Cmo instalar MikroTik RouterOS desde Cero Bueno, esta gua va
dedicada a los que me piden instrucciones de cmo instalar su
MikroTik para que luego sea licenciado y configurado.
En primer lugar, es necesario descargar el ISO de MikroTik, en
este caso ser la versin 4.16 que la pueden descargar directamente
desde mikrotik.com, o siguiendo este link. Claro, tambin est mi
seccin descargas donde slo colocar las versiones de MikroTik que
considere estables.
Una vez que se tenga el ISO hay grabarlo en un CD, el programa
para hacerlo ya es a gusto de cada uno, que puede ser Nero,
CDBurnerXP (Bueno, Bonito y... Gratis! Lo recomiendo), etc.
Paso siguiente es configurar el PC para que inicie del CD, si es
que no est configurado as. Este paso no necesita mucha explicacin
ya que es lo mismo que se hace cuando se va a instalar cualquier
sistema operativo, por ejemplo Windows XP.
Una vez que el CD inicie mostrar una pantalla para elegir qu
paquetes instalar.
Con las teclas direccionales nos colocaremos encima del paquete
que queremos instalar, y con ayuda de la barra espaciadora los
seleccionaremos. Los paquetes que estn seleccionados en la imagen
son los que suelo instalar en los servidores que vendo, inclusive
para el nivel 'novato' puede ser prescindible el paquete routing,
security y wireless (si es que no se va a instalar una tarjeta
wireless para hacer trabajar al server como AP).
Una vez que los paquetes estn selecionados, presionaremos la
tecla 'i' para empezar con la instalacin de MikroTik RouterOS en el
disco duro.
En el proceso nos aparecern los siguientes mensajes:Do you want
to keep old configuration? [y/n]:
Desea mantener la configuracin anterior? Presionamos la tecla
'n' ya que no tenemos una configuracin anterior que
mantener.Warning: all data in the disk will be erased! Continue?
[y/n]:
Advertencia: todos los datos en el disco sern eliminados!
Continuar? Presionamos la tecla 'y' para que empiece a particionar
y formatear el disco o unidad de almacenamiento. El proceso puede
demorar dependiendo de la capacidad del disco que se haya elegido
para hacer la instalacin.
Una vez que el disco duro est particionado y formateado, los
paquetes seleccionados se instalarn automticamente y al finalizar
tedremos el mensaje:Software installed Press ENTER to reboot
Software instaladoPresione ENTER para reiniciar Ya en este punto
hay que retirar el CD de instalacin y presionar la tecla 'enter'
para que el PC reinicie y el sistema cargue directamente del disco
duro.
Tendremos este mensaje:It is recomended to check your disk drive
for errors, but it may take a while (~1min for 1Gb).It can be done
later with "/system check-disk". Do you want to do it now?
[y/N]
Es recomendable comprobar que su unidad de disco est libre de
errores,pero puede tomar algn tiempo (~1min para 1Gb).puede hacerse
ms tarce con "/sistem check-disk".Quiere hacerlo ahora?
presionaremos la tecla 'n' para evitar la comprobacin de disco.
Una vez hecho esto tendremos la clsica pantalla de login de
MikroTik.
El usuario login y password por defecto son:Login:
adminPassword: Bueno, creo que se sobreentiende que no tiene
password alguno, as que aqu lo dejamos vaco. Presionamos enter para
terminar de loguearnos.
Una vez logueados veremos una notificacin del servidor que nos
dice que nuestro sistema no tiene licencia, y que tenemos menos de
24 horas para probarlo...
Claro, tenemos menos de 24 horas para colocarle la licencia, o
simplemente nuestro sistema expirar (no permitir acceso alguno,
empezarn a sonar muchos 'beeps' y se apagar automticamente) lo que
inutilizara su uso y posterior licenciamiento. Si esto llegara a
ocurrir, no queda otra que volver a reinstalar el sistema siguiendo
los pasos de esta gua desde el inicio.
Es bastante recomendable verificar que MikroTik RouterOS haya
reconocido absolutamente todas nuestras tarjetas de red, inclusive
las wireless, si es que hubisemos instalado alguna, para eso
escribimos el siguiente comando en la consola y luego presionaremos
'enter': Cdigo:/interface print
La imagen muestra que MikroTik ha reconocido 2 tarjetas de red
en nuestro PC, que es justamente el total de tarjetas de red que
tiene el PC en este momento. Si tuviesemos ms tarjetas de red,
entonces tendran que aparecer en la lista. Si fuera una tarjeta
wireless, el nombre por defecto de este tipo de tarjetas es
wlan1.
Nota: MikroTik RouterOS slo reconocer las tarjetas wireless que
utilicen chipset Atheros.
Si no apareciera el total de tarjetas instaladas en el PC
server, esto se debe casi siempre a: Tarjeta de red daada.
Conectores de la tarjeta sucios, o inclusive puede ser suciedad en
el mismo slot PCI. La placa madre, por antiguedad, limitacin de
diseo o chipset, no puede soportar determinada cantidad, marcas,
modelos de tarjetas. Esto suele suceder con las tarjetas wireless
en placas antiguas, inclusive problemas de IRQ. La tarjeta es un
modelo bastante nuevo, o raro, que MikroTik no puede reconocerla.
etc.Tengan en cuenta que no existen drivers para MikroTik RouterOS
que se puedan descargar e instalar. Absolutamente todos los drivers
vienen dentro de los paquetes de Mikrotik que instalamos
previamente, as que no se dejen engaar por 'estafadores' que dicen
tener drivers para todas las placas y tarjetas.
Con esto ya se tiene el Sistema Operativo MikroTik RouterOS
instalado en el PC servidor, ahora slo falta licenciar el software
y empezar la configuracin.
Primer Paso: Conectarse al Servidor MikroTik desde WinboxCmo
licenciar MikroTik RouterOS por primera vez
Primer Paso: Conectarse al Servidor MikroTik desde Winbox Bueno,
luego de la instalacin de MikroTik RouterOS tenemos que aprender a
conectarnos al servidor. Si bien hay muchas formas de hacerlo, la
mayora son para hacerlo en modo consola, es decir, lnea de comandos
no muy amigables al usuario que recin se inicia.
Winbox es el mtodo ms amigable para conectarnos al servidor, ya
que podremos conectarnos al servidor desde cualquier PC con
windows, y lo mejor de todo, con las ventanas que tanto gustan y
que adems nos hacen la vida ms fcil.
Para empezar, es necesario tener winbox a la mano, como mencion
en el prrafo anterior, winbox es la utilidad que nos permite
comunicarnos con nuestro servidor desde cualquier PC con windows.
Lo pueden descargar desde mi pgina de descargas, o desde
mikrotik.com.
Al ejecutarlo, veremos una ventana como esta:
Una vez abierto, hay que presionar el botn con puntos
suspensivos (...) para poder escanear los dispositivos que tengan
instalado MikroTik RouterOS en la red, en este caso, la imagen
muestra slo un dispositivo, que es el servidor que instalamos
previamente.
Como es una nueva instalacin, esta no cuenta an con un IP, as
que nos conectaremos por MAC, para eso seleccionaremos la MAC tal
como nos muestra la imagen.
Una vez que se haya colocado la MAC en el cuadro Connect To es
hora de presionar el botn Connect para establecer conexin con
nuestro servidor.
Cuando es la primera vez que nos conectamos al servidor, winbox
descarga los mdulos necesarios para mostranos todas las
caractersticas del servidor.
Algunas veces y por distintos motivos, esta descarga de mdulos
puede llegar a fallar, por lo que se debera repetir la operacin una
vez ms hasta que logre establecer la correcta comunicacin entre
winbox y el servidor. Tengan en cuenta que conectarse por MAC no es
tan estable como conectarse por IP, as que luego del
licenciamiento, y cuando el servidor tenga la respectiva
configuracin, se debera de dar preferencia a la conexin por IP.
Cuando la conexin est establecida, deberamos de tener la ventana
principal de winbox lista para licenciar el software, configurar,
administrar y monitorizar a nuestros clientes, etc.
Nota: Si no se puede llevar a cabo la conexin entre winbox y el
servidor a punto tal que no aparezca la MAC en el escaneo de
dispositivos MikroTik, esta puede deberse a una falla de la tarjeta
de red, cable de red en mal estado, un firewall activado, un
antivirus agresivo, virus de red, etc. as que habra que dar con el
problema para poder conectarnos apropiadamente.
Nota 2: Si se tiene un RouterBOARD RB, este vendr con una
preconfiguracin algo molesta, donde el ether1 siempre tendr
bloqueado el acceso desde el exterior, as que conctense desde el
ether2 en adelante. Para eliminar esa configuracin, presionar el
botn New Terminal y en la ventana que aparecer
escribir:Cdigo:/system reset no-defaults=yesNos preguntar si
queremos resetear, y presionamos la tecla: "Y" ; cuando el RB
reinicie, este ya estar sin ninguna configuracin.
Cmo instalar MikroTik RouterOS desde CeroCmo licenciar MikroTik
RouterOS por primera vez
Saludos.
Cmo licenciar MikroTik RouterOS por primera vez Una vez que el
sistema est instalado, es necesario licenciar el software para
quitar el lmite de 24 horas y as poder usar nuestro servidor
cmodamente.
Las licencias MikroTik son de por vida, sea la licencia que sea,
y si las compraron en mikrotik.com vienen con 15 a 30 das de
soporte oficial via email. Si no se utiliza User Manager entonces
la nica diferencia entre los level 4, 5 y 6, es la cantidad de
usuarios que pueden manejar, que sera 200, 500, e ilimitados
usuarios respectivamente.
Una vez conectados al servidor mediante winbox, este nos mostrar
una ventana advirtindonos que nuestro servidor no tiene una
licencia, y que dejar de funcionar en menos de 24 horas.
Presionamos el botn License para ir a la ventana de licencia, o
tambin se puede llegar a travs de System -> License
Una vez ah, seleccionamos el Software ID (SoftID), le damos
click derecho y seleccionamos Copy para tener el SoftID en el
portapapeles.
