Problema con passthrough LTE

Hola a todos,

Aprovechando un regalo reciente de un wAP ac LTE6, he usado las instrucciones de este tema para montar la conexión LTE como failover de salida a internet de mi router principal (un Hex S con la configuración de O2 sacada del tema de configuraciones de ISPs).

El resultado ha sido un éxito, incluyendo poder administrar el wAP como parte de la LAN usando el consejo de @pokoyo de hacer el passthrough LTE sobre una VLAN definida a tal efecto (vlan-lte) y dejar el wAP como parte de la LAN definida en el Hex S.

El montaje funciona estupendamente conectando el wAP al puerto ether5 del Hex S (con lo cual además se alimenta por PoE), pero la ubicación del Hex S es muy mala para la cobertura LTE (interior del edificio) y sólo saco unos magros 6 Mbps, así que he buscado un punto mucho mejor de cobertura LTE... al cual sólo se puede llegar por un cable que viene de un switch conectado por otro cable al puerto ether1 del Hex S (donde está configurado el bridge de la LAN, en el cual están incluidos los puertos ether1 a ether5). Y aquí viene el problema: al intentar realizar el passthrough LTE sobre la MAC de la interfaz ether1 o sobre la MAC del bridge, conectando por el switch, el Hex S no levanta la interfaz LTE.

He realizado una prueba desconectando el switch de la red e intercalándolo entre el wAP y el puerto ether5, y funciona igual de bien que cuando uso un cable directo (lo cual me parece lógico porque el switch, aunque es gestionable, está con la configuración de fábrica). También he probado a añadir o quitar el puerto ether5 del bridge, y en ambos casos funciona también correctamente, por lo que entiendo que algo se me escapa en la configuración del Hex S cuando le aparece la VLAN en el bridge. He probado a activar el filtrado de VLAN en el bridge y no ha servido de nada. Tampoco ha servido añadir la interfaz ether1 a la lista WAN. La interfaz vlan-lte, que está en la lista WAN, la he colgado tanto de ether1 como del propio bridge y nada. Sé que algo se me escapa pero no doy con la tecla.

¿Alguien tiene idea de qué es lo que estoy haciendo mal?

Gracias anticipadas :)
 
Pues, de entrada, ¿me lo podrías pintar? Porque me da que estás montando un popurrí que te cagas con los puertos. Si el hEX-S es tu router de salida a internet, sólo puede tener cuatro puertos en el bridge, porque uno será el que conecte a tu router de operador u ont. Y, si montas una segunda salida a internet, el bridge tiene un puerto menos, con un máximo de tres puertos. Es decir, los puertos WAN no van nunca en el bridge.

Si necesitas que venga de un switch, hay que montarlo de otra forma, taggeando el tráfico en un puerto trunk.

Saludos!
 
Pues, de entrada, ¿me lo podrías pintar?
Así me funciona (incluso con eth5 metida en el bridge y colgando la VLAN del propio bridge):
red1(1).png

Y así es como no funciona:
red2(1).png

En ambos casos los interfaces eth1 a eth5 las tengo en el bridge. La interfaz sfp1, que es la conectada a la ONT, no.


Saludos.
 
Así me funciona (incluso con eth5 metida en el bridge y colgando la VLAN del propio bridge):
Ver el adjunto 89721
Y así es como no funciona:
Ver el adjunto 89724
En ambos casos los interfaces eth1 a eth5 las tengo en el bridge. La interfaz sfp1, que es la conectada a la ONT, no.


Saludos.
Esos setup, ambos, hacen aguas. Que el primero te funcione, no significa que esté bien hecho. Si puedes, tira un cable que una el wAP con el hEX-S en un puerto concreto. No lo metas al bridge. Bridge = puertos que necesitan comunicarse por estar en el mismo dominio de broadcast = LAN. Los puertos WAN van siempre separados.

Si eso no es posible, necesitarías taggear todo el tráfico del switch para separar lógicamente el tráfico WAN del LAN, convirtiendo tu setup en un "router on stick". Y, sinceramente, para un failover, yo no me complicaba la vida tanto: o tiras cable si es posible, o pongo el wAP al lado del mikrotik y me apaño con los 6Mbps como failover.

Saludos!
 
Esos setup, ambos, hacen aguas. Que el primero te funcione, no significa que esté bien hecho. Si puedes, tira un cable que una el wAP con el hEX-S en un puerto concreto. No lo metas al bridge. Bridge = puertos que necesitan comunicarse por estar en el mismo dominio de broadcast = LAN. Los puertos WAN van siempre separados.
Ya me figuraba que algo estaba haciendo mal. He sacado la interfaz ether5 del bridge y le he puesto la vlan-lte. Con esto me he visto obligado a crear una nueva subred local para poder administrar el wAP; en esa subred sólo están el ether5 del HexS y el ether1 del wAP.

