Cmo instalar MikroTik RouterOS desde Cero Bueno, esta gua va dedicada a los que me piden instrucciones de cmo instalar su MikroTik para que luego sea licenciado y configurado.

En primer lugar, es necesario descargar el ISO de MikroTik, en este caso ser la versin 4.16 que la pueden descargar directamente desde mikrotik.com, o siguiendo este link. Claro, tambin est mi seccin descargas donde slo colocar las versiones de MikroTik que considere estables.

Una vez que se tenga el ISO hay grabarlo en un CD, el programa para hacerlo ya es a gusto de cada uno, que puede ser Nero, CDBurnerXP (Bueno, Bonito y... Gratis! Lo recomiendo), etc.

Paso siguiente es configurar el PC para que inicie del CD, si es que no est configurado as. Este paso no necesita mucha explicacin ya que es lo mismo que se hace cuando se va a instalar cualquier sistema operativo, por ejemplo Windows XP.

Una vez que el CD inicie mostrar una pantalla para elegir qu paquetes instalar.

Con las teclas direccionales nos colocaremos encima del paquete que queremos instalar, y con ayuda de la barra espaciadora los seleccionaremos. Los paquetes que estn seleccionados en la imagen son los que suelo instalar en los servidores que vendo, inclusive para el nivel 'novato' puede ser prescindible el paquete routing, security y wireless (si es que no se va a instalar una tarjeta wireless para hacer trabajar al server como AP).

Una vez que los paquetes estn selecionados, presionaremos la tecla 'i' para empezar con la instalacin de MikroTik RouterOS en el disco duro.

En el proceso nos aparecern los siguientes mensajes:Do you want to keep old configuration? [y/n]:

Desea mantener la configuracin anterior? Presionamos la tecla 'n' ya que no tenemos una configuracin anterior que mantener.Warning: all data in the disk will be erased! Continue? [y/n]:

Advertencia: todos los datos en el disco sern eliminados! Continuar? Presionamos la tecla 'y' para que empiece a particionar y formatear el disco o unidad de almacenamiento. El proceso puede demorar dependiendo de la capacidad del disco que se haya elegido para hacer la instalacin.

Una vez que el disco duro est particionado y formateado, los paquetes seleccionados se instalarn automticamente y al finalizar tedremos el mensaje:Software installed Press ENTER to reboot

Software instaladoPresione ENTER para reiniciar Ya en este punto hay que retirar el CD de instalacin y presionar la tecla 'enter' para que el PC reinicie y el sistema cargue directamente del disco duro.

Tendremos este mensaje:It is recomended to check your disk drive for errors, but it may take a while (~1min for 1Gb).It can be done later with "/system check-disk". Do you want to do it now? [y/N]

Es recomendable comprobar que su unidad de disco est libre de errores,pero puede tomar algn tiempo (~1min para 1Gb).puede hacerse ms tarce con "/sistem check-disk".Quiere hacerlo ahora? presionaremos la tecla 'n' para evitar la comprobacin de disco.

Una vez hecho esto tendremos la clsica pantalla de login de MikroTik.

El usuario login y password por defecto son:Login: adminPassword: Bueno, creo que se sobreentiende que no tiene password alguno, as que aqu lo dejamos vaco. Presionamos enter para terminar de loguearnos.

Una vez logueados veremos una notificacin del servidor que nos dice que nuestro sistema no tiene licencia, y que tenemos menos de 24 horas para probarlo...

Claro, tenemos menos de 24 horas para colocarle la licencia, o simplemente nuestro sistema expirar (no permitir acceso alguno, empezarn a sonar muchos 'beeps' y se apagar automticamente) lo que inutilizara su uso y posterior licenciamiento. Si esto llegara a ocurrir, no queda otra que volver a reinstalar el sistema siguiendo los pasos de esta gua desde el inicio.

Es bastante recomendable verificar que MikroTik RouterOS haya reconocido absolutamente todas nuestras tarjetas de red, inclusive las wireless, si es que hubisemos instalado alguna, para eso escribimos el siguiente comando en la consola y luego presionaremos 'enter': Cdigo:/interface print

La imagen muestra que MikroTik ha reconocido 2 tarjetas de red en nuestro PC, que es justamente el total de tarjetas de red que tiene el PC en este momento. Si tuviesemos ms tarjetas de red, entonces tendran que aparecer en la lista. Si fuera una tarjeta wireless, el nombre por defecto de este tipo de tarjetas es wlan1.

Nota: MikroTik RouterOS slo reconocer las tarjetas wireless que utilicen chipset Atheros.

Si no apareciera el total de tarjetas instaladas en el PC server, esto se debe casi siempre a: Tarjeta de red daada. Conectores de la tarjeta sucios, o inclusive puede ser suciedad en el mismo slot PCI. La placa madre, por antiguedad, limitacin de diseo o chipset, no puede soportar determinada cantidad, marcas, modelos de tarjetas. Esto suele suceder con las tarjetas wireless en placas antiguas, inclusive problemas de IRQ. La tarjeta es un modelo bastante nuevo, o raro, que MikroTik no puede reconocerla. etc.Tengan en cuenta que no existen drivers para MikroTik RouterOS que se puedan descargar e instalar. Absolutamente todos los drivers vienen dentro de los paquetes de Mikrotik que instalamos previamente, as que no se dejen engaar por 'estafadores' que dicen tener drivers para todas las placas y tarjetas.

Con esto ya se tiene el Sistema Operativo MikroTik RouterOS instalado en el PC servidor, ahora slo falta licenciar el software y empezar la configuracin.

Primer Paso: Conectarse al Servidor MikroTik desde WinboxCmo licenciar MikroTik RouterOS por primera vez

Primer Paso: Conectarse al Servidor MikroTik desde Winbox Bueno, luego de la instalacin de MikroTik RouterOS tenemos que aprender a conectarnos al servidor. Si bien hay muchas formas de hacerlo, la mayora son para hacerlo en modo consola, es decir, lnea de comandos no muy amigables al usuario que recin se inicia.

Winbox es el mtodo ms amigable para conectarnos al servidor, ya que podremos conectarnos al servidor desde cualquier PC con windows, y lo mejor de todo, con las ventanas que tanto gustan y que adems nos hacen la vida ms fcil.

Para empezar, es necesario tener winbox a la mano, como mencion en el prrafo anterior, winbox es la utilidad que nos permite comunicarnos con nuestro servidor desde cualquier PC con windows. Lo pueden descargar desde mi pgina de descargas, o desde mikrotik.com.

Al ejecutarlo, veremos una ventana como esta:

Una vez abierto, hay que presionar el botn con puntos suspensivos (...) para poder escanear los dispositivos que tengan instalado MikroTik RouterOS en la red, en este caso, la imagen muestra slo un dispositivo, que es el servidor que instalamos previamente.

Como es una nueva instalacin, esta no cuenta an con un IP, as que nos conectaremos por MAC, para eso seleccionaremos la MAC tal como nos muestra la imagen.

Una vez que se haya colocado la MAC en el cuadro Connect To es hora de presionar el botn Connect para establecer conexin con nuestro servidor.

Cuando es la primera vez que nos conectamos al servidor, winbox descarga los mdulos necesarios para mostranos todas las caractersticas del servidor.

Algunas veces y por distintos motivos, esta descarga de mdulos puede llegar a fallar, por lo que se debera repetir la operacin una vez ms hasta que logre establecer la correcta comunicacin entre winbox y el servidor. Tengan en cuenta que conectarse por MAC no es tan estable como conectarse por IP, as que luego del licenciamiento, y cuando el servidor tenga la respectiva configuracin, se debera de dar preferencia a la conexin por IP.

Cuando la conexin est establecida, deberamos de tener la ventana principal de winbox lista para licenciar el software, configurar, administrar y monitorizar a nuestros clientes, etc.

Nota: Si no se puede llevar a cabo la conexin entre winbox y el servidor a punto tal que no aparezca la MAC en el escaneo de dispositivos MikroTik, esta puede deberse a una falla de la tarjeta de red, cable de red en mal estado, un firewall activado, un antivirus agresivo, virus de red, etc. as que habra que dar con el problema para poder conectarnos apropiadamente.

Nota 2: Si se tiene un RouterBOARD RB, este vendr con una preconfiguracin algo molesta, donde el ether1 siempre tendr bloqueado el acceso desde el exterior, as que conctense desde el ether2 en adelante. Para eliminar esa configuracin, presionar el botn New Terminal y en la ventana que aparecer escribir:Cdigo:/system reset no-defaults=yesNos preguntar si queremos resetear, y presionamos la tecla: "Y" ; cuando el RB reinicie, este ya estar sin ninguna configuracin.

Cmo instalar MikroTik RouterOS desde CeroCmo licenciar MikroTik RouterOS por primera vez

Saludos.

Cmo licenciar MikroTik RouterOS por primera vez Una vez que el sistema est instalado, es necesario licenciar el software para quitar el lmite de 24 horas y as poder usar nuestro servidor cmodamente.

Las licencias MikroTik son de por vida, sea la licencia que sea, y si las compraron en mikrotik.com vienen con 15 a 30 das de soporte oficial via email. Si no se utiliza User Manager entonces la nica diferencia entre los level 4, 5 y 6, es la cantidad de usuarios que pueden manejar, que sera 200, 500, e ilimitados usuarios respectivamente.

Una vez conectados al servidor mediante winbox, este nos mostrar una ventana advirtindonos que nuestro servidor no tiene una licencia, y que dejar de funcionar en menos de 24 horas.

Presionamos el botn License para ir a la ventana de licencia, o tambin se puede llegar a travs de System -> License

Una vez ah, seleccionamos el Software ID (SoftID), le damos click derecho y seleccionamos Copy para tener el SoftID en el portapapeles.

Lo nico que necesitamos para poder obtener la licencia (clave de licencia) es el SoftID. Hay 2 formas de comprar licencias MikroTik, una es que la obtengamos comprndola directamente a mikrotik.com y otra es comprndola a un reseller, comprarla a este ltimo es casi siempre ms barato. En cualquiera de las 2 formas, nos tendrn que proveer la clave de licencia para 'instalarla' en nuestro servidor.

En el caso de querer comprar la licencia directamente a mikrotik.com, hay que registrarse como usuario y pedir aprobacin de nuestra tarjeta de crdito para proceder a comprar licencias directamente. Una vez aprobado, el sistema es bastante simple.

Purchase a key (Comprar una clave de licencia)

Seleccionar el level de licencia a comprar, para la mayora, al menos aqu en Per, basta con el level 4.

Colocar el SoftID que obtuvimos en System -> License, es recomendable revisarlo al menos 2 veces para no llevarse malas sorpresas, ya que una vez generada una clave de licencia de un SoftID de 8 dgitos, no hay vuelta atrs.

Elegir el Board Type, para nuestro caso, es x86 system. Ya si se quisiera actualizar una licencia para RouterBOARD, slo habra que seleccionarla.

Aqu piden la confirmacin de la compra, ya sea para pagar por tarjeta o por prepaid key. Yo dispongo de esta ltima opcin ya que tengo claves de licencia prepagadas en mi cuenta.

Luego de esta confirmacin llegar la clave de licencia al correo que se utiliz para el registro, o tambin la pueden ver directamente en all keys junto con todas las otras claves de licencia compradas.

