Mikrotik IPTV - 2 mAP detrás de routers de operadora

Al final, los automatismos como el dhcp nos facilitan mucho la vida, y esto es un claro ejemplo. Un cliente DHCP, por defecto, hace ese paso adicional sin más intervención por nuestro lado. Pero, si el direccionamiento es estático, este es un paso adicional del que nos tenemos que acordar, si queremos que el equipo salga a internet. De cualquier forma, me alegra que lo hayas visto, porque a mi se me pasó; daba por hecho el cliente dhcp.

Saludos!
 
Sí. Al principio lo tenía por dhcp y debió ser cuando el IP cloud se actualizó, por eso el ddns estaba respondiendo.

Después también es cierto que los pings hacia los ddns los probé desde la consola de Windows, por eso no me había dado cuenta de que al ponerlo en estático me había quedado sin internet en ese Mikrotik. Y los pings sí los estaba probando desde el terminal y como no levantaba el túnel evidentemente tampoco respondían los extremos contrarios.

Son de esas cosas básicas pero que al final te obcecas y te pones a rebuscar por mil sitios distintos hasta que después te quedas con la cara que se me quedo a mí. Lo dicho, de vergüenza! Jajaja
 
Sí. Al principio lo tenía por dhcp y debió ser cuando el IP cloud se actualizó, por eso el ddns estaba respondiendo.

Después también es cierto que los pings hacia los ddns los probé desde la consola de Windows, por eso no me había dado cuenta de que al ponerlo en estático me había quedado sin internet en ese Mikrotik. Y los pings sí los estaba probando desde el terminal y como no levantaba el túnel evidentemente tampoco respondían los extremos contrarios.

Son de esas cosas básicas pero que al final te obcecas y te pones a rebuscar por mil sitios distintos hasta que después te quedas con la cara que se me quedo a mí. Lo dicho, de vergüenza! Jajaja
De todo se aprende, descuida. Verás como no se te olvida la ruta por defecto en ninguna otra configuración.

Saludos!
 
Wlan2 = station, fuera de ningún bridge y metido en la lista WAN. Con eso te vale.

Saludos!
Efectivamente, ha sido cambiarlo al modo station y ha hecho de WAN perfectamente.

El problema lo tengo en que no soy capaz de levantar el túnel... Ahora mismo Paco está sirviendo a Pepe1 perfectamente, pero con Pepe2 no hay manera...

¿Ves algo raro en los exports?

PACO:

Código:
# sep/11/2022 20:41:19 by RouterOS 7.4.1
# software id = KVTA-Q477
#
# model = RB750Gr3
/interface bridge
add igmp-snooping=yes name=bridge-iptv
add admin-mac=DC:2C:6E:EF:37:D9 auto-mac=no name=bridge-lo
/interface eoip
add local-address=172.17.0.2 mac-address=FE:94:EF:3A:7B:3D mtu=1500 name=\
    eoip-iptv remote-address=172.17.0.1 tunnel-id=0
add local-address=172.17.1.2 mac-address=02:4C:B1:9C:FF:8D mtu=1500 name=\
    eoip2-iptv remote-address=172.17.1.1 tunnel-id=1
/interface wireguard
add listen-port=12345 mtu=1420 name=wg-sts-iptv
add listen-port=12345 mtu=1420 name=wg2-sts-iptv
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=pool-lo ranges=192.168.79.2-192.168.79.254
/ip dhcp-server
add address-pool=pool-lo interface=bridge-lo name=dhcp-lo
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge-lo interface=ether2
add bridge=bridge-iptv interface=ether1
add bridge=bridge-iptv interface=ether3
add bridge=bridge-iptv interface=eoip-iptv
add bridge=bridge-iptv interface=eoip2-iptv
/interface wireguard peers
add allowed-address=0.0.0.0/0 endpoint-address=PEPE1.XX \
    endpoint-port=54321 interface=wg-sts-iptv persistent-keepalive=25s \
    public-key="2V8wLdPUlRl+M2V6bKyA5oSK8Rv5V2RfbySq7q1RanQ="
add allowed-address=0.0.0.0/0 endpoint-address=PEPE2.XX \
    endpoint-port=54321 interface=wg2-sts-iptv persistent-keepalive=25s \
    public-key="R9UhsEy5Hf5YFrPejWsAnhnlOaR9/vTuj+h/eGxjnnA="
/ip address
add address=192.168.79.1/24 interface=bridge-lo network=192.168.79.0
add address=172.17.0.2/30 interface=wg-sts-iptv network=172.17.0.0
add address=172.17.1.2/30 interface=wg2-sts-iptv network=172.17.1.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add interface=bridge-iptv
/ip dhcp-server network
add address=192.168.79.0/24 gateway=192.168.79.1
/ip dns
set servers=1.1.1.1,1.0.0.1
/ip route
add dst-address=192.168.88.0/24 gateway=172.17.0.1
/system clock
set time-zone-name=Europe/Madrid

