• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Configuración de mikro tik para thundercache
 

Configuración de mikro tik para thundercache

on

  • 26,097 views

 

Statistics

Views

Total Views
26,097
Views on SlideShare
26,097
Embed Views
0

Actions

Likes
24
Downloads
0
Comments
5

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel

15 of 5 previous next Post a comment

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Configuración de mikro tik para thundercache Configuración de mikro tik para thundercache Document Transcript

    • Instalación y Licenciamiento1. Instalar MikroTik desde Cero (Sólo para x86)2. Primer Paso: Conectarse al servidor MikroTik desde Winbox3. Cómo licenciar MikroTik por primera vez (Sólo para x86 ypara RBs del que se quiera actualizar la licencia)4. MikroTeka de versiones antiguasEmpezando a Configurar nuestroServidor1. Base Generales y cómo entender las Guías2. Reconocer y Nombrar las tarjetas de red del Servidor3. Configurar WAN y LAN para conectarse a internet desde elservidor4. Asignar un ancho de banda específico a los ClientesAmarre IP/MAC1. Configurar amarre IP/MAC por ARPConfigurar MikroTik DNS1. Configurar el DNS Caché de MikroTik2. Configurar DNS Caché TransparenteConfigurar MikroTik en modoPPPoE Cliente
    • 1. Configurar MikroTik en modo PPPoE-Client para routermodo BridgeConfigurar MikroTik WebProxy1. Configurar MikroTik WebProxy (WebCaché)2. Configurar WebProxy Transparente3. Liberar Velocidad de WebProxy (Full Caché)4. Ver el contenido Cacheado por WebProxy5. Configurar disco duro secundario dedicado al cacheUn poco de Seguridad1. Evitar ataque a MikroTik WebProxy y DNS Caché2. Evitar ataque de Ping sl servidor MikroTik3. Prevenir ataque SSH y FTPConfigurar MikroTik DHCP Server1. Configurar MikroTik DHCP Server (dar IPsautomáticamente) Parte1QoS (Quality of Service o Calidad deServicio)1. QoS Parte 1: Mangle2. QoS Parte 2: Queue Tree3. QoS estático: Queue Tree + Mangle
    • Configurar MikroTik paraRedireccionar a nuestros Clientes aThunderCache1. Redireccionar nuestros clientes a ThunderCache utilizandoMikroTik (Proxy Paralelo)2. Configurar ThunderCache como Parent Proxy de MikroTik3. Configurar MikroTik para hacer Full Caché con ThunderTutoriales sobre ThunderCacheProfesional1. Configuración inicial en MikroTik para Thunder 7 enParalelo.2. Activación de AHCI antes de la instalación.3. Instalación de ThunderCache Profesional en el Servidor.4. Configuración del Panel de Control.5. Configuración de ThunderCenter.6. Redirección a Thunder 7 y Full Cache.7. Habilitar servidor WEB con ThunderCache ProfesionalConfigurar MikroTik Hotspot1. Configurar MikroTik Hotspot (Portal Cautivo)2. Enviar mensajes a los clientes utilizando Hotspot3. Cortar Internet al Cliente y Notificar falta de PagoUtilizando Hotspot4. Forzar página de inicio de los clientes con Hotspot
    • Tareas Administrativas1. Configurar -correctamente- la hora en MikroTik (x86/RB)2. Reiniciar el Servidor MikroTik automáticamente3. Apagar el Servidor MikroTik automáticamente4. Actualizar MikroTik RouterOS para PC / x86 yRouterBOARDSRedireccionamientos1. Redireccionar puertos con MikroTik2. Activar "IP NAT Loopback" en MikroTik para DoTA (WarcraftIII)3. Cambiar el logo de Google con MikroTikPuertos y Conexiones1. Torch: Ver conexiones y consumo de nuestros usuarios2. Total de tráfico consumido y sesiones NATBalanceo de Carga1. Balanceo de carga PCC para 3 WAN en un RB750GReparación de RouterBOARDS1. Reparar RouterBOARDS reinstalando MikroTik conNetinstall
    • Lo que deberías saber1. Qué es el Ping2. Conseguir un buen enlace WiFiCómo instalar MikroTik RouterOS desde CeroBueno, esta guía va dedicada a los que me pideninstrucciones de cómo instalar su MikroTik para que luego sealicenciado y configurado .En primer lugar, es necesario descargar el ISO de MikroTik,en este caso será la versión 4.16 que la pueden descargardirectamente desde mikrotik.com, o siguiendo este link.Claro, también está mi sección descargas donde sólo colocarélas versiones de MikroTik que considere estables .Una vez que se tenga el ISO hay grabarlo en un CD, elprograma para hacerlo ya es a gusto de cada uno, que puedeser Nero, CDBurnerXP (Bueno, Bonito y... Gratis! Lorecomiendo), etc .Paso siguiente es configurar el PC para que inicie del CD, si esque no está configurado así. Este paso no necesita muchaexplicación ya que es lo mismo que se hace cuando se va ainstalar cualquier sistema operativo, por ejemplo WindowsXP.Una vez que el CD inicie mostrará una pantalla para elegirqué paquetes instalar .
    • Con las teclas direccionales nos colocaremos encima delpaquete que queremos instalar, y con ayuda de la barraespaciadora los seleccionaremos. Los paquetes que estánseleccionados en la imagen son los que suelo instalar en losservidores que vendo, inclusive para el nivel novato puedeser prescindible el paquete routing, security y wireless (si esque no se va a instalar una tarjeta wireless para hacertrabajar al server como AP).Una vez que los paquetes estén selecionados, presionaremosla tecla i para empezar con la instalación de MikroTikRouterOS en el disco duro.En el proceso nos aparecerán los siguientes mensajes:Do you want to keep old configuration? [y/n]:¿Desea mantener la configuración anterior?
    • Presionamos la tecla n ya que no tenemos una configuraciónanterior que mantener.Warning: all data in the disk will be erased! Continue? [y/n]:Advertencia: todos los datos en el disco serán eliminados! ¿Continuar?Presionamos la tecla y para que empiece a particionar yformatear el disco o unidad de almacenamiento. El procesopuede demorar dependiendo de la capacidad del disco que sehaya elegido para hacer la instalación .Una vez que el disco duro esté particionado y formateado, lospaquetes seleccionados se instalarán automáticamente y alfinalizar tedremos el mensaje:Software installedPress ENTER to rebootSoftware instaladoPresione ENTER para reiniciarYa en este punto hay que retirar el CD de instalación ypresionar la tecla enter para que el PC reinicie y el sistemacargue directamente del disco duro.Tendremos este mensaje:It is recomended to check your disk drive for errors,but it may take a while (~1min for 1Gb).It can be done later with "/system check-disk".Do you want to do it now? [y/N]Es recomendable comprobar que su unidad de disco esté libre deerrores,pero puede tomar algún tiempo (~1min para 1Gb).puede hacerse más tarce con "/sistem check-disk".¿Quiere hacerlo ahora?
    • Presionaremos la tecla n para evitar la comprobación dedisco.Una vez hecho esto tendremos la clásica pantalla de login deMikroTik.El usuario ó login y password por defecto son:Login: adminPassword:Bueno, creo que se sobreentiende que no tiene passwordalguno, así que aquí lo dejamos vacío.Presionamos enter para terminar de loguearnos.Una vez logueados veremos una notificación del servidor quenos dice que nuestro sistema no tiene licencia, y que tenemosmenos de 24 horas para probarlo. ..
    • Claro, tenemos menos de 24 horas para colocarle la licencia,o simplemente nuestro sistema expirará (no permitirá accesoalguno, empezarán a sonar muchos beeps y se apagaráautomáticamente) lo que inutilizaría su uso y posteriorlicenciamiento. Si esto llegara a ocurrir, no queda otra quevolver a reinstalar el sistema siguiendo los pasos de esta guíadesde el inicio .Es bastante recomendable verificar que MikroTik RouterOShaya reconocido absolutamente todas nuestras tarjetas dered, inclusive las wireless, si es que hubiésemos instaladoalguna, para eso escribimos el siguiente comando en laconsola y luego presionaremos enter:Código:/interface print
    • La imagen muestra que MikroTik ha reconocido 2 tarjetas dered en nuestro PC, que es justamente el total de tarjetas dered que tiene el PC en este momento. Si tuviesemos mástarjetas de red, entonces tendrían que aparecer en la lista. Sifuera una tarjeta wireless, el nombre por defecto de este tipode tarjetas es wlan1 .Nota: MikroTik RouterOS sólo reconocerá las tarjetas wirelessque utilicen chipset Atheros .Si no apareciera el total de tarjetas instaladas en el PC server,esto se debe casi siempre a:  Tarjeta de red dañada.  Conectores de la tarjeta sucios, o inclusive puede ser suciedad en el mismo slot PCI.  La placa madre, por antiguedad, limitación de diseño o chipset, no puede soportar determinada cantidad, marcas, ó modelos de tarjetas. Esto suele suceder con las tarjetas wireless en placas antiguas, inclusive problemas de IRQ.
    •  La tarjeta es un modelo bastante nuevo, o raro, que MikroTik no puede reconocerla.  etc.Tengan en cuenta que no existen drivers para MikroTikRouterOS que se puedan descargar e instalar.Absolutamente todos los drivers vienen dentro de lospaquetes de Mikrotik que instalamos previamente, asíque no se dejen engañar por estafadores que dicentener drivers para todas las placas y tarjetas.Con esto ya se tiene el Sistema Operativo MikroTikRouterOS instalado en el PC servidor, ahora sólo faltalicenciar el software y empezar la configuración.Primer Paso: Conectarse al Servidor MikroTik desdeWinboxCómo licenciar MikroTik RouterOS por primera vezPrimer Paso: Conectarse al Servidor MikroTik desdeWinboxBueno, luego de la instalación de MikroTik RouterOS tenemosque aprender a conectarnos al servidor. Si bien hay muchasformas de hacerlo, la mayoría son para hacerlo en modoconsola, es decir, línea de comandos no muy amigables alusuario que recién se inicia .Winbox es el método más amigable para conectarnos alservidor, ya que podremos conectarnos al servidor desdecualquier PC con windows, y lo mejor de todo, con lasventanas que tanto gustan y que además nos hacen la vidamás fácil.Para empezar, es necesario tener winbox a la mano, comomencioné en el párrafo anterior, winbox es la utilidad que nospermite comunicarnos con nuestro servidor desde cualquierPC con windows. Lo pueden descargar desde mi página de
    • descargas, o desde mikrotik.com .Una vez abierto, veremos una ventana como esta:Una vez abierto, hay que presionar el botón con puntossuspensivos (...) para poder escanear los dispositivos quetengan instalado MikroTik RouterOS en la red, en este caso, laimagen muestra sólo un dispositivo, que es el servidor queinstalamos previamente.
    • Como es una nueva instalación, esta no cuenta aún con un IP,así que nos conectaremos por MAC, para eso seleccionaremosla MAC tal como nos muestra la imagen .Una vez que se haya colocado la MAC en el cuadro ConnectTo es hora de presionar el botón Connect para establecerconexión con nuestro servidor .Cuando es la primera vez que nos conectamos al servidor,winbox descarga los módulos necesarios para mostranostodas las características del servidor .Algunas veces y por distintos motivos, esta descarga de
    • módulos puede llegar a fallar, por lo que se debería repetir laoperación una vez más hasta que logre establecer la correctacomunicación entre winbox y el servidor. Tengan en cuentaque conectarse por MAC no es tan estable como conectarsepor IP, así que luego del licenciamiento, y cuando el servidortenga la respectiva configuración, se debería de darpreferencia a la conexión por IP .Cuando la conexión esté establecida, deberíamos de tener laventana principal de winbox lista para licenciar el software,configurar, administrar y monitorizar a nuestros clientes, etc.Nota: Si no se puede llevar a cabo la conexión entre winbox yel servidor a punto tal que no aparezca la MAC en el escaneode dispositivos MikroTik, esta puede deberse a una falla de latarjeta de red, cable de red en mal estado, un firewall
    • activado, un antivirus agresivo, etc. así que habría que darcon el problema para poder conectarnos apropiadamente.Cómo licenciar MikroTik RouterOS por primera vezUna vez que el sistema está instalado, es necesario licenciarel software para quitar el límite de 24 horas y así poder usarnuestro servidor cómodamente .Las licencias MikroTik son de por vida, sea la licencia quesea, y si las compraron en mikrotik.com vienen con 15 a 30días de soporte oficial via email. Si no se utiliza UserManager entonces la única diferencia entre los level 4, 5 y 6,es la cantidad de usuarios que pueden manejar, que sería200, 500, e ilimitados usuarios respectivamente .Una vez conectados al servidor mediante winbox, este nosmostrará una ventana advirtiéndonos que nuestro servidor notiene una licencia, y que dejará de funcionar en menos de 24horas.
    • Presionamos el botón License para ir a la ventana de licencia,o también se puede llegar a través de System -> LicenseUna vez ahí, seleccionamos el Software ID (SoftID), le damosclick derecho y seleccionamos Copy para tener el SoftID en elportapapeles.Lo único que necesitamos para poder obtener la licencia(clave de licencia) es el SoftID. Hay 2 formas de comprarlicencias MikroTik, una es que la obtengamos comprándoladirectamente a mikrotik.com y otra es comprándola a unreseller, comprarla a este último es casi siempre más barato.En cualquiera de las 2 formas, nos tendrán que proveerla clave de licencia para instalarla en nuestro servidor.En el caso de querer comprar la licencia directamente amikrotik.com, hay que registrarse como usuario y pediraprobación de nuestra tarjeta de crédito para proceder a
    • comprar licencias directamente. Una vez aprobado, el sistemaes bastante simple.Purchase a key (Comprar una clave de licencia) Seleccionar el level de licencia a comprar, para la mayoría, al menos aquí en Perú, basta con el level 4. Colocar el SoftID que obtuvimos en System -> License, es recomendable revisarlo al menos 2 veces para no llevarse malas sorpresas, ya que una vez generada una clave de licencia de un SoftID de 8 dígitos, no hayvuelta atrás.Elegir el Board Type, para nuestro caso, es x86 system. Ya si
    • se quisiera actualizar una licencia para RouterBOARD, sólohabría que seleccionarla. Aquí piden la confirmación de la compra, ya sea para pagar por tarjeta o por prepaid key. Yo dispongo de esta última opción ya que tengo claves de licencia prepagadas en mi cuenta. Luego de esta confirmación llegará la clave de licencia al correo que se utilizó para el registro, o también la pueden ver directamente en all keys junto con todas las otras claves de licencia compradas.
    • El objetivo de todo esto es tener la clave de licencia, que esun código como este:-----BEGIN MIKROTIK SOFTWARE KEY------------SS5+bR2Hs3JZSPm78pHboXRNxabp35Oq8Hr62d0v4UzbY6oTroGSJlFJZsB5hm+vGNtyA3EI7N5XYCl9NcfAHA==-----END MIKROTIK SOFTWARE KEY--------------Nota:Se puede evitar todo este proceso engorroso si secompra la licencia a través de un reseller, en mi caso vendolas licencias a S/.100.00 Nuevos Soles. Simplemente metendrían que proporcionar el SoftID y minutos despuésmandaría la clave de licencia al correo que me indiquen.Bueno, ya tenemos la clave de licencia, ahora sólo faltaagregarla al servidor. Esta ya es la parte más fácil,simplemente tenemos que "copiar y pegar" la clave delicencia al New Terminal de nuestro winbox.Seleccionamos toda la clave de licencencia y luegohacemos click derecho -> copiar. Ya dentro de winbox vamosa New Terminal, y nos saldrá el aviso que nos indica la faltade licencia, presionamos enter para continuar.
    • Simplemente toca pegar la clave de licencia haciendo clickderecho -> Paste
    • Una vez que la clave de licencia esté pegada, presionamosenter y nos saldrá el siguiente mensaje:You must reboot before new key takes effect. Reboot? [y/N]Debe de reiniciar el sistema para que la clave tome efecto. Reiniciar?Presionamos la tecla y para que valide nuestra licencia.Ya luego de esto, cuando nos conectemos al servidor, notendremos más avisos de falta de licencia. De esta maneranuestro servidor estará debidamente licenciado y listo paraproceder con las configuraciones que deseemos.Puntos a tomar en cuenta: El SoftID es un código único que se genera a partir del Nº de serie y demás características únicas del disco duro, por lo tanto, no es posible clonar el disco duro para poder utilizar la misma clave de licencia, ya que el SoftID cambiaría de un disco a otro. La licencia (clave de licencia) se guarda en una partición especial en el disco duro, por lo tanto, si se modifica o se borra tal partición, perderíamos irremediablemente la licencia. Si se llegara a dañar la instalación y se necesitara volver a instalar el sistema, esto se tendría que hacer únicamente con el CD instalador de MikroTik o por NetInstall, ya que estos no tocan la partición de la licencia al momento de particionar, formatear y volver a instalar el sistema. Si el disco duro que contiene la licencia se llegara a dañar, no hay manera de recuperar la licencia, así que el procedimiento normal es comprar una nueva licencia.
    • Bases Generales y cómo entender las GuíasEs muy bueno conocer ciertas cosas básicas acerca deMikroTik, esto a que en mis siguientes manuales los harédando por hecho que el lector ya las conoce.Opciones Generales WinBox:Cuando entremos a Winbox y nos conectemos al servidor,veremos una ventana con menús, tal como esta imagen.1. Botón Deshacer y Rehacer, tal como si utilizaramosWord, si llegaramos a borrar o modificar una regla
    • accidentalmente, podemos utilizar el botón "deshacer" pararevertir el cambio realizado, tiene una buena memoria así quepodemos revertir los cambios de toda nuestra sesión enWinBox, del mismo modo con el botón rehacer, salvo que esteúltimo hace todo lo contrario.2. Hide Passwords, cuando esta opción está marcada,ocultará todos los passwords de nuestro sistema conasteriscos (********); por ejemplo, los passwords de losclientes PPP, Hotspot, acceso al sistema, etc.3. Menú Lateral y 4. Submenú, son el conjunto de opcionesque cuenta WinBox para hacer la configuración o elmonitoreo, algunas de esas opciones también cuentan consubmenús.Haciendo un resumen de estos menús, tienemos a:Intefaces, donde nos mostrará todas las tarjetas conectadasal servidor, incluyendo las tarjetas wireless, interfacesvirtuales como pppoe-client, vLAN, vAP, etc. nos mostrarátambién, casi en tiempo real, el tráfico que está pasando porestas interfaces.Wireless, si tuvieramos conectado una tarjeta wireless conchipset atheros, tendriamos la opción wireless para configuraresa tarjeta como un access point, cliente wireless, escanearredes, ver el estado de utilización de un canal, ver los clientesconectados a esta tarjeta, su estado, etc.IP, aquí encontraremos un submenú con todas las opcionesque hagan referencia a IP como por ejemplo: Addresses, donde asignaremos IPs a las interfaces de red. Firewall, donde entraremos opciones para bloqueo de IPs, puertos, NAT, marcado de paquetes, etc.
    •  Hotspot, para configurar un hotspot server, y que nuestros clientes tengan acceso a internet mediante un usuario y clave.  Routes, para asignar políticas de routeo.  Webproxy, donde configuraremos el webcache de MikroTik, bloqueo de páginas, etc.  etc.System, encontraremos opciones relativas al sistema, comopor ejemplo:  Clock, aquí podremos configurar la hora en nuestro servidor.  License, podremos ver el estado de nuestra licencia de uso de MikroTik RouterOS, así como el SoftID para el posterior licenciamiento.  Password, donde colocaremos una contraseña para asegurar el acceso a nuestro servidor.  Reboot, para reiniciar el servidor.  Resources, aquí aparecerá el estado físico del servidor como, la cantidad de memoria que tenemos, memoria libre, tipo de procesador, velocidad del procesador, espacio del disco duro, espacio libre, tiempo que lleva el servidor encendido, etc.  Shutdown, para apagar el servidor.  etc.Queues, aquí podremos encontrar opciones para poderlimitar la velocidad de nuestros clientes, asignar límitesglobales de velocidad, priorización de servicios, etc.Files, veremos el direcctorio principal de MikroTik, dondepodremos crear backups de nuestra configuración y tambiénrestaurarlos, además de poder ver los archivos "log", lacarpeta donde se almacena el portal cautivo de hotspot.Tools, encontraremos herramientas generales de MikroTik,como ping, torch (para escanear conexiones), etc.New Terminal, que es la consola MikroTik, donde podremosacceder a todas las opciones y configurarlas por línea de
    • comandos, es lo más práctico cuando se trata de muchasconfiguraciones, ya que podemos "pegar" listas de comandospara evitar todo el trabajoso proceso de hacer unaconfiguración regla por regla.Pestañas, Opciones de Ventana y Columnas.Además de los Menús y Submenús, también encontraremospestañas entra las opciones de MikroTik:Dependiendo del tamaño de la ventana que utilicemos, oinclusive el tamaño y resolución de nuestro monitor,podríamos tener pestañas ocultas, como por ejemplo en laimagen de arriba, donde la pestaña cookies estácompletamente oculta, así que se debería usar el botón (...)para poder acceder a esa pesetaña.En esta ventana también tendremos opciones para poderagregar, eliminar, habilitar y deshabilitar reglas:
    • (+) Agregar Regla, atajo de teclado: (A)dd.(–) Remover Regla, atajo de teclado: (R)emove.(✓) Habilitar Regla, atajo de teclado: (E)nable.(x) Deshabilitar Regla, atajo de teclado: (D)isable.Al igual que con el Explorador de Windows, nosotros podemosordenar las reglas con la ayuda de las columnas:Si por ejemplo, presionamos el botón de columna: #, lasreglas se ordenarán numéricamente, si presionamos el botónde columna: Name, entonces las reglas se ordenaránalfabéticamente, etc.Podemos ver las columnas disponibles y agregarlas a lo quenecesitemos:
    • Muchas de mis guías serán bastante simples ya que lasexplicaré con imágenes "paso a paso", pero otras seránúnicamente escritas en código para ser editado (a nuestraconfiguración) y pegado en New Terminal. El punto de estoes explicar cómo se utiliza estas guías basadas en código.Por ejemplo, podrían ver una guía con código parecido a este:Código:/ip firewall filteradd action=drop chain=input comment="Bloqueo webproxyexterno" disabled=no dst-port=8080 in-interface=ether1protocol=tcp¿Cómo lo utilizamos?En primera lugar, copiamos todo el código, luego iremosa New Terminal y pegaremos el código ahí (clickderecho, paste), quizá necesitemos presionar enter paraaceptar el código.
    • Quizá no sea tan fácil como parece ya que tendríamos queeditar el código a nuestras necesidades, por ejemplo, en esaregla se tendría que modificar el in-interface a lo quenosotros tengamos como in-interface, quiero decir, que en laguía el in-interface es ether1, pero posiblemente nuestra in-interface seaWAN1, Speedy, Internet, etc. y nonecesariamente ether1. Tengan en cuenta que estos nombresson sólo eso, nombres que nosotros modificamosenInterface.En todo caso, esta modificación no la tendrán que advinar, yaque en la guía mencionaré que in-interface debe sermodificada por el nombre de interfaz que nosotros tengamoso al lo que apuntemos. Por cierto, este código sirve parabloquear todo acceso externo a nuestro webproxy, por loque in-interface tendría que ser nuestra interfaz de red"WAN."Ya sólo como comentario y para hacerse una idea, con unpoco de análisis notarán que la primera línea: /ip firewall filtercorresponde al menú de WinBox IP -> Firewall -> pestaña Filter, que en imágen sería:
    • De la segunda línea, add quiere decir "Agregar nueva Regla" ytodas las demás opciones de esta segunda línea lasencontraremos en la ventana que se abrirá luego depresionar (+).Bueno, el objetivo de esta guía no es mostrar cómo se usauna regla en código para luego colocarla paso a paso en lasventanas de winbox ... no del todo al menos.Reconocer y Nombrar las Tarjetas de Red conectadas alServidorLo primero que haremos será reconocer las tarjetas de redque tenemos instaladas físicamente y qué nombre tienenéstas según MikroTik. Si leyeron el manual de instalación deMikroTik desde cero sabrán que por defecto MikroTik nombraa las tarjetas como ether1, ether2, ether3... etc. de igualmanera si tuvieramos tarjetas wireless conectadas, a estaslas nombra como wlan1, wlan2, wlan3... etc. Pero aunsabiendo los nombres, no sabemos a ciencia cierta qué tarjetaconectada físicamente al servidor es ether1, ether2 o ether3,etc.Supongamos que la imagen de abajo son las 2 tarjetasinstaladas en el servidor, donde la tarjeta de arriba lallamaremos tarjeta A y la de abajo tarjeta B. Quizá nuestralógica nos diga que la tarjeta A es ether1 y la tarjetaB es ether2, lo cual podría ser cierto, pero nonecesariamente, ya que dependiendo de la placa madre,podría ser todo lo contrario, osea que la tarjeta A sea ether2,y la tarjeta B sea ether1. Si tenemos más tarjetasconectadas, incluyendo las tarjetas integradas, posiblementetodo sea más desordenado.
    • Entonces vamos al grano. Conectamos una sóla tarjeta delservidor al switch general y nos entramos al servidor desdewinbox. Ya en winbox vamos aInterfaces y en lapestaña interface veremos la lista de tarjetas de redreconocidas por MikroTik. Según la imagen de abajo podemosdarnos cuenta que existe un movimientoen Tx y Rx de ether1, eso quiere decir que ether1 es elnombre de esa única tarjeta conectada al servidor. Seríabueno hacerle una marca a la tarjeta indicando su nombrepara no olvidarla.
    • Ya es de suponer que ether2 es la tarjeta que estádesconectada del servidor. Si es que se tuviera más de2 tarjetas conectadas se debería repetir el proceso conla siguiente tarjeta y así sucesivamente.Una vez que sepamos a qué "ether#" corresponde cadauna de las tarjetas, podemos cambiarles el nombrefácilmente haciendo doble click encima de su nombre,de la imagen de abajo, se puede ver el ejemplo. Quizáse quiera restructurar el orden de las "ether#", paraque estén también ordenadas físicamente, por ejemplo,tarjeta integrada como ether1, primera tarjetaindependiente como ether2, etc. Ya es decisión de cadauno colocar el orden que se desee.
    • Muchas veces veo servidores con nombres muydiversos, o con el típico "WAN" y "LAN", sinceramenteme es algo fastidioso ya el nombre también debería deindicar un orden en las tarjetas, así que para evitarmeproblemas utilizo siempre los nombres por defecto(aveces acomodados para guardar un orden) comoether1 y ether2, pero dejo un comentario paraidentificar a qué corresponden, tal como la imagen deabajo:
    • Como pueden apreciar, el nombre de la tarjeta es elmismo: ether2, salvo que utilizo elbotón Comment para hacer un comentario a la regla yasí poder identificarla con facilidad.Nota: El botón Comment se puede utilizar enabsolutamente todas las reglas en MikroTik, es MUYrecomendable usarla, y más si se está aprendiendo aconfigurar.Así tenemos las 2 tarjetas de red ya identificadas ynombradas listas para proceder con la configuración.Configurar WAN y LAN para conectarse a Internet desde elServidorLuego de tanto preludio, al fin empezamos a configurar. Elobjetivo de esta guía es poder conectarnos a internet a través
    • del servidor y así poder seguir configurando; claro, tambiénprobaremos lo que estamos haciendo.El esquema de la red es el siguiente:Ya sabemos que el servidor cuenta con 2 tarjetas de red, unaque será nuestra WAN y otra que será nuestra LAN. Sólo pararecalcar, ya que esto deberían de saberlo, WAN es la interfazde red que se conectará al router y de la que nuestro servidorse conectará a internet, y LAN es la interfaz de red a la que
    • nuestros clientes se conectarán, incluyendo nosotros ya quevendríamos a ser clientes del servidor.Tal como se ve en la imagen de arriba, se puede conectar unswitch a la tarjeta LAN para así poder conectar todos losdispositivos que queramos, ya sean Access Points, PCs,Equipos VoIP, etc.1.- Agregamos un IP a WAN (tarjeta de red WAN o interfaz dered WAN) para que nuestro servidor se puede comunicar conel router. Para eso nos vamos aIP -> Addresses yagregamos una nueva regla (+)Address, aquí colocaremos el WAN IP del servidor, este IPtiene que estar en el mismo rango de red que la IP de nuestrorouter, del ejemplo, el IP es: 192.168.1.2, Quizá se estén
    • preguntando qué quiere decir el "/24" que se encuentra alfinal del IP; bueno, el "/24" corresponde a a máscara desubred, en este caso quiere decir 255.255.255.0.Interface, seleccionamos a qué interfaz de red asignaremosesta IP, en este caso elegiremos ether1, que está haciendoreferencia a WAN. Esta referencia sólo aparecerá si hemoscolocado un comentario a las "ether#" en Intefaces. Parasaber más de esto último, sugiero dar lectura a esta guía.Network y Broadcast, no es necesario configurarlasmanualmente ya que al momento de colocar el "/24"en Address, estas 2 opciones se configuraránautomáticamente al momento de hacer click en elbotón Apply u OK.2.- Agregamos un IP a LAN (tarjeta de red LAN o interfaz dered LAN) para que podamos conectarnos al servidor. Esta IPserá nuestra nueva puerta de enlace, y tiene que ser una reddiferente a WAN, por lo tanto no podrá ser 192.168.1.X.
