Your SlideShare is downloading. ×
Instalación y Licenciamiento1. Instalar MikroTik desde Cero (Sólo para x86)2. Primer Paso: Conectarse al servidor MikroTik...
1. Configurar MikroTik en modo PPPoE-Client para routermodo BridgeConfigurar MikroTik WebProxy1.   Configurar MikroTik Web...
Configurar MikroTik paraRedireccionar a nuestros Clientes aThunderCache1. Redireccionar nuestros clientes a ThunderCache u...
Tareas Administrativas1. Configurar -correctamente- la hora en MikroTik (x86/RB)2. Reiniciar el Servidor MikroTik automáti...
Lo que deberías saber1. Qué es el Ping2. Conseguir un buen enlace WiFiCómo instalar MikroTik RouterOS desde CeroBueno, est...
Con las teclas direccionales nos colocaremos encima delpaquete que queremos instalar, y con ayuda de la barraespaciadora l...
Presionamos la tecla n ya que no tenemos una configuraciónanterior que mantener.Warning: all data in the disk will be eras...
Presionaremos la tecla n para evitar la comprobación dedisco.Una vez hecho esto tendremos la clásica pantalla de login deM...
Claro, tenemos menos de 24 horas para colocarle la licencia,o simplemente nuestro sistema expirará (no permitirá accesoalg...
La imagen muestra que MikroTik ha reconocido 2 tarjetas dered en nuestro PC, que es justamente el total de tarjetas dered ...
  La tarjeta es un modelo bastante nuevo, o raro, que   MikroTik no puede reconocerla.  etc.Tengan en cuenta que no exis...
descargas, o desde mikrotik.com                              .Una   vez   abierto,   veremos   una   ventana   como   esta...
Como es una nueva instalación, esta no cuenta aún con un IP,así que nos conectaremos por MAC, para eso seleccionaremosla M...
módulos puede llegar a fallar, por lo que se debería repetir laoperación una vez más hasta que logre establecer la correct...
activado, un antivirus agresivo, etc. así que habría que darcon el problema para poder conectarnos apropiadamente.Cómo lic...
Presionamos el botón License para ir a la ventana de licencia,o también se puede llegar a través de System -> LicenseUna v...
comprar licencias directamente. Una vez aprobado, el sistemaes                       bastante                    simple.Pu...
se quisiera actualizar una licencia para RouterBOARD, sólohabría que seleccionarla.                                       ...
El objetivo de todo esto es tener la clave de licencia, que esun código como este:-----BEGIN       MIKROTIK       SOFTWARE...
Simplemente toca pegar la clave de licencia haciendo clickderecho                     ->                      Paste
Una vez que la clave de licencia esté pegada, presionamosenter y nos saldrá el siguiente mensaje:You must reboot before ne...
Bases Generales y cómo entender las GuíasEs muy bueno conocer ciertas cosas básicas acerca deMikroTik, esto a que en mis s...
accidentalmente, podemos utilizar el botón "deshacer" pararevertir el cambio realizado, tiene una buena memoria así quepod...
   Hotspot, para configurar un hotspot server, y que    nuestros clientes tengan acceso a internet mediante un    usuario...
comandos, es lo más práctico cuando se trata de muchasconfiguraciones, ya que podemos "pegar" listas de comandospara evita...
(+) Agregar      Regla,     atajo    de       teclado: (A)dd.(–) Remover      Regla,   atajo     de    teclado: (R)emove.(...
Muchas de mis guías serán bastante simples ya que lasexplicaré con imágenes "paso a paso", pero otras seránúnicamente escr...
Quizá no sea tan fácil como parece ya que tendríamos queeditar el código a nuestras necesidades, por ejemplo, en esaregla ...
De la segunda línea, add quiere decir "Agregar nueva Regla" ytodas las demás opciones de esta segunda línea lasencontrarem...
Entonces vamos al grano. Conectamos una sóla tarjeta delservidor al switch general y nos entramos al servidor desdewinbox....
Ya es de suponer que ether2 es la tarjeta que estádesconectada del servidor. Si es que se tuviera más de2 tarjetas conecta...
Muchas veces veo servidores con nombres muydiversos, o con el típico "WAN" y "LAN", sinceramenteme es algo fastidioso ya e...
Como pueden apreciar, el nombre de la tarjeta es elmismo:     ether2,     salvo     que    utilizo      elbotón Comment pa...
del servidor y así poder seguir configurando; claro, tambiénprobaremos         lo     que        estamos       haciendo.El...
nuestros clientes se conectarán, incluyendo nosotros ya quevendríamos       a     ser     clientes    del     servidor.Tal...
preguntando qué quiere decir el "/24" que se encuentra alfinal del IP; bueno, el "/24" corresponde a a máscara desubred, e...
El proceso es similar al anterior, salvo que aquí utilicé, comoopcional, el botón Comment para dejar un comentario a lareg...
3a.- En la ventana   que   se   abrirá,   iremos   a   lapestaña General.
Chain, seleccionamos scrnat. Aunque siempre está así pordefecto    cuando    se   crea   una    nueva    regla...Out. Inte...
Action, eligiremos masquerade que        nos     permitiráenmascarar nuestras conexiones a detrás de la WAN IP, y asíaisla...
Ya en la ventana Route List, veremos que hay 2 reglas quenosotros no agregamos. Esto es normal ya que ahí se agreganlas ru...
Gateway, aquí sólo colocaremos la puerta de enlace delrouter (el IP del router), de esta manera le estamos diciendoal serv...
192.168.10.1, entonces el cliente debería de tener estaconfiguración de acuerdo a ese rango de red. Un ejemplodesde       ...
router a por ejemplo, 192.168.0.1, y luego seguir la guía conlos valores adaptados.Configurar WAN y LAN para conectarse a ...
Ya sabemos que el servidor cuenta con 2 tarjetas de red, unaque será nuestra WAN y otra que será nuestra LAN. Sólo pararec...
red WAN) para que nuestro servidor se puede comunicar conel router. Para eso nos vamos aIP -> Addresses yagregamos        ...
Network y Broadcast, no es necesario configurarlasmanualmente ya que al momento de colocar el "/24"en Address,    estas 2 ...
3.- Una vez que tengamos las IPs configuradas para cadatarjeta, tocará hacer el "enmascarado", para eso vamos a IP-> Firew...
Chain, seleccionamos scrnat. Aunque siempre está así pordefecto    cuando    se   crea   una    nueva    regla...Out. Inte...
Action, eligiremos masquerade que        nos     permitiráenmascarar nuestras conexiones a detrás de la WAN IP, y asíaisla...
Ya en la ventana Route List, veremos que hay 2 reglas quenosotros no agregamos. Esto es normal ya que ahí se agreganlas ru...
Gateway, aquí sólo colocaremos la puerta de enlace delrouter (el IP del router), de esta manera le estamos diciendoal serv...
desde       un       cliente      con       Windows        7:En este caso he colocado los DNS de Telefónica. Ya si utiliza...
Asignar un Ancho de Banda Específico a los ClientesA diferencia de tener a nuestros clientes conectadosdirectamente al rou...
Name, aquí colocaremos el nombre del cliente, aunque enrealidad puede ser cualquier palabra que nos ayude aindentificarlo....
la misma regla, y para ello presionamos el botón en forma deflecha apuntando hacia abajo, y así tendremos un cuadro másen ...
pasa    del   70%      entonces   su   regla   se   volverá   roja.Quizá en un inicio el Queue List no muestre todas lasco...
/queue typeadd kind=pcq name=pcq-up pcq-classifier=src-address pcq-limit=50 pcq-rate=0 pcq-total-limit=2000add kind=pcq na...
Bueno, para empezar tendremos que agregar las IP/MAC denuestros clientes, para eso vamos a IP -> ARPEn la imagen de arriba...
Una vez que se presione Make Static, la letra "D"desaparecerá de la regla, así como esas 2 reglas de la imagende arriba. C...
IP Address, aquí colocaremos el IP del PC de nuestro clienteo dispositivo de red que necesite internet, con esto últimoqui...
cliente, de modo que tendremos que colocar la MAC del APcliente.Esto último es una regla de los APs modo cliente. "Todo IP...
ARP, tendremos que cambiar esta opción a reply-only, deesta manera la interfaz de red ether2 sólo responderá a laspeticion...
modificando       la     opción ARP,de reply-only cambiarlaa enabled (como estuvo en un inicio) para desactivar elamarre I...
siguientes                                      peticiones.Para empezar con la configuración vamos a IP -> DNS -> pestaña ...
Se puede probar que todo quedó bien haciendo un ping alalguna página desde el servidor, en este caso suelo probarhaciendo ...
Si se quiere sacar el máximo provecho al DNS cache deMikroTik, tenemos que hacer que los clientes utilicen el DNScache de ...
En este caso, la IP de la tarjeta de red LAN (en MikroTik) opuerta de enlace de los clientes es el 192.168.10.1, por lotan...
molestias, sólo enviaremos las solicitures de nuestros clientesa los DNS y las redirecionaremos al DNS Cache de MikroTik.P...
Chain=dstnat, en pocas palabras, esta cadena especifica loque           tenga             como             destino.Protoco...
Action, que es lo que va a hacer con el tráfico queidentificamos en la pestaña General, en este caso vamos aredireccionar ...
fácimente cuando necesitemos hacerlo, ya que cuandotengamos más de 10, 20 ó x reglas, nos será más fácilreconocerla, y est...
El    problema    viene   a    que    estos    ISPs   nosvenden/ceden/alquilan/regalan routers ADSL de gama MUYbaja, con m...
Una vez hecho esto, nos aparecerá una nueva ventana paraconfigurar nuestro PPPoE Client, luego iremos apestaña General.
Interfaces, seleccionaremos la interfaz a la que seráasociada nuestra interfaz virtual PPPoE Client, que en estecaso es et...
User/Password, son los datos que nos da nuestro ISP parapodernos autenticar a sus servidores, estos valores losencontrarem...
Use Peer DNS, MikroTik configurará automáticamente elDNS (IP -> DNS) con los valores que le entregó el ISP almomento que e...
Parte 2: Configurar Puerta de Enlace (Gateway) de losclientes y enmascarado.Una vez que nuestro PPPoE Client esté configur...
Una vez que colocamos el IP a la interfaz LAN (el gateway delos clientes) tendremos que hacer el enmascarado, para esovamo...
Action, eligiremos masquerade que nos permitiráenmascarar nuestras conexiones (de los clientes) detrás de laIP pública que...
En IP -> Addresses, se agregará automáticamente (nótesela "D") un IP asoaciado a la interfaz pppoe-out1, estavendría a ser...
En IP -> Routes, se agregarán automáticamente las rutascorrespondientes desde nuestra IP pública, al servidor deautenticac...
Mi ISP utiliza la autenticación por PPPoA, pero MikroTikno    tiene      esta   opción    ¿Me     sirve   esta   guía?Si s...
bloquear páginas, redireccionar, eliminar publicidad en lanavegación,                                            etc.Para ...
Port, por defecto MikroTik usa el puerto 8080 para escucharlas            peticiones            al           webproxy.Cach...
Max. Cache Size, aquí especificaremos el tamaño máximoque tendrá el cache en el disco (o únidad de almacenamientoque utili...
Ya si vienen siguiendo este manual desde el principio, sabránque el IP 192.168.10.1 es la puerta de enlace de nuestrosclie...
transparente (Hacer que los clientes vayan al webproxy sinque ellos se den cuenta) con la ayuda del servidor.Importante: E...
Configurar Web Proxy TransparenteYa vimos cómo configurar el WebProxy, y vimos también quehay que configurar nuestro naveg...
Chain=dstnat, en pocas palabras esta cadena especifica loque tenga como destinoProtocol=tcp, el protocolo usado para la na...
Action, que es lo que va a hacer con el tráfico queidentificamos en la pestaña General, en este caso vamos aredireccionar ...
fácimente cuando necesitemos hacerlo, ya que cuandotengamos más de 10, 20 ó x reglas, nos será más fácilreconocerla, y est...
Cache" en el servidor.Bueno, esto funciona así: Cuando un archivo sale del discoduro, este sale con una marca en común, pr...
Chain=Output, la cadena especifica todo lo que tenga comoorigen el mismo servidor (ya que el caché saldrá del mismoservido...
DSCP (TOS), aquí colocamos el número 4, ya ese es el valorque vino por defecto en la configuración de Webproxy. Siquieren ...
Action=marck packet, seleccionamos mark packet de lalista, ya que lo que haremos será "marcar paquetes".New Packet Mark, a...
Name, aquí colocaremos un nombre para reconocer a laregla, casi igual que cuando utilizamos el botón comment.Parent, selec...
saturadas", es recomendable fijar el límite a un máximo de4Mbits/s o menos, para no saturar nuestro ancho de bandawireless...
El problema aquí es que no nos mostrará el contenido realhasta que terminen de listarse todos los elementos, yhablamos de ...