El objetivo de todo esto es tener la clave de licencia, que es un cdigo como este:-----BEGIN MIKROTIK SOFTWARE KEY------------SS5+bR2Hs3JZSPm78pHboXRNxabp35Oq8Hr62d0v4UzbY6oTroGSJlFJZsB5hm+vGNtyA3EI7N5XYCl9NcfAHA==-----END MIKROTIK SOFTWARE KEY--------------

Nota:Se puede evitar todo este proceso engorroso si se compra la licencia a travs de un reseller, en mi caso vendo las licencias a S/.100.00 Nuevos Soles. Simplemente me tendran que proporcionar el SoftID y minutos despus mandara la clave de licencia al correo que me indiquen.

Bueno, ya tenemos la clave de licencia, ahora slo falta agregarla al servidor. Esta ya es la parte ms fcil, simplemente tenemos que "copiar y pegar" la clave de licencia al New Terminal de nuestro winbox.

Seleccionamos toda la clave de licencencia y luego hacemos click derecho -> copiar. Ya dentro de winbox vamos a New Terminal, y nos saldr el aviso que nos indica la falta de licencia, presionamos 'enter' para continuar.

Simplemente toca pegar la clave de licencia haciendo click derecho -> Paste

Una vez que la clave de licencia est pegada, presionamos enter y nos saldr el siguiente mensaje:You must reboot before new key takes effect. Reboot? [y/N]

Debe de reiniciar el sistema para que la clave tome efecto. Reiniciar? Presionamos la tecla 'y' para que valide nuestra licencia.

Ya luego de esto, cuando nos conectemos al servidor, no tendremos ms avisos de falta de licencia. De esta manera nuestro servidor estar debidamente licenciado y listo para proceder con las configuraciones que deseemos.

Puntos a tomar en cuenta: El SoftID es un cdigo nico que se genera a partir del N de serie y dems caractersticas nicas del disco duro, por lo tanto, no es posible clonar el disco duro para poder utilizar la misma clave de licencia, ya que el SoftID cambiara de un disco a otro. La licencia (clave de licencia) se guarda en una particin especial en el disco duro, por lo tanto, si se modifica o se borra tal particin, perderamos irremediablemente la licencia. Si se llegara a daar la instalacin y se necesitara volver a instalar el sistema, esto se tendra que hacer nicamente con el CD instalador de MikroTik o por NetInstall, ya que estos no tocan la particin de la licencia al momento de particionar, formatear y volver a instalar el sistema. Si el disco duro que contiene la licencia se llegara a daar, no hay manera de recuperar la licencia, as que el procedimiento normal es comprar una nueva licencia.Cmo instalar MikroTik RouterOS desde CeroPrimer Paso: Conectarse al Servidor MikroTik desde Winbox

Saludos.Bases Generales y cmo entender las Guas Es muy bueno conocer ciertas cosas bsicas acerca de MikroTik, esto a que en mis siguientes manuales los har dando por hecho que el lector ya las conoce.

Opciones Generales WinBox:

Cuando entremos a Winbox y nos conectemos al servidor, veremos una ventana con mens, tal como esta imagen.

1. Botn Deshacer y Rehacer, tal como si utilizaramos Word, si llegaramos a borrar o modificar una regla accidentalmente, podemos utilizar el botn "deshacer" para revertir el cambio realizado, tiene una buena memoria as que podemos revertir los cambios de toda nuestra sesin en WinBox, del mismo modo con el botn rehacer, salvo que este ltimo hace todo lo contrario.

2. Hide Passwords, cuando esta opcin est marcada, ocultar todos los passwords de nuestro sistema con asteriscos (********); por ejemplo, los passwords de los clientes PPP, Hotspot, acceso al sistema, etc.

3. Men Lateral y 4. Submen, son el conjunto de opciones que cuenta WinBox para hacer la configuracin o el monitoreo, algunas de esas opciones tambin cuentan con submens.

Haciendo un resumen de estos mens, tienemos a:

Intefaces, donde nos mostrar todas las tarjetas conectadas al servidor, incluyendo las tarjetas wireless, interfaces virtuales como pppoe-client, vLAN, vAP, etc. nos mostrar tambin, casi en tiempo real, el trfico que est pasando por estas interfaces.

Wireless, si tuvieramos conectado una tarjeta wireless con chipset atheros, tendriamos la opcin wireless para configurar esa tarjeta como un access point, cliente wireless, escanear redes, ver el estado de utilizacin de un canal, ver los clientes conectados a esta tarjeta, su estado, etc.

IP, aqu encontraremos un submen con todas las opciones que hagan referencia a IP como por ejemplo:

Addresses, donde asignaremos IP's a las interfaces de red. Firewall, donde entraremos opciones para bloqueo de IP's, puertos, NAT, marcado de paquetes, etc. Hotspot, para configurar un hotspot server, y que nuestros clientes tengan acceso a internet mediante un usuario y clave. Routes, para asignar polticas de routeo. Webproxy, donde configuraremos el webcache de MikroTik, bloqueo de pginas, etc. etc.System, encontraremos opciones relativas al sistema, como por ejemplo: Clock, aqu podremos configurar la hora en nuestro servidor. License, podremos ver el estado de nuestra licencia de uso de MikroTik RouterOS, as como el SoftID para el posterior licenciamiento. Password, donde colocaremos una contrasea para asegurar el acceso a nuestro servidor. Reboot, para reiniciar el servidor. Resources, aqu aparecer el estado fsico del servidor como, la cantidad de memoria que tenemos, memoria libre, tipo de procesador, velocidad del procesador, espacio del disco duro, espacio libre, tiempo que lleva el servidor encendido, etc. Shutdown, para apagar el servidor. etc.

Queues, aqu podremos encontrar opciones para poder limitar la velocidad de nuestros clientes, asignar lmites globales de velocidad, priorizacin de servicios, etc.

Files, veremos el direcctorio principal de MikroTik, donde podremos crear backups de nuestra configuracin y tambin restaurarlos, adems de poder ver los archivos "log", la carpeta donde se almacena el portal cautivo de hotspot.

Tools, encontraremos herramientas generales de MikroTik, como ping, torch (para escanear conexiones), etc.

New Terminal, que es la consola MikroTik, donde podremos acceder a todas las opciones y configurarlas por lnea de comandos, es lo ms prctico cuando se trata de muchas configuraciones, ya que podemos "pegar" listas de comandos para evitar todo el trabajoso proceso de hacer una configuracin regla por regla.

Pestaas, Opciones de Ventana y Columnas.

Adems de los Mens y Submens, tambin encontraremos pestaas entra las opciones de MikroTik:

Dependiendo del tamao de la ventana que utilicemos, o inclusive el tamao y resolucin de nuestro monitor, podramos tener 'pestaas ocultas', como por ejemplo en la imagen de arriba, donde la pestaa cookies est completamente oculta, as que se debera usar el botn (...) para poder acceder a esa pesetaa.En esta ventana tambin tendremos opciones para poder agregar, eliminar, habilitar y deshabilitar reglas:

(+) Agregar Regla, atajo de teclado: (A)dd. () Remover Regla, atajo de teclado: (R)emove.() Habilitar Regla, atajo de teclado: (E)nable.(x) Deshabilitar Regla, atajo de teclado: (D)isable.

Al igual que con el Explorador de Windows, nosotros podemos ordenar las reglas con la ayuda de las columnas:

Si por ejemplo, presionamos el botn de columna: #, las reglas se ordenarn numricamente, si presionamos el botn de columna: Name, entonces las reglas se ordenarn alfabticamente, etc.

Podemos ver las columnas disponibles y agregarlas a lo que necesitemos:

[Tutorial] Instalacin ThunderCache 7.1 paralelo a MikroTik[Tutorial] Compendio de manuales MikroTik[Tutorial] Subir imgenes y publicarlas en el foro[Consejo] Utiliza el Search del foro para buscar temas de tu inters[Mensajera] MP's slo para servicios pagados, utiliza el foro pblicoEntendiendo los manuales.

Muchas de mis guas sern bastante simples ya que las explicar con imgenes "paso a paso", pero otras sern nicamente escritas en cdigo para ser editado (a nuestra configuracin) y pegado en New Terminal. El punto de esto es explicar cmo se utiliza estas guas basadas en cdigo.

Por ejemplo, podran ver una gua con cdigo parecido a este:Cdigo:/ip firewall filteradd action=drop chain=input comment="Bloqueo webproxy externo" disabled=no dst-port=8080 in-interface=ether1 protocol=tcpCmo lo utilizamos?

En primera lugar, copiamos todo el cdigo, luego iremos a New Terminal y pegaremos el cdigo ah (click derecho, paste), quiz necesitemos presionar enter para aceptar el cdigo.

Quiz no sea tan fcil como parece ya que tendramos que editar el cdigo a nuestras necesidades, por ejemplo, en esa regla se tendra que modificar el in-interface a lo que nosotros tengamos como in-interface, quiero decir, que en la gua el in-interface es ether1, pero posiblemente nuestra in-interface sea WAN1, Speedy, Internet, etc. y no necesariamente ether1. Tengan en cuenta que estos nombres son slo eso, nombres que nosotros modificamos en Interface.

En todo caso, esta modificacin no la tendrn que advinar, ya que en la gua mencionar que in-interface debe ser modificada por el nombre de interfaz que nosotros tengamos o al lo que apuntemos. Por cierto, este cdigo sirve para bloquear todo acceso externo a nuestro webproxy, por lo que in-interface tendra que ser nuestra interfaz de red "WAN."

Ya slo como comentario y para hacerse una idea, con un poco de anlisis notarn que la primera lnea: /ip firewall filter corresponde al men de WinBox IP -> Firewall -> pestaa Filter, que en imgen sera:

De la segunda lnea, add quiere decir "Agregar nueva Regla" y todas las dems opciones de esta segunda lnea las encontraremos en la ventana que se abrir luego de presionar (+).

Bueno, el objetivo de esta gua no es mostrar cmo se usa una regla en cdigo para luego colocarla 'paso a paso' en las ventanas de winbox ... no del todo al menos.

Saludos.Reconocer y Nombrar las Tarjetas de Red conectadas al Servidor Lo primero que haremos ser reconocer las tarjetas de red que tenemos instaladas fsicamente y qu nombre tienen stas segn MikroTik. Si leyeron el manual de instalacin de MikroTik desde cero sabrn que por defecto MikroTik nombra a las tarjetas como ether1, ether2, ether3... etc. de igual manera si tuvieramos tarjetas wireless conectadas, a estas las nombra como wlan1, wlan2, wlan3... etc. Pero aun sabiendo los nombres, no sabemos a ciencia cierta qu tarjeta conectada fsicamente al servidor es ether1, ether2 o ether3, etc.

Supongamos que la imagen de abajo son las 2 tarjetas instaladas en el servidor, donde la tarjeta de arriba la llamaremos tarjeta A y la de abajo tarjeta B. Quiz nuestra lgica nos diga que la tarjeta A es ether1 y la tarjeta B es ether2, lo cual podra ser cierto, pero no necesariamente, ya que dependiendo de la placa madre, podra ser todo lo contrario, osea que la tarjeta A sea ether2, y la tarjeta B sea ether1. Si tenemos ms tarjetas conectadas, incluyendo las tarjetas integradas, posiblemente todo sea ms desordenado.