Lo nico que necesitamos para poder obtener la licencia (clave de
licencia) es el SoftID. Hay 2 formas de comprar licencias MikroTik,
una es que la obtengamos comprndola directamente a mikrotik.com y
otra es comprndola a un reseller, comprarla a este ltimo es casi
siempre ms barato. En cualquiera de las 2 formas, nos tendrn que
proveer la clave de licencia para 'instalarla' en nuestro
servidor.
En el caso de querer comprar la licencia directamente a
mikrotik.com, hay que registrarse como usuario y pedir aprobacin de
nuestra tarjeta de crdito para proceder a comprar licencias
directamente. Una vez aprobado, el sistema es bastante simple.
Purchase a key (Comprar una clave de licencia)
Seleccionar el level de licencia a comprar, para la mayora, al
menos aqu en Per, basta con el level 4.
Colocar el SoftID que obtuvimos en System -> License, es
recomendable revisarlo al menos 2 veces para no llevarse malas
sorpresas, ya que una vez generada una clave de licencia de un
SoftID de 8 dgitos, no hay vuelta atrs.
Elegir el Board Type, para nuestro caso, es x86 system. Ya si se
quisiera actualizar una licencia para RouterBOARD, slo habra que
seleccionarla.
Aqu piden la confirmacin de la compra, ya sea para pagar por
tarjeta o por prepaid key. Yo dispongo de esta ltima opcin ya que
tengo claves de licencia prepagadas en mi cuenta.
Luego de esta confirmacin llegar la clave de licencia al correo
que se utiliz para el registro, o tambin la pueden ver directamente
en all keys junto con todas las otras claves de licencia
compradas.
El objetivo de todo esto es tener la clave de licencia, que es
un cdigo como este:-----BEGIN MIKROTIK SOFTWARE
KEY------------SS5+bR2Hs3JZSPm78pHboXRNxabp35Oq8Hr62d0v4UzbY6oTroGSJlFJZsB5hm+vGNtyA3EI7N5XYCl9NcfAHA==-----END
MIKROTIK SOFTWARE KEY--------------
Nota:Se puede evitar todo este proceso engorroso si se compra la
licencia a travs de un reseller, en mi caso vendo las licencias a
S/.100.00 Nuevos Soles. Simplemente me tendran que proporcionar el
SoftID y minutos despus mandara la clave de licencia al correo que
me indiquen.
Bueno, ya tenemos la clave de licencia, ahora slo falta
agregarla al servidor. Esta ya es la parte ms fcil, simplemente
tenemos que "copiar y pegar" la clave de licencia al New Terminal
de nuestro winbox.
Seleccionamos toda la clave de licencencia y luego hacemos click
derecho -> copiar. Ya dentro de winbox vamos a New Terminal, y
nos saldr el aviso que nos indica la falta de licencia, presionamos
'enter' para continuar.
Simplemente toca pegar la clave de licencia haciendo click
derecho -> Paste
Una vez que la clave de licencia est pegada, presionamos enter y
nos saldr el siguiente mensaje:You must reboot before new key takes
effect. Reboot? [y/N]
Debe de reiniciar el sistema para que la clave tome efecto.
Reiniciar? Presionamos la tecla 'y' para que valide nuestra
licencia.
Ya luego de esto, cuando nos conectemos al servidor, no
tendremos ms avisos de falta de licencia. De esta manera nuestro
servidor estar debidamente licenciado y listo para proceder con las
configuraciones que deseemos.
Puntos a tomar en cuenta: El SoftID es un cdigo nico que se
genera a partir del N de serie y dems caractersticas nicas del
disco duro, por lo tanto, no es posible clonar el disco duro para
poder utilizar la misma clave de licencia, ya que el SoftID
cambiara de un disco a otro. La licencia (clave de licencia) se
guarda en una particin especial en el disco duro, por lo tanto, si
se modifica o se borra tal particin, perderamos irremediablemente
la licencia. Si se llegara a daar la instalacin y se necesitara
volver a instalar el sistema, esto se tendra que hacer nicamente
con el CD instalador de MikroTik o por NetInstall, ya que estos no
tocan la particin de la licencia al momento de particionar,
formatear y volver a instalar el sistema. Si el disco duro que
contiene la licencia se llegara a daar, no hay manera de recuperar
la licencia, as que el procedimiento normal es comprar una nueva
licencia.Cmo instalar MikroTik RouterOS desde CeroPrimer Paso:
Conectarse al Servidor MikroTik desde Winbox
Saludos.Bases Generales y cmo entender las Guas Es muy bueno
conocer ciertas cosas bsicas acerca de MikroTik, esto a que en mis
siguientes manuales los har dando por hecho que el lector ya las
conoce.
Opciones Generales WinBox:
Cuando entremos a Winbox y nos conectemos al servidor, veremos
una ventana con mens, tal como esta imagen.
1. Botn Deshacer y Rehacer, tal como si utilizaramos Word, si
llegaramos a borrar o modificar una regla accidentalmente, podemos
utilizar el botn "deshacer" para revertir el cambio realizado,
tiene una buena memoria as que podemos revertir los cambios de toda
nuestra sesin en WinBox, del mismo modo con el botn rehacer, salvo
que este ltimo hace todo lo contrario.
2. Hide Passwords, cuando esta opcin est marcada, ocultar todos
los passwords de nuestro sistema con asteriscos (********); por
ejemplo, los passwords de los clientes PPP, Hotspot, acceso al
sistema, etc.
3. Men Lateral y 4. Submen, son el conjunto de opciones que
cuenta WinBox para hacer la configuracin o el monitoreo, algunas de
esas opciones tambin cuentan con submens.
Haciendo un resumen de estos mens, tienemos a:
Intefaces, donde nos mostrar todas las tarjetas conectadas al
servidor, incluyendo las tarjetas wireless, interfaces virtuales
como pppoe-client, vLAN, vAP, etc. nos mostrar tambin, casi en
tiempo real, el trfico que est pasando por estas interfaces.
Wireless, si tuvieramos conectado una tarjeta wireless con
chipset atheros, tendriamos la opcin wireless para configurar esa
tarjeta como un access point, cliente wireless, escanear redes, ver
el estado de utilizacin de un canal, ver los clientes conectados a
esta tarjeta, su estado, etc.
IP, aqu encontraremos un submen con todas las opciones que hagan
referencia a IP como por ejemplo:
Addresses, donde asignaremos IP's a las interfaces de red.
Firewall, donde entraremos opciones para bloqueo de IP's, puertos,
NAT, marcado de paquetes, etc. Hotspot, para configurar un hotspot
server, y que nuestros clientes tengan acceso a internet mediante
un usuario y clave. Routes, para asignar polticas de routeo.
Webproxy, donde configuraremos el webcache de MikroTik, bloqueo de
pginas, etc. etc.System, encontraremos opciones relativas al
sistema, como por ejemplo: Clock, aqu podremos configurar la hora
en nuestro servidor. License, podremos ver el estado de nuestra
licencia de uso de MikroTik RouterOS, as como el SoftID para el
posterior licenciamiento. Password, donde colocaremos una contrasea
para asegurar el acceso a nuestro servidor. Reboot, para reiniciar
el servidor. Resources, aqu aparecer el estado fsico del servidor
como, la cantidad de memoria que tenemos, memoria libre, tipo de
procesador, velocidad del procesador, espacio del disco duro,
espacio libre, tiempo que lleva el servidor encendido, etc.
Shutdown, para apagar el servidor. etc.
Queues, aqu podremos encontrar opciones para poder limitar la
velocidad de nuestros clientes, asignar lmites globales de
velocidad, priorizacin de servicios, etc.
Files, veremos el direcctorio principal de MikroTik, donde
podremos crear backups de nuestra configuracin y tambin
restaurarlos, adems de poder ver los archivos "log", la carpeta
donde se almacena el portal cautivo de hotspot.
Tools, encontraremos herramientas generales de MikroTik, como
ping, torch (para escanear conexiones), etc.
New Terminal, que es la consola MikroTik, donde podremos acceder
a todas las opciones y configurarlas por lnea de comandos, es lo ms
prctico cuando se trata de muchas configuraciones, ya que podemos
"pegar" listas de comandos para evitar todo el trabajoso proceso de
hacer una configuracin regla por regla.
Pestaas, Opciones de Ventana y Columnas.
Adems de los Mens y Submens, tambin encontraremos pestaas entra
las opciones de MikroTik:
Dependiendo del tamao de la ventana que utilicemos, o inclusive
el tamao y resolucin de nuestro monitor, podramos tener 'pestaas
ocultas', como por ejemplo en la imagen de arriba, donde la pestaa
cookies est completamente oculta, as que se debera usar el botn
(...) para poder acceder a esa pesetaa.En esta ventana tambin
tendremos opciones para poder agregar, eliminar, habilitar y
deshabilitar reglas:
(+) Agregar Regla, atajo de teclado: (A)dd. () Remover Regla,
atajo de teclado: (R)emove.() Habilitar Regla, atajo de teclado:
(E)nable.(x) Deshabilitar Regla, atajo de teclado: (D)isable.
Al igual que con el Explorador de Windows, nosotros podemos
ordenar las reglas con la ayuda de las columnas:
Si por ejemplo, presionamos el botn de columna: #, las reglas se
ordenarn numricamente, si presionamos el botn de columna: Name,
entonces las reglas se ordenarn alfabticamente, etc.
Podemos ver las columnas disponibles y agregarlas a lo que
necesitemos:
[Tutorial] Instalacin ThunderCache 7.1 paralelo a
MikroTik[Tutorial] Compendio de manuales MikroTik[Tutorial] Subir
imgenes y publicarlas en el foro[Consejo] Utiliza el Search del
foro para buscar temas de tu inters[Mensajera] MP's slo para
servicios pagados, utiliza el foro pblicoEntendiendo los
manuales.
Muchas de mis guas sern bastante simples ya que las explicar con
imgenes "paso a paso", pero otras sern nicamente escritas en cdigo
para ser editado (a nuestra configuracin) y pegado en New Terminal.