Código:ip proxy cache-contents printUna vez que se liste el contenido tal como la imagen dearriba, se puede usar las tecla...
Muchas veces queremos agregar un disco duro secundariopara tenerlo dedicado al cache de MikroTik WebProxy, ya seaporque nu...
Notaremos que nuestro Cache Drive actual, es primary-master.Vamos a System -> Stores -> pestaña Stores y veremosque existe...
unidades de almacenamiento que tenemos disponibles, ya seaIDE, SATA, USB, Compact Flash, o SD/microSD. En esteejemplo el d...
Name, aquí escribiremos el nombre de la regla, en este casole puse web-proxy2Type, elegiremos qué tipo de uso se le dará a...
Notaremos que nuestra regla web-proxy2 ya está activada,y la regla anterior entró a pasar a ser un backup, esto quieredeci...
¡Listo! sólo queda comprobar que nuestro nuevo CacheDrive corresponda a nuestro disco duro que designamos parael caché, y ...
bloqueo   el   acceso    a   estos   servicios    desde    internet?La respuesta no es muy complicada. Si el servicio está...
       in-interface=pppoe-out1, interfaz de entrada de las        conexiones y/o paquetes (que serán bloqueados        po...
este es el típico ataque ftp; en el ataque ssh es    prácticamente lo mismo pero al final va el ssh.    Este script bloque...
ataque ssh proveniente de esa ip por 10 dias (puedes    modificar los días a tu gusto)   Código:   /ip firewall filter...
dispositivo de red configurado para obtener un IPautomáticamente hará una solicitud a nuestro servidorDHCP (MikroTik), y l...
completamos cuando configuramos un IP manualmente.Para hacer eseta guía he tomado en cuenta que ya seleyó las demás guías ...
DHCP Server Interface, seleccionamos la interfaz dered en donde se instalará el DHCP server, obviamenteaquí elegieros la i...
Gateway for DHCP Network, es la puerta de enlaceque el servidor DHCP ofrecerá a los clientes que solicitenun     IP,     e...
los datos de todos los clientes al que el servidor DHCPasignó         un          IP         automáticamente.Una vez hecho...
ralación directa con Address to Give Out, queconfiguramos con el asistente para configurar el DHCP.Para ver la lista de cl...
Si quieren ver o editar el Address Pool, o el rango de    IPs que el DHCP server tomará para asignar    automáticamente, p...
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Configuración de mikro tik para thundercache
Upcoming SlideShare
Loading in...5
×

Configuración de mikro tik para thundercache

29,443

Published on

5 Comments
34 Likes
Statistics
Notes
No Downloads
Views
Total Views
29,443
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
0
Comments
5
Likes
34
Embeds 0
No embeds

No notes for slide

Transcript of "Configuración de mikro tik para thundercache"

  1. 1. Instalación y Licenciamiento1. Instalar MikroTik desde Cero (Sólo para x86)2. Primer Paso: Conectarse al servidor MikroTik desde Winbox3. Cómo licenciar MikroTik por primera vez (Sólo para x86 ypara RBs del que se quiera actualizar la licencia)4. MikroTeka de versiones antiguasEmpezando a Configurar nuestroServidor1. Base Generales y cómo entender las Guías2. Reconocer y Nombrar las tarjetas de red del Servidor3. Configurar WAN y LAN para conectarse a internet desde elservidor4. Asignar un ancho de banda específico a los ClientesAmarre IP/MAC1. Configurar amarre IP/MAC por ARPConfigurar MikroTik DNS1. Configurar el DNS Caché de MikroTik2. Configurar DNS Caché TransparenteConfigurar MikroTik en modoPPPoE Cliente
  2. 2. 1. Configurar MikroTik en modo PPPoE-Client para routermodo BridgeConfigurar MikroTik WebProxy1. Configurar MikroTik WebProxy (WebCaché)2. Configurar WebProxy Transparente3. Liberar Velocidad de WebProxy (Full Caché)4. Ver el contenido Cacheado por WebProxy5. Configurar disco duro secundario dedicado al cacheUn poco de Seguridad1. Evitar ataque a MikroTik WebProxy y DNS Caché2. Evitar ataque de Ping sl servidor MikroTik3. Prevenir ataque SSH y FTPConfigurar MikroTik DHCP Server1. Configurar MikroTik DHCP Server (dar IPsautomáticamente) Parte1QoS (Quality of Service o Calidad deServicio)1. QoS Parte 1: Mangle2. QoS Parte 2: Queue Tree3. QoS estático: Queue Tree + Mangle
  3. 3. Configurar MikroTik paraRedireccionar a nuestros Clientes aThunderCache1. Redireccionar nuestros clientes a ThunderCache utilizandoMikroTik (Proxy Paralelo)2. Configurar ThunderCache como Parent Proxy de MikroTik3. Configurar MikroTik para hacer Full Caché con ThunderTutoriales sobre ThunderCacheProfesional1. Configuración inicial en MikroTik para Thunder 7 enParalelo.2. Activación de AHCI antes de la instalación.3. Instalación de ThunderCache Profesional en el Servidor.4. Configuración del Panel de Control.5. Configuración de ThunderCenter.6. Redirección a Thunder 7 y Full Cache.7. Habilitar servidor WEB con ThunderCache ProfesionalConfigurar MikroTik Hotspot1. Configurar MikroTik Hotspot (Portal Cautivo)2. Enviar mensajes a los clientes utilizando Hotspot3. Cortar Internet al Cliente y Notificar falta de PagoUtilizando Hotspot4. Forzar página de inicio de los clientes con Hotspot
  4. 4. Tareas Administrativas1. Configurar -correctamente- la hora en MikroTik (x86/RB)2. Reiniciar el Servidor MikroTik automáticamente3. Apagar el Servidor MikroTik automáticamente4. Actualizar MikroTik RouterOS para PC / x86 yRouterBOARDSRedireccionamientos1. Redireccionar puertos con MikroTik2. Activar "IP NAT Loopback" en MikroTik para DoTA (WarcraftIII)3. Cambiar el logo de Google con MikroTikPuertos y Conexiones1. Torch: Ver conexiones y consumo de nuestros usuarios2. Total de tráfico consumido y sesiones NATBalanceo de Carga1. Balanceo de carga PCC para 3 WAN en un RB750GReparación de RouterBOARDS1. Reparar RouterBOARDS reinstalando MikroTik conNetinstall
  5. 5. Lo que deberías saber1. Qué es el Ping2. Conseguir un buen enlace WiFiCómo instalar MikroTik RouterOS desde CeroBueno, esta guía va dedicada a los que me pideninstrucciones de cómo instalar su MikroTik para que luego sealicenciado y configurado .En primer lugar, es necesario descargar el ISO de MikroTik,en este caso será la versión 4.16 que la pueden descargardirectamente desde mikrotik.com, o siguiendo este link.Claro, también está mi sección descargas donde sólo colocarélas versiones de MikroTik que considere estables .Una vez que se tenga el ISO hay grabarlo en un CD, elprograma para hacerlo ya es a gusto de cada uno, que puedeser Nero, CDBurnerXP (Bueno, Bonito y... Gratis! Lorecomiendo), etc .Paso siguiente es configurar el PC para que inicie del CD, si esque no está configurado así. Este paso no necesita muchaexplicación ya que es lo mismo que se hace cuando se va ainstalar cualquier sistema operativo, por ejemplo WindowsXP.Una vez que el CD inicie mostrará una pantalla para elegirqué paquetes instalar .
  6. 6. Con las teclas direccionales nos colocaremos encima delpaquete que queremos instalar, y con ayuda de la barraespaciadora los seleccionaremos. Los paquetes que estánseleccionados en la imagen son los que suelo instalar en losservidores que vendo, inclusive para el nivel novato puedeser prescindible el paquete routing, security y wireless (si esque no se va a instalar una tarjeta wireless para hacertrabajar al server como AP).Una vez que los paquetes estén selecionados, presionaremosla tecla i para empezar con la instalación de MikroTikRouterOS en el disco duro.En el proceso nos aparecerán los siguientes mensajes:Do you want to keep old configuration? [y/n]:¿Desea mantener la configuración anterior?
  7. 7. Presionamos la tecla n ya que no tenemos una configuraciónanterior que mantener.Warning: all data in the disk will be erased! Continue? [y/n]:Advertencia: todos los datos en el disco serán eliminados! ¿Continuar?Presionamos la tecla y para que empiece a particionar yformatear el disco o unidad de almacenamiento. El procesopuede demorar dependiendo de la capacidad del disco que sehaya elegido para hacer la instalación .Una vez que el disco duro esté particionado y formateado, lospaquetes seleccionados se instalarán automáticamente y alfinalizar tedremos el mensaje:Software installedPress ENTER to rebootSoftware instaladoPresione ENTER para reiniciarYa en este punto hay que retirar el CD de instalación ypresionar la tecla enter para que el PC reinicie y el sistemacargue directamente del disco duro.Tendremos este mensaje:It is recomended to check your disk drive for errors,but it may take a while (~1min for 1Gb).It can be done later with "/system check-disk".Do you want to do it now? [y/N]Es recomendable comprobar que su unidad de disco esté libre deerrores,pero puede tomar algún tiempo (~1min para 1Gb).puede hacerse más tarce con "/sistem check-disk".¿Quiere hacerlo ahora?
  8. 8. Presionaremos la tecla n para evitar la comprobación dedisco.Una vez hecho esto tendremos la clásica pantalla de login deMikroTik.El usuario ó login y password por defecto son:Login: adminPassword:Bueno, creo que se sobreentiende que no tiene passwordalguno, así que aquí lo dejamos vacío.Presionamos enter para terminar de loguearnos.Una vez logueados veremos una notificación del servidor quenos dice que nuestro sistema no tiene licencia, y que tenemosmenos de 24 horas para probarlo. ..
  9. 9. Claro, tenemos menos de 24 horas para colocarle la licencia,o simplemente nuestro sistema expirará (no permitirá accesoalguno, empezarán a sonar muchos beeps y se apagaráautomáticamente) lo que inutilizaría su uso y posteriorlicenciamiento. Si esto llegara a ocurrir, no queda otra quevolver a reinstalar el sistema siguiendo los pasos de esta guíadesde el inicio .Es bastante recomendable verificar que MikroTik RouterOShaya reconocido absolutamente todas nuestras tarjetas dered, inclusive las wireless, si es que hubiésemos instaladoalguna, para eso escribimos el siguiente comando en laconsola y luego presionaremos enter:Código:/interface print
  10. 10. La imagen muestra que MikroTik ha reconocido 2 tarjetas dered en nuestro PC, que es justamente el total de tarjetas dered que tiene el PC en este momento. Si tuviesemos mástarjetas de red, entonces tendrían que aparecer en la lista. Sifuera una tarjeta wireless, el nombre por defecto de este tipode tarjetas es wlan1 .Nota: MikroTik RouterOS sólo reconocerá las tarjetas wirelessque utilicen chipset Atheros .Si no apareciera el total de tarjetas instaladas en el PC server,esto se debe casi siempre a:  Tarjeta de red dañada.  Conectores de la tarjeta sucios, o inclusive puede ser suciedad en el mismo slot PCI.  La placa madre, por antiguedad, limitación de diseño o chipset, no puede soportar determinada cantidad, marcas, ó modelos de tarjetas. Esto suele suceder con las tarjetas wireless en placas antiguas, inclusive problemas de IRQ.
  11. 11.  La tarjeta es un modelo bastante nuevo, o raro, que MikroTik no puede reconocerla.  etc.Tengan en cuenta que no existen drivers para MikroTikRouterOS que se puedan descargar e instalar.Absolutamente todos los drivers vienen dentro de lospaquetes de Mikrotik que instalamos previamente, asíque no se dejen engañar por estafadores que dicentener drivers para todas las placas y tarjetas.Con esto ya se tiene el Sistema Operativo MikroTikRouterOS instalado en el PC servidor, ahora sólo faltalicenciar el software y empezar la configuración.Primer Paso: Conectarse al Servidor MikroTik desdeWinboxCómo licenciar MikroTik RouterOS por primera vezPrimer Paso: Conectarse al Servidor MikroTik desdeWinboxBueno, luego de la instalación de MikroTik RouterOS tenemosque aprender a conectarnos al servidor. Si bien hay muchasformas de hacerlo, la mayoría son para hacerlo en modoconsola, es decir, línea de comandos no muy amigables alusuario que recién se inicia .Winbox es el método más amigable para conectarnos alservidor, ya que podremos conectarnos al servidor desdecualquier PC con windows, y lo mejor de todo, con lasventanas que tanto gustan y que además nos hacen la vidamás fácil.Para empezar, es necesario tener winbox a la mano, comomencioné en el párrafo anterior, winbox es la utilidad que nospermite comunicarnos con nuestro servidor desde cualquierPC con windows. Lo pueden descargar desde mi página de
  12. 12. descargas, o desde mikrotik.com .Una vez abierto, veremos una ventana como esta:Una vez abierto, hay que presionar el botón con puntossuspensivos (...) para poder escanear los dispositivos quetengan instalado MikroTik RouterOS en la red, en este caso, laimagen muestra sólo un dispositivo, que es el servidor queinstalamos previamente.
