Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

Tunnel EoIP entre dos Mikrotik

  • [Editado]

    Tunnel EoIP entre dos Mikrotik

    Estoy intentando vincular los dos Mikrotik pero no lo consigo.Quiero que el de la oficina A negocie todo y el de la oficina B tan solo derive al de la oficina A ¿es esto posible?

    Actualmente tengo los dos routers vinculados en con una conexión L2TP, pero cada router tiene su salida a internet y lo que me gustaría es que tuviesen como única salida a internet la conexión de la oficina A, a la par de poder manejar todos los equipos de la oficina A de forma remota. Actualmente no tengo acceso a las carpetas compartidas en la Raspberry Pi, pero si tengo acceso VCN a la raspi ubicadas en la oficina A.

    ¿Lo que intento hacer es posible?

    Tal y como pretendo enlazar el túnel EoIP es mediante /IP cloud en ambos equipos, pero no consigo que se levante conexión entre ellos, ni con clave IPsec compartida ni sin ella ¿influye en algo el túnel L2TP?

    ¿Alguna idea de cómo levantar la conexión? ¿qué puedo estar haciendo mal?

    Saludos

    • [Editado]

      BocaDePez BocaDePez

      Buenos días. Todo dependerá de donde tengas las ips públicas.…

      Buenos días.

      Todo dependerá de donde tengas las ips públicas. Si las tienes en los MK, directamete levantas el EoIP con la publica del otro extremo y el mismo TunneID en ambos extremos. Luego debes de meter los interfaces EoIP en los bridges donde tengas tus interfaces que pertenezcan a la red interna. Con esto lo que haces es puentear en Layer 2 los dos extremos. (Recuerda de apagar el DHCP server en el extremo B para que no se pisen)

      Si las ips públicas las tienes en los routes de fibra (o lo que sea) y los dos MK tienen sólamente IPs privadas, te tendrás que levantar un L2TP entre ellos (tendrás que abrir el puerto 1701,500 y 4500 en UDP en el extremo que haga de server) y luego levantar los EoIP mediante las ips de ambos extremos del L2TP, sería como meter un túnel por dentro de otro (Cuidad con la MTU)

      Puedes mirar este vídeo que lo explicaron en una MUM (Mikrotik User Meeting) a ver si te puede ayudar a aclararte:

      youtube.com/watch?v=qRyszELkxv0

      mum.mikrotik.com/presentations/HN20/pres…79799071.pdf

      Si usas /IP cloud entiendo que tienes IP dinámica. Ten en cuenta que /IP cloud no es mas que un DNS y puede tardar un ratillo en actualizar y propagar tras un cambio de IP. Lo digo por si la disponibilidad del túnel fuera crítica, debes de tener ese factor en cuenta (cortes de servicio)

      Suerte!!

      Un saludo

      • Todo dependerá de donde tengas las ips públicas. Ambas…

        Todo dependerá de donde tengas las ips públicas.

        Ambas oficinas se conectan a internet mediante FTTH Movistar

        Recuerda de apagar el DHCP server en el extremo B para que no se pisen

        Entiendo que la oficina B no puede tener un bridge DCHP?

        Si las ips públicas las tienes en los routes de fibra (o lo que sea) y los dos MK tienen sólamente IPs privadas, te tendrás que levantar un L2TP entre ellos (tendrás que abrir el puerto 1702,500 y 4500 en UDP en el extremo que haga de server) y luego levantar los EoIP mediante las ips de ambos extremos del L2TP, sería como meter un túnel por dentro de otro (Cuidad con la MTU)

        La configuración de ambas oficinas es ONT (Huawei) + mikrotik

        Actualmente en el MK de la oficina A tengo montado un servidor OVPN (para los móviles) y uno L2TP (para los PC oficina B + portátiles)

        Cuando conecto, o trato de conectar, los túneles EOIP me sale el siguiente error

        imagen.webp

        Saludos

        • BocaDePez BocaDePez

          Ambas oficinas se conectan a internet mediante FTTH Movistar…

          Ambas oficinas se conectan a internet mediante FTTH Movistar ← Si, pero si las IPs son privadas, EoIP no conecta a través de Internet. Por eso, si los MK tienen las IPs públicas ellos mismos en su PPPoE levantar el EoIP es cosa de tres o cuatro clicks.

          Si lo que tienes son sólamente ips privadas, hay que levantarse un L2TP y por dentro el EoIP.

          Veo que se te queja de IPSEC en el log. Prueba a desactivar la encriptacion del EoIP y asegúrate de usar las IPs de ambos extremos del l2tp, en el caso que lo uses

          Un saludo

            • BocaDePez BocaDePez
              En remote address si las IP públicas no está en el MK no te…

              En remote address si las IP públicas no está en el MK no te va a conectar aunque uses la dirección IP CLOUD, porque para que te funcione la IP pública debe de estar en el propio Mikrotik en ambos extremos, no en las ONTs Huawei. Estan en modo bridge o modo router? (Las ONTs)

              Y en cuanto al DHCP ponlo por donde quieras que todos salgan a Internet (ya sea A o B), ya que es donde vas a decirle a todos por donde deben de buscar el gateway para salir a Internet. El DHCP se tiene que poner en los bridges, no se pueden poner en interfaces miembros del bridge (por eso lo de "Slave"). La IP LAN también debe de ir sobre el interface bridge.

              Has llegado a mirar el vídeo de YouTube? Lo ejemplifican bastante bien

              • En remote address si las IP públicas no está en el MK no te…

                En remote address si las IP públicas no está en el MK no te va a conectar

                No entiendo lo que quieres decir, la IP pública está en "/IP routes"

                > Estan en modo bridge o modo router?

                No entiendo tu pregunta, la ONT es sólo un modem, la conexión (VLAN) depende del MK

                Has llegado a mirar el vídeo de YouTube? Lo ejemplifican bastante bien

                Lo miro esta noche cuando tenga un rato

    • BocaDePez BocaDePez

      Se me pasó comentarte que cuando montes el EoIP, los metas en…

      Se me pasó comentarte que cuando montes el EoIP, los metas en los bridges y por ende, pongas las dos oficinas en un mismo dominio de Layer 2, el DHCP B se debe de desactivar para que todas las IPs las conceda DHCP A. Así, todo el tráfico de Internet de la oficina B se te irá por el EoIP y saldrás a través de A al mundo, que es el escenario que planteas en el primer post

      • La oficina A no tiene DCHP, ¿puede ser ese el problema por el…

        La oficina A no tiene DCHP, ¿puede ser ese el problema por el cual no se establece conexión?