El punto de esto es explicar cmo se utiliza estas guas basadas en
cdigo.
Por ejemplo, podran ver una gua con cdigo parecido a
este:Cdigo:/ip firewall filteradd action=drop chain=input
comment="Bloqueo webproxy externo" disabled=no dst-port=8080
in-interface=ether1 protocol=tcpCmo lo utilizamos?
En primera lugar, copiamos todo el cdigo, luego iremos a New
Terminal y pegaremos el cdigo ah (click derecho, paste), quiz
necesitemos presionar enter para aceptar el cdigo.
Quiz no sea tan fcil como parece ya que tendramos que editar el
cdigo a nuestras necesidades, por ejemplo, en esa regla se tendra
que modificar el in-interface a lo que nosotros tengamos como
in-interface, quiero decir, que en la gua el in-interface es
ether1, pero posiblemente nuestra in-interface sea WAN1, Speedy,
Internet, etc. y no necesariamente ether1. Tengan en cuenta que
estos nombres son slo eso, nombres que nosotros modificamos en
Interface.
En todo caso, esta modificacin no la tendrn que advinar, ya que
en la gua mencionar que in-interface debe ser modificada por el
nombre de interfaz que nosotros tengamos o al lo que apuntemos. Por
cierto, este cdigo sirve para bloquear todo acceso externo a
nuestro webproxy, por lo que in-interface tendra que ser nuestra
interfaz de red "WAN."
Ya slo como comentario y para hacerse una idea, con un poco de
anlisis notarn que la primera lnea: /ip firewall filter corresponde
al men de WinBox IP -> Firewall -> pestaa Filter, que en
imgen sera:
De la segunda lnea, add quiere decir "Agregar nueva Regla" y
todas las dems opciones de esta segunda lnea las encontraremos en
la ventana que se abrir luego de presionar (+).
Bueno, el objetivo de esta gua no es mostrar cmo se usa una
regla en cdigo para luego colocarla 'paso a paso' en las ventanas
de winbox ... no del todo al menos.
Saludos.Reconocer y Nombrar las Tarjetas de Red conectadas al
Servidor Lo primero que haremos ser reconocer las tarjetas de red
que tenemos instaladas fsicamente y qu nombre tienen stas segn
MikroTik. Si leyeron el manual de instalacin de MikroTik desde cero
sabrn que por defecto MikroTik nombra a las tarjetas como ether1,
ether2, ether3... etc. de igual manera si tuvieramos tarjetas
wireless conectadas, a estas las nombra como wlan1, wlan2, wlan3...
etc. Pero aun sabiendo los nombres, no sabemos a ciencia cierta qu
tarjeta conectada fsicamente al servidor es ether1, ether2 o
ether3, etc.
Supongamos que la imagen de abajo son las 2 tarjetas instaladas
en el servidor, donde la tarjeta de arriba la llamaremos tarjeta A
y la de abajo tarjeta B. Quiz nuestra lgica nos diga que la tarjeta
A es ether1 y la tarjeta B es ether2, lo cual podra ser cierto,
pero no necesariamente, ya que dependiendo de la placa madre, podra
ser todo lo contrario, osea que la tarjeta A sea ether2, y la
tarjeta B sea ether1. Si tenemos ms tarjetas conectadas, incluyendo
las tarjetas integradas, posiblemente todo sea ms desordenado.
Entonces vamos al grano. Conectamos una sla tarjeta del servidor
al switch general y nos entramos al servidor desde winbox. Ya en
winbox vamos a Interfaces y en la pestaa interface veremos la lista
de tarjetas de red reconocidas por MikroTik. Segn la imagen de
abajo podemos darnos cuenta que existe un movimiento en Tx y Rx de
ether1, eso quiere decir que ether1 es el nombre de esa nica
tarjeta conectada al servidor. Sera bueno hacerle una marca a la
tarjeta indicando su nombre para no olvidarla.
Enrutamiento manual , en redes de diferente rango Buenas amigos
del foro:Mi red esta en el rango 192.168.x.x (mikrotik) y tengo una
repetidora de rango 172.16.x.x en mi casa tengo un rango 10.0.x.x
bueno cuando quiero entrar a la configuracin de la repetidora la
cual trabaja con 2 antenas mimo y dos rocket ubiquiti. Al colocar
la IP de los rocket no puedo entrar, es de suponer ya que estamos
en una red de rango diferente. Ok vamos al grano a ver como lo
logre. 1. 1. Precionamos en propiedades
2.Precionas en la pestaa soporte copias los datos IP, Mascara y
puerta.
3.De nuevo pestaa general
4.Presionamos Protocolo de internet TCP/IP luego en
propiedades.
5.colocamos la IP manual. Ojo en los DNS tambin podemos colocar
los de Google 8.8.8.8 8.8.4.4
6.con esto logramos seguir en nuestra red sin perder conexin a
internet, ahora viene la parte interesante EL ENRUTAMIENTO a mi
repetidora.
Presionamos el botn opciones avanzadas
7. Presionamos en agregar.
8.Agregamos una nueva IP con su Mascara, en mi caso la
repetidora es 17.16.1.5, los dos ltimos se coloca en 1 para no
chocar con la IP de la repetidora y queda asi.
9.Presionamos agregar
Fjense como se manejan todas las redes asi sean de diferentes
rangos.
10.Presionamos aceptar
11. De nuevo aceptar
Por ultimo en cerrar.
NOTA: AHORA SIMPLEMENTE COLOCO 172.16.1.5 EN CUALQUIER
EXPLORADOR Y ENTRO A LA CONFIGURACION DE MI REPETIDORA SIN MOVERME
DA LA CASA.
Bueno amigos espero les sirva de mucho aunque ya muchos de
ustedes lo sepan recuerden que uno nunca termina de saberlo todo.
Gracias
Ya es de suponer que ether2 es la tarjeta que est desconectada
del servidor. Si es que se tuviera ms de 2 tarjetas conectadas se
debera repetir el proceso con la siguiente tarjeta y as
sucesivamente.
Una vez que sepamos a qu "ether#" corresponde cada una de las
tarjetas, podemos cambiarles el nombre fcilmente haciendo doble
click encima de su nombre, de la imagen de abajo, se puede ver el
ejemplo. Quiz se quiera restructurar el orden de las "ether#", para
que estn tambin ordenadas fsicamente, por ejemplo, tarjeta
integrada como ether1, primera tarjeta independiente como ether2,
etc. Ya es decisin de cada uno colocar el orden que se desee.
Muchas veces veo servidores con nombres muy diversos, o con el
tpico "WAN" y "LAN", sinceramente me es algo 'fastidioso' ya el
nombre tambin debera de indicar un orden en las tarjetas, as que
para evitarme problemas utilizo siempre los nombres por defecto
(aveces acomodados para guardar un orden) como ether1 y ether2,
pero dejo un comentario para identificar a qu corresponden, tal
como la imagen de abajo:
Como pueden apreciar, el nombre de la tarjeta es el mismo:
ether2, salvo que utilizo el botn Comment para hacer un comentario
a la regla y as poder identificarla con facilidad.
Nota: El botn Comment se puede utilizar en absolutamente todas
las reglas en MikroTik, es MUY recomendable usarla, y ms si se est
aprendiendo a configurar.
As tenemos las 2 tarjetas de red ya identificadas y 'nombradas'
listas para proceder con la configuracin.
Saludos.Configurar WAN y LAN para conectarse a Internet desde el
Servidor Luego de tanto preludio, al fin empezamos a configurar. El
objetivo de esta gua es poder conectarnos a internet a travs del
servidor y as poder seguir configurando; claro, tambin probaremos
lo que estamos haciendo.
El esquema de la red es el siguiente:
Ya sabemos que el servidor cuenta con 2 tarjetas de red, una que
ser nuestra WAN y otra que ser nuestra LAN. Slo para recalcar, ya
que esto deberan de saberlo, WAN es la interfaz de red que se
conectar al router y de la que nuestro servidor se conectar a
internet, y LAN es la interfaz de red a la que nuestros clientes se
conectarn, incluyendo nosotros ya que vendramos a ser clientes del
servidor.
Tal como se ve en la imagen de arriba, se puede conectar un
switch a la tarjeta LAN para as poder conectar todos los
dispositivos que queramos, ya sean Access Points, PC's, Equipos
VoIP, etc.
1.- Agregamos un IP a WAN (tarjeta de red WAN o interfaz de red
WAN) para que nuestro servidor se puede comunicar con el router.
Para eso nos vamos a IP -> Addresses y agregamos una nueva regla
(+)
Address, aqu colocaremos el WAN IP del servidor, este IP tiene
que estar en el mismo rango de red que la IP de nuestro router, del
ejemplo, el IP es: 192.168.1.2, Quiz se estn preguntando qu quiere
decir el "/24" que se encuentra al final del IP; bueno, el "/24"
corresponde a a mscara de subred, en este caso quiere decir
255.255.255.0.
Interface, seleccionamos a qu interfaz de red asignaremos esta
IP, en este caso elegiremos ether1, que est haciendo referencia a
WAN. Esta referencia slo aparecer si hemos colocado un comentario a
las "ether#" en Intefaces. Para saber ms de esto ltimo, sugiero dar
lectura a esta gua.
Network y Broadcast, no es necesario configurarlas manualmente
ya que al momento de colocar el "/24" en Address, estas 2 opciones
se configurarn automticamente al momento de hacer click en el botn
Apply u OK.
2.- Agregamos un IP a LAN (tarjeta de red LAN o interfaz de red
LAN) para que podamos conectarnos al servidor. Esta IP ser nuestra
nueva puerta de enlace, y tiene que ser una red diferente a WAN,
por lo tanto no podr ser 192.168.1.X.
El proceso es similar al anterior, salvo que aqu utilic, como
opcional, el botn Comment para dejar un comentario a la regla que
acabo de crear y as poder reconocerla fcilmente.
3.- Una vez que tengamos las IP's configuradas para cada
tarjeta, tocar hacer el "enmascarado", para eso vamos a IP ->
Firewall -> Pestaa NAT, y agregamos una nueva regla (+)
3a.- En la ventana que se abrir, iremos a la pestaa General.