PEPE2:

Código:
# sep/11/2022 22:30:13 by RouterOS 7.5
# software id = 90FI-7IYR
#
# model = RBD52G-5HacD2HnD
/interface bridge
add admin-mac=2C:C8:1B:C0:27:C0 auto-mac=no comment=defconf name=bridge
add igmp-snooping=yes name=bridge-iptv
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
    distance=indoors frequency=auto installation=indoor mode=ap-bridge ssid=\
    MikroTik-C027C4 wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=\
    20/40/80mhz-eCee disabled=no distance=indoors frequency=5280 \
    installation=indoor ssid=WLAND wireless-protocol=802.11
/interface eoip
add mac-address=02:0C:55:8A:1A:46 mtu=1500 name=eoip-iptv remote-address=\
    172.17.1.2 tunnel-id=1
/interface wireguard
add listen-port=54321 mtu=1420 name=wg-sts-iptv
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk group-ciphers=\
    tkip,aes-ccm mode=dynamic-keys supplicant-identity=MikroTik \
    unicast-ciphers=tkip,aes-ccm
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf ingress-filtering=no interface=ether2
add bridge=bridge comment=defconf ingress-filtering=no interface=ether3
add bridge=bridge comment=defconf ingress-filtering=no interface=ether4
add bridge=bridge comment=defconf ingress-filtering=no interface=wlan1
add bridge=bridge-iptv interface=ether5
add bridge=bridge-iptv interface=eoip-iptv
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=wlan2 list=WAN
/interface ovpn-server server
set auth=sha1,md5
/interface wireguard peers
add allowed-address=172.17.1.2/32 endpoint-address=CASAPACO.XX \
    endpoint-port=12345 interface=wg-sts-iptv persistent-keepalive=25s \
    public-key="+cIsm6yujuoYJvTxEenxRM2BoHuPYeG7sW9cWnbjVnw="
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
add address=172.17.1.1/30 interface=wg-sts-iptv network=172.17.1.0
/ip cloud
set ddns-enabled=yes ddns-update-interval=5m
/ip dhcp-client
add comment=defconf interface=wlan2
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=\
    192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/system clock
set time-zone-name=Europe/Madrid
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Además en Paco, el segundo eoip tunnel sale como S (en lugar de RS) y el segundo Wireguard no sale nada (en lugar de R).

Estoy releyéndome los files, pero es que veo todo correcto...

Gracias!!
 
Sí, tienes una cosa mal. De hecho, te cantan en los logs si los miras: no puedes tener dos interfaces wireguard en un mismo equipo, corriendo sobre el mismo puerto. Esto está mal:
/interface wireguard
add listen-port=12345 mtu=1420 name=wg-sts-iptv
add listen-port=12345 mtu=1420 name=wg2-sts-iptv

Saludos!
 
Sí, tienes una cosa mal. De hecho, te cantan en los logs si los miras: no puedes tener dos interfaces wireguard en un mismo equipo, corriendo sobre el mismo puerto. Esto está mal:
/interface wireguard
add listen-port=12345 mtu=1420 name=wg-sts-iptv
add listen-port=12345 mtu=1420 name=wg2-sts-iptv

Saludos!

Vaya tontería... Pensaba que no habría problema... muchas gracias!
 
Buenas tardes:

este es mi primer post en el foro y lo primero es agradecer los fantasticos manuales y claras explicaciones. soy nuevo en mikrotik y sin embargo he conseguido configurar la conexion entre Paco y Pepe, e incluso creo que he entendido lo que hacia.

ahora estoy estudiando como instalar un Pepe2. la particularidad de este caso es que Pepe2 tiene un acceso de internet comunitario y no se exactamente como puede afectar ese hecho. ya no es que estemos detras del router del operador si no que estamos un paso mas atras.

el router que tenemos instalado en casa de Pepe2 es un TP-link archer que nos da una IP local 19.168.1.x ese router se conecta a WAN en el 192.168.0.1 y tiene asignada la IP WAN 192.168.0.135 con lo que si bien entiendo, estoy detras de ese router que es el que da servicio a los distintos vecinos.
Si que tengo acceso a mi router TP-link (192.168.1.1) y desde ahi puedo configurar puertos y cambiar IPs y otras cosas, pero mi pregunta es, dado que estoy detras de otro router (192.168.0.1, al que no tengo acceso) me funcionara el servicio de DDNS? podre levantar el tunel WG? he probado a ver la IP publica desde una pagina web y me dice que estoy mi IP es 178.185.x.x que supongo que es la conexion "comunitaria"
EN casa de Paco tengo la configuracion de IP pululante en modo bidireccional, es decir que si que puedo cambiar algunas cosas en esa configuracion. tal vez tendria que plantear alguna otra opcion de conexion alternativa?