    • El proceso es similar al anterior, salvo que aquí utilicé, comoopcional, el botón Comment para dejar un comentario a laregla que acabo de crear y así poder reconocerla fácilmente.3.- Una vez que tengamos las IPs configuradas para cadatarjeta, tocará hacer el "enmascarado", para eso vamos a IP-> Firewall -> Pestaña NAT, y agregamos una nuevaregla (+)
    • 3a.- En la ventana que se abrirá, iremos a lapestaña General.
    • Chain, seleccionamos scrnat. Aunque siempre está así pordefecto cuando se crea una nueva regla...Out. Interface, seleccionaremos nuestra interfaz WAN, eneste caso es ether1.3b.- Pasamos a la pestaña Action.
    • Action, eligiremos masquerade que nos permitiráenmascarar nuestras conexiones a detrás de la WAN IP, y asíaislar nuestra red LAN.En realidad existen muchas maneras de trabajar elenmascarado, aunque personalmente uso y recomiendo esta,así que no se sorprendan si ven una manera diferente deenmascaramiento en otras guías.4.- Como cuarto y último paso: hacer el ruteo a una puerta deenlace disponible, en realidad es bastante simple ya que sólohay que especificar el Gatewayo puerta de enlace donde elservidor se conectará a internet, de nuestro ejemplo, lapuerta de enlace para el servidor, será la IP del router; delejemplo, es 192.168.1.1, para eso nos vamos a IP ->Routes.
    • Ya en la ventana Route List, veremos que hay 2 reglas quenosotros no agregamos. Esto es normal ya que ahí se agreganlas rutas de las IPs que asignamos previamente a las tarjetasde red en Address List. Para agregar la puerta de enlace queusará nuestro servidor, vamos a la pestaña Routes yagregamos una nueva regla (+).
    • Gateway, aquí sólo colocaremos la puerta de enlace delrouter (el IP del router), de esta manera le estamos diciendoal servidor de dónde tiene que sacar internet para repartirlo anuestros clientes .Como opcional, le coloqué un comentario a la regla con laayuda del botón Comment .Con esto la interfaz de red LAN (ether2 en este ejemplo) yadebería de tener internet si es que conectamos los cablescorrectamente (ver primera imagen), sólo hay configurar lastarjetas de red de los clientes para para iniciar conexión.Teniendo en cuenta que nuestra nueva puerta de enlace es
    • 192.168.10.1, entonces el cliente debería de tener estaconfiguración de acuerdo a ese rango de red. Un ejemplodesde un cliente con Windows 7:En este caso he colocado los DNS de Telefónica. Ya si utilizanDNS de otro proveedor, tendrían que colocar, el que lescorresponde.Nota: Tengan en cuenta que hice esta guía siguiendo elesquema de red de la primera imágen, con las IPs que estánahí establecidas. Si se tiene una red diferente, con IPsdiferentes, sólo es necesario adaptarlo a sus necesidades. Porejemplo, si se quiere usar como LAN IP (o puerta de enlace delos clientes) el 192.168.1.1, pero el router también es192.168.1.1, entonces sólo es necesario cambiar la IP del
    • router a por ejemplo, 192.168.0.1, y luego seguir la guía conlos valores adaptados.Configurar WAN y LAN para conectarse a Internet desde elServidorLuego de tanto preludio, al fin empezamos a configurar. Elobjetivo de esta guía es poder conectarnos a internet a travésdel servidor y así poder seguir configurando; claro, tambiénprobaremos lo que estamos haciendo .El esquema de la red es el siguiente :
    • Ya sabemos que el servidor cuenta con 2 tarjetas de red, unaque será nuestra WAN y otra que será nuestra LAN. Sólo pararecalcar, ya que esto deberían de saberlo, WAN es la interfazde red que se conectará al router y de la que nuestro servidorse conectará a internet, y LAN es la interfaz de red a la quenuestros clientes se conectarán, incluyendo nosotros ya quevendríamos a ser clientes del servidor .Tal como se ve en la imagen de arriba, se puede conectar unswitch a la tarjeta LAN para así poder conectar todos losdispositivos que queramos, ya sean Access Points, PCs,Equipos VoIP, etc .1.- Agregamos un IP a WAN (tarjeta de red WAN o interfaz de
    • red WAN) para que nuestro servidor se puede comunicar conel router. Para eso nos vamos aIP -> Addresses yagregamos una nueva regla (+)Address, aquí colocaremos el WAN IP del servidor, este IPtiene que estar en el mismo rango de red que la IP de nuestrorouter, del ejemplo, el IP es: 192.168.1.2, Quizá se esténpreguntando qué quiere decir el "/24" que se encuentra alfinal del IP; bueno, el "/24" corresponde a a máscara desubred, en este caso quiere decir 255.255.255.0.Interface, seleccionamos a qué interfaz de red asignaremosesta IP, en este caso elegiremos ether1, que está haciendoreferencia a WAN. Esta referencia sólo aparecerá si hemoscolocado un comentario a las "ether#" en Intefaces. Parasaber más de esto último, sugiero dar lectura a esta guía.
    • Network y Broadcast, no es necesario configurarlasmanualmente ya que al momento de colocar el "/24"en Address, estas 2 opciones se configuraránautomáticamente al momento de hacer click en elbotón Apply u OK.2.- Agregamos un IP a LAN (tarjeta de red LAN o interfaz dered LAN) para que podamos conectarnos al servidor. Esta IPserá nuestra nueva puerta de enlace, y tiene que ser una reddiferente a WAN, por lo tanto no podrá ser 192.168.1.X.El proceso es similar al anterior, salvo que aquí utilicé, comoopcional, el botón Comment para dejar un comentario a laregla que acabo de crear y así poder reconocerla fácilmente.
    • 3.- Una vez que tengamos las IPs configuradas para cadatarjeta, tocará hacer el "enmascarado", para eso vamos a IP-> Firewall -> Pestaña NAT, y agregamos una nuevaregla (+)3a.- En la ventana que se abrirá, iremos a lapestaña General.
    • Chain, seleccionamos scrnat. Aunque siempre está así pordefecto cuando se crea una nueva regla...Out. Interface, seleccionaremos nuestra interfaz WAN, eneste caso es ether1.3b.- Pasamos a la pestaña Action.
    • Action, eligiremos masquerade que nos permitiráenmascarar nuestras conexiones a detrás de la WAN IP, y asíaislar nuestra red LAN.En realidad existen muchas maneras de trabajar elenmascarado, aunque personalmente uso y recomiendo esta,así que no se sorprendan si ven una manera diferente deenmascaramiento en otras guías.4.- Como cuarto y último paso: hacer el ruteo a una puerta deenlace disponible, en realidad es bastante simple ya que sólohay que especificar el Gatewayo puerta de enlace donde elservidor se conectará a internet, de nuestro ejemplo, lapuerta de enlace para el servidor, será la IP del router; delejemplo, es 192.168.1.1, para eso nos vamos a IP ->Routes.
    • Ya en la ventana Route List, veremos que hay 2 reglas quenosotros no agregamos. Esto es normal ya que ahí se agreganlas rutas de las IPs que asignamos previamente a las tarjetasde red en Address List. Para agregar la puerta de enlace queusará nuestro servidor, vamos a la pestaña Routes yagregamos una nueva regla (+).
    • Gateway, aquí sólo colocaremos la puerta de enlace delrouter (el IP del router), de esta manera le estamos diciendoal servidor de dónde tiene que sacar internet para repartirlo anuestros clientes.Como opcional, le coloqué un comentario a la regla con laayuda del botón Comment.Con esto la interfaz de red LAN (ether2 en este ejemplo) yadebería de tener internet si es que conectamos los cablescorrectamente (ver primera imagen), sólo hay configurar lastarjetas de red de los clientes para para iniciar conexión.Teniendo en cuenta que nuestra nueva puerta de enlace es192.168.10.1, entonces el cliente debería de tener estaconfiguración de acuerdo a ese rango de red. Un ejemplo
    • desde un cliente con Windows 7:En este caso he colocado los DNS de Telefónica. Ya si utilizanDNS de otro proveedor, tendrían que colocar, el que lescorresponde.Nota: Tengan en cuenta que hice esta guía siguiendo elesquema de red de la primera imágen, con las IPs que estánahí establecidas. Si se tiene una red diferente, con IPsdiferentes, sólo es necesario adaptarlo a sus necesidades. Porejemplo, si se quiere usar como LAN IP (o puerta de enlace delos clientes) el 192.168.1.1, pero el router también es192.168.1.1, entonces sólo es necesario cambiar la IP delrouter a por ejemplo, 192.168.0.1, y luego seguir la guía conlos valores adaptados.
    • Asignar un Ancho de Banda Específico a los ClientesA diferencia de tener a nuestros clientes conectadosdirectamente al router, con nuestro servidor podemos asignarun ancho de banda específico por cada cliente; esto nospermitirá fijar un tipo de servicio para estos, no pudiendosobrepasar el límite establecido, aunque ya más adelante,según nuestro requirimientos, podríamos hacer que sí losobrepasen pero esto ya es otro cuento.Vamos a Queue -> pestaña Simple Queues, y agregamosuna nueva regla (+)En la ventana que aparecerá "New Simple Queue", iremos a lapestaña General.
    • Name, aquí colocaremos el nombre del cliente, aunque enrealidad puede ser cualquier palabra que nos ayude aindentificarlo.Target Address, especificaremos el IP de nuestro cliente alque queremos limitar el ancho de banda, del ejemplo, el IP es192.168.10.20Max Limit, es el lugar donde fijaremos la velocidad máximade nuestro cliente, tanto de subida (upload) como de bajada(download), en este ejemplo, la subida es de 128k, y labajada de 512k. Si bien MikroTik muestra varias velocidadespreestablecidas para escoger, eso no nos impide de quepodamos asignar una velocidad "a nuestro gusto" tan soloescribiéndola con el teclado. Recueden siempre colocar laletra "k" al final de la velocidad escrita manualmente; porejemplo 320k (ó 320000, k=1000), ya que ésta está medidaen bit/s.¿Qué sucede si tenemos un cliente con 3 PCs yqueremos que estos compartan una mismavelocidad? Pues sólo tenemos que agregar las demás IPs a
    • la misma regla, y para ello presionamos el botón en forma deflecha apuntando hacia abajo, y así tendremos un cuadro másen donde colocar un IP extra.Una vez que hayamos agregado a todos los clientes,tendremos una lista como esta:Los colores cambiarán dependiendo del uso que le de elcliente a su ancho de banda asignado; entonces, si el clienteusa de 0 a 50% de su ancho de banda, su regla estará decolor verde, si usa del 50 a 70%, se volverá amarillo, ya si
    • pasa del 70% entonces su regla se volverá roja.Quizá en un inicio el Queue List no muestre todas lascolumnas que aparecen en la imagen de arriba, así que, comocon el explorador de windows, sólo hay que agregarlas.Seguro se estarán preguntando qué hay con las demásopciones, pero ya es algo que veremos más adelante, por elmomento, tal como está, la guía cumple su cometido.Actualización: (opcional)Vamos a afinar un poco la configuración del Simple Queue.Código:
    • /queue typeadd kind=pcq name=pcq-up pcq-classifier=src-address pcq-limit=50 pcq-rate=0 pcq-total-limit=2000add kind=pcq name=pcq-down pcq-classifier=dst-addresspcq-limit=50 pcq-rate=0 pcq-total-limit=2000Este código agregará 2 nuevas Queue Type.Y luego modifiquen la config de cada Simple Queue.Vamos a la pestaña Advanced, y en Target Upload, cambienel Queue Type a pcq-up; en el caso de Target Download,cambien el Queue Type a pcq-down.Ahora vamos a la pestaña Total, y cambiamos el Total QueueType a default.Configurar Amarre IP/MAC por ARP con MikroTikEl amarre IP/MAC por ARP es una de las medidas deseguridad más básicas que puede ofrecer el servidor MikroTik,y consiste en tener una lista de relaciones IP/MAC registradasdentro del servidor; de esa manera, si un intruso con un IP, oMAC, o relación IP/MAC distinto a los ya registrados intentaratener internet, no tendrá respuesta alguna ya que no está enla lista de IP/MAC que registramos previamente.
    • Bueno, para empezar tendremos que agregar las IP/MAC denuestros clientes, para eso vamos a IP -> ARPEn la imagen de arriba veremos los IPs y MACs de losdispositivos (PCs, VoIP, Celulares,Routers, etc.) que seagregaron automáticamente a la lista de ARP, y sabemos quefue automáticamente porque tienen la letra "D" al ladoizquierdo de cada regla. Se agregan automáticamente ya quetuvieron cierta comunicación con el servidor, podemossuponer que fue porque solicitaron internet al server oviceversa (como el caso de nuestro router: 192.168.1.1).Nótese que también aparece la interfaz de red por donde seconectan, de la imagen de arriba los IPs 192.168.10.x seconectan a la interfaz de red LAN, oether2, y elIP 192.168.1.1 a la interfaz de red WAN, o ether1.Por defecto, esta lista es dinámica, eso quiere decir quecuando se pierde la comunicación entre el dispositivo X y elservidor, su IP y MAC desaparece de la lista para luego volvera aparecer si se llegara a conectar nuevamente y solicitarinternet al server.Entonces es hora de crear una lista estática de IP/MAC que seconectan al server a pedir internet, para eso hacemos dobleclick a la regla dinámica, y presionamos el botón MakeStatic de la ventana que aparecerá.
    • Una vez que se presione Make Static, la letra "D"desaparecerá de la regla, así como esas 2 reglas de la imagende arriba. Cuando una regla de ARP es estática, esta nuncadesaparecerá de la lista.No es necesario, y mucho menos recomendable, hacer que elIP/MAC del router sea una regla estática, ya que este no esuno de nuestros clientes y obviamente no accede desde lainterfaz LAN de nuestro server, ether2 en este caso.En el caso que tengamos otros clientes, entonces tendremosque agregarlos manualmente, en este caso presionamos elbotón (+), y veremos una ventana como esta:
    • IP Address, aquí colocaremos el IP del PC de nuestro clienteo dispositivo de red que necesite internet, con esto últimoquiero decir que NO colocaremos el IP de los access points, yaque estos no necesitan internet. La única excepción seríaaquellos AP Routers que estén configurados como routercliente, aunque este caso estaría dentro de los dispositivos dered que necesiten internet así que si se diese el caso,colocaríamos el WAN IP de ese AP Router (y ya no los IPs delos clientes conectados a ese AP Router, ya que estarían enuna red distinta a la nuestra).MAC Address; aquí tiene que ir el MAC del PC de nuestrocliente o dispositivo de red que necesite internet, aquí hay 2excepciones, uno ya la conocemos, los AP Routersconfigurado como router cliente, por lo tanto colocaremos laMAC de la interfaz WAN de ese AP Router, y la otra GRANexcepción, son los access points configurados en modo
    • cliente, de modo que tendremos que colocar la MAC del APcliente.Esto último es una regla de los APs modo cliente. "Todo IPque esté detrás de un AP modo cliente, saldrá enmascaradocon la MAC del AP modo cliente"; entonces, si tuviésemos 10PCs (cada uno con su respectivo MAC) detrás de un APcliente, todos estos saldrían con el MAC del AP cliente. Así quesi estuvieramos en un caso similar, tendríamos que agregarlos IPs de cada PC y todos estos con el mismo MAC.Interface, tendremos que especificar la interfaz de red pordonde entran estos IPs y MACs, aquí tendremos queseleccionar la interfaz de red LAN o interfaz de red de losclientes, en este caso sería ether2.Una vez que tengamos la lista completa, tendremos que"decirle" al servidor que responda únicamente a los IP/MACque estén en la lista de ARP, dejando fuera a todo aquél queno esté resgistrado.Entonces, para activar el amarre IP/MAC, vamosa Interfaces -> pestaña Interface y hacemos doble click ala interfaz de red de los clientes o LAN, en este casoes ether2, y de la ventana que aparecerá, seleccionaremos lapestaña General.
    • ARP, tendremos que cambiar esta opción a reply-only, deesta manera la interfaz de red ether2 sólo responderá a laspeticiones de los IP y MAC que estén en la lista de ARP. Estaopción por defecto está en enabled (importante recordar estosi queremos deshabilitar el amarre IP/MAC).De este modo ya tendremos activado nuestro amarre IP/MAC.Importante:Tener en mente que nosotros también somos clientes delservidor, por lo tanto nuestra IP/MAC también debería estaragregada. Si accidentalmente llegaramos a olvidar este punto,perderíamos todo acceso al servidor. Así que la única manerapoder ingresar al server es a través de la interfaz WAN oether1 en este caso, o simplemente desde cualquier otrainterfaz de red cuya opción ARP sea enabled (todas vienenasí por defecto).Para agregar un nuevo cliente, es mejor agregar su IP/MAC ala lista de ARP antes de que este se conecte, o también
    • modificando la opción ARP,de reply-only cambiarlaa enabled (como estuvo en un inicio) para desactivar elamarre IP/MAC, ya una vez que tengamos al cliente agregadoy comprobemos que tenga internet, deberíamos de volverlo aactivar. Ya en el peor de los casos será necesario reiniciar elservidor para que el cliente tenga internet, para eso vamosa System -> Reboot.En lo personal considero que el amarre IP/MAC por ARP esmuy agresivo, por eso prefiero usar el amarre IP/MAC porhotspot (sin usuario y contraseña), esto ya lo veremos másadelante.Configurar el DNS Cache de MikroTikEs seguro que conozcamos el término "DNS" y lorelacionemos a ciertos IPs que colocamos en la configuraciónde nuestra tarjeta de red, como por ejemplo los DNS de TdP:200.48.225.130 y 200.48.225.146; pero también es seguroque no todos sabemos qué significan, o qué es lo que hacen.Bueno, para hacerlo breve, ese DNS se encarga de resolvernombres de dominio a IPs, por ejemplo, si queremosver http://www.google.com, nuestro PC envía una solicitud alservidor DNS para que resuelva ese dominio, y el servidorDNS le responderá con un IP; paso siguiente, el PC utilizaráese IP para conectarse.Configurar el DNS cache en MikroTik es muy importante, yaque nuestro servidor también necesita resolver nombres dedominio para poder utilizar ciertas herramientas propias delservidor como el ping, o ciertas configuraciones comowebproxy, etc. por lo que su configuración es casi obligatoria.Podemos aprovechar el DNS cache de MikroTik para minimizarpeticiones de nuestros clientes a la internet; de esta manera,cada vez que uno de nuestros clientes haga una solicitud a losDNS de nuestro proveedor, MikroTik almacenará en memoriala respuesta aquellos servidores y las utilizará para las
    • siguientes peticiones.Para empezar con la configuración vamos a IP -> DNS -> pestaña Static -> botón Settings.Servers, aquí colocaremos el IP de los DNS que nos entregónuestro ISP, en este ejemplo son los 2 DNS de TdP.Allow Remote Request, marcaremos el check para activarla funcion DNS cache para todos nuestros clientes y noúnicamente para nuestro servidor.Cache Size, es el tamaño en memoria que será destinadopara el cache de los DNS, por defecto es 2048KiB ó 2MB,personalmente lo aumento a aproximadamente a12288KiB ó12MB, en servidores que tienen un mínimo de 128MB de RAM.
    • Se puede probar que todo quedó bien haciendo un ping alalguna página desde el servidor, en este caso suelo probarhaciendo ping a google y verificar las respuestas, para esovoy a New Terminal y escribo el comando respectivo:ping www.google.comSi se quiere dar una ojeada a las respuestas en cache, sepuede ir a IP -> DNS -> pestaña Cache.
    • Si se quiere sacar el máximo provecho al DNS cache deMikroTik, tenemos que hacer que los clientes utilicen el DNScache de MikroTik, ya sea configurando un "DNSTransparente" o colocando manualmente el nuevo DNS en laconfiguración de la tarjeta de red de los clientes tal como semuestra en la siguiente imagen.
    • En este caso, la IP de la tarjeta de red LAN (en MikroTik) opuerta de enlace de los clientes es el 192.168.10.1, por lotanto, ese IP también será nuestro DNS cache, así que locolocaremos manualmente como "Servidor DNS preferido" deesa manera, el PC de nuestro cliente solicitará la resoluciónde nombres a nuestro DNS cache. Como opcional puedenconfigurar el "Servidor DNS alternativo" con uno de los DNSdel ISP.Configurar DNS Cache TransparenteUna vez que tengamos configurado el DNS Cache, es bastantemolesto eso de modificar la configuración de la tarjeta dered de los clientes para que empiecen a utilizar el DNS Cache;bueno, con ayuda del servidor podemos evitar todas esas
    • molestias, sólo enviaremos las solicitures de nuestros clientesa los DNS y las redirecionaremos al DNS Cache de MikroTik.Para esto nos vamos a IP -> Firewall -> pestaña NAT yagregamos una nueva regla (+).En la ventana que aparecerá iremos a la pestaña General.
    • Chain=dstnat, en pocas palabras, esta cadena especifica loque tenga como destino.Protocol=udp, el protocolo usado para las solicitures DNS.Dst. Port, escogemos el puerto destino DNS, o puerto 53.In. Interface, la interfaz de red de nuestros clientes ó LAN,si han seguido todos mis manuales, la interfaz LAN es ether2.Luego vamos a la pestaña Action.
    • Action, que es lo que va a hacer con el tráfico queidentificamos en la pestaña General, en este caso vamos aredireccionar (a nuestro servidor), por esoelegiremos redirect.To Ports, el puerto al que será redireccionado todo el tráficoque identificamos en la pestaña General, que será el puerto53, ya que es el puerto que aceptará las peticiones del DNSCaché, según nuesta configuración."Todo lo que tenga como destino (dstnat), el puerto 53 (Dst.Port), con protocolo udp (protocol), y que entre por ether2(In. Interface)". "Será redireccionado (redirect), al puerto 53(To Ports)".Es MUY recomendable, que coloquen un comentario a la reglautilizando el botón Comment, esto para reconocer la regla
    • fácimente cuando necesitemos hacerlo, ya que cuandotengamos más de 10, 20 ó x reglas, nos será más fácilreconocerla, y esto va con énfasis para los que reciénempiezan. En este caso el comentario que le pondré será"Redirección DNS Cache".Y así ya tenemos configurado nuestro DNS CacheTransparente.Configurar MikroTik en modo PPPoE-Client para Routermodo BridgeComo ya sabrán, muchos de nuestros proveedores de internet(ISP) utilizan el protocolo PPPoE (over ATM) ó PPPoA paraautenticarnos y/o encriptar nuestras conexiones hacia susservidores para así poder darnos acceso a un internet"seguro", como el caso de Telefónica y su servicio Speedy,Nextel (sin ATM en el caso de Perú), Telmex en México, ycientos de ISPs en el mundo.
    • El problema viene a que estos ISPs nosvenden/ceden/alquilan/regalan routers ADSL de gama MUYbaja, con muy poca capacidad de conexiones y sesiones NAT,inclusive algunos tienden a colgarse o a dejar de aceptarnuevas conexiones cuando son ligeramente exigidos, y estosin contar con los bugs que algunos tienen con su firewallintegrado y en sus opciones NAT.El punto de esta guía es hacer que MikroTik sea el único quemaneje estas conexiones, dejando prácticamente "inutizado"al router que nos dió el ISP, y así poder manejar plenamentenuestra conexión a internet sin los problemas que estosrouters nos podrían dar.A groso modo, un routerADSL ó modem/router cuenta con:  Modem ADSL (Interfaz ADSL)  Router (encargado del NAT, conexiones, firewall, etc)  Switch  Access PointTodo integrado en un sólo equipo, del cual por configuración,sólo dejaremos activado el modem ADSL y el switch. Eltrabajo de Router (duro trabajo) lo hará únicamente MikroTik.Antes de empezar a hacer esta configuración, recomiendodarle una lectura a lo más básico, cómo configurar MikroTiken modo router neutro, para hacerse una idea del proceso.Parte 1: Configurar la interfaz virtual PPPoE-Client.Para empezar, teniendo ya reconocidas nuestras interfaces dered, nos conectaremos por la interfaz ether1, luego ya enWinbox, vamos a Interfaces.En la ventana que aparecerá, iremos a la pestaña Interface yluego agregaremos una nueva interfaz (+) paranuestro PPPoE Client.
    • Una vez hecho esto, nos aparecerá una nueva ventana paraconfigurar nuestro PPPoE Client, luego iremos apestaña General.
    • Interfaces, seleccionaremos la interfaz a la que seráasociada nuestra interfaz virtual PPPoE Client, que en estecaso es ether1. Es de suponer que conectaremos nuestromodem/router a ether1, para que establezca la conexiónPPPoE.Luego iremos a la pestaña Dial Out
    • User/Password, son los datos que nos da nuestro ISP parapodernos autenticar a sus servidores, estos valores losencontraremos dentro de nuestro modem/router, o quizá lostengamos a la mano si nuestro ISP nos dió un simple modemxDSL, esto último lo sabremos ya que es necesario instalar ennuestro PC un cliente PPPoE como WinPoET (PPPoE paraWindows) y loguearnos para tener internet.Nota: Algunos ISP no necesitan estos User y Password, yaque sólo usan el protocolo PPPoE para encriptación.Dial On Demand, sólo marcará el usuario y password yconectará con el servidor de nuestro ISP, cuando existanpeticiones a internet. Si no hay petición alguna, entonces sedesconectará automáticamente.Add Default Route, al tener marcada esta opción, MikroTikagregará automáticamente una ruta de salida a Internet(Gateway) utilizando los valores que le entregóautomáticamente el ISP al momento que estableció conexióncon su servidor.
    • Use Peer DNS, MikroTik configurará automáticamente elDNS (IP -> DNS) con los valores que le entregó el ISP almomento que estableció conexión con su servidor.Nota: Estas 2 últimas opciones deberían de estar descarcadassi se está configurando el PPPoE-Client para balanceo decarga (load balance) entre 2 más líneas (links) de internet.Una vez hecho esto, tendremos una interfaz nueva llamadapor defecto, pppoe-out1.Podrán notar que esta nueva interfaz no tiene un R a ladoizquierdo, eso quiere decir que no está funcionando o"Running"; claro, tendríamos que tener ya configurado elmodem/router en modo bridge para que establezca conexióncon el servidor de nuestro ISP, una vez hecho, debería detener esa "R"
    • Parte 2: Configurar Puerta de Enlace (Gateway) de losclientes y enmascarado.Una vez que nuestro PPPoE Client esté configurado,tendremos que hacer que nuestros clientes tengan internetutilizando nuestra conexión PPPoE Client.Vamos a IP -> Adresses y agregamos una nueva regla (+),en este caso será agregar el IP de la puerta de enlace(Gateway) de nuestros clientes.Address, aquí colocaremos la puerta de enlace que tendránnuestros clientes, en este caso es 192.168.10.1Interface, seleccionaremos la interfaz de red a la queestamos colocando este IP, obviamente seleccionaremos lainterfaz LAN de nuestro servidor, que en este caso es ether2.Nota: Para tener una idea más clara de esta configuración,como saber qué es el /24 que coloqué al lado del IP,recomiendo dar una lectura al siguientemanual.
    • Una vez que colocamos el IP a la interfaz LAN (el gateway delos clientes) tendremos que hacer el enmascarado, para esovamos a IP -> Firewall -> pestañaNAT y agregamos unanueva regla (+)En la ventana que aparecerá iremos a la pestaña General.Chain, seleccionamos scrnat. Aunque siempre está así pordefecto cuando se crea una nueva regla...Out. Interface, seleccionaremos nuestra interfaz WAN, eneste caso será nuestra interfaz virtual pppoe-out1.Pasamos a la pestaña Action.
