Site to Site Movistar Orange

Hola Amigos.

Después de mucho leer y ver guías realmente excelentes en este foro, me encuentro todavía muy confundido, soy informático pero por esas responsabilidades de trabajo no he tenido la oportunidad de trabajar en redes solo con virtualización e email servers, he intentado realizar un site to site entre mis 2 oficinas de Madrid y Málaga una con Movistar y un rb750gr3 y otra con Orange livebox y un rb750gr3. Necesito que Málaga vea un servidor que se encuentra en Madrid. Ambos Mikrotik están detrás de sus respectivos routers de operadora.

Madrid tiene LAN: 192.168.1.X / IPtunel 10.1.1.1/30 / GW:192.168.1.1 (Movistar)
Malaga LAN: 192.168.20.X / IPtunel 10.1.1.2/30 /GW:192.168.20.1 (Orange)
TunelD=0
He abierto los puertos IPSEC en ambos extremos

Mis dudas son y me disculpan la ignorancia: Configuración inicial del mikrotik?
Debo poner 2 cables uno para lan y otro para wan a ambos routers desde el mikrotik?
Que IP's debo usar para Wan y Lan?

Usar EOIP es la mejor opción?
A nivel de seguridad y velocidad que tipo de encriptación debo usar?
Y por otro lado que cada oficina salga por su propio router a internet.

Gracias y disculpen mi ignorancia en el tema.

Saludos.
 
No vayas por EoIP, que es lo peorcito que puedes montar a nivel de peformance para un site to site. Usa IKEv2, siguiendo este manual: https://www.adslzone.net/foro/mikrotik.199/manual-mikrotik-ikev2-vpn-fondo.570958/

En el sitio donde tengas la conexión de Movistar, pon el HGU en modo monopuesto, si es posible, y que el mikrotik de allí lleve la voz cantante y el manejo de la IP pública: este lado será tu lado HQ. En el lado opuesto, si es posible, también deberías tener el mikrotik controlando la IP pública, pero si no es posible porque tengas un router todo en uno y no puedas ponerlo en modo puente, puedes abrir puertos para el 4500 y 500 y que la conexión se origine desde ahí, que funciona sin problema (lo tengo hecho así para unir mi casa y la de mis padres, donde no puedo sustituir el router de operadora por razones que no vienen al caso)

Si necesita un cable con el setup dime, que te ayudo a montarlo sin problema.

Saludos!
 
Gracias Pokoyo por tu pronta respuesta, lamentablemente no puedo poner los HGU en modo bridge. así que el setup seria de esta forma. ya los puertos 500 y 4500 ya han sido abiertos en ambos extremos.

Voy a estudiar el manual que me has indicado en el mensaje anterior y te voy avisando. Gracias por la ayuda.
 
¿Qué te lo impide, en el lado HGU? Por curiosidad. ¿vas a querer conectar entre sí equipos que cuelgan del mikrotik, o también los que cuelgan de los routers de operador superiores?

Saludos!
 
Hola, la oficina de Madrid ya esta en producción y no me gustaría realizar tantos cambios, sin embargo la instalación de Málaga es nueva y todavía no esta en producción, lo importante en ambos sites es conservar además las líneas fijas y que cada oficina salga por internet independientemente.
 
El cambio en Madrid es mínimo, y en monopuesto conservas el teléfono en el HGU. Lo digo porque es muy recomendable que, al menos un extremo, maneje el propio mikrotik la IP pública directamente. Si el NAT ya es una aberración de cara a IPSec, el doble NAT es lo mismo… por dos.

Si lo ves más sencillo de implementar en Málaga, lo mismo me da. Pero no sé si allí vas a poder poner el router en bridge y conservar el teléfono, tendrías que verlo con Orange.

Saludos!
 
Ni con Orange ni con ninguna otra operadora. En modo bridge, el router se convierte en un simple modem u ONT (en el caso de la fibra). En cambio, el modo "monopuesto" de los HGU sí te permite conservar la línea de voz. :)
Alguna trampa siempre se puede hacer. Pero es preferible montarlo en el HGU, desde luego. La triple vlan de Movistar tiene esa ventaja, que cada servicio es independiente y va por su VLAN correspondiente, de manera individual.

Saludos!
 
Hola Amigos, disculpad pero he estado de vacaciones con la familia y he estado un poco desconectado del tema informático, pero esta semana ya toca retomar las actividades.

Para resumir configuro primeramente los Mikrotik usando el quick set, y luego uso la guía que me paso Pocoyo? https://www.adslzone.net/foro/mikrotik.199/manual-mikrotik-ikev2-vpn-fondo.570958/

La configuración seria sin tocar los routers de las operadoras, excepto para abrir los puertos 500 y 4500?
Disculpad pero estoy hecho un lio.

Saludos
 
Sí, la configuración sería idéntica, solo cambiaría que tendrías que abrir los puertos 4500 y 500 y mandarlos a la IP, preferiblemente estática o reservada en DHCP que coja el mikrotik como cliente de ese primer router.

Saludos!
 
Hola Amigos, ya he logrado realizar el tunel, sin embargo no hay trafico. Saludos
 

Adjuntos

  • Captura.JPG
    Captura.JPG
    49.9 KB · Visitas: 23
OK, pásame un export de ambos equipos. Sospecho que te faltarán las policies para enrutar el tráfico entre ambas LAN.

Saludos!
 