  13. 13. Como es una nueva instalación, esta no cuenta aún con un IP,así que nos conectaremos por MAC, para eso seleccionaremosla MAC tal como nos muestra la imagen .Una vez que se haya colocado la MAC en el cuadro ConnectTo es hora de presionar el botón Connect para establecerconexión con nuestro servidor .Cuando es la primera vez que nos conectamos al servidor,winbox descarga los módulos necesarios para mostranostodas las características del servidor .Algunas veces y por distintos motivos, esta descarga de
  14. 14. módulos puede llegar a fallar, por lo que se debería repetir laoperación una vez más hasta que logre establecer la correctacomunicación entre winbox y el servidor. Tengan en cuentaque conectarse por MAC no es tan estable como conectarsepor IP, así que luego del licenciamiento, y cuando el servidortenga la respectiva configuración, se debería de darpreferencia a la conexión por IP .Cuando la conexión esté establecida, deberíamos de tener laventana principal de winbox lista para licenciar el software,configurar, administrar y monitorizar a nuestros clientes, etc.Nota: Si no se puede llevar a cabo la conexión entre winbox yel servidor a punto tal que no aparezca la MAC en el escaneode dispositivos MikroTik, esta puede deberse a una falla de latarjeta de red, cable de red en mal estado, un firewall
  15. 15. activado, un antivirus agresivo, etc. así que habría que darcon el problema para poder conectarnos apropiadamente.Cómo licenciar MikroTik RouterOS por primera vezUna vez que el sistema está instalado, es necesario licenciarel software para quitar el límite de 24 horas y así poder usarnuestro servidor cómodamente .Las licencias MikroTik son de por vida, sea la licencia quesea, y si las compraron en mikrotik.com vienen con 15 a 30días de soporte oficial via email. Si no se utiliza UserManager entonces la única diferencia entre los level 4, 5 y 6,es la cantidad de usuarios que pueden manejar, que sería200, 500, e ilimitados usuarios respectivamente .Una vez conectados al servidor mediante winbox, este nosmostrará una ventana advirtiéndonos que nuestro servidor notiene una licencia, y que dejará de funcionar en menos de 24horas.
  16. 16. Presionamos el botón License para ir a la ventana de licencia,o también se puede llegar a través de System -> LicenseUna vez ahí, seleccionamos el Software ID (SoftID), le damosclick derecho y seleccionamos Copy para tener el SoftID en elportapapeles.Lo único que necesitamos para poder obtener la licencia(clave de licencia) es el SoftID. Hay 2 formas de comprarlicencias MikroTik, una es que la obtengamos comprándoladirectamente a mikrotik.com y otra es comprándola a unreseller, comprarla a este último es casi siempre más barato.En cualquiera de las 2 formas, nos tendrán que proveerla clave de licencia para instalarla en nuestro servidor.En el caso de querer comprar la licencia directamente amikrotik.com, hay que registrarse como usuario y pediraprobación de nuestra tarjeta de crédito para proceder a
  17. 17. comprar licencias directamente. Una vez aprobado, el sistemaes bastante simple.Purchase a key (Comprar una clave de licencia) Seleccionar el level de licencia a comprar, para la mayoría, al menos aquí en Perú, basta con el level 4. Colocar el SoftID que obtuvimos en System -> License, es recomendable revisarlo al menos 2 veces para no llevarse malas sorpresas, ya que una vez generada una clave de licencia de un SoftID de 8 dígitos, no hayvuelta atrás.Elegir el Board Type, para nuestro caso, es x86 system. Ya si
  18. 18. se quisiera actualizar una licencia para RouterBOARD, sólohabría que seleccionarla. Aquí piden la confirmación de la compra, ya sea para pagar por tarjeta o por prepaid key. Yo dispongo de esta última opción ya que tengo claves de licencia prepagadas en mi cuenta. Luego de esta confirmación llegará la clave de licencia al correo que se utilizó para el registro, o también la pueden ver directamente en all keys junto con todas las otras claves de licencia compradas.
  19. 19. El objetivo de todo esto es tener la clave de licencia, que esun código como este:-----BEGIN MIKROTIK SOFTWARE KEY------------SS5+bR2Hs3JZSPm78pHboXRNxabp35Oq8Hr62d0v4UzbY6oTroGSJlFJZsB5hm+vGNtyA3EI7N5XYCl9NcfAHA==-----END MIKROTIK SOFTWARE KEY--------------Nota:Se puede evitar todo este proceso engorroso si secompra la licencia a través de un reseller, en mi caso vendolas licencias a S/.100.00 Nuevos Soles. Simplemente metendrían que proporcionar el SoftID y minutos despuésmandaría la clave de licencia al correo que me indiquen.Bueno, ya tenemos la clave de licencia, ahora sólo faltaagregarla al servidor. Esta ya es la parte más fácil,simplemente tenemos que "copiar y pegar" la clave delicencia al New Terminal de nuestro winbox.Seleccionamos toda la clave de licencencia y luegohacemos click derecho -> copiar. Ya dentro de winbox vamosa New Terminal, y nos saldrá el aviso que nos indica la faltade licencia, presionamos enter para continuar.
  20. 20. Simplemente toca pegar la clave de licencia haciendo clickderecho -> Paste
  21. 21. Una vez que la clave de licencia esté pegada, presionamosenter y nos saldrá el siguiente mensaje:You must reboot before new key takes effect. Reboot? [y/N]Debe de reiniciar el sistema para que la clave tome efecto. Reiniciar?Presionamos la tecla y para que valide nuestra licencia.Ya luego de esto, cuando nos conectemos al servidor, notendremos más avisos de falta de licencia. De esta maneranuestro servidor estará debidamente licenciado y listo paraproceder con las configuraciones que deseemos.Puntos a tomar en cuenta: El SoftID es un código único que se genera a partir del Nº de serie y demás características únicas del disco duro, por lo tanto, no es posible clonar el disco duro para poder utilizar la misma clave de licencia, ya que el SoftID cambiaría de un disco a otro. La licencia (clave de licencia) se guarda en una partición especial en el disco duro, por lo tanto, si se modifica o se borra tal partición, perderíamos irremediablemente la licencia. Si se llegara a dañar la instalación y se necesitara volver a instalar el sistema, esto se tendría que hacer únicamente con el CD instalador de MikroTik o por NetInstall, ya que estos no tocan la partición de la licencia al momento de particionar, formatear y volver a instalar el sistema. Si el disco duro que contiene la licencia se llegara a dañar, no hay manera de recuperar la licencia, así que el procedimiento normal es comprar una nueva licencia.
  22. 22. Bases Generales y cómo entender las GuíasEs muy bueno conocer ciertas cosas básicas acerca deMikroTik, esto a que en mis siguientes manuales los harédando por hecho que el lector ya las conoce.Opciones Generales WinBox:Cuando entremos a Winbox y nos conectemos al servidor,veremos una ventana con menús, tal como esta imagen.1. Botón Deshacer y Rehacer, tal como si utilizaramosWord, si llegaramos a borrar o modificar una regla
  23. 23. accidentalmente, podemos utilizar el botón "deshacer" pararevertir el cambio realizado, tiene una buena memoria así quepodemos revertir los cambios de toda nuestra sesión enWinBox, del mismo modo con el botón rehacer, salvo que esteúltimo hace todo lo contrario.2. Hide Passwords, cuando esta opción está marcada,ocultará todos los passwords de nuestro sistema conasteriscos (********); por ejemplo, los passwords de losclientes PPP, Hotspot, acceso al sistema, etc.3. Menú Lateral y 4. Submenú, son el conjunto de opcionesque cuenta WinBox para hacer la configuración o elmonitoreo, algunas de esas opciones también cuentan consubmenús.Haciendo un resumen de estos menús, tienemos a:Intefaces, donde nos mostrará todas las tarjetas conectadasal servidor, incluyendo las tarjetas wireless, interfacesvirtuales como pppoe-client, vLAN, vAP, etc. nos mostrarátambién, casi en tiempo real, el tráfico que está pasando porestas interfaces.Wireless, si tuvieramos conectado una tarjeta wireless conchipset atheros, tendriamos la opción wireless para configuraresa tarjeta como un access point, cliente wireless, escanearredes, ver el estado de utilización de un canal, ver los clientesconectados a esta tarjeta, su estado, etc.IP, aquí encontraremos un submenú con todas las opcionesque hagan referencia a IP como por ejemplo: Addresses, donde asignaremos IPs a las interfaces de red. Firewall, donde entraremos opciones para bloqueo de IPs, puertos, NAT, marcado de paquetes, etc.
  24. 24.  Hotspot, para configurar un hotspot server, y que nuestros clientes tengan acceso a internet mediante un usuario y clave.  Routes, para asignar políticas de routeo.  Webproxy, donde configuraremos el webcache de MikroTik, bloqueo de páginas, etc.  etc.System, encontraremos opciones relativas al sistema, comopor ejemplo:  Clock, aquí podremos configurar la hora en nuestro servidor.  License, podremos ver el estado de nuestra licencia de uso de MikroTik RouterOS, así como el SoftID para el posterior licenciamiento.  Password, donde colocaremos una contraseña para asegurar el acceso a nuestro servidor.  Reboot, para reiniciar el servidor.  Resources, aquí aparecerá el estado físico del servidor como, la cantidad de memoria que tenemos, memoria libre, tipo de procesador, velocidad del procesador, espacio del disco duro, espacio libre, tiempo que lleva el servidor encendido, etc.  Shutdown, para apagar el servidor.  etc.Queues, aquí podremos encontrar opciones para poderlimitar la velocidad de nuestros clientes, asignar límitesglobales de velocidad, priorización de servicios, etc.Files, veremos el direcctorio principal de MikroTik, dondepodremos crear backups de nuestra configuración y tambiénrestaurarlos, además de poder ver los archivos "log", lacarpeta donde se almacena el portal cautivo de hotspot.Tools, encontraremos herramientas generales de MikroTik,como ping, torch (para escanear conexiones), etc.New Terminal, que es la consola MikroTik, donde podremosacceder a todas las opciones y configurarlas por línea de
  25. 25. comandos, es lo más práctico cuando se trata de muchasconfiguraciones, ya que podemos "pegar" listas de comandospara evitar todo el trabajoso proceso de hacer unaconfiguración regla por regla.Pestañas, Opciones de Ventana y Columnas.Además de los Menús y Submenús, también encontraremospestañas entra las opciones de MikroTik:Dependiendo del tamaño de la ventana que utilicemos, oinclusive el tamaño y resolución de nuestro monitor,podríamos tener pestañas ocultas, como por ejemplo en laimagen de arriba, donde la pestaña cookies estácompletamente oculta, así que se debería usar el botón (...)para poder acceder a esa pesetaña.En esta ventana también tendremos opciones para poderagregar, eliminar, habilitar y deshabilitar reglas:
  26. 26. (+) Agregar Regla, atajo de teclado: (A)dd.(–) Remover Regla, atajo de teclado: (R)emove.(✓) Habilitar Regla, atajo de teclado: (E)nable.(x) Deshabilitar Regla, atajo de teclado: (D)isable.Al igual que con el Explorador de Windows, nosotros podemosordenar las reglas con la ayuda de las columnas:Si por ejemplo, presionamos el botón de columna: #, lasreglas se ordenarán numéricamente, si presionamos el botónde columna: Name, entonces las reglas se ordenaránalfabéticamente, etc.Podemos ver las columnas disponibles y agregarlas a lo quenecesitemos:
  27. 27. Muchas de mis guías serán bastante simples ya que lasexplicaré con imágenes "paso a paso", pero otras seránúnicamente escritas en código para ser editado (a nuestraconfiguración) y pegado en New Terminal. El punto de estoes explicar cómo se utiliza estas guías basadas en código.Por ejemplo, podrían ver una guía con código parecido a este:Código:/ip firewall filteradd action=drop chain=input comment="Bloqueo webproxyexterno" disabled=no dst-port=8080 in-interface=ether1protocol=tcp¿Cómo lo utilizamos?En primera lugar, copiamos todo el código, luego iremosa New Terminal y pegaremos el código ahí (clickderecho, paste), quizá necesitemos presionar enter paraaceptar el código.