        ¿Se podría usar un DCHP fuera del bridge principal? Si creo un bridge EOIP aparece conexión "Slave"

      • Porque quiero controlar absolutamente todo el tráfico de cada…

        Porque quiero controlar absolutamente todo el tráfico de cada oficina, y hacer el tunel me permite incluir los accesos wifi de terceros que de otra forma se me "escapan"

    • [Editado]

      BocaDePez BocaDePez

      El EOIP lo has configurado para que vaya sobre IPsec: Lo…

      El EOIP lo has configurado para que vaya sobre IPsec:

      • Lo primero que hace es intentar establecer una conexión IPsec, la cual a su vez empieza con una primera fase de negociación (phase1) en la que los routers se intentan comunicar mediante UDP por el puerto 500.
      • El mensaje de error indica que esa comunicación no se consigue establecer y acaba abortándola tras un cierto tiempo. Todo parece indicar que o no tienes abierto el puerto 500 UDP o que la regla no está lo suficientemente "arriba" en el Firewall y hay otra que lo corta antes.
      • Una vez pasada esa fase con éxito, también vas a necesitar tener abierto el protocolo ESP (protocolo IP 50, creo que Mikrotik al configurar permite especificarlo también por nombre como ipsec-esp), que será el que utilice para transmitir los datos. Si alguno de los dos Mikrotik no estuviera directamente conectado a Internet, el modo normal de IPsec (transport) no serviría y habría que usar el modo tunnel, que encapsula el ESP en paquetes UDP por el puerto 4500. En ese caso creo que no sirve la configuración IPsec automática que hace al especificar un IPSec secret al EOIP, lo que obligaría a quitárselo y configurar todo el IPsec manualmente.

      Dices que el EOIP tampoco levanta quitándole el IPsec secret, pero eso tiene que ser por algún otro problema:

      • Por ejemplo, parece extraño que no tengas MAC en el interface EOIP. La documentación de Mikrotik insiste en que tiene que tener una MAC única para que funcionen bien los algoritmos de bridge, por ejemplo una del rango 00:00:5E:80:00:00 - 00:00:5E:FF:FF:FF, que sirve para eso.

      Cuantos más niveles de túnel haya, más va encogiendo el MTU y más fragmentación aparecerá, reduciendo el rendimiento. Lo ideal es usar el mínimo EOIP+IPsec en modo transporte. El modo túnel añade un tercer nivel y es mejor no usarlo si no es imprescindible (saltar un NAT si algún Mikrotik está tras otro router). El L2TP añadiría otro más, pero no creo que nunca sea necesario.

      Por otra parte, mencionas interfaces "slave":

      • Hasta donde yo sé, eso ya no existe en las versiones modernas de RouterOS. Si estás con una versión antigua, aparte de los problemas de seguridad que pueda tener esa versión, también puedes estar topando con fallos en el soporte IPsec, que lo fueron mejorando mucho con los años.
      • De todas formas, el hecho de que fueran master o slave creo que sólo era una forma un tanto complicada de indicar que los interfaces que colgaran del mismo master usaran el switch por hardware o algo así, lo que no es relevante con EOIP al no ser un interface físico.
      • Lo importante es que el EOIP esté en el mismo bridge que el interface ethernet que salga a internet.
      • BocaDePez BocaDePez

        Buenos días. Magnífica explicación!! Mi enhorabuena!! Sólo…

        Buenos días. Magnífica explicación!! Mi enhorabuena!!

        Sólo una pequeña puntualización, a lo que llamas interfaces "slaves" te estas refiriendo al antiguo sistema de switching por hardware, que se hacia mediante el parámetro "master-port". Ésto a partir de la versión 6.41 desapareció y se activa añadiendo los interfaces a un bridge y activando el parámetro "Hardware Offload". Asimismo, la gestión de VLANs se hace también bajo el menú "Bridge"

        Cito desde la wiki de MiktoTik:

        Note: Port switching in RouterOS v6.41 and newer is done using the bridge configuration. Prior to RouterOS v6.41 port switching was done using the master-port property, for more details check the Master-port page.

        En MikroTik todas las interfaces, ya sean físicas o virtuales que pertenezcan a un bridge, automáticamente aparecerán con el flag "S" de slave y toda la gestión en Layer3 pasa a realizarse en el bridge, la interfaz se convierte en "tonta" por decirlo de alguna manera (asimilarla a un puerto de un switch) y se deben de mover todas las IPs y condiciones de In/Out Interface en el firewall al bridge. De lo contrario el comportamiento puede que no sea el esperado.

        Port submenu is used to enslave interfaces in a particular bridge interface.

        Simplemente recordar que el EoIP no levanta tras NAT si no le abres el protocolo (protocolo, no puerto) 47 GRE hacia el MikroTik que reciba la conexión en la ONT que tenga por encima (en el originador no hace falta, pero mejor abrirlo también porque nunca se sabe cual de los dos extremos lanza primero el paquete)

        Y sobre el overhead que se le mete aquí os dejo el dato (MTU: 1500-42=1458 en Internet plano, si usas PPPoE Movistar es MTU: 1480-42= 1438):

        Note: EoIP tunnel adds at least 42 byte overhead (8byte GRE + 14 byte Ethernet + 20 byte IP)

        Un saludo a todos! Gran hilo éste

    • Tengo RouterOS actualizada a la última versión. Tengo un…

      Tengo RouterOS actualizada a la última versión.

      Tengo un servidor L2TP IPsec levantado en oficina A

      Tengo las los puertos L2TP IPsec activos en oficina B, aunque no es necesario para EOIP

      Las reglas de firewall puertos y demás ocupan las 5 primeras posiciones en sendos firewall.

