • Anclado
MANUAL: Mikrotik, manejo de APs usando CAPsMAN
2 3 4
Respuestas
65
Visitas
2,413
SHINZONITO
pokoyo
  • Anclado
MANUAL: Mikrotik, tips & tricks
2 3 4
Respuestas
74
Visitas
6,446
pokoyo
Arriba