Primera experiencia con MikroTik

Hola a todos,

Lo primero de todo, quiero dar las gracias a todos los que habéis publicado los diversos tutoriales que hay en este foro, son oro puro :)

Después de un par de malas experiencias con el HGU de Movistar / O2 y tras leerme los tutoriales de este foro, me decidí a cambiar el HGU por un Mikrotik Hex S, y el resultado ha sido un tremendo éxito excepto por dos o tres temas menores que después contaré. El Hex S ha quedado como router principal, con la configuración del hilo de ISPs de O2, saliendo a Internet por la fibra de O2, y con un failover mediante una SIM de la misma compañía montada en un Huawei 8372h conectado al puerto USB del Hex S. Además del acceso a Internet también uso el teléfono fijo (por cuestiones familiares) y he configurado un túnel L2TP / IPSec que va como la seda. También me animé a comprar un mAP Lite (que es, literalmente, como una caja de cerillas) y configurarle el acceso en modo roadwarrior con un túnel EoIP. Es increíble lo bien que funciona :) :)

El HGU lo he sustituido por una ONT Huawei HG8240H de Movistar que me regaló un amigo cuando le pusieron el HGU. No he tenido problemas para configurarla, incluido uno de los dos puertos RJ11.

Los problemillas que no he podido resolver los expongo a continuación por si alguien puede aportar algo:

1 - El teléfono fijo lo proporciona un router AVM FritzBox 7490 (era el anterior router cuando tenía ADSL), que tiene una base DECT incorporada y una centralita que, entre otras cosas, permite bloquear llamadas entrantes mediante una lista negra (servicio fundamental donde los haya para evitar el spam telefónico). Si lo conecto al puerto RJ11 de la ONT funciona bien, aunque un tanto despacio (lógico, al fin y al cabo se convierte una llamada SIP en analógica y, en el FritzBox, otra vez a SIP; no es la mejor de las configuraciones). El problema es que dando de alta el número como teléfono SIP directamente en el FritzBox no tengo audio de retorno cuando hago llamadas, sin embargo, si me llaman sí tengo audio tanto de ida como de vuelta. He probado a modificar todo lo modificable en la parte SIP del FritzBox (que no es mucho, dicho sea de paso) sin éxito. También he probado a activar el SIP ALG en el Mikrotik, y tampoco ha dado resultado. Sin embargo, con el FritzBox detrás del HGU con la configuración de O2 sí que funcionaba. Si alguien tiene alguna pista de qué puede estar pasando, se lo agradecería, ya que me permitiría eliminar el cable RJ11 (la ONT está en la entrada de la casa y el FritzBox en una habitación). Sólo se me ocurre que el FritzBox no esté recibiendo bien la VLAN 3, pero el hecho es que, salvo el problema del audio, la telefonía SIP funciona.

2 - No puedo acceder a la ONT a no ser que desconecte el latiguillo de fibra. Me da la sensación de que las ONT Huawei sólo levantan la interfaz web si no tienen la fibra conectada, pero no sé si con la fibra la dejan en alguna VLAN de servicio que se pueda configurar en el Mikrotik para acceder.

3 - La conexión de failover (con la SIM de O2) no permite el acceso desde fuera porque está detrás de un CG-NAT. ¿Alguien sabe si O2 permite tener líneas móviles sin CG-NAT? En su momento Movistar sí que las tenía, y básicamente la red es la misma, por lo que yo sé. De hecho el APN que tengo configurado es el de Movistar.

Nada más de momento. Perdonad el rollo y, de nuevo, muchas gracias a todos los que habéis dedicado vuestro tiempo y esfuerzo a hacer estos maravillosos tutoriales. Como he dicho al principio, me han parecido oro puro :)


Un saludo.
 
Muy rápido, que me pillas fuera:

1- Deja los puertos del SIP ALG tal y como vienen por defecto, con el 5060 y 5061. Es un error común meterle el 5070 del outbound proxy. Y, si no te funciona, mueve esa config al Fritzbox, y deshabilita el sip ALG en mikrotik, y lo habilitas en el Fritzbox (esto último no sé si te va a funcionar bien). Entiendo que la configuración que tienes puesta es la que obtiene las rutas dinámicas de la vlan 3 por RIP y que la ves correctamente en tu tabla de rutas del mikrotik, ¿Es así?