      He visto el video que me recomendaron y no dice nada que no hya hecho o tratado de hacer sin éxito

      Saludos

      • Oficina A, posiblemente hasta mañana no pueda exportar el…

        Oficina A, posiblemente hasta mañana no pueda exportar el otro router

        # jul/29/2020 13:30:44 by RouterOS 6.47.1
        # software id = XXXX-XXXX
        #
        # model = RBXX11iGS
        # serial number = XXXXXXXXXXXX
        /interface bridge
        add igmp-snooping=yes name=bridge1
        /interface wireless
        set [ find default-name=wlan1 ] band=5ghz-a/n/ac channel-width=\
            20/40/80/160mhz-XXXXXXXX frequency=auto mode=ap-bridge ssid=NoSpot \
            station-roaming=enabled wps-mode=disabled
        set [ find default-name=wlan2 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
            disabled=no frequency=auto mode=ap-bridge ssid=nolink station-roaming=\
            enabled
        /interface ethernet
        set [ find default-name=ether1 ] comment=WAN
        set [ find default-name=ether2 ] comment=LAN
        /interface vlan
        add interface=ether1 name=vlan3 vlan-id=3
        add interface=ether1 name=vlan6 vlan-id=6
        /interface pppoe-client
        add add-default-route=yes allow=pap,chap disabled=no interface=vlan6 \
            keepalive-timeout=60 max-mru=1492 max-mtu=1492 name=internet \
            use-peer-dns=yes user=adslppp@telefonicanetpa
        /interface ethernet switch port
        set 0 default-vlan-id=0
        set 1 default-vlan-id=0
        set 2 default-vlan-id=0
        set 3 default-vlan-id=0
        set 4 default-vlan-id=0
        set 5 default-vlan-id=0
        set 6 default-vlan-id=0
        set 7 default-vlan-id=0
        set 8 default-vlan-id=0
        set 9 default-vlan-id=0
        set 10 default-vlan-id=0
        set 11 default-vlan-id=0
        /interface list
        add comment=defconf name=WAN
        add comment=defconf name=LAN
        /interface wireless security-profiles
        set [ find default=yes ] supplicant-identity=MikroTik
        add authentication-types=wpa-psk,wpa2-psk eap-methods="" group-ciphers=\
            tkip,aes-ccm mode=dynamic-keys name=  supplicant-identity="" \
            unicast-ciphers=tkip,aes-ccm
        /interface wireless
        add keepalive-frames=disabled mac-address=00:11:22:33:44:55 master-interface=\
            wlan2 multicast-buffering=disabled name="" \
            security-profile=clientes ssid="" station-roaming=enabled \
            wds-cost-range=0 wps-mode=disabled
        add default-forwarding=no disabled=no keepalive-frames=disabled mac-address=\
            00:11:22:33:44:55 master-interface=wlan2 multicast-buffering=disabled \
            name=clientes security-profile=  ssid=  station-roaming=\
            enabled wds-cost-range=0 wds-default-cost=0 wps-mode=disabled
        /ip ipsec peer
        add exchange-mode=ike2 name=ike2-peer passive=yes
        /ip ipsec profile
        set [ find default=yes ] dh-group=modp2048 enc-algorithm=\
            aes-256,aes-192,aes-128,3des,blowfish
        /ip ipsec proposal
        set [ find default=yes ] auth-algorithms=sha256,sha1 enc-algorithms="aes-256-c\
            bc,aes-256-gcm,aes-192-cbc,aes-192-gcm,aes-128-cbc,aes-128-gcm,3des" \
            pfs-group=modp2048
        /ip pool
        add name=vpn_pool ranges=10.0.0.2-10.0.0.11
        add name=as ranges=192.168.10.2-192.168.10.8
        add name=es ranges=192.168.99.2-192.168.99.4
        add name=L2TP ranges=10.0.1.2-10.0.1.11
        add name=ikev2-pool ranges=10.10.10.10-10.10.10.20
        /ip dhcp-server
        add address-pool=as disabled=no insert-queue-before=bottom interface=\
            as name=as
        add address-pool=es disabled=no interface="" \
            name=""
        /ip ipsec mode-config
        add address-pool=ikev2-pool address-prefix-length=32 name=ike2-config
        /ppp profile
        add local-address=vpn_pool name=Openvpn remote-address=vpn_pool \
            use-encryption=yes
        /system logging action
        set 0 memory-lines=65535
        set 1 disk-file-count=3 disk-lines-per-file=65535
        /interface bridge port
        add bridge=bridge1 interface=ether2
        add bridge=bridge1 interface=ether3
        add bridge=bridge1 interface=ether4
        add bridge=bridge1 interface=ether5
        add bridge=bridge1 interface=ether6
        add bridge=bridge1 interface=ether7
        add bridge=bridge1 interface=ether8
        add bridge=bridge1 interface=ether9
        add bridge=bridge1 interface=ether10
        add bridge=bridge1 interface=sfp-sfpplus1
        /interface bridge settings
        set use-ip-firewall-for-pppoe=yes use-ip-firewall-for-vlan=yes
        /ip firewall connection tracking
        set tcp-established-timeout=10s
        /ip settings
        set tcp-syncookies=yes
        /interface l2tp-server server
        set authentication=mschap1,mschap2 default-profile=L2TP enabled=yes \
            one-session-per-host=yes use-ipsec=required
        /interface list member
        add interface=ether1 list=WAN
        add interface=ether2 list=LAN
        add interface=ether3 list=LAN
        add interface=ether4 list=LAN
        add interface=ether5 list=LAN
        add interface=ether6 list=LAN
        add interface=ether7 list=LAN
        add interface=ether8 list=LAN
        add interface=ether9 list=LAN
        add interface=ether10 list=LAN
        add interface=sfp-sfpplus1 list=LAN
        /interface ovpn-server server
        set auth=sha1 certificate=SERVER cipher=aes128,aes192,aes256 default-profile=\
            Openvpn enabled=yes require-client-certificate=yes
        /ip address
        add address=172.16.1.1/24 comment="default configuration" interface=bridge1 \
            network=172.16.1.0
        add address=192.168.100.10/24 interface=ether1 network=192.168.100.0
        add address=192.168.10.1/24 interface=as network=192.168.10.0
        add address=192.168.99.1/24 interface="es" network=192.168.99.0
        /ip cloud
        set ddns-enabled=yes
        /ip dhcp-client
        add add-default-route=no disabled=no interface=vlan3 use-peer-ntp=no
        /ip dhcp-server network