  28. 28. Quizá no sea tan fácil como parece ya que tendríamos queeditar el código a nuestras necesidades, por ejemplo, en esaregla se tendría que modificar el in-interface a lo quenosotros tengamos como in-interface, quiero decir, que en laguía el in-interface es ether1, pero posiblemente nuestra in-interface seaWAN1, Speedy, Internet, etc. y nonecesariamente ether1. Tengan en cuenta que estos nombresson sólo eso, nombres que nosotros modificamosenInterface.En todo caso, esta modificación no la tendrán que advinar, yaque en la guía mencionaré que in-interface debe sermodificada por el nombre de interfaz que nosotros tengamoso al lo que apuntemos. Por cierto, este código sirve parabloquear todo acceso externo a nuestro webproxy, por loque in-interface tendría que ser nuestra interfaz de red"WAN."Ya sólo como comentario y para hacerse una idea, con unpoco de análisis notarán que la primera línea: /ip firewall filtercorresponde al menú de WinBox IP -> Firewall -> pestaña Filter, que en imágen sería:
  29. 29. De la segunda línea, add quiere decir "Agregar nueva Regla" ytodas las demás opciones de esta segunda línea lasencontraremos en la ventana que se abrirá luego depresionar (+).Bueno, el objetivo de esta guía no es mostrar cómo se usauna regla en código para luego colocarla paso a paso en lasventanas de winbox ... no del todo al menos.Reconocer y Nombrar las Tarjetas de Red conectadas alServidorLo primero que haremos será reconocer las tarjetas de redque tenemos instaladas físicamente y qué nombre tienenéstas según MikroTik. Si leyeron el manual de instalación deMikroTik desde cero sabrán que por defecto MikroTik nombraa las tarjetas como ether1, ether2, ether3... etc. de igualmanera si tuvieramos tarjetas wireless conectadas, a estaslas nombra como wlan1, wlan2, wlan3... etc. Pero aunsabiendo los nombres, no sabemos a ciencia cierta qué tarjetaconectada físicamente al servidor es ether1, ether2 o ether3,etc.Supongamos que la imagen de abajo son las 2 tarjetasinstaladas en el servidor, donde la tarjeta de arriba lallamaremos tarjeta A y la de abajo tarjeta B. Quizá nuestralógica nos diga que la tarjeta A es ether1 y la tarjetaB es ether2, lo cual podría ser cierto, pero nonecesariamente, ya que dependiendo de la placa madre,podría ser todo lo contrario, osea que la tarjeta A sea ether2,y la tarjeta B sea ether1. Si tenemos más tarjetasconectadas, incluyendo las tarjetas integradas, posiblementetodo sea más desordenado.
  30. 30. Entonces vamos al grano. Conectamos una sóla tarjeta delservidor al switch general y nos entramos al servidor desdewinbox. Ya en winbox vamos aInterfaces y en lapestaña interface veremos la lista de tarjetas de redreconocidas por MikroTik. Según la imagen de abajo podemosdarnos cuenta que existe un movimientoen Tx y Rx de ether1, eso quiere decir que ether1 es elnombre de esa única tarjeta conectada al servidor. Seríabueno hacerle una marca a la tarjeta indicando su nombrepara no olvidarla.
  31. 31. Ya es de suponer que ether2 es la tarjeta que estádesconectada del servidor. Si es que se tuviera más de2 tarjetas conectadas se debería repetir el proceso conla siguiente tarjeta y así sucesivamente.Una vez que sepamos a qué "ether#" corresponde cadauna de las tarjetas, podemos cambiarles el nombrefácilmente haciendo doble click encima de su nombre,de la imagen de abajo, se puede ver el ejemplo. Quizáse quiera restructurar el orden de las "ether#", paraque estén también ordenadas físicamente, por ejemplo,tarjeta integrada como ether1, primera tarjetaindependiente como ether2, etc. Ya es decisión de cadauno colocar el orden que se desee.
  32. 32. Muchas veces veo servidores con nombres muydiversos, o con el típico "WAN" y "LAN", sinceramenteme es algo fastidioso ya el nombre también debería deindicar un orden en las tarjetas, así que para evitarmeproblemas utilizo siempre los nombres por defecto(aveces acomodados para guardar un orden) comoether1 y ether2, pero dejo un comentario paraidentificar a qué corresponden, tal como la imagen deabajo:
  33. 33. Como pueden apreciar, el nombre de la tarjeta es elmismo: ether2, salvo que utilizo elbotón Comment para hacer un comentario a la regla yasí poder identificarla con facilidad.Nota: El botón Comment se puede utilizar enabsolutamente todas las reglas en MikroTik, es MUYrecomendable usarla, y más si se está aprendiendo aconfigurar.Así tenemos las 2 tarjetas de red ya identificadas ynombradas listas para proceder con la configuración.Configurar WAN y LAN para conectarse a Internet desde elServidorLuego de tanto preludio, al fin empezamos a configurar. Elobjetivo de esta guía es poder conectarnos a internet a través
  34. 34. del servidor y así poder seguir configurando; claro, tambiénprobaremos lo que estamos haciendo.El esquema de la red es el siguiente:Ya sabemos que el servidor cuenta con 2 tarjetas de red, unaque será nuestra WAN y otra que será nuestra LAN. Sólo pararecalcar, ya que esto deberían de saberlo, WAN es la interfazde red que se conectará al router y de la que nuestro servidorse conectará a internet, y LAN es la interfaz de red a la que
  35. 35. nuestros clientes se conectarán, incluyendo nosotros ya quevendríamos a ser clientes del servidor.Tal como se ve en la imagen de arriba, se puede conectar unswitch a la tarjeta LAN para así poder conectar todos losdispositivos que queramos, ya sean Access Points, PCs,Equipos VoIP, etc.1.- Agregamos un IP a WAN (tarjeta de red WAN o interfaz dered WAN) para que nuestro servidor se puede comunicar conel router. Para eso nos vamos aIP -> Addresses yagregamos una nueva regla (+)Address, aquí colocaremos el WAN IP del servidor, este IPtiene que estar en el mismo rango de red que la IP de nuestrorouter, del ejemplo, el IP es: 192.168.1.2, Quizá se estén
  36. 36. preguntando qué quiere decir el "/24" que se encuentra alfinal del IP; bueno, el "/24" corresponde a a máscara desubred, en este caso quiere decir 255.255.255.0.Interface, seleccionamos a qué interfaz de red asignaremosesta IP, en este caso elegiremos ether1, que está haciendoreferencia a WAN. Esta referencia sólo aparecerá si hemoscolocado un comentario a las "ether#" en Intefaces. Parasaber más de esto último, sugiero dar lectura a esta guía.Network y Broadcast, no es necesario configurarlasmanualmente ya que al momento de colocar el "/24"en Address, estas 2 opciones se configuraránautomáticamente al momento de hacer click en elbotón Apply u OK.2.- Agregamos un IP a LAN (tarjeta de red LAN o interfaz dered LAN) para que podamos conectarnos al servidor. Esta IPserá nuestra nueva puerta de enlace, y tiene que ser una reddiferente a WAN, por lo tanto no podrá ser 192.168.1.X.
  37. 37. El proceso es similar al anterior, salvo que aquí utilicé, comoopcional, el botón Comment para dejar un comentario a laregla que acabo de crear y así poder reconocerla fácilmente.3.- Una vez que tengamos las IPs configuradas para cadatarjeta, tocará hacer el "enmascarado", para eso vamos a IP-> Firewall -> Pestaña NAT, y agregamos una nuevaregla (+)
  38. 38. 3a.- En la ventana que se abrirá, iremos a lapestaña General.
  39. 39. Chain, seleccionamos scrnat. Aunque siempre está así pordefecto cuando se crea una nueva regla...Out. Interface, seleccionaremos nuestra interfaz WAN, eneste caso es ether1.3b.- Pasamos a la pestaña Action.
  40. 40. Action, eligiremos masquerade que nos permitiráenmascarar nuestras conexiones a detrás de la WAN IP, y asíaislar nuestra red LAN.En realidad existen muchas maneras de trabajar elenmascarado, aunque personalmente uso y recomiendo esta,así que no se sorprendan si ven una manera diferente deenmascaramiento en otras guías.4.- Como cuarto y último paso: hacer el ruteo a una puerta deenlace disponible, en realidad es bastante simple ya que sólohay que especificar el Gatewayo puerta de enlace donde elservidor se conectará a internet, de nuestro ejemplo, lapuerta de enlace para el servidor, será la IP del router; delejemplo, es 192.168.1.1, para eso nos vamos a IP ->Routes.
  41. 41. Ya en la ventana Route List, veremos que hay 2 reglas quenosotros no agregamos. Esto es normal ya que ahí se agreganlas rutas de las IPs que asignamos previamente a las tarjetasde red en Address List. Para agregar la puerta de enlace queusará nuestro servidor, vamos a la pestaña Routes yagregamos una nueva regla (+).
  42. 42. Gateway, aquí sólo colocaremos la puerta de enlace delrouter (el IP del router), de esta manera le estamos diciendoal servidor de dónde tiene que sacar internet para repartirlo anuestros clientes .Como opcional, le coloqué un comentario a la regla con laayuda del botón Comment .Con esto la interfaz de red LAN (ether2 en este ejemplo) yadebería de tener internet si es que conectamos los cablescorrectamente (ver primera imagen), sólo hay configurar lastarjetas de red de los clientes para para iniciar conexión.Teniendo en cuenta que nuestra nueva puerta de enlace es
  43. 43. 192.168.10.1, entonces el cliente debería de tener estaconfiguración de acuerdo a ese rango de red. Un ejemplodesde un cliente con Windows 7:En este caso he colocado los DNS de Telefónica. Ya si utilizanDNS de otro proveedor, tendrían que colocar, el que lescorresponde.Nota: Tengan en cuenta que hice esta guía siguiendo elesquema de red de la primera imágen, con las IPs que estánahí establecidas. Si se tiene una red diferente, con IPsdiferentes, sólo es necesario adaptarlo a sus necesidades. Porejemplo, si se quiere usar como LAN IP (o puerta de enlace delos clientes) el 192.168.1.1, pero el router también es192.168.1.1, entonces sólo es necesario cambiar la IP del
  44. 44. router a por ejemplo, 192.168.0.1, y luego seguir la guía conlos valores adaptados.Configurar WAN y LAN para conectarse a Internet desde elServidorLuego de tanto preludio, al fin empezamos a configurar. Elobjetivo de esta guía es poder conectarnos a internet a travésdel servidor y así poder seguir configurando; claro, tambiénprobaremos lo que estamos haciendo .El esquema de la red es el siguiente :
  45. 45. Ya sabemos que el servidor cuenta con 2 tarjetas de red, unaque será nuestra WAN y otra que será nuestra LAN. Sólo pararecalcar, ya que esto deberían de saberlo, WAN es la interfazde red que se conectará al router y de la que nuestro servidorse conectará a internet, y LAN es la interfaz de red a la quenuestros clientes se conectarán, incluyendo nosotros ya quevendríamos a ser clientes del servidor .Tal como se ve en la imagen de arriba, se puede conectar unswitch a la tarjeta LAN para así poder conectar todos losdispositivos que queramos, ya sean Access Points, PCs,Equipos VoIP, etc .1.- Agregamos un IP a WAN (tarjeta de red WAN o interfaz de
  46. 46. red WAN) para que nuestro servidor se puede comunicar conel router. Para eso nos vamos aIP -> Addresses yagregamos una nueva regla (+)Address, aquí colocaremos el WAN IP del servidor, este IPtiene que estar en el mismo rango de red que la IP de nuestrorouter, del ejemplo, el IP es: 192.168.1.2, Quizá se esténpreguntando qué quiere decir el "/24" que se encuentra alfinal del IP; bueno, el "/24" corresponde a a máscara desubred, en este caso quiere decir 255.255.255.0.Interface, seleccionamos a qué interfaz de red asignaremosesta IP, en este caso elegiremos ether1, que está haciendoreferencia a WAN. Esta referencia sólo aparecerá si hemoscolocado un comentario a las "ether#" en Intefaces. Parasaber más de esto último, sugiero dar lectura a esta guía.
  47. 47. Network y Broadcast, no es necesario configurarlasmanualmente ya que al momento de colocar el "/24"en Address, estas 2 opciones se configuraránautomáticamente al momento de hacer click en elbotón Apply u OK.2.- Agregamos un IP a LAN (tarjeta de red LAN o interfaz dered LAN) para que podamos conectarnos al servidor. Esta IPserá nuestra nueva puerta de enlace, y tiene que ser una reddiferente a WAN, por lo tanto no podrá ser 192.168.1.X.El proceso es similar al anterior, salvo que aquí utilicé, comoopcional, el botón Comment para dejar un comentario a laregla que acabo de crear y así poder reconocerla fácilmente.
  48. 48. 3.- Una vez que tengamos las IPs configuradas para cadatarjeta, tocará hacer el "enmascarado", para eso vamos a IP-> Firewall -> Pestaña NAT, y agregamos una nuevaregla (+)3a.- En la ventana que se abrirá, iremos a lapestaña General.
  49. 49. Chain, seleccionamos scrnat. Aunque siempre está así pordefecto cuando se crea una nueva regla...Out. Interface, seleccionaremos nuestra interfaz WAN, eneste caso es ether1.3b.- Pasamos a la pestaña Action.