Entonces vamos al grano. Conectamos una sla tarjeta del servidor al switch general y nos entramos al servidor desde winbox. Ya en winbox vamos a Interfaces y en la pestaa interface veremos la lista de tarjetas de red reconocidas por MikroTik. Segn la imagen de abajo podemos darnos cuenta que existe un movimiento en Tx y Rx de ether1, eso quiere decir que ether1 es el nombre de esa nica tarjeta conectada al servidor. Sera bueno hacerle una marca a la tarjeta indicando su nombre para no olvidarla.

Enrutamiento manual , en redes de diferente rango Buenas amigos del foro:Mi red esta en el rango 192.168.x.x (mikrotik) y tengo una repetidora de rango 172.16.x.x en mi casa tengo un rango 10.0.x.x bueno cuando quiero entrar a la configuracin de la repetidora la cual trabaja con 2 antenas mimo y dos rocket ubiquiti. Al colocar la IP de los rocket no puedo entrar, es de suponer ya que estamos en una red de rango diferente. Ok vamos al grano a ver como lo logre. 1. 1. Precionamos en propiedades

2.Precionas en la pestaa soporte copias los datos IP, Mascara y puerta.

3.De nuevo pestaa general

4.Presionamos Protocolo de internet TCP/IP luego en propiedades.

5.colocamos la IP manual. Ojo en los DNS tambin podemos colocar los de Google 8.8.8.8 8.8.4.4

6.con esto logramos seguir en nuestra red sin perder conexin a internet, ahora viene la parte interesante EL ENRUTAMIENTO a mi repetidora.

Presionamos el botn opciones avanzadas

7. Presionamos en agregar.

8.Agregamos una nueva IP con su Mascara, en mi caso la repetidora es 17.16.1.5, los dos ltimos se coloca en 1 para no chocar con la IP de la repetidora y queda asi.

9.Presionamos agregar

Fjense como se manejan todas las redes asi sean de diferentes rangos.

10.Presionamos aceptar

11. De nuevo aceptar

Por ultimo en cerrar.

NOTA: AHORA SIMPLEMENTE COLOCO 172.16.1.5 EN CUALQUIER EXPLORADOR Y ENTRO A LA CONFIGURACION DE MI REPETIDORA SIN MOVERME DA LA CASA.

Bueno amigos espero les sirva de mucho aunque ya muchos de ustedes lo sepan recuerden que uno nunca termina de saberlo todo. Gracias

Ya es de suponer que ether2 es la tarjeta que est desconectada del servidor. Si es que se tuviera ms de 2 tarjetas conectadas se debera repetir el proceso con la siguiente tarjeta y as sucesivamente.

Una vez que sepamos a qu "ether#" corresponde cada una de las tarjetas, podemos cambiarles el nombre fcilmente haciendo doble click encima de su nombre, de la imagen de abajo, se puede ver el ejemplo. Quiz se quiera restructurar el orden de las "ether#", para que estn tambin ordenadas fsicamente, por ejemplo, tarjeta integrada como ether1, primera tarjeta independiente como ether2, etc. Ya es decisin de cada uno colocar el orden que se desee.

Muchas veces veo servidores con nombres muy diversos, o con el tpico "WAN" y "LAN", sinceramente me es algo 'fastidioso' ya el nombre tambin debera de indicar un orden en las tarjetas, as que para evitarme problemas utilizo siempre los nombres por defecto (aveces acomodados para guardar un orden) como ether1 y ether2, pero dejo un comentario para identificar a qu corresponden, tal como la imagen de abajo:

Como pueden apreciar, el nombre de la tarjeta es el mismo: ether2, salvo que utilizo el botn Comment para hacer un comentario a la regla y as poder identificarla con facilidad.

Nota: El botn Comment se puede utilizar en absolutamente todas las reglas en MikroTik, es MUY recomendable usarla, y ms si se est aprendiendo a configurar.

As tenemos las 2 tarjetas de red ya identificadas y 'nombradas' listas para proceder con la configuracin.

Saludos.Configurar WAN y LAN para conectarse a Internet desde el Servidor Luego de tanto preludio, al fin empezamos a configurar. El objetivo de esta gua es poder conectarnos a internet a travs del servidor y as poder seguir configurando; claro, tambin probaremos lo que estamos haciendo.

El esquema de la red es el siguiente:

Ya sabemos que el servidor cuenta con 2 tarjetas de red, una que ser nuestra WAN y otra que ser nuestra LAN. Slo para recalcar, ya que esto deberan de saberlo, WAN es la interfaz de red que se conectar al router y de la que nuestro servidor se conectar a internet, y LAN es la interfaz de red a la que nuestros clientes se conectarn, incluyendo nosotros ya que vendramos a ser clientes del servidor.

Tal como se ve en la imagen de arriba, se puede conectar un switch a la tarjeta LAN para as poder conectar todos los dispositivos que queramos, ya sean Access Points, PC's, Equipos VoIP, etc.

1.- Agregamos un IP a WAN (tarjeta de red WAN o interfaz de red WAN) para que nuestro servidor se puede comunicar con el router. Para eso nos vamos a IP -> Addresses y agregamos una nueva regla (+)

Address, aqu colocaremos el WAN IP del servidor, este IP tiene que estar en el mismo rango de red que la IP de nuestro router, del ejemplo, el IP es: 192.168.1.2, Quiz se estn preguntando qu quiere decir el "/24" que se encuentra al final del IP; bueno, el "/24" corresponde a a mscara de subred, en este caso quiere decir 255.255.255.0.

Interface, seleccionamos a qu interfaz de red asignaremos esta IP, en este caso elegiremos ether1, que est haciendo referencia a WAN. Esta referencia slo aparecer si hemos colocado un comentario a las "ether#" en Intefaces. Para saber ms de esto ltimo, sugiero dar lectura a esta gua.

Network y Broadcast, no es necesario configurarlas manualmente ya que al momento de colocar el "/24" en Address, estas 2 opciones se configurarn automticamente al momento de hacer click en el botn Apply u OK.

2.- Agregamos un IP a LAN (tarjeta de red LAN o interfaz de red LAN) para que podamos conectarnos al servidor. Esta IP ser nuestra nueva puerta de enlace, y tiene que ser una red diferente a WAN, por lo tanto no podr ser 192.168.1.X.

El proceso es similar al anterior, salvo que aqu utilic, como opcional, el botn Comment para dejar un comentario a la regla que acabo de crear y as poder reconocerla fcilmente.

3.- Una vez que tengamos las IP's configuradas para cada tarjeta, tocar hacer el "enmascarado", para eso vamos a IP -> Firewall -> Pestaa NAT, y agregamos una nueva regla (+)

3a.- En la ventana que se abrir, iremos a la pestaa General.

Chain, seleccionamos scrnat. Aunque siempre est as por defecto cuando se crea una nueva regla...

Out. Interface, seleccionaremos nuestra interfaz WAN, en este caso es ether1.

3b.- Pasamos a la pestaa Action.

Action, eligiremos masquerade que nos permitir enmascarar nuestras conexiones a detrs de la WAN IP, y as aislar nuestra red LAN.

En realidad existen muchas maneras de trabajar el enmascarado, aunque personalmente uso y recomiendo esta, as que no se sorprendan si ven una manera diferente de enmascaramiento en otras guas.

4.- Como cuarto y ltimo paso: hacer el ruteo a una puerta de enlace disponible, en realidad es bastante simple ya que slo hay que especificar el Gateway o puerta de enlace donde el servidor se conectar a internet, de nuestro ejemplo, la puerta de enlace para el servidor, ser la IP del router; del ejemplo, es 192.168.1.1, para eso nos vamos a IP -> Routes.

Ya en la ventana Route List, veremos que hay 2 reglas que nosotros no agregamos. Esto es normal ya que ah se agregan las rutas de las IP's que asignamos previamente a las tarjetas de red en Address List. Para agregar la puerta de enlace que usar nuestro servidor, vamos a la pestaa Routes y agregamos una nueva regla (+).

Gateway, aqu slo colocaremos la puerta de enlace del router (el IP del router), de esta manera le estamos diciendo al servidor de dnde tiene que sacar internet para repartirlo a nuestros clientes.

Como opcional, le coloqu un comentario a la regla con la ayuda del botn Comment.

Con esto la interfaz de red LAN (ether2 en este ejemplo) ya debera de tener internet si es que conectamos los cables correctamente (ver primera imagen), slo hay configurar las tarjetas de red de los clientes para para iniciar conexin. Teniendo en cuenta que nuestra nueva puerta de enlace es 192.168.10.1, entonces el cliente debera de tener esta configuracin de acuerdo a ese rango de red. Un ejemplo desde un cliente con Windows 7:

En este caso he colocado los DNS de Telefnica. Ya si utilizan DNS de otro proveedor, tendran que colocar, el que les corresponde.

Nota: Tengan en cuenta que hice esta gua siguiendo el esquema de red de la primera imgen, con las IP's que estn ah establecidas. Si se tiene una red diferente, con IP's diferentes, slo es necesario adaptarlo a sus necesidades. Por ejemplo, si se quiere usar como LAN IP (o puerta de enlace de los clientes) el 192.168.1.1, pero el router tambin es 192.168.1.1, entonces slo es necesario cambiar la IP del router a por ejemplo, 192.168.0.1, y luego seguir la gua con los valores adaptados.

SaludosConfigurar WAN y LAN para conectarse a Internet desde el Servidor Luego de tanto preludio, al fin empezamos a configurar. El objetivo de esta gua es poder conectarnos a internet a travs del servidor y as poder seguir configurando; claro, tambin probaremos lo que estamos haciendo.

El esquema de la red es el siguiente:

Ya sabemos que el servidor cuenta con 2 tarjetas de red, una que ser nuestra WAN y otra que ser nuestra LAN. Slo para recalcar, ya que esto deberan de saberlo, WAN es la interfaz de red que se conectar al router y de la que nuestro servidor se conectar a internet, y LAN es la interfaz de red a la que nuestros clientes se conectarn, incluyendo nosotros ya que vendramos a ser clientes del servidor.

Tal como se ve en la imagen de arriba, se puede conectar un switch a la tarjeta LAN para as poder conectar todos los dispositivos que queramos, ya sean Access Points, PC's, Equipos VoIP, etc.

1.- Agregamos un IP a WAN (tarjeta de red WAN o interfaz de red WAN) para que nuestro servidor se puede comunicar con el router. Para eso nos vamos a IP -> Addresses y agregamos una nueva regla (+)

Address, aqu colocaremos el WAN IP del servidor, este IP tiene que estar en el mismo rango de red que la IP de nuestro router, del ejemplo, el IP es: 192.168.1.2, Quiz se estn preguntando qu quiere decir el "/24" que se encuentra al final del IP; bueno, el "/24" corresponde a a mscara de subred, en este caso quiere decir 255.255.255.0.

Interface, seleccionamos a qu interfaz de red asignaremos esta IP, en este caso elegiremos ether1, que est haciendo referencia a WAN. Esta referencia slo aparecer si hemos colocado un comentario a las "ether#" en Intefaces. Para saber ms de esto ltimo, sugiero dar lectura a esta gua.