        add address=172.16.1.0/24 dns-server=1.1.1.1,1.0.0.1 gateway=172.16.1.1 \
            netmask=24
        add address=192.168.10.0/24 dns-server=1.1.1.1,1.0.0.1 gateway=192.168.10.1
        add address=192.168.99.0/24 dns-server=1.1.1.1,1.0.0.1 gateway=192.168.99.1
        /ip dns
        set servers=1.1.1.1,1.0.0.1
        /ip firewall filter
        add action=accept chain=input dst-port=1701,500,4500 protocol=udp
        add action=accept chain=input protocol=ipsec-esp
        add action=accept chain=input protocol=ipsec-ah
        add action=accept chain=forward comment="defconf: accept in ipsec policy" \
            ipsec-policy=in,ipsec
        add action=accept chain=input comment="Allow OpenVPN" dst-port=1194 protocol=\
            tcp
        add action=drop chain=input dst-port=22 protocol=tcp src-address-list=\
            ssh_blacklist
        add action=add-src-to-address-list address-list=block-addr \
            address-list-timeout=32w chain=input comment="DDOS ATACK" \
            connection-limit=10,32 protocol=tcp
        add action=tarpit chain=input connection-limit=3,32 protocol=tcp \
            src-address-list=block-addr
        add action=add-src-to-address-list address-list=Port_Scanner \
            address-list-timeout=35w3d chain=input comment="Port  Scanner  Detect" \
            log=yes protocol=tcp psd=31,3s,3,1
        add action=drop chain=input comment="Drop to port scan list" log=yes \
            src-address-list=Port_Scanner
        add action=drop chain=forward comment="No Ping x.x.10.x" connection-state=\
            invalid in-interface=all-ethernet in-interface-list=all log=yes \
            out-interface-list=all protocol=icmp src-address=192.168.10.0/24
        add action=accept chain=input comment=\
            "defconf: accept established,related,untracked" connection-state=\
            established,related,untracked log=yes
        add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
            connection-state=established,related
        add action=accept chain=forward comment=\
            "defconf: accept established,related, untracked" connection-state=\
            established,related,untracked
        add action=accept chain=forward comment="defconf: accept out ipsec policy" \
            ipsec-policy=out,ipsec
        add chain=input comment="default configuration" protocol=icmp
        add chain=input comment="default configuration" connection-state=established
        add chain=input comment="default configuration" connection-state=related
        add action=drop chain=input comment="default configuration" in-interface=\
            internet
        add action=fasttrack-connection chain=forward connection-state=\
            established,related
        add chain=forward comment="default configuration" connection-state=\
            established
        add chain=forward comment="default configuration" connection-state=related
        add action=drop chain=forward comment="default configuration" \
            connection-state=invalid
        add action=drop chain=forward comment="defconf: drop invalid" \
            connection-state=invalid
        add action=drop chain=forward comment=spam dst-port=25 protocol=tcp
        add action=drop chain=input comment="defconf: drop invalid" connection-state=\
            invalid
        add action=drop chain=virus comment="VIRUS DE WINDOWS" dst-port=\
            135-139,445,593,4444,4000,995-999,8998,2745,4751,1434 protocol=udp
        add action=drop chain=virus dst-port=\
            135-139,445,593,4444,4000,995-999,8998,2745,4751,1434 protocol=tcp
        add action=drop chain=virus comment=rescaldo dst-port=57372 protocol=udp
        add action=jump chain=forward jump-target=virus
        add action=accept chain=virus connection-state=new limit=100,5:packet \
            protocol=udp tcp-flags=""
        add action=drop chain=virus connection-state=new protocol=udp tcp-flags=""
        add action=jump chain=forward comment=" SYN Floodprotect" connection-state=\
            new jump-target=SYN-Protect protocol=tcp tcp-flags=syn
        add action=accept chain=SYN-Protect connection-state=new limit=400,5 \
            protocol=tcp tcp-flags=syn
        add action=drop chain=SYN-Protect connection-state=new protocol=tcp \
            tcp-flags=syn
        add action=drop chain=input comment="no ping" connection-state=invalid \
            in-interface=internet log=yes protocol=icmp
        add action=drop chain=output connection-state=invalid log=yes out-interface=\
            all-ethernet protocol=icmp
        add action=drop chain=forward connection-state=invalid in-interface=internet \
            log=yes out-interface=all-ethernet protocol=icmp
        add action=drop chain=forward comment="Disable hop" icmp-options=11:0 log=yes \
            protocol=icmp
        add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 \
            protocol=tcp src-address-list=ssh_blacklist
        add action=add-src-to-address-list address-list=ssh_blacklist \
            address-list-timeout=1w3d chain=input connection-state=new dst-port=22 \
            protocol=tcp src-address-list=ssh_stage3
        add action=add-src-to-address-list address-list=ssh_stage3 \
            address-list-timeout=1m chain=input connection-state=new dst-port=22 \
            protocol=tcp src-address-list=ssh_stage2
        add action=add-src-to-address-list address-list=ssh_stage2 \
            address-list-timeout=1m chain=input connection-state=new dst-port=22 \
            protocol=tcp src-address-list=ssh_stage1
        add action=add-src-to-address-list address-list=ssh_stage1 \
            address-list-timeout=1m chain=input connection-state=new dst-port=22 \
            protocol=tcp
        /ip firewall mangle
        add action=set-priority chain=postrouting new-priority=4 out-interface=vlan3
        add action=set-priority chain=postrouting new-priority=1 out-interface=\
            internet
        add action=mark-connection chain=prerouting comment=DNS connection-state=new \
            new-connection-mark=DNS port=53 protocol=udp
        add action=mark-connection chain=postrouting connection-state=new \