  50. 50. Action, eligiremos masquerade que nos permitiráenmascarar nuestras conexiones a detrás de la WAN IP, y asíaislar nuestra red LAN.En realidad existen muchas maneras de trabajar elenmascarado, aunque personalmente uso y recomiendo esta,así que no se sorprendan si ven una manera diferente deenmascaramiento en otras guías.4.- Como cuarto y último paso: hacer el ruteo a una puerta deenlace disponible, en realidad es bastante simple ya que sólohay que especificar el Gatewayo puerta de enlace donde elservidor se conectará a internet, de nuestro ejemplo, lapuerta de enlace para el servidor, será la IP del router; delejemplo, es 192.168.1.1, para eso nos vamos a IP ->Routes.
  51. 51. Ya en la ventana Route List, veremos que hay 2 reglas quenosotros no agregamos. Esto es normal ya que ahí se agreganlas rutas de las IPs que asignamos previamente a las tarjetasde red en Address List. Para agregar la puerta de enlace queusará nuestro servidor, vamos a la pestaña Routes yagregamos una nueva regla (+).
  52. 52. Gateway, aquí sólo colocaremos la puerta de enlace delrouter (el IP del router), de esta manera le estamos diciendoal servidor de dónde tiene que sacar internet para repartirlo anuestros clientes.Como opcional, le coloqué un comentario a la regla con laayuda del botón Comment.Con esto la interfaz de red LAN (ether2 en este ejemplo) yadebería de tener internet si es que conectamos los cablescorrectamente (ver primera imagen), sólo hay configurar lastarjetas de red de los clientes para para iniciar conexión.Teniendo en cuenta que nuestra nueva puerta de enlace es192.168.10.1, entonces el cliente debería de tener estaconfiguración de acuerdo a ese rango de red. Un ejemplo
  53. 53. desde un cliente con Windows 7:En este caso he colocado los DNS de Telefónica. Ya si utilizanDNS de otro proveedor, tendrían que colocar, el que lescorresponde.Nota: Tengan en cuenta que hice esta guía siguiendo elesquema de red de la primera imágen, con las IPs que estánahí establecidas. Si se tiene una red diferente, con IPsdiferentes, sólo es necesario adaptarlo a sus necesidades. Porejemplo, si se quiere usar como LAN IP (o puerta de enlace delos clientes) el 192.168.1.1, pero el router también es192.168.1.1, entonces sólo es necesario cambiar la IP delrouter a por ejemplo, 192.168.0.1, y luego seguir la guía conlos valores adaptados.
  54. 54. Asignar un Ancho de Banda Específico a los ClientesA diferencia de tener a nuestros clientes conectadosdirectamente al router, con nuestro servidor podemos asignarun ancho de banda específico por cada cliente; esto nospermitirá fijar un tipo de servicio para estos, no pudiendosobrepasar el límite establecido, aunque ya más adelante,según nuestro requirimientos, podríamos hacer que sí losobrepasen pero esto ya es otro cuento.Vamos a Queue -> pestaña Simple Queues, y agregamosuna nueva regla (+)En la ventana que aparecerá "New Simple Queue", iremos a lapestaña General.
  55. 55. Name, aquí colocaremos el nombre del cliente, aunque enrealidad puede ser cualquier palabra que nos ayude aindentificarlo.Target Address, especificaremos el IP de nuestro cliente alque queremos limitar el ancho de banda, del ejemplo, el IP es192.168.10.20Max Limit, es el lugar donde fijaremos la velocidad máximade nuestro cliente, tanto de subida (upload) como de bajada(download), en este ejemplo, la subida es de 128k, y labajada de 512k. Si bien MikroTik muestra varias velocidadespreestablecidas para escoger, eso no nos impide de quepodamos asignar una velocidad "a nuestro gusto" tan soloescribiéndola con el teclado. Recueden siempre colocar laletra "k" al final de la velocidad escrita manualmente; porejemplo 320k (ó 320000, k=1000), ya que ésta está medidaen bit/s.¿Qué sucede si tenemos un cliente con 3 PCs yqueremos que estos compartan una mismavelocidad? Pues sólo tenemos que agregar las demás IPs a
  56. 56. la misma regla, y para ello presionamos el botón en forma deflecha apuntando hacia abajo, y así tendremos un cuadro másen donde colocar un IP extra.Una vez que hayamos agregado a todos los clientes,tendremos una lista como esta:Los colores cambiarán dependiendo del uso que le de elcliente a su ancho de banda asignado; entonces, si el clienteusa de 0 a 50% de su ancho de banda, su regla estará decolor verde, si usa del 50 a 70%, se volverá amarillo, ya si
  57. 57. pasa del 70% entonces su regla se volverá roja.Quizá en un inicio el Queue List no muestre todas lascolumnas que aparecen en la imagen de arriba, así que, comocon el explorador de windows, sólo hay que agregarlas.Seguro se estarán preguntando qué hay con las demásopciones, pero ya es algo que veremos más adelante, por elmomento, tal como está, la guía cumple su cometido.Actualización: (opcional)Vamos a afinar un poco la configuración del Simple Queue.Código:
  58. 58. /queue typeadd kind=pcq name=pcq-up pcq-classifier=src-address pcq-limit=50 pcq-rate=0 pcq-total-limit=2000add kind=pcq name=pcq-down pcq-classifier=dst-addresspcq-limit=50 pcq-rate=0 pcq-total-limit=2000Este código agregará 2 nuevas Queue Type.Y luego modifiquen la config de cada Simple Queue.Vamos a la pestaña Advanced, y en Target Upload, cambienel Queue Type a pcq-up; en el caso de Target Download,cambien el Queue Type a pcq-down.Ahora vamos a la pestaña Total, y cambiamos el Total QueueType a default.Configurar Amarre IP/MAC por ARP con MikroTikEl amarre IP/MAC por ARP es una de las medidas deseguridad más básicas que puede ofrecer el servidor MikroTik,y consiste en tener una lista de relaciones IP/MAC registradasdentro del servidor; de esa manera, si un intruso con un IP, oMAC, o relación IP/MAC distinto a los ya registrados intentaratener internet, no tendrá respuesta alguna ya que no está enla lista de IP/MAC que registramos previamente.
  59. 59. Bueno, para empezar tendremos que agregar las IP/MAC denuestros clientes, para eso vamos a IP -> ARPEn la imagen de arriba veremos los IPs y MACs de losdispositivos (PCs, VoIP, Celulares,Routers, etc.) que seagregaron automáticamente a la lista de ARP, y sabemos quefue automáticamente porque tienen la letra "D" al ladoizquierdo de cada regla. Se agregan automáticamente ya quetuvieron cierta comunicación con el servidor, podemossuponer que fue porque solicitaron internet al server oviceversa (como el caso de nuestro router: 192.168.1.1).Nótese que también aparece la interfaz de red por donde seconectan, de la imagen de arriba los IPs 192.168.10.x seconectan a la interfaz de red LAN, oether2, y elIP 192.168.1.1 a la interfaz de red WAN, o ether1.Por defecto, esta lista es dinámica, eso quiere decir quecuando se pierde la comunicación entre el dispositivo X y elservidor, su IP y MAC desaparece de la lista para luego volvera aparecer si se llegara a conectar nuevamente y solicitarinternet al server.Entonces es hora de crear una lista estática de IP/MAC que seconectan al server a pedir internet, para eso hacemos dobleclick a la regla dinámica, y presionamos el botón MakeStatic de la ventana que aparecerá.
  60. 60. Una vez que se presione Make Static, la letra "D"desaparecerá de la regla, así como esas 2 reglas de la imagende arriba. Cuando una regla de ARP es estática, esta nuncadesaparecerá de la lista.No es necesario, y mucho menos recomendable, hacer que elIP/MAC del router sea una regla estática, ya que este no esuno de nuestros clientes y obviamente no accede desde lainterfaz LAN de nuestro server, ether2 en este caso.En el caso que tengamos otros clientes, entonces tendremosque agregarlos manualmente, en este caso presionamos elbotón (+), y veremos una ventana como esta:
  61. 61. IP Address, aquí colocaremos el IP del PC de nuestro clienteo dispositivo de red que necesite internet, con esto últimoquiero decir que NO colocaremos el IP de los access points, yaque estos no necesitan internet. La única excepción seríaaquellos AP Routers que estén configurados como routercliente, aunque este caso estaría dentro de los dispositivos dered que necesiten internet así que si se diese el caso,colocaríamos el WAN IP de ese AP Router (y ya no los IPs delos clientes conectados a ese AP Router, ya que estarían enuna red distinta a la nuestra).MAC Address; aquí tiene que ir el MAC del PC de nuestrocliente o dispositivo de red que necesite internet, aquí hay 2excepciones, uno ya la conocemos, los AP Routersconfigurado como router cliente, por lo tanto colocaremos laMAC de la interfaz WAN de ese AP Router, y la otra GRANexcepción, son los access points configurados en modo
  62. 62. cliente, de modo que tendremos que colocar la MAC del APcliente.Esto último es una regla de los APs modo cliente. "Todo IPque esté detrás de un AP modo cliente, saldrá enmascaradocon la MAC del AP modo cliente"; entonces, si tuviésemos 10PCs (cada uno con su respectivo MAC) detrás de un APcliente, todos estos saldrían con el MAC del AP cliente. Así quesi estuvieramos en un caso similar, tendríamos que agregarlos IPs de cada PC y todos estos con el mismo MAC.Interface, tendremos que especificar la interfaz de red pordonde entran estos IPs y MACs, aquí tendremos queseleccionar la interfaz de red LAN o interfaz de red de losclientes, en este caso sería ether2.Una vez que tengamos la lista completa, tendremos que"decirle" al servidor que responda únicamente a los IP/MACque estén en la lista de ARP, dejando fuera a todo aquél queno esté resgistrado.Entonces, para activar el amarre IP/MAC, vamosa Interfaces -> pestaña Interface y hacemos doble click ala interfaz de red de los clientes o LAN, en este casoes ether2, y de la ventana que aparecerá, seleccionaremos lapestaña General.
  63. 63. ARP, tendremos que cambiar esta opción a reply-only, deesta manera la interfaz de red ether2 sólo responderá a laspeticiones de los IP y MAC que estén en la lista de ARP. Estaopción por defecto está en enabled (importante recordar estosi queremos deshabilitar el amarre IP/MAC).De este modo ya tendremos activado nuestro amarre IP/MAC.Importante:Tener en mente que nosotros también somos clientes delservidor, por lo tanto nuestra IP/MAC también debería estaragregada. Si accidentalmente llegaramos a olvidar este punto,perderíamos todo acceso al servidor. Así que la única manerapoder ingresar al server es a través de la interfaz WAN oether1 en este caso, o simplemente desde cualquier otrainterfaz de red cuya opción ARP sea enabled (todas vienenasí por defecto).Para agregar un nuevo cliente, es mejor agregar su IP/MAC ala lista de ARP antes de que este se conecte, o también
  64. 64. modificando la opción ARP,de reply-only cambiarlaa enabled (como estuvo en un inicio) para desactivar elamarre IP/MAC, ya una vez que tengamos al cliente agregadoy comprobemos que tenga internet, deberíamos de volverlo aactivar. Ya en el peor de los casos será necesario reiniciar elservidor para que el cliente tenga internet, para eso vamosa System -> Reboot.En lo personal considero que el amarre IP/MAC por ARP esmuy agresivo, por eso prefiero usar el amarre IP/MAC porhotspot (sin usuario y contraseña), esto ya lo veremos másadelante.Configurar el DNS Cache de MikroTikEs seguro que conozcamos el término "DNS" y lorelacionemos a ciertos IPs que colocamos en la configuraciónde nuestra tarjeta de red, como por ejemplo los DNS de TdP:200.48.225.130 y 200.48.225.146; pero también es seguroque no todos sabemos qué significan, o qué es lo que hacen.Bueno, para hacerlo breve, ese DNS se encarga de resolvernombres de dominio a IPs, por ejemplo, si queremosver http://www.google.com, nuestro PC envía una solicitud alservidor DNS para que resuelva ese dominio, y el servidorDNS le responderá con un IP; paso siguiente, el PC utilizaráese IP para conectarse.Configurar el DNS cache en MikroTik es muy importante, yaque nuestro servidor también necesita resolver nombres dedominio para poder utilizar ciertas herramientas propias delservidor como el ping, o ciertas configuraciones comowebproxy, etc. por lo que su configuración es casi obligatoria.Podemos aprovechar el DNS cache de MikroTik para minimizarpeticiones de nuestros clientes a la internet; de esta manera,cada vez que uno de nuestros clientes haga una solicitud a losDNS de nuestro proveedor, MikroTik almacenará en memoriala respuesta aquellos servidores y las utilizará para las
  65. 65. siguientes peticiones.Para empezar con la configuración vamos a IP -> DNS -> pestaña Static -> botón Settings.Servers, aquí colocaremos el IP de los DNS que nos entregónuestro ISP, en este ejemplo son los 2 DNS de TdP.Allow Remote Request, marcaremos el check para activarla funcion DNS cache para todos nuestros clientes y noúnicamente para nuestro servidor.Cache Size, es el tamaño en memoria que será destinadopara el cache de los DNS, por defecto es 2048KiB ó 2MB,personalmente lo aumento a aproximadamente a12288KiB ó12MB, en servidores que tienen un mínimo de 128MB de RAM.
