🛠️ EoIP no se conecta: Lista para solucionar problemas del túnel (MikroTik)
Publicado el 16.10.2025
El protocolo EoIP (Ethernet over IP) de MikroTik se utiliza para crear un túnel L2 sobre una red IP, permitiendo unir dos redes locales remotas en un mismo dominio de broadcast.
Si su túnel EoIP no se establece (no aparece la bandera “R” — En ejecución), siga esta lista de verificación paso a paso.
1. Verificación de conectividad IP (L3)
Antes de empezar, asegúrese de que los routers se ven entre sí a nivel IP.
Ping al extremo remoto:
/ping 203.0.113.2 count=4
Si el ping no responde — compruebe rutas y NAT:
/ip route print
/ip firewall nat print
Asegúrese de que existe una ruta al IP remoto y que el NAT no está reescribiendo el tráfico GRE.
Direcciones correctas:
Verifique que en la configuración de EoIP el campo remote-address contiene el WAN-IP correcto del router opuesto:
/interface eoip print
Ejemplo:
0 name="eoip-tunnel1" mtu=1476 arp=enabled remote-address=203.0.113.2 tunnel-id=0
2. Verificación de la configuración del túnel EoIP
Tunnel ID: Debe coincidir en ambos extremos.
/interface eoip
add name=eoip-tunnel1 remote-address=203.0.113.2 tunnel-id=0
Local Address: Si el WAN no es principal:
local-address=192.168.1.1
Comprobación del estado:
/interface print
Ejemplo:
Flags: D - dinámico, X - deshabilitado, R - en ejecución
# NAME TYPE MTU
0 R ether1 ether 1500
1 eoip-tunnel1 eoip 1476
Si no aparece la bandera R — el túnel no está activo.
3. Comprobación del Firewall (GRE y NAT) ⛔
Permitir GRE:
/ip firewall filter
add chain=input protocol=gre action=accept comment="Permitir GRE para EoIP"
Añada esta regla en ambos routers en la cadena input.
Omisión de NAT: Si EoIP funciona detrás de NAT o dentro de L2TP/IPsec, excluya el re-NAT:
/ip firewall nat
add chain=srcnat dst-address=203.0.113.2 action=accept comment="Omitir NAT para EoIP"
4. Comprobación de MTU (Maximum Transmission Unit) 📏
EoIP añade cabeceras GRE e IP, reduciendo el tamaño máximo de paquete permitido.
Ajuste del MTU:
/interface eoip
set [find name=eoip-tunnel1] mtu=1400
Diagnóstico de fragmentación:
/tool ping 203.0.113.2 size=1500 do-not-fragment
Si el ping con do-not-fragment no pasa — reduzca el MTU.
Valores recomendados:
- PPPoE — 1300–1400
- IPoE — 1450–1476
5. Comprobación del bridge (Bridge) y conectividad L2
Si el túnel está arriba, pero no circula tráfico:
Añadir al bridge:
/interface bridge
add name=bridge1
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=eoip-tunnel1
Ether2 — LAN local, EoIP — túnel.
Verificación de IP:
/ip address print
Asegúrese de que ambos extremos estén en la misma subred y no haya conflictos de IP.
6. Diagnóstico y logs
Logs:
/log print
Revise los mensajes relacionados con GRE y EoIP.
Trazado:
/tool traceroute 203.0.113.2
Úselo para comprobar la ruta hasta el router remoto.
⚠️ Errores típicos y soluciones
| Problema | Causa | Solución |
|---|---|---|
| No hay la bandera R | No hay conectividad IP | Comprobar ping, rutas, NAT |
| Túnel existe, pero no hay tráfico | EoIP no está en el bridge | Añadir al bridge junto con la LAN |
| Cortes periódicos | El proveedor bloquea GRE / cambia IP | Usar IPsec o GRE sobre L2TP |
| Pérdidas de paquetes | MTU demasiado grande | Reducir MTU a 1400 o 1300 |
| Un extremo detrás de NAT | GRE no atraviesa | Hacer forward de puertos o usar L2TP/IPsec |
| Ruteo distinto | Asimetría de rutas | Configurar policy routing |
| PPPoE sin MSS-clamp | Pérdida de sesiones TCP |
/ip firewall mangle add chain=forward protocol=tcp tcp-flags=syn action=change-mss new-mss=1360 passthrough=yes comment="Ajustar MSS para EoIP"
``` |
| GRE no permitido | Firewall bloquea GRE | Permitir GRE en `input` y `forward` |
| No hay ARP | `local-address` incorrecto o NAT | Indicar el WAN-IP correcto |
---
## 💡 Consejos de fiabilidad
1. **Fije el MTU manualmente** — evite la autodetección.
2. **Monitorización con Netwatch:**
```bash
/tool netwatch add host=203.0.113.2 interval=1m up-script="/interface eoip enable eoip-tunnel1" down-script="/interface eoip disable eoip-tunnel1"
Use IPsec al operar a través de redes públicas.
Registre paquetes GRE para diagnóstico:
/ip firewall filter add chain=input protocol=gre action=log log-prefix="GRE-ENTRADA"
🧩 Resumen
Lista de verificación para EoIP:
- Comprobar la conectividad IP.
- Asegurarse de que el
tunnel-idcoincide. - Permitir GRE en el Firewall.
- Verificar el MTU.
- Añadir EoIP al Bridge.
Tras las correcciones, la interfaz debería aparecer con la bandera R (En ejecución) y empezar a transmitir tráfico.