Tunnel EoIP entre dos Mikrotik

Solospam 28 julio 2020 11:31 ✎

⋮

Estoy intentando vincular los dos Mikrotik pero no lo consigo.Quiero que el de la oficina A negocie todo y el de la oficina B tan solo derive al de la oficina A ¿es esto posible?

Actualmente tengo los dos routers vinculados en con una conexión L2TP, pero cada router tiene su salida a internet y lo que me gustaría es que tuviesen como única salida a internet la conexión de la oficina A, a la par de poder manejar todos los equipos de la oficina A de forma remota. Actualmente no tengo acceso a las carpetas compartidas en la Raspberry Pi, pero si tengo acceso VCN a la raspi ubicadas en la oficina A.

¿Lo que intento hacer es posible?

Tal y como pretendo enlazar el túnel EoIP es mediante /IP cloud en ambos equipos, pero no consigo que se levante conexión entre ellos, ni con clave IPsec compartida ni sin ella ¿influye en algo el túnel L2TP?

¿Alguna idea de cómo levantar la conexión? ¿qué puedo estar haciendo mal?

Saludos

BocaDePez 28 julio 2020 12:04 ✎

⋮

Buenos días.

Todo dependerá de donde tengas las ips públicas. Si las tienes en los MK, directamete levantas el EoIP con la publica del otro extremo y el mismo TunneID en ambos extremos. Luego debes de meter los interfaces EoIP en los bridges donde tengas tus interfaces que pertenezcan a la red interna. Con esto lo que haces es puentear en Layer 2 los dos extremos. (Recuerda de apagar el DHCP server en el extremo B para que no se pisen)

Si las ips públicas las tienes en los routes de fibra (o lo que sea) y los dos MK tienen sólamente IPs privadas, te tendrás que levantar un L2TP entre ellos (tendrás que abrir el puerto 1701,500 y 4500 en UDP en el extremo que haga de server) y luego levantar los EoIP mediante las ips de ambos extremos del L2TP, sería como meter un túnel por dentro de otro (Cuidad con la MTU)

Puedes mirar este vídeo que lo explicaron en una MUM (Mikrotik User Meeting) a ver si te puede ayudar a aclararte:

youtube.com/watch?v=qRyszELkxv0

mum.mikrotik.com/presentations/HN20/pres…79799071.pdf

Si usas /IP cloud entiendo que tienes IP dinámica. Ten en cuenta que /IP cloud no es mas que un DNS y puede tardar un ratillo en actualizar y propagar tras un cambio de IP. Lo digo por si la disponibilidad del túnel fuera crítica, debes de tener ese factor en cuenta (cortes de servicio)

Suerte!!

Un saludo

✖

Solospam 28 julio 2020 12:34

⋮

Todo dependerá de donde tengas las ips públicas.

Ambas oficinas se conectan a internet mediante FTTH Movistar

Recuerda de apagar el DHCP server en el extremo B para que no se pisen

Entiendo que la oficina B no puede tener un bridge DCHP?

Si las ips públicas las tienes en los routes de fibra (o lo que sea) y los dos MK tienen sólamente IPs privadas, te tendrás que levantar un L2TP entre ellos (tendrás que abrir el puerto 1702,500 y 4500 en UDP en el extremo que haga de server) y luego levantar los EoIP mediante las ips de ambos extremos del L2TP, sería como meter un túnel por dentro de otro (Cuidad con la MTU)

La configuración de ambas oficinas es ONT (Huawei) + mikrotik

Actualmente en el MK de la oficina A tengo montado un servidor OVPN (para los móviles) y uno L2TP (para los PC oficina B + portátiles)

Cuando conecto, o trato de conectar, los túneles EOIP me sale el siguiente error

Saludos

✖

BocaDePez 28 julio 2020 13:00

⋮

Ambas oficinas se conectan a internet mediante FTTH Movistar ← Si, pero si las IPs son privadas, EoIP no conecta a través de Internet. Por eso, si los MK tienen las IPs públicas ellos mismos en su PPPoE levantar el EoIP es cosa de tres o cuatro clicks.

Si lo que tienes son sólamente ips privadas, hay que levantarse un L2TP y por dentro el EoIP.

Veo que se te queja de IPSEC en el log. Prueba a desactivar la encriptacion del EoIP y asegúrate de usar las IPs de ambos extremos del l2tp, en el caso que lo uses

Un saludo

✖

Solospam 28 julio 2020 13:11

⋮

A ver, la config que estoy usando en el router de la empresa a es

En la empresa B cambia el "remote address" y el resto de datos se mantienen; supuestamente es la forma de hacerlo.

Nunca he conseguido levantar la conexión

Saludos

✖

BocaDePez 28 julio 2020 16:13

⋮

✖

Solospam 28 julio 2020 17:10

⋮

BocaDePez 28 julio 2020 13:04

⋮

Se me pasó comentarte que cuando montes el EoIP, los metas en los bridges y por ende, pongas las dos oficinas en un mismo dominio de Layer 2, el DHCP B se debe de desactivar para que todas las IPs las conceda DHCP A. Así, todo el tráfico de Internet de la oficina B se te irá por el EoIP y saldrás a través de A al mundo, que es el escenario que planteas en el primer post

✖

Solospam 28 julio 2020 14:00

⋮

La oficina A no tiene DCHP, ¿puede ser ese el problema por el cual no se establece conexión?

