VPN tras HGU

spm000 dijo:
Bueno…

Ya está funcionando.
Al final lo configuré desde un reset añadiendo la configuración que pusiste recientemente con la tripleplay con HGU monopuesto.
Como habíamos probado, esa va fina y permite conectar deco en cualquier toma del mk o del switch.
Añadí las instrucciones para la wifi y monté la RW desde 0.

Muchas gracias.

La idea es que este equipo sea un Paco.

¿Me ayudas a configurar eso sobre la configuración actual?
Haz clic para expandir...
Claro, lo que te queda es bien sencillo:

- Configurar wireguard: interfaz, direccionamiento y peer, tal y como se detallan en el manual original para Paco
- Crear el EoIP, y meterlo dentro de tu bridge principal. Las IP's, como en el manual, la local la que le des a wireguard de ese router, la remota la del wireguard del otro extremo.
- Crear una regla de firewall en input para aceptar el puerto donde trabaja el wireguard local (Idéntica a la que se crea en Pepe)
- Crear una regla de firewall que acepte el tráfico GRE que viene por la interfaz wireguard (Idéntica a la que se crea en Pepe)

Ambas dos reglas de firewall, delante de la regla de drop por defecto del chain de input, la que dice "defconf: drop all not coming from LAN"

Guarda backup por si acaso antes de liarte, y a ver si te sale a ti solo a la primera.

Saludos!
 
Una cosina.

para Pepe voy a preparar un mAP para poner colgando de un router Vodafone.
¿Como lo configuro para que en casa de Pepe siga todo igual (ese router gestionando todo) y tocar lo menos posible (o nada si fuese posible)?
 
Pues igual que en el manual, solo que tendrías que abrirle en el router de vodafone el puerto correspondiente a wireguard.

Y, dado que tu "paco" sí que controla el router y el servicio, yo crearía ambos peers bidireccionales. Es decir, que tanto pepe llame a paco como paco a pepe.

Saludos!
 
Saludos

Por fin he tenido tiempo de meterme a configurar esta versión de Paco-Pepe, donde Paco es un hap ax2 con triple play con HGU monopuesto y "pretendo" que Pepe sea un map 2nd.

Estoy intentando configurar Pepe y me encuentro con un problema que, en primer lugar quisiera entender por qué se produce (se trata de ir aprendiendo algo de todo lo que nos ofrecéis los avanzados - @pocoyo) y, luego, solucionarlo.

Realizo los pasos del manual y en el último punto que indico, pierdo la conexión con el mismo.


Código: 
# La public key la cogemos de la interfaz de dicho router
# remoto, el router gorrón
/interface/wireguard/peers
add allowed-address=172.17.0.2/32 \
  comment=gorron-iptv interface=wg-sts-iptv \
  public-key="PUBLIC_KEY_PACO"

########### DIRECCIONAMIENTO ##########
# Creamos la dirección /30 de este lado del túnel
/ip/address
add address=172.17.0.1/30 interface=wg-sts-iptv

######### EoIP SOBRE LAS /30 ##########
# Creamos un nuevo túnel EoIP
/interface/eoip
add local-address=172.17.0.1 name=eoip-iptv \
  remote-address=172.17.0.2 tunnel-id=0 mtu=1500

########### NUEVO BRIDGE IPTV ##########
# Creamos el nuevo bridge con igmp-snooping
/interface/bridge
add igmp-snooping=yes name=bridge-iptv
# Metemos los puertos involucrados, desco = ether2
/interface/bridge/port
set [find interface=ether2] bridge=bridge-iptv

Como sabéis, el map 2nd tiene puertos eth1 y eth2.

Para la configuración, me conecto por cable al eth2 y después del reset inicial, conecto eth1 al router que proporciona internet (de momento un huawei 4g con una tarjeta).

Mi teoría es que al introducir el comando

Código: 
set [find interface=ether2] bridge=bridge-iptv

Dejo de tener conectividad con el map por el puerto ether2.
¿Es así?

¿La solución sería acceder por la wifi para acceder con winbox al map para continuar la configuración?