  66. 66. Se puede probar que todo quedó bien haciendo un ping alalguna página desde el servidor, en este caso suelo probarhaciendo ping a google y verificar las respuestas, para esovoy a New Terminal y escribo el comando respectivo:ping www.google.comSi se quiere dar una ojeada a las respuestas en cache, sepuede ir a IP -> DNS -> pestaña Cache.
  67. 67. Si se quiere sacar el máximo provecho al DNS cache deMikroTik, tenemos que hacer que los clientes utilicen el DNScache de MikroTik, ya sea configurando un "DNSTransparente" o colocando manualmente el nuevo DNS en laconfiguración de la tarjeta de red de los clientes tal como semuestra en la siguiente imagen.
  68. 68. En este caso, la IP de la tarjeta de red LAN (en MikroTik) opuerta de enlace de los clientes es el 192.168.10.1, por lotanto, ese IP también será nuestro DNS cache, así que locolocaremos manualmente como "Servidor DNS preferido" deesa manera, el PC de nuestro cliente solicitará la resoluciónde nombres a nuestro DNS cache. Como opcional puedenconfigurar el "Servidor DNS alternativo" con uno de los DNSdel ISP.Configurar DNS Cache TransparenteUna vez que tengamos configurado el DNS Cache, es bastantemolesto eso de modificar la configuración de la tarjeta dered de los clientes para que empiecen a utilizar el DNS Cache;bueno, con ayuda del servidor podemos evitar todas esas
  69. 69. molestias, sólo enviaremos las solicitures de nuestros clientesa los DNS y las redirecionaremos al DNS Cache de MikroTik.Para esto nos vamos a IP -> Firewall -> pestaña NAT yagregamos una nueva regla (+).En la ventana que aparecerá iremos a la pestaña General.
  70. 70. Chain=dstnat, en pocas palabras, esta cadena especifica loque tenga como destino.Protocol=udp, el protocolo usado para las solicitures DNS.Dst. Port, escogemos el puerto destino DNS, o puerto 53.In. Interface, la interfaz de red de nuestros clientes ó LAN,si han seguido todos mis manuales, la interfaz LAN es ether2.Luego vamos a la pestaña Action.
  71. 71. Action, que es lo que va a hacer con el tráfico queidentificamos en la pestaña General, en este caso vamos aredireccionar (a nuestro servidor), por esoelegiremos redirect.To Ports, el puerto al que será redireccionado todo el tráficoque identificamos en la pestaña General, que será el puerto53, ya que es el puerto que aceptará las peticiones del DNSCaché, según nuesta configuración."Todo lo que tenga como destino (dstnat), el puerto 53 (Dst.Port), con protocolo udp (protocol), y que entre por ether2(In. Interface)". "Será redireccionado (redirect), al puerto 53(To Ports)".Es MUY recomendable, que coloquen un comentario a la reglautilizando el botón Comment, esto para reconocer la regla
  72. 72. fácimente cuando necesitemos hacerlo, ya que cuandotengamos más de 10, 20 ó x reglas, nos será más fácilreconocerla, y esto va con énfasis para los que reciénempiezan. En este caso el comentario que le pondré será"Redirección DNS Cache".Y así ya tenemos configurado nuestro DNS CacheTransparente.Configurar MikroTik en modo PPPoE-Client para Routermodo BridgeComo ya sabrán, muchos de nuestros proveedores de internet(ISP) utilizan el protocolo PPPoE (over ATM) ó PPPoA paraautenticarnos y/o encriptar nuestras conexiones hacia susservidores para así poder darnos acceso a un internet"seguro", como el caso de Telefónica y su servicio Speedy,Nextel (sin ATM en el caso de Perú), Telmex en México, ycientos de ISPs en el mundo.
  73. 73. El problema viene a que estos ISPs nosvenden/ceden/alquilan/regalan routers ADSL de gama MUYbaja, con muy poca capacidad de conexiones y sesiones NAT,inclusive algunos tienden a colgarse o a dejar de aceptarnuevas conexiones cuando son ligeramente exigidos, y estosin contar con los bugs que algunos tienen con su firewallintegrado y en sus opciones NAT.El punto de esta guía es hacer que MikroTik sea el único quemaneje estas conexiones, dejando prácticamente "inutizado"al router que nos dió el ISP, y así poder manejar plenamentenuestra conexión a internet sin los problemas que estosrouters nos podrían dar.A groso modo, un routerADSL ó modem/router cuenta con:  Modem ADSL (Interfaz ADSL)  Router (encargado del NAT, conexiones, firewall, etc)  Switch  Access PointTodo integrado en un sólo equipo, del cual por configuración,sólo dejaremos activado el modem ADSL y el switch. Eltrabajo de Router (duro trabajo) lo hará únicamente MikroTik.Antes de empezar a hacer esta configuración, recomiendodarle una lectura a lo más básico, cómo configurar MikroTiken modo router neutro, para hacerse una idea del proceso.Parte 1: Configurar la interfaz virtual PPPoE-Client.Para empezar, teniendo ya reconocidas nuestras interfaces dered, nos conectaremos por la interfaz ether1, luego ya enWinbox, vamos a Interfaces.En la ventana que aparecerá, iremos a la pestaña Interface yluego agregaremos una nueva interfaz (+) paranuestro PPPoE Client.
  74. 74. Una vez hecho esto, nos aparecerá una nueva ventana paraconfigurar nuestro PPPoE Client, luego iremos apestaña General.
  75. 75. Interfaces, seleccionaremos la interfaz a la que seráasociada nuestra interfaz virtual PPPoE Client, que en estecaso es ether1. Es de suponer que conectaremos nuestromodem/router a ether1, para que establezca la conexiónPPPoE.Luego iremos a la pestaña Dial Out
  76. 76. User/Password, son los datos que nos da nuestro ISP parapodernos autenticar a sus servidores, estos valores losencontraremos dentro de nuestro modem/router, o quizá lostengamos a la mano si nuestro ISP nos dió un simple modemxDSL, esto último lo sabremos ya que es necesario instalar ennuestro PC un cliente PPPoE como WinPoET (PPPoE paraWindows) y loguearnos para tener internet.Nota: Algunos ISP no necesitan estos User y Password, yaque sólo usan el protocolo PPPoE para encriptación.Dial On Demand, sólo marcará el usuario y password yconectará con el servidor de nuestro ISP, cuando existanpeticiones a internet. Si no hay petición alguna, entonces sedesconectará automáticamente.Add Default Route, al tener marcada esta opción, MikroTikagregará automáticamente una ruta de salida a Internet(Gateway) utilizando los valores que le entregóautomáticamente el ISP al momento que estableció conexióncon su servidor.
  77. 77. Use Peer DNS, MikroTik configurará automáticamente elDNS (IP -> DNS) con los valores que le entregó el ISP almomento que estableció conexión con su servidor.Nota: Estas 2 últimas opciones deberían de estar descarcadassi se está configurando el PPPoE-Client para balanceo decarga (load balance) entre 2 más líneas (links) de internet.Una vez hecho esto, tendremos una interfaz nueva llamadapor defecto, pppoe-out1.Podrán notar que esta nueva interfaz no tiene un R a ladoizquierdo, eso quiere decir que no está funcionando o"Running"; claro, tendríamos que tener ya configurado elmodem/router en modo bridge para que establezca conexióncon el servidor de nuestro ISP, una vez hecho, debería detener esa "R"
  78. 78. Parte 2: Configurar Puerta de Enlace (Gateway) de losclientes y enmascarado.Una vez que nuestro PPPoE Client esté configurado,tendremos que hacer que nuestros clientes tengan internetutilizando nuestra conexión PPPoE Client.Vamos a IP -> Adresses y agregamos una nueva regla (+),en este caso será agregar el IP de la puerta de enlace(Gateway) de nuestros clientes.Address, aquí colocaremos la puerta de enlace que tendránnuestros clientes, en este caso es 192.168.10.1Interface, seleccionaremos la interfaz de red a la queestamos colocando este IP, obviamente seleccionaremos lainterfaz LAN de nuestro servidor, que en este caso es ether2.Nota: Para tener una idea más clara de esta configuración,como saber qué es el /24 que coloqué al lado del IP,recomiendo dar una lectura al siguientemanual.
  79. 79. Una vez que colocamos el IP a la interfaz LAN (el gateway delos clientes) tendremos que hacer el enmascarado, para esovamos a IP -> Firewall -> pestañaNAT y agregamos unanueva regla (+)En la ventana que aparecerá iremos a la pestaña General.Chain, seleccionamos scrnat. Aunque siempre está así pordefecto cuando se crea una nueva regla...Out. Interface, seleccionaremos nuestra interfaz WAN, eneste caso será nuestra interfaz virtual pppoe-out1.Pasamos a la pestaña Action.
  80. 80. Action, eligiremos masquerade que nos permitiráenmascarar nuestras conexiones (de los clientes) detrás de laIP pública que nos entregará nuestro ISP cuando nuetrainterfaz pppoe-out1 se conecte a su servidor.Con esto la configuración ya está terminada de momento,pero aún no tendremos internet hasta que nuestrainterfaz pppoe-out1 se conecte apropiadamente al ISP.Tener en cuenta que aquí no iremos a IP -> Routes paraasginar una salida a internet al servidor, esto a que dejamosmarcada la opción Add Default Routede la pestaña DialOut en la configuración de nuestro pppoe-out1, así quecuando se conecte, automáticamente se agregará dicha regla.Como lo he mencionado al inicio de esta guía, es necesarioconfigurar el modem/router a modo bridge y conectarlo a lainterfaz de red asociado al pppoe-out1, que en este caso aether1.Una vez hecho esto, MikroTik hará la conexión PPPoE, ycuando llegue a conectar veremos estos cambios:En Interfaces aparecerá la letra "R" al lado de pppoe-out1,lo que indicaría que se estableció conexión.
  81. 81. En IP -> Addresses, se agregará automáticamente (nótesela "D") un IP asoaciado a la interfaz pppoe-out1, estavendría a ser nuestra IP pública que asignó nuestro ISP.Nota: En raras ocasiones, y dependiendo del ISP, este nosdará una IP "muerta", que NO corresponde al rango de IPsasignados a nuestros País, esto podría suceder por un error alescribir el User y Password dentro de la configuraciónde Interfaces -> pppoe-out1 -> pestaña Dial Out.
  82. 82. En IP -> Routes, se agregarán automáticamente las rutascorrespondientes desde nuestra IP pública, al servidor deautenticación de nuestro ISP.Nota: Tener en cuenta que sólo se agregará nuestra salida ainternet automáticamente si se tiene activada la opción AddDefault Route en Interfaces -> pppoe-out1-> pestaña Dial Out.Respuestas Rápidas:¿Por qué no tengo la "R" en pppoe-out1?Si se ha configurado correctamente y tal como está en estaguía, una de las principales razones para que nuestro pppoe-out1 no conecte, casi siempre se debe a alguna falla en laconfiguración del modem/router a modo bridge, aunqueaveces con sólo reiniciar el modem/router y el servidor sellega a solucionar, e inclusive puede tardar cierto tiempo(varios minutos) en establecer conexión por primera vez.¿Es necesario colocar un IP al ether1 (WAN)?En realidad no, ya que ether1 NO es nuestra WAN, nuestraverdadera WAN es la interfaz virtual pppoe-out1, y esteobtiene su IP automáticamente cuando establece conexióncon el servidor (PPPoE Server) del ISP. La IP que apareceautomáticamente en IP -> Addresses y que hace referenciaa pppoe-out1, es nuestra WAN IP o IP pública en este caso.