¿Se podría usar un DCHP fuera del bridge principal? Si creo un bridge EOIP aparece conexión "Slave"

vukits 28 julio 2020 16:43

⋮

quiero que el de la oficina A negocie todo y el de la oficina B tan solo derive al de la oficina A

ahora explicame, por qué tienes que hacer un tunel.

¿Por qué no conectas todos los de la oficina B a la VPN y santas pascuas?

un saludo

✖

Solospam 28 julio 2020 17:12

⋮

Porque quiero controlar absolutamente todo el tráfico de cada oficina, y hacer el tunel me permite incluir los accesos wifi de terceros que de otra forma se me "escapan"

BocaDePez 28 julio 2020 21:57 ✎

⋮

El EOIP lo has configurado para que vaya sobre IPsec:

Lo primero que hace es intentar establecer una conexión IPsec, la cual a su vez empieza con una primera fase de negociación (phase1) en la que los routers se intentan comunicar mediante UDP por el puerto 500.
El mensaje de error indica que esa comunicación no se consigue establecer y acaba abortándola tras un cierto tiempo. Todo parece indicar que o no tienes abierto el puerto 500 UDP o que la regla no está lo suficientemente "arriba" en el Firewall y hay otra que lo corta antes.
Una vez pasada esa fase con éxito, también vas a necesitar tener abierto el protocolo ESP (protocolo IP 50, creo que Mikrotik al configurar permite especificarlo también por nombre como ipsec-esp), que será el que utilice para transmitir los datos. Si alguno de los dos Mikrotik no estuviera directamente conectado a Internet, el modo normal de IPsec (transport) no serviría y habría que usar el modo tunnel, que encapsula el ESP en paquetes UDP por el puerto 4500. En ese caso creo que no sirve la configuración IPsec automática que hace al especificar un IPSec secret al EOIP, lo que obligaría a quitárselo y configurar todo el IPsec manualmente.

Dices que el EOIP tampoco levanta quitándole el IPsec secret, pero eso tiene que ser por algún otro problema:

Por ejemplo, parece extraño que no tengas MAC en el interface EOIP. La documentación de Mikrotik insiste en que tiene que tener una MAC única para que funcionen bien los algoritmos de bridge, por ejemplo una del rango 00:00:5E:80:00:00 - 00:00:5E:FF:FF:FF, que sirve para eso.

Cuantos más niveles de túnel haya, más va encogiendo el MTU y más fragmentación aparecerá, reduciendo el rendimiento. Lo ideal es usar el mínimo EOIP+IPsec en modo transporte. El modo túnel añade un tercer nivel y es mejor no usarlo si no es imprescindible (saltar un NAT si algún Mikrotik está tras otro router). El L2TP añadiría otro más, pero no creo que nunca sea necesario.

Por otra parte, mencionas interfaces "slave":

Hasta donde yo sé, eso ya no existe en las versiones modernas de RouterOS. Si estás con una versión antigua, aparte de los problemas de seguridad que pueda tener esa versión, también puedes estar topando con fallos en el soporte IPsec, que lo fueron mejorando mucho con los años.
De todas formas, el hecho de que fueran master o slave creo que sólo era una forma un tanto complicada de indicar que los interfaces que colgaran del mismo master usaran el switch por hardware o algo así, lo que no es relevante con EOIP al no ser un interface físico.
Lo importante es que el EOIP esté en el mismo bridge que el interface ethernet que salga a internet.

✖

Bramante 28 julio 2020 22:02

⋮

Y esta es la prueba de que de los BdP también llegan aportaciones verdaderamente cojonudas.

BocaDePez 29 julio 2020 07:50

⋮

Buenos días. Magnífica explicación!! Mi enhorabuena!!

Sólo una pequeña puntualización, a lo que llamas interfaces "slaves" te estas refiriendo al antiguo sistema de switching por hardware, que se hacia mediante el parámetro "master-port". Ésto a partir de la versión 6.41 desapareció y se activa añadiendo los interfaces a un bridge y activando el parámetro "Hardware Offload". Asimismo, la gestión de VLANs se hace también bajo el menú "Bridge"

Cito desde la wiki de MiktoTik:

Note: Port switching in RouterOS v6.41 and newer is done using the bridge configuration. Prior to RouterOS v6.41 port switching was done using the master-port property, for more details check the Master-port page.

En MikroTik todas las interfaces, ya sean físicas o virtuales que pertenezcan a un bridge, automáticamente aparecerán con el flag "S" de slave y toda la gestión en Layer3 pasa a realizarse en el bridge, la interfaz se convierte en "tonta" por decirlo de alguna manera (asimilarla a un puerto de un switch) y se deben de mover todas las IPs y condiciones de In/Out Interface en el firewall al bridge. De lo contrario el comportamiento puede que no sea el esperado.

Port submenu is used to enslave interfaces in a particular bridge interface.

Simplemente recordar que el EoIP no levanta tras NAT si no le abres el protocolo (protocolo, no puerto) 47 GRE hacia el MikroTik que reciba la conexión en la ONT que tenga por encima (en el originador no hace falta, pero mejor abrirlo también porque nunca se sabe cual de los dos extremos lanza primero el paquete)

Y sobre el overhead que se le mete aquí os dejo el dato (MTU: 1500-42=1458 en Internet plano, si usas PPPoE Movistar es MTU: 1480-42= 1438):

Note: EoIP tunnel adds at least 42 byte overhead (8byte GRE + 14 byte Ethernet + 20 byte IP)

Un saludo a todos! Gran hilo éste

Solospam 29 julio 2020 10:51

⋮

Tengo RouterOS actualizada a la última versión.