Network y Broadcast, no es necesario configurarlas manualmente ya que al momento de colocar el "/24" en Address, estas 2 opciones se configurarn automticamente al momento de hacer click en el botn Apply u OK.

2.- Agregamos un IP a LAN (tarjeta de red LAN o interfaz de red LAN) para que podamos conectarnos al servidor. Esta IP ser nuestra nueva puerta de enlace, y tiene que ser una red diferente a WAN, por lo tanto no podr ser 192.168.1.X.

El proceso es similar al anterior, salvo que aqu utilic, como opcional, el botn Comment para dejar un comentario a la regla que acabo de crear y as poder reconocerla fcilmente.

3.- Una vez que tengamos las IP's configuradas para cada tarjeta, tocar hacer el "enmascarado", para eso vamos a IP -> Firewall -> Pestaa NAT, y agregamos una nueva regla (+)

3a.- En la ventana que se abrir, iremos a la pestaa General.

Chain, seleccionamos scrnat. Aunque siempre est as por defecto cuando se crea una nueva regla...

Out. Interface, seleccionaremos nuestra interfaz WAN, en este caso es ether1.

3b.- Pasamos a la pestaa Action.

Action, eligiremos masquerade que nos permitir enmascarar nuestras conexiones a detrs de la WAN IP, y as aislar nuestra red LAN.

En realidad existen muchas maneras de trabajar el enmascarado, aunque personalmente uso y recomiendo esta, as que no se sorprendan si ven una manera diferente de enmascaramiento en otras guas.

4.- Como cuarto y ltimo paso: hacer el ruteo a una puerta de enlace disponible, en realidad es bastante simple ya que slo hay que especificar el Gateway o puerta de enlace donde el servidor se conectar a internet, de nuestro ejemplo, la puerta de enlace para el servidor, ser la IP del router; del ejemplo, es 192.168.1.1, para eso nos vamos a IP -> Routes.

Ya en la ventana Route List, veremos que hay 2 reglas que nosotros no agregamos. Esto es normal ya que ah se agregan las rutas de las IP's que asignamos previamente a las tarjetas de red en Address List. Para agregar la puerta de enlace que usar nuestro servidor, vamos a la pestaa Routes y agregamos una nueva regla (+).

Gateway, aqu slo colocaremos la puerta de enlace del router (el IP del router), de esta manera le estamos diciendo al servidor de dnde tiene que sacar internet para repartirlo a nuestros clientes.

Como opcional, le coloqu un comentario a la regla con la ayuda del botn Comment.

Con esto la interfaz de red LAN (ether2 en este ejemplo) ya debera de tener internet si es que conectamos los cables correctamente (ver primera imagen), slo hay configurar las tarjetas de red de los clientes para para iniciar conexin. Teniendo en cuenta que nuestra nueva puerta de enlace es 192.168.10.1, entonces el cliente debera de tener esta configuracin de acuerdo a ese rango de red. Un ejemplo desde un cliente con Windows 7:

En este caso he colocado los DNS de Telefnica. Ya si utilizan DNS de otro proveedor, tendran que colocar, el que les corresponde.

Nota: Tengan en cuenta que hice esta gua siguiendo el esquema de red de la primera imgen, con las IP's que estn ah establecidas. Si se tiene una red diferente, con IP's diferentes, slo es necesario adaptarlo a sus necesidades. Por ejemplo, si se quiere usar como LAN IP (o puerta de enlace de los clientes) el 192.168.1.1, pero el router tambin es 192.168.1.1, entonces slo es necesario cambiar la IP del router a por ejemplo, 192.168.0.1, y luego seguir la gua con los valores adaptados.

SaludosAsignar un Ancho de Banda Especfico a los Clientes A diferencia de tener a nuestros clientes conectados directamente al router, con nuestro servidor podemos asignar un ancho de banda especfico por cada cliente; esto nos permitir fijar un tipo de servicio para estos, no pudiendo sobrepasar el lmite establecido, aunque ya ms adelante, segn nuestro requirimientos, podramos hacer que s lo sobrepasen pero esto ya es otro cuento.

Vamos a Queue -> pestaa Simple Queues, y agregamos una nueva regla (+)

En la ventana que aparecer "New Simple Queue", iremos a la pestaa General.

Name, aqu colocaremos el nombre del cliente, aunque en realidad puede ser cualquier palabra que nos ayude a indentificarlo.

Target Address, especificaremos el IP de nuestro cliente al que queremos limitar el ancho de banda, del ejemplo, el IP es 192.168.10.20

Max Limit, es el lugar donde fijaremos la velocidad mxima de nuestro cliente, tanto de subida (upload) como de bajada (download), en este ejemplo, la subida es de 128k, y la bajada de 512k. Si bien MikroTik muestra varias velocidades preestablecidas para escoger, eso no nos impide de que podamos asignar una velocidad "a nuestro gusto" tan solo escribindola con el teclado. Recueden siempre colocar la letra "k" al final de la velocidad escrita manualmente; por ejemplo 320k ( 320000, k=1000), ya que sta est medida en bit/s.

Qu sucede si tenemos un cliente con 3 PC's y queremos que estos compartan una misma velocidad? Pues slo tenemos que agregar las dems IP's a la misma regla, y para ello presionamos el botn en forma de flecha apuntando hacia abajo, y as tendremos un cuadro ms en donde colocar un IP extra.

Una vez que hayamos agregado a todos los clientes, tendremos una lista como esta:

Los colores cambiarn dependiendo del uso que le de el cliente a su ancho de banda asignado; entonces, si el cliente usa de 0 a 50% de su ancho de banda, su regla estar de color verde, si usa del 50 a 70%, se volver amarillo, ya si pasa del 70% entonces su regla se volver roja.

Quiz en un inicio el Queue List no muestre todas las columnas que aparecen en la imagen de arriba, as que, como con el explorador de windows, slo hay que agregarlas.

Seguro se estarn preguntando qu hay con las dems opciones, pero ya es algo que veremos ms adelante, por el momento, tal como est, la gua cumple su cometido.

Actualizacin: (opcional)

Vamos a afinar un poco la configuracin del Simple Queue.Cdigo:/queue typeadd kind=pcq name=pcq-up pcq-classifier=src-address pcq-limit=50 pcq-rate=0 pcq-total-limit=2000add kind=pcq name=pcq-down pcq-classifier=dst-address pcq-limit=50 pcq-rate=0 pcq-total-limit=2000Este cdigo agregar 2 nuevas Queue Type.

Y luego modifiquen la config de cada Simple Queue.

Vamos a la pestaa Advanced, y en Target Upload, cambien el Queue Type a pcq-up; en el caso de Target Download, cambien el Queue Type a pcq-down.

Ahora vamos a la pestaa Total, y cambiamos el Total Queue Type a default.

Saludos.Trabajar con Sub Redes en Mikrotik. Trabajar con Sub Redes y DHCP en Mikrotik.

Bueno, Esta guia esta creada como agradecimiento al foro de www.ryohnosuke.com, que gracias a esta web pude configurar y entender un poco mas a los RB MIKROTIK.

Las Sub redes podemos implementar teniendo la necesidad de aislar a los clientes que se conectan directamente a nuestro rowter, como por ejemplo las Laptops o las Pc que estan conectadas de forma cableada a nuestro Switch.

Antes de proceder es necesario tener activado el SERVIDOR DHCP, pueden hacerlo siguiendo esta guia Configurar MikroTik DHCP Server (dar IP's automticamente) en caso de tener activado el Hotspot ya no es necesario.

Creando Sub RedesComo primer paso agregaremos direcciones ip en /ip address y agregamos una nueva regla (+)

Address: Aqui colocamos la IP la cual sera la puerta de enlace de nuestro clinete.Interface: Selecionamos la internfas LAN a que estra asignada esta red, en mi caso el ether2_LANLuego hacemos apply y ok la seccion de la opcion Network se generara automaticamente.

Utilizando DHCP para la configuracion automatica del cliente y su Sub Red.Utilizaremos DHCP para evitar el engorroso trabajo de ir a colocar manualmente la IP en la PC del Cliente.Para esto nos vamos a /IP, DHCP Server, Network y agregamos una regla (+)

Address: Sera la direccion RED que colocamos anetriormente en Address ListGatewaye: Sera la direccion IP que colocamos en Address List.Natmask: 30, para que solo existan 2 IP validas en la red, que es la puerta de entace y la ip del cliente.DNS Servers: Nuestro DNS Server sera la misma IP de nuestra puerta de enlace..

3.- Ahora nos vamos a la pestaa siguiente, aca indicaremos al cliente por medio de su MAC que direccion IP usara cuando se coneccte a la red. el ultimo numero de la direccion IP no puede ser mas que 2 ya que estamos usando en enmascarado de 30, como mensione arriba solo nos permite tener 2 dircciones IPs validas, si colocamos otro numero que no sera 2, ejemplo en este caso 10.0.8.2, no se tendra acceso a internet.

De este modo ya tenemos configurado nuestra sub red... Espero que les ayude en algo, si al momento de crear una sub red para el clientes X y este esta en linea tendramos que reiniciar nuestro MK para que le entregue la nueva direccion o tambien reiniciando la pc o desactivando y activando la el dispositivo de red del cliente...

Tambien se puede mejorar un poco la seguridad utilizando el amarre de IP/MAC por ARP, pueden segir con esta guia con esta guia Configurar amarre IP/MAC por ARP

Bueno trate de ser lo mas entendible, si en algo falle corrijanme por favor...

Gracias..Configurar Amarre IP/MAC por ARP con MikroTik El amarre IP/MAC por ARP es una de las medidas de seguridad ms bsicas que puede ofrecer el servidor MikroTik, y consiste en tener una lista de relaciones IP/MAC registradas dentro del servidor; de esa manera, si un intruso con un IP, o MAC, o relacin IP/MAC distinto a los ya registrados intentara tener internet, no tendr respuesta alguna ya que no est en la lista de IP/MAC que registramos previamente.

Bueno, para empezar tendremos que agregar las IP/MAC de nuestros clientes, para eso vamos a IP -> ARP

En la imagen de arriba veremos los IP's y MAC's de los dispositivos (PC's, VoIP, Celulares,Routers, etc.) que se agregaron automticamente a la lista de ARP, y sabemos que fue automticamente porque tienen la letra "D" al lado izquierdo de cada regla. Se agregan automticamente ya que tuvieron cierta comunicacin con el servidor, podemos suponer que fue porque solicitaron internet al server o viceversa (como el caso de nuestro router: 192.168.1.1). Ntese que tambin aparece la interfaz de red por donde se conectan, de la imagen de arriba los IP's 192.168.10.x se conectan a la interfaz de red LAN, o ether2, y el IP 192.168.1.1 a la interfaz de red WAN, o ether1.

Por defecto, esta lista es dinmica, eso quiere decir que cuando se pierde la comunicacin entre el dispositivo 'X' y el servidor, su IP y MAC desaparece de la lista para luego volver a aparecer si se llegara a conectar nuevamente y solicitar internet al server.

Entonces es hora de crear una lista esttica de IP/MAC que se conectan al server a pedir internet, para eso hacemos doble click a la regla dinmica, y presionamos el botn Make Static de la ventana que aparecer.