            new-connection-mark=DNS port=53 protocol=udp
        add action=mark-packet chain=prerouting connection-mark=DNS new-packet-mark=\
            DNS passthrough=no
        add action=mark-packet chain=postrouting connection-mark=DNS new-packet-mark=\
            DNS passthrough=no
        add action=mark-connection chain=prerouting comment=VOIP new-connection-mark=\
            VOIP port=5060,5061,10000-20000 protocol=udp
        add action=mark-packet chain=prerouting connection-mark=VOIP new-packet-mark=\
            VOIP passthrough=no
        add action=mark-connection chain=prerouting comment=UDP connection-state=new \
            new-connection-mark=UDP protocol=udp
        add action=mark-packet chain=prerouting connection-mark=UDP new-packet-mark=\
            UDP passthrough=no
        add action=mark-connection chain=prerouting comment=ICMP connection-state=new \
            new-connection-mark=ICMP protocol=icmp
        add action=mark-connection chain=postrouting connection-state=new \
            new-connection-mark=ICMP protocol=icmp
        add action=mark-packet chain=prerouting connection-mark=ICMP new-packet-mark=\
            ICMP passthrough=no
        add action=mark-packet chain=postrouting connection-mark=ICMP \
            new-packet-mark=ICMP passthrough=no
        add action=mark-packet chain=postrouting comment=ACK new-packet-mark=ACK \
            packet-size=0-123 passthrough=no protocol=tcp tcp-flags=ack
        add action=mark-packet chain=prerouting new-packet-mark=ACK packet-size=0-123 \
            passthrough=no protocol=tcp tcp-flags=ack
        add action=mark-connection chain=prerouting comment=HTTP connection-mark=\
            !HTTP_BIG connection-state=new new-connection-mark=HTTP port=80,443 \
            protocol=tcp
        add action=mark-connection chain=prerouting connection-bytes=500000-0 \
            connection-mark=HTTP connection-rate=200k-100M new-connection-mark=\
            HTTP_BIG protocol=tcp
        add action=mark-packet chain=prerouting connection-mark=HTTP_BIG \
            new-packet-mark=HTTP_BIG passthrough=no
        add action=mark-packet chain=prerouting connection-mark=HTTP new-packet-mark=\
            HTTP passthrough=no
        add action=mark-connection chain=prerouting comment=OTHER connection-mark=\
            no-mark new-connection-mark=OTHER
        add action=mark-packet chain=prerouting connection-mark=OTHER \
            new-packet-mark=OTHER passthrough=no
        /ip firewall nat
        add action=masquerade chain=srcnat comment="default configuration" \
            out-interface=internet
        add action=masquerade chain=srcnat comment="default configuration" \
            out-interface=ether1
        add action=masquerade chain=srcnat comment="default configuration" \
            out-interface=vlan3
        add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
            10.0.1.0/24
        /ip firewall raw
        add action=drop chain=prerouting protocol=tcp src-port=\
            69,111,135-139,445,593,4444,4000,995-999,8998,2745,4751,1434
        add action=drop chain=prerouting protocol=udp src-port=\
            69,111,135-139,445,593,4444,4000,995-999,8998,2745,4751,1434
        add action=drop chain=prerouting src-address-list=ads_list
        add action=drop chain=prerouting src-address-list=malwaredomainlist_list
        add action=drop chain=prerouting src-address-list=blocklistde_ftp_list
        /ip firewall service-port
        set ftp disabled=yes
        set tftp disabled=yes
        set irc disabled=yes
        set h323 disabled=yes
        set sip disabled=yes
        set pptp disabled=yes
        set udplite disabled=yes
        set dccp disabled=yes
        set sctp disabled=yes
        /ip ipsec identity
        add comment=any-client-psk generate-policy=port-strict mode-config=\
            ike2-config my-id=fqdn:server peer=ike2-peer remote-id=user-fqdn:clientX
        /ip ipsec policy
        set 0 dst-address=0.0.0.0/0 src-address=0.0.0.0/0
        /ip route
        add distance=255 gateway=255.255.255.255
        /ip service
        set telnet disabled=yes
        set ftp disabled=yes
        set www disabled=yes
        set api disabled=yes
        set winbox address=
        set api-ssl disabled=yes
        /ip ssh
        set allow-none-crypto=yes forwarding-enabled=remote
        /ip upnp interfaces
        add interface=bridge1 type=internal
        add interface=internet type=external
        /ppp profile
        add bridge=*1A change-tcp-mss=yes dns-server=1.1.1.1,1.0.0.1 \
            insert-queue-before=bottom interface-list=LAN local-address=L2TP name=\
            L2TP remote-address=L2TP use-encryption=yes
        /ppp secret
        add name=IS profile=Openvpn service=ovpn
        add name=IS profile=L2TP service=l2tp
        /routing rip interface
        add interface=vlan3 passive=yes receive=v2
        /routing rip network
        add network=10.0.0.0/8
        /system clock
        set time-zone-name=Europe/Madrid
        /system identity
        set name=X-Core
        /system leds
        add interface=wlan2 leds="wlan2_signal1-led,wlan2_signal2-led,wlan2_signal3-le\
            d,wlan2_signal4-led,wlan2_signal5-led" type=wireless-signal-strength
        add interface=wlan2 leds=wlan2_tx-led type=interface-transmit
        add interface=wlan2 leds=wlan2_rx-led type=interface-receive
        /system logging
        add prefix="L2TP=>" topics=l2tp
        add prefix="IPSEC=>" topics=ipsec
        add prefix="OVPN=>" topics=ovpn
        /system ntp client
        set enabled=yes primary-ntp=129.6.15.28 secondary-ntp=129.6.15.29
        /system scheduler
        add comment="Update No-IP DDNS" interval=5m name=NO-IP on-event=NO-IP policy=\
            read,write,policy,test,password,sniff,sensitive,romon start-date=\
            apr/30/2020 start-time=01:52:38
        /system script
        add dont-require-permissions=yes name=NO-IP owner=\ policy=\
            ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source="#\
            \_No-IP automatic Dynamic DNS update\r\
            \n\r\
            \n#--------------- Change Values in this section to match your setup -----\
           