Muchas gracias
 
Última edición:
Ese script ponlo en un .rsc con sus valores correctos, lo subes al router y haces system -> reset configuration -> run after reset = script de marras.

No tiene más.

Saludos!
 
pokoyo dijo:
Ese script ponlo en un .rsc con sus valores correctos, lo subes al router y haces system -> reset configuration -> run after reset = script de marras.

No tiene más.

Saludos!
Haz clic para expandir...
Muchas gracias por tu ayuda.

En cualquier caso, ¿es correcta mi teoría?
¿Dejo de tener acceso por ether2 después de esa configuración?
 
spm000 dijo:
Muchas gracias por tu ayuda.

En cualquier caso, ¿es correcta mi teoría?
¿Dejo de tener acceso por ether2 después de esa configuración?
Haz clic para expandir...
Ojo que me he colado antes. Pensaba que estabas hablando del router de Paco, pero me pegaste el script de Pepe. Pepe es router principal, y esos comandos hay que meterlos a mano o importarlos desde terminal. Y sí, si en Pepe tienes un mAP con dos puertos y te conectas por cable a ether2, al chutar el último cambio pierdes el acceso, porque ese puerto se teletranporta ahora a Paco. Haz por wifi la configuración, y así lo evitas.

Saludos!
 
pokoyo dijo:
Ojo que me he colado antes. Pensaba que estabas hablando del router de Paco, pero me pegaste el script de Pepe. Pepe es router principal, y esos comandos hay que meterlos a mano o importarlos desde terminal. Y sí, si en Pepe tienes un mAP con dos puertos y te conectas por cable a ether2, al chutar el último cambio pierdes el acceso, porque ese puerto se teletranporta ahora a Paco. Haz por wifi la configuración, y así lo evitas.

Saludos!
Haz clic para expandir...

Ese Pepe quiero que sea "tonto" en el sentido de que pretendo colgarlo de un router de Orange (o directamente darle conectividad desde un pincho 4g).
¿Me sirve la configuración del manual?

Además, será Paco, el que controle todo el tinglado.
¿Puedo llegar desde Paco a ese map para su mantenimiento?
Una vez configurado todo ¿me conectaría a ese map desde winbox con la ip 172.17.0.1?

Edito para una nueva idea (a ver si acierto)

Si cambio la ip por defecto del map (192.168.88.x) y le doy un nuevo rango (192.168.99.X), en teoría podría llegar a ese equipo a través de la vpn wg.
¿O necesito otro tunel para la gestión?
 
Última edición:
Hola de nuevo

He intentado poner en marcha mi paco-pepe y algo he hecho mal.


@pokoyo, ¿podrías echar un ojo a los export?