2- para acceder a la ONT, tienes que crear una IP de la subred /24 que use la consola de admin de la ONT en la interfaz física que conecte a ella en el mikrotik (IP > Addresses). Hecho esto, decide si metes esa interfaz (normalmente ether1) en la lista WAN o si creas una regla de masquerade específica para ella. Hecho esto, deberías poder llegar a la ONT desde cualquier equipo de la red, si la consola de admin sigue estando disponible. Desconozco si la bloquean después de conectarle la fibra, la verdad. Tienes los pasos de cómo se hace esto en el manual de tips&tricks.

3- Busca en internet, que Movistar tiene distintas configuraciones de APN’s, entre ellas, algunas con IP pública y si. CGNAT.

Y, sobre todo, bienvenido al mundillo Mikrotik. Has hecho un cambio del que no te vas a arrepentir. Date una vuelta por los manuales que tienes en las chinchetas, que como verás, tienes donde entretenerte.

Saludos!
 
Hola pokoyo, te contesto:
1- Deja los puertos del SIP ALG tal y como vienen por defecto, con el 5060 y 5061. Es un error común meterle el 5070 del outbound proxy. Y, si no te funciona, mueve esa config al Fritzbox, y deshabilita el sip ALG en mikrotik, y lo habilitas en el Fritzbox (esto último no sé si te va a funcionar bien). Entiendo que la configuración que tienes puesta es la que obtiene las rutas dinámicas de la vlan 3 por RIP y que la ves correctamente en tu tabla de rutas del mikrotik, ¿Es así?
Ahora mismo está puesto en el Mikrotik tal y como tú dices, el SIP ALG en los puertos 5060 y 5061 y desactivado, y no funciona (cuando digo que no funciona estoy siendo breve, en realidad funciona la conexión SIP excepto el problema del audio entrante que comenté antes).

El Mikrotik ve perfectamente la VLAN 3 y aparece tráfico en la misma, por lo que entiendo que está bien configurada. El DHCP de Telefónica le da una dirección de la red 10.0.0.0/8 y es la misma que aparecía en el HGU.

Desgraciadamente, el FritzBox no tiene tanta capacidad de configuración con el Mikrotik; de hecho no se puede habilitar / deshabilitar el SIP ALG como tal, sino que configura una cuenta SIP e informa si registra o no. Registrar, registra, solamente que en las llamadas salientes no hay flujo de paquetes entrante y no hay audio. He mirado en los logs del FritzBox y no aparece ni una sola incidencia. Es un sistema muy cerrado, es el problema, cuando funciona todo suele ir sobre ruedas pero si no funciona hay pocas opciones. De hecho, si no fuera por el filtrado de llamadas entrantes por lista negra y porque es una base DECT no lo estaría usando.

Entiendo que la configuración de O2 del post de ISPs configura los puertos del bridge principal como híbridos, de forma que al FritzBox le llega la VLAN 6 sin etiquetar y la VLAN 3 etiquetada. Si no fuese así, ¿podría intentar usar la configuración de Movistar multi-desco y multi-bridge y poner ese puerto en el bridge-iptv, que por lo que veo es híbrido? Es lo único que se me ocurre...

2- para acceder a la ONT, tienes que crear una IP de la subred /24 que use la consola de admin de la ONT en la interfaz física que conecte a ella en el mikrotik (IP > Addresses). Hecho esto, decide si metes esa interfaz (normalmente ether1) en la lista WAN o si creas una regla de masquerade específica para ella. Hecho esto, deberías poder llegar a la ONT desde cualquier equipo de la red, si la consola de admin sigue estando disponible. Desconozco si la bloquean después de conectarle la fibra, la verdad. Tienes los pasos de cómo se hace esto en el manual de tips&tricks.
Esto ya está hecho (tal y como se explica en el Tips&Tricks) y funcionando perfectamente. La interfaz física del Mikrotik que conecta a la ONT tiene la dirección 192.168.100.2, la ONT tiene la dirección 192.168.100.1 (la que traen las ONT de Huawei por defecto) y desde cualquier equipo de la red interna llego a la ONT, es decir, ping 192.168.100.1 siempre responde tanto si la ONT tiene la fibra conectada como si no.