Tengo un servidor L2TP IPsec levantado en oficina A

Tengo las los puertos L2TP IPsec activos en oficina B, aunque no es necesario para EOIP

Las reglas de firewall puertos y demás ocupan las 5 primeras posiciones en sendos firewall.

He visto el video que me recomendaron y no dice nada que no hya hecho o tratado de hacer sin éxito

Saludos

BocaDePez 29 julio 2020 13:15 ✎

⋮

Terminamos antes si nos pegas un /export hide-sensitive de ambos routers y podemos ver la configuración exacta que tienes (El hide-sensitive es para que no exporte las contraseñas)

✖

Solospam 29 julio 2020 13:57

⋮

Oficina A, posiblemente hasta mañana no pueda exportar el otro router

# jul/29/2020 13:30:44 by RouterOS 6.47.1
# software id = XXXX-XXXX
#
# model = RBXX11iGS
# serial number = XXXXXXXXXXXX
/interface bridge
add igmp-snooping=yes name=bridge1
/interface wireless
set [ find default-name=wlan1 ] band=5ghz-a/n/ac channel-width=\
    20/40/80/160mhz-XXXXXXXX frequency=auto mode=ap-bridge ssid=NoSpot \
    station-roaming=enabled wps-mode=disabled
set [ find default-name=wlan2 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
    disabled=no frequency=auto mode=ap-bridge ssid=nolink station-roaming=\
    enabled
/interface ethernet
set [ find default-name=ether1 ] comment=WAN
set [ find default-name=ether2 ] comment=LAN
/interface vlan
add interface=ether1 name=vlan3 vlan-id=3
add interface=ether1 name=vlan6 vlan-id=6
/interface pppoe-client
add add-default-route=yes allow=pap,chap disabled=no interface=vlan6 \
    keepalive-timeout=60 max-mru=1492 max-mtu=1492 name=internet \
    use-peer-dns=yes user=adslppp@telefonicanetpa
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa-psk,wpa2-psk eap-methods="" group-ciphers=\
    tkip,aes-ccm mode=dynamic-keys name=  supplicant-identity="" \
    unicast-ciphers=tkip,aes-ccm
/interface wireless
add keepalive-frames=disabled mac-address=00:11:22:33:44:55 master-interface=\
    wlan2 multicast-buffering=disabled name="" \
    security-profile=clientes ssid="" station-roaming=enabled \
    wds-cost-range=0 wps-mode=disabled
add default-forwarding=no disabled=no keepalive-frames=disabled mac-address=\
    00:11:22:33:44:55 master-interface=wlan2 multicast-buffering=disabled \
    name=clientes security-profile=  ssid=  station-roaming=\
    enabled wds-cost-range=0 wds-default-cost=0 wps-mode=disabled
/ip ipsec peer
add exchange-mode=ike2 name=ike2-peer passive=yes
/ip ipsec profile
set [ find default=yes ] dh-group=modp2048 enc-algorithm=\
    aes-256,aes-192,aes-128,3des,blowfish
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256,sha1 enc-algorithms="aes-256-c\
    bc,aes-256-gcm,aes-192-cbc,aes-192-gcm,aes-128-cbc,aes-128-gcm,3des" \
    pfs-group=modp2048
/ip pool
add name=vpn_pool ranges=10.0.0.2-10.0.0.11
add name=as ranges=192.168.10.2-192.168.10.8
add name=es ranges=192.168.99.2-192.168.99.4
add name=L2TP ranges=10.0.1.2-10.0.1.11
add name=ikev2-pool ranges=10.10.10.10-10.10.10.20
/ip dhcp-server
add address-pool=as disabled=no insert-queue-before=bottom interface=\
    as name=as
add address-pool=es disabled=no interface="" \
    name=""
/ip ipsec mode-config
add address-pool=ikev2-pool address-prefix-length=32 name=ike2-config
/ppp profile
add local-address=vpn_pool name=Openvpn remote-address=vpn_pool \
    use-encryption=yes
/system logging action
set 0 memory-lines=65535
set 1 disk-file-count=3 disk-lines-per-file=65535
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether6
add bridge=bridge1 interface=ether7
add bridge=bridge1 interface=ether8
add bridge=bridge1 interface=ether9
add bridge=bridge1 interface=ether10
add bridge=bridge1 interface=sfp-sfpplus1
/interface bridge settings
set use-ip-firewall-for-pppoe=yes use-ip-firewall-for-vlan=yes
/ip firewall connection tracking
set tcp-established-timeout=10s
/ip settings
set tcp-syncookies=yes
/interface l2tp-server server
set authentication=mschap1,mschap2 default-profile=L2TP enabled=yes \
    one-session-per-host=yes use-ipsec=required
/interface list member
add interface=ether1 list=WAN
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=ether6 list=LAN
add interface=ether7 list=LAN
add interface=ether8 list=LAN
add interface=ether9 list=LAN
add interface=ether10 list=LAN
add interface=sfp-sfpplus1 list=LAN
/interface ovpn-server server
set auth=sha1 certificate=SERVER cipher=aes128,aes192,aes256 default-profile=\
    Openvpn enabled=yes require-client-certificate=yes
/ip address
add address=172.16.1.1/24 comment="default configuration" interface=bridge1 \
    network=172.16.1.0
add address=192.168.100.10/24 interface=ether1 network=192.168.100.0
add address=192.168.10.1/24 interface=as network=192.168.10.0
add address=192.168.99.1/24 interface="es" network=192.168.99.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add add-default-route=no disabled=no interface=vlan3 use-peer-ntp=no