muchas gracias
 
Lo puedes hacer tal y como describe el manual, salvo que sin comunicación bidireccional. No te molestes en abrir puertos en el router por encima de pepe2, porque no vas a abrir nunca el router que no controlas.

Por lo demás, sin problema. Una vez establecido el túnel, podrás manejar ese equipo remoto sin problema.

Saludos!
 
muchas gracias por la respuesta

lo de abrir los puertos ya me lo temia. voy a consultar con la empresa que ha hecho la instalacion, pero me supongo que tendran todos los puertos de su router principal cerrados, con lo que como dices, abrir los puertos de mi router no me aportara nada.
Voy a elegir un nuevo juguete para Pepe2 y en cuanto llegue me pongo con la configuracion
Como he dicho ya tengo un set Paco-Pepe funcionando. para este nuevo Pepe2 seria mejor crear otro WG especifico o mejor incluir un nuevo peer? alguna ventaja/inconveniente?
 
A mi me gusta montar los site to site por separado, cada uno con su interfaz. Tal que, si una se cae o se compromete, no afectas al otro site.

Saludos!
 
pues asi lo haremos.
yo creo que me voy a decantar por el hex lite, solo voy a conectar la smart TV a este dispositivo y por lo que he leido deberia funcionar correctamente
 
buenos dias: creo que estoy cerca de conseguirlo, pero en algo estoy metiendo la pata.

creo que tengo los tuneles levantados porque desde Pepe2 he conseguido acceder al router de Paco, en la 192.168.1.xxx pero para poder conectarme he tenido que meter la IP a mano, no me la ha asignado directamente Paco.

tambien veo un trafico muy grande en el wg (de unos 100Mb) cuando no estoy visualizando nada, solo al conectar. con lo que me temo que algo he hecho mal


pongo las configuraciones por si me podeis ayudar un poco

codigo de Pepe2

Código:
 model = RB750r2
# serial number = D1x3
/interface bridge
add igmp-snooping=yes name=bridge-iptv
add name=bridge1
/interface eoip
add local-address=172.17.10.3 mac-address=02:1F:D3:xxxxxxxxxx mtu=1500 name=\
    eoip-iptv2 remote-address=172.17.10.2 tunnel-id=1
/interface wireguard
add listen-port=54322 mtu=1420 name=wg-sts-iptv2
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge-iptv interface=ether5
add bridge=bridge-iptv interface=eoip-iptv2
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface list member
add interface=ether1 list=WAN
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
/interface wireguard peers
add allowed-address=172.17.10.2/32 endpoint-address=\
    hcpxxxxxs.sn.mynetname.net endpoint-port=13232 interface=wg-sts-iptv2 \
    persistent-keepalive=25s public-key=\
    "Kxxxxxxxxxxxxxxxxxxd1REstQY="
/ip address
add address=172.17.10.3/30 interface=wg-sts-iptv2 network=172.17.10.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add interface=bridge1
/ip firewall filter
add action=accept chain=input dst-port=54322 protocol=udp
add action=accept chain=input in-interface=wg-sts-iptv2 protocol=gre
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=Pepe2