El problema es que la interfaz de administración, accesible en el puerto 80 (www) de la ONT, sólo responde si la fibra está desenchufada. Mi sospecha es que no la levanta si la fibra está activa, pero podría ser que en ese caso la ONT levantase una VLAN de administración para permitir el acceso. He mirado en el manual de servicio y no dice nada al respecto, aunque ese manual está escrito desde el punto de vista del operador de telecomunicaciones, no desde el del usuario. Por eso pregunto si alguien que tenga una ONT Huawei ha conseguido entrar en al configuración con la fibra conectada.

3- Busca en internet, que Movistar tiene distintas configuraciones de APN’s, entre ellas, algunas con IP pública y si. CGNAT.
Miraré con calma. Gracias :)

Y, sobre todo, bienvenido al mundillo Mikrotik. Has hecho un cambio del que no te vas a arrepentir. Date una vuelta por los manuales que tienes en las chinchetas, que como verás, tienes donde entretenerte.

Saludos!
Ya me he leído la mayoría. Es alucinante lo que se puede hacer con estos cacharros. Como decía antes, gracias a vosotros por compartir todo ese conocimiento :)

Un saludo.
 
No, la vlan3 no llega taggeada, llega sin tag a los dispositivos finales. A menos que taggees la vlan de nuevo a nivel de bridge o de puerto dedicado que conecte al fitzbox, va a llegar sin tag. No obstante, es como debe llegar. El fritzbox, deberías tenerlo como AP, NO como router, tal que esté en el mismo dominio de broadcast y desde cualquier dispositivo tengas acceso al outbound-proxy de telefónica.

Pásame si quieres un export del equipo y lo reviso. Y, el Fritzbox, trata de configurarlo como AP.

Saludos!
 
Perdona no te contestara ayer, pero me pillaste con mucho lío.

Vale, tu configuración está muy limpita, y sospecho que el tema del teléfono tendrá que ver con que el fritzbox está operando como router, y no como AP. ¿podrías configurar el fritzbox como AP y probar, volviendo a poner activo el SIP ALG en el mikrotik, en sus puertos por defecto 5060 y 5061?

Te detallo las cosas que veo raras en tu config, que te sugeriría cambiar. No obstante, enhorabuena por la configuración, para ser un recién llegado, es de lejos la configuración más limpia que he visto a nadie en este foro.
  • Saca la interfaz sfp1 del bridge, no te conformes con deshabilitarla. Si la habilitas sin querer, la lías parda.
  • A menos que el túnel EoIP lo corras sobre el L2TP (usando IP's locales del pool de la VPN, para que el túnel levante una vez establecida esa conexión), usa IPSec en el túnel. Ahora mismo ese túnel está saliendo a internet con el tráfico de tu red sin cifrar, no es buena idea. Además, si usas IPSec, al usar los mismos puertos 4500 y 500 que ya tienes abierto para L2TP, te ahorras la regla de firewall que acepta el tráfico del GRE del protocolo 47, puesto que el tráfico ya viene encriptado y por los otros puertos.
  • Quita el cliente DHCP sobre spf1 (ahora mismo lo tienes deshabilitado, pero lo podrías quitar incluso)
  • El dominio .local es muy usado por servicios como mDNS. Te recomendaría no usarlo como subdominio de tu dominio local. Es decir, no definas ".local.lan" como tu dominio local. Define "lan" o cualquier otra cosa, pero no le metas el "local" de por medio que algún equipo se puede liar con esto. Yo tuve problemas con un Mac por algo parecido. De igual manera, usa el DNS caché del router (si no lo estás haciendo ya en tu propio DNS) para asignar dominios .lan (o .pericopalotes, lo que quieras) para apuntar a las distintas máquinas que tengas en tu red, que para eso lo estás entregando en el DHCP Server.
  • En caso de no usarlo, deshabilita el servidor sstp, que se activa automáticamente junto con pptp cuando marcas la opciónd e "vpn" del quick set. PPTP, directamente quítalo, lo uses o no, puesto que es inseguro. A su misma vez, sobrarían las reglas del chain de input en el firewall que hacen que el router escuche esos puertos: son los referentes al 443 para sstp y el 1703 para PPTP (veo que esta última ya la has fusilado). El 1701 TCP para L2TP también te sobra (veo que lo tienes deshabilitado, supongo que de andar probando).
  • Revisa las reglas de NAT y redúcelas a la mínima expresión. Cada puerto que mapeas ahí es un agujerito que abres al mundo exterior. Y, si yo puedo llegar (ver pantallazo más abajo), puede llegar cualquiera. Tener un servidor L2TP montado para la VPN te evita tener puertos de servicios locales expuestos a internet. Y no te confíes con abrir puertos distintos de cara a fuera, que todos los que has abierto los tienen más que inventariados los scripts de sondeo, y más temprano que tarde tendrás un susto. Cuando necesites acceder a estos servicios, levantas el cliente VPN allá donde estés, y accedes a estos servicios por su IP o dominio local. Tal y como veo ahora mismo tu NAT, borraría todas las reglas de dst-nat, y dejaría únicamente los masquerades de la WAN y la VLAN3.