  83. 83. Mi ISP utiliza la autenticación por PPPoA, pero MikroTikno tiene esta opción ¿Me sirve esta guía?Si se utiliza el protocolo PPPoA, no existe problema alguno yaque MikroTik sólo marca el User y Password para laautenticación. Puedes usar esta guía sin problemas.¿Cómo conecto el cable telefónico a la tarjeta de red delservidor?¿? ¡Jamás hagas eso! ¡Ni lo intentes! El cable telefónicosiempre irá conectado al puerto RJ11 del modem/router;luego, de un puerto RJ45 del modem/router conectarásúnicamente un cable de red a la tarjeta ó puerto ethernet delservidor.¿Puedo conectar una tarjeta PCI fax/modem (RJ11) alservidor y así no utilizar el modem/router?Absolutamente NO. Una tarjeta fax/modem no es una interfazADSL como las que llevan los modem ADSL, o modem/router.Son tecnologías distintas.¿Puedo conectar una tarjeta PCI ADSL (RJ11) alservidor y así no utilizar el modem/router?La idea es bastante válida, pero MikroTik no soporta ningunainterfaz ADSL, y quizá nunca lo haga.Configurar MikroTik WebProxy (WebCaché)MikroTik cuenta con su propio Webproxy, que almacenará loselementos de las páginas que nuestros clientes visitaron, asíque cuando estas páginas se vuelvan a visitar, dichoselementos saldrán de nuestro disco duro y ya no de interent,ahorrando ancho de banda; inclusive hace que nuestranavegación sea más rápida ya que los elemenos que salgandel disco duro, lo harán con una velocidad superior a la quelimitamos al cliente, claro para esto último hay que configurarel famoso "Full Cache". Luego, con webproxy podremos
  84. 84. bloquear páginas, redireccionar, eliminar publicidad en lanavegación, etc.Para iniciar la configuración, vamos a: IP -> Web Proxy -> pestaña Access -> botón Web Proxy Settings.En la ventana que aparecerá iremos a la pestaña General.
  85. 85. Port, por defecto MikroTik usa el puerto 8080 para escucharlas peticiones al webproxy.Cache Administrator, cuando una pagina sea inaccesible, yasea porque está caída o porque decidimos bloquearla (lo queveremos en otra guía), el cliente tendrá una página de error,en donde aparecerá lo que esté escrito ahí, por defecto eswebmaster, aunque si desean pueden colocar su correo pararecibir cualquier tipo de feedback.Cache On Disk, aquí activaremos el caché en la unidad dealmacenamiento, si no está activado, entonces el caché sealmacerá en la memoria.
  86. 86. Max. Cache Size, aquí especificaremos el tamaño máximoque tendrá el cache en el disco (o únidad de almacenamientoque utilicemos); por ejemplo, si tenemos un disco duro de 20GB, cuánto de estos 20 GB serán dedicados al caché, MikroTiktoma este valor en KiB, entonces, si queremos dedicar 15 GBal caché tendremos que colocar este valor multiplicado 2veces por 1024, por lo tanto 15 GB equivale a 15728640 KiB.Si por accidente llegámos a equivocarmos con este valor ycolocáramos uno que sobrepase el tamaño total del disco, nohay problema ya que MikroTik calculará el máximo tamañoposible y hará la corrección automáticamente.Aquí encontraremos 2 opciones más:  Unlimited, MikroTik calculará automáticamente el tamaño máximo en disco para almacenar el caché. (viene con esta opción por defecto)  None, MikroTik NO almacenará ningún tipo de caché. ¿Entonces cuál es el caso de activar el Webproxy? Pues podemos bloquear páginas, redireccionarlas, etc. cosa que veremos en otra guía. Muy usado en RouterBoards.Cache Hit DSCP (TOS), marcará todo el contenido que salgadel caché almacenado (del disco duro), para poder trabajarloluego, por ejemplo, limitar su velocidad, o liberarla (hacer"full caché"), esto último lo veremos en otra guía.Cache Drive, aquí aparecerá el nombre de la unidad dealmacenamiento en donde se almacenará el cache, si es quese configura para ello, claro.Con esto el Webproxy ya está funcionando, si es quequeremos probarlo, entoncesconfiguraremos nuestro navegador:
  87. 87. Ya si vienen siguiendo este manual desde el principio, sabránque el IP 192.168.10.1 es la puerta de enlace de nuestrosclientes, el LAN IP del servidor. El puerto corresponteobviamente a lo que configuramos en Web Proxy Settings.Si vamos a una página talcomo http://www.whatismyip.com este nos dirá que hadetectado a MikroTik WebProxyClaro, como no es muy cómodo ir a la casa de los clientes ycambiar la configuración en el navegador de cada uno,entonces tendremos que configurar el webproxy
  88. 88. transparente (Hacer que los clientes vayan al webproxy sinque ellos se den cuenta) con la ayuda del servidor.Importante: Es muy recomendable bloquear el acceso alWebProxy desde el exterior (Internet) así nos evitamos quepersonas malintencionadas, o virus, usen nuestro Webproxysin autorización, convirtiéndolo en un proxy público a la quecualquier persona en el mundo pueda acceder.Nota: Si utilizan un RB, y sólo quieren activar el webproxy parahacer redirecciones y bloqueos, sólo tendrían que configurar dela siguiente manera.Max. cache size, noneCache On Disk, desmarcado.
  89. 89. Configurar Web Proxy TransparenteYa vimos cómo configurar el WebProxy, y vimos también quehay que configurar nuestro navegador para que se comuniquecon WebProxy y así poder utilizarlo. Esta guía está diseñadapara que, con la ayuda del servidor, obliguemos a los clientesa pasar por el webproxy sin que estos se den cuenta y sintocar su navegador. A esta configuración se le llama"WebProxy Transparente" ó "Redirección a WebProxy".En líneas generales, solo vamos a detectar el tráfico quenuestros generen con destino al puerto 80 (puerto http, quese usa para la navegación web) y redireccionarlo al puerto denuestro WebProxy, que según nuestra guía anterior es elpuerto 8080. Para esto nos vamos a IP -> Firewall -> pestaña NAT y agregamos una nueva regla (+).En la ventana que aparecerá iremos a la pestaña General.
  90. 90. Chain=dstnat, en pocas palabras esta cadena especifica loque tenga como destinoProtocol=tcp, el protocolo usado para la navegación web.Dst. Port, escogemos el puerto destino http, o puerto 80.In. Interface, la interfaz de red de nuestros clientes ó LAN, sihan seguido todos mis manuales, la interfaz LAN es ether2.Luego vamos a la pestaña Action.
  91. 91. Action, que es lo que va a hacer con el tráfico queidentificamos en la pestaña General, en este caso vamos aredireccionar (a nuestro servidor), por esoelegiremos redirect.To Ports, el puerto al que será redireccionado todo el tráficoque identificamos en la pestaña General, que será el puerto8080, ya que es el puerto que aceptará las peticiones delWebProxy, según nuestra configuración."Todo lo que tenga como destino (dstnat), el puerto 80 (Dst.Port), con protocolo tcp (protocol), y que entre por ether2 (In.Interface)". "Será redireccionado (redirect), al puerto 8080(To Ports)".Es MUY recomendable, que coloquen un comentario a la reglautilizando el botón Comment, esto para reconocer la regla
  92. 92. fácimente cuando necesitemos hacerlo, ya que cuandotengamos más de 10, 20 ó x reglas, nos será más fácilreconocerla, y esto va con énfasis para los que reciénempiezan. En este caso el comentario que le pondré será"Redirección a Webproxy".Con esto ya tenemos configurado nuestro Web ProxyTransparente.Liberar la Velocidad de Web Proxy (Full Caché)Una de las ventajas de utilizar el webproxy es acelerar lanavegación, esto a que los elementos de una página X vistaanteriormente almacenados en el disco duro de nuestroservidor, saldrán de este disco duro, y ya no de internet a unavelocidad superior (hasta 80Mbps, a este proceso se llamaHIT) Hasta aquí todo bien, pero si se llega a asignar un anchode banda específico para cada cliente, habrán notado, onotarán, que la gran velocidad que nos da un HIT también eslimitada a la velocidad estabelcida para cada cliente;entonces, por tal motivo tenemos que configurar el "Full
  93. 93. Cache" en el servidor.Bueno, esto funciona así: Cuando un archivo sale del discoduro, este sale con una marca en común, prácticamente entodos los webcaché, cuando un elemento sale del disco duro(HIT), este sale con la marca : "X-Cache: HIT", o si elwebcaché lo permite, se puede introducir una marca por TOSó DSCP para estos elementos, como el caso de MikroTik 3.x y4.x.De esta manera, podemos configurar a MikroTik a quereconozca tal marca, y que le quite la limitación de todo loque la utilice, aunque más adelante podemos definir un límiteglobal si es que lo necesitamos.Para reconocer y marcar (dar nombre) a las conexiones y/opaquetes de un determinado tipo de tráfico, ya sea por IP,puerto, puerto, cantidad de bytes, etc etc, todo eso lo vemosen IP -> Firewall -> pestaña Mangle, luego, para utilizaresa marca que colocamos y dimos nombre, vamos a Queue -> pestañaQueue Tree, justo aquí es donde se prioriza ylimita (o libera según sea el caso) aquellos paquetes conmarca.Vamos entonces a IP -> Firewall -> pestaña Mangle yabrimos una nueva regla (+). Veremos una ventana comoimagen de abajo, e iremos a la pestañaGeneral.
  94. 94. Chain=Output, la cadena especifica todo lo que tenga comoorigen el mismo servidor (ya que el caché saldrá del mismoservidor MikroTik)Luego vamos a la pestaña Advanced.
  95. 95. DSCP (TOS), aquí colocamos el número 4, ya ese es el valorque vino por defecto en la configuración de Webproxy. Siquieren recordar, aquí una imagen.Vamos a la pestaña Action.
  96. 96. Action=marck packet, seleccionamos mark packet de lalista, ya que lo que haremos será "marcar paquetes".New Packet Mark, aquí escribiremos el nombre con el queidentificaremos a nuestra marca de paquetes, en este caso lecoloqué "Full-Cache".Passthrough, quitaremos este check, y así evitaremos quelos paquetes marcados se vuelvan a marcar por cualquier otraregla debajo de esta.De esta manera ya tenemos marcados los paquetes quesalieron del disco duro (hicieron HIT), la marca se llama "Full-Cache" y ahora solo tenemos que utilizarla para liberar estetráfico. Para eso vamos a Queue -> pestaña Queue Tree yabrimos una regla (+). En la ventana que aparecerá vamos ala pestañaGeneral.
  97. 97. Name, aquí colocaremos un nombre para reconocer a laregla, casi igual que cuando utilizamos el botón comment.Parent, seleccionaremos global-out, ya que según el packetflow, global-out es la salida general de este sistema.Packet Marks, elegiremos la marca que creamos hace unpaso atrás, en este caso "Full-Cache"Max-Limit, esto es un opcional si trabajamos en redcableada; si no colocamos ningún valor, entonces loselementos que hagan HIT saldrán a una velocidad "ilimitada",donde el límite lo pondrá la propia infraestructura queutilicemos, en el caso de una red cableada normal, lavelocidad será aproximadamente de 80Mbits/s, en el caso deuna red wireless, 5.9Mbits/s y 22Mbits/s según el modo queutilicemos, 802.11b ú 802.11g respectivamente. Ya para unared wireless en modo 11b, o en modo 11g en "zonas
  98. 98. saturadas", es recomendable fijar el límite a un máximo de4Mbits/s o menos, para no saturar nuestro ancho de bandawireless (throughput).Una vez hecho esto, cualquier elemento que salga de nuestrocaché, saldrá a la velocidad que hayamos colocado en la reglaQueue tree (ver última imagen), dando igual si el cliente tienefijado algún límite de velocidad.Ver el Contenido Cacheado por WebProxyPara revisar el contenido cacheado, existen 2 formas, una esusando New Terminal, y la otra es utilizando las ventanasde WinBox.Ver el contenido cacheado por ventana de WinBox (NORecomendado).Vamos a IP -> Web Proxy -> pestaña Cache Contents ynos listará todos los elementos almacenados en el caché.
  99. 99. El problema aquí es que no nos mostrará el contenido realhasta que terminen de listarse todos los elementos, yhablamos de miles de elementos, así que este proceso puedetardar horas; luego, cuando WinBox está listando loselementos, el consumo de CPU y de disco duro llegan al 100%ocasionando lentitud en toda la red; pero eso no es todo,cuando WinBox está listando elementos, el ancho de bandausado en la comunicación entre WinBox y el servidor puedesubir a más de 5Mbps, lo que saturaría el ancho de bandawireless si se está conectado por este medio. En definitiva, noes recomendable ver el contenido cacheado de esta forma.Ver el contenido cacheado por New Terminal.Vamos a New Terminal, escribimos el código de abajo, ypresionamos enter para ejecutarlo.
  100. 100. Código:ip proxy cache-contents printUna vez que se liste el contenido tal como la imagen dearriba, se puede usar las teclas direccionales (arriba y abajo)para que, manualmente, siga listando los elementosalmacenados en cache. Esta manera de ver el contenidocacheado no tiene los problemas que ocasiona el otro método.Es bastante molesto, no sé por qué lo han incluído enwinbox si da tantos dolores de cabeza...Quita el check Load Previous Session, luego presiona elbotón Tools y selecciona Clear Cache. Cuando terminesde trabajar con Winbox, cerra todas las ventanas ypresiona el botón Exit para salir.Configurar disco secundario dedicado al cache paraWebProxy
  101. 101. Muchas veces queremos agregar un disco duro secundariopara tenerlo dedicado al cache de MikroTik WebProxy, ya seaporque nuestro disco de sistema es de poca capacidad, porseguridad (así apenas se usa el disco del sistema donde seguarda la licencia). o quizá tengamos un RouterBOARD o RBal que le queremos colocar una tarjeta microSD, CompactFlash, o un disco duro externo USB si es que nuestro RBcuenta con este puerto.Para empezar, sería bueno reconocer cuál es el disco endonde estamos almacenando el caché actualmente, en estecaso es primary-master, ya que el disco duro en estaoportunidad está conectado al Primary IDE, y estáconfigurado como Master, así que dependiendo del casopodrían ser secondary-master,primary-slave, secondary-slave, sata1, o system, en estos 2 últimos casos correspondea los discos SATA, y la memoria interna de nuestro RB.