Codigo de Paco

Código:
# model = RB750Gr3
# serial number = HCP0Q8S
/interface bridge
add igmp-snooping=yes name=bridge-iptv
add admin-mac=18:FD:74:xxxxxx auto-mac=no name=bridge-lo
/interface eoip
add local-address=172.17.0.2 mac-address=02:F0:8E:xxxxxx mtu=1500 name=\
    eoip-iptv remote-address=172.17.0.1 tunnel-id=0
add local-address=172.17.10.2 mac-address=02:F6:9F:xxxxxx mtu=1500 name=\
    eoip-iptv2 remote-address=172.17.10.3 tunnel-id=1
/interface wireguard
add listen-port=13231 mtu=1420 name=wg-sts-iptv
add listen-port=13232 mtu=1420 name=wg-sts-iptv2
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/ip pool
add name=pool-lo ranges=192.168.79.2-192.168.79.254
/ip dhcp-server
add address-pool=pool-lo interface=bridge-lo name=dhcp-lo
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge-lo interface=ether2
add bridge=bridge-iptv interface=ether1
add bridge=bridge-iptv interface=eoip-iptv
add bridge=bridge-iptv interface=eoip-iptv2
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface wireguard peers
add allowed-address=0.0.0.0/0 endpoint-address=f3xxxxxxx.sn.mynetname.net \
    endpoint-port=54321 interface=wg-sts-iptv public-key=\
    "iZxxxxxxxxxxxxxxxxxxkVoy1L3dkw="
add allowed-address=0.0.0.0/0 endpoint-address=d1xxxxxxxxxx3.sn.mynetname.net \
    endpoint-port=54322 interface=wg-sts-iptv2 persistent-keepalive=25s \
    public-key="Lnxxxxxxxxxxxxxxxxxx2eI2Y="
/ip address
add address=192.168.79.1/24 interface=bridge-lo network=192.168.79.0
add address=172.17.0.2/30 interface=wg-sts-iptv network=172.17.0.0
add address=172.17.10.2/30 interface=wg-sts-iptv2 network=172.17.10.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add interface=bridge-iptv
/ip dhcp-server network
add address=192.168.79.0/24 gateway=192.168.79.1
/ip dns
set servers=8.8.8.8,1.1.1.1
/ip route
add disabled=no dst-address=192.168.88.0/24 gateway=172.17.0.1 routing-table=\
    main suppress-hw-offload=no
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=Paco

muchas gracias
 
Estás colisionando los dominios de broadcast de ambos lados, le vas a causar problemas a Paco. Tienes metido en el mismo bridge tu tráfico local y el remoto de paco. Por ahí vas mal.

Saludos!
 
Que la estaba liando ya me parecía. He deshabilitado el eoip2 desde Paco porque el tráfico estaba desmadrado
Donde tengo que mirar? He metido ethert1 y los os eiop en Paco en el mismo Bridge, eso es lo que está mal? O son los adresing?? Estoy muy perdido
 
Hola a todos,

Aprovecho este hilo a ver si alguien puede ayudarme. Siguiendo el hilo original del amigo gorrón conseguí configurar el túnel y que todo funcione. Mi problema es que sufro pixelaciones con mucha frecuencia. En ocasiones me es imposible ver algún canal porque no para de pixelar.

En paco tengo un mAP lite con exactamente la misma configuración que aparece en el hilo original. En el caso de Pepe tengo un RB4001, pero mi problema es que el operador de fibra es local y no tengo acceso a los datos de configuración del router del operador, solamente puedo abrir puertos, activar/desactivar firewall, configurar la DMZ, definir rutas estáticas y poco más.

Actualmente la configuración que tengo es el router de la operadora con el firewall desactivado y el Mikrotik en la DMZ para evitar la doble NAT. De esta forma gestiono toda la red desde el Mikrotik, aunque evidentemente preferiría hacer la conexión desde el Mikrotik directamente.

Este es el export del Mikrotik de Pepe:

Código:
/interface bridge
add igmp-snooping=yes name=bridge-iptv
add admin-mac=XX:XX:XX:XX:XX:XX auto-mac=no comment=defconf name=bridge-lan
/interface wireguard
add listen-port=3333 mtu=1420 name=wg-sts-iptv private-key=\
    "xxxxxxx"
/interface eoip
add local-address=172.17.0.1 mac-address=XX:XX:XX:XX:XX:XX mtu=1500 name=\
    eoip-iptv remote-address=172.17.0.2 tunnel-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.10.100-192.168.10.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge-lan name=defconf
/port
set 0 name=serial0
set 1 name=serial1
/interface bridge port
add bridge=bridge-lan comment=defconf interface=ether2
add bridge=bridge-lan comment=defconf interface=ether3
add bridge=bridge-lan comment=defconf interface=ether4
add bridge=bridge-lan comment=defconf interface=ether5
add bridge=bridge-lan comment=defconf interface=ether6
add bridge=bridge-lan comment=defconf interface=ether7
add bridge=bridge-lan comment=defconf interface=ether8
add bridge=bridge-lan comment=defconf interface=ether10
add bridge=bridge-lan comment=defconf interface=sfp-sfpplus1
add bridge=bridge-iptv interface=ether9
add bridge=bridge-iptv interface=eoip-iptv
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge-lan list=LAN
add comment=defconf interface=ether1 list=WAN
/interface wireguard peers
add allowed-address=172.17.0.2/32 comment=gorron-iptv endpoint-address=\
    xxxxxxx.sn.mynetname.net endpoint-port=4444 interface=wg-sts-iptv \
    public-key="xxxxxxxxxx"
/ip address
add address=192.168.10.1/24 comment=defconf interface=bridge-lan network=\
    192.168.10.0
add address=172.17.0.1/30 interface=wg-sts-iptv network=172.17.0.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf interface=ether1
/ip dhcp-server lease
add address=192.168.10.80 comment=nas mac-address=XX:XX:XX:XX:XX:XX
/ip dhcp-server network
add address=192.168.10.0/24 comment=defconf dns-server=192.168.10.1 gateway=\
    192.168.10.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1,8.8.8.8,8.8.4.4
/ip dns static
add address=192.168.10.1 comment=defconf name=router.lan
add address=192.168.10.80 name=xxxxxxxxx
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment="vpn: allow wireguard gorron" dst-port=\
    3333 protocol=udp
add action=accept chain=input comment="iptv: allow gre for eoip" \
    in-interface=wg-sts-iptv protocol=gre
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat comment=parabolica dst-port=9999 protocol=tcp \
    to-addresses=192.168.10.70 to-ports=9999
add action=dst-nat chain=dstnat comment=nas dst-port=8001 protocol=tcp \
    to-addresses=192.168.10.80 to-ports=8001
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/system clock
set time-zone-name=Europe/Madrid
/system scheduler
add interval=1d name="Reinicio diario 06:00AM" on-event="/system reboot" \
    policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
    start-date=jan/01/1970 start-time=06:00:00
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