            \n# No more changes need\r\
        
        /tool mac-server
        set allowed-interface-list=none
      • Oficina B # jul/29/2020 23:45:43 by RouterOS 6.47.1 #…

        Oficina B

        # jul/29/2020 23:45:43 by RouterOS 6.47.1
        # software id = YYYY-YYYY
        #
        # model = RBXX11iGS
        # serial number = YYYYYYYYYYYY
        /interface bridge
        add igmp-snooping=yes name=bridge1
        /interface wireless
        set [ find default-name=wlan1 ] band=5ghz-a/n/ac channel-width=\
            20/40/80/160mhz-XXXXXXXX country=spain disabled=no frequency=auto \
            hide-ssid=yes mode=ap-bridge ssid=NoSpot station-roaming=enabled \
            wps-mode=disabled
        set [ find default-name=wlan2 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
            disabled=no frequency=auto hide-ssid=yes mode=ap-bridge ssid=NoLink \
            station-roaming=enabled
        /interface eoip
        add allow-fast-path=no mac-address=11:22:33:44:55:66 name=eoip-prueba-slave \
            remote-address=OficinaA.sn.mynetname.net tunnel-id=101
        /interface vlan
        add interface=ether1 name=vlan3 vlan-id=3
        add interface=ether1 name=vlan6 vlan-id=6
        /interface pppoe-client
        add add-default-route=yes allow=pap,chap disabled=no interface=vlan6 \
            keepalive-timeout=60 max-mru=1492 max-mtu=1492 name=internet \
            use-peer-dns=yes user=adslppp@telefonicanetpa
        /interface ethernet switch port
        set 0 default-vlan-id=0
        set 1 default-vlan-id=0
        set 2 default-vlan-id=0
        set 3 default-vlan-id=0
        set 4 default-vlan-id=0
        set 5 default-vlan-id=0
        set 6 default-vlan-id=0
        set 7 default-vlan-id=0
        set 8 default-vlan-id=0
        set 9 default-vlan-id=0
        set 10 default-vlan-id=0
        set 11 default-vlan-id=0
        /interface list
        add comment=defconf name=WAN
        add comment=defconf name=LAN
        /interface wireless security-profiles
        set [ find default=yes ] supplicant-identity=MikroTik
        add authentication-types=wpa-psk,wpa2-psk eap-methods="" \
            management-protection=allowed mode=dynamic-keys name=print \
            supplicant-identity=""
        /interface wireless
        add disabled=no keepalive-frames=disabled mac-address=11:22:33:44:55:66 \
            master-interface=wlan1 multicast-buffering=disabled name=PRINT \
            security-profile=print ssid="" \
            station-roaming=enabled wds-cost-range=0 wds-default-cost=0 wps-mode=\
            disabled
        add disabled=no keepalive-frames=disabled mac-address=11:22:33:44:55:66 \
            master-interface=wlan2 multicast-buffering=disabled name=print \
            security-profile=print ssid="" \
            station-roaming=enabled wds-cost-range=0 wds-default-cost=0 wps-mode=\
            disabled
        /ip ipsec proposal
        set [ find default=yes ] auth-algorithms=sha256,sha1 enc-algorithms=\
            aes-256-cbc,aes-192-cbc,aes-128-cbc,3des pfs-group=modp2048
        /ip pool
        add name=bridge ranges=192.168.1.2-192.168.1.9
        add name=print ranges=192.168.10.2-192.168.10.8
        add name=PRINT ranges=192.168.11.2-192.168.11.5
        /ip dhcp-server
        add address-pool=bridge bootp-support=dynamic disabled=no interface=bridge1 \
            name=bridge
        add address-pool=print disabled=no interface=hp-print name=print
        add address-pool=PRINT disabled=no insert-queue-before=bottom interface=\
            PRINT name=PRINT
        /system logging action
        set 0 memory-lines=65535
        set 1 disk-lines-per-file=65535
        /interface l2tp-client
        add allow=mschap1,mschap2 connect-to=OficinaA.sn.mynetname.net disabled=\
            no name=l2tp-out1 profile=l2tp-gui use-ipsec=yes use-peer-dns=yes user=\
            l2tplab
        /interface bridge port
        add bridge=bridge1 interface=ether3
        add bridge=bridge1 interface=ether4
        add bridge=bridge1 interface=ether5
        add bridge=bridge1 interface=ether6
        add bridge=bridge1 interface=ether7
        add bridge=bridge1 interface=ether8
        add bridge=bridge1 interface=ether9
        add bridge=bridge1 interface=ether10
        add bridge=bridge1 interface=ether1
        add bridge=bridge1 interface=ether2
        /interface bridge settings
        set use-ip-firewall-for-pppoe=yes use-ip-firewall-for-vlan=yes
        /ip settings
        set tcp-syncookies=yes
        /interface list member
        add interface=internet list=WAN
        add interface=ether1 list=WAN
        add interface=ether2 list=LAN
        add interface=ether3 list=LAN
        add interface=ether4 list=LAN
        add interface=ether5 list=LAN
        add interface=ether6 list=LAN
        add interface=ether7 list=LAN
        add interface=ether8 list=LAN
        add interface=ether9 list=LAN
        add interface=ether10 list=LAN
        add interface=sfp-sfpplus1 list=LAN
        add interface=l2tp-out1 list=WAN
        /ip address
        add address=192.168.1.1/24 comment="default configuration" interface=bridge1 \
            network=192.168.1.0
        add address=192.168.100.10/24 interface=ether1 network=192.168.100.0
        add address=192.168.10.1/24 interface=print network=192.168.10.0
        add address=192.168.11.1/24 interface=PRINT network=192.168.11.0
        /ip cloud
        set ddns-enabled=yes
        /ip cloud advanced
        set use-local-address=yes
        /ip dhcp-client
        add add-default-route=no disabled=no interface=vlan3 use-peer-ntp=no
        /ip dhcp-server network
        add address=192.168.1.0/24 dns-server=1.1.1.1,1.0.0.1 gateway=192.168.1.1 \
            netmask=24
        add address=192.168.10.0/24 dns-server=1.1.1.1,1.0.0.1 gateway=192.168.10.1
        add address=192.168.11.0/24 dns-server=1.1.1.1,1.0.0.1 gateway=192.168.11.1
        /ip dns
        set servers=1.1.1.1,1.0.0.1
        /ip firewall filter
        add action=accept chain=input comment=\
            "defconf: accept established,related,untracked" connection-state="" log=\
            yes protocol=udp src-port=1701,500,4500
        add action=accept chain=input connection-state="" log=yes protocol=ipsec-esp
        add action=accept chain=input connection-state="" log=yes protocol=ipsec-ah
        add action=accept chain=forward comment="defconf: accept out ipsec policy" \
            ipsec-policy=out,ipsec
        add action=drop chain=forward comment="defconf: rejet out not ipsec policy" \
            disabled=yes ipsec-policy=out,none
        add action=drop chain=input dst-port=22 protocol=tcp src-address-list=\
            ssh_blacklist
        add action=drop chain=input comment="defconf: drop invalid" connection-state=\
            invalid connection-type="" log=yes
        add action=add-src-to-address-list address-list=block-addr \
            address-list-timeout=32w chain=input comment="DDOS ATACK" \
            connection-limit=10,32 protocol=tcp
        add action=tarpit chain=input connection-limit=3,32 protocol=tcp \
            src-address-list=block-addr
        add action=add-src-to-address-list address-list=Port_Scanner \
            address-list-timeout=35w3d chain=input comment="Port  Scanner  Detect" \
            log=yes protocol=tcp psd=31,3s,3,1
        add action=drop chain=input comment="Drop to port scan list" log=yes \
            src-address-list=Port_Scanner
        add action=drop chain=forward comment="No Ping x.x.10.x" connection-state=\
            invalid in-interface=all-ethernet in-interface-list=all log=yes \
            out-interface-list=all protocol=icmp src-address=192.168.10.0/24
        add action=accept chain=input comment=\
            "defconf: accept established,related,untracked" connection-state=\
            established,related,untracked log=yes
        add action=accept chain=forward comment="defconf: accept in ipsec policy" \
            ipsec-policy=in,ipsec
        add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
            connection-state=established,related
        add action=accept chain=forward comment=\
            "defconf: accept established,related, untracked" connection-state=\
            established,related,untracked
        add chain=input comment="default configuration" protocol=icmp
        add chain=input comment="default configuration" connection-state=established
        add chain=input comment="default configuration" connection-state=related
        add action=drop chain=input comment="default configuration" in-interface=\
            internet
        add action=fasttrack-connection chain=forward connection-state=\
            established,related
        add chain=forward comment="default configuration" connection-state=\
            established