Chain, seleccionamos scrnat. Aunque siempre est as por defecto
cuando se crea una nueva regla...
Out. Interface, seleccionaremos nuestra interfaz WAN, en este
caso es ether1.
3b.- Pasamos a la pestaa Action.
Action, eligiremos masquerade que nos permitir enmascarar
nuestras conexiones a detrs de la WAN IP, y as aislar nuestra red
LAN.
En realidad existen muchas maneras de trabajar el enmascarado,
aunque personalmente uso y recomiendo esta, as que no se sorprendan
si ven una manera diferente de enmascaramiento en otras guas.
4.- Como cuarto y ltimo paso: hacer el ruteo a una puerta de
enlace disponible, en realidad es bastante simple ya que slo hay
que especificar el Gateway o puerta de enlace donde el servidor se
conectar a internet, de nuestro ejemplo, la puerta de enlace para
el servidor, ser la IP del router; del ejemplo, es 192.168.1.1,
para eso nos vamos a IP -> Routes.
Ya en la ventana Route List, veremos que hay 2 reglas que
nosotros no agregamos. Esto es normal ya que ah se agregan las
rutas de las IP's que asignamos previamente a las tarjetas de red
en Address List. Para agregar la puerta de enlace que usar nuestro
servidor, vamos a la pestaa Routes y agregamos una nueva regla
(+).
Gateway, aqu slo colocaremos la puerta de enlace del router (el
IP del router), de esta manera le estamos diciendo al servidor de
dnde tiene que sacar internet para repartirlo a nuestros
clientes.
Como opcional, le coloqu un comentario a la regla con la ayuda
del botn Comment.
Con esto la interfaz de red LAN (ether2 en este ejemplo) ya
debera de tener internet si es que conectamos los cables
correctamente (ver primera imagen), slo hay configurar las tarjetas
de red de los clientes para para iniciar conexin. Teniendo en
cuenta que nuestra nueva puerta de enlace es 192.168.10.1, entonces
el cliente debera de tener esta configuracin de acuerdo a ese rango
de red. Un ejemplo desde un cliente con Windows 7:
En este caso he colocado los DNS de Telefnica. Ya si utilizan
DNS de otro proveedor, tendran que colocar, el que les
corresponde.
Nota: Tengan en cuenta que hice esta gua siguiendo el esquema de
red de la primera imgen, con las IP's que estn ah establecidas. Si
se tiene una red diferente, con IP's diferentes, slo es necesario
adaptarlo a sus necesidades. Por ejemplo, si se quiere usar como
LAN IP (o puerta de enlace de los clientes) el 192.168.1.1, pero el
router tambin es 192.168.1.1, entonces slo es necesario cambiar la
IP del router a por ejemplo, 192.168.0.1, y luego seguir la gua con
los valores adaptados.
SaludosConfigurar WAN y LAN para conectarse a Internet desde el
Servidor Luego de tanto preludio, al fin empezamos a configurar. El
objetivo de esta gua es poder conectarnos a internet a travs del
servidor y as poder seguir configurando; claro, tambin probaremos
lo que estamos haciendo.
El esquema de la red es el siguiente:
Ya sabemos que el servidor cuenta con 2 tarjetas de red, una que
ser nuestra WAN y otra que ser nuestra LAN. Slo para recalcar, ya
que esto deberan de saberlo, WAN es la interfaz de red que se
conectar al router y de la que nuestro servidor se conectar a
internet, y LAN es la interfaz de red a la que nuestros clientes se
conectarn, incluyendo nosotros ya que vendramos a ser clientes del
servidor.
Tal como se ve en la imagen de arriba, se puede conectar un
switch a la tarjeta LAN para as poder conectar todos los
dispositivos que queramos, ya sean Access Points, PC's, Equipos
VoIP, etc.
1.- Agregamos un IP a WAN (tarjeta de red WAN o interfaz de red
WAN) para que nuestro servidor se puede comunicar con el router.
Para eso nos vamos a IP -> Addresses y agregamos una nueva regla
(+)
Address, aqu colocaremos el WAN IP del servidor, este IP tiene
que estar en el mismo rango de red que la IP de nuestro router, del
ejemplo, el IP es: 192.168.1.2, Quiz se estn preguntando qu quiere
decir el "/24" que se encuentra al final del IP; bueno, el "/24"
corresponde a a mscara de subred, en este caso quiere decir
255.255.255.0.
Interface, seleccionamos a qu interfaz de red asignaremos esta
IP, en este caso elegiremos ether1, que est haciendo referencia a
WAN. Esta referencia slo aparecer si hemos colocado un comentario a
las "ether#" en Intefaces. Para saber ms de esto ltimo, sugiero dar
lectura a esta gua.
Network y Broadcast, no es necesario configurarlas manualmente
ya que al momento de colocar el "/24" en Address, estas 2 opciones
se configurarn automticamente al momento de hacer click en el botn
Apply u OK.
2.- Agregamos un IP a LAN (tarjeta de red LAN o interfaz de red
LAN) para que podamos conectarnos al servidor. Esta IP ser nuestra
nueva puerta de enlace, y tiene que ser una red diferente a WAN,
por lo tanto no podr ser 192.168.1.X.
El proceso es similar al anterior, salvo que aqu utilic, como
opcional, el botn Comment para dejar un comentario a la regla que
acabo de crear y as poder reconocerla fcilmente.
3.- Una vez que tengamos las IP's configuradas para cada
tarjeta, tocar hacer el "enmascarado", para eso vamos a IP ->
Firewall -> Pestaa NAT, y agregamos una nueva regla (+)
3a.- En la ventana que se abrir, iremos a la pestaa General.
Chain, seleccionamos scrnat. Aunque siempre est as por defecto
cuando se crea una nueva regla...
Out. Interface, seleccionaremos nuestra interfaz WAN, en este
caso es ether1.
3b.- Pasamos a la pestaa Action.
Action, eligiremos masquerade que nos permitir enmascarar
nuestras conexiones a detrs de la WAN IP, y as aislar nuestra red
LAN.
En realidad existen muchas maneras de trabajar el enmascarado,
aunque personalmente uso y recomiendo esta, as que no se sorprendan
si ven una manera diferente de enmascaramiento en otras guas.
4.- Como cuarto y ltimo paso: hacer el ruteo a una puerta de
enlace disponible, en realidad es bastante simple ya que slo hay
que especificar el Gateway o puerta de enlace donde el servidor se
conectar a internet, de nuestro ejemplo, la puerta de enlace para
el servidor, ser la IP del router; del ejemplo, es 192.168.1.1,
para eso nos vamos a IP -> Routes.
Ya en la ventana Route List, veremos que hay 2 reglas que
nosotros no agregamos. Esto es normal ya que ah se agregan las
rutas de las IP's que asignamos previamente a las tarjetas de red
en Address List. Para agregar la puerta de enlace que usar nuestro
servidor, vamos a la pestaa Routes y agregamos una nueva regla
(+).
Gateway, aqu slo colocaremos la puerta de enlace del router (el
IP del router), de esta manera le estamos diciendo al servidor de
dnde tiene que sacar internet para repartirlo a nuestros
clientes.
Como opcional, le coloqu un comentario a la regla con la ayuda
del botn Comment.
Con esto la interfaz de red LAN (ether2 en este ejemplo) ya
debera de tener internet si es que conectamos los cables
correctamente (ver primera imagen), slo hay configurar las tarjetas
de red de los clientes para para iniciar conexin. Teniendo en
cuenta que nuestra nueva puerta de enlace es 192.168.10.1, entonces
el cliente debera de tener esta configuracin de acuerdo a ese rango
de red. Un ejemplo desde un cliente con Windows 7:
En este caso he colocado los DNS de Telefnica. Ya si utilizan
DNS de otro proveedor, tendran que colocar, el que les
corresponde.
Nota: Tengan en cuenta que hice esta gua siguiendo el esquema de
red de la primera imgen, con las IP's que estn ah establecidas. Si
se tiene una red diferente, con IP's diferentes, slo es necesario
adaptarlo a sus necesidades. Por ejemplo, si se quiere usar como
LAN IP (o puerta de enlace de los clientes) el 192.168.1.1, pero el
router tambin es 192.168.1.1, entonces slo es necesario cambiar la
IP del router a por ejemplo, 192.168.0.1, y luego seguir la gua con
los valores adaptados.
SaludosAsignar un Ancho de Banda Especfico a los Clientes A
diferencia de tener a nuestros clientes conectados directamente al
router, con nuestro servidor podemos asignar un ancho de banda
especfico por cada cliente; esto nos permitir fijar un tipo de
servicio para estos, no pudiendo sobrepasar el lmite establecido,
aunque ya ms adelante, segn nuestro requirimientos, podramos hacer
que s lo sobrepasen pero esto ya es otro cuento.
Vamos a Queue -> pestaa Simple Queues, y agregamos una nueva
regla (+)
En la ventana que aparecer "New Simple Queue", iremos a la
pestaa General.
Name, aqu colocaremos el nombre del cliente, aunque en realidad
puede ser cualquier palabra que nos ayude a indentificarlo.
Target Address, especificaremos el IP de nuestro cliente al que
queremos limitar el ancho de banda, del ejemplo, el IP es
192.168.10.20
Max Limit, es el lugar donde fijaremos la velocidad mxima de
nuestro cliente, tanto de subida (upload) como de bajada
(download), en este ejemplo, la subida es de 128k, y la bajada de
512k. Si bien MikroTik muestra varias velocidades preestablecidas
para escoger, eso no nos impide de que podamos asignar una
velocidad "a nuestro gusto" tan solo escribindola con el teclado.
Recueden siempre colocar la letra "k" al final de la velocidad
escrita manualmente; por ejemplo 320k ( 320000, k=1000), ya que sta
est medida en bit/s.
Qu sucede si tenemos un cliente con 3 PC's y queremos que estos
compartan una misma velocidad? Pues slo tenemos que agregar las
dems IP's a la misma regla, y para ello presionamos el botn en
forma de flecha apuntando hacia abajo, y as tendremos un cuadro ms
en donde colocar un IP extra.