PACO.
Es el donante y se trata de un hap ax2 configurado inicialmente como triple play monopuesto
Código: 
# feb/26/2023 19:28:03 by RouterOS 7.7
# software id = WF9L-WWN0
#
# model = C52iG-5HaxD2HaxD
# serial number = HD8084DXE24
/interface bridge
add admin-mac=18:FD:74:C2:9E:82 auto-mac=no comment=defconf igmp-snooping=yes \
    name=bridge
/interface wifiwave2
set [ find default-name=wifi1 ] channel.band=5ghz-ax .skip-dfs-channels=\
    10min-cac .width=20/40/80mhz configuration.mode=ap .ssid=mm14b-mk \
    disabled=no security.authentication-types=wpa2-psk,wpa3-psk
set [ find default-name=wifi2 ] channel.band=2ghz-ax .frequency=2437 \
    .skip-dfs-channels=10min-cac .width=20mhz configuration.mode=ap .ssid=\
    mm14b-mk disabled=no security.authentication-types=wpa2-psk,wpa3-psk
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=internet \
    use-peer-dns=yes user=adslppp@telefonicanetpa
/interface eoip
add local-address=172.17.0.2 mac-address=FE:25:77:82:07:62 mtu=1500 name=\
    eoip-iptv remote-address=172.17.0.1 tunnel-id=0
/interface wireguard
add listen-port=12346 mtu=1420 name=wg-rw-ipad-spm
add listen-port=12345 mtu=1420 name=wg-rw-iphone-spm
add listen-port=54321 mtu=1420 name=wg-sts-iptv
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/ip dhcp-server option
add code=240 name=opch-imagenio value="':::::239.0.2.29:22222'"
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.239
add name=iptv-dhcp ranges=192.168.88.241-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wifi1
add bridge=bridge comment=defconf interface=wifi2
add bridge=bridge interface=eoip-iptv
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add interface=internet list=WAN
/interface wireguard peers
add allowed-address=192.168.50.2/32 comment=iphone-spm interface=\
    wg-rw-iphone-spm public-key=\
    "KEY PUBLICA DEL IPHONE"
add allowed-address=192.168.60.2/32 comment=ipad-spm interface=wg-rw-ipad-spm \
    public-key="KEY PUBLICA DEL IPAD"
add allowed-address=0.0.0.0/0 comment=map2nd endpoint-address=\
    hcd07gnvjqc.sn.mynetname.net endpoint-port=54321 interface=wg-sts-iptv \
    persistent-keepalive=25s public-key=\
    "KEY PUBLICA DE PEPE"
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
add address=192.168.1.32/24 interface=ether1 network=192.168.1.0
add address=192.168.50.1/24 interface=wg-rw-iphone-spm network=192.168.50.0
add address=192.168.60.1/24 interface=wg-rw-ipad-spm network=192.168.60.0
add address=172.17.0.2/30 interface=wg-sts-iptv network=172.17.0.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-server lease
add address=192.168.88.3 client-id=1:c8:bc:c8:a1:92:f mac-address=\
    C8:BC:C8:A1:92:0F server=defconf
add address=192.168.88.2 client-id=1:c:4d:e9:c9:5a:20 mac-address=\
    0C:4D:E9:C9:5A:20 server=defconf
/ip dhcp-server matcher
add address-pool=iptv-dhcp code=60 name=deco server=defconf value="[IAL]"
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=\
    192.168.88.1
add address=192.168.88.240/28 comment=iptv-subnet dhcp-option=opch-imagenio \
    dns-server=172.26.23.3 gateway=192.168.88.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment="multicast: allow from HGU" \
    in-interface=ether1 protocol=igmp
add action=accept chain=input comment="vpn: allow wg-rw-iphone-spm" dst-port=\
    12345 protocol=udp
add action=accept chain=input comment="vpn: allow wg-rw-ipad-spm" dst-port=\
    12346 protocol=udp
add action=accept chain=input comment="vpn: allow wireguard gorron" dst-port=\
    54321 protocol=udp
add action=accept chain=input comment="iptv: allow gre for eoip" \
    in-interface=wg-sts-iptv protocol=gre
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=src-nat chain=srcnat out-interface=ether1 to-addresses=\
    192.168.1.32
/ip firewall service-port
set rtsp disabled=no
/ip route
add dst-address=10.31.255.128/27 gateway=192.168.1.1
add dst-address=172.23.0.0/16 gateway=192.168.1.1
add dst-address=172.26.0.0/16 gateway=192.168.1.1
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/routing igmp-proxy
set query-interval=30s quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=ether1 upstream=yes
add interface=bridge
/system clock
set time-zone-name=Europe/Madrid
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

PEPE. Es un map 2nd que en un futuro iría colgado de un router orange.
Para la configuración estoy colgándolo de un router Huawei con una tarjeta 4g.

Código: 
# feb/26/2023 19:29:39 by RouterOS 7.7
# software id = SK8N-EIPU
#
# model = RBmAP2nD
# serial number = HCD07GNVJQC
/interface bridge
add admin-mac=DC:2C:6E:F1:C8:ED auto-mac=no comment=defconf name=bridge
add igmp-snooping=yes name=bridge-iptv
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-g/n country=spain disabled=no \
    distance=indoors frequency=2462 installation=indoor mode=ap-bridge ssid=\
    MikroTik-F1C8EF wireless-protocol=802.11
/interface wireguard
add listen-port=54321 mtu=1420 name=wg-sts-iptv
/interface eoip
add local-address=172.17.0.1 mac-address=FE:3C:1E:CB:B1:D7 mtu=1500 name=\
    eoip-iptv remote-address=172.17.0.2 tunnel-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
/interface bridge port
add bridge=bridge-iptv comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=pwr-line1
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge-iptv interface=eoip-iptv
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/interface wireguard peers
add allowed-address=172.17.0.2/32 comment=hap-ax2 interface=wg-sts-iptv \
    public-key="KEY PUBLICA DE PACO"
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
add address=172.17.0.1/30 interface=wg-sts-iptv network=172.17.0.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=\
    192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment="vpn: allow wireguard gorron" dst-port=\
    54321 protocol=udp
add action=accept chain=input comment="iptv:allow gre for eoip" in-interface=\
    wg-sts-iptv protocol=gre
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/system clock
set time-zone-name=Europe/Madrid
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Muchas gracias
 