/ip dhcp-server network
add address=172.16.1.0/24 dns-server=1.1.1.1,1.0.0.1 gateway=172.16.1.1 \
    netmask=24
add address=192.168.10.0/24 dns-server=1.1.1.1,1.0.0.1 gateway=192.168.10.1
add address=192.168.99.0/24 dns-server=1.1.1.1,1.0.0.1 gateway=192.168.99.1
/ip dns
set servers=1.1.1.1,1.0.0.1
/ip firewall filter
add action=accept chain=input dst-port=1701,500,4500 protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=input comment="Allow OpenVPN" dst-port=1194 protocol=\
    tcp
add action=drop chain=input dst-port=22 protocol=tcp src-address-list=\
    ssh_blacklist
add action=add-src-to-address-list address-list=block-addr \
    address-list-timeout=32w chain=input comment="DDOS ATACK" \
    connection-limit=10,32 protocol=tcp
add action=tarpit chain=input connection-limit=3,32 protocol=tcp \
    src-address-list=block-addr
add action=add-src-to-address-list address-list=Port_Scanner \
    address-list-timeout=35w3d chain=input comment="Port  Scanner  Detect" \
    log=yes protocol=tcp psd=31,3s,3,1
add action=drop chain=input comment="Drop to port scan list" log=yes \
    src-address-list=Port_Scanner
add action=drop chain=forward comment="No Ping x.x.10.x" connection-state=\
    invalid in-interface=all-ethernet in-interface-list=all log=yes \
    out-interface-list=all protocol=icmp src-address=192.168.10.0/24
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked log=yes
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add chain=input comment="default configuration" protocol=icmp
add chain=input comment="default configuration" connection-state=established
add chain=input comment="default configuration" connection-state=related
add action=drop chain=input comment="default configuration" in-interface=\
    internet
add action=fasttrack-connection chain=forward connection-state=\
    established,related
add chain=forward comment="default configuration" connection-state=\
    established
add chain=forward comment="default configuration" connection-state=related
add action=drop chain=forward comment="default configuration" \
    connection-state=invalid
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=spam dst-port=25 protocol=tcp
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=drop chain=virus comment="VIRUS DE WINDOWS" dst-port=\
    135-139,445,593,4444,4000,995-999,8998,2745,4751,1434 protocol=udp
add action=drop chain=virus dst-port=\
    135-139,445,593,4444,4000,995-999,8998,2745,4751,1434 protocol=tcp
add action=drop chain=virus comment=rescaldo dst-port=57372 protocol=udp
add action=jump chain=forward jump-target=virus
add action=accept chain=virus connection-state=new limit=100,5:packet \
    protocol=udp tcp-flags=""
add action=drop chain=virus connection-state=new protocol=udp tcp-flags=""
add action=jump chain=forward comment=" SYN Floodprotect" connection-state=\
    new jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=accept chain=SYN-Protect connection-state=new limit=400,5 \
    protocol=tcp tcp-flags=syn
add action=drop chain=SYN-Protect connection-state=new protocol=tcp \
    tcp-flags=syn
add action=drop chain=input comment="no ping" connection-state=invalid \
    in-interface=internet log=yes protocol=icmp
add action=drop chain=output connection-state=invalid log=yes out-interface=\
    all-ethernet protocol=icmp
add action=drop chain=forward connection-state=invalid in-interface=internet \
    log=yes out-interface=all-ethernet protocol=icmp
add action=drop chain=forward comment="Disable hop" icmp-options=11:0 log=yes \
    protocol=icmp
add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 \
    protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
    address-list-timeout=1w3d chain=input connection-state=new dst-port=22 \
    protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
    address-list-timeout=1m chain=input connection-state=new dst-port=22 \
    protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
    address-list-timeout=1m chain=input connection-state=new dst-port=22 \
    protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
    address-list-timeout=1m chain=input connection-state=new dst-port=22 \
    protocol=tcp
/ip firewall mangle
add action=set-priority chain=postrouting new-priority=4 out-interface=vlan3
add action=set-priority chain=postrouting new-priority=1 out-interface=\
    internet
add action=mark-connection chain=prerouting comment=DNS connection-state=new \
    new-connection-mark=DNS port=53 protocol=udp
add action=mark-connection chain=postrouting connection-state=new \
    new-connection-mark=DNS port=53 protocol=udp
add action=mark-packet chain=prerouting connection-mark=DNS new-packet-mark=\
    DNS passthrough=no
add action=mark-packet chain=postrouting connection-mark=DNS new-packet-mark=\