  102. 102. Notaremos que nuestro Cache Drive actual, es primary-master.Vamos a System -> Stores -> pestaña Stores y veremosque existe ya una regla, ya sólo al verla sacamos al ojo quees la regla que configura nuestro disco (del sistema) para quesea webproxy, y de paso está con Status: active, o activo.Hacemos click en la pestaña Disks, y mostrará todas las
  103. 103. unidades de almacenamiento que tenemos disponibles, ya seaIDE, SATA, USB, Compact Flash, o SD/microSD. En esteejemplo el disco duro secundario que será dedicadoexclusivamente al caché es uno del tipo SATA, y normalmentedebería de tenerStatus: invalid ya que MikroTik aún no lo hapreparado para ser utilizado, entonces presionamos elbotón Format Drive, notaremos que el status cambiaráaformatting... o formateando, la operación podría tardardependiendo de la capacidad y velocidad del disco duro. Unavez terminada la operación el status cambiará a ready, olisto.Ya con el disco preparado para ser utilizado por MikroTikregresamos a la pestaña Stores y agregamos una nuevaregla ( + )
  104. 104. Name, aquí escribiremos el nombre de la regla, en este casole puse web-proxy2Type, elegiremos qué tipo de uso se le dará a este disco, eneste caso elegiremos web-proxy, ya que lo usaremos paraeso.Disk, pues seleccionamos el disco que utilizaremos, de esteejemplo, el disco duro dedicado al caché es sata1.Recuerden marcar Activate, para que la regla se active.
  105. 105. Notaremos que nuestra regla web-proxy2 ya está activada,y la regla anterior entró a pasar a ser un backup, esto quieredecir que si quitáramos el disco duro de caché actual, el discoduro de backup se activará automáticamente, ya si no sequisiera que esto ocurra, simplemente borren la regla web-proxy1.
  106. 106. ¡Listo! sólo queda comprobar que nuestro nuevo CacheDrive corresponda a nuestro disco duro que designamos parael caché, y como muestra la imagen, todo fue un éxito ya quevemos a sata1.Tener en cuenta que si tenemos nuestro WebProxyfuncionando y aún procesando peticiones, todo esto nofuncionará hasta que reiniciemos el server conSystem ->Reboot.Evitar Ataque a MikroTik Webproxy y DNS cacheBueno, ya muchos sabrán que MikroTik dispone de un WebProxy server y un DNS Cache, pero muchas veces almomento de configurarlo no solemos cololocar las reglasnecesarias para bloquear el acceso a estos recursos desdeinternet.Muchos ser harán esta pregunta ¿Que podría pasar si no
  107. 107. bloqueo el acceso a estos servicios desde internet?La respuesta no es muy complicada. Si el servicio estáabierto, por ejemplo el webproxy, cualquier tipo de spyware,malware o virus en general, podría informar esta falla deseguridad en nuestro servidor y aprovecharse de nosotroshaciendo peticiones desde nuestro web proxy a internet,obviamente nos está consumiendo nuestra propia línea, y conmás énfasis, nuestro escaso upload.Cuando esto ocurre, se siente una extraña lentitud, y un usobastante desproporcionado del upload del WAN respecto alupload de la interfaz de los clientes. Si se llega a abrir googlepara hacer una búsqueda, este te devolverá un mensaje conen esta imagen.Bueno, luego de tanto preámbulo, vamos al grano.Bloqueo webproxy externo:Código:/ip firewall filter add action=drop chain=inputcomment="Bloqueo webproxy externo" disabled=no dst-port=8080 in-interface=pppoe-out1 protocol=tcpBloqueo DNS cache externo:Código:/ip firewall filter add action=drop chain=inputcomment="Bloqueo DNS cache externo" disabled=no dst-port=53 in-interface=pppoe-out1 protocol=udpVoy a desmantelar un poco la primera regla e intentaréexplicarla para que se hagan una idea de qué están copiandoy pegando en sus servidores. action=drop, "arroja" los paquetes, no serán procesados. chain=input, utiliza la cadena input (conexiones y/o paqutes cuyo destino final sean el mismo servidor).
  108. 108.  in-interface=pppoe-out1, interfaz de entrada de las conexiones y/o paquetes (que serán bloqueados por action=drop), en este caso es el pppoe-out1. Se tiene que cambiar por la interfaz WAN que corresponda. protocol=tcp, protocolo de transmisión, el más utilizando en internet junto con en protocolo UDP. dst-port=8080, puerto destino (que será bloqueado por action=drop), por defecto de webproxy es el puerto 8080.  Evitar ataque de ping al servidor MikroTik  Este ejemplo bloquea los packetes de 99 bytes a más.  Código:  /ip firewall filter add action=drop chain=input comment="" disabled=no in-interface=pppoe-out1 packet-size=128-65535 protocol=icmp  in-interface, interfaz de entrada a limitar el ping. Puede ser LAN, WAN, etc. packet-size, tamaño de paquetes a bloquear. Nota: Si se quiere bloquear completamente el ping, simplemente hay que remover la parte "packet-size":  Código:  /ip firewall filter add action=drop chain=input comment="" disabled=no in-interface=pppoe-out1 protocol=icmp  Prevenir ataque SSH y FTP  Bueno soy bastante nuevo esto pero he tenido ataques ftp y ssh y buscando y buscando encontré la solución (tal vez conocida por muchos) para este tipo de problemas. Si estaba en el foro no la encontré. Como saber si te están atacando de estas dos formas? fácil, entra a log y veras algo como esto.
  109. 109. este es el típico ataque ftp; en el ataque ssh es prácticamente lo mismo pero al final va el ssh. Este script bloquea una ip al noveno intento fallido de conexion, donde al décimo intento, esta ip entra en una lista donde se bloqueará por 3 horas (puedes modificar las horas a tu gusto) Código: /ip firewall filter add chain=input protocol=tcp dst-port=21 src-address- list=ftp_blacklist action=drop comment="Bloquear Ataques FTP" add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" address-list=ftp_blacklist address-list-timeout=3h Este otro script bloquea la ip que intente cuatro intentos fallidos de conexion en un minuto. Esta dirección ingresará a una lista donde se bloqueará cualquier
  110. 110. ataque ssh proveniente de esa ip por 10 dias (puedes modificar los días a tu gusto) Código: /ip firewall filter add chain=input action=drop protocol=tcp src-address- list=ssh_blacklist dst-port=22 comment="Proteccion VSC contra ataques via SSH" add chain=input action=add-src-to-address-list connection- state=new protocol=tcp src-address-list=ssh_stage3 address- list=ssh_blacklist address-list-timeout=1w3d dst-port=22 add chain=input action=add-src-to-address-list connection- state=new protocol=tcp src-address-list=ssh_stage2 address- list=ssh_stage3 address-list-timeout=1m dst-port=22 add chain=input action=add-src-to-address-list connection- state=new protocol=tcp src-address-list=ssh_stage1 address- list=ssh_stage2 address-list-timeout=1m dst-port=22 add chain=input action=add-src-to-address-list connection- state=new protocol=tcp address-list=ssh_stage1 address-list- timeout=1m dst-port=22 Otra opción es cambiar los puertos en IP/Services. Personalmente intente cambiar el puerto del ftp pero el ataque seguía asi que no funciono en mi caso. Con el ataque ssh cambie el puerto y santo remedio pero nunca estan demás estos script. Configurar MikroTik DHCP Server (dar IPs automáticamente) Parte 1 Un servidor DHCP ser encarga de asignar un IP y demás datos de configuración de red a cualquier dispositivo que se lo pida, este puede ser un PC, un AP, un PlayStation3, etc. El proceso en sí no es muy simple, pero para hacerlo fácil se podría explicar de esta manera: El PC o
  111. 111. dispositivo de red configurado para obtener un IPautomáticamente hará una solicitud a nuestro servidorDHCP (MikroTik), y luego de una negociación, ésteanotará la MAC de la tarjeta de red del solicitante yluego le asignará un IP y demás datos de configuración.El servidor DHCP no entrega los IPs a ojo cerrado, esteentrega sólo los IPs de un rango que designamos, yclaro, este IP no debe de estar ya en uso.Por ejemplo, configuré a esta compu para que obtuvieraIP automáticamente, y con la ayuda delcomando ipconfig /all desde CMD (intérprete decomandos de windows) puedo ver los datos que meentregó el servidor DHCP:Como podemos ver en la imagen de arriba, el DHCPserver nos entregó todos los datos que usualmente
  112. 112. completamos cuando configuramos un IP manualmente.Para hacer eseta guía he tomado en cuenta que ya seleyó las demás guías básicas para configurar MikroTik yque el servidor está en funcionamiento.Para comenzar, vamos a IP -> DHCP Server -> pestaña DHCP y presionamos el botón DHCPSetup para seguir con el asistente de configuración.El asistente de configuración nos ayudará a tenernuestro DHCP server correctamente configurado, y depaso es la manera más simple de hacerlo, ya que sólo escosa de hacer "siguiente, siguiente y siguiente" casiliteralmente.
  113. 113. DHCP Server Interface, seleccionamos la interfaz dered en donde se instalará el DHCP server, obviamenteaquí elegieros la interfaz de red LAN o la tarjeta de reddesde donde se conectan nuestros clientes, que en estecaso es ether2.El asistente de configuración sólo se guiará de denuestra configuración actual. Este valor lo sacó demanera automática de nuestra configuración de IP en IP-> Addresses.DHCP Address Space, es la red en donde funcionará elDHCP server, en este caso 192.168.10.0/24. Tengan encuenta que el /24 quiere decir255.255.255.0, la máscarade subred que el DHCP server nos dará cuandosolicitemos un IP automáticamente.
  114. 114. Gateway for DHCP Network, es la puerta de enlaceque el servidor DHCP ofrecerá a los clientes que solicitenun IP, en este caso es 192.168.10.1Address to Give Out, es el rango de IPs que elservidor DHCP asignará a nuestros clientes, del ejemploel servidor tiene 55 IPs para repartir,del192.168.10.200 al 192.168.10.254Lease Time, es el tiempo en el que MikroTik almacenará
  115. 115. los datos de todos los clientes al que el servidor DHCPasignó un IP automáticamente.Una vez hecho esto, ya tendremos nuestro DHCPserver funcionando.Name, es el nombre de nuestro servidorDHCP, dhcp1 en este caso.Interface, es la interfaz de red donde nuestro servidorescuchará las peticiones para asignar IPsautomáticamente, obviamente esta es la interfaz LAN, otarjeta de red de los clientes, en este caso es ether2.Lease Time, es el tiempo en el que MikroTik almacenarálos datos de todos los clientes al que el servidor DHCPasignó un IP automáticamente.Address Pool, es el pool de IPs que serán tomadas porel servidor DHCP para asignar automáticamente. Tiene
  116. 116. ralación directa con Address to Give Out, queconfiguramos con el asistente para configurar el DHCP.Para ver la lista de clientes a quienes se le asignó un IPautomáticamente, pueden ir a IP -> DHCP Server -> pestaña Leases.Expire After, es el tiempo de expiración del Lease, queserá renovado si el cliente sigue conectado o vuelve aconectarse antes que este tiempo expire, el DHCP serverle asignará siempre el mismo IP. Si el cliente se conectacuando el Lease Time está expirado (y porconsiguiente, su lease ha desaparecido de la listade Leases), y sólo si su IP está ocupado (ya que fueasignado a otro dispositivo de red), entonces el servidorle asignará un IP distinto al primero, esto suele sucedermuy a menudo cuando el rango de IPs disponibles(Address Pool) para asignar automáticamente es muyestrecho.
  117. 117. Si quieren ver o editar el Address Pool, o el rango de IPs que el DHCP server tomará para asignar automáticamente, pueden ir a IP -> Pool - > pestañaPools. Así terminamos la primera parte de esta guía, con todo lo necesario para hacer funcionar el servidor DHCP de MikroTik. La segunda parte será algo más específica, y tocaremos una función muy interesante sobre los Leases.[EXCLUSIVO] QoS parte 1: MANGLEEdición: He visto conveniente y necesario mencionar elescenario para la cual estas reglas estándesarrolladas. Cualquier otro escenario podría no cumplir.Mangle para QueueTree de red Enmascarada y con uso

×