Eso no tiene nada que ver con un Paco/Pepe compi, es un invento tuyo, dándole la vuelta a la tortilla. ¿Se puede hacer? Claro que sí, pero no tiene nada que ver con el setup original.

A simple vista parece correcto, leyéndome los exports en diagonal (mañana lo miro más en detalle). No obstante, comprueba lo primero si levantan los túneles wireguard, haciendo ping desde ambos extremos a las IPs opuestas de ese túnel (las 172…). Si esas levantan, lo demás debería ir fino.

Saludos!
 
Vale, sencillo, ya vi el fallo: tienes el mismo segmento de red en ambos extremos. Cambia uno de los dos a una subred distinta de la .88

Saludos!
 
Muchas gracias.

Lo voy a cambiar en el map.

Te comento lo que pase.

Además de eso, estuve pensando sobre el problema y me di cuenta que no había abierto el puerto en el router.
Supongo que tengo que hacerlo, ¿no?
 
spm000 dijo:
Muchas gracias.

Lo voy a cambiar en el map.

Te comento lo que pase.

Además de eso, estuve pensando sobre el problema y me di cuenta que no había abierto el puerto en el router.
Supongo que tengo que hacerlo, ¿no?
Haz clic para expandir...
Sí, si piensas meter esos equipos debajo de un router de operadora, tienes que abrir puertos.

Saludos!
 
Entendido.

Voy a seguir planteando más modificaciones al tema, si no te importa.

Supongamos que donde voy a llevar el map2nd no disponen de conexión cableada.

¿Crees que lo siguiente podría hacerse para hacer tethering desde un móvil y disponer de ese equipo como si fuese un pepe?
Parece que lo que hace es sacar la wlan1 del bridge y meter ether1 y luego sustituir ether1 en la WAN por la wlan1.
Luego escanea las redes y se conecta a la que le hace tethering.



Gracias
 
spm000 dijo:
Entendido.

Voy a seguir planteando más modificaciones al tema, si no te importa.

Supongamos que donde voy a llevar el map2nd no disponen de conexión cableada.

¿Crees que lo siguiente podría hacerse para hacer tethering desde un móvil y disponer de ese equipo como si fuese un pepe?
Parece que lo que hace es sacar la wlan1 del bridge y meter ether1 y luego sustituir ether1 en la WAN por la wlan1.
Luego escanea las redes y se conecta a la que le hace tethering.



Gracias
Haz clic para expandir...
Poderse se puede, eso sí asegúrate de tener datos ilimitados, porque vas a joderlos a base de bien. Es desco encendido se chupa 7Mbps de continuo, y se va hasta 13 viendo contenido normal (más en 4K). Así que no es una cosa que yo engancharía a una fuente de datos no ilimitada. Además de lo anterior, asegúrate que el chisme que haga tethering tenga buena cobertura, o tendrás tirones.

Saludos!
 
pokoyo dijo:
Poderse se puede, eso sí asegúrate de tener datos ilimitados, porque vas a joderlos a base de bien. Es desco encendido se chupa 7Mbps de continuo, y se va hasta 13 viendo contenido normal (más en 4K). Así que no es una cosa que yo engancharía a una fuente de datos no ilimitada. Además de lo anterior, asegúrate que el chisme que haga tethering tenga buena cobertura, o tendrás tirones.

Saludos!
Haz clic para expandir...
Por supuesto, tendría que ser con datos ilimitados.