    • Action, eligiremos masquerade que nos permitiráenmascarar nuestras conexiones (de los clientes) detrás de laIP pública que nos entregará nuestro ISP cuando nuetrainterfaz pppoe-out1 se conecte a su servidor.Con esto la configuración ya está terminada de momento,pero aún no tendremos internet hasta que nuestrainterfaz pppoe-out1 se conecte apropiadamente al ISP.Tener en cuenta que aquí no iremos a IP -> Routes paraasginar una salida a internet al servidor, esto a que dejamosmarcada la opción Add Default Routede la pestaña DialOut en la configuración de nuestro pppoe-out1, así quecuando se conecte, automáticamente se agregará dicha regla.Como lo he mencionado al inicio de esta guía, es necesarioconfigurar el modem/router a modo bridge y conectarlo a lainterfaz de red asociado al pppoe-out1, que en este caso aether1.Una vez hecho esto, MikroTik hará la conexión PPPoE, ycuando llegue a conectar veremos estos cambios:En Interfaces aparecerá la letra "R" al lado de pppoe-out1,lo que indicaría que se estableció conexión.
    • En IP -> Addresses, se agregará automáticamente (nótesela "D") un IP asoaciado a la interfaz pppoe-out1, estavendría a ser nuestra IP pública que asignó nuestro ISP.Nota: En raras ocasiones, y dependiendo del ISP, este nosdará una IP "muerta", que NO corresponde al rango de IPsasignados a nuestros País, esto podría suceder por un error alescribir el User y Password dentro de la configuraciónde Interfaces -> pppoe-out1 -> pestaña Dial Out.
    • En IP -> Routes, se agregarán automáticamente las rutascorrespondientes desde nuestra IP pública, al servidor deautenticación de nuestro ISP.Nota: Tener en cuenta que sólo se agregará nuestra salida ainternet automáticamente si se tiene activada la opción AddDefault Route en Interfaces -> pppoe-out1-> pestaña Dial Out.Respuestas Rápidas:¿Por qué no tengo la "R" en pppoe-out1?Si se ha configurado correctamente y tal como está en estaguía, una de las principales razones para que nuestro pppoe-out1 no conecte, casi siempre se debe a alguna falla en laconfiguración del modem/router a modo bridge, aunqueaveces con sólo reiniciar el modem/router y el servidor sellega a solucionar, e inclusive puede tardar cierto tiempo(varios minutos) en establecer conexión por primera vez.¿Es necesario colocar un IP al ether1 (WAN)?En realidad no, ya que ether1 NO es nuestra WAN, nuestraverdadera WAN es la interfaz virtual pppoe-out1, y esteobtiene su IP automáticamente cuando establece conexióncon el servidor (PPPoE Server) del ISP. La IP que apareceautomáticamente en IP -> Addresses y que hace referenciaa pppoe-out1, es nuestra WAN IP o IP pública en este caso.
    • Mi ISP utiliza la autenticación por PPPoA, pero MikroTikno tiene esta opción ¿Me sirve esta guía?Si se utiliza el protocolo PPPoA, no existe problema alguno yaque MikroTik sólo marca el User y Password para laautenticación. Puedes usar esta guía sin problemas.¿Cómo conecto el cable telefónico a la tarjeta de red delservidor?¿? ¡Jamás hagas eso! ¡Ni lo intentes! El cable telefónicosiempre irá conectado al puerto RJ11 del modem/router;luego, de un puerto RJ45 del modem/router conectarásúnicamente un cable de red a la tarjeta ó puerto ethernet delservidor.¿Puedo conectar una tarjeta PCI fax/modem (RJ11) alservidor y así no utilizar el modem/router?Absolutamente NO. Una tarjeta fax/modem no es una interfazADSL como las que llevan los modem ADSL, o modem/router.Son tecnologías distintas.¿Puedo conectar una tarjeta PCI ADSL (RJ11) alservidor y así no utilizar el modem/router?La idea es bastante válida, pero MikroTik no soporta ningunainterfaz ADSL, y quizá nunca lo haga.Configurar MikroTik WebProxy (WebCaché)MikroTik cuenta con su propio Webproxy, que almacenará loselementos de las páginas que nuestros clientes visitaron, asíque cuando estas páginas se vuelvan a visitar, dichoselementos saldrán de nuestro disco duro y ya no de interent,ahorrando ancho de banda; inclusive hace que nuestranavegación sea más rápida ya que los elemenos que salgandel disco duro, lo harán con una velocidad superior a la quelimitamos al cliente, claro para esto último hay que configurarel famoso "Full Cache". Luego, con webproxy podremos
    • bloquear páginas, redireccionar, eliminar publicidad en lanavegación, etc.Para iniciar la configuración, vamos a: IP -> Web Proxy -> pestaña Access -> botón Web Proxy Settings.En la ventana que aparecerá iremos a la pestaña General.
    • Port, por defecto MikroTik usa el puerto 8080 para escucharlas peticiones al webproxy.Cache Administrator, cuando una pagina sea inaccesible, yasea porque está caída o porque decidimos bloquearla (lo queveremos en otra guía), el cliente tendrá una página de error,en donde aparecerá lo que esté escrito ahí, por defecto eswebmaster, aunque si desean pueden colocar su correo pararecibir cualquier tipo de feedback.Cache On Disk, aquí activaremos el caché en la unidad dealmacenamiento, si no está activado, entonces el caché sealmacerá en la memoria.
    • Max. Cache Size, aquí especificaremos el tamaño máximoque tendrá el cache en el disco (o únidad de almacenamientoque utilicemos); por ejemplo, si tenemos un disco duro de 20GB, cuánto de estos 20 GB serán dedicados al caché, MikroTiktoma este valor en KiB, entonces, si queremos dedicar 15 GBal caché tendremos que colocar este valor multiplicado 2veces por 1024, por lo tanto 15 GB equivale a 15728640 KiB.Si por accidente llegámos a equivocarmos con este valor ycolocáramos uno que sobrepase el tamaño total del disco, nohay problema ya que MikroTik calculará el máximo tamañoposible y hará la corrección automáticamente.Aquí encontraremos 2 opciones más:  Unlimited, MikroTik calculará automáticamente el tamaño máximo en disco para almacenar el caché. (viene con esta opción por defecto)  None, MikroTik NO almacenará ningún tipo de caché. ¿Entonces cuál es el caso de activar el Webproxy? Pues podemos bloquear páginas, redireccionarlas, etc. cosa que veremos en otra guía. Muy usado en RouterBoards.Cache Hit DSCP (TOS), marcará todo el contenido que salgadel caché almacenado (del disco duro), para poder trabajarloluego, por ejemplo, limitar su velocidad, o liberarla (hacer"full caché"), esto último lo veremos en otra guía.Cache Drive, aquí aparecerá el nombre de la unidad dealmacenamiento en donde se almacenará el cache, si es quese configura para ello, claro.Con esto el Webproxy ya está funcionando, si es quequeremos probarlo, entoncesconfiguraremos nuestro navegador:
    • Ya si vienen siguiendo este manual desde el principio, sabránque el IP 192.168.10.1 es la puerta de enlace de nuestrosclientes, el LAN IP del servidor. El puerto corresponteobviamente a lo que configuramos en Web Proxy Settings.Si vamos a una página talcomo http://www.whatismyip.com este nos dirá que hadetectado a MikroTik WebProxyClaro, como no es muy cómodo ir a la casa de los clientes ycambiar la configuración en el navegador de cada uno,entonces tendremos que configurar el webproxy
    • transparente (Hacer que los clientes vayan al webproxy sinque ellos se den cuenta) con la ayuda del servidor.Importante: Es muy recomendable bloquear el acceso alWebProxy desde el exterior (Internet) así nos evitamos quepersonas malintencionadas, o virus, usen nuestro Webproxysin autorización, convirtiéndolo en un proxy público a la quecualquier persona en el mundo pueda acceder.Nota: Si utilizan un RB, y sólo quieren activar el webproxy parahacer redirecciones y bloqueos, sólo tendrían que configurar dela siguiente manera.Max. cache size, noneCache On Disk, desmarcado.
    • Configurar Web Proxy TransparenteYa vimos cómo configurar el WebProxy, y vimos también quehay que configurar nuestro navegador para que se comuniquecon WebProxy y así poder utilizarlo. Esta guía está diseñadapara que, con la ayuda del servidor, obliguemos a los clientesa pasar por el webproxy sin que estos se den cuenta y sintocar su navegador. A esta configuración se le llama"WebProxy Transparente" ó "Redirección a WebProxy".En líneas generales, solo vamos a detectar el tráfico quenuestros generen con destino al puerto 80 (puerto http, quese usa para la navegación web) y redireccionarlo al puerto denuestro WebProxy, que según nuestra guía anterior es elpuerto 8080. Para esto nos vamos a IP -> Firewall -> pestaña NAT y agregamos una nueva regla (+).En la ventana que aparecerá iremos a la pestaña General.
    • Chain=dstnat, en pocas palabras esta cadena especifica loque tenga como destinoProtocol=tcp, el protocolo usado para la navegación web.Dst. Port, escogemos el puerto destino http, o puerto 80.In. Interface, la interfaz de red de nuestros clientes ó LAN, sihan seguido todos mis manuales, la interfaz LAN es ether2.Luego vamos a la pestaña Action.
    • Action, que es lo que va a hacer con el tráfico queidentificamos en la pestaña General, en este caso vamos aredireccionar (a nuestro servidor), por esoelegiremos redirect.To Ports, el puerto al que será redireccionado todo el tráficoque identificamos en la pestaña General, que será el puerto8080, ya que es el puerto que aceptará las peticiones delWebProxy, según nuestra configuración."Todo lo que tenga como destino (dstnat), el puerto 80 (Dst.Port), con protocolo tcp (protocol), y que entre por ether2 (In.Interface)". "Será redireccionado (redirect), al puerto 8080(To Ports)".Es MUY recomendable, que coloquen un comentario a la reglautilizando el botón Comment, esto para reconocer la regla
    • fácimente cuando necesitemos hacerlo, ya que cuandotengamos más de 10, 20 ó x reglas, nos será más fácilreconocerla, y esto va con énfasis para los que reciénempiezan. En este caso el comentario que le pondré será"Redirección a Webproxy".Con esto ya tenemos configurado nuestro Web ProxyTransparente.Liberar la Velocidad de Web Proxy (Full Caché)Una de las ventajas de utilizar el webproxy es acelerar lanavegación, esto a que los elementos de una página X vistaanteriormente almacenados en el disco duro de nuestroservidor, saldrán de este disco duro, y ya no de internet a unavelocidad superior (hasta 80Mbps, a este proceso se llamaHIT) Hasta aquí todo bien, pero si se llega a asignar un anchode banda específico para cada cliente, habrán notado, onotarán, que la gran velocidad que nos da un HIT también eslimitada a la velocidad estabelcida para cada cliente;entonces, por tal motivo tenemos que configurar el "Full
    • Cache" en el servidor.Bueno, esto funciona así: Cuando un archivo sale del discoduro, este sale con una marca en común, prácticamente entodos los webcaché, cuando un elemento sale del disco duro(HIT), este sale con la marca : "X-Cache: HIT", o si elwebcaché lo permite, se puede introducir una marca por TOSó DSCP para estos elementos, como el caso de MikroTik 3.x y4.x.De esta manera, podemos configurar a MikroTik a quereconozca tal marca, y que le quite la limitación de todo loque la utilice, aunque más adelante podemos definir un límiteglobal si es que lo necesitamos.Para reconocer y marcar (dar nombre) a las conexiones y/opaquetes de un determinado tipo de tráfico, ya sea por IP,puerto, puerto, cantidad de bytes, etc etc, todo eso lo vemosen IP -> Firewall -> pestaña Mangle, luego, para utilizaresa marca que colocamos y dimos nombre, vamos a Queue -> pestañaQueue Tree, justo aquí es donde se prioriza ylimita (o libera según sea el caso) aquellos paquetes conmarca.Vamos entonces a IP -> Firewall -> pestaña Mangle yabrimos una nueva regla (+). Veremos una ventana comoimagen de abajo, e iremos a la pestañaGeneral.
    • Chain=Output, la cadena especifica todo lo que tenga comoorigen el mismo servidor (ya que el caché saldrá del mismoservidor MikroTik)Luego vamos a la pestaña Advanced.
    • DSCP (TOS), aquí colocamos el número 4, ya ese es el valorque vino por defecto en la configuración de Webproxy. Siquieren recordar, aquí una imagen.Vamos a la pestaña Action.
    • Action=marck packet, seleccionamos mark packet de lalista, ya que lo que haremos será "marcar paquetes".New Packet Mark, aquí escribiremos el nombre con el queidentificaremos a nuestra marca de paquetes, en este caso lecoloqué "Full-Cache".Passthrough, quitaremos este check, y así evitaremos quelos paquetes marcados se vuelvan a marcar por cualquier otraregla debajo de esta.De esta manera ya tenemos marcados los paquetes quesalieron del disco duro (hicieron HIT), la marca se llama "Full-Cache" y ahora solo tenemos que utilizarla para liberar estetráfico. Para eso vamos a Queue -> pestaña Queue Tree yabrimos una regla (+). En la ventana que aparecerá vamos ala pestañaGeneral.
    • Name, aquí colocaremos un nombre para reconocer a laregla, casi igual que cuando utilizamos el botón comment.Parent, seleccionaremos global-out, ya que según el packetflow, global-out es la salida general de este sistema.Packet Marks, elegiremos la marca que creamos hace unpaso atrás, en este caso "Full-Cache"Max-Limit, esto es un opcional si trabajamos en redcableada; si no colocamos ningún valor, entonces loselementos que hagan HIT saldrán a una velocidad "ilimitada",donde el límite lo pondrá la propia infraestructura queutilicemos, en el caso de una red cableada normal, lavelocidad será aproximadamente de 80Mbits/s, en el caso deuna red wireless, 5.9Mbits/s y 22Mbits/s según el modo queutilicemos, 802.11b ú 802.11g respectivamente. Ya para unared wireless en modo 11b, o en modo 11g en "zonas
    • saturadas", es recomendable fijar el límite a un máximo de4Mbits/s o menos, para no saturar nuestro ancho de bandawireless (throughput).Una vez hecho esto, cualquier elemento que salga de nuestrocaché, saldrá a la velocidad que hayamos colocado en la reglaQueue tree (ver última imagen), dando igual si el cliente tienefijado algún límite de velocidad.Ver el Contenido Cacheado por WebProxyPara revisar el contenido cacheado, existen 2 formas, una esusando New Terminal, y la otra es utilizando las ventanasde WinBox.Ver el contenido cacheado por ventana de WinBox (NORecomendado).Vamos a IP -> Web Proxy -> pestaña Cache Contents ynos listará todos los elementos almacenados en el caché.
    • El problema aquí es que no nos mostrará el contenido realhasta que terminen de listarse todos los elementos, yhablamos de miles de elementos, así que este proceso puedetardar horas; luego, cuando WinBox está listando loselementos, el consumo de CPU y de disco duro llegan al 100%ocasionando lentitud en toda la red; pero eso no es todo,cuando WinBox está listando elementos, el ancho de bandausado en la comunicación entre WinBox y el servidor puedesubir a más de 5Mbps, lo que saturaría el ancho de bandawireless si se está conectado por este medio. En definitiva, noes recomendable ver el contenido cacheado de esta forma.Ver el contenido cacheado por New Terminal.Vamos a New Terminal, escribimos el código de abajo, ypresionamos enter para ejecutarlo.
    • Código:ip proxy cache-contents printUna vez que se liste el contenido tal como la imagen dearriba, se puede usar las teclas direccionales (arriba y abajo)para que, manualmente, siga listando los elementosalmacenados en cache. Esta manera de ver el contenidocacheado no tiene los problemas que ocasiona el otro método.Es bastante molesto, no sé por qué lo han incluído enwinbox si da tantos dolores de cabeza...Quita el check Load Previous Session, luego presiona elbotón Tools y selecciona Clear Cache. Cuando terminesde trabajar con Winbox, cerra todas las ventanas ypresiona el botón Exit para salir.Configurar disco secundario dedicado al cache paraWebProxy
    • Muchas veces queremos agregar un disco duro secundariopara tenerlo dedicado al cache de MikroTik WebProxy, ya seaporque nuestro disco de sistema es de poca capacidad, porseguridad (así apenas se usa el disco del sistema donde seguarda la licencia). o quizá tengamos un RouterBOARD o RBal que le queremos colocar una tarjeta microSD, CompactFlash, o un disco duro externo USB si es que nuestro RBcuenta con este puerto.Para empezar, sería bueno reconocer cuál es el disco endonde estamos almacenando el caché actualmente, en estecaso es primary-master, ya que el disco duro en estaoportunidad está conectado al Primary IDE, y estáconfigurado como Master, así que dependiendo del casopodrían ser secondary-master,primary-slave, secondary-slave, sata1, o system, en estos 2 últimos casos correspondea los discos SATA, y la memoria interna de nuestro RB.
    • Notaremos que nuestro Cache Drive actual, es primary-master.Vamos a System -> Stores -> pestaña Stores y veremosque existe ya una regla, ya sólo al verla sacamos al ojo quees la regla que configura nuestro disco (del sistema) para quesea webproxy, y de paso está con Status: active, o activo.Hacemos click en la pestaña Disks, y mostrará todas las
    • unidades de almacenamiento que tenemos disponibles, ya seaIDE, SATA, USB, Compact Flash, o SD/microSD. En esteejemplo el disco duro secundario que será dedicadoexclusivamente al caché es uno del tipo SATA, y normalmentedebería de tenerStatus: invalid ya que MikroTik aún no lo hapreparado para ser utilizado, entonces presionamos elbotón Format Drive, notaremos que el status cambiaráaformatting... o formateando, la operación podría tardardependiendo de la capacidad y velocidad del disco duro. Unavez terminada la operación el status cambiará a ready, olisto.Ya con el disco preparado para ser utilizado por MikroTikregresamos a la pestaña Stores y agregamos una nuevaregla ( + )
    • Name, aquí escribiremos el nombre de la regla, en este casole puse web-proxy2Type, elegiremos qué tipo de uso se le dará a este disco, eneste caso elegiremos web-proxy, ya que lo usaremos paraeso.Disk, pues seleccionamos el disco que utilizaremos, de esteejemplo, el disco duro dedicado al caché es sata1.Recuerden marcar Activate, para que la regla se active.
    • Notaremos que nuestra regla web-proxy2 ya está activada,y la regla anterior entró a pasar a ser un backup, esto quieredecir que si quitáramos el disco duro de caché actual, el discoduro de backup se activará automáticamente, ya si no sequisiera que esto ocurra, simplemente borren la regla web-proxy1.
    • ¡Listo! sólo queda comprobar que nuestro nuevo CacheDrive corresponda a nuestro disco duro que designamos parael caché, y como muestra la imagen, todo fue un éxito ya quevemos a sata1.Tener en cuenta que si tenemos nuestro WebProxyfuncionando y aún procesando peticiones, todo esto nofuncionará hasta que reiniciemos el server conSystem ->Reboot.Evitar Ataque a MikroTik Webproxy y DNS cacheBueno, ya muchos sabrán que MikroTik dispone de un WebProxy server y un DNS Cache, pero muchas veces almomento de configurarlo no solemos cololocar las reglasnecesarias para bloquear el acceso a estos recursos desdeinternet.Muchos ser harán esta pregunta ¿Que podría pasar si no
    • bloqueo el acceso a estos servicios desde internet?La respuesta no es muy complicada. Si el servicio estáabierto, por ejemplo el webproxy, cualquier tipo de spyware,malware o virus en general, podría informar esta falla deseguridad en nuestro servidor y aprovecharse de nosotroshaciendo peticiones desde nuestro web proxy a internet,obviamente nos está consumiendo nuestra propia línea, y conmás énfasis, nuestro escaso upload.Cuando esto ocurre, se siente una extraña lentitud, y un usobastante desproporcionado del upload del WAN respecto alupload de la interfaz de los clientes. Si se llega a abrir googlepara hacer una búsqueda, este te devolverá un mensaje conen esta imagen.Bueno, luego de tanto preámbulo, vamos al grano.Bloqueo webproxy externo:Código:/ip firewall filter add action=drop chain=inputcomment="Bloqueo webproxy externo" disabled=no dst-port=8080 in-interface=pppoe-out1 protocol=tcpBloqueo DNS cache externo:Código:/ip firewall filter add action=drop chain=inputcomment="Bloqueo DNS cache externo" disabled=no dst-port=53 in-interface=pppoe-out1 protocol=udpVoy a desmantelar un poco la primera regla e intentaréexplicarla para que se hagan una idea de qué están copiandoy pegando en sus servidores. action=drop, "arroja" los paquetes, no serán procesados. chain=input, utiliza la cadena input (conexiones y/o paqutes cuyo destino final sean el mismo servidor).
    •  in-interface=pppoe-out1, interfaz de entrada de las conexiones y/o paquetes (que serán bloqueados por action=drop), en este caso es el pppoe-out1. Se tiene que cambiar por la interfaz WAN que corresponda. protocol=tcp, protocolo de transmisión, el más utilizando en internet junto con en protocolo UDP. dst-port=8080, puerto destino (que será bloqueado por action=drop), por defecto de webproxy es el puerto 8080.  Evitar ataque de ping al servidor MikroTik  Este ejemplo bloquea los packetes de 99 bytes a más.  Código:  /ip firewall filter add action=drop chain=input comment="" disabled=no in-interface=pppoe-out1 packet-size=128-65535 protocol=icmp  in-interface, interfaz de entrada a limitar el ping. Puede ser LAN, WAN, etc. packet-size, tamaño de paquetes a bloquear. Nota: Si se quiere bloquear completamente el ping, simplemente hay que remover la parte "packet-size":  Código:  /ip firewall filter add action=drop chain=input comment="" disabled=no in-interface=pppoe-out1 protocol=icmp  Prevenir ataque SSH y FTP  Bueno soy bastante nuevo esto pero he tenido ataques ftp y ssh y buscando y buscando encontré la solución (tal vez conocida por muchos) para este tipo de problemas. Si estaba en el foro no la encontré. Como saber si te están atacando de estas dos formas? fácil, entra a log y veras algo como esto.
    • este es el típico ataque ftp; en el ataque ssh es prácticamente lo mismo pero al final va el ssh. Este script bloquea una ip al noveno intento fallido de conexion, donde al décimo intento, esta ip entra en una lista donde se bloqueará por 3 horas (puedes modificar las horas a tu gusto) Código: /ip firewall filter add chain=input protocol=tcp dst-port=21 src-address- list=ftp_blacklist action=drop comment="Bloquear Ataques FTP" add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" address-list=ftp_blacklist address-list-timeout=3h Este otro script bloquea la ip que intente cuatro intentos fallidos de conexion en un minuto. Esta dirección ingresará a una lista donde se bloqueará cualquier
    • ataque ssh proveniente de esa ip por 10 dias (puedes modificar los días a tu gusto) Código: /ip firewall filter add chain=input action=drop protocol=tcp src-address- list=ssh_blacklist dst-port=22 comment="Proteccion VSC contra ataques via SSH" add chain=input action=add-src-to-address-list connection- state=new protocol=tcp src-address-list=ssh_stage3 address- list=ssh_blacklist address-list-timeout=1w3d dst-port=22 add chain=input action=add-src-to-address-list connection- state=new protocol=tcp src-address-list=ssh_stage2 address- list=ssh_stage3 address-list-timeout=1m dst-port=22 add chain=input action=add-src-to-address-list connection- state=new protocol=tcp src-address-list=ssh_stage1 address- list=ssh_stage2 address-list-timeout=1m dst-port=22 add chain=input action=add-src-to-address-list connection- state=new protocol=tcp address-list=ssh_stage1 address-list- timeout=1m dst-port=22 Otra opción es cambiar los puertos en IP/Services. Personalmente intente cambiar el puerto del ftp pero el ataque seguía asi que no funciono en mi caso. Con el ataque ssh cambie el puerto y santo remedio pero nunca estan demás estos script. Configurar MikroTik DHCP Server (dar IPs automáticamente) Parte 1 Un servidor DHCP ser encarga de asignar un IP y demás datos de configuración de red a cualquier dispositivo que se lo pida, este puede ser un PC, un AP, un PlayStation3, etc. El proceso en sí no es muy simple, pero para hacerlo fácil se podría explicar de esta manera: El PC o
    • dispositivo de red configurado para obtener un IPautomáticamente hará una solicitud a nuestro servidorDHCP (MikroTik), y luego de una negociación, ésteanotará la MAC de la tarjeta de red del solicitante yluego le asignará un IP y demás datos de configuración.El servidor DHCP no entrega los IPs a ojo cerrado, esteentrega sólo los IPs de un rango que designamos, yclaro, este IP no debe de estar ya en uso.Por ejemplo, configuré a esta compu para que obtuvieraIP automáticamente, y con la ayuda delcomando ipconfig /all desde CMD (intérprete decomandos de windows) puedo ver los datos que meentregó el servidor DHCP:Como podemos ver en la imagen de arriba, el DHCPserver nos entregó todos los datos que usualmente
    • completamos cuando configuramos un IP manualmente.Para hacer eseta guía he tomado en cuenta que ya seleyó las demás guías básicas para configurar MikroTik yque el servidor está en funcionamiento.Para comenzar, vamos a IP -> DHCP Server -> pestaña DHCP y presionamos el botón DHCPSetup para seguir con el asistente de configuración.El asistente de configuración nos ayudará a tenernuestro DHCP server correctamente configurado, y depaso es la manera más simple de hacerlo, ya que sólo escosa de hacer "siguiente, siguiente y siguiente" casiliteralmente.
    • DHCP Server Interface, seleccionamos la interfaz dered en donde se instalará el DHCP server, obviamenteaquí elegieros la interfaz de red LAN o la tarjeta de reddesde donde se conectan nuestros clientes, que en estecaso es ether2.El asistente de configuración sólo se guiará de denuestra configuración actual. Este valor lo sacó demanera automática de nuestra configuración de IP en IP-> Addresses.DHCP Address Space, es la red en donde funcionará elDHCP server, en este caso 192.168.10.0/24. Tengan encuenta que el /24 quiere decir255.255.255.0, la máscarade subred que el DHCP server nos dará cuandosolicitemos un IP automáticamente.
    • Gateway for DHCP Network, es la puerta de enlaceque el servidor DHCP ofrecerá a los clientes que solicitenun IP, en este caso es 192.168.10.1Address to Give Out, es el rango de IPs que elservidor DHCP asignará a nuestros clientes, del ejemploel servidor tiene 55 IPs para repartir,del192.168.10.200 al 192.168.10.254Lease Time, es el tiempo en el que MikroTik almacenará
    • los datos de todos los clientes al que el servidor DHCPasignó un IP automáticamente.Una vez hecho esto, ya tendremos nuestro DHCPserver funcionando.Name, es el nombre de nuestro servidorDHCP, dhcp1 en este caso.Interface, es la interfaz de red donde nuestro servidorescuchará las peticiones para asignar IPsautomáticamente, obviamente esta es la interfaz LAN, otarjeta de red de los clientes, en este caso es ether2.Lease Time, es el tiempo en el que MikroTik almacenarálos datos de todos los clientes al que el servidor DHCPasignó un IP automáticamente.Address Pool, es el pool de IPs que serán tomadas porel servidor DHCP para asignar automáticamente. Tiene
    • ralación directa con Address to Give Out, queconfiguramos con el asistente para configurar el DHCP.Para ver la lista de clientes a quienes se le asignó un IPautomáticamente, pueden ir a IP -> DHCP Server -> pestaña Leases.Expire After, es el tiempo de expiración del Lease, queserá renovado si el cliente sigue conectado o vuelve aconectarse antes que este tiempo expire, el DHCP serverle asignará siempre el mismo IP. Si el cliente se conectacuando el Lease Time está expirado (y porconsiguiente, su lease ha desaparecido de la listade Leases), y sólo si su IP está ocupado (ya que fueasignado a otro dispositivo de red), entonces el servidorle asignará un IP distinto al primero, esto suele sucedermuy a menudo cuando el rango de IPs disponibles(Address Pool) para asignar automáticamente es muyestrecho.