    DNS passthrough=no
add action=mark-connection chain=prerouting comment=VOIP new-connection-mark=\
    VOIP port=5060,5061,10000-20000 protocol=udp
add action=mark-packet chain=prerouting connection-mark=VOIP new-packet-mark=\
    VOIP passthrough=no
add action=mark-connection chain=prerouting comment=UDP connection-state=new \
    new-connection-mark=UDP protocol=udp
add action=mark-packet chain=prerouting connection-mark=UDP new-packet-mark=\
    UDP passthrough=no
add action=mark-connection chain=prerouting comment=ICMP connection-state=new \
    new-connection-mark=ICMP protocol=icmp
add action=mark-connection chain=postrouting connection-state=new \
    new-connection-mark=ICMP protocol=icmp
add action=mark-packet chain=prerouting connection-mark=ICMP new-packet-mark=\
    ICMP passthrough=no
add action=mark-packet chain=postrouting connection-mark=ICMP \
    new-packet-mark=ICMP passthrough=no
add action=mark-packet chain=postrouting comment=ACK new-packet-mark=ACK \
    packet-size=0-123 passthrough=no protocol=tcp tcp-flags=ack
add action=mark-packet chain=prerouting new-packet-mark=ACK packet-size=0-123 \
    passthrough=no protocol=tcp tcp-flags=ack
add action=mark-connection chain=prerouting comment=HTTP connection-mark=\
    !HTTP_BIG connection-state=new new-connection-mark=HTTP port=80,443 \
    protocol=tcp
add action=mark-connection chain=prerouting connection-bytes=500000-0 \
    connection-mark=HTTP connection-rate=200k-100M new-connection-mark=\
    HTTP_BIG protocol=tcp
add action=mark-packet chain=prerouting connection-mark=HTTP_BIG \
    new-packet-mark=HTTP_BIG passthrough=no
add action=mark-packet chain=prerouting connection-mark=HTTP new-packet-mark=\
    HTTP passthrough=no
add action=mark-connection chain=prerouting comment=OTHER connection-mark=\
    no-mark new-connection-mark=OTHER
add action=mark-packet chain=prerouting connection-mark=OTHER \
    new-packet-mark=OTHER passthrough=no
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" \
    out-interface=internet
add action=masquerade chain=srcnat comment="default configuration" \
    out-interface=ether1
add action=masquerade chain=srcnat comment="default configuration" \
    out-interface=vlan3
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
    10.0.1.0/24
/ip firewall raw
add action=drop chain=prerouting protocol=tcp src-port=\
    69,111,135-139,445,593,4444,4000,995-999,8998,2745,4751,1434
add action=drop chain=prerouting protocol=udp src-port=\
    69,111,135-139,445,593,4444,4000,995-999,8998,2745,4751,1434
add action=drop chain=prerouting src-address-list=ads_list
add action=drop chain=prerouting src-address-list=malwaredomainlist_list
add action=drop chain=prerouting src-address-list=blocklistde_ftp_list
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip ipsec identity
add comment=any-client-psk generate-policy=port-strict mode-config=\
    ike2-config my-id=fqdn:server peer=ike2-peer remote-id=user-fqdn:clientX
/ip ipsec policy
set 0 dst-address=0.0.0.0/0 src-address=0.0.0.0/0
/ip route
add distance=255 gateway=255.255.255.255
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set api disabled=yes
set winbox address=
set api-ssl disabled=yes
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/ip upnp interfaces
add interface=bridge1 type=internal
add interface=internet type=external
/ppp profile
add bridge=*1A change-tcp-mss=yes dns-server=1.1.1.1,1.0.0.1 \
    insert-queue-before=bottom interface-list=LAN local-address=L2TP name=\
    L2TP remote-address=L2TP use-encryption=yes
/ppp secret
add name=IS profile=Openvpn service=ovpn
add name=IS profile=L2TP service=l2tp
/routing rip interface
add interface=vlan3 passive=yes receive=v2
/routing rip network
add network=10.0.0.0/8
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=X-Core
/system leds
add interface=wlan2 leds="wlan2_signal1-led,wlan2_signal2-led,wlan2_signal3-le\
    d,wlan2_signal4-led,wlan2_signal5-led" type=wireless-signal-strength
add interface=wlan2 leds=wlan2_tx-led type=interface-transmit
add interface=wlan2 leds=wlan2_rx-led type=interface-receive
/system logging
add prefix="L2TP=>" topics=l2tp
add prefix="IPSEC=>" topics=ipsec
add prefix="OVPN=>" topics=ovpn
/system ntp client
set enabled=yes primary-ntp=129.6.15.28 secondary-ntp=129.6.15.29
/system scheduler
add comment="Update No-IP DDNS" interval=5m name=NO-IP on-event=NO-IP policy=\
    read,write,policy,test,password,sniff,sensitive,romon start-date=\
    apr/30/2020 start-time=01:52:38
/system script
add dont-require-permissions=yes name=NO-IP owner=\ policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source="#\
    \_No-IP automatic Dynamic DNS update\r\
    \n\r\
    \n#--------------- Change Values in this section to match your setup -----\
   
