Configuramos un túnel EoIP entre MikroTik y Keenetic: Unimos redes mediante IP privadas

En el mundo de las tecnologías de red, a menudo surge la tarea de unir dos redes LAN remotas de manera que se perciban como una sola, incluso si están detrás de routers diferentes. Para los propietarios de equipos MikroTik es familiar el concepto de EoIP (Ethernet over IP) — un protocolo de túnel propietario que permite crear una interfaz Ethernet virtual (Capa 2) sobre una red IP.

Buenas noticias para los usuarios de Keenetic: a partir del firmware NDMS v2.10, los routers Keenetic también soportan EoIP! Esto abre la puerta a interesantes configuraciones de red.

En este caso analizaremos en detalle cómo configurar un túnel EoIP completo entre routers MikroTik y Keenetic, usando direcciones IP privadas. Este enfoque es ideal para usar el túnel dentro de una VPN existente o en escenarios donde puedas garantizar el reenvío correcto del protocolo GRE a través de NAT.

📌 ¿Qué es EoIP?

EoIP (Ethernet over IP) es un protocolo de túnel propietario desarrollado por MikroTik. Funciona sobre GRE (Generic Routing Encapsulation), que a su vez se encapsula en IP (usa el Protocolo IP 47). En esencia, EoIP crea un cable Ethernet virtual entre dos dispositivos remotos, permitiéndoles intercambiar tramas Ethernet como si estuvieran conectados directamente en la red local. Esto significa que puedes “transportar” tráfico L2 (VLAN, DHCP, ARP, PPPoE) a través del túnel.

📋 Condiciones para que funcione correctamente

Antes de comenzar con la configuración, asegúrate de que se cumplen las siguientes condiciones clave:

• Accesibilidad por IP: Los routers Keenetic y MikroTik deben poder “verse” entre sí por direcciones IP. Esto puede lograrse si están en la misma red VPN (por ejemplo, ambos son clientes de un servidor VPN o entre ellos ya existe una VPN Site-to-Site) o si el protocolo GRE (Protocolo IP 47) está correctamente reenviado a través de NAT en ambos extremos (para esto se requiere el reenvío de puertos en los routers que están delante del MikroTik/Keenetic).
• Uso de direcciones IP privadas: En nuestro ejemplo usaremos IP privadas para el tunelizado. Supongamos:
  • MikroTik: 192.168.100.1 (IP que MikroTik usa para comunicarse con Keenetic).
  • Keenetic: 192.168.200.1 (IP que Keenetic usa para comunicarse con MikroTik).
• ID de túnel coincidente: Es crítico que el Tunnel ID sea idéntico en ambos dispositivos (por ejemplo, 100).
• Ausencia de bloqueo de GRE (Protocolo IP 47): Asegúrate de que ningún firewall ni proveedor bloquea el protocolo GRE.

🖧 Esquema de nuestra red

Imaginemos la siguiente topología:

[Red local A] <--- Ethernet ---> MikroTik (IP para el túnel: 192.168.100.1)
                                       ↑
                                       | EoIP Tunnel (Tunnel ID: 100)
                                       ↓
[Red local B] <--- Ethernet ---> Keenetic (IP para el túnel: 192.168.200.1)

Crearemos una red EoIP compartida para la interacción L2 directa entre routers, por ejemplo: 192.168.88.0/24.

⚙️ Configuración MikroTik (RouterOS)

Conéctate a tu router MikroTik (a través de Winbox o SSH/WebFig) y ejecuta los siguientes comandos:

1. Creamos la interfaz EoIP: Esta interfaz será el canal virtual para nuestro túnel.

   /interface eoip add name=eoip-keenetic \
     remote-address=192.168.200.1 \
     local-address=192.168.100.1 \
     tunnel-id=100 comment="Túnel EoIP a Keenetic"
   

   • remote-address: Dirección IP de Keenetic que usa para el túnel.
   • local-address: Dirección IP de MikroTik que usa para el túnel.
   • tunnel-id: Identificador único del túnel (debe coincidir en ambos extremos).

2. Creamos un bridge (puente) y agregamos puertos: Crearemos un bridge nuevo para unir nuestra interfaz EoIP con la red local de MikroTik, haciéndolas parte del mismo dominio L2.

   /interface bridge add name=br-eoip comment="Puente para el túnel EoIP"
   /interface bridge port add bridge=br-eoip interface=eoip-keenetic comment="Agregar la interfaz EoIP al puente"
   /interface bridge port add bridge=br-eoip interface=ether2 comment="Agregar el puerto LAN de MikroTik (o VLAN) al puente"
   

   • Reemplaza ether2 por el nombre de tu puerto LAN o interfaz VLAN que quieras unir al dominio L2 con Keenetic.

3. Asignamos dirección IP al bridge (opcional, para acceso L3): Si necesitas una dirección IP para gestionar el bridge o para enrutar tráfico L3 a través de él, asígnala. Esta será la IP de tu MikroTik en la red EoIP compartida.

   /ip address add address=192.168.88.1/24 interface=br-eoip comment="IP para el puente EoIP"
   

   • 192.168.88.1/24 — es la dirección IP de MikroTik en nuestra nueva red L2 compartida.

⚙️ Configuración Keenetic (NDMS)

Conéctate a la interfaz web de tu router Keenetic y ve a Sistema → Línea de comandos (CLI).