    • Si quieren ver o editar el Address Pool, o el rango de IPs que el DHCP server tomará para asignar automáticamente, pueden ir a IP -> Pool - > pestañaPools. Así terminamos la primera parte de esta guía, con todo lo necesario para hacer funcionar el servidor DHCP de MikroTik. La segunda parte será algo más específica, y tocaremos una función muy interesante sobre los Leases.[EXCLUSIVO] QoS parte 1: MANGLEEdición: He visto conveniente y necesario mencionar elescenario para la cual estas reglas estándesarrolladas. Cualquier otro escenario podría no cumplir.Mangle para QueueTree de red Enmascarada y con uso
    • de Web-Proxy incorporado. Reglas probadas en ROS 3.0x86.Bueno muchachos,Hace algunos días comenté que tenía un algunos problemillascon mi routerOs que se ponia lento en horas punta o cuandole activaba webproxy y/o hotspot.Decidí reconfigurar mi router por cuenta propia basándome enla info de la wiki de mikrotik.Y resolví que mi problema era la las Mangle y Queue Tree.Se agradecen las configuraciones de los tantos forosexistentes que ciertamente son funcionales hastadeterminado punto, pero les llego su hora de expiración.Aqui les va una pequeña muestra de cómo deberían realizarloa manera de guía y en Exclusiva para el ForoRyohnosuke.comEspero que se fabriquen las suyas, cualquier duda pregunten.Definiciones:Para que sea de fácil entendimiento haré algunas definicionesartesanas para el caso concreto que vamos a desarrollar.El caso que se desarrollará es el depeticiones/establecimiento/respuesta de una conexión ainternet; desde una red local hacia la nube (internet).No tomaremos la nomenclatura usada en la wiki porque traeconfusión, pero si mencionaremos como encaja cadadefinicion con la info de la wiki.Interfaces consumidoras, son las interfaces desde las cualesse realizan las solicitudes de conexión, para nuestro casosolicitudes a internet; estas interfaces son las que usamospara conectar las computadoras de nuestra red cableada y/oinalámbrica.
    • Interface productora, es la interface que responde a unaconexión de solicitud de una interface consumidora; estainterface comunmente es por la cual nos conectamos ainternet.Se sabe que este tipo de conexión tiene siempre dos sentidos,directo y reverso, envio y recepcion.Para no complicar el asunto el marcado lo haremosconsiderando sólo un sentido, y hablando de interfaces elsentido será desde las interfaces consumidoras hacia laproductora.Para nuestro caso especifico y segun la wiki:interface consumidora sería la Interface In.interface productora sería la Interface Out.Por el sentido unico adoptado en este ejemplo todas lasinterfaces consumidoras aportarán al Global In, y lasproductoras al Global Out.DesarrolloAnalizaremos el caso de las conexiónes web a los puertos 80y 443, conexiones a las que le daremos el mismo tratamiento,vale decir que compartirán el mismo marcado y a causa deesto en un posterior manejo de colas serán tratados bajo lasmismas reglas.Datos:interface productora = WANinterfaces consumidoras = LAN, LAN1, LAN2Marcado de la solicitud de conexión a través de las interfacesconsumidorasEstas reglas le serán familiares.Código:/ip firewall mangle
    • add action=mark-connection chain=preroutingcomment="Https up connection" disabled=no dst-port=443 in-interface=!WAN new-connection-mark= http_up_cnx passthrough=yes protocol=tcpadd action=mark-connection chain=preroutingcomment="Http up connection" disabled=no dst-port=80 in-interface=!WAN new-connection-mark=http_up_cnx passthrough=yes protocol=tcpNótese que hemos declarado el parámetro in-interface=!WANesto nos da la flexibilidad de considerar a todas las interfacesconsumidoras en una sola regla.(en el caso poco probable que tengan varias interfacesproductoras y sin balanceo que la unifique deberián crear unaregla para cada interface consumidora)Estas dos reglas podrian unirse en una considerando dst-port=443,80 pero introduciendo la regla por Terminal.Muchos consideran innecesario declarar in-interface o src-address en esta regla y eso es un error común. El hecho deagrupar con reglas en el árbol de colas (Queue Tree) al NodoParent LAN (interface LAN) para todos los paquetesprovenientes de tales conexiones no explicitas, no aseguraque las conexiones se den únicamente en esa interface.Marcado de los paquetes enviados a través de las conexionesestablecidasEsta regla le será familiar.Código:add action=mark-packet chain=prerouting comment="Http uppacket" connection-mark=http_up_cnx disabled=no new-packet-mark=http_up_pkt passthrough=no
    • Ahora llega el momento de marcar la conexión de recepciónen la/s interface/s productora/s.Pero antes de caer en el error de marcar con la cadenapostrouting y usar en out-interface nuestra interfaceproductora debemos recordar lo siguiente:Que la conexion que desarrollamos tiene dos sentidos, y queaprovecharemos eso para marcar la conexión de recepción.(fragmento)Código:add action=mark-connection chain=postrouting comment= "Http down small connection" connection-bytes=0-256000 connection-mark= http_up_cnx disabled=no new-connection-mark=http_down_cnx passthrough=yes protocol=tcpNótese que estamos usando el parámetro connection-mark=http_up_cnxUn error comun es hacer el marcado usando la cadenapostrouting y especificando una interface o cualquier otroparámetro para identificar las conexiones de recepción, podríausarse, pero hacerlo así no asegura que esa conexión sea laconexión reversa que da respuesta a la conexion directa delconsumidor y que es la que nos interesa controlar.En la muestra anterior se esta considerando contabilizar eltamaño de la conexion de recepción, vea connection-bytes=0-256000El bloque completo sería como se muestra a continuación:también se están incluyendo reglas para marcar los paquetesprovenientes de cada una de las conexiones de recepción.Código:/ip firewall mangleadd action=mark-connection chain=postrouting comment=
    • "Http down small connection" connection-bytes=0-256000 connection-mark= http_up_cnx disabled=no new-connection-mark=http_down_cnx passthrough=yes protocol=tcpadd action=mark-packet chain=postrouting comment="Httpdown small packet" connection-mark=http_down_cnx disabled=no new-packet-mark=http_down_pkt passthrough=noadd action=mark-connection chain=postrouting comment= "Http down medium connection" connection-bytes=256000-512000 connection-mark=http_up_cnx disabled=no new-connection-mark= http_down_medium_cnx passthrough=yes protocol=tcpadd action=mark-packet chain=postrouting comment="Httpdown medium packet" connection-mark=http_down_medium_cnx disabled=nonew-packet-mark= http_down_medium_pkt passthrough=noadd action=mark-connection chain=postrouting comment= "Http down large connection" connection-bytes=512000-0 connection-mark= http_up_cnx disabled=no new-connection-mark=http_down_big_cnx passthrough=yes protocol=tcpadd action=mark-packet chain=postrouting comment="Httpdown large packet" connection-mark=http_down_big_cnx disabled=no new-packet-mark= http_down_big_pkt passthrough=noHasta este punto usted tiene una regla de marcado correcta.La cual identifica plenamente una conexión en sus dossentidos, con verdadera traza y a la cual puede contabilizacorrectamente la cantidad de información que comparte.<---------------complemento-------------->
    • A manera de ejemplo y para su uso posterior en el capítuloQueue Tree, escribiremos las reglas correspondientes paraalgunos servicios y conexiones importantes (desde luegousted podrá adaptar o crear sus propias reglas según sunecesidad) para seguir nuestro modelo.Siga el orden en el cual se presentan las reglas.ICMP y DNS, estas conexiones manejan una cantidad deinformación pequeña por lo que las reglas para recepciónserán obviadas, lo que se busca es dar paso priorizado alenvio.Código: /ip firewall mangle add action=mark-connection chain=preroutingcomment="Icmp connection" disabled=no new-connection-mark=icmp_cnxpassthrough=yes protocol=icmp add action=mark-packet chain=prerouting comment="Icmppacket" connection-mark=icmp_cnx disabled=no new-packet-mark=icmp_pkt passthrough=no add action=mark-connection chain=preroutingcomment="Dns connection" disabled=no dst-port=53 new-connection-mark=dns_cnxpassthrough=yes protocol=tcp add action=mark-connection chain=preroutingcomment="Dns connection" disabled=no dst-port=53 new-connection-mark=dns_cnxpassthrough=yes protocol=udp add action=mark-packet chain=prerouting comment="Dnspacket" connection-mark= dns_cnx disabled=no new-packet-mark=dns_pktpassthrough=no
    • Nótese que para este servicio no estamos siendo explícitos encuanto a la interface de entrada (in-interface), esto por queestamos planeando marcar peticiones de cualquier interface yen cualquier sentido. Esta regla le es totalmente familiar.WEBCACHE, la regla siguiente es para que ustedes denominanfull cache, es la que aplicamos a las peticiones http.y la variación que sufre es el paramétro chain=postrouting yse preguntarán por que ya no uso chain=output?la respuesta es simple: nosotros ahora estamos controlandola conexión desde que se inicia hasta que termina, tenemossu traza y si queremos identificarlo tendremos queinterceptarlo justo antes de marcamos como recepción oseaantes de marcarlo como http_up_cnx q se efectua enchain=postrouting.Código: add action=mark-packet chain=postrouting comment="Cachewebproxy" disabled=no dscp=4 new-packet-mark=cache_pkt passthrough=noTome nota que usamos dscp=4 y este es el valor quepreviamente establecimos en el servidor webproxy TOS(DSPS).WINBOX, marcado para nuestro programa de administración.A partir de ahora marcaremos tanto la conexión de enviocomo la de recepción.Código: add action=mark-connection chain=preroutingcomment="WinBox connection" disabled=no dst-port=8291 new-connection-mark=winbox_cnx passthrough=yes protocol=tcp add action=mark-connection chain=preroutingcomment="WinBox connection" disabled=no dst-port=20561 new-connection-mark=winbox_cnx passthrough=yes
    • protocol=udp add action=mark-packet chain=prerouting comment="WinBoxpacket" connection-mark=winbox_cnx disabled=no new-packet-mark=winbox_pkt passthrough=no add action=mark-connection chain=postroutingcomment="WinBox connection" connection-mark=winbox_cnx disabled=no new-connection-mark= winbox_down_cnx passthrough=yes add action=mark-packet chain=postroutingcomment="WinBox packet" connection-mark=winbox_down_cnx disabled=no new-packet-mark= winbox_down_pkt passthrough=noMSN, YOUTUBE y P2PCódigo: add action=mark-connection chain=preroutingcomment="Msn connection" disabled=no dst-port=1863 in-interface=!WAN new-connection-mark=msn_cnx passthrough=yes protocol=tcp add action=mark-packet chain=prerouting comment="Msnpacket" connection-mark= msn_cnx disabled=no new-packet-mark=msn_pktpassthrough=no time= 8h-23h,sun,mon,tue,wed,thu,fri,sat add action=mark-connection chain=postroutingcomment="Msn down connection" connection-mark=msn_cnx disabled=no new-connection-mark=msn_down_cnx passthrough=yes add action=mark-packet chain=postrouting comment="Msndown packet" connection-mark=msn_down_cnx disabled=no new-packet-mark=msn_down_pkt passthrough=no time=8h-23h,sun,mon,tue,wed,thu,fri,satadd action=mark-connection chain=preroutingcomment="YouTube connection"
    • disabled=no dst-address=208.117.224.0/19 in-interface=!WAN new-connection-mark=youtube_cnx passthrough=yes add action=mark-connection chain=preroutingcomment="YouTube connection" content=youtube disabled=no dst-address=74.125.0.0/16in-interface=!WAN new-connection-mark=youtube_cnx passthrough=yes add action=mark-packet chain=preroutingcomment="YouTube packet" connection-mark=youtube_cnx disabled=no new-packet-mark=youtube_pkt passthrough=no time=8h-23h,sun,mon,tue,wed,thu,fri,sat add action=mark-connection chain=postrouting comment= "YouTube down connection" connection-mark=youtube_cnxdisabled=no new-connection-mark=youtube_down_cnx passthrough=yes add action=mark-packet chain=postroutingcomment="YouTube down packet" connection-mark=youtube_down_cnx disabled=no new-packet-mark= youtube_down_pkt passthrough=no time=8h-23h,sun,mon,tue,wed,thu,fri,satadd action=mark-connection chain=prerouting comment="P2pconnection" disabled=no in-interface=!WAN new-connection-mark=p2p_cnx p2p=all-p2p passthrough=yes add action=mark-packet chain=prerouting comment="P2ppacket" connection-mark= p2p_cnx disabled=no new-packet-mark=p2p_pktpassthrough=no time= 8h-23h,sun,mon,tue,wed,thu,fri,satAqui usted debería insertar o reubicar todas las reglasque se escribieron inicialmente, nos referimos a lasreglas para las conexiones Https y Http mostradasantes de esta sección de complemento.Y luego finalizamos con FTP, Otras UDP, Otras TCP.
    • Código:add action=mark-connection chain=prerouting comment="FTPconnection" disabled=no dst-port=20-21 in-interface=!WAN new-connection-mark=ftp_cnx passthrough=yes protocol=tcp add action=mark-packet chain=prerouting comment="FTPpacket" connection-mark= ftp_cnx disabled=no new-packet-mark=ftp_pktpassthrough=noTarea redactar FTP down connection.Código: add action=mark-connection chain=preroutingcomment="Otras UDP connection" disabled=no in-interface=!WAN new-connection-mark=otras_udp_cnx passthrough=yes protocol=udp add action=mark-packet chain=prerouting comment="OtrasUDP packet" connection-mark=otras_udp_cnx disabled=no new-packet-mark=otras_udp_pkt passthrough=no add action=mark-connection chain=postrouting comment= "Otras udp down connection" connection-mark=otras_udp_cnx disabled=no new-connection-mark=otras_udp_cnx passthrough=yesprotocol=udp add action=mark-packet chain=postrouting comment="Otrasudp down packet" connection-mark=otras_udp_cnx disabled=no new-packet-mark= otras_udp_all_pkt passthrough=noCódigo: add action=mark-connection chain=preroutingcomment="Otras connection" disabled=no in-interface=!WAN new-connection-mark=otras_cnx passthrough=
    • yes protocol=tcp add action=mark-packet chain=prerouting comment="Otraspacket" connection-mark=otras_cnx disabled=no new-packet-mark=otras_pkt passthrough=no add action=mark-connection chain=postrouting comment= "Otras down small connection" connection-bytes=0-512000connection-mark= otras_cnx disabled=no new-connection-mark=otras_small_cnx passthrough=yes protocol=tcp add action=mark-packet chain=postrouting comment="Otrasdown small packet" connection-mark=otras_small_cnx disabled=no new-packet-mark= otras_small_pkt passthrough=no add action=mark-connection chain=postrouting comment= "Otras down large connection" connection-bytes=512000-0connection-mark= otras_cnx disabled=no new-connection-mark=otras_large_cnx passthrough=yes protocol=tcp add action=mark-packet chain=postrouting comment="Otrasdown large packet" connection-mark=otras_large_cnx disabled=no new-packet-mark= otras_large_pkt passthrough=noSe consideró segmentar las conexiones de descarga paraOtras down según el tamaño de información.<----------------------------------------------->Una regla importante y que por demás interesante es la desegmentar las conexiones de envio según el tamaño deinformación que contiene o acumula.Esta regla correspondería a la seccion de las conexionesHttp_up_cnx justo antes de las reglas de recepcionHttp_down_cnx
    • Se deja cómo tarea escribir dicha regla.No se pierda la próxima entrega Qos parte 2: QUEUE TREEVerá cómo afecta la restricción de la velocidad de subida a lade descarga sincronizadamente gracias a esta forma demarcado.Y algunas otra mejoras a los modelos que ya conoce.[EXCLUSIVO] QoS parte 2 : QUEUE TREEEdición: He visto conveniente y necesario mencionar elescenario para la cual estas reglas están desarrolladas.Cualquier otro escenario podría no cumplir.QueueTree con Mangle de red Enmascarada y con usode Web-Proxy incorporado. Reglas probadas en ROS 3.0x86Bueno muchachos,Esta es la segunda parte del pequeño manual que decidíredactar para ustedes con la finalidad de poder ayudarlos aaclarar ciertos puntos que siento están en el aire cuandohablamos de marcado de conexiones, paquetes y el manejode colas.Es importante que revise la información del postanterior [EXCLUSIVO] QoS parte 1: MANGLE antes deempezar con esta nueva entrega.En Exclusiva para el Foro Ryohnosuke.comResumen del capítulo anterior:De las reglas para Mangle. Ya sabemos y tenemos marcadasnuestras conexiones y paquetes para determinado servicio,sea DNS, peticiones Http, YouTube, etc. También tenemosidentificadas las conexiones tanto de envio como de recepcióniniciadas desde todas nuestras interfaces consumidoras,incluso segmentadas por volumen de información transmitida.
    • Para cada regla del Mangle y según la cadena (chain) que sele ha aplicado, esta aportará valores para dos variablesintegradoras globales, y esto es como sigue:Chain prerouting a GlobalIn y chain postrouting a GlobalOut.Existen más cadenas pero no viene al caso aún mencionarlas,profundize con la info de la wiki.Definiciones:Lo escrito aqui cumple principalmente para nuestro ejemplode conexión a internet, también para cualquier tipo deconexión pero las magnitudes deberian re-proporcionarse.Para entender el árbol de colas (Queue Tree),recreativamente diremos que esto es como una especie decampo de concentración en el cual nosotros tendremospaquetes marcados pertenecientes a dos bandos, un bandoque pertenece al GlobalIn (paquetes de envio) y otro alGlobalOut (paquetes de recepcion).Este campo de concentración tiene una puerta angosta deentrada, una ventana amplia en el techo y al otro extremo unportón enorme de evacuación.Por la puerta angosta (ADSL_UP) es por donde entran lospaquetes de envio, por cada paquete de envio que ingresa yes procesado (ROUTING), desde la nube (INTERNET) yentrando por el techo (ADSL_DOWN) muchos paquetes derecepción ingresan al campo de concentración(BUFFER_ROUTER) y estos paquetes de recepciónnormalmente debieran salir raudamente por el porton(LAN_WLAN).De este pequeña ilustración usted puede deducir cómodebería controlar correctamente la descarga, nóte que todo seorigina con el paquete de envio.El árbol de colas no es nada más diferente al ordenamiento yla formación de filas que deben hacer todos los paquetes
    • tanto de envio como recepción dentro del campo deconcentración, otorgandoles difernetes prioridades enprocesamiento a determinados paquetes que pertenecen aservicios específicos, asi cómo también indicando lasvelocidades a la que deben fluir.DesarrolloLa parte más importante de un buen manejo de colas es lainclusión de reglas para máximos de velocidad y seteosprioridades de a los paquetes de envio, osea un buen manejodel grupo del GlobalIn asegura casi siempre un resultadodeseado homólogo en el grupo de los paquetes recibidosGlobalOut.Para aquellas conexiones en que no sea posible regular lospaquetes recibidos a partir de una regulación de los paquetesenviados, se tendría que regularlos indirectamente.Una regulación indirecta se logra haciendo que los paqueteshagan colas y se retrasen, acumulándolos en el buffer -esto aveces causa saturación-, logrando de esta manera que elservidor que esta en la nube no reciba conformidad deentrega a tiempo o también explicitamente desechando lospaquetes; el servidor en la nube entenderá que debe bajar suvelocidad de entrega o cerrar dicha conexión.Un error común es dedicarse a restringir las descargas,obviando por completo las subidas; esto causa un desperdiciodel ancho de banda y posible saturación del buffer delrouterOS. Si los paquetes ya llegaron a nuestro routerdeberiamos siempre despacharlos, pues ya se hizo uso delancho de banda de descarga y se continuará mientras nolimitemos las subidas.Nuestro árbol tendrá dos ramas principales, unallamada Peticiones asociada al GlobalIn u otrallamada Recepciones asociada al GlobalOut.Código:
    • /queue treeadd burst-limit=0 burst-threshold=0 burst-time=0sdisabled=no limit-at=0 max-limit=256k name=Peticion parent=global-inpriority=1add burst-limit=0 burst-threshold=0 burst-time=0sdisabled=no limit-at=0 max-limit=1024k name=Recepcion parent=global-outpriority=1Nóte la limitacion de velocidad, max-limit de 256k y 1024kpara subida y descarga, usted debería usar un 90% del valorglobal que desea repartir entre todos sus usuarios y queefectivamente su proveedor le pueda otorgar.Nóte que no estamos empleando el parámetro limit-at=0,puesto que deseamos que estos límites no sean tan exactosen este punto, esto significa que podrian en determinadosmomentos exceder los límites máximos (cosa extrañaciertamente), en la práctica si usted desea que jamás sesupere un límite máximo puede emplear el párametro limit-atcon un 80% del max-limit.Un error común es usar limit-at diferente de 0 en las ramasprincipales, puesto que esto no permite superar el máx limit.Sobrepasar el max limit indica al routerOS que debe empezara priorizar conexiones en las todas las definiciones de susramas internas.Para la rama de peticiones:Código:add burst-limit=0 burst-threshold=0 burst-time=0sdisabled=no limit-at=0 max-limit=32k name=Dns_in packet-mark=dns_pktparent=Peticion priority=1 queue=defaultadd burst-limit=0 burst-threshold=0 burst-time=0sdisabled=no limit-at=0
    • max-limit=32k name=Icmp_in packet-mark=icmp_pktparent=Peticion priority= 1 queue=defaultadd burst-limit=0 burst-threshold=0 burst-time=0sdisabled=no limit-at=0 max-limit=24k name=Msn_in packet-mark=msn_pktparent=Peticion priority=4 queue=defaultadd burst-limit=0 burst-threshold=0 burst-time=0sdisabled=no limit-at=96k max-limit=128k name=Ftp_in packet-mark=ftp_pktparent=Peticion priority=8 queue=defaultadd burst-limit=0 burst-threshold=0 burst-time=0sdisabled=no limit-at=0 max-limit=128k name=Winbox_in packet-mark=winbox_pktparent=Peticion priority=1 queue=defaultadd burst-limit=0 burst-threshold=0 burst-time=0sdisabled=no limit-at=0 max-limit=16k name=Youtube_in packet-mark=youtube_pkt parent=Peticion priority=8 queue=defaultadd burst-limit=0 burst-threshold=0 burst-time=0sdisabled=no limit-at=1k max-limit=2k name=P2p_in packet-mark=p2p_pktparent=Peticion priority=8 queue=defaultadd burst-limit=0 burst-threshold=0 burst-time=0sdisabled=no limit-at=0 max-limit=256k name="Http Up" packet-mark=http_up_pkt parent=Peticion priority=1 queue=defaultadd burst-limit=0 burst-threshold=0 burst-time=0sdisabled=no limit-at=96k max-limit=128k name=Otras packet-mark=otras_pktparent=Peticion priority= 8 queue=defaultadd burst-limit=0 burst-threshold=0 burst-time=0sdisabled=no limit-at=48k max-limit=64k name=Otras_UDP packet-mark=otras_udp_pkt parent=Peticion priority=8 queue=default
    • Es importante no olvidar establecer max-limit a todas lasreglas del árbol así como también setearles un priority.Nóte que muchas de las velocidades max-limit que se usan enesta seccion son pequeñas, pero son lo suficiente como paraque envie la petición y pueda responder continuamente laconformidad de recepción de los paquetes en la conexión.Administradores avanzados podrian crear una regla maselaborada que podría otorgar más velocidad cuando se estáen la etapa de inicio de nueva conexión y una vez establecidadicha conexión remarcarla y crear otra regla en el árbol paradarle una velocidad menor de modo que podemos manipularla velocidad de conformidad de recepción, logrando controlaral final la velocidad de los paquetes recibidos.Para la rama Recepción:Código:add burst-limit=0 burst-threshold=0 burst-time=0sdisabled=no limit-at=0 max-limit=1024k name="Http down small" packet-mark=http_down_pkt parent= Recepcion priority=1 queue=defaultadd burst-limit=0 burst-threshold=0 burst-time=0sdisabled=no limit-at=0 max-limit=896k name="Http down medium" packet-mark=http_down_medium_pkt parent=Recepcion priority=4 queue=defaultadd burst-limit=0 burst-threshold=0 burst-time=0sdisabled=no limit-at=0 max-limit=768k name="Http down big" packet-mark=http_down_big_pkt parent= Recepcion priority=8 queue=defaultadd burst-limit=0 burst-threshold=0 burst-time=0sdisabled=no limit-at=0 max-limit=512k name="Otras udp" packet-mark=otras_udp_all_pkt parent= Recepcion priority=8 queue=default
    • add burst-limit=0 burst-threshold=0 burst-time=0sdisabled=no limit-at=0 max-limit=768k name="Otras small" packet-mark=otras_small_pkt parent= Recepcion priority=4 queue=defaultadd burst-limit=0 burst-threshold=0 burst-time=0sdisabled=no limit-at=0 max-limit=512k name="Otras large" packet-mark=otras_large_pkt parent= Recepcion priority=8 queue=defaultadd burst-limit=0 burst-threshold=0 burst-time=0sdisabled=no limit-at=0 max-limit=512k name="Msn down" packet-mark=msn_down_pkt parent=Recepcion priority=4 queue=defaultadd burst-limit=0 burst-threshold=0 burst-time=0sdisabled=no limit-at=0 max-limit=512k name="Winbox down" packet-mark=winbox_down_pkt parent= Recepcion priority=1 queue=defaultadd burst-limit=0 burst-threshold=0 burst-time=0sdisabled=no limit-at=0 max-limit=768k name="Youtube down" packet-mark=youtube_down_pkt parent= Recepcion priority=8 queue=defaultAl igual que en la rama de Peticones no debe olvidar setearvalores para max-limit y priority.Y un pequeño bastago en el tronco principal que lo usamospara el full caché, esto sirve para escapar del límite dedescarga impuesto a RecepciónCódigo:add burst-limit=0 burst-threshold=0 burst-time=0sdisabled=no limit-at=0 max-limit=4M name="Cache full" packet-mark=cache_pktparent=global-out priority=1 queue=defaultEl uso de ráfagas en la rama de Recepción es un desperdiciode recursos, en vez de ello usted podría pensar en subirle la
    • velocidad máxima, puesto que el ancho de banda es este ladode la red es amplio.El uso de ráfagas en la rama de Peticion es muy útil y podríausarlo para dar un empuje a conexiones que compitencontinuamente. Tambien para peticiones que tienen menosprioridad y que desea darles aliento pero manteniendolos almargen es muy recomendado.Ya por finalizar esta entrega me gustaría adelantar algunostips.Vea esta regla:add burst-limit=0 burst-threshold=0 burst-time=0sdisabled=no limit-at=0 max-limit=1024k name="Http down small" packet-mark=http_down_pkt parent=Recepcion priority=1 queue=defaultActualmente yo utilizo el tipo Random Early Detection (RED)con unos valores personalizados y va bien para quienes tienenharta saturación;Para los que no tienen ese problema usar Stochastic FairnessQueuing (SFQ) les irá mostro con la reparticón.Aunque nada mejor que una combinación de estas dos x)Una segunda edición de este hilo podría hablar de los tipos decola que puede emplear, o quizá sea un post nuevo?, no lodefino aún.También la creación de ráfagas un tuto para encontrar losvalores correctos.QoS estático (Queue Tree + Mangle) parte 1Redacto esta guía en favor de aquellos que hayan tenidoproblemas, como a mi me pasó, con lo poco de informaciónque se tiene en la web y el tacto intermedio del
    • procedimiento.Si bien mi configuración no es la óptima, estoy escribiendo elmanual de una forma más generalizada, para aquellosusuarios que tengan necesidades más avanzadas. La guíaconsta de 2 partes, ésta tratará de explicar el QoS básico quecomúnmente se podrá usar. La segunda parte tratará sobrePCQ y un QoS dinámico, para los que manejen grandescantidades de usuarios.Comenzaré con unos términos básicos y lo que utilizaremospara este tipo de QoS, debido a que en esta parte expondrélos beneficios de cada opción por sobre otras distintas,comúnmente usadas, si es que se da el caso.Utilizaremos:Queue Tree: Utilizaremos Queue Tree por sobre SimpleQueue debido en gran parte a la organización jerárquica queda el routerOS en este último. El problema más grande deusar Simple Queue es que debido a este tipo de organización,en caso se tenga una gran cantidad de reglas, éstas se iráncumpliendo una por una en el orden que se tieneconfigurado.Como se muestra en la siguiente imagen: La jerarquía se vacumpliendo de arriba para abajo en ese orden, en caso
    • tengamos 100 reglas en el Simple Queue, éste utilizarárecursos y tiempo para llegar a la centésima regla ya que sehace en ese orden.En cambio, el uso de Queue Tree todo el control de tráfico essimultáneo y especialmente da la posibilidad de usarlos HTB (Heriarchical Token Bucket) que en el caso delrouterOS se soportan 3 tipos: global-in, global-out y global-total.Global-in, todo el tráfico ingresante al router.Global-out, todo el tráfico saliente del router.Global-total, todo el tráfico.FW/Mangle: Aplicaremos reglas por cada tipo de conexiónutilizando puertos comunes, marcándolas para poderprocesarlas luego en nuestro Queue Tree.Cadena Prerouting: Utilizaremos Prerouting en este caso,pero también es posible utilizar Forward en el Mangle. Estavez, utilizaremos prerouting (Rojo) debido a que para lasiguiente parte de la guía, ya que según el orden del flujo delQoS, este se aplicará un paso pal de Forward lo cual en lasiguiente guía utilizaremos para un QoS basado en PCQ(Verde).Mark Connection: Utilizaremos mark connection para deesta forma poder monitorear los IPs a los que nos estamosconectando y especialmente para agregar modificadoresespeciales POR conexión, como el tamaño de la conexión o depaquetes, para luego marcar dichas conexiones con el MarkPacket.Mark Packet: Utilizaremos mark packet para poder trabajarcon las conexiones marcadas en el Queue Tree.