Lo que he observado es que, si añado ether5 en el HexS como perteneciente a la lista WAN, el wAP pierde el acceso a la red local y por supuesto a internet. Si añado ether5 a la lista LAN sí que tiene acceso. La interfaz vlan-lte está siempre en la lista WAN. ¿Es correcto dejar ether5 en la lista LAN o de nuevo estoy cometiendo un error?

Si eso no es posible, necesitarías taggear todo el tráfico del switch para separar lógicamente el tráfico WAN del LAN, convirtiendo tu setup en un "router on stick". Y, sinceramente, para un failover, yo no me complicaba la vida tanto: o tiras cable si es posible, o pongo el wAP al lado del mikrotik y me apaño con los 6Mbps como failover.
Uffff... esto significa que tendria que taggear VLANes en el switch, ¿no? Escalofríos me dan...

Mil gracias por la respuesta, pokoyo :)

Saludos.
 
Lo que he observado es que, si añado ether5 en el HexS como perteneciente a la lista WAN, el wAP pierde el acceso a la red local y por supuesto a internet. Si añado ether5 a la lista LAN sí que tiene acceso. La interfaz vlan-lte está siempre en la lista WAN. ¿Es correcto dejar ether5 en la lista LAN o de nuevo estoy cometiendo un error?
Es un error. Lo puedes hacer como ñapa, pero hay una manera mucho más elegante de hacerlo, con una regla de src-nat. En tu setup, la WAN tendrías dos interfaces, las dos VLANs que te ofrecen el servicio a internet, en lugar de los puertos físicos: la que va sobre ether5 para el wAP, y la que va sobre SFP1 para la ONT.

LAN=bridge. Y, el bridge, únicamente con los puertos 1-4, si usas el SFP y el ether5 como WANes.

Una vez le hayas dado a la interfaz ether5 una IP del rango administrativo que declaraste en el wAP para seguir teniendo acceso a él, lo único que te queda es decirle al router que, cada vez que salgas por ether5, necesitas cambiar IP local por IP administrativa que le diste a tu equipo, del segmento que declaró el wAP. Es decir, necesitas una regla de src-nat tal y como esta (supongo los mismos rangos de IP que en el manual de datos móviles, donde tu LAN es la .88 y la de administración del wAP es la .77, siendo la 192.168.77.2 la IP que tienes en IP -> Address sobre ether5)
Código:
/ip firewall nat
add action=src-nat chain=srcnat out-interface=ether5 src-address=\
    192.168.88.0/24 to-addresses=192.168.77.2 comment=access-wAP

Uffff... esto significa que tendria que taggear VLANes en el switch, ¿no? Escalofríos me dan...
Correcto. Y vas a tener viajando por un mismo cable LAN y WAN, y el router "en el palo", como dicen los ingleses. Es un setup mucho más complejo y poco recomendable. Por eso te digo, que si tienes opción de pasar un cable hasta donde quieras poner el wAP, mucho mejor.

Saludos!
 
Es un error. Lo puedes hacer como ñapa, pero hay una manera mucho más elegante de hacerlo, con una regla de src-nat. En tu setup, la WAN tendrías dos interfaces, las dos VLANs que te ofrecen el servicio a internet, en lugar de los puertos físicos: la que va sobre ether5 para el wAP, y la que va sobre SFP1 para la ONT.

LAN=bridge. Y, el bridge, únicamente con los puertos 1-4, si usas el SFP y el ether5 como WANes.

Una vez le hayas dado a la interfaz ether5 una IP del rango administrativo que declaraste en el wAP para seguir teniendo acceso a él, lo único que te queda es decirle al router que, cada vez que salgas por ether5, necesitas cambiar IP local por IP administrativa que le diste a tu equipo, del segmento que declaró el wAP. Es decir, necesitas una regla de src-nat tal y como esta (supongo los mismos rangos de IP que en el manual de datos móviles, donde tu LAN es la .88 y la de administración del wAP es la .77, siendo la 192.168.77.2 la IP que tienes en IP -> Address sobre ether5)
Código:
/ip firewall nat
add action=src-nat chain=srcnat out-interface=ether5 src-address=\
    192.168.88.0/24 to-addresses=192.168.77.2 comment=access-wAP
He puesto el setup tal y como me dices, con ether1 a ether4 en el bridge y con sfp1 y ether5 (y las correspondientes vlan) en la lista WAN, y con la regla del src-nat, pero con ello, desde la LAN, llego sin problemas al wAP (ya llegaba sín la regla de src-nat), pero desde éste no llego a internet :( ¿Habría que hacer algo también en el wAP?

Correcto. Y vas a tener viajando por un mismo cable LAN y WAN, y el router "en el palo", como dicen los ingleses. Es un setup mucho más complejo y poco recomendable. Por eso te digo, que si tienes opción de pasar un cable hasta donde quieras poner el wAP, mucho mejor
Lo cierto es que es imposible llegar allí sin pasar por el switch (tubos corrugados pequeños y demás). Intentaré buscar otra ubicación algo mejor accesible por cable, a ver si mejora la cobertura.

