Mikrotik IPTV - 2 mAP detrás de routers de operadora

Hola,

Me gustaría crear un túnel VPN, vivo en el extranjero y quiero usar el desco UHD de movistar en el extranjero.
Vengo de este hilo (gracias @pokoyo):

En mi caso, necesitaría colocar los mAP detrás de los respectivos routers.
En españa detrás del router de movistar, y en el extranjero detrás de un Fritzbox que está conectado al modem de fibra optica del operador.

Ayer compré 2 mAP [RBmAP2nD] que están en camino (espero que lleguen antes de irme a españa este jueves).
Lo primero que voy a hacer es actualizarlos mAP a la version 7.23.

Siguiendo el hilo del amigo gorron (iptv pululante), la configuración para españa sería la de paco, solo tendría que modificar las variables de entorno. A parte de eso, también voy a crear un nuevo usuario por seguridad, dejo aquí la configuración:

Código:
#######################################
########## ROUTER DE PACO #############
#######################################

############## VARIABLES ##############
:local puertoWireguardPepe "54321"
:local publicKeyWireguardPepe "xxxxxxxxxxxxxxx"
:local subredLanPepe "192.168.2.0/24"
:local direccionDDNSPepe "xxxxxxxxxx.myfritz.net"
:local nombreRouterPaco "spain"
:local newusername "xxxxxx"
:local newuserpass "xxxxxxx"

############## WIREGUARD ##############
# Creamos una nueva interfaz para este propósito
# Obviamos el puerto, no lo vamos a usar
/interface/wireguard
add name=wg-sts-iptv
# Creamos un nuevo peer que representa el router de Pepe
# La public key la cogemos de la interfaz
# wireguard-sts-iptv del router remoto.
# Modificamos el endpoint por la dirección cloud de Pepe
/interface/wireguard/peers
add allowed-address=0.0.0.0/0 endpoint-address=\
  $direccionDDNSPepe endpoint-port=$puertoWireguardPepe \
  interface=wg-sts-iptv \
  public-key=$publicKeyWireguardPepe \
  persistent-keepalive=25s

######### EOIP SOBRE LAS /30 ##########
# Creamos un nuevo túnel EoIP
/interface/eoip
add local-address=172.17.0.2 name=eoip-iptv \
  remote-address=172.17.0.1 tunnel-id=0 mtu=1500

############ NUEVOS BRIDGES ###########
# Creamos el nuevo bridge con igmp-snooping para IPTV,
# además del bridge normal del router que usaremos
# como interfaz de loopback, para administración
/interface/bridge
add admin-mac=[/interface/ethernet/get ether2 mac-address] \
    auto-mac=no name=bridge-lo
add igmp-snooping=yes name=bridge-iptv
# Metemos cada puerto en su sitio, ether1 = router del operador
# ether2 = lo reservamos como puerto de administración
# si queremos aprovechar todos los puertos como switch,
# metermos todos ellos en el bridge iptv +  el túnel EoIP
/interface/bridge/port
add bridge=bridge-lo interface=ether2
add bridge=bridge-iptv interface=ether1
add bridge=bridge-iptv interface=eoip-iptv

########### DIRECCIONAMIENTO ##########
# Direccionamos el bridge loopback y el túnel
/ip/address
add address=192.168.79.1/24 interface=bridge-lo
add address=172.17.0.2/30 interface=wg-sts-iptv

########## DHCP ADMINISTRACION  #######
/ip/pool
add name=pool-lo ranges=192.168.79.2-192.168.79.254
/ip/dhcp-server
add address-pool=pool-lo interface=bridge-lo name=dhcp-lo
/ip/dhcp-server/network
add address=192.168.79.0/24 gateway=192.168.79.1

####### CREAMOS LA INTERFAZ WAN #######
# Nuestra WAN = bridge-iptv, como switch que somos
# Levantaremos un cliente DHCP para obtner IP
# y salida a internet, para poder llamar a casa
# obtendremos una ruta por defecto y un DNS
/ip/dhcp-client
add interface=bridge-iptv

########## DNS SERVER BACKUP ##########
# Le damos  un DNS de backup, por si nos
# falla el que entregue el cliente DHCP
/ip/dns
set servers=1.1.1.1,1.0.0.1

############ RUTA ESTÁTICA ############
# Esto le permitirá a Pepe administrar
# el router gorrón en remoto. Suponemos
# 192.168.2.0/24 segmento pricipal LAN
# de Pepe el cual alcanzamos al otro lado
# del túnelWireGuard, 172.17.0.1
/ip/route
add dst-address=$subredLanPepe gateway=172.17.0.1

