Mtik wg to Mtik wg route all traffic

[mamuth]

Здравейте,

Имам казус, който не мога да реша втори ден.

Всякаква помощ би била полезна.

Правя го за да си прекарам iptv-то на виваком през друг доставчик с wg тунели.Т.е шитбокса им да си взима частен адрес от mtilsf от бриджа на WAN порта или частен адрес.

На mtiksf съм си направил отделни портове за net и stb и са в един bridge.Това работи.

От двете страни wg0 се вдига с allowed address 0.0.0.0/0 . Връзка м/у пиърите има. wg пиърите са с адреси 10.33.11.1 (mtiksl) и 10.33.11.2 (mtilsf)

Имам отделен bridge и порт с отделен dhcp pool 10.9.8.0/29 на рутера mtiksl, за шитбокса.

Mark-вам трафика, който идва от 10.9.8.0/29, за да го пратя в рутинг таблицата 0.0.0.0  gw 10.33.11.2 distance 1 с рутинг таблица.

При някакви измислени тестове с пинг  се случва следното :

mtiksl  /ping address=1.1.1.1 interface=wg0 src-address=10.9.8.1
  SEQ HOST                                     SIZE TTL TIME       STATUS                                             
    0 1.1.1.1                                                      timeout                                            
    1 1.1.1.1                                                      timeout                            

                
като този пинг виждам, че минава през wg и стига до mtiksf. И идея си нямам как да продължа нататък.

mtiksf /tool/torch wg0 src-address=0.0.0.0/0  dst-address=0.0.0.0/0 duration=10
Columns: MAC-PROTOCOL, SRC-ADDRESS, DST-ADDRESS, TX, RX, TX-PACKETS, RX-PACKETS
MAC-PROTOCOL  SRC-ADDRESS  DST-ADDRESS  TX    RX      TX-PACKETS  RX-PACKETS
ip            10.9.8.1     1.1.1.1      0bps  448bps     0           1
                                        0bps  448bps     0           1

Ако махна src-address=10.9.8.1 при пинга от mtiksl ситуацията е :

mtiksl  /ping address=1.1.1.1 interface=wg0
  SEQ HOST                                     SIZE TTL TIME       STATUS                                             
    0 10.33.11.2                                 84  64 8ms901us   net unreachable                                    
    1 10.33.11.2                                 84  64 12ms278us  net unreachable                   

 

mtiksf /tool/torch wg0 src-address=0.0.0.0/0  dst-address=0.0.0.0/0 duration=10
Columns: MAC-PROTOCOL, SRC-ADDRESS, DST-ADDRESS, TX, RX, TX-PACKETS, RX-PACKETS
MAC-PROTOCOL  SRC-ADDRESS  DST-ADDRESS  TX    RX      TX-PACKETS  RX-PACKETS
ip            10.33.11.1   1.1.1.1      0bps  448bps           0           1
ip            10.33.11.1   10.33.11.2   0bps  0bps             0           0
                                        0bps  448bps           0           1

Как да го прекарам този трафик да излиза през mtiksf.

 

[JohnTRIVOLTA]

Ще щриховам само какво трябва да се направи:

в mtiksl

1. Резервирай IP адрес на приемника.

2.Не е нужно да се маркира трафика в случая, а за целта се добавя рутинг таблица и едно правило адреса на приемника да чете нея , а не основната. В таблицата се добавя път ласт рисорт с гейт адрес на WG при mtiksf.

3.Добавя се правило за SNAT за адреса на приемника да излиза с този на WG, като се качва да е първо в нат таблицата.

в mtiksf

1. Добавя се правило за SNAT за адреса на приемника, който е вече натнат с този на WG при mtiksl .

[kokaracha]

С wg няма как да се транзитира L2 трафик. EoIP или L2tpv3 в случая могат да транзитират iptv.

[JohnTRIVOLTA]

преди 28 минути, kokaracha написа:

С wg няма как да се транзитира L2 трафик. EoIP или L2tpv3 в случая могат да транзитират iptv.

До колкото знам почти не се ползва мултикаст при телевизията на Виваком за EON смарт бокс, IPTV приемник и EON Smart TV приложение, а уникаст, като е нужно да се излиза през публичен адрес от мрежите на Виваком. Това не важи за андроид приложението, което работи с всяка мрежа! Та ако случая на колегата е такъв е нужно само да си рутира трафика на приемника по описаният примерен начин.

Ако пък е с някой от старите тв приемници, то както казахте ще е нужно L2 свързаност, като може да добави EoiP в двата края, а за транспорт ползва изграденият вече WG.

[mamuth]

Благодаря за отговорите.

За сега нямам успех.

Нали не е проблем да пробвам с пинг от адреса, който съм оставил на бриджа, на който ще закача sbt-то?Все още не съм го пренесал.

Не би трябвало да е проблем, ако маркирам трафика и не ползвам last risort, нали .Не съм го ползвал до сега.

Мога да кача един screenshot, ако забележите нещо нередно.

[111111]

Разкарай тоя Wireguard само лаг си вкарваш, и прекарваш през няколко протокола трафика за един прост тунел.

Тая параноя ще ви погуби.

[mamuth]

Нямам параноя.Смятам го за най-чистият вариант да го прекарам.

Лага не ме интересува.Просто да работи.

Ако имаш по-добри предложения, сподели ги.

[111111]

L2TP два бриджа и нужните интерфейси в тях.

Стриимовете са криптиране иначе никой нямаше да ползва приемниците, да ги криптираш още веднъж е безсмислено ползване на ресурс.

Ти като имаш лаг ще почнеш да ревеш че ти пикселизира картината.

 

[mamuth]

А, да забравил съм да напиша, че mtiksf няма реален адрес - eoip отпада.

И това с реването....

[JohnTRIVOLTA]

Just now, mamuth написа:

А, да забравил съм да напиша, че mtiksf няма реален адрес - eoip отпада.

И това с реването....

EoIP се транспортира върху изграденият WG, а за L2TP е нужно публичен адрес само в сървърната страна!

[mamuth]

Оки, ще опитам.

[mamuth]

Направих го с EoIP.

Работи супер.10х.

Не съм знаел, че микротика може и такива неща.

Гледах да ползвам това което знам.

Ако някой го интересува, ще постна конфиг.

[computer]

Преди 1 час, mamuth написа:

Направих го с EoIP.

Не съм знаел, че микротика може и такива неща.

EoIP е протокол на Микротик и се ползва масово от всички които ползват марката. Най-масовия сетъп на EoIP който може да се срещне е тунел и в него EoIP

[kokaracha]

EoIP е интерфейс.Прoтокoла е GRE.

[JohnTRIVOLTA]

"Ethernet over IP (EoIP) Tunneling is a MikroTik RouterOS protocol..." т.е. протокол ползващ GRE протокола!