Export Madrid

# sep/13/2021 17:17:29 by RouterOS 6.48.4
# software id = VVFD-1IGN
# model = RB750Gr3
# serial number = CC210xxxxx
/interface bridge
add admin-mac=2C:C8:1B:06:30:17 auto-mac=no comment=defconf name=bridgeLocal
/interface l2tp-server
add name=L2TPMADMAL user=""
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec profile
add dh-group=modp1024 name=MADMAL
/ip ipsec peer
add address=cc210e4d73e8.sn.mynetname.net exchange-mode=ike2 name=MAL profile=MADMAL
/ip ipsec proposal
add enc-algorithms=3des name=ipsec
add enc-algorithms=aes-128-cbc name=MADMAL
/ip pool
add name=vpn ranges=192.168.89.2-192.168.89.255
/ppp profile
set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn
/interface bridge port
add bridge=bridgeLocal comment=defconf disabled=yes interface=ether1
add bridge=bridgeLocal comment=defconf interface=ether2
add bridge=bridgeLocal comment=defconf interface=ether3
add bridge=bridgeLocal comment=defconf interface=ether4
add bridge=bridgeLocal comment=defconf interface=ether5
/interface l2tp-server server
set enabled=yes ipsec-secret=xxxxxxx use-ipsec=yes
/interface list member
add interface=ether1 list=WAN
add interface=bridgeLocal list=LAN
/interface pptp-server server
set enabled=yes
/interface sstp-server server
set authentication=mschap2 default-profile=default-encryption enabled=yes force-aes=yes
/ip address
add address=192.168.1.15/24 interface=bridgeLocal network=192.168.1.0
add address=10.10.0.1/30 interface=bridgeLocal network=10.10.0.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf disabled=no interface=bridgeLocal
add disabled=no interface=ether1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip firewall nat
add action=accept chain=srcnat dst-address=192.168.20.0/24 src-address=192.168.1.0/24 src-address-list=""
/ip ipsec identity
add peer=MAL secret=xxxxxxx
/ip ipsec policy
add dst-address=192.168.20.0/24 peer=MAL proposal=MADMAL src-address=192.168.1.0/24 tunnel=yes
/ip upnp
set enabled=yes
/ppp secret
add name=vpn password=xxxxxx
add disabled=yes name=Prueba password=xxxxxx profile=default-encryption service=sstp
add name=MADMAL password=xxxxxxx. profile=default-encryption
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=MTKMAD
/system ntp client
set enabled=yes server-dns-names=0.es.pool.ntp.org,1.europe.pool.ntp.org
 
Export Malaga

# sep/13/2021 17:20:46 by RouterOS 6.48.4
# software id = ETIV-LKTE
# model = RB750Gr3
# serial number = CC210E4xxxx
/interface bridge
add name=bridge1
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec profile
add dh-group=modp1024 name=MALMAD
/ip ipsec peer
add address=cc210e5552ac.sn.mynetname.net exchange-mode=ike2 name=MAD profile=\
MALMAD
/ip ipsec proposal
add enc-algorithms=aes-128-cbc name=MALMAD pfs-group=none
/ip pool
add name=vpn ranges=192.168.89.2-192.168.89.255
/ppp profile
add name=MADMALPPT use-upnp=yes
set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface l2tp-server server
set enabled=yes ipsec-secret=xxxxxx use-ipsec=yes
/interface list member
add interface=ether1 list=WAN
add list=LAN
/interface pptp-server server
set enabled=yes
/interface sstp-server server
set default-profile=default-encryption enabled=yes
/ip address
add address=192.168.20.15/24 interface=ether2 network=192.168.20.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add disabled=no interface=ether1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,192.168.20.1
/ip firewall nat
add action=accept chain=srcnat dst-address=192.168.1.0/24 src-address=\
192.168.20.0/24
/ip ipsec identity
add peer=MAD secret=xxxxxxx
/ip ipsec policy
add dst-address=192.168.1.0/24 peer=MAD proposal=MALMAD src-address=\
192.168.20.0/24 tunnel=yes
/ppp secret
add name=vpn password=xxxxxxx
add name=MADMAL password=xxxxxxx profile=MADMALPPT
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=mtkmal
/system ntp client
set enabled=yes server-dns-names=0.es.pool.ntp.org,1.europe.pool.ntp.org
 
EL tráfico entre ambas sedes se enruta por políticas, no por NAT. Borra la regla de masquerade y crea, en ambos routers, la siguiente regla
Código:
/ip firewall nat
add action=masquerade chain=srcnat comment=masq-wan ipsec-policy=out,none \
    out-interface-list=WAN
Ese ipsec-policy=out,none es el que hace la magia.

Además de eso, y aunque esos equipos estén detrás de routers de operadora, te recomendaría enfáticamente que trabajasen con la configuración por defecto, que al menos lleva un firewall decente. Ahora mismo, lo que entre por los puertos de la VPN, va hasta la cocina.

Saludos!
 
Mikrotik Madrid

/ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; masq-wan
chain=srcnat action=masquerade connection-type="" out-interface-list=WAN
log=yes log-prefix="" ipsec-policy=out,none


1631550216022.png
 
Más que ver actividad en el NAT, mira a ver si eres capaz de hacer ping desde una máquina de un extremo a una del otro.

Saludos!
 
Cambia el tipo de policy a tipo túnel en Madrid también. O a tipo template, y que cree el túnel el otro extremo cuando golpee en esa template.

Saludos!
 
Arriba