    \n# No more changes need\r\

/tool mac-server
set allowed-interface-list=none

Solospam 30 julio 2020 00:16

⋮

Oficina B

# jul/29/2020 23:45:43 by RouterOS 6.47.1
# software id = YYYY-YYYY
#
# model = RBXX11iGS
# serial number = YYYYYYYYYYYY
/interface bridge
add igmp-snooping=yes name=bridge1
/interface wireless
set [ find default-name=wlan1 ] band=5ghz-a/n/ac channel-width=\
    20/40/80/160mhz-XXXXXXXX country=spain disabled=no frequency=auto \
    hide-ssid=yes mode=ap-bridge ssid=NoSpot station-roaming=enabled \
    wps-mode=disabled
set [ find default-name=wlan2 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
    disabled=no frequency=auto hide-ssid=yes mode=ap-bridge ssid=NoLink \
    station-roaming=enabled
/interface eoip
add allow-fast-path=no mac-address=11:22:33:44:55:66 name=eoip-prueba-slave \
    remote-address=OficinaA.sn.mynetname.net tunnel-id=101
/interface vlan
add interface=ether1 name=vlan3 vlan-id=3
add interface=ether1 name=vlan6 vlan-id=6
/interface pppoe-client
add add-default-route=yes allow=pap,chap disabled=no interface=vlan6 \
    keepalive-timeout=60 max-mru=1492 max-mtu=1492 name=internet \
    use-peer-dns=yes user=adslppp@telefonicanetpa
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa-psk,wpa2-psk eap-methods="" \
    management-protection=allowed mode=dynamic-keys name=print \
    supplicant-identity=""
/interface wireless
add disabled=no keepalive-frames=disabled mac-address=11:22:33:44:55:66 \
    master-interface=wlan1 multicast-buffering=disabled name=PRINT \
    security-profile=print ssid="" \
    station-roaming=enabled wds-cost-range=0 wds-default-cost=0 wps-mode=\
    disabled
add disabled=no keepalive-frames=disabled mac-address=11:22:33:44:55:66 \
    master-interface=wlan2 multicast-buffering=disabled name=print \
    security-profile=print ssid="" \
    station-roaming=enabled wds-cost-range=0 wds-default-cost=0 wps-mode=\
    disabled
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256,sha1 enc-algorithms=\
    aes-256-cbc,aes-192-cbc,aes-128-cbc,3des pfs-group=modp2048
/ip pool
add name=bridge ranges=192.168.1.2-192.168.1.9
add name=print ranges=192.168.10.2-192.168.10.8
add name=PRINT ranges=192.168.11.2-192.168.11.5
/ip dhcp-server
add address-pool=bridge bootp-support=dynamic disabled=no interface=bridge1 \
    name=bridge
add address-pool=print disabled=no interface=hp-print name=print
add address-pool=PRINT disabled=no insert-queue-before=bottom interface=\
    PRINT name=PRINT
/system logging action
set 0 memory-lines=65535
set 1 disk-lines-per-file=65535
/interface l2tp-client
add allow=mschap1,mschap2 connect-to=OficinaA.sn.mynetname.net disabled=\
    no name=l2tp-out1 profile=l2tp-gui use-ipsec=yes use-peer-dns=yes user=\
    l2tplab
/interface bridge port
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether6
add bridge=bridge1 interface=ether7
add bridge=bridge1 interface=ether8
add bridge=bridge1 interface=ether9
add bridge=bridge1 interface=ether10
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2
/interface bridge settings
set use-ip-firewall-for-pppoe=yes use-ip-firewall-for-vlan=yes
/ip settings
set tcp-syncookies=yes
/interface list member
add interface=internet list=WAN
add interface=ether1 list=WAN
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=ether6 list=LAN
add interface=ether7 list=LAN
add interface=ether8 list=LAN
add interface=ether9 list=LAN
add interface=ether10 list=LAN
add interface=sfp-sfpplus1 list=LAN
add interface=l2tp-out1 list=WAN
/ip address
add address=192.168.1.1/24 comment="default configuration" interface=bridge1 \
    network=192.168.1.0
add address=192.168.100.10/24 interface=ether1 network=192.168.100.0
add address=192.168.10.1/24 interface=print network=192.168.10.0
add address=192.168.11.1/24 interface=PRINT network=192.168.11.0
/ip cloud
set ddns-enabled=yes
/ip cloud advanced
set use-local-address=yes
/ip dhcp-client
add add-default-route=no disabled=no interface=vlan3 use-peer-ntp=no
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=1.1.1.1,1.0.0.1 gateway=192.168.1.1 \
    netmask=24
add address=192.168.10.0/24 dns-server=1.1.1.1,1.0.0.1 gateway=192.168.10.1
add address=192.168.11.0/24 dns-server=1.1.1.1,1.0.0.1 gateway=192.168.11.1
/ip dns
set servers=1.1.1.1,1.0.0.1
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state="" log=\
    yes protocol=udp src-port=1701,500,4500
add action=accept chain=input connection-state="" log=yes protocol=ipsec-esp
add action=accept chain=input connection-state="" log=yes protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=drop chain=forward comment="defconf: rejet out not ipsec policy" \
    disabled=yes ipsec-policy=out,none
add action=drop chain=input dst-port=22 protocol=tcp src-address-list=\
    ssh_blacklist
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid connection-type="" log=yes
add action=add-src-to-address-list address-list=block-addr \
    address-list-timeout=32w chain=input comment="DDOS ATACK" \
    connection-limit=10,32 protocol=tcp
add action=tarpit chain=input connection-limit=3,32 protocol=tcp \
    src-address-list=block-addr
add action=add-src-to-address-list address-list=Port_Scanner \
    address-list-timeout=35w3d chain=input comment="Port  Scanner  Detect" \
    log=yes protocol=tcp psd=31,3s,3,1
add action=drop chain=input comment="Drop to port scan list" log=yes \
    src-address-list=Port_Scanner
add action=drop chain=forward comment="No Ping x.x.10.x" connection-state=\
    invalid in-interface=all-ethernet in-interface-list=all log=yes \
    out-interface-list=all protocol=icmp src-address=192.168.10.0/24
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked log=yes
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add chain=input comment="default configuration" protocol=icmp
add chain=input comment="default configuration" connection-state=established
add chain=input comment="default configuration" connection-state=related
add action=drop chain=input comment="default configuration" in-interface=\
    internet
add action=fasttrack-connection chain=forward connection-state=\
    established,related
add chain=forward comment="default configuration" connection-state=\
    established
add chain=forward comment="default configuration" connection-state=related
add action=drop chain=forward comment="default configuration" \
    connection-state=invalid
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=spam dst-port=25 protocol=tcp
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=drop chain=virus comment="VIRUS DE WINDOWS" dst-port=\
    135-139,445,593,4444,4000,995-999,8998,2745,4751,1434 protocol=udp