Una vez que se presione Make Static, la letra "D" desaparecer de la regla, as como esas 2 reglas de la imagen de arriba. Cuando una regla de ARP es esttica, esta nunca desaparecer de la lista.

No es necesario, y mucho menos recomendable, hacer que el IP/MAC del router sea una regla esttica, ya que este no es uno de nuestros clientes y obviamente no accede desde la interfaz LAN de nuestro server, ether2 en este caso.

En el caso que tengamos otros clientes, entonces tendremos que agregarlos manualmente, en este caso presionamos el botn (+), y veremos una ventana como esta:

IP Address, aqu colocaremos el IP del PC de nuestro cliente o dispositivo de red que necesite internet, con esto ltimo quiero decir que NO colocaremos el IP de los access points, ya que estos no necesitan internet. La nica excepcin sera aquellos AP Routers que estn configurados como router cliente, aunque este caso estara dentro de los 'dispositivos de red que necesiten internet' as que si se diese el caso, colocaramos el WAN IP de ese AP Router (y ya no los IP's de los clientes conectados a ese AP Router, ya que estaran en una red distinta a la nuestra).

MAC Address; aqu tiene que ir el MAC del PC de nuestro cliente o dispositivo de red que necesite internet, aqu hay 2 excepciones, uno ya la conocemos, los AP Routers configurado como router cliente, por lo tanto colocaremos la MAC de la interfaz WAN de ese AP Router, y la otra GRAN excepcin, son los access points configurados en modo cliente, de modo que tendremos que colocar la MAC del AP cliente.

Esto ltimo es una regla de los AP's modo cliente. "Todo IP que est detrs de un AP modo cliente, saldr enmascarado con la MAC del AP modo cliente"; entonces, si tuvisemos 10 PC's (cada uno con su respectivo MAC) detrs de un AP cliente, todos estos saldran con el MAC del AP cliente. As que si estuvieramos en un caso similar, tendramos que agregar los IP's de cada PC y todos estos con el mismo MAC.

Interface, tendremos que especificar la interfaz de red por donde entran estos IP's y MAC's, aqu tendremos que seleccionar la interfaz de red LAN o interfaz de red de los clientes, en este caso sera ether2.

Una vez que tengamos la lista completa, tendremos que "decirle" al servidor que responda nicamente a los IP/MAC que estn en la lista de ARP, dejando fuera a todo aqul que no est resgistrado.

Entonces, para activar el amarre IP/MAC, vamos a Interfaces -> pestaa Interface y hacemos doble click a la interfaz de red de los clientes o LAN, en este caso es ether2, y de la ventana que aparecer, seleccionaremos la pestaa General.

ARP, tendremos que cambiar esta opcin a reply-only, de esta manera la interfaz de red ether2 slo responder a las peticiones de los IP y MAC que estn en la lista de ARP. Esta opcin por defecto est en enabled (importante recordar esto si queremos deshabilitar el amarre IP/MAC).

De este modo ya tendremos activado nuestro amarre IP/MAC.

Importante:

Tener en mente que nosotros tambin somos clientes del servidor, por lo tanto nuestra IP/MAC tambin debera estar agregada. Si accidentalmente llegaramos a olvidar este punto, perderamos todo acceso al servidor. As que la nica manera poder ingresar al server es a travs de la interfaz WAN o ether1 en este caso, o simplemente desde cualquier otra interfaz de red cuya opcin ARP sea enabled (todas vienen as por defecto).

Para agregar un nuevo cliente, es mejor agregar su IP/MAC a la lista de ARP antes de que este se conecte, o tambin modificando la opcin ARP,de reply-only cambiarla a enabled (como estuvo en un inicio) para desactivar el amarre IP/MAC, ya una vez que tengamos al cliente agregado y comprobemos que tenga internet, deberamos de volverlo a activar. Ya en el peor de los casos ser necesario reiniciar el servidor para que el cliente tenga internet, para eso vamos a System -> Reboot.

En lo personal considero que el amarre IP/MAC por ARP es muy agresivo, por eso prefiero usar el amarre IP/MAC por hotspot (sin usuario y contrasea), esto ya lo veremos ms adelante.

Saludos.Configurar el DNS Cache de MikroTik Es seguro que conozcamos el trmino "DNS" y lo relacionemos a ciertos IP's que colocamos en la configuracin de nuestra tarjeta de red, como por ejemplo los DNS de TdP: 200.48.225.130 y 200.48.225.146; pero tambin es seguro que no todos sabemos qu significan, o qu es lo que hacen. Bueno, para hacerlo breve, ese DNS se encarga de resolver nombres de dominio a IP's, por ejemplo, si queremos ver http://www.google.com, nuestro PC enva una solicitud al servidor DNS para que resuelva ese dominio, y el servidor DNS le responder con un IP; paso siguiente, el PC utilizar ese IP para conectarse.

Configurar el DNS cache en MikroTik es muy importante, ya que nuestro servidor tambin necesita resolver nombres de dominio para poder utilizar ciertas herramientas propias del servidor como el ping, o ciertas configuraciones como webproxy, etc. por lo que su configuracin es casi obligatoria.

Podemos aprovechar el DNS cache de MikroTik para minimizar peticiones de nuestros clientes a la internet; de esta manera, cada vez que uno de nuestros clientes haga una solicitud a los DNS de nuestro proveedor, MikroTik almacenar en memoria la respuesta aquellos servidores y las utilizar para las siguientes peticiones.

Para empezar con la configuracin vamos a IP -> DNS -> pestaa Static -> botn Settings.

Servers, aqu colocaremos el IP de los DNS que nos entreg nuestro ISP, en este ejemplo son los 2 DNS de TdP.

Allow Remote Request, marcaremos el check para activar la funcion DNS cache para todos nuestros clientes y no nicamente para nuestro servidor.

Cache Size, es el tamao en memoria que ser destinado para el cache de los DNS, por defecto es 2048KiB 2MB, personalmente lo aumento a aproximadamente a12288KiB 12MB, en servidores que tienen un mnimo de 128MB de RAM.

Se puede probar que todo qued bien haciendo un ping al alguna pgina desde el servidor, en este caso suelo probar haciendo ping a google y verificar las respuestas, para eso voy a New Terminal y escribo el comando respectivo:ping www.google.com

Si se quiere dar una ojeada a las respuestas en cache, se puede ir a IP -> DNS -> pestaa Cache.

Si se quiere sacar el mximo provecho al DNS cache de MikroTik, tenemos que hacer que los clientes utilicen el DNS cache de MikroTik, ya sea configurando un "DNS Transparente" o colocando manualmente el nuevo DNS en la configuracin de la tarjeta de red de los clientes tal como se muestra en la siguiente imagen.

En este caso, la IP de la tarjeta de red LAN (en MikroTik) o puerta de enlace de los clientes es el 192.168.10.1, por lo tanto, ese IP tambin ser nuestro DNS cache, as que lo colocaremos manualmente como "Servidor DNS preferido" de esa manera, el PC de nuestro cliente solicitar la resolucin de nombres a nuestro DNS cache. Como opcional pueden configurar el "Servidor DNS alternativo" con uno de los DNS del ISP.Configurar DNS Cache Transparente Una vez que tengamos configurado el DNS Cache, es bastante molesto eso de modificar la configuracin de la tarjeta de red de los clientes para que empiecen a utilizar el DNS Cache; bueno, con ayuda del servidor podemos evitar todas esas molestias, slo enviaremos las solicitures de nuestros clientes a los DNS y las redirecionaremos al DNS Cache de MikroTik.

Para esto nos vamos a IP -> Firewall -> pestaa NAT y agregamos una nueva regla (+).

En la ventana que aparecer iremos a la pestaa General.

Chain=dstnat, en pocas palabras, esta cadena especifica 'lo que tenga como destino'.

Protocol=udp, el protocolo usado para las solicitures DNS.

Dst. Port, escogemos el puerto destino DNS, o puerto 53.

In. Interface, la interfaz de red de nuestros clientes LAN, si han seguido todos mis manuales, la interfaz LAN es ether2.

Luego vamos a la pestaa Action.

Action, que es lo que va a hacer con el trfico que identificamos en la pestaa General, en este caso vamos a redireccionar (a nuestro servidor), por eso elegiremos redirect.

To Ports, el puerto al que ser redireccionado todo el trfico que identificamos en la pestaa General, que ser el puerto 53, ya que es el puerto que aceptar las peticiones del DNS Cach, segn nuesta configuracin.

"Todo lo que tenga como destino (dstnat), el puerto 53 (Dst. Port), con protocolo udp (protocol), y que entre por ether2 (In. Interface)". "Ser redireccionado (redirect), al puerto 53 (To Ports)".

Es MUY recomendable, que coloquen un comentario a la regla utilizando el botn Comment, esto para reconocer la regla fcimente cuando necesitemos hacerlo, ya que cuando tengamos ms de 10, 20 x reglas, nos ser ms fcil reconocerla, y esto va con nfasis para los que recin empiezan. En este caso el comentario que le pondr ser "Redireccin DNS Cache".

Y as ya tenemos configurado nuestro DNS Cache Transparente.

Saludos.[TRUCO] Hacer que una PC use siempre un determinado DNS (Reenvios en NAT) Hola Muchachos,Ms que un truco esta vez muestro una forma de usar los reenvios en NAT.La opcin es muy til se las muestro y est lista junto con otro tipos de reenvio para que la exploten.

El ejemplo es muy simple y til.Para hacer que una IP de nuestra red (192.168.1.80) use por ejemplo el DNS de OpenDNS (208.67.222.123) hacemos lo siguiente: Cdigo:add chain=dstnat comment="reenviar a OpenDNS" disabled=yes \ dst-port=53 in-interface=LAN protocol=udp src-address=192.168.1.80 \ action=dst-nat to-addresses=208.67.222.123 to-ports=53Esto se lee:"Toda peticion originada en la direccion 192.168.1.80 que tenga por destino el puerto udp 53 y entra por la interface LAN ser re-destinado a la direccion 208.67.22.123 con puerto 53"

Con el uso de listas de IP esto se puede hacer mucho ms flexible an.Asi que ya saben empiecen a reenviar todo lo que puedan xD

Que lo disfruten.Saludos. Configurar MikroTik en modo PPPoE-Client para Router modo Bridge Como ya sabrn, muchos de nuestros proveedores de internet (ISP) utilizan el protocolo PPPoE (over ATM) PPPoA para autenticarnos y/o encriptar nuestras conexiones hacia sus servidores para as poder darnos acceso a un internet "seguro", como el caso de Telefnica y su servicio Speedy, Nextel (sin ATM en el caso de Per), Telmex en Mxico, y cientos de ISP's en el mundo.

El problema viene a que estos ISP's nos venden/ceden/alquilan/regalan routers ADSL de gama MUY baja, con muy poca capacidad de conexiones y sesiones NAT, inclusive algunos tienden a colgarse o a dejar de aceptar nuevas conexiones cuando son ligeramente exigidos, y esto sin contar con los bugs que algunos tienen con su firewall integrado y en sus opciones NAT.

El punto de esta gua es hacer que MikroTik sea el nico que maneje estas conexiones, dejando prcticamente "inutizado" al router que nos di el ISP, y as poder manejar plenamente nuestra conexin a internet sin los problemas que estos routers nos podran dar.