1630479499258.png



Saludos, y enhorabuena por al configuración una vez más.
 
Perdona no te contestara ayer, pero me pillaste con mucho lío.
No hay nada que perdonar, faltaría más. Toda ayuda es bien venida, de hecho muchas pruebas sólo puedo hacerlas por la noche.

Vale, tu configuración está muy limpita, y sospecho que el tema del teléfono tendrá que ver con que el fritzbox está operando como router, y no como AP. ¿podrías configurar el fritzbox como AP y probar, volviendo a poner activo el SIP ALG en el mikrotik, en sus puertos por defecto 5060 y 5061?
Lo he probado y sigue sin funcionar el audio de retorno. Con y sin SIP ALG en el Mikrotik, da exactamente lo mismo. He revisado la configuración del FritzBox y ya estaba puesto como AP, sin firewall, sin servidor DHCP, y obteniendo su IP, máscara, rutas y DNS como cliente DHCP del Mikrotik (antes lo hacía del HGU).

La única diferencia que veo del Mikrotik con la configuración del HGU es que, si estoy en lo cierto, éste enviaba la VLAN 3 tageada al FritzBox (que ya estaba configurado como AP). ¿Es muy complicado tagear la VLAN 3 en el Mikrotik? Es la única prueba que se me ocurre que falta por hacer. Si es necesario, ¿se puede hacer sólo en un puerto? Tengo puertos de sobra en el Mikrotik, la mayor parte de la red doméstica cuelga de un switch.

Te detallo las cosas que veo raras en tu config, que te sugeriría cambiar. No obstante, enhorabuena por la configuración, para ser un recién llegado, es de lejos la configuración más limpia que he visto a nadie en este foro.
La enhorabuena hay que dárosla a los que os habéis currado esos magníficos tutoriales; yo sólo he seguido vuestros consejos, en especial, partir de un QuickSet, tocar lo menos posible y entender lo que se escribe (no copiar y pegar sin saber qué se está haciendo). La mayor parte de las veces entiendo lo que pretende un comando, eso sí, todavía me pierdo mucho con la sintaxis de RouterOS.

  • Saca la interfaz sfp1 del bridge, no te conformes con deshabilitarla. Si la habilitas sin querer, la lías parda.
Hecho :)

  • A menos que el túnel EoIP lo corras sobre el L2TP (usando IP's locales del pool de la VPN, para que el túnel levante una vez establecida esa conexión), usa IPSec en el túnel. Ahora mismo ese túnel está saliendo a internet con el tráfico de tu red sin cifrar, no es buena idea. Además, si usas IPSec, al usar los mismos puertos 4500 y 500 que ya tienes abierto para L2TP, te ahorras la regla de firewall que acepta el tráfico del GRE del protocolo 47, puesto que el tráfico ya viene encriptado y por los otros puertos.
El túnel EoIP lo configuré de acuerdo con el tutorial "llévate tu red a cuestas", así que si no me equivoco no está subido encima del túnel L2TP (que lo saqué el tutorial "monta tu VPN"). Al final del tutorial de la red a cuestas, dice que si se configura un secreto compartido en ambos lados del túnel EoIP y se deshabilita el fast-path, el túnel queda encriptado. Lo hice así y funcionó con el tunnel-id=0, pero al cambiar el id (a ambos lados del túnel) no se conectaba si no añadía la regla de apertura del GRE. ¿He hecho algo incorrecto?