    • Guía de aplicaciónComenzaremos entonces creando las conecciones y susrespectivos Packet Marks en el MangleDentro del Winbox Ingresamos a IP > Firewall > PestañaMangle > [+]
    • Procedemos con la identificación del puerto (revisar siguientepost) con los puertos comúnmente usados, (en contínuaactualización).Como ejemplo utilizaré el puerto 80 que es el usado para todoel tráfico de la Web y con unos modificadores extras paradiferenciar web browsing (500kbytes o menos) de lasdescargas (500kbytes o más).
    • En la ventana de New Mangle Rule, pestaña General:Chain seleccionamos Prerouting Ya explicado arribaProtocol seleccionamos 6 (TCP). Se puede usar 17(UDP) también, dependiendo de lo que queramos marcar. Eneste caso TCP es lo que va al casoDst Port seleccionamos el puerto al que la marca apuntaraen este caso: 80En la misma ventana, pero pestaña AdvancedConnection Bytes seleccionaremos el rango del tamaño dearchivo: 0-512000 eso quiere decir que como máximo las
    • conexiones con 512kb van a ser marcadas para esta regla.Luego optaremos en marcar las conexiones de más de 512kbpero con otra marca (descarga)En la misma ventana, pero pestaña ]ActionAction seleccionaremos mark connectionNew Connection Mark seleccionaremos un nombre queidentifique esta conexión de menos de 512kb porejemplo: http_connPassthrough, Check activado
    • Para terminar con nuestra primera regla de marca le dejamosun comentario para saber a donde apunta, en este caso unsimple HTTP basta.
    • Luego para finalizar le damos a Apply y luego Ok--Continua--Ahora pasaremos a marcar el paquete de la conexión queacabamos de marcar para tener acceso a este a través delQueue Tree.Empezamos dándole nuevamente a [+]En la ventana New Mangle Rule, pestaña General:Chain seleccionamos PreroutingConnection Mark seleccionamos la conexión antesmarcada: http_conn
    • En la misma ventana, pestaña ActionAction seleccionamos Mark PacketNew Packet Mark seleccionamos un nombre distintivo paraeste paquete por ejem: httpPassthrough en este caso le quitamos el check porque eltrafico ya está siendo redirigido a través de la anterior marcay quitamos el check para evitar redundancias.
    • La idea es configurar nuestras reglas con los puertos másusados (ver post siguiente)Para ello, tener en mente:Se puede escoger el protocolo ICMP (Ping), TCP o UDP,dependiendo de cual es el que está en uso.Se pueden escoger más que un solo puerto. Revisar lasiguiente imagen con todos los datos que he usado yo en micaso. Soy bastante quisquilloso en lo que refiere a juegos porlo que manualmente he agregado los puertos que estosutilizan para darles una prioridad mayor que a las demás.Definitivamente se puede englobar todo dentro de uno solo,
    • pero para fines educativos los puse separados.Para finalizar está parte cabe recalcar la última regla OtrasConexionesSi alguna conexión no llega a marcarse en ninguna de lasreglas anteriores creamos como regla FINAL una que englobelo que queda del tráfico.Para ello crearemos una nueva regla con Chain: Prerouting yen Action: Mark Connection con passthrough activado.
    • Como antes, con cualquier otra regla. Creamos una nuevapara marcar el paquete: Prerouting, ConnectionMark apuntando a la marca de conexión del anterior pasoy Mark Packet sin passthrough como en la imagen:
    • Ahora lo que queda es ir al Queue Tree para así escoger loslímites y prioridades de las distintas conexiones.Para esto comenzamos por:Entrar Queues > Queue Tree > [+]Lo que se hará primero es crear una nueva cola (Queue),
    • como Padre (Parent) de las subsiguientes solamente paratener un orden y se haga más fácil las limitaciones.Utilizaremos 2: una de descarga y una de subida.La cola padre de descarga la configuraremos de la manerasiguiente, donde el Parent de esta cola es el Puerto FÍSICOdel que sale toda nuestra información del router (Osea elpuerto LAN).La siguiente cola que crearemos la configuraremos de lamisma manera, solo que el Parent nuevo es el creamos en elpaso anterior, pero dirigido a la conexión que marcamos en elMangle. Hacemos uno por cada Conexión marcada en elMangle inclusive la que engloba todas. En mi caso hice nuevassubdivisiones extra, esto depende del uso de cada persona.Por otro lado, se tiene que ingresar la prioridad que tendrá
    • cada conexión, como en mi caso priorizo juegos por sobretodo lo demás, le he dado más prioridad que http, pero nomenos prioridad que los VoIP.Al finalizar con todas las colas deberían tener algo parecido almio:
    • Nótese que la única limitación que use fue a la web y todo lorestante lo he dejado para juegos.Esta última parte la hice más ínfima, la continuaré más tardeque ya estoy de salida.Está sujeta a modificaciones, en caso me haya equivocado enalgo favor de avisar para editarlo.
    • -- En continua actualización--Basado en el diseño QoS por Megis en el MUM 09 enEEUU: http://mum.mikrotik.com/presentation.../megis_qos.pdfRedireccionar nuestros clientes a ThunderCache utilizandoMikroTikCuando tengamos nuestro servidor ThunderCache yaconfigurado y funcionando, sólo falta redireccionar a nuestrosclientes a este nuevo servidor, en realidad el proceso esbastante simple si se tiene claro desde un inicio cómo vamosa instalar ThunderCache junto con MikroTik. Esta guía sólotomará en cuenta el tipo: "Proxy Paralelo", esto quiere decirque el WebProxy de MikroTik no entrará en juego en ningúnmomento; por lo tanto, tampoco sus restricciones.Estoy tomando en cuenta que nuestro servidor MikroTik yaestá configurado y funcionando, y que ya hemos deshabilitadoo borrado todas las reglas referentes a MikroTik WebProxy.Primer Caso: ThunderCache conectado al switch general de losclientes.Esta forma de acoplar Thunder a MikroTik no la recomiendodel todo ya que si llegaramos a tener más de 60 clientesconectados podríamos notar una falta de rendimiento. Estecaso sólo es recomendable cuando no tengamos la posibilidadde agregar una tarjeta exclusiva para el servidorThunderCache.
    • 1.-Hacemos el enmascarado por rango de red.Código:/ip firewall natadd chain=srcnat comment="" src-address=192.168.10.0/24action=masquerade2.-Iniciamos la redirección al servidor ThunderCache.Código:/ip firewall natadd chain=dstnat comment="Redireccion a Thunder"protocol=tcp dst-port=80 in-interface=LAN src-address=!192.168.10.200 action=dst-nat disabled=no to-addresses=192.168.10.200 to-ports=3128
    • Segundo Caso: MikroTik con tarjeta de red exclusiva paraThunder. (Recomendado)Esta es la manera que recomiendo ya que se puede trabajarmuy ordenadamente, además de no tener pérdida derendimiento como en el Primer Caso. Notarán que aquí seutiliza una tarjeta dedicada en exclusividad a ThunderCache.En este caso la ether se llama THUNDER.1.-Asignamos un IP a la tarjeta donde conectaremos anuestro servidor, que será la puerta de enlace pordonde ThunderCache saldrá a internet.Código:/ip addressadd address=192.168.2.1/24 interface=THUNDER
    • 2.-Iniciamos la redirección al servidor ThunderCache.Código:/ip firewall natadd action=dst-nat chain=dstnat comment="Redireccion aThunder" dst-port=80 in-interface=LAN protocol=tcp to-addresses=192.168.2.2 to-ports=3128Configurar MikroTik para hacer Full Cache con ThunderEsta es una guía que servirá para hacer Full Caché a todos losservidores WebCache en general, ya sea Squid,ThunderCache, MikroTik Webproxy, etc.1.-Sólo identificaremos los paquetes que hicieron HITpor su Content, que es prácticamente un estandar queestos tengan en su header la frase:"X-Cache: HIT" (sincomillas), así que lo aprovecharemos.Código:/ip firewall mangleadd chain=forward comment="Full Cache" content="X-Cache:HIT" disabled=no action=mark-connection new-connection-mark="cacheconn" passthrough=yesadd chain=forward comment="" connection-mark="cacheconn"disabled=no action=mark-packet new-packet-mark="cachepacket" passthrough=noNótese que hay 2 reglas, una que primero marca la conexiónque tenga ese Content, y luego otra que marca los paquetesde la conexión que marcamos previamente.2.-En Queue Tree utilizaremos la marca de paquetespara "liberar o límitar" la velocidad de los HITs quetengamos desde nuestro WebCache.
    • Código:/queue treeadd burst-limit=0 burst-threshold=0 burst-time=0sdisabled=no limit-at=0 max-limit=5M name="Full Cache"packet-mark=cachepacket parent=global-out priority=8queue=defaultEn este ejemplo hemos limitado la velocidad de los HITs a5Mbps, ya depende de nuestras necesidades (y nuestrothroughput en el caso de redes wireless) si aumentamos odisminuímos este valor. En el caso de que queramos dejarloilimitado, simplemente removeremos la frase max-limit=5M de este último código.En el caso que tuviéramos a ThunderCache como ParentProxy de MikroTik , la configuración sería esta:Código:/ip firewall mangleadd chain=output comment="Full Cache" content="X-Cache:HIT" disabled=no action=mark-connection new-connection-mark="cacheconn" passthrough=yesadd chain=output comment="" connection-mark="cacheconn"disabled=no action=mark-packet new-packet-mark="cachepacket" passthrough=noCódigo:/queue treeadd burst-limit=0 burst-threshold=0 burst-time=0sdisabled=no limit-at=0 max-limit=5M name="Full Cache"packet-mark=cachepacket parent=global-out priority=8queue=defaultEn realidad varía casi en nada, sólo fue cosa decambiar forward por output.
    • 1. Configuración inicial en MikroTik para Thunder 7 en Paralelo.2. Activación de AHCI antes de la instalación.3. Instalación de ThunderCache Profesional en el Servidor.4. Configuración del Panel de Control.5. Configuración de ThunderCenter.6. Redirección a Thunder 7 y Full Cache.Configuración deMikroTik paraThunderCacheSuponiendo que ya se cuenta con un servidor MikroTik configurado yfuncionando, y que ahora se tenga la intención de colocar un servidorThunderCache Profesional, la mejor manera es que nuestro servidorMikroTik cuente con una interfaz de red adicional para que sea ladedicada a ThunderCache. Si bien se puede utilizar la misma interfazde red LAN para configurar a Thunder, esto no es lo recomendado sise cuenta con una regular cantidad de usuarios.
    • En el esquema mostrado se puede apreciar que ThunderCache sólocontará con una interfaz de red, que será utilizado como WAN y LAN ala vez, aunque si se cree conveniente se puede utilizar interfaces dered diferentes para WAN y para LAN, ya sea en modo Paralelo,Bridge, o Gateway.
    • Esta guía y las siguientes que presentaré, están diseñadas para laconfiguración de ThunderCaché en Paralelo, tal y como está en elesquema, ya que es la manera más pupular configuración.Nótese que ThunderCache irá conectado a un servidor MikroTik o RBde administración (Core Router). Si se cuenta con varios links deinternet, estos deberían ir en un servidor o RouterBOARD adicionalque sólo se encargará del balanceo de carga; del ejemplo, un RB750.Para agregar una puerta de enlace adicional para thunder, sólo esnecesario agregar la IP respectiva y asociarla a ña interfaz de redcorrespondiente, esto en IP -> Address./ip addressadd address=10.0.0.1/24 disabled=no interface=PROXYDonde 10.0.0.1/24 es la puerta de enlace para thunder (ver imagen), yPROXY es el nombre de la interfaz de red, o tarjeta de red destinada anuestro nuevo servidor, ustedes tendrían que adaptador a susituación, ya sea tanto en el IP de puerta de enlace, así como con elnombre de la interfaz.Estoy tomando en cuenta que ustedes tienen un enmascarado de estetipo:ip firewall natadd chain=srcnat out-interface=WAN action=masqueradeDonde WAN es el nombre de la interfaz WAN que ustedes tienen,obviamente.
    • Si llegan a tener problemas con esto, aunque es lo más básico,pueden darle una revisada a mis manuales o hacer su pregunta enel Foro de Soporte. Si no se está seguro, sería excelente que probaranel internet de esa interfaz antes de proceder a la instalación. Una vezcomprobada que la interfaz está correctamente configurada, conectarahí el server thunder y proceder a la instalación. Activación de AHCI antes de la InstalaciónPara un sistema webcache, la velocidad y rendimiento del disco duroes crucial cuando tenemos mútilples peticiones de los clientes alcache. Una de las ventajas que lleva consigo el usar discos durosSATA2 ó SATA3, es que podemos activar el modo AHCI y asímaximizar el rendimiento de estos, además nos permitirá contar consoporte para NCQ, que todos los discos duros nuevos lo tienen.Las ventajas de usar un disco duro en modo AHCI comparado con unoen modo IDE (aveces llamado modo legacy, o modo decompatibilidad) son muchas, el problema viene a que muchas vecesun PC nuevo viene configurado en modo IDE por defecto, o avecesnos pregunta qué modo deberá inicializar los discos duros la primera
    • vez que levantamos el PC, y muchas veces de apuro sólo loignoramos y presionamos enter, configurándolo en modo IDE sinquerer.Para activar el modo AHCI, es necesario ingresar al Programa deConfiguración del BIOS, o simplemente BIOS. Normalmente se hacecon el teclado al momento de encender el PC. La mayor parte deveces sólo es necesario presionar la tecla DEL o Supr, aunque esdependiendo de la marca, otra veces se ingresa presionando F1 ó F2,aveces F8, F10, Esc. Si no ingresa con alguna de estas teclas,consulte con el manual de usuario de su placa madre.Una vez dentro del BIOS, vamos a Integrated Peripherals.Una vez aquí tenemos que buscar una opción parecida a "SATAMODE" que quizá esté configurado como IDE, Legacy o Native IDE.En este caso es PCH SATA Control Mode y como vemos, ya estabaen AHCI.
    • Ya en esta opción, sólo queda configurarlo al modo AHCI, si ya loteniamos así pues nada, sólo salimos del BIOS.Para guardar los cambios, normalmente es F10 + Enter, avecesnecesita tener tener confirmación: Yes (Y), así que le hacemos caso,presionamos la tecla Y, y luego Enter.
    • En este ejemplo utilicé una placa Gigabyte para procesadores Intel.Instalación deThunderCacheProfesionalEmpezaremos descargando el ISO de ThunderCache 7Profesional y lo grabamos en un CD, mi programa favorito paragrabar, puesCDBurnerXP, que es de los mejores que he probado,y GRATIS.ISOs Optimizados para nuevos procesadores Intel y AMDIntel Core 2 Duo/Quad, Core i3/i5/i7, Xeon:http://www.bmsoftware.org/thunderdist/dist/thunder-install-x86_64-xeon.isoAMD Sempron (Sargas), Athlon/Phenom, Athlon II/Phenom II,Opteron:http://www.bmsoftware.org/thunderdist/dist/thunder-install-x86_64-opteron.isoISOs Genéricos para otros processadores:Genérico 64 bits:http://www.bmsoftware.org/thunderdist/dist/thunder-install-x86_64.isoGenérico 32 bits:
    • http://www.bmsoftware.org/thunderdist/dist/thunder-install-i386.isoNota: Es necesario saber exactamente cuál ISO elegir, sitiene problemas escogiendo uno, utilice El Foro de Soportede ThunderCache en Español y publique un tema con supregunta indicando qué procesador tiene. Es necesarioregistrarse en el foro para poder publicar un nuevo tema.1. Iniciando la Instalación:Iniciamos desde el CD que grabamos previamente, y tendremos estapantalla, sólo tenemos que escribir "install" y presionar Enter.Escogemos nuestra locación, esto sólo tiene relevancia en la zonahoraria, no tiene nada que ver con el idioma o el servidor derepositorios, que por cierto esta fijado a ftp.us.debian.org; aquí lodejaré por defecto, United States, ya si quieren dejarlo de acuerdo a
    • su país, entonces tienen que elegir "Others -> Central/North/SouthAmerica -> Su país."2. Configurado la Red:Empezamos a configurar la red, aquí sólo debemos introducir el IP quequeremos que tenga Thunder. En este caso le pondré 10.0.0.222 yaustedes colocan una IP relativa a la puerta de enlace que crearon parathunder en su server MikroTik.
    • Automáticamente aparecerá la máscara de subred, ya si tienenconocimiento de subnetting modifíquenlo a gusto, caso contrariodéjenlo tal y como aparece. Por cierto, si se quiere ir a losbotones o para ir atrás o continuar, sólo deben presionar la tecla TABdel teclado, aunque para continuar sólo es necesario presionar Enter.Aquí escribiremos la puerta de enlace o gateway, que en este caso lapuerta de enlace que configuré para thunder en mi server Mikrotik, yes 10.0.0.1 ya ustedes deben de colocar la puerta de enlace quecorresponda a su caso.
    • Los DNS! En realidad toma nuestra misma puerta de enlace pordefecto, ya que supone que está activado el cache DNS en nuestroserver, o nuestro router. En el caso que no tengamos activada estafunción, tocará escribir manualmente los DNS que nos dió nuestro ISPseparados por un espacio; por ejemplo: 200.48.225.130200.48.225.146
    • Con lo explicado arriba, y como yo sí utilizo el cache DNS del serverMikroTik, entonces borro los DNS anteriores y dejo lo que vino pordefecto, que es la misma puerta de enlace que configuré para thunderen mi servidor MikroTik: 10.0.0.1Pues una vez que tengamos configurada la red, el instaladorempezará a descargar los paquetes de instalación, que podríademorar regular tiempo dependiendo de la velocidad de internet quetengamos. Tener MUY en cuenta que para instalar este servidor esnecesario que tenga acceso directo a internet; es decir, que no existanada que lo bloquee, como alguna seguridad que le hayamos puestoal servidor MikroTik, y que además NO esté detrás de ningún proxy, yasea webproxy de MikroTik, Squid, o cualquier version de Thunder.Asegurar también la conexión a internet sea óptima, para que no
    • existan cortes y que el instalador falle al descargar sus paquetes deinstalación.3. Particionando el disco del sistema:Llegamos a la partición de los discos, aquí sólo elijan "Guided - useentire disk" de esa manera el instalador particionará el disco duroautomáticamente, utilizando el espacio total del disco. Ya para los másavanzados, no hay problema en crear una partición encriptada, o unapartición manual SÓLO si se va a tener uno o más discos duros parael cache. Por cierto, asegúrense de activar el modo AHCI en el BIOSdel server, esto para sacar el máximo rendimiento a nuestros discosduros SATA.
    • Aquí aparecerá la lista de los discos duros disponibles, en este casoaparecen 4 discos en total, que sería 1 para el sistema (el de menorcapacidad), y 3 discos para el caché; aunque claro, si ustedes haninstalado 1, 2, ó 5 discos duros, entonces estos tendrían que aparecer.Si bien se puede utilizar un sólo disco para sistema y cache, no es lorecomendado ya que si luego de hacer trabajar nuestro servidor unbuen tiempo se llegara a dañar la instalación por x motivos, almomento de volver a formatear todo el contenido del caché seperderá; en cambio si tenemos cache y sistema en discos separados,entonces podremos formatear el disco del sistema sin problema,conservando todo nuestro cache. Aquí elegiré el disco más pequeño,que es el que será el disco del sistema.
    • Luego de esto, sólo queda esperar a que siga descargando einstalando paquetes.4. Finalizando la instalación:
    • Aquí parecerá haberse atascado al 27%, es completamente normal,justo en esta parte empieza a descargar todo lo relacionado aThunder, puede demorar bastante si nuestra linea de internet no es losuficientemente rápida, quizá hasta 30 minutos; en todo caso, puedenverificar en MikroTik si está consumiendo o no internet, ya si estámucho tiempo sin usar internet, algo no ha ido bien, así que tocaríareiniciar el equipo y volver a empezar.Una vez terminado de instalar, aparecerá un mensaje algo disimuladoy se autoreinciará el equipo. Si es que no se expulsó el CD deinstalación automáticamente, tocará hacerlo por nuestra cuenta paraque el sistema inicie desde el mismo disco. Aparecerá la siguienteventana azul mostrando estas 4 opciones, y en la parte posterior unconteo regresivo, simplemente no toquen nada, al terminar ese tiempose ejecutará el kernel que está asignado por defecto, que es el Linux
    • 2.6.39.2-tc, y como habrán notado, es sólo una modificación del kernelde Debian 6.0.Al final tendremos esto, notarán que apareció un failed! haciendoreferencia a thunder, esto es completamente normal, y sale porqueaún no hemos colocado la licencia, y por lo tanto thunder no pudoiniciar. Ese failed! es el ÚNICO que debería salir, si les llegara aaparecer otro, entonces algo no ha salido bien se se tendría queempezar desde cero.
    • Login:rootPassword:thunder342Y eso sería todo de momento, tendremos que ver el Panel deConfiguración, y luego ThunderCenter para que todo esté listo yprocedamos a redireccionar a nuestros clientes con MikroTik.Configuración delPanel de ControlViernes, 21 de Octubre de 2011 18:40 ryohnosuke
    • En el Panel de Control usted podrá configurar su servidor como mejorle parezca, desde las opciones más fáciles, como activar y desactivarplugins, elegir qué tipo de extensiones almacenar, el tiempo de vida deestos, su mínimo y máximo tamaño; hasta opciones más avanzadas,como elegir en qué carpetas se almacenará el caché, si utilizar parentproxy, redireccionar o bloquear páginas, etc.Para acceder al panel, es necesario loguearse con su usuario ypassword de licencia en esta página:http://www.bmsoftware.org/new/index.php?pg=suporteEste usuario y password se lo entregaremos al momento que haga suprimer pago (Vease: Licencias y Planes de Pago).Si usted necesita probar el producto antes de adquirirlo, puede obteneruna licencia gratuita ThunderADS, que si bien tiene algunos límites, ledará 5000 threads gratuitos que le servirá para que pueda probar elproducto todo el tiempo que quiera inclusive en redes con cientos deusuarios.Si desea obtener la licencia gratuita, es necesario que se registre enesta página:http://www.bmsoftware.org/new/index.php?pg=ccddbUna vez registrado, le llegará al correo un mensaje para activar sucuenta, una vez activada le llegará otro mensaje con su usuario ypassword de licencia gratuita ThunderADS.
    • 1. Primer VistazoUna vez logueados, vamos al botón SETTINGS THUNDER, quizá lesaparezca en portugués, pero prefiero cambiarlo al buen inglés ya quees más fácil de entender (no es por nada, pero en portugués la palabra"largo" se traduce como "ancho" en nuestro idioma, y muchas palabrasiguales a las nuestras que tienen significados completamente distintos,así que prefiero no hacerme líos con este idioma). Si gustan cambiarel idioma, en la parte superior hay 2 banderas, la de Brasil, y la deUSA, así que seleccionan esta última si quieren tener el Panel deControl en inglés, tal y como está en esta guía.Entonces estamos aquí, tiene cierta pinta a winbox, por el menúlateral. En realidad hay una buena cantidad de opciones, pero notodas son necesarias de configurar de momento, así que si hacen loque está en las imágenes, debería ir bien.
    • 2. ThunderEn este apartado se configuran las opciones generales de thunder, enrealidad son bastante simples y configurarlas tal como está en laimagen es sufuciente, puede sobreponer el puntero sobre los ? yverán una pequeña explicación en cada una de ellas; aún así, daréuna explicada a las opciones numeradas. Recuerde hacer clicken Save Changes para guardar las modificaciones hechas.
    • 1. Listen Port: Es el puerto que thunder utilizará para recibirpeticiones, es el puerto al que tenemos que redireccionar a nuestrosclientes.2. Transparent Mode: Si utilizaremos MikroTik para redireccionar enNAT, entonces debe de ir en NO. Si utilizamos Mangle para routear, osi utilizamos a thunder como gateway, entonces debe ir SI.3. Downloads Resume: Si dejamos una descarga a medias, o unvideo a medio ver, tener activada esta opción hará que lo que yahemos descargado/visto previamente salga del caché, y luego seautocompletará desde internet.4. Initial Threads: En la versión 7, es el máxima cantidad de threadsque queremos tener. Si colocamos 0, el sistema nos abrirá TODOS losthreads que correspondan a nuestra licencia.5. TOS HIT Marking: Es la marca que se agregará a todos los HITsque tengamos, con esta marca nos ayudaremos para hacer "fullcache" con MikroTik.6. ADS Default Language: Los usuarios de licencia gratuitaThunderADS deben escoger el tipo de idioma que quieren que lesaparezca los banners y popups publicitarios.7. ADS Gateway: Si los banners y popups no se muestranrápidamente, puede elegir otro servidor menos saturado.3. Extensions
    • ThunderCache 7 Profesional nos permite elegir muy fácilmente quétipo de extensiones almacenar, así como su tamaño mínimo, máximo,y tiempo de vida. Aunque esto es muy intuitivo, le daré una ligeraexplicada.
    • 1. Extension: Escribiremos la extensión que queramos almacenar, sipor ejemplo quiero almacenar un ".cab", entonces le quitaré el punto ysólo escribiré "cab".2. Minimum Size: Es el tamaño mínimo que debe tener el archivopara grabarse en cache, si el tamaño es menor, sencillamente elarchivo nunca tocará el disco duro. Si bien se puede colocar el valor 0para buscar más rendimiento (ya que los archivos pequeños son losque abundan en la red), estos mismos podrían generar más uso deldisco duro, ya que se tendría que buscar a todos estos a la vez paraentregarlos al cliente. En redes con varias decenas de clientesconectados a la vez, esto podría ser MUY contraproducente, así quese aconseja buscar un valor apropiado para la cantidad de clientesque se tenga.Los valores están expresados en bytes, así que 1024 sería 1KB,10240 sería 10KB, y 1024000 sería 1MB.3. Maximum Size: Es el tamaño máximo que un archivo puede tenerpara ser grabado en el cache; si se sobrepasa, sencillamente no seráalmacenado; y a diferencia del Minimum Size, colocar un valor 0(ilimitado) apenas tiene repercusión en el rendimiento del disco. Sibien no hay problema en dejar un valor 0 para todas las extensiones,posiblemente esto haría que el disco duro o discos de cache sellenaran más rápido, así que convendría colocar un valor máximo aciertas extensiones, como por ejemplo los ".exe", los ".iso", etc.Los valores están expresados en bytes, así que 102400000 equivale a100MB, y 1024000000 equivale a 1GB
    • 4. Lifetime in seconds: Pues su nombre lo dice, es el tiempo de vidaque tendrán los archivos en el cache. Si configuramos por ejemplo, unarchivo ".jpg" a 3600 segundos, que sería lo mismo 1 hora, entonces siun .jpg se almacena, sólo tendrá una hora de vida, eso quiere decirque si solicitáramos la misma imagen al servidor pasada la hora, estelo volverá a descargar de internet.Los valores están dados en segundos (duh), así que 7776000segundos, que es el valor por defecto, equivale a 90 días.Nota: Los usuarios de licencias gratuitas ThunderADS sólo puedenalmacenar un máximo de 10 extensiones.4. PluginsLa parte más intuitiva de todo esto, por defecto todos los plugins estándesactivados, o en disabled, estos los reconoces porque están conSTATUS de color rojo. Para activarlos, pues nada más fácil en hacerleclick sobre Enable, esperar a que se ponga STATUS de color verde.Obviamente esta no es la lista completa de plugins disponibles, hayalgunos más que no se ven porque la imagen está cortada, y si noscompras una licencia tendrás muchos más sólo por ser nuestro cliente.Por cierto, en la lista verán plugins que terminan en _GVT, por ejemployoutube.com_GVT, por favor, NO activen esos plugins, estos estándiseñados para aquellos que son usuarios del ISP GVT de Brasil.