Sería una configuración experimental para usar en casos excepcionales (como este fin de semana, en el que hubo avería de Orange en el domicilio de mis padres y veía que se perdía el fútbol...)

En todo caso, es similar al streaming que se hace en cualquier plataforma si lo ves con el móvil ¿no?

Calculando sobre 13Mbps, un partido de 2 horas salen como 11.7GB.
Que no es para hacerlo a diario, pero una tarifa ilimitada lo soporta, siempre que haya cobertura, vamos.

Un saludo
 
Hola de nuevo

He cambiado el rango de IP's en el map
Donde tenía 192.168.88.x he puesto 192.168.99.x

Pero el túnel no se levanta.

He abierto el puerto 54321 en el router

1677608108171.png



¿Puede echarle un vistazo y explicar qué estoy haciendo mal?

Este es el nuevo pepe


Código: 
# feb/28/2023 18:48:45 by RouterOS 7.7
# software id = SK8N-EIPU
#
# model = RBmAP2nD
# serial number = HCD07GNVJQC
/interface bridge
add admin-mac=DC:2C:6E:F1:C8:ED auto-mac=no comment=defconf name=bridge
add igmp-snooping=yes name=bridge-iptv
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-g/n country=spain disabled=no \
    distance=indoors frequency=2462 installation=indoor mode=ap-bridge ssid=\
    MikroTik-F1C8EF wireless-protocol=802.11
/interface wireguard
add listen-port=54321 mtu=1420 name=wg-sts-iptv
/interface eoip
add local-address=172.17.0.1 mac-address=FE:3C:1E:CB:B1:D7 mtu=1500 name=\
    eoip-iptv remote-address=172.17.0.2 tunnel-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/ip pool
add name=default-dhcp ranges=192.168.99.10-192.168.99.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
/interface bridge port
add bridge=bridge-iptv comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=pwr-line1
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge-iptv interface=eoip-iptv
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/interface wireguard peers
add allowed-address=172.17.0.2/32 comment=hap-ax2 interface=wg-sts-iptv \
    public-key="7IJANNUQwqmUUMedyz8MCp+eAPH3InpwVRDQNoC1dE0="
/ip address
add address=192.168.99.1/24 comment=defconf interface=bridge network=\
    192.168.99.0
add address=172.17.0.1/30 interface=wg-sts-iptv network=172.17.0.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf interface=ether1
/ip dhcp-server network
add address=192.168.99.0/24 comment=defconf dns-server=192.168.99.1 gateway=\
    192.168.99.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.99.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment="vpn: allow wireguard gorron" dst-port=\
    54321 protocol=udp
add action=accept chain=input comment="iptv:allow gre for eoip" in-interface=\
    wg-sts-iptv protocol=gre
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/system clock
set time-zone-name=Europe/Madrid
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

He intentado razonar lo que ocurre y he llegado a lo siguiente

Si realizo un ping desde la terminal del inbox del map a 172.17.0.2 no responde la ip.
Entiendo que esto es normal porque en el túnel de esa parte no he puesto el endpoint de paco (supongo que es paco el que tiene que abrir el túnel)

Desde paco tampoco me funciona un ping a 172.17.0.1 y esto supongo que es porque tengo que indicar el puerto (54321) ¿es así?
 
Ya te dije que este setup difiere mucho de los paco/pepe. Pon endpoint y puerto en ambos equipos, y abre lo que sea que tengas por encima en consecuencia. En el router de la compañía, la IP a la que tienes que abrir el puerto es a la IP local que tiene el mikrotik en ese router. Es decir, la la IP que recibe el equipo en ether1, en tu caso, por el cliente DHCP.

Saludos!
 
pokoyo dijo:
Claro, lo que te queda es bien sencillo:

- Configurar wireguard: interfaz, direccionamiento y peer, tal y como se detallan en el manual original para Paco
- Crear el EoIP, y meterlo dentro de tu bridge principal. Las IP's, como en el manual, la local la que le des a wireguard de ese router, la remota la del wireguard del otro extremo.
- Crear una regla de firewall en input para aceptar el puerto donde trabaja el wireguard local (Idéntica a la que se crea en Pepe)
- Crear una regla de firewall que acepte el tráfico GRE que viene por la interfaz wireguard (Idéntica a la que se crea en Pepe)

Ambas dos reglas de firewall, delante de la regla de drop por defecto del chain de input, la que dice "defconf: drop all not coming from LAN"

Guarda backup por si acaso antes de liarte, y a ver si te sale a ti solo a la primera.