  • Quita el cliente DHCP sobre spf1 (ahora mismo lo tienes deshabilitado, pero lo podrías quitar incluso)
Quitado :)

  • El dominio .local es muy usado por servicios como mDNS. Te recomendaría no usarlo como subdominio de tu dominio local. Es decir, no definas ".local.lan" como tu dominio local. Define "lan" o cualquier otra cosa, pero no le metas el "local" de por medio que algún equipo se puede liar con esto. Yo tuve problemas con un Mac por algo parecido. De igual manera, usa el DNS caché del router (si no lo estás haciendo ya en tu propio DNS) para asignar dominios .lan (o .pericopalotes, lo que quieras) para apuntar a las distintas máquinas que tengas en tu red, que para eso lo estás entregando en el DHCP Server.
Cambiado :)

  • En caso de no usarlo, deshabilita el servidor sstp, que se activa automáticamente junto con pptp cuando marcas la opciónd e "vpn" del quick set. PPTP, directamente quítalo, lo uses o no, puesto que es inseguro. A su misma vez, sobrarían las reglas del chain de input en el firewall que hacen que el router escuche esos puertos: son los referentes al 443 para sstp y el 1703 para PPTP (veo que esta última ya la has fusilado). El 1701 TCP para L2TP también te sobra (veo que lo tienes deshabilitado, supongo que de andar probando).
He eliminado las reglas del chain de input del firewall. En cuanto a deshabilitar sstp. ¿te refieres a eliminarlo de los Service Ports dentro del firewall? Si es así, hecho también :)

  • Revisa las reglas de NAT y redúcelas a la mínima expresión. Cada puerto que mapeas ahí es un agujerito que abres al mundo exterior. Y, si yo puedo llegar (ver pantallazo más abajo), puede llegar cualquiera. Tener un servidor L2TP montado para la VPN te evita tener puertos de servicios locales expuestos a internet. Y no te confíes con abrir puertos distintos de cara a fuera, que todos los que has abierto los tienen más que inventariados los scripts de sondeo, y más temprano que tarde tendrás un susto. Cuando necesites acceder a estos servicios, levantas el cliente VPN allá donde estés, y accedes a estos servicios por su IP o dominio local. Tal y como veo ahora mismo tu NAT, borraría todas las reglas de dst-nat, y dejaría únicamente los masquerades de la WAN y la VLAN3.
Los puertos abiertos son una herencia de la configuración del HGU. En cuanto que tenga estabilizada la configuración en el Mikrotik voy a cerrar todos los que no sean estrictamente imprescindibles.

Saludos, y enhorabuena por al configuración una vez más.
Enhorabuena a vosotros por los tutoriales y a tí en especial por las molestias que te estás tomando con la revisión de mi configuración.

Un saludo.
 
Lo he probado y sigue sin funcionar el audio de retorno. Con y sin SIP ALG en el Mikrotik, da exactamente lo mismo. He revisado la configuración del FritzBox y ya estaba puesto como AP, sin firewall, sin servidor DHCP, y obteniendo su IP, máscara, rutas y DNS como cliente DHCP del Mikrotik (antes lo hacía del HGU).

La única diferencia que veo del Mikrotik con la configuración del HGU es que, si estoy en lo cierto, éste enviaba la VLAN 3 tageada al FritzBox (que ya estaba configurado como AP). ¿Es muy complicado tagear la VLAN 3 en el Mikrotik? Es la única prueba que se me ocurre que falta por hacer. Si es necesario, ¿se puede hacer sólo en un puerto? Tengo puertos de sobra en el Mikrotik, la mayor parte de la red doméstica cuelga de un switch.
No, no es complicado. Pero, si el puerto forma parte de un bridge, la cosa sí se complica.

Para hacer una prueba rápida, saca un puerto del bridge principal, le das una IP /24 del segmento que quieras en /ip addresses y corre el DHCP Setup (botón) que verás en IP -> DHCP Server -> DHCP. Una vez obtengas navegación en ese puerto, ve a interfaces -> vlan y crea la vlan 3 sobre esa intefaz física (puerto que hayas sacado del bridge), a ver qué hace el fritzbox.

Si eso te funciona, luego te digo cómo se hace bien hecho, usando bridge vlan filtering, volviendo a meter el puerto en su bridge, donde le corresponde.

De cualquier forma, lo que te pasa es raro de pelotas. Yo probaría a montar un softphone (teléfono ip por software) y usarlo desde cualquier equipo conectado al mikrotik, a ver si el tema es cosa de este o del fritzbox. Si el fritzbox está en AP, vendría a ser lo mismo que cualquier otro equipo conectado directo al mikrotik.

