Mikrotik IPTV - 2 mAP detrás de routers de operadora

He revisado la config, y todo tiene buena pinta.
Mañana probaré a pepe en España, a ver si me conecta bien jejeje

Para ver el status del túnel, simplemente si puedo hacer ping desde paco a 172.17.0.1 bastaría correcto?

Bueno, que sepas que cuando pases por Berlin, tienes una cerveza asegurada!
Muchas gracias compi!
Eso es, justo esa prueba es la necesaria. Y, si levanta ese túnel, verás levantar el segundo enseguida, y ponerse con el flag RS (el EoIP)

Saludos!
 
Ya he puesto el map en casa de paco.

Haciendo ping veo esto:
1654245183560.png


1654245223514.png


Entiendo que está funcionado no @pokoyo ?
 
He probado con un telnet al DDNS de pepe, al puerto de wireguard, pero me dice que telnet: connect() failed: Host is unreachable
Y esta es la config del fritzbox:
1654249956302.png
 
Eso significa que el túnel Wireguard no ha levantado.

Dado que no compartiste las claves públicas, desconozco si están bien cruzadas. Revisa eso, la configuracion de puertos y firewall, y si el ddns está correctamente resolviendo tus IPs públicas.

Saludos!
 
Quitaste el firewall en Pepe? Si tienes acceso remoto, deshabilita por completo el firewall en Pepe, no lo necesitas. Y, si las claves públicas están correctamente cruzadas y los allowed address bien puestos, el túnel levanta a la primera.

Saludos!
 
Quitaste el firewall en Pepe? Si tienes acceso remoto, deshabilita por completo el firewall en Pepe, no lo necesitas. Y, si las claves públicas están correctamente cruzadas y los allowed address bien puestos, el túnel levanta a la primera.

Saludos!
He comprobado las llaves publicas, están correctamente configuradas en ambos peers.

Allowed address de paco es: 172.17.0.2/32

Todas las reglas del firewall están deshabilitadas
1654251358265.png
 
Dejo de nuevo los exports:

PEPE
Código:
/interface bridge
add admin-mac=DC:2C:6E:39:47:32 auto-mac=no comment=defconf name=bridge
add igmp-snooping=yes name=bridge-iptv
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
    country=germany distance=indoors frequency=auto installation=indoor mode=\
    ap-bridge ssid=catfish-map wireless-protocol=802.11
/interface wireguard
add listen-port=13231 mtu=1420 name=wg-sts-iptv
/interface eoip
add local-address=172.17.0.1 mac-address=FE:AD:08:E0:2D:E9 mtu=1500 name=\
    eoip-iptv remote-address=172.17.0.2 tunnel-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=\
    dynamic-keys supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
/interface bridge port
add bridge=bridge-iptv comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=pwr-line1
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge-iptv interface=eoip-iptv
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface detect-internet
set detect-interface-list=all
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/interface wireguard peers
add allowed-address=172.17.0.2/32 comment=gorron-iptv endpoint-address=\
    XXXXX.sn.mynetname.net endpoint-port=43208 interface=wg-sts-iptv \
    public-key="17oziNcJjF76Vdp068EraYzcWy2HAtoZgtPVm/zPfkU="
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
add address=172.17.0.1/30 interface=wg-sts-iptv network=172.17.0.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=\
    192.168.88.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked disabled=yes
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid disabled=yes
add action=accept chain=input comment="defconf: accept ICMP" disabled=yes \
    protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" disabled=yes \
    dst-address=127.0.0.1
add action=accept chain=input comment="vpn: allow wireguard madrid" disabled=\
    yes dst-port=13231 protocol=udp
add action=accept chain=input comment="iptv: allow gre for eoip" disabled=yes \
    in-interface=wg-sts-iptv protocol=gre
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    disabled=yes in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    disabled=yes ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    disabled=yes ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related disabled=yes hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked disabled=yes
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid disabled=yes
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new disabled=yes in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat out-interface=ether1
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/system clock
set time-zone-name=Europe/Berlin
/system identity
set name=berlin
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN


PACO

Código:
/interface bridge
add igmp-snooping=yes name=bridge-iptv
add admin-mac=DC:2C:6E:39:46:E6 auto-mac=no name=bridge-lo
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
/interface wireguard
add listen-port=43208 mtu=1420 name=wg-sts-iptv
/interface eoip
add local-address=172.17.0.2 mac-address=FE:5C:C5:77:69:07 mtu=1500 name=\
    eoip-iptv remote-address=172.17.0.1 tunnel-id=0
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=pool-lo ranges=192.168.79.2-192.168.79.254
/ip dhcp-server
add address-pool=pool-lo interface=bridge-lo name=dhcp-lo
/interface bridge port
add bridge=bridge-lo interface=ether2
add bridge=bridge-iptv interface=ether1
add bridge=bridge-iptv interface=eoip-iptv
/interface wireguard peers
add allowed-address=0.0.0.0/0 endpoint-address=XXXXX.sn.mynetname.net \
    endpoint-port=13231 interface=wg-sts-iptv persistent-keepalive=25s \
    public-key="UmCkirMlJRx+K9xw1pNrnj3qQWVmdqX0T26wljz6z2U="
/ip address
add address=192.168.79.1/24 interface=bridge-lo network=192.168.79.0
add address=172.17.0.2/30 interface=wg-sts-iptv network=172.17.0.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add interface=bridge-iptv
/ip dhcp-server network
add address=192.168.79.0/24 gateway=192.168.79.1
/ip dns
set servers=1.1.1.1,1.0.0.1
/ip route
add dst-address=192.168.88.0/24 gateway=172.17.0.1
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=madrid
 
hola!!

estoy intentando la misma configuración que tú (tanto pepe como paco detrás de routers de operadora), pero no hay manera... el túnel Wireguard lo veo levantado, pero el EoIP no...

os chirría algo de esta configuración de Pepe? (Paco es casi por defecto más el tweak de conexión bidireccional):

Código:
# aug/29/2022 20:09:50 by RouterOS 7.4.1
# software id = 7T0T-H19V
#
# model = RB750r2
/interface bridge
add admin-mac=DC:2C:6E:C0:0A:C2 auto-mac=no comment=defconf name=bridge
add igmp-snooping=yes name=bridge-iptv
/interface eoip
add local-address=172.17.0.1 mac-address=FE:47:7B:1C:3C:7B mtu=1500 name=\
    eoip-iptv remote-address=172.17.0.2 tunnel-id=0
/interface wireguard
add listen-port=54321 name=wg-sts-iptv
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf ingress-filtering=no interface=ether2
add bridge=bridge comment=defconf ingress-filtering=no interface=ether3
add bridge=bridge comment=defconf ingress-filtering=no interface=ether4
add bridge=bridge comment=defconf ingress-filtering=no interface=ether5
add bridge=bridge-iptv interface=eoip-iptv
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/interface ovpn-server server
set auth=sha1,md5
/interface wireguard peers
add allowed-address=172.17.0.2/32 comment=gorron-iptv endpoint-address=\
    "DDNS de Paco" endpoint-port=12345 interface=wg-sts-iptv \
    public-key="Asl16wYnn1fscyES9Jd6xvNMDYV+EhJvOf05eWV0O1U="
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
add address=127.17.0.1/30 interface=wg-sts-iptv network=127.17.0.0
/ip cloud
set ddns-enabled=yes ddns-update-interval=1m
/ip dhcp-client
add comment=defconf interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=\
    192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked disabled=yes
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid disabled=yes
add action=accept chain=input comment="defconf: accept ICMP" disabled=yes \
    protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" disabled=yes \
    dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    disabled=yes in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    disabled=yes ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    disabled=yes ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related disabled=yes hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked disabled=yes
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid disabled=yes
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new disabled=yes in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=Pepe
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
 
me pregunto si el motivo será haber puesto un MTU de 1500 en Wireguard (en ambos lados) en lugar de 1420... No sé.. Por más que doy vueltas no encuentro con la solución, y parece todo correcto:
 

Adjuntos

  • 1661808950101.png
    1661808950101.png
    24.9 KB · Visitas: 14
me pregunto si el motivo será haber puesto un MTU de 1500 en Wireguard (en ambos lados) en lugar de 1420... No sé.. Por más que doy vueltas no encuentro con la solución, y parece todo correcto:
Hombre, si te vas inventando la configuración, es posible que no te funcione. El MTU sólo has de tocarlo en los EoIP, para igualarlo a las interfaces ethernet con las que puentea en el bridge. En WireGuard, no lo toques.

Además de lo anterior, la configuración anterior que adjuntas tiene dos problemas gordos. El primer problema, y que te está salvando el culo (corrígelo en último lugar), es la IP que le has puesto a la interfaz wireguard, 127.17… en lugar de 172.17
La segunda, mucho más gorda que la primera, es que sólo tienes un bridge, y en él pretendes recibir el dhcp del otro lado, pero le tienes plantado un servidor dhcp encima. Eso hará que, una vez levantado el túnel, colisiones en ambos extremos dos servidores dhcp (tú en Paco y Paco en ti), causando un buen chocho.