A groso modo, un routerADSL modem/router cuenta con: Modem ADSL (Interfaz ADSL) Router (encargado del NAT, conexiones, firewall, etc) Switch Access PointTodo integrado en un slo equipo, del cual por configuracin, slo dejaremos activado el modem ADSL y el switch. El trabajo de Router (duro trabajo) lo har nicamente MikroTik.

Antes de empezar a hacer esta configuracin, recomiendo darle una lectura a lo ms bsico, cmo configurar MikroTik en modo router neutro, para hacerse una idea del proceso.

Parte 1: Configurar la interfaz virtual PPPoE-Client.

Para empezar, teniendo ya reconocidas nuestras interfaces de red, nos conectaremos por la interfaz ether1, luego ya en Winbox, vamos a Interfaces.

En la ventana que aparecer, iremos a la pestaa Interface y luego agregaremos una nueva interfaz (+) para nuestro PPPoE Client.

Una vez hecho esto, nos aparecer una nueva ventana para configurar nuestro PPPoE Client, luego iremos a pestaa General.

Interfaces, seleccionaremos la interfaz a la que ser asociada nuestra interfaz virtual PPPoE Client, que en este caso es ether1. Es de suponer que conectaremos nuestro modem/router a ether1, para que establezca la conexin PPPoE.

Luego iremos a la pestaa Dial Out

User/Password, son los datos que nos da nuestro ISP para podernos autenticar a sus servidores, estos valores los encontraremos dentro de nuestro modem/router, o quiz los tengamos a la mano si nuestro ISP nos di un simple modem xDSL, esto ltimo lo sabremos ya que es necesario instalar en nuestro PC un cliente PPPoE como WinPoET (PPPoE para Windows) y loguearnos para tener internet.

Nota: Algunos ISP no necesitan estos User y Password, ya que slo usan el protocolo PPPoE para encriptacin.

Dial On Demand, slo marcar el usuario y password y conectar con el servidor de nuestro ISP, cuando existan peticiones a internet. Si no hay peticin alguna, entonces se desconectar automticamente.

Add Default Route, al tener marcada esta opcin, MikroTik agregar automticamente una ruta de salida a Internet (Gateway) utilizando los valores que le entreg automticamente el ISP al momento que estableci conexin con su servidor.

Use Peer DNS, MikroTik configurar automticamente el DNS (IP -> DNS) con los valores que le entreg el ISP al momento que estableci conexin con su servidor.

Nota: Estas 2 ltimas opciones deberan de estar descarcadas si se est configurando el PPPoE-Client para balanceo de carga (load balance) entre 2 ms lneas (links) de internet.

Una vez hecho esto, tendremos una interfaz nueva llamada por defecto, pppoe-out1.

Podrn notar que esta nueva interfaz no tiene un R a lado izquierdo, eso quiere decir que no est funcionando o "Running"; claro, tendramos que tener ya configurado el modem/router en modo bridge para que establezca conexin con el servidor de nuestro ISP, una vez hecho, debera de tener esa "R"

Parte 2: Configurar Puerta de Enlace (Gateway) de los clientes y enmascarado.

Una vez que nuestro PPPoE Client est configurado, tendremos que hacer que nuestros clientes tengan internet utilizando nuestra conexin PPPoE Client.

Vamos a IP -> Adresses y agregamos una nueva regla (+), en este caso ser agregar el IP de la puerta de enlace (Gateway) de nuestros clientes.

Address, aqu colocaremos la puerta de enlace que tendrn nuestros clientes, en este caso es 192.168.10.1

Interface, seleccionaremos la interfaz de red a la que estamos colocando este IP, obviamente seleccionaremos la interfaz LAN de nuestro servidor, que en este caso es ether2.

Nota: Para tener una idea ms clara de esta configuracin, como saber qu es el /24 que coloqu al lado del IP, recomiendo dar una lectura al siguiente manual.

Una vez que colocamos el IP a la interfaz LAN (el gateway de los clientes) tendremos que hacer el enmascarado, para eso vamos a IP -> Firewall -> pestaa NAT y agregamos una nueva regla (+)

En la ventana que aparecer iremos a la pestaa General.

Chain, seleccionamos scrnat. Aunque siempre est as por defecto cuando se crea una nueva regla...

Out. Interface, seleccionaremos nuestra interfaz WAN, en este caso ser nuestra interfaz virtual pppoe-out1.

Pasamos a la pestaa Action.

Action, eligiremos masquerade que nos permitir enmascarar nuestras conexiones (de los clientes) detrs de la IP pblica que nos entregar nuestro ISP cuando nuetra interfaz pppoe-out1 se conecte a su servidor.

Con esto la configuracin ya est terminada de momento, pero an no tendremos internet hasta que nuestra interfaz pppoe-out1 se conecte apropiadamente al ISP.

Tener en cuenta que aqu no iremos a IP -> Routes para asginar una salida a internet al servidor, esto a que dejamos marcada la opcin Add Default Route de la pestaa Dial Out en la configuracin de nuestro pppoe-out1, as que cuando se conecte, automticamente se agregar dicha regla.

Nota: Una vez ms, sugiero leer este manual para poder entender esta gua.Como lo he mencionado al inicio de esta gua, es necesario configurar el modem/router a modo bridge y conectarlo a la interfaz de red asociado al pppoe-out1, que en este caso a ether1.

Una vez hecho esto, MikroTik har la conexin PPPoE, y cuando llegue a conectar veremos estos cambios:

En Interfaces aparecer la letra "R" al lado de pppoe-out1, lo que indicara que se estableci conexin.

En IP -> Addresses, se agregar automticamente (ntese la "D") un IP asoaciado a la interfaz pppoe-out1, esta vendra a ser nuestra IP pblica que asign nuestro ISP.

Nota: En raras ocasiones, y dependiendo del ISP, este nos dar una IP "muerta", que NO corresponde al rango de IP's asignados a nuestros Pas, esto podra suceder por un error al escribir el User y Password dentro de la configuracin de Interfaces -> pppoe-out1 -> pestaa Dial Out.

En IP -> Routes, se agregarn automticamente las rutas correspondientes desde nuestra IP pblica, al servidor de autenticacin de nuestro ISP.

Nota: Tener en cuenta que slo se agregar nuestra salida a internet automticamente si se tiene activada la opcin Add Default Route en Interfaces -> pppoe-out1-> pestaa Dial Out.

Respuestas Rpidas:

Por qu no tengo la "R" en pppoe-out1?Si se ha configurado correctamente y tal como est en esta gua, una de las principales razones para que nuestro pppoe-out1 no conecte, casi siempre se debe a alguna falla en la configuracin del modem/router a modo bridge, aunque aveces con slo reiniciar el modem/router y el servidor se llega a solucionar, e inclusive puede tardar cierto tiempo (varios minutos) en establecer conexin por primera vez.

Es necesario colocar un IP al ether1 (WAN)?En realidad no, ya que ether1 NO es nuestra WAN, nuestra verdadera WAN es la interfaz virtual pppoe-out1, y este obtiene su IP automticamente cuando establece conexin con el servidor (PPPoE Server) del ISP. La IP que aparece automticamente en IP -> Addresses y que hace referencia a pppoe-out1, es nuestra WAN IP o IP pblica en este caso.

Mi ISP utiliza la autenticacin por PPPoA, pero MikroTik no tiene esta opcin Me sirve esta gua?Si se utiliza el protocolo PPPoA, no existe problema alguno ya que MikroTik slo marca el User y Password para la autenticacin. Puedes usar esta gua sin problemas.

Cmo conecto el cable telefnico a la tarjeta de red del servidor?? Jams hagas eso! Ni lo intentes! El cable telefnico siempre ir conectado al puerto RJ11 del modem/router; luego, de un puerto RJ45 del modem/router conectars nicamente un cable de red a la tarjeta puerto ethernet del servidor.

Puedo conectar una tarjeta PCI fax/modem (RJ11) al servidor y as no utilizar el modem/router?Absolutamente NO. Una tarjeta fax/modem no es una interfaz ADSL como las que llevan los modem ADSL, o modem/router. Son tecnologas distintas.

Puedo conectar una tarjeta PCI ADSL (RJ11) al servidor y as no utilizar el modem/router?La idea es bastante vlida, pero MikroTik no soporta ninguna interfaz ADSL, y quiz nunca lo haga.

Saludos.Configurar MikroTik WebProxy (WebCach) MikroTik cuenta con su propio Webproxy, que almacenar los elementos de las pginas que nuestros clientes visitaron, as que cuando estas pginas se vuelvan a visitar, dichos elementos saldrn de nuestro disco duro y ya no de interent, ahorrando ancho de banda; inclusive hace que nuestra navegacin sea ms rpida ya que los elemenos que salgan del disco duro, lo harn con una velocidad superior a la que limitamos al cliente, claro para esto ltimo hay que configurar el famoso "Full Cache". Luego, con webproxy podremos bloquear pginas, redireccionar, eliminar publicidad en la navegacin, etc.

Para iniciar la configuracin, vamos a: IP -> Web Proxy -> pestaa Access -> botn Web Proxy Settings.

En la ventana que aparecer iremos a la pestaa General.

Port, por defecto MikroTik usa el puerto 8080 para 'escuchar' las peticiones al webproxy.

Cache Administrator, cuando una pagina sea inaccesible, ya sea porque est cada o porque decidimos bloquearla (lo que veremos en otra gua), el cliente tendr una pgina de error, en donde aparecer lo que est escrito ah, por defecto es webmaster, aunque si desean pueden colocar su correo para recibir cualquier tipo de feedback.

Cache On Disk, aqu activaremos el cach en la unidad de almacenamiento, si no est activado, entonces el cach se almacer en la memoria.

Max. Cache Size, aqu especificaremos el tamao mximo que tendr el cache en el disco (o nidad de almacenamiento que utilicemos); por ejemplo, si tenemos un disco duro de 20 GB, cunto de estos 20 GB sern dedicados al cach, MikroTik toma este valor en KiB, entonces, si queremos dedicar 15 GB al cach tendremos que colocar este valor multiplicado 2 veces por 1024, por lo tanto 15 GB equivale a 15728640 KiB. Si por accidente llegmos a equivocarmos con este valor y colocramos uno que sobrepase el tamao total del disco, no hay problema ya que MikroTik calcular el mximo tamao posible y har la correccin automticamente.

Aqu encontraremos 2 opciones ms: Unlimited, MikroTik calcular automticamente el tamao mximo en disco para almacenar el cach. (viene con esta opcin por defecto) None, MikroTik NO almacenar ningn tipo de cach. Entonces cul es el caso de activar el Webproxy? Pues podemos bloquear pginas, redireccionarlas, etc. cosa que veremos en otra gua. Muy usado en RouterBoards.Cache Hit DSCP (TOS), marcar todo el contenido que salga del cach almacenado (del disco duro), para poder trabajarlo luego, por ejemplo, limitar su velocidad, o liberarla (hacer "full cach"), esto ltimo lo veremos en otra gua.

Cache Drive, aqu aparecer el nombre de la unidad de almacenamiento en donde se almacenar el cache, si es que se configura para ello, claro.