    • Cuando se active un plugin el botón config también se activará, sí, esesa fecha azul. Aquí se podrá configurar el Expiration seconds, quevendría a ser lo mismo que el Lifetime in seconds que vimosanteriormente. Del ejemplo, youtube está configurado para 7776000segundos ó 90 días, si gustan pueden aumentar o disminuir estetiempo. En el caso de los antivirus, estos están configurados pordefecto a 82800 segundos ó 23 horas, no es muy convenienteaumentar este valor, ya que por naturaleza, estos se actualizandiariamente.
    • 5. Disk ConfigEsta es la parte donde todo el mundo se hace problemas, que enrealidad no es tan difícil. En Disk Config nosotros tenemos que escribirmanualmente la ruta de la carpeta donde thunder almacenará elcaché.Si usted sabe cómo crear carpetas en linux y montar unidades en lascarpetas creadas, entonces no es necesaria tanta explicación, einclusive puede montar estas carpetas donde crea conveniente, y notal como lo explicaré en este manual.
    • 1. Disk: Aquí tendremos que escribir la ruta donde thunderalmacenará el caché. Ya que supongo que no todos sabemos crearparticiones, formatear discos, crear carpetas y montar discos en lascarpetas creadas, nos ayudaremos del Control Center de Thunder7que veremos en el siguiente manual, de momento, sólo sigan estospasos.Si se tiene un solo disco de cache o se hará cache en el disco delsistema, entonces sólo tendremos que agregar:/usr/local/thunder/cache1Si tenemos dos discos de cache, entonces además tendremos queagregar:
    • /usr/local/thunder/cache2De la misma manera tendremos que repetir la operación para todoslos discos de cache que tengamos, ya que en mi manual anterior lohice con 3 discos para cache, entonces agregué .../cache1, .../cache2y .../cache3.2. Cache Limit: Esta opción nos permite decirle a thunder cuál será ellímite máximo que queremos que un disco almacene caché; de losejemplos, sólo podremos llenar el disco hasta el 98% de su capacidad.En el desplegable podremos seleccionar opciones como: "sin límite",40%, 50%, 90%, etc.6. Reset Activador.En realidad con lo anterior ya hemos terminado, pero voy a explicarcómo funciona el activador de ThunderCache Profesional. Comohabrán notado, la configuración se ha hecho desde el Panel deControl en bmsoftware.org. ¿Cómo hace thunder para obtener losdatos de configuración que previamente hicimos? Pues cada vez queel servicio thunder inicia, ya sea porque encendimos o reiniciamosnuestro servidor, o porque reiniciamos el servicio thundermanualmente desde el Centro de Control, este se conectará alservidor de BM Software, se autenticará con nuestro usuario ypassword de licencia (que agregaremos al servidor en el siguientemanual), y así obtendrá toda la configuración que hicimos.
    • Este servidor de BM Software también graba nuestro IP público ydemás datos de nuestro servidor con la finalidad de evitar que otroservidor pueda autenticarse con nuestro mismo usuario de licencia.Esto quiere decir que si nuestra IP pública cambia, nuestro servidorpodría dejar de almacenar contenido en el cache; y si lo reiniciamos,entonces el servicio thunder NO se activará (no aceptará conexiones),ya que el servidor de BM Software se habrá dado cuenta que se estáautenticando desde un IP diferente. En este caso, tendremos quedecirle al Panel de Control que resetee el activador, así podrá aceptaruna autenticación desde el nuevo IP público.Resumen: Click en Reset Activator si su IP público cambia para asípoder reactivar el servicio thunder.
    • Tener en cuenta que si se tiene la "viveza" de correr varios servidorescon la misma licencia detrás de una misma IP pública, desde que elactivador también guarda códigos del hardware, el primer síntoma deesto es que thunder aun esté activado, no grabará ni devolverá nadadel cache. Si este comportamiento es frecuente, usted corre el riesgode perder la licencia.Como recomendación, NO distribuya el usuario y ni password delicencia a un tercero que no tenga relación con BM Software.Configuración deThunderCenterViernes, 21 de Octubre de 2011 18:49 ryohnosukeAhora le toca el turno a ThunderCenter de Thunder7, que tiene unasmejoras enormes si lo comparamos con su versión anteriorThunderView2, nativa de ThunderCache 6.1.Para acceder sólo tendremos que escribir en nuestro navegador el IPde nuestro servidor thunder y agregamos al final puerto 82.http://ip-de-thunder:82Desde el inicio de mis tutoriales, el IP de Thunder que coloqué fue el10.0.0.222, así que tendré que colocar http://10.0.0.222:82
    • Lo primero que aparecerá será un "setup" para terminar de configurarnuestro servidor paso a paso.1. Idioma de ThunderCenterPues nada más sencillo, sólo se tiene que elegir qué idioma se quierepara el ThunderCenter, de momento sólo se puede elegir entre inglésy portugués, así que lo dejaré en inglés como suele venir por defecto.Click en Confirmar y luego Siguiente.2. Configuración de la RedLa manera estandar de configurar nuestro servidor es hacerlo enmodo parelelo, con una sola tarjeta de red y ayudándonos de MikroTikpara hacer la redirección (proxy transparente).
    • 1. Operation Mode: Aquí podremos elegir el modo de funcionamientode thunder, nosotros utilizaremos Parallel Mode, que es lo que vienepor defecto. Ya si se busca un modo específico, también cuenta conmodo Gateway (puerta de enlace), modo Bridge(en serie), yun Personalized Mode (personalizado), donde aparecerá un áreapara modificar manualmente los iptables. Inclusive tiene soporte nativopara TProxy.2. WAN/LAN Interfaces: Por defecto estará en Same Interface (lamisma interfaz) y es la que utilizaremos, ya que el WAN y el LAN denuestro server Thunder será la misma tarjeta de red. Ya si se desea,se puede elegir la segunda opción Different Interfaces (interfacesdiferentes), para utilizar 2 tarjetas de red diferentes, una WAN y otraLAN.
    • Al momento de seleccionar Different Interfaces, se desbloqueará elapartado LAN interface, para proceder a configurar nuestra segundatarjeta de red. Tener en cuenta que existen modos que por sunaturaleza sólo aceptan ser configurados con 2 tarjetas de red, comoel modo Bridge, y el modo Gateway.3. Enter DNS Servers: Si bien los DNS ya los configuramos almomento de instalar el server, en este aparatado se agregan pordefecto DNSs de un conocido proveedor de Brasil. Así que sugieroborrarlas para colocar las nuestras, en este caso, como utilizo el DNScache de MikroTik, sólo coloqué mi puerta de enlace: 10.0.0.1Si se va a colocar más de un DNS, estos deben de estar separadospor comas, sin ningun espacio de por medio, por ejemplo:200.48.225.130,200.48.225.146Una vez terminada esta configuración, click en Confirmar yluego Siguiente (el botón siguiente aparecerá sólo cuando confirmenla información de esta pantalla)3. Administrador de DiscosEsta parte es la más interesante de todas, con versiones anteriores aThunder7 era un problema administrar los discos de caché, ya que notodos tienen el conocimiento de cómo formatear y montar unidadescon linux, aquí con sólo 2 clicks, podrán formatear y montar todos losdiscos duros de caché que quieran.
    • En esta pantalla aparecerán todos los discos duros de cache quehayamos instalado en nuestro servidor, tan sólo hagan clickenFormat en el primero y esperen a que termine, del mismo modo conel segundo y el tercero.Una vez formateados, aparecerá en status Formatted: YES,dándonos a conocer que los discos ya están formateados, luego sólose debe hacer click en Mount en cada uno de los discos, para montarestas unidades y que así estén listas para almacenar caché.
    • Ya tenemos todos los discos formateados, montados y listos parahacer cache. Noten que en el status de los 3 discos muestra la ruta dedónde fueron montados, que son las mismas que colocamos en elPanel de Control que vimos en el tutorial anterior.Mounted (/usr/local/thunder/cache1)Mounted (/usr/local/thunder/cache2)Mounted (/usr/local/thunder/cache3)Si se quiere hacer caché en el mismo disco duro del sistema, entoncestendríamos que crear la carpeta cache1 manualmente, ya queThunderCenter NO tiene ese soporte; peor, ni siquiera recomendamosque se haga caché en el mismo disco duro del sistema ya que no es
    • seguro. Si se quiere seguir adelante, crear una carpeta es realmentefácil, sólo autentíquense como root en su servidor, y escriban:mkdir /usr/local/thunder/cache1chmod 755 /usr/local/thunder/cache1Para avanzados: Como podrán ver, Thunder formatea y monta lasunidades de una manera predeterminada, la que sus programadorescreen que dará mayor rendimiento. Si prefieren formatear y montar lasunidades de una manera especial, "in a custom way", o inclusive hacerraid0 o raid5, no existe ningún problema, sólo monten las unidades enlas carpetas que se crea conveniente, y declaran la ubicación de esascarpetas en el Panel de Control de Thunder.
    • 4. Licencia de ThunderCachePues bastante fácil, sólo se tiene que ingresar el user y password de lalicencia que entregué o que generaron gratuitamente desde BMSoftware. En mi caso, todas las licencias que yo provea, terminaráncon un @ryohnosuke. Click en Confirmar y Siguiente.5. ConclusionPues nada, terminanos la configuración, ahora el mismo setup nossugiere reiniciar el sistema, así que eso es lo que hacemos.
    • 6. ¡ThunderCenter!Una vez que el server vuelva a iniciar, mostrará una pantalla donderequerirá un user y password, por defecto es:Login: admin
    • Password: adminUna vez adentro podremos ver muchísimos detalles del servidor.Sinceramente, este ThunderCenter es una maravilla, super completo.Noten que en la parte superior derecha dice: ThunderCacheService: RunningSi se da el caso que diga Stopped, ir a Settings - ThunderCacheService, y hacer click en el botón Start. Si apareciera elmensaje: ThunderCache service NOT started [PROBLEM]! Check,hacer click en check, anotar el log, y hacer la consulta en elForo deSoporte.
    • Por cierto, algunas ubicaciones importantes del ThunderCenter:Settings - Disk Management, donde premos formatear y montarnuestros disco duros de cache.Settings - Network Configuration, donde podremos editar laconfiguración de red de nuestro serverSettings - ThunderCache License, para modificar la información denuestros datos de licencia.Settings - ThunderCache Service, ¡Muy importante! Para reiniciar elservicio thunder y reiniciar nuestro servidor de una manera segura(botón de la derecha). Tener en cuenta que cada cambio quehagamos en el Panel de Control y que este tenga efecto en nuestroservidor, tendremos que reiniciar el servicio thunder, o reiniciar elservidor en el peor de los casos.
    • Redirección y FullCache paraThunderCacheMartes, 25 de Octubre de 2011 04:58 ryohnosuke1. Re direccionando a nuestros clientesPues ya que nuestro server thunder está configurado y activado, sóloquedaría hacer en MikroTik la redirección de nuestros clientes aThunderCache.En realidad el proceso es muy fácil, sólo es necesaria una regla por logeneral, ya si se tuviera varias interfaces "LAN", entonces tocaríarepetir la operación tantas veces como interfaces "LAN" se tuviera, oen todo caso ingeniarse una regla distinta./ip firewall natadd action=dst-nat chain=dstnat comment="Redireccion a Thunder" disabled=nodst-port=80in-interface=LAN protocol=tcp to-addresses=10.0.0.222 to-ports=8080Donde LAN es el nombre de la interfaz de red de nuestrosclientes, 10.0.0.222 es el IP de nuestro server thunder, y 8080 es el
    • puerto de escucha de nuestro servidor; tanto el IP como el puerto sondatos que configuramos en las guías anteriores.Con esto nustros clientes ya cuentan con el servicio de ThunderCacheProfesional, si quieren comprobarlo, pues revisen el tráfico generadoel la interfaz de red PROXY, o visiten estapágina: http://www.whatismyip.com que les dirá que están detrás deun proxy llamado Thunder 7.2. Configurado Full Cache con Thunder 7El muy conocido Full Cache, que hará que todo el contenido que salgadel disco duro de nuestro servidor vaya a una velocidad superior allímite impuesto a nuestros clientes. Así que si bien un cliente puedetener 256kbps de download como limitación, con Full Cache podremoshacer que este cliente alcance velocidades muy superiores, lo que notiene nada de malo, ya que esa velocidad no nos cuesta nada deinternet.Como ya vimos en la guía anterior, en el Panel de Control de Thunderpodremos especificar una marca especial para todo lo que salga delcache, exactamente la opción: TOS (DECIMAL) HIT MARKING, quecomo dije anteriormente, agregará una marca a los paquetes quesalgan del caché, para poder reconocerlos con MikroTik y así poderaplicar el Full Cache.
    • De la guía de Configuración del Panel de Control, podremos ver quedejamos un valor 72 en la opción antes mencionada, así queutilizaremos esto para marcar los paquetes./ip firewall mangleadd action=mark-packet chain=forward dscp=18 new-packet-mark=fullcache passthrough=noDonde el valor 18 es... es...¿? vale, a simple vista no se nota qué es elvalor 18, entonces vamos a darle una explicada.Mientras Thunder nos da una marca TOS (decimal), MikroTik sólosabe reconocer marcas DSCP (decimal), así que es necesario hacer laconversión de TOS (decimal) a DSCP (decimal).TOS decimal DSCP decimal0 032 840 1048 1256 1464 1672 1880 2088 2296 24
    • Una vez marcados los paquetes, sólo tendremos que darle uso a esamarca, entonces procederemos a configurar la respectiva regla enQueue Tree./queue treeadd name=fullcache packet-mark=fullcacheparent=global-out priority=8 max-limit=5Mqueue=defaultDonde 5M quiere decir la velocidad máxima que tendrán los elementosque salgan del cache, ya cada uno puede colocar el límite que creaconveniente. Si no se quiere tener restricción de velocidad o tenerloilimitado, entonces se tendría que colocar el valor 0.Ya más adelante publicaré otras guías en el Foro de Soporte parahacer FULL CACHE, ya sea por grupos de clientes, o cada cliente conuna velocidad específica.Ya con esto nuestro servidor Thunder estaría todo configurado yfuncionando, cualquier problema con esta u otras guíasTutorial Servidor WEB con ThunderCache 7Saludos a todos, aqui les dejo un pequeño aporte, espero lessea de ayuda.Muchos de nosotros queremos tener un “servidor web parauso de nuestra red interna” (intranet), y muchas veces sehace bajo plataformas como Windows xp (algo inseguro) ocon Windows server(más profesional), o con algunasaplicaciones que derepente no requieren de instalación y correcomo simplemente un ejecutable, pero también se suelenhacer bajo plataformas como Linux mucho más seguras yconfiables como es el caso del demonio apache (así se
    • denomina al servicio), en este caso como ya tenemosimplementado el servidor thundercache 7, voy a aprovechareste servidor para montar nuestra página web y mostrarla anuestra intranet, Ojo el servicio apache ya se encuentraejecutándose en nuestro servidor thunder y utiliza el puerto82 para mostrar los detalles de su servicio Thundercache.Podemos mostrar nuestra página web por el puerto que senos antoje pero para efectos de este manual usare el puerto80, lo pueden cambiar por el que ustedes quieran.Utilizamos el programa "WinSCP" para poder comunicarnoscon nuestro servidor Thundercache, asumo que ya lo sabenutilizar,Ingresamos con nuestro usuario y password de root alservidor, luego vamos a la carpeta "/etc/apache2/" yeditamos el archivo "ports.conf" tan solo le vamos a agregarlo siguienteCódigo:NameVirtualHost *:80Listen 80Guardamos y luego vamos a la carpeta "/etc/apache2/sites-enabled" y agregamos un nuevo archivo llamado digamos"001-default" el cual editamos escribiendo lo siguiente:Código:<VirtualHost *:80> ServerAdmin webmaster@localhost DocumentRoot /var/www <Directory /> Options FollowSymLinks AllowOverride None </Directory> <Directory /var/www/>
    • DirectoryIndex index.html Options Indexes FollowSymLinks MultiViews AllowOverride None Order allow,deny allow from all </Directory> ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/ <Directory "/usr/lib/cgi-bin"> AllowOverride None Options +ExecCGI -MultiViews+SymLinksIfOwnerMatch Order allow,deny Allow from all </Directory> ErrorLog ${APACHE_LOG_DIR}/error.log # Possible values include: debug, info, notice,warn, error, crit, # alert, emerg. LogLevel warn CustomLog ${APACHE_LOG_DIR}/access.log combined Alias /doc/ "/usr/share/doc/" <Directory "/usr/share/doc/"> Options Indexes MultiViews FollowSymLinks AllowOverride None Order deny,allow Deny from all Allow from 127.0.0.0/255.0.0.0 ::1/128 </Directory></VirtualHost>Luego lo guardamos y nos vamos a la carpeta "/var/www" yes ahí donde vamos a alojar nuestra página web para que lapodamos ver desde nuestra red interna.Después de hacer esto tenemos que reiniciar el servicio
    • apache, nos conectaremos al servidor utilizando el programita“putty” o también se puede hacer via WinSCP, con usuario ypassword de root y escribimos lo siguiente:Código:/etc/init.d/apache2 restartPor ultimo probamos ingresando desde nuestro navegador enWindows http://ipdelservidorthunder/ y ya tendría quemostrar nuestra web.Si no subiste ninguna página te mostrara algo como estoIt works!logre corregirlo ..... el segundo código de ngnperu debe serasi:Código:<VirtualHost *:80> ServerAdmin webmaster@localhost DocumentRoot /var/www <Directory /> Options FollowSymLinks AllowOverride None </Directory> <Directory /var/www/>DirectoryIndex index.php Options Indexes FollowSymLinks MultiViews AllowOverride None Order allow,deny allow from all </Directory> ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/ <Directory "/usr/lib/cgi-bin"> AllowOverride None Options +ExecCGI -MultiViews+SymLinksIfOwnerMatch Order allow,deny Allow from all
    • </Directory> ErrorLog ${APACHE_LOG_DIR}/error.log # Possible values include: debug, info, notice,warn, error, crit, # alert, emerg. LogLevel warn CustomLog ${APACHE_LOG_DIR}/access.log combined Alias /doc/ "/usr/share/doc/" <Directory "/usr/share/doc/"> Options Indexes MultiViews FollowSymLinks AllowOverride None Order deny,allow Deny from all Allow from 127.0.0.0/255.0.0.0 ::1/128 </Directory></VirtualHost>Configurar MikroTik Hotspot (Portal Cautivo)Un Portal Cautivo o Portal Captivo es un sistema que permitecapturar el tráfico http (web) de nuestros clientes yredireccionarlo a un Portal para fines de autenticación. Unavez el clientes es autenticado, este puede acceder a todos losservicios de internet con "normalidad".La configuración estandar de MikroTik Hotspot es muy fácil deconfigurar, pero hay que hacer ciertas modificaciones paraevitar tener problemas en nuestra red si es que utilizamosAPs o Routers modo cliente. Tengan en cuenta que unhotspot está pensado para ser utilizado en lugaresrelativamente "pequeños", y que además sus clientes NO se
    • conectarán a través de APs o Routers modo cliente... oseaimagínense un Starbucks donde todas las personas que seconecten ahí, lo harán directamente con laptops, iPod, PDA,smartphones, etc.Muchos usan MikroTik Hotspot en redes wireless extensascomo único sistema de seguridad, dejando la señal abierta(sin encriptación), teniendo la creencia que este sistema esinviolable, lo es bastante falso. Sin contar que estamosdejando la puerta abierta para que cualquier personamalintencionada haga un gran alboroto en nuestra red.Para hacer esta guía, estoy tomando en cuenta que yatenemos el servidor configurado y funcionando, así quesugiero leer las demás guías básicas si se presentanproblemas o dudas que no explico en esta guía. Quizá parexcaalgo complicado, pero con sólo seguir las imágenes seríasuficiente, ya si se quiere profundizar o si se tiene duda dealgo, tocaría leer el contenido.Parte 1: Configurando Hotspot con el asistente deconfiguración.Para empezar vamos a IP -> Hotspot -> pestaña Servers -> botón Hotspot Setup, para iniciar con el asistente deconfiguración de Hotspot Server.
    • Al igual que la configuración del servidor DHCP de MikroTik,nos ayudaremos del asistente de configuración automáticapara así configurar "correctamente" nuestro Hotspot, inclusiveambos son muy parecidos.HotSpot Interface, debemos especificar la interfaz donde seconfigurará el Hotspot server, obviamente elegiremos lainterfaz de red LAN o tarjeta de red de los clientes, que eneste caso es ether2.
    • Local Address of Network, aparecerá automáticamente lapuerta de enlace de los clientes, que en este casoes 192.168.10.1; claro, está tomando los datos del IPde ether2 que especificamos en el paso anterior.Masquerade Network, lo desmarcamos ya que tenemos elservidor funcionando, por lo tanto, ya contamos con elenmascarado. Si activamos este checkcreará otro enmascarado, pero en este caso será por rango dered.Address Pool of Network, aparecerá un rango de IPs queserán asignados a los clientes para que así obtengan un IPautomáticamente. En este caso apareció un rango ya definido,este rango lo tomó de una configuración previa ya que teníaconfigurado un servidor DHCP. Si no tuvieramos un servidorDHCP funcionando, este paso activaría uno obligatoriamente.Ya más adelante podremos deshabilitarlo.
    • Select Certificate, a momento sólo vamos a elegir none, yaque no contamos con un certificado SSL. Estos certificadosson utilizados para validar una página web (como nuestroportal cautivo) cuando se utiliza el protocolohttps y así encriptar las conexiones entre el cliente yservidor, muy utilizado en las páginas de los bancos ya queasí ofrecen seguridad respecto a las claves y los movimientos.IP Address of SMTP Server, lo dejamos tal comoestá: 0.0.0.0 ya que no contamos un un servidor SMTP.
    • DNS Servers, si ya tuvieramos configurado el DNS Cacheestos valores aparecerán automáticamente, sino, pues lotendremos que agregar manualmente.DNS Name, aquí colocaremos un DNS para nuestra red dehotspot; para tenermo más claro, cuando hotspot ya estéfuncioando y queramos abrir una página, este nosredireccionará al portal cautivo para que nos autentiquemoscon nuestro usuario y clave, ese portal tendrádirección http://login.hot.net/ ya que ese es el DNS queescribimos; en todo caso, si este valor se deja en blanco,hotspot usará directamente la puerta de enlace de losclientes, o sea, elhttp://192.168.10.1/Name of Local Hotspot User, por defecto, el nombre deusuario administrador para el logueo en el hotspot es admin,aunque si lo quieren cambiar, no hay problema, perorecuérdenlo! ya que con ese nombre se autenticarán al
    • hotspot por primera vez.Password for the User, el password de logueo, en este casoel password será test, lo pueden cambiar por el gusten, peroal igual que la opción anterior, es necesario recordarlo.Una vez hecho esto saldrá un mensaje que nuestro hotspotfue configurado satisfactoriamente; luego, si nuestro WinBoxestaba conectado al servidor MikroTik por IP, seguramentenos desconectaremos inmediatemente. Si estabamosconectados por MAC, seguiremos conectados. En todo caso,nuestro servidor hotspot YA está configurado, y siintentáramos abrir una nueva página, este nos mostrará elportal cautivo de MikroTik.Una vez que veamos el portal cautivo, tendremos queautenticarnos con el user y password que configuramospreviamente, en mi guía el login es admin y el passwordes test. Una vez autenticados, hotspot nos dará un mensaje
    • de bienvenida y tendremos internet normalmente (sin estaautenticación no hay absolutamente ningún serviciodisponible que dependa de internet, o sea, no juegos, nomsn, no skype, etc.)Parte 2: Modificar Hotspot para evitar algunosproblemas.Hasta aquí ya lo tenemos configurado, pero tenemos quemodificarlo para evitar tener problemas. Si vamos una vezmás a IP -> Hotspot -> pestañaServers, veremos queapareció un nuevo elemento: hotspot1, que es nuestroservidor hotspot recién configurado.Nota: Tengan en cuenta que hasta el momento, ninguno de
    • nuestros clientes tiene internet ya que estos NO tienen unusuario y password para que se autentiquen en el portal queles apareció. Si lo creen conviente, pueden deshabilitarmomentáneamente la regla hotspot1 para así no fastidiar anuestros clientes... ya cuando lo tengamos todo configurado ylisto para funcionar, podemos habilitarlo denuevo.Empezaremos la modificación abriendo la regla hotspot1 yasí poder editar sus opciones.Name, obviamene es el nombre del servidor hotspot queconfiguramos hace un momento. Si gustan le cambian denombre si es que tuvieran otros hotspots para distintasinterfaces de red.
    • Interface, es la interfaz de red a la que configuramos el
    • servidor hotspot, se trata de la interfaz de los clientes, en
    • este caso es ether2.
    • Address Pool, si los clientes de nuestro hotspot se conectana través de APs modo cliente ó Routers modo cliente,entonces es absolutamente necesario modificar esta valora none. Si lo dejamos tal como está por defecto(dhcp_pool1 si teníamos configurado un DHCP), entonceshotspot entrará en modo captura de IPs y nos podría traerproblemas cuando intentemos conectarnos a un equipo (AP,Router, VoIP, etc) dentro de nuestra red, ya que MikroTikcapturará esta conexión y nos pondrá trabas ingresar.Profile, es el profile de del servidor hotspot, por defectoes hsprof1 que se autoconfiguró al momento de hacer elasistente de configuración. Vamos a IP -> Hotspot - > pestaña Server Profiles y abrimos la regla hsprof1 - > pestaña General par a dar una revisada al server profile. Name, nombre delperfíl del servidor, en este caso es hsprof1.
    • Hotspot Address, es la puerta de enlace de nuestrosclientes, en este caso, 192.168.10.1, si llegáramos acambiar este gateway desde IP -> Addresses, tendríamosque modificar este cuadro manualmente para actualizar a lanueva configuración.DNS Name, es el nombre de nuestro portal cautivo, en estecaso es login.hot.net (http://login.hot.net), que es el quecolocamos al momento de hacer el asistente de configuración,lo podemos modificar a nuestro gusto.HTML Directory, es la carpeta donde se almacenan losarchivos del portal cautivo, esta carpeta la encontramosen Interface.Parte 3: Elegiendo el tipo de autenticación.Hasta este momento, todos nuestros clientes no puedennavegar ya que les apareció un portal cautivo solicitando unusuario y contraseña, al menos nosotros sí podremosautenticarnos ya que al momento de configurar el hotspotcreamos una cuenta de administrador, que en el ejemploes login: admin y password:testPor lo general existen 3 maneras de autenticarse al hotspot,descontando sus pequeñas variaciones: 1)Escribiendo usuario
    • y clave, 2)Autenticandose por MAC, 3)Siendo un usuario trial(de prueba)Vamos a IP -> Hotspot -> pestaña Server Profiles yabrimos la regla hsprof1 -> pestaña Login, donde veremostodas las opciones de autenticación.MAC, activará la autenticación por MAC, o sea, el cliente notendrá que escribir usuario y clave, ya que con solo conectarse, hotspot validará su MAC automáticamente. HTTP (CHAP ó PAP), activa la autenticación por usuario y contraseña, por defecto es HTTP CHAP. HTTPS, activa la autenticación porusuario y cotraseña utilizando el protocolo HTTP Secure.Trial, activa la autenticación de prueba, para que los"invitados" puedan probar el servicio, al comento de activaresta opción, en el portal cautivo aparecerá un link "trial", que
    • servirá para autenticarnos con sólo presionar ese link.Cookie, si está activado, será el acompañante de todaautenticación, generará un cookie que se almacenará tanto enel server y el PC del cliente, y mientras este cookie sigavigente no pedirá autenticación hasta que venza.HTTP Cookie Lifetime, si la opción Cookie está activada,entonces este apartado se desbloqueará. Aquí se puede elegirel tiempo de vida del cookie, por defecto es 3 días. Se puedenver las cookies entregadas en IP -> Hotspot -> pestaña CookiesTrial Uptime Limit, si la opción Trial está activada, esteapartado se desbloqueará. Aquí colocaremos el tiempomáximo que se le quiere dar a los invitados para queprueben el servicio, por defecto es 30 minutos.Trial Uptime Reset, si la opción Trial está activada, esteapartado se desbloqueará. Aquí colocaremos cada cuantotiempo se le renovará el límite de tiempo para el invitado...esto quiere decir, si el invitado usó ya los 30 minutos depruena, cada cuánto tiempo podrá usar una vez más otros 30minutos... por defecto es cada 24 horas o cada día (1d00:00:00).