        add chain=forward comment="default configuration" connection-state=related
        add action=drop chain=forward comment="default configuration" \
            connection-state=invalid
        add action=drop chain=forward comment="defconf: drop invalid" \
            connection-state=invalid
        add action=drop chain=forward comment=spam dst-port=25 protocol=tcp
        add action=drop chain=input comment="defconf: drop invalid" connection-state=\
            invalid
        add action=drop chain=virus comment="VIRUS DE WINDOWS" dst-port=\
            135-139,445,593,4444,4000,995-999,8998,2745,4751,1434 protocol=udp
        add action=drop chain=virus dst-port=\
            135-139,445,593,4444,4000,995-999,8998,2745,4751,1434 protocol=tcp
        add action=drop chain=virus comment=rescaldo dst-port=57372 protocol=udp
        add action=jump chain=forward jump-target=virus
        add action=accept chain=virus connection-state=new limit=100,5:packet \
            protocol=udp tcp-flags=""
        add action=drop chain=virus connection-state=new protocol=udp tcp-flags=""
        add action=jump chain=forward comment=" SYN Floodprotect" connection-state=\
            new jump-target=SYN-Protect protocol=tcp tcp-flags=syn
        add action=accept chain=SYN-Protect connection-state=new limit=400,5 \
            protocol=tcp tcp-flags=syn
        add action=drop chain=SYN-Protect connection-state=new protocol=tcp \
            tcp-flags=syn
        add action=drop chain=input comment="no ping" connection-state=invalid \
            in-interface=internet log=yes protocol=icmp
        add action=drop chain=output connection-state=invalid log=yes out-interface=\
            all-ethernet protocol=icmp
        add action=drop chain=forward connection-state=invalid in-interface=internet \
            log=yes out-interface=all-ethernet protocol=icmp
        add action=drop chain=forward comment="Disable hop" icmp-options=11:0 log=yes \
            protocol=icmp
        add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 \
            protocol=tcp src-address-list=ssh_blacklist
        add action=add-src-to-address-list address-list=ssh_blacklist \
            address-list-timeout=1w3d chain=input connection-state=new dst-port=22 \
            protocol=tcp src-address-list=ssh_stage3
        add action=add-src-to-address-list address-list=ssh_stage3 \
            address-list-timeout=1m chain=input connection-state=new dst-port=22 \
            protocol=tcp src-address-list=ssh_stage2
        add action=add-src-to-address-list address-list=ssh_stage2 \
            address-list-timeout=1m chain=input connection-state=new dst-port=22 \
            protocol=tcp src-address-list=ssh_stage1
        add action=add-src-to-address-list address-list=ssh_stage1 \
            address-list-timeout=1m chain=input connection-state=new dst-port=22 \
            protocol=tcp
        /ip firewall mangle
        add action=set-priority chain=postrouting new-priority=4 out-interface=vlan3
        add action=set-priority chain=postrouting new-priority=1 out-interface=\
            internet
        add action=mark-connection chain=prerouting comment=DNS connection-state=new \
            new-connection-mark=DNS port=53 protocol=udp
        add action=mark-packet chain=prerouting connection-mark=DNS new-packet-mark=\
            DNS passthrough=no
        add action=mark-connection chain=postrouting connection-state=new \
            new-connection-mark=DNS port=53 protocol=udp
        add action=mark-packet chain=postrouting connection-mark=DNS new-packet-mark=\
            DNS passthrough=no
        add action=mark-connection chain=prerouting comment=VOIP new-connection-mark=\
            VOIP port=5060,5061,10000-20000 protocol=udp
        add action=mark-packet chain=prerouting connection-mark=VOIP new-packet-mark=\
            VOIP passthrough=no
        add action=mark-connection chain=prerouting comment=UDP connection-state=new \
            new-connection-mark=UDP protocol=udp
        add action=mark-packet chain=prerouting connection-mark=UDP new-packet-mark=\
            UDP passthrough=no
        add action=mark-connection chain=prerouting comment=ICMP connection-state=new \
            new-connection-mark=ICMP protocol=icmp
        add action=mark-packet chain=prerouting connection-mark=ICMP new-packet-mark=\
            ICMP passthrough=no
        add action=mark-connection chain=postrouting connection-state=new \
            new-connection-mark=ICMP protocol=icmp
        add action=mark-packet chain=postrouting connection-mark=ICMP \
            new-packet-mark=ICMP passthrough=no
        add action=mark-packet chain=postrouting comment=ACK new-packet-mark=ACK \
            packet-size=0-123 passthrough=no protocol=tcp tcp-flags=ack
        add action=mark-packet chain=prerouting new-packet-mark=ACK packet-size=0-123 \
            passthrough=no protocol=tcp tcp-flags=ack
        add action=mark-connection chain=prerouting comment=HTTP connection-mark=\
            !HTTP_BIG connection-state=new new-connection-mark=HTTP port=80,443 \
            protocol=tcp
        add action=mark-connection chain=prerouting connection-bytes=500000-0 \
            connection-mark=HTTP connection-rate=200k-100M new-connection-mark=\
            HTTP_BIG protocol=tcp
        add action=mark-packet chain=prerouting connection-mark=HTTP_BIG \
            new-packet-mark=HTTP_BIG passthrough=no
        add action=mark-packet chain=prerouting connection-mark=HTTP new-packet-mark=\
            HTTP passthrough=no
        add action=mark-connection chain=prerouting comment=OTHER connection-mark=\
            no-mark new-connection-mark=OTHER
        /ip firewall nat
        add action=masquerade chain=srcnat comment="default configuration" \
            out-interface=internet
        add action=masquerade chain=srcnat comment="default configuration" \
            out-interface=vlan6
        add action=masquerade chain=srcnat comment="default configuration" \
            out-interface=vlan3
        /ip firewall raw
        add action=drop chain=prerouting protocol=tcp src-port=\
            69,111,135-139,445,593,4444,4000,995-999,8998,2745,4751,1434
        add action=drop chain=prerouting protocol=udp src-port=\
            69,111,135-139,445,593,4444,4000,995-999,8998,2745,4751,1434
        add action=drop chain=prerouting src-address-list=ads_list
        add action=drop chain=prerouting src-address-list=malwaredomainlist_list
        add action=drop chain=prerouting src-address-list=blocklistde_ftp_list
        /ip firewall service-port
        set ftp disabled=yes
        set tftp disabled=yes
        set irc disabled=yes
        set h323 disabled=yes
        set sip disabled=yes
        set pptp disabled=yes
        set udplite disabled=yes
        set dccp disabled=yes
        set sctp disabled=yes
        /ip route
        add distance=255 gateway=255.255.255.255
        /ip service
        set telnet disabled=yes
        set ftp disabled=yes
        set www disabled=yes
        set api disabled=yes
        set winbox address=
        set api-ssl disabled=yes
        /ip ssh
        set allow-none-crypto=yes forwarding-enabled=remote
        /ip upnp interfaces
        add interface=bridge1 type=internal
        add interface=internet type=external
        /ppp profile
        add bridge=*1B change-tcp-mss=yes dns-server=1.1.1.1,1.0.0.1 interface-list=\
            LAN local-address=PRINT name=l2tp-gui remote-address=PRINT \
            use-encryption=yes
        /routing rip interface
        add interface=vlan3 passive=yes receive=v2
        /routing rip network
        add network=10.0.0.0/8
        /system clock
        set time-zone-name=Europe/Madrid
        /system identity
        set name=Y-Core
        /system leds
        add interface=wlan2 leds="wlan2_signal1-led,wlan2_signal2-led,wlan2_signal3-le\
            d,wlan2_signal4-led,wlan2_signal5-led" type=wireless-signal-strength
        add interface=wlan2 leds=wlan2_tx-led type=interface-transmit
        add interface=wlan2 leds=wlan2_rx-led type=interface-receive
        /system ntp client
        set enabled=yes primary-ntp=129.6.15.28 secondary-ntp=129.6.15.29
        /system scheduler
        add interval=5m name=NP-IP on-event=NO-IP policy=\
            ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
            start-date=jun/03/2020 start-time=10:07:29
        /system script
        add dont-require-permissions=no name=NO-IP owner=\ policy=\
            ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source="#\
            \_No-IP automatic Dynamic DNS update\r\
            \n\r\
            \n#--------------- Change Values in this section to match your setup -----\
            -------------\r\
        /tool mac-server
        set allowed-interface-list=none
    • BocaDePez BocaDePez