add action=drop chain=virus dst-port=\
    135-139,445,593,4444,4000,995-999,8998,2745,4751,1434 protocol=tcp
add action=drop chain=virus comment=rescaldo dst-port=57372 protocol=udp
add action=jump chain=forward jump-target=virus
add action=accept chain=virus connection-state=new limit=100,5:packet \
    protocol=udp tcp-flags=""
add action=drop chain=virus connection-state=new protocol=udp tcp-flags=""
add action=jump chain=forward comment=" SYN Floodprotect" connection-state=\
    new jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=accept chain=SYN-Protect connection-state=new limit=400,5 \
    protocol=tcp tcp-flags=syn
add action=drop chain=SYN-Protect connection-state=new protocol=tcp \
    tcp-flags=syn
add action=drop chain=input comment="no ping" connection-state=invalid \
    in-interface=internet log=yes protocol=icmp
add action=drop chain=output connection-state=invalid log=yes out-interface=\
    all-ethernet protocol=icmp
add action=drop chain=forward connection-state=invalid in-interface=internet \
    log=yes out-interface=all-ethernet protocol=icmp
add action=drop chain=forward comment="Disable hop" icmp-options=11:0 log=yes \
    protocol=icmp
add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 \
    protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
    address-list-timeout=1w3d chain=input connection-state=new dst-port=22 \
    protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
    address-list-timeout=1m chain=input connection-state=new dst-port=22 \
    protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
    address-list-timeout=1m chain=input connection-state=new dst-port=22 \
    protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
    address-list-timeout=1m chain=input connection-state=new dst-port=22 \
    protocol=tcp
/ip firewall mangle
add action=set-priority chain=postrouting new-priority=4 out-interface=vlan3
add action=set-priority chain=postrouting new-priority=1 out-interface=\
    internet
add action=mark-connection chain=prerouting comment=DNS connection-state=new \
    new-connection-mark=DNS port=53 protocol=udp
add action=mark-packet chain=prerouting connection-mark=DNS new-packet-mark=\
    DNS passthrough=no
add action=mark-connection chain=postrouting connection-state=new \
    new-connection-mark=DNS port=53 protocol=udp
add action=mark-packet chain=postrouting connection-mark=DNS new-packet-mark=\
    DNS passthrough=no
add action=mark-connection chain=prerouting comment=VOIP new-connection-mark=\
    VOIP port=5060,5061,10000-20000 protocol=udp
add action=mark-packet chain=prerouting connection-mark=VOIP new-packet-mark=\
    VOIP passthrough=no
add action=mark-connection chain=prerouting comment=UDP connection-state=new \
    new-connection-mark=UDP protocol=udp
add action=mark-packet chain=prerouting connection-mark=UDP new-packet-mark=\
    UDP passthrough=no
add action=mark-connection chain=prerouting comment=ICMP connection-state=new \
    new-connection-mark=ICMP protocol=icmp
add action=mark-packet chain=prerouting connection-mark=ICMP new-packet-mark=\
    ICMP passthrough=no
add action=mark-connection chain=postrouting connection-state=new \
    new-connection-mark=ICMP protocol=icmp
add action=mark-packet chain=postrouting connection-mark=ICMP \
    new-packet-mark=ICMP passthrough=no
add action=mark-packet chain=postrouting comment=ACK new-packet-mark=ACK \
    packet-size=0-123 passthrough=no protocol=tcp tcp-flags=ack
add action=mark-packet chain=prerouting new-packet-mark=ACK packet-size=0-123 \
    passthrough=no protocol=tcp tcp-flags=ack
add action=mark-connection chain=prerouting comment=HTTP connection-mark=\
    !HTTP_BIG connection-state=new new-connection-mark=HTTP port=80,443 \
    protocol=tcp
add action=mark-connection chain=prerouting connection-bytes=500000-0 \
    connection-mark=HTTP connection-rate=200k-100M new-connection-mark=\
    HTTP_BIG protocol=tcp
add action=mark-packet chain=prerouting connection-mark=HTTP_BIG \
    new-packet-mark=HTTP_BIG passthrough=no
add action=mark-packet chain=prerouting connection-mark=HTTP new-packet-mark=\
    HTTP passthrough=no
add action=mark-connection chain=prerouting comment=OTHER connection-mark=\
    no-mark new-connection-mark=OTHER
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" \
    out-interface=internet
add action=masquerade chain=srcnat comment="default configuration" \
    out-interface=vlan6
add action=masquerade chain=srcnat comment="default configuration" \
    out-interface=vlan3
/ip firewall raw
add action=drop chain=prerouting protocol=tcp src-port=\
    69,111,135-139,445,593,4444,4000,995-999,8998,2745,4751,1434
add action=drop chain=prerouting protocol=udp src-port=\
    69,111,135-139,445,593,4444,4000,995-999,8998,2745,4751,1434
add action=drop chain=prerouting src-address-list=ads_list
add action=drop chain=prerouting src-address-list=malwaredomainlist_list
add action=drop chain=prerouting src-address-list=blocklistde_ftp_list
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip route
add distance=255 gateway=255.255.255.255
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set api disabled=yes
set winbox address=
set api-ssl disabled=yes
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/ip upnp interfaces
add interface=bridge1 type=internal
add interface=internet type=external
/ppp profile
add bridge=*1B change-tcp-mss=yes dns-server=1.1.1.1,1.0.0.1 interface-list=\
    LAN local-address=PRINT name=l2tp-gui remote-address=PRINT \
    use-encryption=yes
/routing rip interface
add interface=vlan3 passive=yes receive=v2
/routing rip network
add network=10.0.0.0/8
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=Y-Core
/system leds
add interface=wlan2 leds="wlan2_signal1-led,wlan2_signal2-led,wlan2_signal3-le\
    d,wlan2_signal4-led,wlan2_signal5-led" type=wireless-signal-strength
add interface=wlan2 leds=wlan2_tx-led type=interface-transmit
add interface=wlan2 leds=wlan2_rx-led type=interface-receive
/system ntp client
set enabled=yes primary-ntp=129.6.15.28 secondary-ntp=129.6.15.29
/system scheduler
add interval=5m name=NP-IP on-event=NO-IP policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
    start-date=jun/03/2020 start-time=10:07:29
/system script
add dont-require-permissions=no name=NO-IP owner=\ policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source="#\
    \_No-IP automatic Dynamic DNS update\r\
    \n\r\
    \n#--------------- Change Values in this section to match your setup -----\
    -------------\r\
/tool mac-server
set allowed-interface-list=none