Gracias mil @pokoyo :)
 
He puesto el setup tal y como me dices, con ether1 a ether4 en el bridge y con sfp1 y ether5 (y las correspondientes vlan) en la lista WAN, y con la regla del src-nat, pero con ello, desde la LAN, llego sin problemas al wAP (ya llegaba sín la regla de src-nat), pero desde éste no llego a internet :( ¿Habría que hacer algo también en el wAP?
Has levantado el cliente DHCP sobre la vlan que te entrega el servicio de internet? Te llega IP pública al router desde el wAP? si las dos respuestas son correctas, asegúrate de que dicha vlan forma parte de la lista WAN en el propio router. Si no te funciona, revisa que la regla de masquerade general del router se esté ejecutando sobre la lista WAN, y sea algo así:
Código:
/ip firewall nat
add action=masquerade chain=srcnat comment=masq-wan ipsec-policy=out,none \
    out-interface-list=WAN

Lo cierto es que es imposible llegar allí sin pasar por el switch (tubos corrugados pequeños y demás). Intentaré buscar otra ubicación algo mejor accesible por cable, a ver si mejora la cobertura.
mejor.

Saludos!
 
Has levantado el cliente DHCP sobre la vlan que te entrega el servicio de internet? Te llega IP pública al router desde el wAP? si las dos respuestas son correctas, asegúrate de que dicha vlan forma parte de la lista WAN en el propio router. Si no te funciona, revisa que la regla de masquerade general del router se esté ejecutando sobre la lista WAN, y sea algo así:
Código:
/ip firewall nat
add action=masquerade chain=srcnat comment=masq-wan ipsec-policy=out,none \
    out-interface-list=WAN
Efectivamente, el cliente DHCP corre sobre la vlan-lte, coge IP "pública" (realmente una 10.104.x.y/28; al ser LTE está detrás de un CG-NAT), la vlan-lte está en la lista WAN (al igual que ether5), y el masquerade está tal cual tú lo has escrito, como primera regla del NAT.

La prueba que hago en el wAP es ping 8.8.8.8 y me sale timeout. He tenido que añadir en el wAP una ruta estática 0.0.0.0/0 a la IP del HexS (la 192.168.77.2). Sin la ruta, evidentemente, me dice que no sabe cómo salir.

Gracias :)

Saludos.,
 
Efectivamente, el cliente DHCP corre sobre la vlan-lte, coge IP "pública" (realmente una 10.104.x.y/28; al ser LTE está detrás de un CG-NAT), la vlan-lte está en la lista WAN (al igual que ether5), y el masquerade está tal cual tú lo has escrito, como primera regla del NAT.

La prueba que hago en el wAP es ping 8.8.8.8 y me sale timeout. He tenido que añadir en el wAP una ruta estática 0.0.0.0/0 a la IP del HexS (la 192.168.77.2). Sin la ruta, evidentemente, me dice que no sabe cómo salir.

Gracias :)

Saludos.,
Si le has tenido que meter la ruta estática es porque no tienes marcado el "Add default route" en el cliente DHCP.

Una vez creada la regla de src-nat, puedes eliminar ether5 de la lista WAN, ya que carece de sentido.

Saludos!
 
Si le has tenido que meter la ruta estática es porque no tienes marcado el "Add default route" en el cliente DHCP.
No, la ruta la he tenido que poner en el wAP, ya que la subred interna creada no tiene DHCP (es la que en el post aparece como 192.168.77.0 y sólo tiene la dirección .1 en la ether1 del wAP y la .2 en la ether5 del HexS). El DHCP está creado sobre la vlan-lte, con ruta por defecto de distancia 2 (para el failover) y funciona estupendamente :)

Una vez creada la regla de src-nat, puedes eliminar ether5 de la lista WAN, ya que carece de sentido.
Efectivamente, al sacar ether5 de la lista WAN (sin añadirla a la lista LAN) ya funciona. La interfaz que sí queda en la lista WAN es la vlan-lte.

Mil gracias, @pokoyo, por todas las molestias que te tomas para ayudarnos :)


Saludos.
 
Vale, si quieres que le eche un vistazo final a ambas configuraciones, dime. Sigue sin encajarme lo que me cuentas del DHCP del wAP. Pero, por lo demás, creo que está todo en orden.

Saludos!
 
Vale, si quieres que le eche un vistazo final a ambas configuraciones, dime. Sigue sin encajarme lo que me cuentas del DHCP del wAP. Pero, por lo demás, creo que está todo en orden.

Saludos!
Muchas gracias, @pokoyo :) Tengo pendiente pasar el HexS a la versión 7.1; en cuanto que lo haga aprovecharé para limpiar un poco la configuración y te paso la de ambos chismes para que la revises.

Saludos.
 
Muchas gracias, @pokoyo :) Tengo pendiente pasar el HexS a la versión 7.1; en cuanto que lo haga aprovecharé para limpiar un poco la configuración y te paso la de ambos chismes para que la revises.

Saludos.
Ya vas tarde, tienes la 7.1.1 en la rama estable.

Saludos!
 
Arriba