Ojo sobre todo con el segundo error, y corrígelo antes de levantar el túnel.

Saludos!
 
Hombre, si te vas inventando la configuración, es posible que no te funcione. El MTU sólo has de tocarlo en los EoIP, para igualarlo a las interfaces ethernet con las que puentea en el bridge. En WireGuard, no lo toques.

Además de lo anterior, la configuración anterior que adjuntas tiene dos problemas gordos. El primer problema, y que te está salvando el culo (corrígelo en último lugar), es la IP que le has puesto a la interfaz wireguard, 127.17… en lugar de 172.17
La segunda, mucho más gorda que la primera, es que sólo tienes un bridge, y en él pretendes recibir el dhcp del otro lado, pero le tienes plantado un servidor dhcp encima. Eso hará que, una vez levantado el túnel, colisiones en ambos extremos dos servidores dhcp (tú en Paco y Paco en ti), causando un buen chocho.

Ojo sobre todo con el segundo error, y corrígelo antes de levantar el túnel.

Saludos!

Gracias por tu respuesta!! Al margen de las dos primeras cagadas, que tienen fácil arreglo. Estaba intentando razonar cómo debe ser el funcionamiento (al margen del código necesario) entre ambas partes... He creado un nuevo bridge, asignado a ether2 y sobre el que recae el servidor dhcp en la parte de Pepe (de paso he desactivado WiFi y LTE).

¿Cómo lo ves? Muchas gracias por anticipado. Esto de Mikrotik es un mundo!

Código:
# aug/29/2022 20:09:50 by RouterOS 7.4.1
# software id = 7T0T-H19V
#
# model = RB750r2
/interface bridge
add admin-mac=DC:2C:6E:C0:0A:C2 auto-mac=no comment=defconf name=bridge
add igmp-snooping=yes name=bridge-iptv
add name=bridge-lo
/interface eoip
add local-address=172.17.0.1 mac-address=FE:47:7B:1C:3C:7B mtu=1500 name=\
    eoip-iptv remote-address=172.17.0.2 tunnel-id=0
/interface wireguard
add listen-port=54321 name=wg-sts-iptv
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface lte apn
set [ find disabled=yes ] 
/interface wireless security-profiles
set [ find disabled=yes ] 
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp interface=bridge name=defconf
/interface bridge port
add bridge=bridge-iptv interface=ether1
add bridge=bridge-iptv interface=eoip-iptv
add bridge=bridge-lo interface=ether2
add bridge=bridge interface=ether3
add bridge=bridge interface=ether4
add bridge=bridge interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/interface ovpn-server server
set auth=sha1,md5
/interface wireguard peers
add allowed-address=172.17.0.2/32 comment=gorron-iptv endpoint-address=\
    "DDNS de Paco" endpoint-port=12345 interface=wg-sts-iptv \
    public-key="Asl16wYnn1fscyES9Jd6xvNMDYV+EhJvOf05eWV0O1U="
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge-lo network=\
    192.168.88.0
add address=172.17.0.1/30 interface=wg-sts-iptv network=127.17.0.0
/ip cloud
set ddns-enabled=yes ddns-update-interval=1m
/ip dhcp-client
add comment=defconf interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=\
    192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked disabled=yes
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid disabled=yes
add action=accept chain=input comment="defconf: accept ICMP" disabled=yes \
    protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" disabled=yes \
    dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    disabled=yes in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    disabled=yes ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    disabled=yes ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related disabled=yes hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked disabled=yes
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid disabled=yes
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new disabled=yes in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=Pepe
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
 
¿Tal vez sea más sencillo empezar con una configuración de Paco directamente (ya que también va detrás de un router de Operadora)? Tengo la sensación de que casi tengo el file de Pepe, pero al mismo tiempo no quiero que me quede una configuración "sucia" que no controle al 100%
 
La de Paco no te vale, porque en Pepe has de tener por narices LAN/WAN por separado. Si montas un Paco en Pepe, estarías colisionando los segmentos de red. Te digo como se haría en pasos:

Resetea el router a la configuración por defecto (sin marcar el no default configuration)
Conecta ether1 al que se el router que tengas por encima.
Fíjate en la IP que te ha dado el cliente DHCP en el mikrotik. Fíjala por DHCP lease en el router de la operadora, o directamente hazla estática (si haces esto, recuerda meter la ruta por defecto en el mikrotik).
Abre el puerto que hayas elegido para wireguard en el router de la operadora, y se lo mandas a la IP anteriormente mencionada.
Aplica las mismas reglas de firewall que se describen para Pepe. Si confías en el equipo de arriba, borra directamente el firewall por completo, salvo el NAT
Saca un puerto del bridge, el que quieras, que vayas a dedicar al desco (no saques el puerto al que estás conectado en este momento, o perderás la conexión con el router)
Crea un segundo bridge con igmp-snooping, y mete en él ese puerto que sacaste antes.
Crea la interfaz wireguard, usando el puerto que abriste en el paso 3. Direcciónala acorde con el /30 del otro lado. Crea su peer asociado.
Crea el EoIP, usando las direcciones internas de wireguard.
Mete el EoIP en el segundo bridge, junto con el puerto que vayas a dedicar al tema.
Usa un servicio DDNS para mantener la IP del router principal actualizada. El DDNS de mikrotik te vale, pero no lo va a detectar los cambios al mismo nivel que lo hace un equipo que está directamente conectado al router de la operadora.
Enjoy.


Saludos!
 
La de Paco no te vale, porque en Pepe has de tener por narices LAN/WAN por separado. Si montas un Paco en Pepe, estarías colisionando los segmentos de red. Te digo como se haría en pasos:

Resetea el router a la configuración por defecto (sin marcar el no default configuration)
Conecta ether1 al que se el router que tengas por encima.
Fíjate en la IP que te ha dado el cliente DHCP en el mikrotik. Fíjala por DHCP lease en el router de la operadora, o directamente hazla estática (si haces esto, recuerda meter la ruta por defecto en el mikrotik).
Abre el puerto que hayas elegido para wireguard en el router de la operadora, y se lo mandas a la IP anteriormente mencionada.
Aplica las mismas reglas de firewall que se describen para Pepe. Si confías en el equipo de arriba, borra directamente el firewall por completo, salvo el NAT
Saca un puerto del bridge, el que quieras, que vayas a dedicar al desco (no saques el puerto al que estás conectado en este momento, o perderás la conexión con el router)
Crea un segundo bridge con igmp-snooping, y mete en él ese puerto que sacaste antes.
Crea la interfaz wireguard, usando el puerto que abriste en el paso 3. Direcciónala acorde con el /30 del otro lado. Crea su peer asociado.
Crea el EoIP, usando las direcciones internas de wireguard.
Mete el EoIP en el segundo bridge, junto con el puerto que vayas a dedicar al tema.
Usa un servicio DDNS para mantener la IP del router principal actualizada. El DDNS de mikrotik te vale, pero no lo va a detectar los cambios al mismo nivel que lo hace un equipo que está directamente conectado al router de la operadora.
Enjoy.


Saludos!

Alucinante, ahora entiendo todo mucho mejor...

Creo que ya lo tengo, a ver qué te parece!

Código:
# aug/30/2022 13:08:34 by RouterOS 7.4.1
# software id = 7T0T-H19V
#
# model = RB750r2
/interface bridge
add admin-mac=DC:2C:6E:C0:0A:C2 auto-mac=no comment=defconf name=bridge
add igmp-snooping=yes name=bridge-iptv
/interface eoip
add local-address=172.17.0.1 mac-address=FE:19:6C:10:65:55 mtu=1500 name=\
    eoip-iptv remote-address=172.17.0.2 tunnel-id=0
/interface wireguard
add listen-port=54321 name=wg-sts-iptv
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge-iptv interface=ether5
add bridge=bridge-iptv interface=eoip-iptv
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/interface wireguard peers
add allowed-address=172.17.0.2/32 comment=gorron-iptv endpoint-address=\
    "DDNS PACO" endpoint-port=12345 interface=wg-sts-iptv \
    public-key="Asl16wYnn1fscyES9Jd6xvNMDYV+EhJvOf05eWV0O1U="
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
/ip dhcp-client
add comment=defconf interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=\
    192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/system clock
set time-zone-name=Europe/Madrid
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

De momento no levanta, pero puede ser por dos motivos:

- He seguido manteniendo el MTU del Wireguard en 1500 (porque Paco está en casa de Paco y está así fijado, y hasta esta tarde no podré cambiarlo).
- La public key de Pepe que está en Paco es distinta a la actual. Al hacer reset se me ha cambiado. De todas formas, Pepe debería estar llamando a Paco.

El resto está todo bien: puertos, etc.

Gracias!
 
Arriba