Con esto el Webproxy ya est funcionando, si es que queremos probarlo, entonces

configuraremos nuestro navegador:

Ya si vienen siguiendo este manual desde el principio, sabrn que el IP 192.168.10.1 es la puerta de enlace de nuestros clientes, el LAN IP del servidor. El puerto corresponte obviamente a lo que configuramos en Web Proxy Settings.

Si vamos a una pgina tal como http://www.whatismyip.com este nos dir que ha detectado a MikroTik WebProxy

Claro, como no es muy cmodo ir a la casa de los clientes y cambiar la configuracin en el navegador de cada uno, entonces tendremos que configurar el webproxy transparente (Hacer que los clientes vayan al webproxy sin que ellos se den cuenta) con la ayuda del servidor.

Importante: Es muy recomendable bloquear el acceso al WebProxy desde el exterior (Internet) as nos evitamos que personas malintencionadas, o virus, usen nuestro Webproxy sin autorizacin, convirtindolo en un proxy pblico a la que cualquier persona en el mundo pueda acceder.

Nota: Si utilizan un RB, y slo quieren activar el webproxy para hacer redirecciones y bloqueos, slo tendran que configurar de la siguiente manera.

Max. cache size, noneCache On Disk, desmarcado.

SaludosConfigurar Web Proxy Transparente Ya vimos cmo configurar el WebProxy, y vimos tambin que hay que configurar nuestro navegador para que se comunique con WebProxy y as poder utilizarlo. Esta gua est diseada para que, con la ayuda del servidor, obliguemos a los clientes a pasar por el webproxy sin que estos se den cuenta y sin tocar su navegador. A esta configuracin se le llama "WebProxy Transparente" "Redireccin a WebProxy".

En lneas generales, solo vamos a detectar el trfico que nuestros generen con destino al puerto 80 (puerto http, que se usa para la navegacin web) y redireccionarlo al puerto de nuestro WebProxy, que segn nuestra gua anterior es el puerto 8080. Para esto nos vamos a IP -> Firewall -> pestaa NAT y agregamos una nueva regla (+).

En la ventana que aparecer iremos a la pestaa General.

Chain=dstnat, en pocas palabras esta cadena especifica 'lo que tenga como destino'

Protocol=tcp, el protocolo usado para la navegacin web.

Dst. Port, escogemos el puerto destino http, o puerto 80.

In. Interface, la interfaz de red de nuestros clientes LAN, si han seguido todos mis manuales, la interfaz LAN es ether2.

Luego vamos a la pestaa Action.

Action, que es lo que va a hacer con el trfico que identificamos en la pestaa General, en este caso vamos a redireccionar (a nuestro servidor), por eso elegiremos redirect.

To Ports, el puerto al que ser redireccionado todo el trfico que identificamos en la pestaa General, que ser el puerto 8080, ya que es el puerto que aceptar las peticiones del WebProxy, segn nuestra configuracin.

"Todo lo que tenga como destino (dstnat), el puerto 80 (Dst. Port), con protocolo tcp (protocol), y que entre por ether2 (In. Interface)". "Ser redireccionado (redirect), al puerto 8080 (To Ports)".

Es MUY recomendable, que coloquen un comentario a la regla utilizando el botn Comment, esto para reconocer la regla fcimente cuando necesitemos hacerlo, ya que cuando tengamos ms de 10, 20 x reglas, nos ser ms fcil reconocerla, y esto va con nfasis para los que recin empiezan. En este caso el comentario que le pondr ser "Redireccin a Webproxy".

Con esto ya tenemos configurado nuestro Web Proxy Transparente.

Saludos.Liberar la Velocidad de Web Proxy (Full Cach) Una de las ventajas de utilizar el webproxy es acelerar la navegacin, esto a que los elementos de una pgina X vista anteriormente almacenados en el disco duro de nuestro servidor, saldrn de este disco duro, y ya no de internet a una velocidad superior (hasta 80Mbps, a este proceso se llama HIT) Hasta aqu todo bien, pero si se llega a asignar un ancho de banda especfico para cada cliente, habrn notado, o notarn, que la gran velocidad que nos da un HIT tambin es limitada a la velocidad estabelcida para cada cliente; entonces, por tal motivo tenemos que configurar el "Full Cache" en el servidor.

Bueno, esto funciona as: Cuando un archivo sale del disco duro, este sale con una marca en comn, prcticamente en todos los webcach, cuando un elemento sale del disco duro (HIT), este sale con la marca : "X-Cache: HIT", o si el webcach lo permite, se puede introducir una marca por TOS DSCP para estos elementos, como el caso de MikroTik 3.x y 4.x.

De esta manera, podemos configurar a MikroTik a que reconozca tal marca, y que le quite la limitacin de todo lo que la utilice, aunque ms adelante podemos definir un lmite global si es que lo necesitamos.

Para reconocer y marcar (dar nombre) a las conexiones y/o paquetes de un determinado tipo de trfico, ya sea por IP, puerto, puerto, cantidad de bytes, etc etc, todo eso lo vemos en IP -> Firewall -> pestaa Mangle, luego, para utilizar esa marca que colocamos y dimos nombre, vamos a Queue -> pestaa Queue Tree, justo aqu es donde se prioriza y limita (o libera segn sea el caso) aquellos paquetes con marca.

Vamos entonces a IP -> Firewall -> pestaa Mangle y abrimos una nueva regla (+). Veremos una ventana como imagen de abajo, e iremos a la pestaa General.

Chain=Output, la cadena especifica todo lo que tenga como origen el mismo servidor (ya que el cach saldr del mismo servidor MikroTik)

Luego vamos a la pestaa Advanced.

DSCP (TOS), aqu colocamos el nmero 4, ya ese es el valor que vino por defecto en la configuracin de Webproxy. Si quieren recordar, aqu una imagen.

Vamos a la pestaa Action.

Action=marck packet, seleccionamos mark packet de la lista, ya que lo que haremos ser "marcar paquetes".

New Packet Mark, aqu escribiremos el nombre con el que identificaremos a nuestra marca de paquetes, en este caso le coloqu "Full-Cache".

Passthrough, quitaremos este check, y as evitaremos que los paquetes marcados se vuelvan a marcar por cualquier otra regla debajo de esta.

De esta manera ya tenemos marcados los paquetes que salieron del disco duro (hicieron HIT), la marca se llama "Full-Cache" y ahora solo tenemos que utilizarla para liberar este trfico. Para eso vamos a Queue -> pestaa Queue Tree y abrimos una regla (+). En la ventana que aparecer vamos a la pestaa General.

Name, aqu colocaremos un nombre para reconocer a la regla, casi igual que cuando utilizamos el botn comment.

Parent, seleccionaremos global-out, ya que segn el packet flow, global-out es la salida general de este sistema.

Packet Marks, elegiremos la marca que creamos hace un paso atrs, en este caso "Full-Cache"

Max-Limit, esto es un opcional si trabajamos en red cableada; si no colocamos ningn valor, entonces los elementos que hagan HIT saldrn a una velocidad "ilimitada", donde el lmite lo pondr la propia infraestructura que utilicemos, en el caso de una red cableada normal, la velocidad ser aproximadamente de 80Mbits/s, en el caso de una red wireless, 5.9Mbits/s y 22Mbits/s segn el modo que utilicemos, 802.11b 802.11g respectivamente. Ya para una red wireless en modo 11b, o en modo 11g en "zonas saturadas", es recomendable fijar el lmite a un mximo de 4Mbits/s o menos, para no saturar nuestro ancho de banda wireless (throughput).

Una vez hecho esto, cualquier elemento que salga de nuestro cach, saldr a la velocidad que hayamos colocado en la regla Queue tree (ver ltima imagen), dando igual si el cliente tiene fijado algn lmite de velocidad.

SaludosVer el Contenido Cacheado por WebProxy Para revisar el contenido cacheado, existen 2 formas, una es usando New Terminal, y la otra es utilizando las ventanas de WinBox.

Ver el contenido cacheado por ventana de WinBox (NO Recomendado).

Vamos a IP -> Web Proxy -> pestaa Cache Contents y nos listar todos los elementos almacenados en el cach.

El problema aqu es que no nos mostrar el contenido real hasta que terminen de listarse todos los elementos, y hablamos de miles de elementos, as que este proceso puede tardar horas; luego, cuando WinBox est listando los elementos, el consumo de CPU y de disco duro llegan al 100% ocasionando lentitud en toda la red; pero eso no es todo, cuando WinBox est listando elementos, el ancho de banda usado en la comunicacin entre WinBox y el servidor puede subir a ms de 5Mbps, lo que saturara el ancho de banda wireless si se est conectado por este medio. En definitiva, no es recomendable ver el contenido cacheado de esta forma.

Ver el contenido cacheado por New Terminal.

Vamos a New Terminal, escribimos el cdigo de abajo, y presionamos enter para ejecutarlo.Cdigo:ip proxy cache-contents print

Una vez que se liste el contenido tal como la imagen de arriba, se puede usar las teclas direccionales (arriba y abajo) para que, manualmente, siga listando los elementos almacenados en cache. Esta manera de ver el contenido cacheado no tiene los problemas que ocasiona el otro mtodo.

Saludos.Configurar disco secundario dedicado al cache para WebProxy Muchas veces queremos agregar un disco duro secundario para tenerlo dedicado al cache de MikroTik WebProxy, ya sea porque nuestro disco de sistema es de poca capacidad, por seguridad (as apenas se usa el disco del sistema donde se guarda la licencia). o quiz tengamos un RouterBOARD o RB al que le queremos colocar una tarjeta microSD, Compact Flash, o un disco duro externo USB si es que nuestro RB cuenta con este puerto.

Para empezar, sera bueno reconocer cul es el disco en donde estamos almacenando el cach actualmente, en este caso es primary-master, ya que el disco duro en esta oportunidad est conectado al Primary IDE, y est configurado como Master, as que dependiendo del caso podran ser secondary-master, primary-slave, secondary-slave, sata1, o system, en estos 2 ltimos casos corresponde a los discos SATA, y la memoria interna de nuestro RB.

Notaremos que nuestro Cache Drive actual, es primary-master.

Vamos a System -> Stores -> pestaa Stores y veremos que existe ya una regla, ya slo al verla sacamos al ojo que es la regla que configura nuestro disco (del sistema) para que sea webproxy, y de paso est con Status: active, o activo.

Hacemos click en la pestaa Disks, y mostrar todas las unidades de almacenamiento que tenemos disponibles, ya sea IDE, SATA, USB, Compact Flash, o SD/microSD. En este ejemplo el disco duro secundario que ser dedicado exclusivamente al cach es uno del tipo SATA, y normalmente debera de tener Status: invalid ya que MikroTik an no lo ha preparado para ser utilizado, entonces presionamos el botn Format Drive, notaremos que el status cambiar a formatting... o formateando, la operacin podra tardar dependiendo de la capacidad y velocidad del disco duro. Una vez terminada la operacin el status cambiar a ready, o listo.Ya con el disco preparado para ser utilizado por MikroTik regresamos a la pestaa Stores y agregamos una nueva regla ( + )

Name, aqu escribiremos el nombre de la regla, en este caso le puse web-proxy2Type, elegiremos qu tipo de uso se le dar a este disco, en este caso elegiremos web-proxy, ya que lo usaremos para eso.Disk, pues seleccionamos el disco que utilizaremos, de este ejemplo, el disco duro dedicado al cach es sata1.