Una vez que hayamos agregado a todos los clientes, tendremos una
lista como esta:
Los colores cambiarn dependiendo del uso que le de el cliente a
su ancho de banda asignado; entonces, si el cliente usa de 0 a 50%
de su ancho de banda, su regla estar de color verde, si usa del 50
a 70%, se volver amarillo, ya si pasa del 70% entonces su regla se
volver roja.
Quiz en un inicio el Queue List no muestre todas las columnas
que aparecen en la imagen de arriba, as que, como con el explorador
de windows, slo hay que agregarlas.
Seguro se estarn preguntando qu hay con las dems opciones, pero
ya es algo que veremos ms adelante, por el momento, tal como est,
la gua cumple su cometido.
Actualizacin: (opcional)
Vamos a afinar un poco la configuracin del Simple
Queue.Cdigo:/queue typeadd kind=pcq name=pcq-up
pcq-classifier=src-address pcq-limit=50 pcq-rate=0
pcq-total-limit=2000add kind=pcq name=pcq-down
pcq-classifier=dst-address pcq-limit=50 pcq-rate=0
pcq-total-limit=2000Este cdigo agregar 2 nuevas Queue Type.
Y luego modifiquen la config de cada Simple Queue.
Vamos a la pestaa Advanced, y en Target Upload, cambien el Queue
Type a pcq-up; en el caso de Target Download, cambien el Queue Type
a pcq-down.
Ahora vamos a la pestaa Total, y cambiamos el Total Queue Type a
default.
Saludos.Trabajar con Sub Redes en Mikrotik. Trabajar con Sub
Redes y DHCP en Mikrotik.
Bueno, Esta guia esta creada como agradecimiento al foro de
www.ryohnosuke.com, que gracias a esta web pude configurar y
entender un poco mas a los RB MIKROTIK.
Las Sub redes podemos implementar teniendo la necesidad de
aislar a los clientes que se conectan directamente a nuestro
rowter, como por ejemplo las Laptops o las Pc que estan conectadas
de forma cableada a nuestro Switch.
Antes de proceder es necesario tener activado el SERVIDOR DHCP,
pueden hacerlo siguiendo esta guia Configurar MikroTik DHCP Server
(dar IP's automticamente) en caso de tener activado el Hotspot ya
no es necesario.
Creando Sub RedesComo primer paso agregaremos direcciones ip en
/ip address y agregamos una nueva regla (+)
Address: Aqui colocamos la IP la cual sera la puerta de enlace
de nuestro clinete.Interface: Selecionamos la internfas LAN a que
estra asignada esta red, en mi caso el ether2_LANLuego hacemos
apply y ok la seccion de la opcion Network se generara
automaticamente.
Utilizando DHCP para la configuracion automatica del cliente y
su Sub Red.Utilizaremos DHCP para evitar el engorroso trabajo de ir
a colocar manualmente la IP en la PC del Cliente.Para esto nos
vamos a /IP, DHCP Server, Network y agregamos una regla (+)
Address: Sera la direccion RED que colocamos anetriormente en
Address ListGatewaye: Sera la direccion IP que colocamos en Address
List.Natmask: 30, para que solo existan 2 IP validas en la red, que
es la puerta de entace y la ip del cliente.DNS Servers: Nuestro DNS
Server sera la misma IP de nuestra puerta de enlace..
3.- Ahora nos vamos a la pestaa siguiente, aca indicaremos al
cliente por medio de su MAC que direccion IP usara cuando se
coneccte a la red. el ultimo numero de la direccion IP no puede ser
mas que 2 ya que estamos usando en enmascarado de 30, como mensione
arriba solo nos permite tener 2 dircciones IPs validas, si
colocamos otro numero que no sera 2, ejemplo en este caso 10.0.8.2,
no se tendra acceso a internet.
De este modo ya tenemos configurado nuestra sub red... Espero
que les ayude en algo, si al momento de crear una sub red para el
clientes X y este esta en linea tendramos que reiniciar nuestro MK
para que le entregue la nueva direccion o tambien reiniciando la pc
o desactivando y activando la el dispositivo de red del
cliente...
Tambien se puede mejorar un poco la seguridad utilizando el
amarre de IP/MAC por ARP, pueden segir con esta guia con esta guia
Configurar amarre IP/MAC por ARP
Bueno trate de ser lo mas entendible, si en algo falle
corrijanme por favor...
Gracias..Configurar Amarre IP/MAC por ARP con MikroTik El amarre
IP/MAC por ARP es una de las medidas de seguridad ms bsicas que
puede ofrecer el servidor MikroTik, y consiste en tener una lista
de relaciones IP/MAC registradas dentro del servidor; de esa
manera, si un intruso con un IP, o MAC, o relacin IP/MAC distinto a
los ya registrados intentara tener internet, no tendr respuesta
alguna ya que no est en la lista de IP/MAC que registramos
previamente.
Bueno, para empezar tendremos que agregar las IP/MAC de nuestros
clientes, para eso vamos a IP -> ARP
En la imagen de arriba veremos los IP's y MAC's de los
dispositivos (PC's, VoIP, Celulares,Routers, etc.) que se agregaron
automticamente a la lista de ARP, y sabemos que fue automticamente
porque tienen la letra "D" al lado izquierdo de cada regla. Se
agregan automticamente ya que tuvieron cierta comunicacin con el
servidor, podemos suponer que fue porque solicitaron internet al
server o viceversa (como el caso de nuestro router: 192.168.1.1).
Ntese que tambin aparece la interfaz de red por donde se conectan,
de la imagen de arriba los IP's 192.168.10.x se conectan a la
interfaz de red LAN, o ether2, y el IP 192.168.1.1 a la interfaz de
red WAN, o ether1.
Por defecto, esta lista es dinmica, eso quiere decir que cuando
se pierde la comunicacin entre el dispositivo 'X' y el servidor, su
IP y MAC desaparece de la lista para luego volver a aparecer si se
llegara a conectar nuevamente y solicitar internet al server.
Entonces es hora de crear una lista esttica de IP/MAC que se
conectan al server a pedir internet, para eso hacemos doble click a
la regla dinmica, y presionamos el botn Make Static de la ventana
que aparecer.
Una vez que se presione Make Static, la letra "D" desaparecer de
la regla, as como esas 2 reglas de la imagen de arriba. Cuando una
regla de ARP es esttica, esta nunca desaparecer de la lista.
No es necesario, y mucho menos recomendable, hacer que el IP/MAC
del router sea una regla esttica, ya que este no es uno de nuestros
clientes y obviamente no accede desde la interfaz LAN de nuestro
server, ether2 en este caso.
En el caso que tengamos otros clientes, entonces tendremos que
agregarlos manualmente, en este caso presionamos el botn (+), y
veremos una ventana como esta:
IP Address, aqu colocaremos el IP del PC de nuestro cliente o
dispositivo de red que necesite internet, con esto ltimo quiero
decir que NO colocaremos el IP de los access points, ya que estos
no necesitan internet. La nica excepcin sera aquellos AP Routers
que estn configurados como router cliente, aunque este caso estara
dentro de los 'dispositivos de red que necesiten internet' as que
si se diese el caso, colocaramos el WAN IP de ese AP Router (y ya
no los IP's de los clientes conectados a ese AP Router, ya que
estaran en una red distinta a la nuestra).
MAC Address; aqu tiene que ir el MAC del PC de nuestro cliente o
dispositivo de red que necesite internet, aqu hay 2 excepciones,
uno ya la conocemos, los AP Routers configurado como router
cliente, por lo tanto colocaremos la MAC de la interfaz WAN de ese
AP Router, y la otra GRAN excepcin, son los access points
configurados en modo cliente, de modo que tendremos que colocar la
MAC del AP cliente.
Esto ltimo es una regla de los AP's modo cliente. "Todo IP que
est detrs de un AP modo cliente, saldr enmascarado con la MAC del
AP modo cliente"; entonces, si tuvisemos 10 PC's (cada uno con su
respectivo MAC) detrs de un AP cliente, todos estos saldran con el
MAC del AP cliente. As que si estuvieramos en un caso similar,
tendramos que agregar los IP's de cada PC y todos estos con el
mismo MAC.
Interface, tendremos que especificar la interfaz de red por
donde entran estos IP's y MAC's, aqu tendremos que seleccionar la
interfaz de red LAN o interfaz de red de los clientes, en este caso
sera ether2.
Una vez que tengamos la lista completa, tendremos que "decirle"
al servidor que responda nicamente a los IP/MAC que estn en la
lista de ARP, dejando fuera a todo aqul que no est resgistrado.
Entonces, para activar el amarre IP/MAC, vamos a Interfaces
-> pestaa Interface y hacemos doble click a la interfaz de red
de los clientes o LAN, en este caso es ether2, y de la ventana que
aparecer, seleccionaremos la pestaa General.
ARP, tendremos que cambiar esta opcin a reply-only, de esta
manera la interfaz de red ether2 slo responder a las peticiones de
los IP y MAC que estn en la lista de ARP. Esta opcin por defecto
est en enabled (importante recordar esto si queremos deshabilitar
el amarre IP/MAC).
De este modo ya tendremos activado nuestro amarre IP/MAC.
Importante:
Tener en mente que nosotros tambin somos clientes del servidor,
por lo tanto nuestra IP/MAC tambin debera estar agregada. Si
accidentalmente llegaramos a olvidar este punto, perderamos todo
acceso al servidor. As que la nica manera poder ingresar al server
es a travs de la interfaz WAN o ether1 en este caso, o simplemente
desde cualquier otra interfaz de red cuya opcin ARP sea enabled
(todas vienen as por defecto).
Para agregar un nuevo cliente, es mejor agregar su IP/MAC a la
lista de ARP antes de que este se conecte, o tambin modificando la
opcin ARP,de reply-only cambiarla a enabled (como estuvo en un
inicio) para desactivar el amarre IP/MAC, ya una vez que tengamos
al cliente agregado y comprobemos que tenga internet, deberamos de
volverlo a activar. Ya en el peor de los casos ser necesario
reiniciar el servidor para que el cliente tenga internet, para eso
vamos a System -> Reboot.