BocaDePez 31 julio 2020 09:04

⋮

Buenos dias! Perdona la tardanza, este fin de semana vuelco las configs al simulador y te comento los resultados

✖

Solospam 31 julio 2020 10:13

⋮

Gracias, quedo a la espera

BocaDePez 2 agosto 2020 10:05

⋮

Buenos días, he estado revisando la configuración y salvo que falten cosas en el export, tal y como está es normal que no funcione. Falta el túnel EoIP en el extremo A hacia el extremo B. No me termina de quedar claro si los dos extremos de los Mk están levantando el PPPoE o sin embargo cogen IP privada por el DHCP-client.

Prueba esto y comenta por aquí si te llega a conectar o no:

Oficina A:

/ppp secret add name=USUARIO password=CONTRASEÑA profile=L2TP local-address=10.153.0.1 remote-address=10.153.0.2 service=l2tp

/interface eoip add name=eoip-oficinaB remote-address=10.153.0.2 tunnel-id=1000

/int bridge port add interface=eoip-oficinaB bridge=bridge1

Oficina B:

/interface l2tp-client add allow=mschap1,mschap2 connect-to=OficinaA.sn.mynetname.net disabled=no name=l2tp-oficinaA profile=l2tp-gui use-ipsec=yes use-peer-dns=yes user=USUARIO password=CONTRASEÑA

/interface eoip add name=eoip-oficinaA remote-address=10.153.0.1 tunnel-id=1000

/int bridge port add interface=eoip-oficinaA bridge=bridge1

Si sigue sin funcionarte ya sería cosa de hacer un anydesk o algo y verlo "en vivo"

Saludos

Solospam 3 agosto 2020 11:08

⋮

El problema está resuelto, se resuelve creando el túnel EOIP mediante web en vez de winbox.

Mi problema es que al levantar una parte del túnel éste no se levantaba "Running", lei en otro foro que la solución podría ser levantar el túnel vía web y de hecho funciona.

Quizás sea un bug de winbox, ya que el el otro lado pude levantar la conexión directamente desde winbox.

Gracias por tu tiempo y esfuerzo el túnel está creado y los dos routers ser ven, ahora sólo me queda sacar todo el tráfico por "Oficina A"

Saludos

BocaDePez 3 agosto 2020 12:18

⋮

Buenas, no es un bug… es que si no le pones el parámetro "Keepalive" a los túneles EoIP , se te quedan en Running aunque el otro extremo no responda.

Y hacerlo desde winbox o web es totalmente indiferente a efectos del router, le va a hacer el mismo caso a lo que le mandes por cualquier medio.

Para sacar el tráfico por oficina A, mete el EoIP B en el bridge1 de oficina B y haz que el gateway de las dos oficinas sea el router de la Oficina A. Con eso ya tendrás lo que deseas

Un saludo y me alegro de que te empiecen a funcionar las cosas :)

Solospam 3 agosto 2020 12:34

⋮

haz que el gateway de las dos oficinas sea el router de la Oficina A

¿Y eso como lo hago? ¿en /IP routes?

BocaDePez 3 agosto 2020 15:43

⋮

Pon en oficina B todos los equipos en el rango 172.16.1.x/24 y les pones el gw a la 172.16.1.1 (por la config es la IP que he visto que usas en Oficina A)

Si le cambias el gw al Mikrotik corres el riesgo de dejarlo sin Internet y se caería el túnel

✖

Solospam 3 agosto 2020 15:52

⋮

Tiene que ser necesariamente a la 172.16.1.X/24; no podría ser 172.16.X.1/24

De la forma que está estructurada la intranet se pisarían IP

BocaDePez 3 agosto 2020 22:21

⋮

Como te venga mejor, mientras el tráfico vaya adonde tenga que ir y vuelva por donde tenga que volver, no hay mayor problema en cuales IP's utilices

✖

BocaDePez 4 agosto 2020 10:53

⋮

Lo siento, no logro entenderte, llevo poco tiempo con mikrotik y no consigo entender lo que me quieres decir.

Si pudieras poner paso por paso lo que tengo que hacer te lo agradecería mucho, saludos

BocaDePez 4 agosto 2020 12:13

⋮

Lo que quería decirte es que los equipos de B tienen que buscar la IP del router de oficina A para salir por A hacia Internet.

EL concepto de lo que es un gateway lo tienes claro? Simplemente es hacer que los equipos de la oficina B compartan el mismo direccionamiento que A y que salgan por el mismo camino a Internet (router A).

Hablo de los equipos internos (PCs, impresoras, etc) , el router B en principio no haría falta tocarlo.