Te paso un pantallazo de como viene el SIP ALG en mikrotik por defecto, por si se te está colando algo:
1630577633619.png


El túnel EoIP lo configuré de acuerdo con el tutorial "llévate tu red a cuestas", así que si no me equivoco no está subido encima del túnel L2TP (que lo saqué el tutorial "monta tu VPN"). Al final del tutorial de la red a cuestas, dice que si se configura un secreto compartido en ambos lados del túnel EoIP y se deshabilita el fast-path, el túnel queda encriptado. Lo hice así y funcionó con el tunnel-id=0, pero al cambiar el id (a ambos lados del túnel) no se conectaba si no añadía la regla de apertura del GRE. ¿He hecho algo incorrecto?
Acepta en ambos lados el puerto 4500 y el 500 UDP, en el chain de input, y la conectividad por IPSec funcionará sin necesidad de la regla del GRE, tan pronto le metas una password a los túneles. Si ves que te da guerra el tunnel id, bórralos y créalos desde cero en ambos extremos. Y ojo con las direcciones MAC, que se generen solas, no se las pongas tú, que puedes liarla y poner la misma en ambos lados.

No obstante, si ya tienes L2TP funcionando, te recomendaría montar el túnel EoIP sobre esa conexión, y no como una conexión aparte. O dar un pasito más y migrar todo a IKEv2 (échale un vistazo a los manuales que hay al respecto, o dime mejor para qué lo quieres y te aconsejo el tipo de VPN que mejor lo resuelve).

He eliminado las reglas del chain de input del firewall. En cuanto a deshabilitar sstp. ¿te refieres a eliminarlo de los Service Ports dentro del firewall? Si es así, hecho también :)
No, de los service ports no lo toques. Los servidores PPTP / SSTP los habilitas con el enabled=yes en estas instrucciones:
Código:
/interface pptp-server server
set enabled=yes
/interface sstp-server server
set default-profile=default-encryption enabled=yes

Para deshabilitarlo, simplemente ve a PPP -> PPTP/SSTP Server (Botones) -> y le quitas el tick de "enabled"

Los puertos abiertos son una herencia de la configuración del HGU. En cuanto que tenga estabilizada la configuración en el Mikrotik voy a cerrar todos los que no sean estrictamente imprescindibles.
Perfecto. Simplemente, que seas consciente de ello. Con eso me vale.

Saludos!
 
No, no es complicado. Pero, si el puerto forma parte de un bridge, la cosa sí se complica.

Para hacer una prueba rápida, saca un puerto del bridge principal, le das una IP /24 del segmento que quieras en /ip addresses y corre el DHCP Setup (botón) que verás en IP -> DHCP Server -> DHCP. Una vez obtengas navegación en ese puerto, ve a interfaces -> vlan y crea la vlan 3 sobre esa intefaz física (puerto que hayas sacado del bridge), a ver qué hace el fritzbox.

Si eso te funciona, luego te digo cómo se hace bien hecho, usando bridge vlan filtering, volviendo a meter el puerto en su bridge, donde le corresponde.

De cualquier forma, lo que te pasa es raro de pelotas. Yo probaría a montar un softphone (teléfono ip por software) y usarlo desde cualquier equipo conectado al mikrotik, a ver si el tema es cosa de este o del fritzbox. Si el fritzbox está en AP, vendría a ser lo mismo que cualquier otro equipo conectado directo al mikrotik.
En 5 minutos que he tenido he configurado un softphone en un Android conectado a la WiFi y ha funcionado como la seda, tanto con el SIP ALG del Mikrotik activado como desactivado. Va a tocar sacar un rato para hacer lo del puerto :(

Te paso un pantallazo de como viene el SIP ALG en mikrotik por defecto, por si se te está colando algo:
Lo tengo exactamente así (cuando lo activo). Normalmente lo tengo deshabilitado.

Acepta en ambos lados el puerto 4500 y el 500 UDP, en el chain de input, y la conectividad por IPSec funcionará sin necesidad de la regla del GRE, tan pronto le metas una password a los túneles. Si ves que te da guerra el tunnel id, bórralos y créalos desde cero en ambos extremos. Y ojo con las direcciones MAC, que se generen solas, no se las pongas tú, que puedes liarla y poner la misma en ambos lados.
Los túneles tienen un secreto IPSec compartido, que era el último paso de la guía de la "casa a cuestas". ¿Hay que hacer algo más? Si es necesario los recreo tal cual están (sin poner las MACs). Como verás, de la parte de túneles es de lo que más perdido estoy.