1. Creamos la interfaz EoIP:

   interface EoIP0
     tunnel source 192.168.200.1
     tunnel destination 192.168.100.1
     tunnel id 100
     no shutdown
   exit
   

   • tunnel source: Dirección IP de Keenetic que usa para el túnel.
   • tunnel destination: Dirección IP de MikroTik que usa para el túnel.
   • tunnel id: Identificador del túnel (debe coincidir con MikroTik).

2. Agregamos EoIP al bridge: En Keenetic por defecto existe Bridge0. Añadiremos nuestra nueva interfaz EoIP y el puerto LAN local de Keenetic a ese bridge.

   interface Bridge0
     bridge-group Bridge0
     bridge-ports EoIP0 Ethernet0  # Agregue su puerto LAN local de Keenetic
   exit
   

   • Reemplaza Ethernet0 por el nombre de tu puerto LAN local que quieras unir al dominio L2.
   • Atención: Asegúrate de añadir exactamente la interfaz que corresponde a tu red local, y no la WAN.

3. (Opcional) Asignamos IP para acceso L3: Si necesitas una IP para gestión o enrutamiento L3 a través del bridge en Keenetic.

   interface Bridge0
     ip address 192.168.88.2/24
   exit
   system configuration save
   

   • 192.168.88.2/24 — es la dirección IP de Keenetic en nuestra nueva red L2 compartida.
   • Asegúrate de guardar la configuración con el comando system configuration save.

✅ Verificación del túnel

Después de configurar ambos extremos, es momento de comprobar que el túnel funciona correctamente.

En MikroTik:

• Comprueba el estado de la interfaz EoIP:

  /interface eoip print
  

  Asegúrate de que el estado esté running y que aparezca R (running) junto a la interfaz eoip-keenetic.
• Ping a la dirección IP de Keenetic en la red EoIP:

  /ping 192.168.88.2 interface=br-eoip
  

  Los pings deberían responder.
• Tráfico a través del túnel (torch):

  /tool torch interface=eoip-keenetic
  

  Esto mostrará el tráfico que pasa por el túnel, si lo hay.

En Keenetic:

• Verifica el estado de las interfaces:

  show interfaces
  

  Asegúrate de que EoIP0 esté activo (UP).
• Ping a la dirección IP de MikroTik en la red EoIP:

  ping 192.168.88.1
  

  Los pings deberían responder.

🛠️ Posibles problemas y sus soluciones

• El túnel no funciona (estado “down”):
  • Revisa el Tunnel ID: Debe ser exactamente el mismo en ambos extremos.
  • Revisa remote-address y local-address: Asegúrate de que estén correctamente especificados y que los routers puedan hacerse ping entre esas direcciones. remote-address en MikroTik debe ser el local-address de Keenetic, y viceversa.
• No hay conectividad a través del túnel aunque las interfaces estén UP:
  • Verifica el permiso de GRE (Protocolo IP 47): Asegúrate de que tus firewalls en ambos routers (y cualquier firewall intermedio) permitan el paso del Protocolo IP 47.
  • NAT interfiere con EoIP: Si uno de los routers está detrás de NAT y no usas VPN, necesitas reenviar el Protocolo IP 47 (GRE) en el router que realiza NAT hacia tu MikroTik/Keenetic. Es mucho más fiable usar el túnel sobre una VPN ya establecida.
• Problemas de MTU (Unidad Máxima de Transmisión):
  • A veces pueden surgir problemas de fragmentación de paquetes, especialmente si EoIP se encapsula a través de una VPN o Internet.
  • Solución: Establece el MTU manualmente a ~1400 en ambas interfaces EoIP.
    • MikroTik: /interface eoip set eoip-keenetic mtu=1400
    • Keenetic: En CLI interface EoIP0 mtu 1400
    • Además, si el problema persiste, puedes intentar reducir el MSS (Maximum Segment Size) en el firewall de MikroTik para el tráfico del túnel:

      /ip firewall mangle add chain=forward \
        action=change-mss new-mss=1360 \
        passthrough=yes \
        protocol=tcp \
        tcp-flags=syn \
        out-interface=eoip-keenetic \
        comment="Ajustar MSS para EoIP"
      

🧩 ¿Cuándo es útil esto?

• Unir redes en un mismo dominio L2: Permite que equipos en distintas ubicaciones físicas estén en la misma subred, obtengan direcciones DHCP de un único servidor y trabajen con tráfico broadcast.
• Extender VLAN, DHCP, PPPoE entre ubicaciones: EoIP es ideal para extender VLANs o permitir el funcionamiento transparente de servidores DHCP, e incluso para transportar sesiones PPPoE a través del túnel.
• Construir infraestructura de respaldo sobre VPN: Se puede usar EoIP sobre una VPN para crear soluciones de alta disponibilidad.
• Acceso sencillo a dispositivos en la red remota: Si necesitas acceso L2 a dispositivos que no tienen IP o que deben estar en la misma red L2.

💬 Conclusión

Configurar un túnel EoIP entre MikroTik y Keenetic es un excelente ejemplo de cómo protocolos propietarios, pero bien implementados, pueden usarse para crear soluciones de red potentes y flexibles. La capacidad de unir redes locales en un dominio L2 mediante EoIP, especialmente usando IP privadas sobre una VPN, ofrece grandes posibilidades para ampliar la infraestructura y crear topologías complejas.