    • Trial User Profile, es el perfíl de usuario que se aplicará alos invitados, más adelante, en esta misma guía, vereremossobre los User Profiles...Parte 4: Creando usuarios para autenticación.Crear cuenta para autenticación por usuario ycontraseña.Vamos a IP -> Hotspot -> Users y abrimos una nuevaregla (+)Name, escribiremos el nombre de usuario (login) paraautenticarnos en el portal cautivo, en este ejemploes usuario. Password, escribiremos la contraseña para autenticarnos en el portal cautivo, en este ejemplo es prueba. Address, algunaspersonas suelen colocar el IP del cliente bajo la creencia que
    • así están amarrando esta IP a la cuenta, cosa es incorrecto, loque ocasionarán será crear 2 IPs para el mismo cliente, unoel de su PC y otro el que hotspot le dará (el que escribamosaquí) No recomendado.MAC Address, para mayor seguridad, podemos amarrar elMAC del cliente a la cuenta de usuario que estamos creando,esto quiere decir, que ese usuario y contraseña sólo seráválido si se hace la autenticación desde esa MAC. Si se utilizaun AP modo cliente, entonces tendrá se tendrá que colocar laMAC de ese AP y no la del cliente. Si no se especifica un MAC,entonces este usuario y password serán válidos desdecualquier MAC.Profile, será el perfil de usuario que asociemos a esta cuenta,ahora estamos usando el perfil que viene por defecto,estos User Profiles los veremos más adelante en esta guía.Una vez hecho esto, podremos autenticarnos en el portalcautivo utilizando el usuario y password que creamos. Así quesólo quedaría crear más cuentas y entregar los usuarios ycontraseñas a nuestros clientes.Crear cuenta para autentitcación por MAC.Para autenticarnos por MAC, tiene que estar activada dicha
    • opción en IP -> Hotspot -> pestaña Server Profiles yabrimos la regla hsprof1 -> pestañaLoginSi ya está activada, vamos a IP -> Hotspot -> Users yabrimos una nueva regla (+)Name, escribiremos la MAC de nuestro cliente, ni bien elcliente abra su navegador, Hotspot al ver su MAC loautenticará automáticamente.Profile, será el perfil de usuario que asociemos a esta cuenta,ahora estamos usando el perfil que viene por defecto,estos User Profiles los veremos más adelante en esta guía.
    • Pueden utilizar el botón Comment para asignar uncomentario a la regla, para poder reconocerla más adelante.Parte 5: Entendiendo los User Profiles (Opcional).Con los User Profile, podemos ciertas características a lascuentas de los clientes, como por ejemplo, limitar suvelocidad (sin utilizar Simple Queue), enviar mensajes a losclientes, controlar el tiempo para que al cliente le vuelva aaparecer el portal cautivo, etc.
    • Name, nombre del perfíl de usuario, lo pueden cambiar a loque quieran.Session Timeout, en este cuadro puede configurarse untiempo máximo en que el cliente podrá tener acceso ainternet, luego de ese tiempo, el cliente no podrá autenticarsemás, por defecto está deshabilitado, como en la imagen.Idle Timeout, es el tiempo máximo de inactividad para queHotspot deautentique al cliente. Si un cliente no generatráfico por el tiempo especificado, Hotspot lo desconectará.Por defecto está en none.
    • Keepalive Timeout, es el tiempo máximo en que un clientepuede estar desconectado, si se llega a ese tiempo, entonceshotspot deautenticará al cliente, por defecto es 00:02:00 (2minutos) pero si se prefiere, se puede cambiar este valor,inclusive por días.Shared Users, es el número de usuarios que se puedenautenticar a la vez con una misma cuenta de usuario. Porseguridad, tendría que ser sólo uno.Rate Limit, es la velocidad a la que se le asignará a unusuario. rx/tx quiere decir upload/download, si se quierelimitar a 128k de subida y 512k de bajada, entonces setendría que colocar, 128k/512k, cuando se activa estaopción, ya no es necesario limitar la velocidad por SimpleQueue.Transparent Proxy, debe quitar este check si se haconfigurado MikroTik webproxy siguiendo mis manuales.Se pueden crear y configurar tantos User Profiles como senecesiten, y asignarlos a la cuenta de usuario al que se lequiera aplicar, como en la imagen de abajo.
    • Tener en cuenta que si se modifica un User Profile o secarga uno nuevo a un User, este no tendrá efecto hasta queel usuario se vuelva a autenticar, para eso hay que quitar alcliente desde IP -> Hotspot -> pestaña Active, y si se tieneactivadas las Cookies, borrar la cookie desde IP -> Hotspot -> pestañaCookies.Parte 5: Conociendo las otras pestañas (Opcional).Pestaña Active.IP -> Hotspot -> pestaña Active, veremos aquí la relaciónde cliente que se autenticaron en hotspot, ya sea escribiendousuario y clave, autenticándose por MAC, o por trial.Si quieramos deautenticar a un cliente, sólo tendríamos quequitarlo de la lista con el botón remover ( - ), ya si se utilizacookies, primero tendríamos que quitarlos de esa lista en IP -> Hotspot -> pestaña Cookies.
    • Pestaña Hosts.IP -> Hotspot -> pestaña Hosts, veremos aquí la relaciónde todos las dispositivos que están conectadas a Hotspot, yasea que estén autenticados o no, con o sin internet, einclusive los bloqueados.Veremos al lado izquierdo de cada cliente, una letra o unacombinación de letras, estas quieren decir. A = Cliente Autenticado. H = Cliente con IP obtenida por DHCP. D = Cliente con IP fija o no obtuvo su IP por DHCP (del servidor). P = Cliente Bypassed, que se le dió "tarjeta verde" para no pasar por hotspot, esto lo veremos en IP -> Hotspot - > pestaña IP Bindings. B = Bloqueado por User Profile o por su propio User, ya sea porque su Session Time se ha acabado, porque fue bloqueado desde Advertise.
    • Tener en cuenta que únicamente sólo tendrán internet losclientes que tengan la letra A o la letra P, ya sea que esténsolas, o acompañados de otra letra.Pestaña IP Bindings.IP -> Hotspot -> pestaña IP Bindings, aquí podemosconfigurar que un cliente no necesite autenticación alguna,supongamos que tenemos conectado un aparato VoIP y comoestos no pueden escribir usuario y password, seríaconveniente utilizar IP Bindings.MAC Address, aquí colocaremos el MAC del aparato al que ledaremos carta verde, ya sea un PC, un VoIP, un PS3, etc.Este paso puede ser opcional.Address y To Address, colocaremos 2 veces el mismo IP delcliente al que le dará carta verde.
    • Type, elegiremos bypassed (hacer bypass al portal delhotspot)Tener en cuenta que sólo colocar el IP ses suficiente para darcarta verde a un cliente, pero si se especifica el MAC,entonces se estaría amarrando el IP al MAC para dar mayorseguridad.Pestaña Walled Garden y Walled Garden IP List.IP -> Hotspot -> pestaña Walled Garden, ya sabemos queal tener portal cautivo, todas las páginas que intentemosvisitar serán redireccionadas al portal cautivo, pero conWalled Garden podemos dar excepciones y asignar páginaspermitidas para poder navegar en ellas sin estar autenticados.Aquí sólo nos limitamos a http y https.IP -> Hotspot -> pestaña Walled Garden IP List, Es lomismo que lo anterior, salvo que aquí ya no trabajamos conhttp ó https, sino con directamente con IPs.Pestaña Cookies.IP -> Hotspot -> pestaña Cookies, si la opción cookie estáactivada en Server Profile, entonces veremos la lista decookies generadas por todos los clientes autenticados. Siquisieramos deautenticar a un cliente, tendríamos queempezar borrando su cookie y luego sacarlo de IP -> Hotspot-> pestaña Active.
    • Si se quiere profundizar aún más sonbre Hotspot, tendríanque leer su manual en la wiki(inglés) http://wiki.mikrotik.com/wiki/Manual:IP/HotspotEnviar mensajes a los clientes utilizando HotspotAprovechando este martes vago intentaré hacer una guía decómo enviar mensajes a nuestros clientes utilizando MikroTikHotspot.Antes que nada, es necesario tener el hotspot configurado, yasea en modo portal cautivo (usuario/clave) o amarre IP/MACpor IP Bindings.Bueno, para enviar el mensaje a los clientes, cualquiera quefuese el método -con MikroTik-, hay que crear el mensaje aenviar, o sea, diseñar una página web con el mensaje que sequiere mostrar a los clientes (o cliente), ya depende de lacreatividad de cada uno para que esa página sea muy vistosa
    • o algo simple como este que suelo usar:El programa de diseño puede ser cualquiera, inclusive el blogde notas, pero si tengo que recomendar alguno, sin pensarlo2 veces diría que dreamweaver.Paso siguiente, toca subir el diseño a la carpeta hotspot. Estolo hacemos con Winbox, Files.El proceso es bastante fácil ya que sólo tenemos que arrastrarlos archivos del mensaje creado dentro de lacarpeta hotspotCon esto ya tenemos el mensaje -o mensajes- cargados,ahora sólo queda configurar un profile en User Profile. En esteejemplo he subido 2 archivos:
    • notice.htmlbill.htmlPara los que usan el portal cautivo de hotspot, les seráfamiliar todo esto de los profiles, y para los que no, estos seencuentran en: IP -> Hotspot -> User ProfilesHay que crear un nuevo profile (+)Name, el nombre del profile, en este caso es Notice
    • Rate Limit (rx/tx), Opcional, si se utiliza Queue ->Simple para limitar la velocidad entonces hay que dejarlo talcomo está, en blanco. Si se limita la velocidad con elpropio User Profile, entonces hay que colocar la velocidadrespectiva, por ejemplo:128k/400k, para tener 128kbps desubida y 400kbps de bajada.Transparent Proxy, Activado, los mensajes necesitan sí o sítener esta opción activada.En el mismo profile hay que ir a la pestaña Advertise paraproceder a configurar el mensaje a enviar.De la imagen, obviamente hay que activar elcheck Advertise para que podamos empezar a configurar elmensaje, así que empezaré a explicar cada una de estasopciones.Advertise URL, la imagen muestra /notice.html que seríanuestro mensaje previamente creado y que subimos a lacarpeta de hotspot; claro, también podría ser /bill.html que esotro mensaje que llegamos a subir.Es bueno tener en cuenta que también se pueden enviarmensajes que subimos previamente a un hosting externo(desde internet), e inclusive a uno interno (intranet), ya eneste caso es necesario colocar directamente la direccióncompleta. Para seguir con los
    • ejemplos notice.html y bill.html he subido a mi hosting ambosarchivos, entonces para mostrarlos habría que especificar laruta exacta o URL del los mensajes, un ejemplo sería:Claro, si se tratara de un servidor interno, con sólo colocar elIP del webserver (o dominio si es que lo tuviera) es suficiente,ej.http://192.168.1.1/notice.htmlLos 2 mensajes que utilizo son:http://www.ryohnosuke.com/mensajes/notice1.htmlhttp://www.ryohnosuke.com/mensajes/bill1.htmlYa si gustan los guardan para subirlos a sus respectivascarpetas /hotspot, e inclusive los pueden usar directamenteen Advertise URL, pero como es natural, esta última opción vaa utilizar nuestro internet.Advertise Interval, esta opción es el intervalo de tiempo enel que serán mostrados los mensajes. En el ejemplo losmensajes serán mostrados cada 10 minutos. Si se quisieramostrar el mensaje cada 1hora 30minutos y 20 segundos,entonces la configuración sería: 01:30:20, o si es cada día,entonces: 1d 00:00:00.
    • Nota: Tener en cuenta que este intervalo empieza a funcionarcada vez que el cliente se loguea.Advertise Timeout, es el tiempo que se le da al cliente paraque vea el mensaje antes de cortarle el internet. Paraexplicarlo mejor es necesario saber que los mensajes queenvía hotspot son del tipo pop-up, eso quiere decir quecuando se llegue al tiempo especificado en Advertise Interval,aparecerá un pop-up con nuestro mensaje, obviamente esnecesario estar navegando para poder verlo. Si por ejemplose está dentro de un juego, o sólo chateando en el MSNMessenger, no se podrá ver este mensaje, así que para evitarese inconveniente tenemos esta opción.Del ejemplo, el Advertise Timeout está configuradoa 00:01:00, eso quiere decir que el cliente tiene 1 minutopara ver el mensaje, caso contrario, se le cortará elinternet hasta que vea el mensaje. Claro, si se configuraa 00:30:00, entonces el cliente tendrá 30 minutos para ver elmensaje antes del corte de internet, y vuelvo a repetir, elinternet volverá cuando el cliente vea el mensaje.Advertise Timeout tiene 2 opciones más:  immediately, que cortará el internet inmediatamente hasta que el cliente vea el mensaje. Es casi lo mismo que lo anterior, salvo que aquí no se le da tiempo alguno.  never, nunca cortará el internet, ya sea que el cliente vea o no el mensaje. (recomendado)Con esto ya tenemos configurado nuestro User Profile, ahorasólo queda asociarlo al cliente para que este empiece a ver elmensaje.Si se utiliza Portal CautivoSi nuestros usuarios se loguean con usuario y clave, entoncesesto ya es bastante conocido. Para cargar un profile a unusuario vamos a: IP -> Hotspot -> Users y abrimos la regla
    • del usuario al que se le quiere enviar el mensaje.Esto es simple, sólo se despliega el menú de Profile y se eligeel nombre del profile que se creó en User Profile. De esteejemplo: Notice.Importante: Tener en cuenta que los profiles tienen efecto sólocuando el cliente se autentica (loguea). Si el cliente ya estabaautenticado en hotspot al momento de colocar el profile delmensaje, su profile no tendrá efecto hasta que salga y vuelvaa entrar a hotspot (volverse a autenticar). Si no se quiereesperar, sólo con borrar su Cookie (opcional) en IP -> Hotspot-> Cookie, y borralo de Active en IP -> Hotspot ->Active, lograremos que el vuelva a tener el portal cautivo enpantalla para que así se vuelva a autenticar.
    • Si se utiliza amarre IP/MAC por IP BindingsCiertamente esto ya es algo más complicado, ya que noutilizamos portal cautivo para nuestros clientes, por lo tanto,nuestra sección Users está completamente vacía salvo por eluser Admin, y claro, nuestros clientes no necesitanautenticarse para tener internet. Por el método anteriorsabemos que necesitamos agregar un profile a nuestro userpara poder enviarle mensajes; entonces, ¿Qué hacemos?Bueno, necesitamos hacer que el cliente se autentique ahotspot pero que no sea por el método tradicional de escribirusuario y clave. Entonces tocará activar la autenticación porMAC, en este caso es necesario tener a la mano las MAC denuestros clientes, al menos de los clientes a los que sequisiera enviar mensajes. Para eso vamos a IP -> Hotspot ->Server Profiles , vamos a la pestaña Login en la sección LoginBy, marcamos MAC.Una vez activado, tocará crear los usuarios a quienesqueremos enviar mensajes. Para eso vamos a IP -> Hotspot -
    • > Users y presionamos (+) para añadir un nuevo user.Name, aquí colocaremos el MAC del cliente, este MAC lopodemos sacar de IP -> ARP ó IP -> Hotspot -> Hosts ó IP ->Hotspot -> IP BindingsProfile, se elije el profile del mensaje que se creópreviamente en IP -> Hotspot -> User Profile.Nota: Para reconocer a quien pertenece cada user, se puedeutilizar el botón Comment para colocar el nombre del clienteal que se le envía el mensaje.Con esto hemos creado nuestro user para que se le envíen losmensajes, pero como vemos hasta ahora, el cliente aún noestá autenticado, por lo tanto el user y el profile no tienenefecto. Para autenticar a nuestro cliente es necesario
    • deshabilitar el IP Binding del usuario desde IP -> Hotspot ->IP Bindings o inclusive algo más formal sería cambiar enel Type del IP Binding del cliente de bypassed a regular, y útilsi es que se utiliza hotspot en modo captura de IPs (AddressPool activo).Al momento de hacer esto último, obligaremos a que nuestrocliente necesite autenticarse. Ahí entrará a funcionar el userque creamos, hotspot verá el MAC y lo autenticaráautomáticamente, por lo tanto empezará a funcionar el profilede los mensajes. Los clientes autenticados aparecerán en IP -> Hotspot -> Active.Tener en cuenta que si se quiere cambiar el profile a uncliente autenticado y profile ya funcionando, es necesariohacer que el cliente se autentique de nuevo para que elcambio de profile haga efecto. Entonces es necesario removeral usuario en cuestión de IP -> Hotpost -> Active, para que sevueva a loguear.En realidad todo esto lo pueden encontrar en el manualde MikroTik Hotspot pero imagino que los novatos entederán
    • mejor esta guía.Cortar Internet al Cliente y Notificar falta de PagoUtilizando HotspotPara cortar el internet a los clientes dejando una notificaciónpor falta de pago, es necesario aprender a mandar mensajesa los clientes con ayuda de hotspot. Si aún no se sabe estetema, puede aprenderlo con esta guía: Enviar mensajes a losclientes utilizando Hotspot.Una vez que se tenga aprendido cómo enviar mensajes a losclientes con ayuda de hotspot, se tendría que preparar elmensaje que se mostrará al cliente que queremos cortar elinternet. En este caso utilizaré mi mensaje bill1.html que yadebería de estar dentro de la carpeta hotspot.En realidad el proceso es nada del otro mundo, essimplemente usar un profile como el que usamos paramandar mensajes a los clientes, salvo que en este caso la
    • configuración en Advertise es algo distinta.El truco aquí es simple, sólo nos apoyamos de AdvertiseInterval y Advertise Timeout. El primero muestra elmensaje cada 00:00:00, es decir, a cada momento, elsegundo bloquea el internet inmediatamente hasta que se veael mensaje, pero como se configuró el primero a 00:00:00, elmensaje se mostrará a cada momento y el internetpermanecerá cortado.El resultado será que, cuando el cliente abra su navegador eintente abrir una página cualquiera, se le mostrará el mensajeestablecido y únicamente ese mensaje, cualquier otro servicioque dependa de internet, como el messenger, estarábloqueado.Nota: Vuelvo a repetir, para entender esta guía, es necesariohaber leído y entendido esta otra: Enviar mensajes a losclientes utilizando Hotspot.
    • Forzar pagina de inicio de clientes por el hotspotSaludos, aca un pequeño tutorial para forzar la pagina deinicio de nuestros clientes que usan hotspotabrimos winbox dentro del mikrotik buscamos en file elarchivo "alogin.html"Luego de ubicarlos lo copiamos al escritorio de nuesta pc ycon cualquier editor lo abrimos, puede ser dreamweaver,notepad, wordpad etc, ya abierto buscamos lo soguiente quese muestra a continuacion (para los que usan dreamweaverubiquen la linea 34)
    • una vez ubicados editamos el ( $(link-redirect) por la paginaque deseamos mostrar a nuestros clientes en mi caso coloquemi web www.nukeko.com, quedaria asilo guardan y lo vuelven a copiar a su mikrotik en files , acontinuacion les dejo el video de como funciona
    • Configurar -correctamente- la hora en MikroTik (x86 y RB)Bueno, cuando se trabaja con el scheduler, webproxy, ocualquier regla que dependa de un horario, es absolutamentenecesario configurar la fecha y hora en el core router o loadbalancer, ya sea PC x86 ó RB.PC Server x86:Esto es algo bastante simple ya que sólo es suficiente concolocar manualmente la fecha y hora en:System -> ClockNótese que he llenado únicamente los apartados Date y TimePara la fecha, MikroTik utiliza el formato americano:Mes/Día/Año, pero en el caso del Mes, este está representadopor letras y en inglés, así que el orden para 12 meses sería:Código:Jan | Feb | Mar | Apr | May | Jun | Jul | Aug | Sep |Oct | Nov | DecMikrotik trabaja en sistema horario de 24 horas y NO con AMy PM como estamos acostumbrados aquí en Perú, así que será
    • normal colocar las 13:00:00 para la 1 PM.Routerboard (RB):Este caso es ligeramente más complejo, ya que a diferenciade un PC x86, los Routerboards no cuentan con una pila(batería) que guarde la fecha y hora en memoria cuando elequipo se desconecta de la electricidad. Entonces es necesarioque estos se conecten a un servidor NTP para este les de lahora global (GMT)Entonces, para configurar el NTP client vamos a:System -> NTP ClientPosiblemente esta imagen varíe si es que se ha instalado elpaquete NTP Server, pero la idea es la misma.Los 2 servidores NTP que configuro son bastante conocidos:
    • Código:time-a.nist.govtime-b.nist.govSi se llegara a tener problemas con esos servers, es porque elDNS de MikroTik no ha sido definido, así que no podráresolver los nombres a IPs, en ese caso habría que colocardirectamente los IPs.Código:129.6.15.28129.6.15.29Una vez hecho esto, el RB se conectará al servidor NTP cadavez que se encienda y así tendrá automáticamente la horaGMT y la fecha sin ninguna intervención humana, ahora sóloes cosa de acomodar nuestra zona horaria: para Lima/Perú,es GMT-5.Bueno, en MikroTik cambiar la zona horaria no puede ser mássimple, sólo es cosa de colocar el Continente/Ciudad, paranosotros, America/Lima, en:System -> ClockNótese que he modificado únicamente el apartado Time ZoneName.
    • Nota: Evitar configurar el NTP Client y el Time Zone Name en un PC Server x86, yaque podría traer problemas cuando se usa MikroTik webproxy, esto debido a queMikroTik almacena el cache en el disco duro utilizando la hora del PC (BIOS) y no lahora local de MikroTik; entonces, al configurar esas opciones, el caché tendrá un offsetde -5 horas, y sería normal que el cache expire al momento de tocar el disco duroocasionando una baja de rendimiento ya que apenas se tendrán HITs.Cómo Reiniciar MikroTik automáticamenteBueno, pueden existir distintas razones por lo cual muchosquisieran reiniciar su servidor MikroTik automáticamente auna hora determinada. Quizá unos quieran reiniciar su IPpública todos los días, ya sea para quitar restricciones dedescarga de páginas como Megaupload, Rapidshare, etc; osalir de una lista negra a la que entraron por culpa de uncliente con algún virus... en fin, razones miles, vamos algrano.Por ejemplo. Si se quisiera reiniciar el servidor MikroTik, todoslos días a las 5AM, la regla sería la siguiente:Código:/system scheduleradd name="Reiniciar 5AM" on-event="/system reboot"policy=reboot,read,write,policy,test,password,sniff,sensitive start-date=jan/01/1970 start-time=05:00:00interval=1d disabled=no
    • Tengan en cuenta que este tipo de código es para ser pegado directamente en New Terminal ya si la quisieran editar, tendría que ir a la sección respectiva en Winbox: System -> Scheduler Si se quier hacerlo manualmente, se va a System -> Scheduler y se crea una nueva regla (+) como la siguiente imagen. Name, el nombre de la regla. En realidad puede ser el nombre quegusten ya que sólo es para identificar.Start Date, día de inicio de la regla. En este ejemplo no loutilizamos, pero vendría a ser el día que empezará a funcionaresta regla, o sea, "de aquí en adelante".Start Time, hora de inicio de la regla. Tener en cuenta queMikroTik usa el sistema de 24 horas, así que si queremos queesta regla se inicie a la 1PM, se colocará 13:00:00Interval, esta opción es el intervalo de tiempo en la volveráa ser ejecutada esta regla. Según el ejemplo, esta regla sevolverá a ejecutarse cada 1d 00:00:00, osea diariamente(cada 1 día). Si se quisiera ejecutar esta regla cada 6 horas,
    • entoces sería 06:00:00On Event, es el comando que será ejecutado cuando la horaprogramada llegue. Este comando no sale de la nada,fácilmente pueden hacerse una idea si revisan enwinbox: System -> Reboot, como habrán notado, la reglarealmente existe en winbox, inclusive si se escribe desde líneade comandos, o New Terminal.Policy, son los permisos que se le da a esta regla para suejecución, para no hacerse líos, marquen todo como en laimagen... aunque para los detallistas en la v4.x sólo esnecesario tener marcado reboot para que funcioneapropiadamente, en el caso de la 3.30, es necesario tenermarcado reboot y test.Cómo Apagar MikroTik automáticamenteBueno, pueden existir distintas razones por lo cual muchosquisieran apagar su servidor MikroTik automáticamente a unahora determinada; por ejemplo, conozco a muchos quetrabajan con llaves eléctricas con temporizador digital, quecorta la energía a determinada hora, y como no se quieredañar el sistema por un mal apagado, entonces es bastanteútil esa regla.Por ejemplo. Si se quisiera apagar el servidor MikroTik, todoslos días a las 3AM, la regla sería la siguiente:Código:/system scheduleradd name="Apagar 3AM" on-event="/system shutdown"policy=reboot,read,write,policy,test,password,sniff,sensitive start-date=jan/01/1970 start-time=03:00:00interval=1d disabled=noTengan en cuenta que este tipo de código es para ser pegadodirectamente en New Terminal ya si la quisieran editar,
    • tendría que ir a la sección respectiva en Winbox: System ->SchedulerSi se quier hacerlo manualmente, se va a System ->Scheduler y se crea una nueva regla (+) como la siguienteimagen. Name, el nombre de la regla. En realidad puede ser el nombre que gusten ya que sólo es para identificar. Start Date, día de inicio de la regla. En este ejemplo no lo utilizamos, pero vendría a ser el día que empezará a funcionar esta regla, o sea, "de aquí en adelante". Start Time, hora de inicio de la regla. Tener en cuenta que MikroTik usa el sistema de 24 horas, así que si queremos que esta regla se inicie a la 1PM, se colocará 13:00:00 Interval, esta opción esel intervalo de tiempo en la volverá a ser ejecutada estaregla. Según el ejemplo, esta regla se volverá a ejecutarsecada 1d 00:00:00, osea diariamente (cada 1 día). Si sequisiera ejecutar esta regla cada 6 horas, entocessería 06:00:00
    • On Event, es el comando que será ejecutado cuando la horaprogramada llegue. Este comando no sale de la nada,fácilmente pueden hacerse una idea si revisan enwinbox: System -> Shutdown, como habrán notado, la reglarealmente existe en winbox, inclusive si se escribe desde líneade comandos, o New Terminal.Policy, son los permisos que se le da a esta regla para suejecución, para no hacerse líos, marquen todo como en laimagen... aunque para los detallistas en la v4.x sólo esnecesario tener marcado reboot para que funcioneapropiadamente, en el caso de la 3.30, es necesario tenermarcado reboot y test.Cómo actualizar MikroTik RouterOS para RB ó x86Actualizar MikroTik normalmente trae ciertas mejoras,corrección de errores, y nuevas características, pero muchasde estas no son visibles para el usuario promedio, ya quedesde la v3.28 winbox apenas ha cambiado, así que muchosno han tenido la necesidad de actualizar, y por esta razón, nosaben cómo hacerlo.Actualización para PC x86 y RouterBOARDsAntes que nada, es necesario descargar el paquete deactualización, para eso vamos a la sección de descargas deMikroTikhttp://www.mikrotik.com/download/ y elegimos elpaquete de actualización que corresponde al equipo quequeremos actualizar.En Product nos da por defecto lo quequeremos: RouterOS (MikroTik es la marca, RouterOS es enrealidad el sistema que conocemos, usamos y configuramos);ya en Devices seleccionamos el tipo de equipo al quequeremos actualizar, en este caso elegí PC / X86, en el caso
    • que se quiera actualizar un RB750 ó RB750G/GL, entoncesvan a tener que seleccionar RB700 series, ya si es un RB450 óRB450G, RB411 ó RB411A/AH, RB433 ó RB433 A/AH/UAH,tendrán que seleccionar RB400 series, y así para el equipoque tengan.Una vez seleccionado el equipo, toca descargar el NPK file,que es un paquete que combina todos los paquetes másusados, como system, hotspot, dhcp, wireless, routerboard,security, etc. En realidad es el que más utilizo ya que es muycompleto y se actualiza todo bastante rápido, ya si senecesitara un paquete adicional que no tiene este NPK file,pues toca descargar ZIP file, y subir los paquetes quequeramos a Files
    • A momento, la versión actual es la 5.7, así que los paquetesserían estos:PC / x86Código:http://download.mikrotik.com/routeros-x86-5.7.npkRB400 series y RB700 series (sí, para ambos es el mismopaquete ya que estas series utilizan procesadores MIPSBE)Código:http://download.mikrotik.com/routeros-mipsbe-5.7.npkYa con el NPK File descargado sólo queda subirlo a Files, sólotienen que arrastrarlo hacia dentro de esa carpeta y esperar aque se suba por completo.Importante: Tengan cuidado de NO subir este NPKFile dentro de alguna carpeta, como por ejemplo /hotspot, ya
    • que MikroTik no será capaz de encontrar este archivo deactualización, si se le es difícil hacerlo, entonces generen unbackup (con el botón Backup), así el archivo generado crearáel espacio suficiente para poder subir el NPK file fácilmentedentro de Files.Una vez que tengamos el NPK file dentro de Files, sólo quedareiniciar nuestro servidor desde System -> Reboot, esteproceso puede tomar varios minutos y es MUYIMPORTANTE que no apaguen el equipo ya que podríandañar la actualización, ya si esto sucede se tendría quereinstalar MikroTik por NetInstall. Una vez terminado elproceso, nuestro servidor iniciará nuevamente, pero esta vezactualizado.Quienes tienen RouterBOARDS
    • En el caso de todos los RouterBOARDS, es necesarioactualizar también su BIOS, este proceso ya lo hacemos porconsola (en realidad todo se pudo hacer por consola, pero asíes más didáctico xD).Entonces entramos a New Terminal y verificamos si existeun BIOS por actualizar:Código:/system routerboard printEn este caso sí hay uno, que es la v2.29:Código:[admin@MikroTik] > /system routerboard print routerboard: yes model: 450G serial-number: 1DFC01E26A8F current-firmware: 2.27 upgrade-firmware: 2.29[admin@MikroTik] >Para actualizar:Código:/system routerboard upgradeNos pedirá confirmación si queremos actualizar [y/n],presionamos la tecla [y], de yes o sí.Código:[admin@MikroTik] > /system routerboard upgradeDo you really want to upgrade firmware? [y/n]yfirmware upgraded successfully, please reboot forchanges to take effect![admin@MikroTik] >
    • Como paso final sólo tenemos que reiniciar el RB para que loscambios tengan efecto, esto con System -> Reboot.Con esto ya tenemos nuestro servidor, ya sea PC orouterBOARD, actualizado.Nota: Si se cuenta con versiones anteriores a la v3.30, esbueno actualizar a esta versión antes de proceder a subir aversiones superiores como la v4.x o la v5.x, esto paraactualizar nuestra licencia de 7 dígitos a una de 8 dígitos (lav4.x y 5.x necesita de licencia de 8 dígitos). Una vez estandocon la v3.30, ir aSystem -> License -> botón UpdateLicense Key, saldrá un mensaje que nuestra licencia ha sidoactualizada, y nos pedirá reiniciar para aceptar los cambios;en cambio si llegara a salir un mensaje de error, inclusiveluego de varios intentos, entonces nuestra licencia tiene untope de actualización, o sencillamente es una vulgar licenciacrackeada.Para verificar una licencia crackeada, una manera bastantefácil es copiar el Old Software ID ó SoftwareID de System -> License, y hacer una búsqueda en google.Si salen resultados, seguramente debe de ser crackeada.En todo caso, para los interesados, yo vendo licenciasoriginales MikroTik level 4 a 100 soles o 38 dólares (pago porpaypal).Si buscan la v3.30 para PC / x86:Código:http://download.mikrotik.com/routeros-x86-3.30.npk¿Cómo desactualizar MikroTik?