En lo personal considero que el amarre IP/MAC por ARP es muy
agresivo, por eso prefiero usar el amarre IP/MAC por hotspot (sin
usuario y contrasea), esto ya lo veremos ms adelante.
Saludos.Configurar el DNS Cache de MikroTik Es seguro que
conozcamos el trmino "DNS" y lo relacionemos a ciertos IP's que
colocamos en la configuracin de nuestra tarjeta de red, como por
ejemplo los DNS de TdP: 200.48.225.130 y 200.48.225.146; pero
tambin es seguro que no todos sabemos qu significan, o qu es lo que
hacen. Bueno, para hacerlo breve, ese DNS se encarga de resolver
nombres de dominio a IP's, por ejemplo, si queremos ver
http://www.google.com, nuestro PC enva una solicitud al servidor
DNS para que resuelva ese dominio, y el servidor DNS le responder
con un IP; paso siguiente, el PC utilizar ese IP para
conectarse.
Configurar el DNS cache en MikroTik es muy importante, ya que
nuestro servidor tambin necesita resolver nombres de dominio para
poder utilizar ciertas herramientas propias del servidor como el
ping, o ciertas configuraciones como webproxy, etc. por lo que su
configuracin es casi obligatoria.
Podemos aprovechar el DNS cache de MikroTik para minimizar
peticiones de nuestros clientes a la internet; de esta manera, cada
vez que uno de nuestros clientes haga una solicitud a los DNS de
nuestro proveedor, MikroTik almacenar en memoria la respuesta
aquellos servidores y las utilizar para las siguientes
peticiones.
Para empezar con la configuracin vamos a IP -> DNS ->
pestaa Static -> botn Settings.
Servers, aqu colocaremos el IP de los DNS que nos entreg nuestro
ISP, en este ejemplo son los 2 DNS de TdP.
Allow Remote Request, marcaremos el check para activar la
funcion DNS cache para todos nuestros clientes y no nicamente para
nuestro servidor.
Cache Size, es el tamao en memoria que ser destinado para el
cache de los DNS, por defecto es 2048KiB 2MB, personalmente lo
aumento a aproximadamente a12288KiB 12MB, en servidores que tienen
un mnimo de 128MB de RAM.
Se puede probar que todo qued bien haciendo un ping al alguna
pgina desde el servidor, en este caso suelo probar haciendo ping a
google y verificar las respuestas, para eso voy a New Terminal y
escribo el comando respectivo:ping www.google.com
Si se quiere dar una ojeada a las respuestas en cache, se puede
ir a IP -> DNS -> pestaa Cache.
Si se quiere sacar el mximo provecho al DNS cache de MikroTik,
tenemos que hacer que los clientes utilicen el DNS cache de
MikroTik, ya sea configurando un "DNS Transparente" o colocando
manualmente el nuevo DNS en la configuracin de la tarjeta de red de
los clientes tal como se muestra en la siguiente imagen.
En este caso, la IP de la tarjeta de red LAN (en MikroTik) o
puerta de enlace de los clientes es el 192.168.10.1, por lo tanto,
ese IP tambin ser nuestro DNS cache, as que lo colocaremos
manualmente como "Servidor DNS preferido" de esa manera, el PC de
nuestro cliente solicitar la resolucin de nombres a nuestro DNS
cache. Como opcional pueden configurar el "Servidor DNS
alternativo" con uno de los DNS del ISP.Configurar DNS Cache
Transparente Una vez que tengamos configurado el DNS Cache, es
bastante molesto eso de modificar la configuracin de la tarjeta de
red de los clientes para que empiecen a utilizar el DNS Cache;
bueno, con ayuda del servidor podemos evitar todas esas molestias,
slo enviaremos las solicitures de nuestros clientes a los DNS y las
redirecionaremos al DNS Cache de MikroTik.
Para esto nos vamos a IP -> Firewall -> pestaa NAT y
agregamos una nueva regla (+).
En la ventana que aparecer iremos a la pestaa General.
Chain=dstnat, en pocas palabras, esta cadena especifica 'lo que
tenga como destino'.
Protocol=udp, el protocolo usado para las solicitures DNS.
Dst. Port, escogemos el puerto destino DNS, o puerto 53.
In. Interface, la interfaz de red de nuestros clientes LAN, si
han seguido todos mis manuales, la interfaz LAN es ether2.
Luego vamos a la pestaa Action.
Action, que es lo que va a hacer con el trfico que identificamos
en la pestaa General, en este caso vamos a redireccionar (a nuestro
servidor), por eso elegiremos redirect.
To Ports, el puerto al que ser redireccionado todo el trfico que
identificamos en la pestaa General, que ser el puerto 53, ya que es
el puerto que aceptar las peticiones del DNS Cach, segn nuesta
configuracin.
"Todo lo que tenga como destino (dstnat), el puerto 53 (Dst.
Port), con protocolo udp (protocol), y que entre por ether2 (In.
Interface)". "Ser redireccionado (redirect), al puerto 53 (To
Ports)".
Es MUY recomendable, que coloquen un comentario a la regla
utilizando el botn Comment, esto para reconocer la regla fcimente
cuando necesitemos hacerlo, ya que cuando tengamos ms de 10, 20 x
reglas, nos ser ms fcil reconocerla, y esto va con nfasis para los
que recin empiezan. En este caso el comentario que le pondr ser
"Redireccin DNS Cache".
Y as ya tenemos configurado nuestro DNS Cache Transparente.
Saludos.[TRUCO] Hacer que una PC use siempre un determinado DNS
(Reenvios en NAT) Hola Muchachos,Ms que un truco esta vez muestro
una forma de usar los reenvios en NAT.La opcin es muy til se las
muestro y est lista junto con otro tipos de reenvio para que la
exploten.
El ejemplo es muy simple y til.Para hacer que una IP de nuestra
red (192.168.1.80) use por ejemplo el DNS de OpenDNS
(208.67.222.123) hacemos lo siguiente: Cdigo:add chain=dstnat
comment="reenviar a OpenDNS" disabled=yes \ dst-port=53
in-interface=LAN protocol=udp src-address=192.168.1.80 \
action=dst-nat to-addresses=208.67.222.123 to-ports=53Esto se
lee:"Toda peticion originada en la direccion 192.168.1.80 que tenga
por destino el puerto udp 53 y entra por la interface LAN ser
re-destinado a la direccion 208.67.22.123 con puerto 53"
Con el uso de listas de IP esto se puede hacer mucho ms flexible
an.Asi que ya saben empiecen a reenviar todo lo que puedan xD
Que lo disfruten.Saludos. Configurar MikroTik en modo
PPPoE-Client para Router modo Bridge Como ya sabrn, muchos de
nuestros proveedores de internet (ISP) utilizan el protocolo PPPoE
(over ATM) PPPoA para autenticarnos y/o encriptar nuestras
conexiones hacia sus servidores para as poder darnos acceso a un
internet "seguro", como el caso de Telefnica y su servicio Speedy,
Nextel (sin ATM en el caso de Per), Telmex en Mxico, y cientos de
ISP's en el mundo.
El problema viene a que estos ISP's nos
venden/ceden/alquilan/regalan routers ADSL de gama MUY baja, con
muy poca capacidad de conexiones y sesiones NAT, inclusive algunos
tienden a colgarse o a dejar de aceptar nuevas conexiones cuando
son ligeramente exigidos, y esto sin contar con los bugs que
algunos tienen con su firewall integrado y en sus opciones NAT.
El punto de esta gua es hacer que MikroTik sea el nico que
maneje estas conexiones, dejando prcticamente "inutizado" al router
que nos di el ISP, y as poder manejar plenamente nuestra conexin a
internet sin los problemas que estos routers nos podran dar.
A groso modo, un routerADSL modem/router cuenta con: Modem ADSL
(Interfaz ADSL) Router (encargado del NAT, conexiones, firewall,
etc) Switch Access PointTodo integrado en un slo equipo, del cual
por configuracin, slo dejaremos activado el modem ADSL y el switch.
El trabajo de Router (duro trabajo) lo har nicamente MikroTik.
Antes de empezar a hacer esta configuracin, recomiendo darle una
lectura a lo ms bsico, cmo configurar MikroTik en modo router
neutro, para hacerse una idea del proceso.
Parte 1: Configurar la interfaz virtual PPPoE-Client.
Para empezar, teniendo ya reconocidas nuestras interfaces de
red, nos conectaremos por la interfaz ether1, luego ya en Winbox,
vamos a Interfaces.
En la ventana que aparecer, iremos a la pestaa Interface y luego
agregaremos una nueva interfaz (+) para nuestro PPPoE Client.
Una vez hecho esto, nos aparecer una nueva ventana para
configurar nuestro PPPoE Client, luego iremos a pestaa General.
Interfaces, seleccionaremos la interfaz a la que ser asociada
nuestra interfaz virtual PPPoE Client, que en este caso es ether1.
Es de suponer que conectaremos nuestro modem/router a ether1, para
que establezca la conexin PPPoE.
Luego iremos a la pestaa Dial Out
User/Password, son los datos que nos da nuestro ISP para
podernos autenticar a sus servidores, estos valores los
encontraremos dentro de nuestro modem/router, o quiz los tengamos a
la mano si nuestro ISP nos di un simple modem xDSL, esto ltimo lo
sabremos ya que es necesario instalar en nuestro PC un cliente
PPPoE como WinPoET (PPPoE para Windows) y loguearnos para tener
internet.
Nota: Algunos ISP no necesitan estos User y Password, ya que slo
usan el protocolo PPPoE para encriptacin.
Dial On Demand, slo marcar el usuario y password y conectar con
el servidor de nuestro ISP, cuando existan peticiones a internet.
Si no hay peticin alguna, entonces se desconectar
automticamente.
Add Default Route, al tener marcada esta opcin, MikroTik agregar
automticamente una ruta de salida a Internet (Gateway) utilizando
los valores que le entreg automticamente el ISP al momento que
estableci conexin con su servidor.