      Buenos días, he estado revisando la configuración y salvo que…

      Buenos días, he estado revisando la configuración y salvo que falten cosas en el export, tal y como está es normal que no funcione. Falta el túnel EoIP en el extremo A hacia el extremo B. No me termina de quedar claro si los dos extremos de los Mk están levantando el PPPoE o sin embargo cogen IP privada por el DHCP-client.

      Prueba esto y comenta por aquí si te llega a conectar o no:

      Oficina A:

      /ppp secret add name=USUARIO password=CONTRASEÑA profile=L2TP local-address=10.153.0.1 remote-address=10.153.0.2 service=l2tp
      
      /interface eoip add name=eoip-oficinaB remote-address=10.153.0.2 tunnel-id=1000
      
      /int bridge port add interface=eoip-oficinaB bridge=bridge1

      Oficina B:

      /interface l2tp-client add allow=mschap1,mschap2 connect-to=OficinaA.sn.mynetname.net disabled=no name=l2tp-oficinaA profile=l2tp-gui use-ipsec=yes use-peer-dns=yes user=USUARIO password=CONTRASEÑA
      
      /interface eoip add name=eoip-oficinaA remote-address=10.153.0.1 tunnel-id=1000
      
      /int bridge port add interface=eoip-oficinaA bridge=bridge1

      Si sigue sin funcionarte ya sería cosa de hacer un anydesk o algo y verlo "en vivo"

      Saludos

    • El problema está resuelto, se resuelve creando el túnel EOIP…

      El problema está resuelto, se resuelve creando el túnel EOIP mediante web en vez de winbox.

      Mi problema es que al levantar una parte del túnel éste no se levantaba "Running", lei en otro foro que la solución podría ser levantar el túnel vía web y de hecho funciona.

      Quizás sea un bug de winbox, ya que el el otro lado pude levantar la conexión directamente desde winbox.

      Gracias por tu tiempo y esfuerzo el túnel está creado y los dos routers ser ven, ahora sólo me queda sacar todo el tráfico por "Oficina A"

      Saludos

    • BocaDePez BocaDePez

      Buenas, no es un bug… es que si no le pones el parámetro…

      Buenas, no es un bug… es que si no le pones el parámetro "Keepalive" a los túneles EoIP , se te quedan en Running aunque el otro extremo no responda.

      Y hacerlo desde winbox o web es totalmente indiferente a efectos del router, le va a hacer el mismo caso a lo que le mandes por cualquier medio.

      Para sacar el tráfico por oficina A, mete el EoIP B en el bridge1 de oficina B y haz que el gateway de las dos oficinas sea el router de la Oficina A. Con eso ya tendrás lo que deseas

      Un saludo y me alegro de que te empiecen a funcionar las cosas :)

    • BocaDePez BocaDePez

      Pon en oficina B todos los equipos en el rango 172.16.1.x/24…

      Pon en oficina B todos los equipos en el rango 172.16.1.x/24 y les pones el gw a la 172.16.1.1 (por la config es la IP que he visto que usas en Oficina A)

      Si le cambias el gw al Mikrotik corres el riesgo de dejarlo sin Internet y se caería el túnel

      • Tiene que ser necesariamente a la 172.16.1.X/24; no podría…

        Tiene que ser necesariamente a la 172.16.1.X/24; no podría ser 172.16.X.1/24

        De la forma que está estructurada la intranet se pisarían IP

      • BocaDePez BocaDePez

        Lo siento, no logro entenderte, llevo poco tiempo con…

        Lo siento, no logro entenderte, llevo poco tiempo con mikrotik y no consigo entender lo que me quieres decir.

        Si pudieras poner paso por paso lo que tengo que hacer te lo agradecería mucho, saludos

    • BocaDePez BocaDePez

      Lo que quería decirte es que los equipos de B tienen que…

      Lo que quería decirte es que los equipos de B tienen que buscar la IP del router de oficina A para salir por A hacia Internet.

      EL concepto de lo que es un gateway lo tienes claro? Simplemente es hacer que los equipos de la oficina B compartan el mismo direccionamiento que A y que salgan por el mismo camino a Internet (router A).

      Hablo de los equipos internos (PCs, impresoras, etc) , el router B en principio no haría falta tocarlo.