Saludos!
Haz clic para expandir...
Hola de nuevo

No consigo avanzar nada en esta configuración.

Inicialmente no había creado un nuevo bridge para meter el túnel eoip y como no me funcionaba, lo cree y metí ahí el túnel.
Tampoco va.

¿Puedes revisar los export a ver si ves algo?

Con eso no consigo hacer ping.
No sé ni siquiera si se levanta el WireGuard (¿Como lo puedo comprobar?

Este es PACO, un ax2 que funciona con la tripleplay Monopuesto con HGU

Código: 
# mar/04/2023 20:04:49 by RouterOS 7.7
# software id = WF9L-WWN0
#
# model = C52iG-5HaxD2HaxD
# serial number = HD8084DXE24
/interface bridge
add admin-mac=18:FD:74:C2:9E:82 auto-mac=no comment=defconf igmp-snooping=yes \
    name=bridge
add igmp-snooping=yes name=bridge-iptv
/interface wifiwave2
set [ find default-name=wifi1 ] channel.band=5ghz-ax .skip-dfs-channels=\
    10min-cac .width=20/40/80mhz configuration.mode=ap .ssid=mm14b-mk \
    disabled=no security.authentication-types=wpa2-psk,wpa3-psk
set [ find default-name=wifi2 ] channel.band=2ghz-ax .frequency=2437 \
    .skip-dfs-channels=10min-cac .width=20mhz configuration.mode=ap .ssid=\
    mm14b-mk disabled=no security.authentication-types=wpa2-psk,wpa3-psk
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=internet \
    use-peer-dns=yes user=adslppp@telefonicanetpa
/interface eoip
add local-address=172.17.0.2 mac-address=FE:25:77:82:07:62 mtu=1500 name=\
    eoip-iptv remote-address=172.17.0.1 tunnel-id=0
/interface wireguard
add listen-port=12346 mtu=1420 name=wg-rw-ipad-spm
add listen-port=12345 mtu=1420 name=wg-rw-iphone-spm
add listen-port=54321 mtu=1420 name=wg-sts-iptv
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/ip dhcp-server option
add code=240 name=opch-imagenio value="':::::239.0.2.29:22222'"
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.239
add name=iptv-dhcp ranges=192.168.88.241-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wifi1
add bridge=bridge comment=defconf interface=wifi2
add bridge=bridge-iptv interface=eoip-iptv
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add interface=internet list=WAN
/interface wireguard peers
add allowed-address=192.168.50.2/32 comment=iphone-spm interface=\
    wg-rw-iphone-spm public-key=\
    "Una key="
add allowed-address=192.168.60.2/32 comment=ipad-spm interface=wg-rw-ipad-spm \
    public-key="otra key="
add allowed-address=0.0.0.0/0 comment=map2nd endpoint-address=\
    hcd07gnvjqc.sn.mynetname.net endpoint-port=54321 interface=wg-sts-iptv \
    public-key="otra key mas="
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
add address=192.168.1.32/24 interface=ether1 network=192.168.1.0
add address=192.168.50.1/24 interface=wg-rw-iphone-spm network=192.168.50.0
add address=192.168.60.1/24 interface=wg-rw-ipad-spm network=192.168.60.0
add address=172.17.0.2/30 interface=wg-sts-iptv network=172.17.0.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-server lease
add address=192.168.88.3 client-id=1:c8:bc:c8:a1:92:f mac-address=\
    C8:BC:C8:A1:92:0F server=defconf
add address=192.168.88.2 client-id=1:c:4d:e9:c9:5a:20 mac-address=\
    0C:4D:E9:C9:5A:20 server=defconf
/ip dhcp-server matcher
add address-pool=iptv-dhcp code=60 name=deco server=defconf value="[IAL]"
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=\
    192.168.88.1
add address=192.168.88.240/28 comment=iptv-subnet dhcp-option=opch-imagenio \
    dns-server=172.26.23.3 gateway=192.168.88.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment="multicast: allow from HGU" \
    in-interface=ether1 protocol=igmp
add action=accept chain=input comment="vpn: allow wg-rw-iphone-spm" dst-port=\
    12345 protocol=udp
add action=accept chain=input comment="vpn: allow wg-rw-ipad-spm" dst-port=\
    12346 protocol=udp
add action=accept chain=input comment="vpn: allow wireguard gorron" dst-port=\
    54321 protocol=udp
add action=accept chain=input comment="iptv: allow gre for eoip" \
    in-interface=wg-sts-iptv protocol=gre
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=src-nat chain=srcnat out-interface=ether1 to-addresses=\
    192.168.1.32
/ip firewall service-port
set rtsp disabled=no
/ip route
add dst-address=10.31.255.128/27 gateway=192.168.1.1
add dst-address=172.23.0.0/16 gateway=192.168.1.1
add dst-address=172.26.0.0/16 gateway=192.168.1.1
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/routing igmp-proxy
set query-interval=30s quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=ether1 upstream=yes
add interface=bridge
/system clock
set time-zone-name=Europe/Madrid
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Este es PEPE, un map2nd que cuelga de un router 4g que tiene la mac del map en una ip fija y una regla para que lo que llega al puerto 54321 vaya a es ip