Use Peer DNS, MikroTik configurar automticamente el DNS (IP
-> DNS) con los valores que le entreg el ISP al momento que
estableci conexin con su servidor.
Nota: Estas 2 ltimas opciones deberan de estar descarcadas si se
est configurando el PPPoE-Client para balanceo de carga (load
balance) entre 2 ms lneas (links) de internet.
Una vez hecho esto, tendremos una interfaz nueva llamada por
defecto, pppoe-out1.
Podrn notar que esta nueva interfaz no tiene un R a lado
izquierdo, eso quiere decir que no est funcionando o "Running";
claro, tendramos que tener ya configurado el modem/router en modo
bridge para que establezca conexin con el servidor de nuestro ISP,
una vez hecho, debera de tener esa "R"
Parte 2: Configurar Puerta de Enlace (Gateway) de los clientes y
enmascarado.
Una vez que nuestro PPPoE Client est configurado, tendremos que
hacer que nuestros clientes tengan internet utilizando nuestra
conexin PPPoE Client.
Vamos a IP -> Adresses y agregamos una nueva regla (+), en
este caso ser agregar el IP de la puerta de enlace (Gateway) de
nuestros clientes.
Address, aqu colocaremos la puerta de enlace que tendrn nuestros
clientes, en este caso es 192.168.10.1
Interface, seleccionaremos la interfaz de red a la que estamos
colocando este IP, obviamente seleccionaremos la interfaz LAN de
nuestro servidor, que en este caso es ether2.
Nota: Para tener una idea ms clara de esta configuracin, como
saber qu es el /24 que coloqu al lado del IP, recomiendo dar una
lectura al siguiente manual.
Una vez que colocamos el IP a la interfaz LAN (el gateway de los
clientes) tendremos que hacer el enmascarado, para eso vamos a IP
-> Firewall -> pestaa NAT y agregamos una nueva regla (+)
En la ventana que aparecer iremos a la pestaa General.
Chain, seleccionamos scrnat. Aunque siempre est as por defecto
cuando se crea una nueva regla...
Out. Interface, seleccionaremos nuestra interfaz WAN, en este
caso ser nuestra interfaz virtual pppoe-out1.
Pasamos a la pestaa Action.
Action, eligiremos masquerade que nos permitir enmascarar
nuestras conexiones (de los clientes) detrs de la IP pblica que nos
entregar nuestro ISP cuando nuetra interfaz pppoe-out1 se conecte a
su servidor.
Con esto la configuracin ya est terminada de momento, pero an no
tendremos internet hasta que nuestra interfaz pppoe-out1 se conecte
apropiadamente al ISP.
Tener en cuenta que aqu no iremos a IP -> Routes para asginar
una salida a internet al servidor, esto a que dejamos marcada la
opcin Add Default Route de la pestaa Dial Out en la configuracin de
nuestro pppoe-out1, as que cuando se conecte, automticamente se
agregar dicha regla.
Nota: Una vez ms, sugiero leer este manual para poder entender
esta gua.Como lo he mencionado al inicio de esta gua, es necesario
configurar el modem/router a modo bridge y conectarlo a la interfaz
de red asociado al pppoe-out1, que en este caso a ether1.
Una vez hecho esto, MikroTik har la conexin PPPoE, y cuando
llegue a conectar veremos estos cambios:
En Interfaces aparecer la letra "R" al lado de pppoe-out1, lo
que indicara que se estableci conexin.
En IP -> Addresses, se agregar automticamente (ntese la "D")
un IP asoaciado a la interfaz pppoe-out1, esta vendra a ser nuestra
IP pblica que asign nuestro ISP.
Nota: En raras ocasiones, y dependiendo del ISP, este nos dar
una IP "muerta", que NO corresponde al rango de IP's asignados a
nuestros Pas, esto podra suceder por un error al escribir el User y
Password dentro de la configuracin de Interfaces -> pppoe-out1
-> pestaa Dial Out.
En IP -> Routes, se agregarn automticamente las rutas
correspondientes desde nuestra IP pblica, al servidor de
autenticacin de nuestro ISP.
Nota: Tener en cuenta que slo se agregar nuestra salida a
internet automticamente si se tiene activada la opcin Add Default
Route en Interfaces -> pppoe-out1-> pestaa Dial Out.
Respuestas Rpidas:
Por qu no tengo la "R" en pppoe-out1?Si se ha configurado
correctamente y tal como est en esta gua, una de las principales
razones para que nuestro pppoe-out1 no conecte, casi siempre se
debe a alguna falla en la configuracin del modem/router a modo
bridge, aunque aveces con slo reiniciar el modem/router y el
servidor se llega a solucionar, e inclusive puede tardar cierto
tiempo (varios minutos) en establecer conexin por primera vez.
Es necesario colocar un IP al ether1 (WAN)?En realidad no, ya
que ether1 NO es nuestra WAN, nuestra verdadera WAN es la interfaz
virtual pppoe-out1, y este obtiene su IP automticamente cuando
establece conexin con el servidor (PPPoE Server) del ISP. La IP que
aparece automticamente en IP -> Addresses y que hace referencia
a pppoe-out1, es nuestra WAN IP o IP pblica en este caso.
Mi ISP utiliza la autenticacin por PPPoA, pero MikroTik no tiene
esta opcin Me sirve esta gua?Si se utiliza el protocolo PPPoA, no
existe problema alguno ya que MikroTik slo marca el User y Password
para la autenticacin. Puedes usar esta gua sin problemas.
Cmo conecto el cable telefnico a la tarjeta de red del
servidor?? Jams hagas eso! Ni lo intentes! El cable telefnico
siempre ir conectado al puerto RJ11 del modem/router; luego, de un
puerto RJ45 del modem/router conectars nicamente un cable de red a
la tarjeta puerto ethernet del servidor.
Puedo conectar una tarjeta PCI fax/modem (RJ11) al servidor y as
no utilizar el modem/router?Absolutamente NO. Una tarjeta fax/modem
no es una interfaz ADSL como las que llevan los modem ADSL, o
modem/router. Son tecnologas distintas.
Puedo conectar una tarjeta PCI ADSL (RJ11) al servidor y as no
utilizar el modem/router?La idea es bastante vlida, pero MikroTik
no soporta ninguna interfaz ADSL, y quiz nunca lo haga.
Saludos.Configurar MikroTik WebProxy (WebCach) MikroTik cuenta
con su propio Webproxy, que almacenar los elementos de las pginas
que nuestros clientes visitaron, as que cuando estas pginas se
vuelvan a visitar, dichos elementos saldrn de nuestro disco duro y
ya no de interent, ahorrando ancho de banda; inclusive hace que
nuestra navegacin sea ms rpida ya que los elemenos que salgan del
disco duro, lo harn con una velocidad superior a la que limitamos
al cliente, claro para esto ltimo hay que configurar el famoso
"Full Cache". Luego, con webproxy podremos bloquear pginas,
redireccionar, eliminar publicidad en la navegacin, etc.
Para iniciar la configuracin, vamos a: IP -> Web Proxy ->
pestaa Access -> botn Web Proxy Settings.
En la ventana que aparecer iremos a la pestaa General.
Port, por defecto MikroTik usa el puerto 8080 para 'escuchar'
las peticiones al webproxy.
Cache Administrator, cuando una pagina sea inaccesible, ya sea
porque est cada o porque decidimos bloquearla (lo que veremos en
otra gua), el cliente tendr una pgina de error, en donde aparecer
lo que est escrito ah, por defecto es webmaster, aunque si desean
pueden colocar su correo para recibir cualquier tipo de
feedback.
Cache On Disk, aqu activaremos el cach en la unidad de
almacenamiento, si no est activado, entonces el cach se almacer en
la memoria.
Max. Cache Size, aqu especificaremos el tamao mximo que tendr el
cache en el disco (o nidad de almacenamiento que utilicemos); por
ejemplo, si tenemos un disco duro de 20 GB, cunto de estos 20 GB
sern dedicados al cach, MikroTik toma este valor en KiB, entonces,
si queremos dedicar 15 GB al cach tendremos que colocar este valor
multiplicado 2 veces por 1024, por lo tanto 15 GB equivale a
15728640 KiB. Si por accidente llegmos a equivocarmos con este
valor y colocramos uno que sobrepase el tamao total del disco, no
hay problema ya que MikroTik calcular el mximo tamao posible y har
la correccin automticamente.
Aqu encontraremos 2 opciones ms: Unlimited, MikroTik calcular
automticamente el tamao mximo en disco para almacenar el cach.
(viene con esta opcin por defecto) None, MikroTik NO almacenar
ningn tipo de cach. Entonces cul es el caso de activar el Webproxy?
Pues podemos bloquear pginas, redireccionarlas, etc. cosa que
veremos en otra gua. Muy usado en RouterBoards.Cache Hit DSCP
(TOS), marcar todo el contenido que salga del cach almacenado (del
disco duro), para poder trabajarlo luego, por ejemplo, limitar su
velocidad, o liberarla (hacer "full cach"), esto ltimo lo veremos
en otra gua.
Cache Drive, aqu aparecer el nombre de la unidad de
almacenamiento en donde se almacenar el cache, si es que se
configura para ello, claro.
Con esto el Webproxy ya est funcionando, si es que queremos
probarlo, entonces
configuraremos nuestro navegador:
Ya si vienen siguiendo este manual desde el principio, sabrn que
el IP 192.168.10.1 es la puerta de enlace de nuestros clientes, el
LAN IP del servidor. El puerto corresponte obviamente a lo que
configuramos en Web Proxy Settings.
Si vamos a una pgina tal como http://www.whatismyip.com este nos
dir que ha detectado a MikroTik WebProxy
Claro, como no es muy cmodo ir a la casa de los clientes y
cambiar la configuracin en el navegador de cada uno, entonces
tendremos que configurar el webproxy transparente (Hacer que los
clientes vayan al webproxy sin que ellos se den cuenta) con la
ayuda del servidor.