No obstante, si ya tienes L2TP funcionando, te recomendaría montar el túnel EoIP sobre esa conexión, y no como una conexión aparte. O dar un pasito más y migrar todo a IKEv2 (échale un vistazo a los manuales que hay al respecto, o dime mejor para qué lo quieres y te aconsejo el tipo de VPN que mejor lo resuelve).
Pues básicamente acceso externo esporádico pero lo más multidispositivo que se pueda, que a veces tengo que hacerlo desde equipos prestados. Para acceso continuado la idea era usar el túnel EoIP. Pero vamos, que soy todo oídos ;)

No, de los service ports no lo toques. Los servidores PPTP / SSTP los habilitas con el enabled=yes en estas instrucciones:
Código:
/interface pptp-server server
set enabled=yes
/interface sstp-server server
set default-profile=default-encryption enabled=yes

Para deshabilitarlo, simplemente ve a PPP -> PPTP/SSTP Server (Botones) -> y le quitas el tick de "enabled"
Hecho :)

A ver si saco un rato y hago la prueba del puerto con la VLAN 3 tageada. Si eso no funciona, pinta mal...

Gracias, pokoyo :)


Un saludo.
 
Yo dejaría el sip ALG encendido, y como viene por defecto en el router. Mira a ver si el fritzbox tuviera alguna actualización de software pendiente que te corrija algún error, sino poco más se me ocurre. Me da que lo de la vlan3 taggeada no te va a funcionar, porque el HGU juraría que la entrega sin tag en sus puertos lan, tal que puedas usar el softphone conectado a él, tal y como estás haciendo ahora mismo con el mikrotik. No obstante, prueba y me dices.

Para el tema de la vpn, el EoIP úsalo únicamente cuando necesites un servicio de capa 2 en la red remota. Es decir, cuando necesites estar, efectivamente, como si estuvieras conectado al switch de tu casa o al propio mikrotik físicamente. Si quieres un acceso por IP y desde origines distintos, diría que l2tp/ipsec es lo más adecuado. Es decir, lo que ya tienes montado.

Un ejemplo práctico muy bueno: un NAS llevo de pelis y con DLNA. Ese protocolo no funciona por IP, sino en capa 2, usando tu dominio de broadcast. O usas un EoIP, o no vas a ser capaz de mover eso en remoto nunca. Pero, si el acceso es a la IP de un chisme de ti casa, no necesitas EoIP. A todo a lo que llegues por IP, vas a poder llegar con el túnel l2tp.

Saludos!
 
Yo dejaría el sip ALG encendido, y como viene por defecto en el router. Mira a ver si el fritzbox tuviera alguna actualización de software pendiente que te corrija algún error, sino poco más se me ocurre. Me da que lo de la vlan3 taggeada no te va a funcionar, porque el HGU juraría que la entrega sin tag en sus puertos lan, tal que puedas usar el softphone conectado a él, tal y como estás haciendo ahora mismo con el mikrotik. No obstante, prueba y me dices.
He estado haciendo bastantes pruebas y el resultado es el siguiente (las he hecho tanto con el SIP ALG activado en el Mikrotik como desactivado; los resultados han sido los mismos):
- Un softphone configurado en Android registrando directamente en O2 funciona perfectamente
- El mismo softphone registrándose en el FritzBox da la habitual pérdida del canal de audio de retorno, pero no pasa con todos los números, sólo con algunos (desgraciadamente, la mayoría). Hay fallos con fijos, móviles de diferentes compañías.
- El teléfono DECT (registrado en el FritzBox) da exactamente los mismo fallos que el softphone anterior, lo cual es normal, son sólo dos terminales de la misma centralita SIP.
- El procedimiento de la VLAN 3 tageada, efectivamente, no funciona, de hecho no llega ni a registrar (no sé si habrá que ponerle también la VLAN6 sin tagear en la prueba).

Por lo que pudiera pasar, he quitado el Mikrotik y la ONT y he vuelto a poner el HGU sin tocar la configuración del FritzBox (en modo AP con al telefonía SIP configurada) y... el canal de audio funciona perfectamente con los números que daban fallos :( He mirado la configuración del HGU y lo único reseñable es que el SIP ALG está desactivado; el resto está igual :(

Para el tema de la vpn, el EoIP úsalo únicamente cuando necesites un servicio de capa 2 en la red remota. Es decir, cuando necesites estar, efectivamente, como si estuvieras conectado al switch de tu casa o al propio mikrotik físicamente. Si quieres un acceso por IP y desde origines distintos, diría que l2tp/ipsec es lo más adecuado. Es decir, lo que ya tienes montado.