Recuerden marcar Activate, para que la regla se active.

Notaremos que nuestra regla web-proxy2 ya est activada, y la regla anterior entr a pasar a ser un backup, esto quiere decir que si quitramos el disco duro de cach actual, el disco duro de backup se activar automticamente, ya si no se quisiera que esto ocurra, simplemente borren la regla web-proxy1.

Listo! slo queda comprobar que nuestro nuevo Cache Drive corresponda a nuestro disco duro que designamos para el cach, y como muestra la imagen, todo fue un xito ya que vemos a sata1.

Tener en cuenta que si tenemos nuestro WebProxy funcionando y an procesando peticiones, todo esto no funcionar hasta que reiniciemos el server con System -> Reboot.

Saludos.Evitar Ataque a MikroTik Webproxy y DNS cache Bueno, ya muchos sabrn que MikroTik dispone de un Web Proxy server y un DNS Cache, pero muchas veces al momento de configurarlo no solemos cololocar las reglas necesarias para bloquear el acceso a estos recursos desde internet.

Muchos ser harn esta pregunta Que podra pasar si no bloqueo el acceso a estos servicios desde internet?

La respuesta no es muy complicada. Si el servicio est abierto, por ejemplo el webproxy, cualquier tipo de spyware, malware o virus en general, podra informar esta falla de seguridad en nuestro servidor y aprovecharse de nosotros haciendo peticiones desde nuestro web proxy a internet, obviamente nos est consumiendo nuestra propia lnea, y con ms nfasis, nuestro escaso upload.

Cuando esto ocurre, se siente una extraa lentitud, y un uso bastante desproporcionado del upload del WAN respecto al upload de la interfaz de los clientes. Si se llega a abrir google para hacer una bsqueda, este te devolver un mensaje con en esta imagen.

Bueno, luego de tanto prembulo, vamos al grano.

Bloqueo webproxy externo:Cdigo:/ip firewall filter add action=drop chain=input comment="Bloqueo webproxy externo" disabled=no dst-port=8080 in-interface=pppoe-out1 protocol=tcpBloqueo DNS cache externo:Cdigo:/ip firewall filter add action=drop chain=input comment="Bloqueo DNS cache externo" disabled=no dst-port=53 in-interface=pppoe-out1 protocol=udpVoy a desmantelar un poco la primera regla e intentar explicarla para que se hagan una idea de qu estn copiando y pegando en sus servidores.

action=drop, "arroja" los paquetes, no sern procesados. chain=input, utiliza la cadena input (conexiones y/o paqutes cuyo destino final sean el mismo servidor). in-interface=pppoe-out1, interfaz de entrada de las conexiones y/o paquetes (que sern bloqueados por action=drop), en este caso es el pppoe-out1. Se tiene que cambiar por la interfaz WAN que corresponda. protocol=tcp, protocolo de transmisin, el ms utilizando en internet junto con en protocolo UDP. dst-port=8080, puerto destino (que ser bloqueado por action=drop), por defecto de webproxy es el puerto 8080.

SaludosEvitar ataque de ping al servidor MikroTik Este ejemplo bloquea los packetes de 99 bytes a ms.Cdigo:/ip firewall filter add action=drop chain=input comment="" disabled=no in-interface=pppoe-out1 packet-size=128-65535 protocol=icmpin-interface, interfaz de entrada a limitar el ping. Puede ser LAN, WAN, etc.

packet-size, tamao de paquetes a bloquear.

Nota: Si se quiere bloquear completamente el ping, simplemente hay que remover la parte "packet-size":Cdigo:/ip firewall filter add action=drop chain=input comment="" disabled=no in-interface=pppoe-out1 protocol=icmpSaludos.Prevenir ataque SSH y FTP Bueno soy bastante nuevo esto pero he tenido ataques ftp y ssh y buscando y buscando encontr la solucin (tal vez conocida por muchos) para este tipo de problemas. Si estaba en el foro no la encontr.

Como saber si te estn atacando de estas dos formas? fcil, entra a log y veras algo como esto.

este es el tpico ataque ftp; en el ataque ssh es prcticamente lo mismo pero al final va el ssh.

Este script bloquea una ip al noveno intento fallido de conexion, donde al dcimo intento, esta ip entra en una lista donde se bloquear por 3 horas (puedes modificar las horas a tu gusto)Cdigo:/ip firewall filter

add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop comment="Bloquear Ataques FTP"

add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m

add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" address-list=ftp_blacklist address-list-timeout=3h

Este otro script bloquea la ip que intente cuatro intentos fallidos de conexion en un minuto. Esta direccin ingresar a una lista donde se bloquear cualquier ataque ssh proveniente de esa ip por 10 dias (puedes modificar los das a tu gusto)Cdigo:/ip firewall filter

add chain=input action=drop protocol=tcp src-address-list=ssh_blacklist dst-port=22 comment="Proteccion VSC contra ataques via SSH"

add chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=ssh_stage3 address-list=ssh_blacklist address-list-timeout=1w3d dst-port=22

add chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=ssh_stage2 address-list=ssh_stage3 address-list-timeout=1m dst-port=22

add chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=ssh_stage1 address-list=ssh_stage2 address-list-timeout=1m dst-port=22

add chain=input action=add-src-to-address-list connection-state=new protocol=tcp address-list=ssh_stage1 address-list-timeout=1m dst-port=22 Otra opcin es cambiar los puertos en IP/Services. Personalmente intente cambiar el puerto del ftp pero el ataque segua asi que no funciono en mi caso. Con el ataque ssh cambie el puerto y santo remedio pero nunca estan dems estos script.

Espero que le sirva a mas de alguno

saludosAporte: Firewall para evitar ataques SSH , portscanners y paquetes invlidos Buenas ! aca les dejo el firewall que tengo implementado para bloquear ataques ssh y los famosos robots que nos scanean el server

antes que nada les recomiendo que desactiven todo menos ssh y winbox en ip>>> services , ya que un ataque via ftp o por cualquier medio puede elevar mucho el consumo del cpu ejemplo : mi cpu sin ataques funciona al 15% como maximo , con un ataque ftp continuo al 50% , para revisar si los atacan pueden ver el log bueno aqui el firewall en cuestion :Cdigo:/ip firewall filteradd action=drop chain=forward comment="Filtra paquetes invalidos" connection-state=invalid disabled=noadd action=accept chain=forward comment="Reglas Firewall Basicas" connection-state=related disabled=noadd action=accept chain=forward comment="" connection-state=established disabled=no

add action=drop chain=input comment="FIltra ICMP Redirect" disabled=no icmp-options=5:0-255 protocol=icmpadd action=drop chain=input comment="Filtro ataque SSH" connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=SSH_Rompepelotas

add action=add-src-to-address-list address-list=SSH_Rompepelotas address-list-timeout=10m chain=input comment="" connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=SSH_TercerIntentoadd action=add-src-to-address-list address-list=SSH_TercerIntento address-list-timeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=SSH_SegundoIntentoadd action=add-src-to-address-list address-list=SSH_SegundoIntento address-list-timeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=SSH_PrimerIntentoadd action=add-src-to-address-list address-list=SSH_PrimerIntento address-list-timeout=1m chain=input comment="" connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=!SSH_PrimerIntento

add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Port scanners to list " disabled=no protocol=tcp psd=21,3s,3,1add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" disabled=no protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urgadd action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/FIN scan" disabled=no protocol=tcp tcp-flags=fin,synadd action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/RST scan" disabled=no protocol=tcp tcp-flags=syn,rstadd action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" disabled=no protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ackadd action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="ALL/ALL scan" disabled=no protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urgadd action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP NULL scan" disabled=no protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg

add action=drop chain=input comment="dropping port scanners" disabled=no src-address-list="port scanners"ryohnosuke y nukeko les gusta esto.Configurar MikroTik DHCP Server (dar IP's automticamente) Parte 1 Un servidor DHCP ser encarga de asignar un IP y dems datos de configuracin de red a cualquier dispositivo que se lo pida, este puede ser un PC, un AP, un PlayStation3, etc.

El proceso en s no es muy simple, pero para hacerlo fcil se podra explicar de esta manera: El PC o dispositivo de red configurado para obtener un IP automticamente har una solicitud a nuestro servidor DHCP (MikroTik), y luego de una negociacin, ste anotar la MAC de la tarjeta de red del solicitante y luego le asignar un IP y dems datos de configuracin. El servidor DHCP no entrega los IP's a ojo cerrado, este entrega slo los IP's de un rango que designamos, y claro, este IP no debe de estar ya en uso.

Por ejemplo, configur a esta compu para que obtuviera IP automticamente, y con la ayuda del comando ipconfig /all desde CMD (intrprete de comandos de windows) puedo ver los datos que me entreg el servidor DHCP:

Como podemos ver en la imagen de arriba, el DHCP server nos entreg todos los datos que usualmente completamos cuando configuramos un IP manualmente.

Para hacer eseta gua he tomado en cuenta que ya se ley las dems guas bsicas para configurar MikroTik y que el servidor est en funcionamiento.

Para comenzar, vamos a IP -> DHCP Server -> pestaa DHCP y presionamos el botn DHCP Setup para seguir con el asistente de configuracin.

El asistente de configuracin nos ayudar a tener nuestro DHCP server correctamente configurado, y de paso es la manera ms simple de hacerlo, ya que slo es cosa de hacer "siguiente, siguiente y siguiente" casi literalmente.

DHCP Server Interface, seleccionamos la interfaz de red en donde se instalar el DHCP server, obviamente aqu elegieros la interfaz de red LAN o la tarjeta de red desde donde se conectan nuestros clientes, que en este caso es ether2.

El asistente de configuracin slo se guiar de de nuestra configuracin actual. Este valor lo sac de manera automtica de nuestra configuracin de IP en IP -> Addresses.

DHCP Address Space, es la red en donde funcionar el DHCP server, en este caso 192.168.10.0/24. Tengan en cuenta que el /24 quiere decir 255.255.255.0, la mscara de subred que el DHCP server nos dar cuando solicitemos un IP automticamente.

Gateway for DHCP Network, es la puerta de enlace que el servidor DHCP ofrecer a los clientes que soliciten un IP, en este caso es 192.168.10.1

Address to Give Out, es el rango de IP's que el servidor DHCP asignar a nuestros clientes, del ejemplo el servidor tiene 55 IP's para repartir, del 192.168.10.200 al 192.168.10.254

Lease Time, es el tiempo en el que MikroTik almacenar los datos de todos los clientes al que el servidor DHCP asign un IP automticamente.

Una vez hecho esto, ya tendremos nuestro DHCP server funcionando.

Name, es el nombre de nuestro servidor DHCP, dhcp1 en este caso.

Interface, es la interfaz de red donde nuestro servidor escuchar las peticiones para asignar IP's automticamente, obviamente esta es la interfaz LAN, o tarjeta de red de los clientes, en este caso es ether2.

Lease Time, es el tiempo en el que MikroTik almacenar los datos de todos los clientes al que el servidor DHCP asign un IP automticamente.

Address