############### WIRELESS  #############
# Como no lo usamos, lo desactivamos
/interface/wireless
set [find] disabled=yes

############ HORA Y NOMBRE ############
# Establecemos la franja horaria del equipo
/system/clock
set time-zone-name=Europe/Madrid
# y le damos un nombre
/system/identity
set name=$nombreRouterPaco

############ SEGURIDAD ############
# Añadimos un usuario con todos los permisos al sistema
# Y borramos el usuario admin, por seguridad
# Cambiar en nombre y contraseña a gusto de consumidor
/user add name=$newusername group=full password=$newuserpass
/user remove admin

Ahora viene la configuración del router en el extranjero, al cual conectaré el desco.
La configuración difiere respecto al post original, ya que se encuentra detrás de un router.
Subo aquí la que creo que sería la configuración de Pepe:
Código:
#######################################
########## ROUTER DE PEPE #############
#######################################

############## VARIABLES ##############
:local puertoWireguardPepe "54321"
:local publicKeyWireguardPaco "xxxxxxxxxxxxxx"
:local nombreRouterPepe "germany"
:local newusername"xxxxxxxx"
:local newuserpass"xxxxxxxxxx"


############## WIREGUARD ##############
# Creamos una nueva interfaz para este propósito
/interface wireguard
add listen-port=$puertoWireguardPepe name=wg-sts-iptv

# Creamos un nuevo peer que representa al router gorrón
# La public key la cogemos de la interfaz de dicho router
# remoto, el router gorrón
/interface/wireguard/peers
add allowed-address=172.17.0.2/32 \
  comment=gorron-iptv interface=wg-sts-iptv \
  public-key=$publicKeyWireguardPaco

######### EoIP SOBRE LAS /30 ##########
# Creamos un nuevo túnel EoIP
/interface/eoip
add local-address=172.17.0.1 name=eoip-iptv \
  remote-address=172.17.0.2 tunnel-id=0 mtu=1500

########### NUEVO BRIDGE IPTV ##########
# Creamos el nuevo bridge con igmp-snooping
/interface/bridge
add admin-mac=[/interface/ethernet/get ether1 mac-address] \
    auto-mac=no name=bridge-lo
add igmp-snooping=yes name=bridge-iptv
# Metemos los dos puertos implicados en el transporte
# del segmento de L2 del otro lado en el bridge-iptv:
# el eoip-iptv y el ether2 donde conectaremos el desco
/interface/bridge/port
add bridge=bridge-iptv interface=ether2
add bridge=bridge-iptv interface=eoip-iptv

########### DIRECCIONAMIENTO ##########
# Direccionamos el bridge loopback y el túnel
# En caso de error, podremos conectarnos al router
# configurando en nuestro PC una IP estática
# del segmento 192.168.79.x, y conectarnos al
# router usando la direccón IP de respaldo 192.168.79.1
/ip/address
add address=192.168.79.1/24 interface=bridge-lo
# Creamos la dirección /30 de este lado del túnel
add address=172.17.0.1/30 interface=wg-sts-iptv

########## DHCP ADMINISTRACION  #######
/ip/pool
add name=pool-lo ranges=192.168.79.2-192.168.79.254
/ip/dhcp-server
add address-pool=pool-lo interface=bridge-lo name=dhcp-lo
/ip/dhcp-server/network
add address=192.168.79.0/24 gateway=192.168.79.1

####### CREAMOS LA INTERFAZ WAN #######
# Nuestra WAN = ether1
# Levantaremos un cliente DHCP para obtner IP
# y salida a internet, para poder llamar a casa
# obtendremos una ruta por defecto y un DNS
/ip/dhcp-client
add interface=ether1

###### DAMOS SALIDA A INTERNET ########
# Aplicamos un masquerade sobre la interfaz
# que nos hace de WAN, en nuestro caso,
# la interfaz ether1, fuera del bridge-itpv
/ip/firewall/nat
add chain=srcnat comment=masq-wan \
out-interface=ether1 action=masquerade

########## DNS SERVER BACKUP ##########
# Le damos  un DNS de backup, por si nos
# falla el que entregue el cliente DHCP
/ip/dns
set servers=1.1.1.1,1.0.0.1

############### WIRELESS  #############
# Como no lo usamos, lo desactivamos
/interface/wireless
set [find] disabled=yes


############ HORA Y NOMBRE ############
# Establecemos la franja horaria del equipo
/system/clock
set time-zone-name=Europe/Madrid
# y le damos un nombre
/system/identity
set name=$nombreRouterPepe

############ SEGURIDAD ############
# Añadimos un usuario con todos los permisos al sistema
# Y borramos el usuario admin, por seguridad
# Cambiar en nombre y contraseña a gusto de consumidor
/user add name=$newusername group=full password=$newuserpass
/user remove admin

En la config de Pepe he añadido el servidor DHCP (que entiendo que es necesario al estar detrás del router, como con Paco) y he aplicado el enmascaramiento sobre ether1.