Un ejemplo práctico muy bueno: un NAS llevo de pelis y con DLNA. Ese protocolo no funciona por IP, sino en capa 2, usando tu dominio de broadcast. O usas un EoIP, o no vas a ser capaz de mover eso en remoto nunca. Pero, si el acceso es a la IP de un chisme de ti casa, no necesitas EoIP. A todo a lo que llegues por IP, vas a poder llegar con el túnel l2tp.
Esa es la idea, el otro extremo del túnel EoIP está configurado en un mAP Lite que uso cuando me voy de viaje. Para accesos puntuales uso el túnel l2tp/ipsec.

El túnel EoIP tiene configurado un secreto IPSec. ¿Basta con eso para que se levante encriptado o hay que hacer algo más? Y como lo configuré siguiendo el manual de "tu casa a cuestas" entiendo que es independiente del túnel l2tp, pero si se puede montar encima, mejor que mejor :)

Un saludo.
 
Pues, sientiéndolo mucho, no tengo la menor idea de cuál puede ser el problema del Fritzbox y del Sip ALG. Mira a ver si hay alguna actualización pendiente, o si te encuentras a alguien más con un problema similar.

Con respecto al EoIP, te diría que lo uses únicamente cuando necesites estar físicamente dentro de la red en capa2. Es un túnel que no da un buen performance en velocidad, dado que tiene que lidiar simulando una conexión L2. Es decir, para todo lo que necesites acceder de casa, usa L2TP. Es suficiente con poner el mismo secreto de IPSec a los dos lados del túnel, no tiene más.

No obstante, ya que lo tienes montado así, te recomendaría ir a por el manual de furny donde explica cómo montar un EoIP encima de un enlace IKEv2. Es decir, unir ambos routers usando certificados y olvidarte de "llamar" para conectar, y luego correr el EoIP encima de las IP's locales, ya sin IPSec (todo el canal ya iría cifrado).

Saludos!
 
Pokoyo, una pregunta rápida. Me decías hace unos posts que:
  • A menos que el túnel EoIP lo corras sobre el L2TP (usando IP's locales del pool de la VPN, para que el túnel levante una vez establecida esa conexión), usa IPSec en el túnel. Ahora mismo ese túnel está saliendo a internet con el tráfico de tu red sin cifrar, no es buena idea. Además, si usas IPSec, al usar los mismos puertos 4500 y 500 que ya tienes abierto para L2TP, te ahorras la regla de firewall que acepta el tráfico del GRE del protocolo 47, puesto que el tráfico ya viene encriptado y por los otros puertos.
Ahora mismo el túnel EoIP se intenta levantar por su cuenta de forma encriptada (entiendo que esto es porque no tiene local-address y sí tiene secreto IPsec definido), con lo que tengo errores en el log cada dos por tres. Dado que es un túnel de poco uso, supongo que sería mejor intentar levantarlo sólo si está activo un túnel L2TP, para lo cual entiendo que debería, en el router local:

- Poner como local-address el rango de direcciones de la VPN que tengo asignadas a los túneles L2TP (192.168.17.0/24)
- Quitar el secreto IPsec, que ya no hace falta, porque el túnel se levanta sobre otro ya encriptado

Y en el router road-warrior, además de estas dos cosas:

- Levantar el túnel L2TP

¿Estoy en lo cierto? ¿Se podría acotar más la local-address para que sólo respondiera a un túnel L2TP concreto?


Un saludo.
 
Como local address pondrías la dirección que sea que obtengas por L2TP (que puede ser del pool, o si te creas un perfil propio para ese router, una concreta, siempre la misma). Como remote address, pondrías la primera dirección del pool de VPN, la cual deberías tener en el router principal sobre un bridge sin puertos, para que esté siempre disponible.

De esa manera, y quitando los secretos de IP Sec, ambas direcciones quedarían como locales, y el túnel solo levantaría una vez detecte que esas dos direcciones están vivas... Es decir, cuando tengas el L2TP corriendo. De esa manera, te ahorras engorrinar los logs. Además, al quitar el secreto de ipsec, puedes volver a hablilitar el fast-path.

Saludos!
 
Arriba