¿Veis algo raro ahí? Me resultó relativamente fácil hacer la configuración del túnel pero llegados a este punto no soy capaz de ver el problema.

He probado también a desconectar todos los aparatos y dejar solo router_operadora -> RB4001 -> Deco sin resultado.

La configuración de Paco puedo garantizar que está 100% bien porque he hecho pruebas desde otra conexión a internet con el Mikrotik como único router y funciona todo perfecto.

Un saludo
 
No veo nada raro, la config es buena. En el router de operadora, ¿tienes claro que el DMZ esté funcionando? Tienes esa IP reservada en algún lado? Porque ahora mismo el 4011 no lo tienes con una IP concreta, sino con un cliente dhcp. Además de lo anterior, ¿trabajan en distinto segmento de red ambos routers?

Saludos!
 
No veo nada raro, la config es buena. En el router de operadora, ¿tienes claro que el DMZ esté funcionando? Tienes esa IP reservada en algún lado? Porque ahora mismo el 4011 no lo tienes con una IP concreta, sino con un cliente dhcp. Además de lo anterior, ¿trabajan en distinto segmento de red ambos routers?

Saludos!

Buenas,

Gracias por echarle un vistazo. Puedo acceder a dispositivos conectados al Mikrotik desde fuera de la red abriendo puertos sólo en el Mikrotik, sin tener que tocar nada en el de la operadora, por lo que entiendo que el DMZ funciona correctamente. El 4011 lo tengo con DHCP y un static lease en el de la operadora. Los segmentos de red también son diferentes, 192.168.1.0 para el de la operadora y 192.168.10.0 para el Mikrotik.

La única prueba que me queda por hacer es que se me olvidó quitar los puertos que tenía abiertos en el router de la operadora antes de habilitar la DMZ. Aun así el WG lo tengo configurado bidireccional, por lo que entiendo que no debería haber mayor problema, pero voy a probarlo por si acaso y te digo.

Un saludo
 
Buenas,

Gracias por echarle un vistazo. Puedo acceder a dispositivos conectados al Mikrotik desde fuera de la red abriendo puertos sólo en el Mikrotik, sin tener que tocar nada en el de la operadora, por lo que entiendo que el DMZ funciona correctamente. El 4011 lo tengo con DHCP y un static lease en el de la operadora. Los segmentos de red también son diferentes, 192.168.1.0 para el de la operadora y 192.168.10.0 para el Mikrotik.

La única prueba que me queda por hacer es que se me olvidó quitar los puertos que tenía abiertos en el router de la operadora antes de habilitar la DMZ. Aun así el WG lo tengo configurado bidireccional, por lo que entiendo que no debería haber mayor problema, pero voy a probarlo por si acaso y te digo.

Un saludo
Y el EoIP levanta? Lo ves con el flag “RS” (running, slave) en la lista de interfaces?

Saludos!
 
Y el EoIP levanta? Lo ves con el flag “RS” (running, slave) en la lista de interfaces?

Saludos!
Si, si. Levanta rápido y sin problema. De hecho funciona la tele, funciona el VOD, pero con pixelaciones frecuentes. Ya he hecho también la prueba de quitar los puertos que tenia abiertos en el router de la operadora y nada.

¿Alguna sugerencia?

Un saludo
 
Arriba