Agradecería mucho si alguien me ayuda a revisar la configuración, porque me he tirado directamente a la piscina con manguitos sin saber nadar, o al menos esa es la sensación. Espero aprender mucho de todo esto ejejjeej,
 
Yo en la config de Pepe no me complicaba, e intentaba montarla a partir de la config por defecto en modo router. Es decir, siguiendo la plantilla que ves en el manual, la cual parte de la config por defecto, no del router sin config. La principal diferencia es que tú, como lo vas a colocar detrás de un router, sí o sí tienes que abrir puertos en el fritzbox y mapearlos a la IP del mikrotik. Además de eso, puedes prescindir de todas las reglas del firewall filter, puesto que eso ya lo hace el fitzbox. A su vez, si te quieres ahorrar el NAT, poniendo un par de rutas estáticas en el fritzbox, te ahorras tener doble NAT (aunque en tu caso no molesta).

Cuando tengas los equipos dime, y lo montamos en un periquete.

Saludos!
 
Hoy me entregan los equipos, que ganas!

Te aviso cuando los tenga en mis manos.
Lo que si que puedo hacer directamente cuando lleguen es actualizar el OS a 7.2.3 y el firmware, verdad? Así ganamos un poco de tiempo jeje

Estoy un poco estresado porque mañana viajo a España y veo que el tiempo corre muy rápido jejejej

Un saludo y muchas gracias
 
Última edición:
Hoy me entregan los equipos, que ganas!

Te aviso cuando los tenga en mis manos.
Lo que si que puedo hacer directamente cuando lleguen es actualizar el OS a 7.2.3 y el firmware, verdad? Así ganamos un poco de tiempo jeje

Estoy un poco estresado porque mañana viajo a España y veo que el tiempo corre muy rápido jejejej

Un saludo y muchas gracias
Venga, descuida que los apañamos rápido. Actualizalos y empieza por el de Pepe, que es el que se basa en la config por defecto y es más sencillo. Según crees la interfaz wireguard y actives el IP Cloud, ya tendrás la clave pública y el ddns que ha de ir en el Peer de Paco. La config de Paco la montas en un rsc con las variables y la importas, y ese equipo queda hecho.

Saludos!
 
Ya han llegado @pokoyo !
He empezado con Pepe como me dijiste:
- Lo he actualizado
- He creado la interfaz wireguard (pero ningún peer) y tengo la llave pública
- He activado el IP cloud y tengo el DDNS


Ahora voy con el de paco. Lo he actualizado, y reseteado sin configuración por defecto, a su vez he añadido el archivo para que se ejecute después de reiniciar.

Desafortunadamente no me funciona, no me asigna una IP via DHCP (tengo APIPA)
 
Última edición:
Update: Vale, ya he visto que al hacer config reset, se eliminar el archivo, y por ende el router se quedaba "vacio", sin el fichero.

Asi que me he conectado via la MAC e importado el archivo, ahora si! jeje

Cual sería ahora el siguiente paso?
 
Última edición:
Coger la clave pública y el DDNS de Paco para montar el Peer en Pepe.

Saludos!
 
He añadido esto en /interface/wireguard/peers
interface=wg-sts-iptv
add allowed-address=172.17.0.2/32
public-key=llave_de_paco
 
He añadido esto en /interface/wireguard/peers
interface=wg-sts-iptv
add allowed-address=172.17.0.2/32
public-key=llave_de_paco
Te faltaría meterle el DDNS y el puerto, si quieres que Pepe también llame a Paco (comunicación bidireccional).

Dale un export a ambos equipos, que los revisemos.

Saludos!
 
Para que la comunicación sea bidireccional, debería abrir puertos en el router del operador de paco no?
(He metido el DDNS y puerto de paco en pepe como has sugerido)

Te dejo ambos export (he sustituido con XX cosas que considero sensibles)

Mientras tanto puedo ir tambien abriendo los puertos en el fritzbox de pepe. UDP?
 