Código: 
# mar/04/2023 18:58:37 by RouterOS 7.7
# software id = SK8N-EIPU
#
# model = RBmAP2nD
# serial number = HCD07GNVJQC
/interface bridge
add admin-mac=DC:2C:6E:F1:C8:ED auto-mac=no comment=defconf name=bridge
add igmp-snooping=yes name=bridge-iptv
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-g/n channel-width=20/40mhz-XX \
    country=spain disabled=no distance=indoors frequency=2462 installation=\
    indoor mode=ap-bridge ssid=mm14b-map wireless-protocol=802.11
/interface wireguard
add listen-port=54321 mtu=1420 name=wg-sts-iptv
/interface eoip
add local-address=172.17.0.1 mac-address=FE:DC:5D:CE:79:98 mtu=1500 name=\
    eoip-iptv remote-address=172.17.0.2 tunnel-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/ip pool
add name=default-dhcp ranges=192.168.99.10-192.168.99.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
/interface bridge port
add bridge=bridge-iptv comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=pwr-line1
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge-iptv interface=eoip-iptv
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/interface wireguard peers
add allowed-address=172.17.0.2/32 comment=gorron-iptv endpoint-address=\
    hd8084dxe24.sn.mynetname.net endpoint-port=54321 interface=wg-sts-iptv \
    public-key="KEY DE PACO"
/ip address
add address=192.168.99.1/24 comment=defconf interface=bridge network=\
    192.168.99.0
add address=172.17.0.1/30 interface=wg-sts-iptv network=172.17.0.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf interface=ether1
/ip dhcp-server network
add address=192.168.99.0/24 comment=defconf dns-server=192.168.99.1 gateway=\
    192.168.99.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.99.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment="vpn: allow wireguard gorron" dst-port=\
    54321 protocol=udp
add action=accept chain=input comment="iptv: allow gre for eoip" \
    in-interface=wg-sts-iptv protocol=gre
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
 
Debes estar conectado o registrado para responder aquí.

Similar threads

M
Replanteamiento red en casa
2 3 4
Respuestas
68
Visitas
1,907
mariopetit
E
Consejo para compra de Mikrotik para HGU Movistar
Respuestas
7
Visitas
1,245
pokoyo
xmigoll
(Solucionado). Mikrotik: No consigo conectar por VPN a router
Respuestas
13
Visitas
1,064
pokoyo
M
Diseño de nueva red en casa
Respuestas
3
Visitas
258
pokoyo
pokoyo
  • Anclado
Manual: Mikrotik, VPN One to Many (L2TP + Netmap)
Respuestas
14
Visitas
1,711
pokoyo
Arriba