    • Vale, sí, suena a locura, pero no sería la primera vez queMikroTik nos entregue una versión con uno que otro bug oalgo que ya no funcione, y que para nuestra mala suerte esalgo que necesitamos que funcione bien, así que para "volveral pasado" tendríamos que desactualizar nuestro sistema.El proceso es muy similar al que ya vimos para actualizar, yaque vamos a tener que subir el NPK file desactualizado (o laversión anterior a la que queramos regresar) a Files; ya unavez ahí, tendremos que ir a System -> Packages -> botón Downgrade.Una vez hecho esto, aparecerá una solicitud de reinicio, la quetenemos que aceptar para que el sistema desactualice, yaluego de esperar cierto tiempo para que se hayadesactualizado e iniciado una vez más, tendremos el sistemacon la versión que elegimos.Aveces no se encuentran versiones anteriores "a la vista" enla página de descargas de MikroTik, pero esto no es
    • problema, solamente tiene que tomar la ruta de la versiónvigente del NPK file que corresponda a nuestro equipo, ycambiarle manualmente la versión, así que si se quieredescargar la version 5.5 para RB400 series:Código:http://download.mikrotik.com/routeros-mipsbe-5.5.npkSólo cambié el 5.7 que es la versión vigente, a 5.5, y listo.Nota: Si ya se tiene una licencia de 8 dígitos, sólo puedendesactualizar hasta la v3.30, con versiones más antiguascorrerían el riesgo de perder la licencia.Redireccionar puertos con MikroTikCuántos de nosotros queremos tener acceso a nuestros APs,cámaras IP, y demás dispositivos desde fuera de la red? Osimplemente si queremos hostear un juego para que otros seconecten desde fuera.En realidad es bastante simple hacerlo con MikroTik. Porejemplo, en el caso de Warcraft III, si quiero hostear un juegoen Battle.net para que otros entren, pues tendría que haceruna redirección al puerto 6112, protocolo TCP.Código:/ip firewall natadd chain=dstnat dst-port=6112 protocol=tcp in-interface=pppoe-out1 action=dst-nat to-address=192.168.2.20 to-ports=6112Vamos a separar 2 instancias, todo lo que esté antesde action, y lo que esté después de action.Lo que está antes de action, será el criterio a tomar paradecirle a MikroTik qué es lo que debe redireccionar, lo queestá después de action, pues hacia dónde redireccionar.
    • Traduciendo:Primera instancia:Todo lo que tenga como destino (dstnat) el puerto destino6112 (dst-port), con protocolo TCP (protocol), y que entre porla interfaz de red pppoe-out1 (in-interface), que obviamentees nuestra WAN.Segunda instancia:Envíalo al destino (action=dst-nat), que tiene dirección IP192.168.2.20 (to-address), y puerto 6112 (to-ports)En realidad hay varias maneras de redireccionar, en este casose está redireccionando utilizando la interfaz de red, en elcaso que se quiera hacerlo más específico, pues sería hacerlocon el WAN IP, tomando el mismo ejemplo.Código:/ip firewall natadd chain=dstnat dst-address=190.201.18.138 dst-port=6112 protocol=tcp action=dst-nat to-address=192.168.2.20 to-ports=6112En este caso pues le quité el in-interface, pero le agregué eldst-address=190.201.18.138, donde ese IP sería la WAN IP ola IP pública que el server está manejando.Nota:Tener en cuenta que si MikroTik no maneja la IP pública, entoncestodas las conexiones se van a quedar en el primer router, así setendría que hacer otra redirección en ese router para mandar las
    • conexiones al WAN IP de nuestro server.Si se quiere redireccionar el puerto 80, entonces va a ser necesariodeshabilitar o cambiar el puerto 80 de MikroTik, ya que este lo utilizapara webfig, o webbox, o sencillamente deshabilitarlo. Para cambiarloo deshabilitarlo, en IP -> Services.Si por ejemplo tuvieramos un RB750 balanceando variaslineas de internet, y un RB450G administrador manejando alos clientes, para dedicar todos los puertos de una linea al RBadministrador.En el RB750:Código:/ip firewall natadd chain=dstnat in-interface=pppoe-out3 action=dst-natto-address=192.168.5.2Como pueden ver, es mucho más genérico, en este caso leestamos diciendo al RB750, que todo tenga destino pppoe-out3, que lo envie al IP 192.168.5.2, obviamente este IP esWAN IP de nuestro RB450G administrador. Luego de esto, sepueden hacer has redirecciones pertinentes a los clientes delRB450G.Importante:Si tenemos algún tipo de seguridad en nuestra red, yqueremos acceder a un AP, entonces será necesario darlepermiso al AP al que querramos entrar, ya que obviamente vaa necesitar internet.Activar "IP NAT Loopback" en MikroTik para DoTA(Warcraft III)
    • Los que utilizamos los routers Zyxel y otros routers confirmware algo avanzados, sabremos que activar el IP NATLoopback ayudará poder hostear un juego en Battle.net alque nuestros compañeros de red, LAN, cabina de internet,etc. puedan ingresar sin ningún problema.Suponiendo que:Red local: 192.168.1.0/24Puerta de enlace o LAN IP: 192.168.1.1IP pública o WAN IP: 200.100.50.25PC01: 192.168.1.2 port: 6112PC02: 192.168.1.3 port: 6113Enmascarado de red.Código:/ip firewall natadd action=masquerade comment="Enmascarado de red local"chain=srcnat disabled=no src-address=192.168.1.0/24Port Forwarding ó Redirección de Puertos (mal llamado"Abrir Puertos")Código:/ip firewall natadd chain=dstnat comment="Redirección para PC01 puerto6112" disabled=no dst-address=200.100.50.25 dst-port=6112 protocol=tcp action=dst-nat to-addresses=192.168.1.2 to-ports=6112add chain=dstnat comment="Redirección para PC02 puerto6113" disabled=no dst-address=200.100.50.25 dst-port=6113 protocol=tcp action=dst-nat to-addresses=192.168.1.3 to-ports=6113
    • El lío estaría con la IP dinámica, que tendríamos queactualizar este IP en las reglas cada vez que cambie, o ya coningenio crear un script que lo actualice cuando esto pase.Completando el loopback (Opcional)Con el código de arriba ya debería de estar funcionando, peroya como opcional, y para completar el loopback, se tendríaque colocar el siguiente código:Código:/ip firewall natadd chain=srcnat comment="Loopback PC01 puerto 6112"disabled=no dst-address=192.168.1.2 dst-port=6112protocol=tcp action=src-nat to-addresses=192.168.1.1 to-ports=6112add chain=srcnat comment="Loopback PC02 puerto 6113"disabled=no dst-address=192.168.1.3 dst-port=6113protocol=tcp action=src-nat to-addresses=192.168.1.1 to-ports=6113Cambiar el logo de Google con MikroTik WebProxyBueno, esta es una de los trucos más interesantes quepodemos hacer con MikroTik WebProxy, ya que si llegamos aentender el procedimiento, podemos hacer muchas cosasaparte de "cambiar el logo de google" como por ejemplo,bloquear publicidad, bloquear banners, etc.Para esta guía en específico será necesario utilizar ennavegador Firefox ya que este nos permite analizar las rutasde las imágenes, y ya si se pone difícil, pueden utilizar unaddon llamado Firebug que puede destripar, casi literalmente,toda una página.1. Obteniendo la ruta de la imagen (logo de google).Entonces abrimos Firefox y vamos a http://www.google.com,
    • colocamos el puntero del mouse sobre el logo de google,hacemos click derecho y seleccionamos "Ver imagen defondo"Una vez hecho esto, veremos una página nueva donde sóloaparecerá el logo de google, y en la barra de direcciones,justo lo que necesitamos, la ruta de la imagen.
    • Entonces anotamos la ruta que nos da, que en este caso esCódigo:http://www.google.com/images/logos/ps_logo2.pngOpcional: Utilizando FireBug.El objetivo es el mismo pero utilizando un medio diferentepara hacerlo, una vez instalado FireBug, sencillamente secoloca el puntero sobre el logo de google, click derecho, yseleccionamos "Inspeccionar elemento"; así aparecerá unabarra en la parte inferior del navegador donde nos mostraráel código de la parte seleccionada de la página.
    • En este caso nos dió sólo el path, ya que la imagen seencuentra hosteada en el mismo servidor:Código:/images/logos/ps_logo2.pngNota Importante: Tengan en cuenta que la ruta del logo degoogle puede variar dependiendo de la ubicacion, e inclusiveel día, así que la ruta que están viendo ahora sólo es válidaen MI caso, por eso cada uno debería de sacar su propia ruta.2. Preparando el nuevo logoBueno, ya tenemos la ruta de la imagen (logo de google)ahora sólo falta hacer la redirección a nuestro nuevo logo.Pero... ¿cuál nuevo logo? Obviamente ese nuevo logo lotenemos que diseñar, de preferencia que tenga las mismasproporciones que el logo original (para mi caso, es 364px x126px), esto para no deformar la página de google. Estenuevo logo tiene que estar hosteado en un servidorcualquiera, pero que nos pueda entregar la ruta de la imagendirectamente.En este caso lo subí a un hosting de imágenesgratuito TinyPic, aunque la verdad recomiendo mása Imagehack, este último estaba teniendo problemas enciertas zonas, así que si te sale una rana con Imagehack,utiliza TinyPic u otro hosting de imágenes.Esta es la ruta del nuevo logo que subí a TinyPic.Código:
    • http://i56.tinypic.com/4twrpk.png3. Haciendo la redirección con MikroTik Webproxy.Obviamente nuestro WebProxy debe de estar ya configuradoy funcionando. Si estamos utilizando ThunderCache en modoParalelo, entonces necesariamente tendremos que pasarlo amodo Parent Proxy siguiendo esta guía.Entonces vamos a IP -> WebProxy -> pestaña AccessList y abrimos una nueva regla ( + )Src. Address, si especificamos el IP de un cliente, entoncesesta regla sólo tendrá efecto sobre ese cliente, ahora como noespecificamos IP alguno, entonces la regla será válida para
    • todos.Dst. Host, es el nombre de dominio, aquí podríamos habercolocado www.google.com para hacer más específica laredirección.Path, viene a ser toda la ruta que va luego de dominio, eneste caso es la ruta del logo de google es estecaso: /images/logos/ps_logo2.pngAction, ¿Cuál será la acción cuando WebProxy encuentre loque definimos en Dst. Host y/o Path o inclusive Src. Address?En este caso será deny, que sería Bloquear.Redirect To, se activa únicamente cuando hacemos deny(cuando se bloquee algo) y redireccionará al destino queindiquemos ahí.Para hacernos una idea sobre Dst. Host y Pathhttp://host/pathhttp://www.google.com/images/logos/ps_logo2.pngEntonces, según esta regla, WebProxy esperará a que llegueel path: /images/logos/ps_logo2.png para bloquearlo, y luegoredireccionarlo ahttp://i56.tinypic.com/4twrpk.pngUna vez hecho esto, veremos los resultados luego de que
    • recarguemos un par de veces la página www.google.comManual: Tools -> Torch (detalles de consumo deusuarios)Los conceptos basicos y en idioma ingles sabemos que loencontramos en el wiki de mikrotik; me limitaré a alcanzarlealgo pequeño con imagenes y totalmente práctico.La herramienta torch lo utilizo para ubicar puertos e Ips queutilizan los juegos nuevos (que luego de ubicados los utilizoen el QoS), con esta herramienta sabemos cuanto consumecada juegos y nos ayudaria a proyectar el ancho de bandanecesario por cada user.A traves de esta herramienta podriamos visualizar algunas IPsde páginas pornograficas y como es politica de los colegios losbloqueariamos por "IP -> Firewall".En resumen con esta herramienta monitoreamos todo losmovimientos de cierto usuario identificado con su IP.
    • El Ingreso :Código:Tools / torchimagen1.- aqui adjunto la primera imagen donde se muestrala secuencia y detallesLugar : Cabinas de InternetRed local : 192.168.10.xEquipo12 : 192.168.10.12Resumen : Se observa que el cliente de la maquina 12 estajugando rakion, pero a traves del torch apreciamos que elJuego Rakion tiene la IP 190.238.197.33 utilizando el puerto10329 y con protocolo 17 (udp), asimismo su consumo deancho de banda es 37/59 kbps.
    • imagen 2: lineas anteriores explique como deberiainterpretarse, solo indico que esto es una prueba al equipo 13con el juego maple europeo.
    • imagen 3.- Por ultimo dejo la prueba hecha al juego Wow
    • Como pueden ver, con esta herramienta ningun movimientose nos escapaTotal de tráfico consumido y sesiones NATBueno, en realidad esto es algo bastante simple de ver conMikoTik, pero al paracer muchos no se hacen idea de cómo.Para ver el tráfico, simplemente se hace revisando el tráficoen la interfaz pppoe-outx o WAN en:(1)Interfaces -> (3)pppoe ó WAN -> (4)pestaña Traffic, yveremos el tráfico que hemos hecho durante todo el tiempoque el servidor o RB ha estado encendido. El tiempoencendido lo ven en System -> (6)Resources.
    • En este ejemplo he desconectado una de mis lineas delbalanceo para intentar sacar estadísticas del consumo deancho de banda de mi red en una sola linea (3MB), Podránnotar, en 5 días y 13horas, he consumido 38.1GB:Las sesiones NAT sería con respecto a telefonica y nodirectamente a nuestro server, por esa razón, sólo tendríamosque hacer un torch a pppoe-outx o al WAN de nuestro server.(1)Interfaces -> (2)seleccionar pppoe-outx o WAN -> clickderecho y seleccionar "torch"
    • El plan es no quedarse estancados en más de 200conexiones:Ya iré viendo la manera de hacer la config lo mejor posible,sin asesinar el performance en la navegación.Balanceo de 3 wan con un RB 750G con PCCSaludos, despues de buscar buscar... buscar hice un balanceoalgo tosco pero funcional con 3 Wan en mi caso 2 de unamisma operadora y la tercera de otra operadora (2 de cantv y1 de inter, en venezuela) en fin el codigo es basado en el
    • famoso balanceo en PCCles ire indicando el codigo paso a paso...primero deben tener ya la configuracion basica de su mk, enmi caso el balanceo va con 3 WAN y 1 Local en Ip adress soloconfiguro la direccion de la local 192.168.2.0/24 las de laswan por ser dinamicas las colocara automaticamente,cualquier duda solo pregunten, seguimos...lo siguiente es configurar los mangle y el nat, primero elmangleCódigo:/ip firewall mangleadd action=mark-connection chain=prerouting disabled=nodst-address-type=!local in-interface=local new-connection-mark=wan2_pcc_connpassthrough=yes per-connection-classifier=both-addresses:3/0
    • add action=mark-connection chain=prerouting disabled=nodst-address-type=!local in-interface=local new-connection-mark=wan1_pcc_connpassthrough=yes per-connection-classifier=both-addresses:3/1add action=mark-connection chain=prerouting disabled=nodst-address-type=!local in-interface=local new-connection-mark=wan3_pcc_connpassthrough=yes per-connection-classifier=both-addresses:3/2add action=mark-routing chain=prerouting connection-mark=wan1_pcc_conn disabled=no in-interface=local new-routing-mark=wan1passthrough=yesadd action=mark-routing chain=prerouting connection-mark=wan2_pcc_conn disabled=no in-interface=local new-routing-mark=wan2passthrough=yesadd action=mark-routing chain=prerouting connection-mark=wan3_pcc_conn disabled=no in-interface=local new-routing-mark=wan3passthrough=yesquedaria algo asi...
    • luego el NATCódigo:/ip firewall natadd action=masquerade chain=srcnat disabled=no out-interface=wan1add action=masquerade chain=srcnat disabled=no out-interface=wan2add action=masquerade chain=srcnat disabled=no out-interface=wan3que quedaria algo asi...ahora, agrega los DHCP CLIENT de cada una de tus WAN
    • ok teniendo ya esto vamos a las ip Route, alli agregaras elsiguiente codigo OJO debes cambiar las direcciones quecorrespondan con cada una de tus WAN, alli debes colocar lasgateway de cada una no su IPCódigo:/ip routeadd check-gateway=ping disabled=no distance=1 dst-address=0.0.0.0/0 gateway= 190.207.160.1 routing-mark=wan1 scope=30 target-scope=10add check-gateway=ping disabled=no distance=1 dst-address=0.0.0.0/0 gateway= 192.168.1.1 routing-mark=wan2 scope=30 target-scope=10add disabled=no distance=1 dst-address=0.0.0.0/0gateway=200.8.25.1 routing-mark=wan3 scope=30 target-scope=10add disabled=no distance=1 dst-address=0.0.0.0/0gateway=255.255.255.0 scope=30 target-scope=10quedaria algo asi....
    • Aca un video del codigo funcionando (trabaja con 2 ips fijas y1 dinamica)nota adicional sobre la distancia de las routes:Las distancias se los dejo a criterio yo las coloque en uno (1)todas ya queda a criterio personal como las quieran colocar,aca les dejo la explicacion por Ryo sobre esoExplicacion rapida por RyoLinea1: 512k -> distance: 1 -> 20% conexionesLinea2: 1M -> distance: 2 -> 30% conexionesLinea3: 2MB -> distance: 3 -> 50% conexionesImagina que se cae la linea2, entonces qué va a pasar? sitienes failover, pues toda la carga, que sería el 30% de lasconexiones, se irían a la ruta de menor distancia, en este casosería a la Linea1.Entonces, si acomodas las distancias de acuerdo a la relación"mayor velocidad - menor distancia" estás asegurando ciertaestabilidad en caso de falla.)
    • una vez hecho esto usa un gestor de descargas puede ser eldownload accelerator y metele carga para que veas comotrabaja en el winbox, a mi me anda al pelo, si alguna de laswan no te esta dando kb revisa que el gateway de esa wansea igual al que colocaste en el Ip -> Route, cualquier dudapregunten espero les sea de ayuda....Que es el PingPing es una utilidad diagnóstica en redes decomputadoras que comprueba el estado dela conexión del host local con uno o varios equipos remotospor medio del envío de paquetes ICMP de solicitud yde respuesta. Mediante esta utilidad puede diagnosticarse elestado, velocidad y calidad de una red determinada.Ejecutando Ping de solicitud, el Host local envía unmensaje ICMP, incrustado en un paquete IP. Elmensaje ICMP de solicitud incluye, además del tipo demensaje y el código del mismo, un número identificador y unasecuencia de números, de 32 bits, que deberán coincidir conel mensaje ICMP de respuesta; además de un espacioopcional para datos.Muchas veces se utiliza para medir la latencia o tiempo quetardan en comunicarse dos puntos remotos, y por ello, seutiliza el término PING para referirse allag o latencia de laconexión en los juegos en red.Conseguir buen enlace WiFi : Manual para conseguir unbuen enlace WiFi y explicación-Manual para conseguir un buen enlace WiFi y explicación delos distintos conceptos clave¿Qué parámetro es el correcto para conseguir un buen enlaceWiFI?
    • Seguro que si te haces esta pregunta es porque ya no sabesque hacer con los cortes e inestabilidad wifi después de quehas gastado dinero en antenas nuevas, amplificadoresadicionales y trucos milagrosos que se explican por ahí,vamos a clarificar algunos conceptos:Lo que vamos a hablar en el siguiente artículo es paradentro de los hogares, y no en superficies abiertas.¿Que parámetro es importante para obtener un buenenlace wifi?El parámetro más importante es el RSSI. El RSSI es elindicador de la energía integral de la señal de radio queestamos recibiendo, no indica la calidad, sólo la intensidad.Si el valor del RSSI no es correcto para establecer el enlace,el router receptor de la señal no dará la confirmación al routeremisor (CTS, Clear to Send) y es por esto por lo que no seestablece la conexión.El RSSI se mide en la etapa de frecuencia intermedia (IF) delreceptor wireless. Depende del fabricante del chip wireless derouter nos muestra unos valores diferentes.¿Como interpretar el valor del RSSI?- En un router Linksys. Cuanto menor es el número negativomejor es el enlace. (rango de Linksys; -0 a -99) FirmwareDD-WRT= Signal, firmware Tomato= RSSI.- En un router Cisco. Cuanto mayor el es número mostradomejor es el enlace. (rango de Cisco; 0 a 101).- En un router con chip Atheros. Cuanto mayor es el númeromostrado mejor es el enlace. (rango de Atheros; 0 a 60).Valores de referencia del RSSI
    • Tomando en cuenta la indicación anterior:Router Linksys.Valores por encima de un -70 = No vamos a conectar y si lohacemos será con caídas constantes.Valores por encima de un -50 = Caídas aleatorias.Valores por encima de un -40 = Conexión aceptable peropodemos esperar perdida de paquetes.Valores por encima de un -30= Conexión buena.Valores por debajo de -27 = Conexión excelente máximavelocidad de transferencia.Esto mismo lo podemos aplicar a la inversa (por encima de 70en un router Cisco o por encima de 30 en routers con chip wifiAtheros; conexión excelente… por debajo de 27 (Cisco) o 15(Atheros) posiblemente no conectemos) a los routers quemuestran estos resultados en números positivos.Relación Señal/Ruido de la señal WirelessUn nivel de ruido de -98dB no es malo ni bueno, tododepende del ruido eléctrico del lugar en donde tengas elrouter (RSSI) y de las redes WIFI que estén alrededor tuyo.Es decir, tu llevas un nível de -98dB en canal 10 donde tienesa la tribu de vecinos y la estructura del edificio donde vives esde cristal y acero y te muestra un valor de RSSI de -90 en unrouter Linksys.. mejor apaga y vámonos. Se supone en todoslos casos que una relación señal/ruido de -98db lleva parejoun buen RSSI, sin embargo puede ocurrir que reflexiones dela señal radio muestren cifras de RSSI desconsoladoras.Calidad del wirelessNo es más que el indicador resultante de la operaciónaritmetica resultante entre el RSSI y la relación señal/ruido.Tiene un peso muy importante en el resultado el RSSI, conmenor relación señal/ruido (menos potencia de salida) y
    • mejor RSSI se obtienen indicadores de mayor calidad delenlace.. id haciendo pruebas y reducid la potencia de salida,cuantas menos reflexiones se incrementa el RSSI, bajará larelación señal/ruido pero incrementará la calidad del enlace (olo que es lo mismo, subirá la velocidad de sincronización y seperderán menos paquetes).Potencia de transmisión (Solo para enlaces en elexterior)Permite una mayor velocidad de transmisión, nunca unamejor cobertura. La cobertura de las señales en la banda de2,4Ghz están determinadas por el factor de atenuación deesta frecuencia en el aire, por mucha potencia que le des lafrecuencia caerá al suelo a una distancia determinada por elfactor de atenuación de la misma en el aire. Si buscastransmitir a distancias lejanas debes situar los puntos deemisión recepción a diferentes alturas que permitan una lentede fresnel correcta sin tocar el suelo.Guia de inicio para un rendimiento correcto del WIFI.- No por mayor potencia vas a conseguir mayor alcance omayor velocidad de transmisión, intenta comenzar conpotencias de salida bajas (10-15mW) para conseguir un RSSIbueno gracias a menores reflexiones de la señal en tu casa,perderás menos paquetes.- Busca canales libres. Usa la función de búsqueda de redesde tu router y mira que canales quedan libres, utilízalos paratu conexión y si es posible…- Comienza con canales bajos, tendrán mayor atenuación pormateriales tales como vidrio y aceros, sin embargo quedaránpoco atenuados por materiales tales como hormigón, yeso..(materiales blandos). Es lo que se llama la lambda o longitudde onda.- Si la antena de tu wifi es omnidireccional no coloques elequipo al lado de una pared, intenta separarlo al máximo paraque la radiofrecuencia se disperse en todos los sentidos. Si no
    • tienes más remedio usa una lámina de papel de aluminio enla pared, al menos algo rebotará.- Usa una encriptación débil si no hay vecinos, por ejemplo através de la MAC, esto mejora en mucho la estabilidad derecepción.- Una WIFI a 11MB (modo B) tiene un ancho de banda debajada de unos 880kB/seg, a 54mB/seg tienes un ancho deunos 4.2mB/seg.. si lo usas para Internet sólo vas sobrado,otra historia es que lo uses para pasar archivos de un PC aotro en la misma red, en este caso olvida el wireless y usacable o un disco USB externo si el volumen de datos espesado.En resumen- El RSSI es muy importante. La cobertura de una reddomestica depende del RSSI, no de la potencia de salida deantena.- Ubica el router alejado de paredes si usas antenaonmidireccional.- Si no tienes espacio usa un reflector en la pared, papel dealuminio.- Busca canales libres. Se aconsejan siempre el 3,7,10 porestar alejados de armónicos en el hogar tales como TV SAT,Microondas…- Encripta lo necesario, sin pasarse.- Usa modulación B en lugar de G , no hay tanta diferencia siel enlace lo vas a usar para Internet.- Usa repetidores de señal (un router wireless que guardas derecambio te puede servir para un WDS con el Linksys).- Si para obtener una buena señal has de subir la potencia porencima de 40mW en el interior de tu casa algo falla, conmayor potencia existen riesgos que todavía se estánestudiando en la influencia en partes blandas del cuerpohumano, no te pases con la potencia. Solo se debeincrementar para enlaces con antenas externas.Y lo más importante, cada casa, piso, apartamento es
    • diferente, cada WIFI es una historia diferente, prueba por timismo. Lo que a uno le ha ido bien a ti puede que no te rindaigual.