Adjuntos

  • exports.zip
    3.2 KB · Visitas: 53
Vale, te queda en Pepe:

- Darle la dirección /30 correspondiente a la interfaz wireguard. Del lado de Pepe, 172.17.0.1/30
- Crear el segundo bridge con IGMP Snooping
- Sacar ether2 del primer bridge y meterlo en el segundo (conectate a la wifi del equipo antes de hacer este paso, o perderás conectividad)
- Crear un EoIP como en Paco, con la local address invertidas a como las tienes en Paco (local = 172.17.0.1, remote = 172.17.0.2)
- Meter el la interfaz EoIP como puerto en el nuevo bridge que creaste en el paso 2.
- Aceptar el tráfico GRE que viene de la interfaz "wg-sts-iptv" y el propio puerto de wireguard, en una regla de firewall del chain de input (o directamente borrar todas las reglas que ves en firewall filter, ya que este equipo estará debajo de un router que ya lleva firewall)

Básicamente, los pasos que ves en este post, en la config de Pepe: https://www.adslzone.net/foro/mikrotik.199/manual-mikrotik-amigo-gorron-iptv-pululante.581778/

Paco tiene buena pinta.

Saludos!
 
Vale, te queda en Pepe:

- Darle la dirección /30 correspondiente a la interfaz wireguard. Del lado de Pepe, 172.17.0.1/30
- Crear el segundo bridge con IGMP Snooping
- Sacar ether2 del primer bridge y meterlo en el segundo (conectate a la wifi del equipo antes de hacer este paso, o perderás conectividad)
- Crear un EoIP como en Paco, con la local address invertidas a como las tienes en Paco (local = 172.17.0.1, remote = 172.17.0.2)
- Meter el la interfaz EoIP como puerto en el nuevo bridge que creaste en el paso 2.
- Aceptar el tráfico GRE que viene de la interfaz "wg-sts-iptv" y el propio puerto de wireguard, en una regla de firewall del chain de input (o directamente borrar todas las reglas que ves en firewall filter, ya que este equipo estará debajo de un router que ya lleva firewall)

Básicamente, los pasos que ves en este post, en la config de Pepe: https://www.adslzone.net/foro/mikro...detras-routers-operadora.585519/#post-3668502

Paco tiene buena pinta.

Saludos!
el post al que haces referencia es mi post, pero no hay ninguna config. Te refieres a la config del primer post de pepe?
 
Vale, te queda en Pepe:

- Darle la dirección /30 correspondiente a la interfaz wireguard. Del lado de Pepe, 172.17.0.1/30
- Crear el segundo bridge con IGMP Snooping
- Sacar ether2 del primer bridge y meterlo en el segundo (conectate a la wifi del equipo antes de hacer este paso, o perderás conectividad)
- Crear un EoIP como en Paco, con la local address invertidas a como las tienes en Paco (local = 172.17.0.1, remote = 172.17.0.2)
- Meter el la interfaz EoIP como puerto en el nuevo bridge que creaste en el paso 2.
- Aceptar el tráfico GRE que viene de la interfaz "wg-sts-iptv" y el propio puerto de wireguard, en una regla de firewall del chain de input (o directamente borrar todas las reglas que ves en firewall filter, ya que este equipo estará debajo de un router que ya lleva firewall)

Básicamente, los pasos que ves en este post, en la config de Pepe: https://www.adslzone.net/foro/mikrotik.199/manual-mikrotik-amigo-gorron-iptv-pululante.581778/

Paco tiene buena pinta.

Saludos!
Gracias, he aplicado los cambios que me dijiste (mantengo las reglas del firewall, pero he desactivado la regla que bloquea todo lo que no venga por LAN, porque si no me quedo fuera por la WLAN)
Adjunto la configuración para verificar que está todo correcto.
 

Adjuntos

  • pepe_export.zip
    2.2 KB · Visitas: 43
acabo de caer en que puedo acceder a el via la IP asignada por mi fritzbox (pensaba que solo se podía a través de wlan del propio dispositivo ejejej)
Así que voy a activar de nuevo la regla que solo permite el tráfico via LAN, y desactivar la red wlan
 
acabo de caer en que puedo acceder a el via la IP asignada por mi fritzbox (pensaba que solo se podía a través de wlan del propio dispositivo ejejej)
Así que voy a activar de nuevo la regla que solo permite el tráfico via LAN, y desactivar la red wlan
Al revés compi! la regla que dices que has deshabilitado te prohibe acceder desde la WAN, que es la IP a la que te refieres, la que le da el fitzbox. Si la activas, sólo vas a llegar desde la wifi, que está dentro del bridge (LAN = bridge).

Te falta por meter ether2 en el bridge-iptv. Prescindiendo de todo el firewall (tanto ipv4 como ipv6), yo lo dejaría así (rellena los huecos...)
Código:
/interface bridge
add admin-mac=XX:XX:XX:XX:XX:XX auto-mac=no comment=defconf name=bridge
add igmp-snooping=yes name=bridge-iptv
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-g/n channel-width=20mhz \
    disabled=no distance=indoors frequency=2412 installation=indoor mode=\
    ap-bridge ssid=catfish-map wireless-protocol=802.11 country=germany
/interface wireguard
add listen-port=13231 mtu=1420 name=wg-sts-iptv
/interface eoip
add local-address=172.17.0.1 mac-address=XX:XX:XX:XX:XX:XX mtu=1500 name=\
    eoip-iptv remote-address=172.17.0.2 tunnel-id=0
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=\
    dynamic-keys supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=pwr-line1
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge-iptv interface=eoip-iptv
add bridge=bridge-iptv interface=ether2
/interface wireguard peers
add allowed-address=172.17.0.2/32 comment=gorron-iptv endpoint-address=\
    XXXXXXXX.sn.mynetname.net endpoint-port=43208 interface=wg-sts-iptv \
    public-key="XXXXXXXXXXX"
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
add address=172.17.0.1/30 interface=wg-sts-iptv network=172.17.0.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=\
    192.168.88.1
/ip dns
set servers=1.1.1.1,1.0.0.1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
/system clock
set time-zone-name=Europe/Berlin
/system identity
set name=berlin

Saludos!
 
Al revés compi! la regla que dices que has deshabilitado te prohibe acceder desde la WAN, que es la IP a la que te refieres, la que le da el fitzbox. Si la activas, sólo vas a llegar desde la wifi, que está dentro del bridge (LAN = bridge).

Te falta por meter ether2 en el bridge-iptv. Prescindiendo de todo el firewall (tanto ipv4 como ipv6), yo lo dejaría así (rellena los huecos...)
Código:
/interface bridge
add admin-mac=XX:XX:XX:XX:XX:XX auto-mac=no comment=defconf name=bridge
add igmp-snooping=yes name=bridge-iptv
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-g/n channel-width=20mhz \
    disabled=no distance=indoors frequency=2412 installation=indoor mode=\
    ap-bridge ssid=catfish-map wireless-protocol=802.11 country=germany
/interface wireguard
add listen-port=13231 mtu=1420 name=wg-sts-iptv
/interface eoip
add local-address=172.17.0.1 mac-address=XX:XX:XX:XX:XX:XX mtu=1500 name=\
    eoip-iptv remote-address=172.17.0.2 tunnel-id=0
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=\
    dynamic-keys supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=pwr-line1
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge-iptv interface=eoip-iptv
add bridge=bridge-iptv interface=ether2
/interface wireguard peers
add allowed-address=172.17.0.2/32 comment=gorron-iptv endpoint-address=\
    XXXXXXXX.sn.mynetname.net endpoint-port=43208 interface=wg-sts-iptv \
    public-key="XXXXXXXXXXX"
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
add address=172.17.0.1/30 interface=wg-sts-iptv network=172.17.0.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=\
    192.168.88.1
/ip dns
set servers=1.1.1.1,1.0.0.1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
/system clock
set time-zone-name=Europe/Berlin
/system identity
set name=berlin

Saludos!

Me faltaban:
add bridge=bridge-iptv interface=ether2 (que he tenido que modificarla, ya que estaba en el bridge normal)
add action=masquerade chain=srcnat out-interface=ether1

Menos mal que me dijiste lo de la regla, que si no buena liada jeje
Al final he optado por desactivar todas las reglas del firewall, como sugeriste compi.

He abierto el puerto UDP 13231 (Wireguard) en el fritzbox y lo he redirigido al map (al cual le he asignado una IP estática a través del fritzbox).

Se podría decir que el setup está listo?
 
Me faltaban:
add bridge=bridge-iptv interface=ether2 (que he tenido que modificarla, ya que estaba en el bridge normal)
add action=masquerade chain=srcnat out-interface=ether1

Menos mal que me dijiste lo de la regla, que si no buena liada jeje
Al final he optado por desactivar todas las reglas del firewall, como sugeriste compi.

He abierto el puerto UDP 13231 (Wireguard) en el fritzbox y lo he redirigido al map (al cual le he asignado una IP estática a través del fritzbox).

Se podría decir que el setup está listo?
Diría que sí! Puedes coger lo que te he mandado de plantilla y compararlo con tu export.

Saludos!
 
He revisado la config, y todo tiene buena pinta.
Mañana probaré a pepe en España, a ver si me conecta bien jejeje

Para ver el status del túnel, simplemente si puedo hacer ping desde paco a 172.17.0.1 bastaría correcto?

Bueno, que sepas que cuando pases por Berlin, tienes una cerveza asegurada!
Muchas gracias compi!
 
Arriba