Importante: Es muy recomendable bloquear el acceso al WebProxy
desde el exterior (Internet) as nos evitamos que personas
malintencionadas, o virus, usen nuestro Webproxy sin autorizacin,
convirtindolo en un proxy pblico a la que cualquier persona en el
mundo pueda acceder.
Nota: Si utilizan un RB, y slo quieren activar el webproxy para
hacer redirecciones y bloqueos, slo tendran que configurar de la
siguiente manera.
Max. cache size, noneCache On Disk, desmarcado.
SaludosConfigurar Web Proxy Transparente Ya vimos cmo configurar
el WebProxy, y vimos tambin que hay que configurar nuestro
navegador para que se comunique con WebProxy y as poder utilizarlo.
Esta gua est diseada para que, con la ayuda del servidor,
obliguemos a los clientes a pasar por el webproxy sin que estos se
den cuenta y sin tocar su navegador. A esta configuracin se le
llama "WebProxy Transparente" "Redireccin a WebProxy".
En lneas generales, solo vamos a detectar el trfico que nuestros
generen con destino al puerto 80 (puerto http, que se usa para la
navegacin web) y redireccionarlo al puerto de nuestro WebProxy, que
segn nuestra gua anterior es el puerto 8080. Para esto nos vamos a
IP -> Firewall -> pestaa NAT y agregamos una nueva regla
(+).
En la ventana que aparecer iremos a la pestaa General.
Chain=dstnat, en pocas palabras esta cadena especifica 'lo que
tenga como destino'
Protocol=tcp, el protocolo usado para la navegacin web.
Dst. Port, escogemos el puerto destino http, o puerto 80.
In. Interface, la interfaz de red de nuestros clientes LAN, si
han seguido todos mis manuales, la interfaz LAN es ether2.
Luego vamos a la pestaa Action.
Action, que es lo que va a hacer con el trfico que identificamos
en la pestaa General, en este caso vamos a redireccionar (a nuestro
servidor), por eso elegiremos redirect.
To Ports, el puerto al que ser redireccionado todo el trfico que
identificamos en la pestaa General, que ser el puerto 8080, ya que
es el puerto que aceptar las peticiones del WebProxy, segn nuestra
configuracin.
"Todo lo que tenga como destino (dstnat), el puerto 80 (Dst.
Port), con protocolo tcp (protocol), y que entre por ether2 (In.
Interface)". "Ser redireccionado (redirect), al puerto 8080 (To
Ports)".
Es MUY recomendable, que coloquen un comentario a la regla
utilizando el botn Comment, esto para reconocer la regla fcimente
cuando necesitemos hacerlo, ya que cuando tengamos ms de 10, 20 x
reglas, nos ser ms fcil reconocerla, y esto va con nfasis para los
que recin empiezan. En este caso el comentario que le pondr ser
"Redireccin a Webproxy".
Con esto ya tenemos configurado nuestro Web Proxy
Transparente.
Saludos.Liberar la Velocidad de Web Proxy (Full Cach) Una de las
ventajas de utilizar el webproxy es acelerar la navegacin, esto a
que los elementos de una pgina X vista anteriormente almacenados en
el disco duro de nuestro servidor, saldrn de este disco duro, y ya
no de internet a una velocidad superior (hasta 80Mbps, a este
proceso se llama HIT) Hasta aqu todo bien, pero si se llega a
asignar un ancho de banda especfico para cada cliente, habrn
notado, o notarn, que la gran velocidad que nos da un HIT tambin es
limitada a la velocidad estabelcida para cada cliente; entonces,
por tal motivo tenemos que configurar el "Full Cache" en el
servidor.
Bueno, esto funciona as: Cuando un archivo sale del disco duro,
este sale con una marca en comn, prcticamente en todos los webcach,
cuando un elemento sale del disco duro (HIT), este sale con la
marca : "X-Cache: HIT", o si el webcach lo permite, se puede
introducir una marca por TOS DSCP para estos elementos, como el
caso de MikroTik 3.x y 4.x.
De esta manera, podemos configurar a MikroTik a que reconozca
tal marca, y que le quite la limitacin de todo lo que la utilice,
aunque ms adelante podemos definir un lmite global si es que lo
necesitamos.
Para reconocer y marcar (dar nombre) a las conexiones y/o
paquetes de un determinado tipo de trfico, ya sea por IP, puerto,
puerto, cantidad de bytes, etc etc, todo eso lo vemos en IP ->
Firewall -> pestaa Mangle, luego, para utilizar esa marca que
colocamos y dimos nombre, vamos a Queue -> pestaa Queue Tree,
justo aqu es donde se prioriza y limita (o libera segn sea el caso)
aquellos paquetes con marca.
Vamos entonces a IP -> Firewall -> pestaa Mangle y abrimos
una nueva regla (+). Veremos una ventana como imagen de abajo, e
iremos a la pestaa General.
Chain=Output, la cadena especifica todo lo que tenga como origen
el mismo servidor (ya que el cach saldr del mismo servidor
MikroTik)
Luego vamos a la pestaa Advanced.
DSCP (TOS), aqu colocamos el nmero 4, ya ese es el valor que
vino por defecto en la configuracin de Webproxy. Si quieren
recordar, aqu una imagen.
Vamos a la pestaa Action.
Action=marck packet, seleccionamos mark packet de la lista, ya
que lo que haremos ser "marcar paquetes".
New Packet Mark, aqu escribiremos el nombre con el que
identificaremos a nuestra marca de paquetes, en este caso le coloqu
"Full-Cache".
Passthrough, quitaremos este check, y as evitaremos que los
paquetes marcados se vuelvan a marcar por cualquier otra regla
debajo de esta.
De esta manera ya tenemos marcados los paquetes que salieron del
disco duro (hicieron HIT), la marca se llama "Full-Cache" y ahora
solo tenemos que utilizarla para liberar este trfico. Para eso
vamos a Queue -> pestaa Queue Tree y abrimos una regla (+). En
la ventana que aparecer vamos a la pestaa General.
Name, aqu colocaremos un nombre para reconocer a la regla, casi
igual que cuando utilizamos el botn comment.
Parent, seleccionaremos global-out, ya que segn el packet flow,
global-out es la salida general de este sistema.
Packet Marks, elegiremos la marca que creamos hace un paso atrs,
en este caso "Full-Cache"
Max-Limit, esto es un opcional si trabajamos en red cableada; si
no colocamos ningn valor, entonces los elementos que hagan HIT
saldrn a una velocidad "ilimitada", donde el lmite lo pondr la
propia infraestructura que utilicemos, en el caso de una red
cableada normal, la velocidad ser aproximadamente de 80Mbits/s, en
el caso de una red wireless, 5.9Mbits/s y 22Mbits/s segn el modo
que utilicemos, 802.11b 802.11g respectivamente. Ya para una red
wireless en modo 11b, o en modo 11g en "zonas saturadas", es
recomendable fijar el lmite a un mximo de 4Mbits/s o menos, para no
saturar nuestro ancho de banda wireless (throughput).
Una vez hecho esto, cualquier elemento que salga de nuestro
cach, saldr a la velocidad que hayamos colocado en la regla Queue
tree (ver ltima imagen), dando igual si el cliente tiene fijado
algn lmite de velocidad.
SaludosVer el Contenido Cacheado por WebProxy Para revisar el
contenido cacheado, existen 2 formas, una es usando New Terminal, y
la otra es utilizando las ventanas de WinBox.
Ver el contenido cacheado por ventana de WinBox (NO
Recomendado).
Vamos a IP -> Web Proxy -> pestaa Cache Contents y nos
listar todos los elementos almacenados en el cach.
El problema aqu es que no nos mostrar el contenido real hasta
que terminen de listarse todos los elementos, y hablamos de miles
de elementos, as que este proceso puede tardar horas; luego, cuando
WinBox est listando los elementos, el consumo de CPU y de disco
duro llegan al 100% ocasionando lentitud en toda la red; pero eso
no es todo, cuando WinBox est listando elementos, el ancho de banda
usado en la comunicacin entre WinBox y el servidor puede subir a ms
de 5Mbps, lo que saturara el ancho de banda wireless si se est
conectado por este medio. En definitiva, no es recomendable ver el
contenido cacheado de esta forma.
Ver el contenido cacheado por New Terminal.
Vamos a New Terminal, escribimos el cdigo de abajo, y
presionamos enter para ejecutarlo.Cdigo:ip proxy cache-contents
print
Una vez que se liste el contenido tal como la imagen de arriba,
se puede usar las teclas direccionales (arriba y abajo) para que,
manualmente, siga listando los elementos almacenados en cache. Esta
manera de ver el contenido cacheado no tiene los problemas que
ocasiona el otro mtodo.
Saludos.Configurar disco secundario dedicado al cache para
WebProxy Muchas veces queremos agregar un disco duro secundario
para tenerlo dedicado al cache de MikroTik WebProxy, ya sea porque
nuestro disco de sistema es de poca capacidad, por seguridad (as
apenas se usa el disco del sistema donde se guarda la licencia). o
quiz tengamos un RouterBOARD o RB al que le queremos colocar una
tarjeta microSD, Compact Flash, o un disco duro externo USB si es
que nuestro RB cuenta con este puerto.
Para empezar, sera bueno reconocer cul es el disco en donde
estamos almacenando el cach actualmente, en este caso es
primary-master, ya que el disco duro en esta oportunidad est
conectado al Primary IDE, y est configurado como Master, as que
dependiendo del caso podran ser secondary-master, primary-slave,
secondary-slave, sata1, o system, en estos 2 ltimos casos
corresponde a los discos SATA, y la memoria interna de nuestro
RB.
Notaremos que nuestro Cache Drive actual, es primary-master.
Vamos a System -> Stores -> pestaa Stores y veremos que
existe ya una regla, ya slo al verla sacamos al ojo que es la regla
que configura nuestro disco (del sistema) para que sea webproxy, y
de paso est con Status: active, o activo.
Hacemos click en la pestaa Disks, y mostrar todas las unidades
de almacenamiento que tenemos disponibles, ya sea IDE, SATA, USB,
Compact Flash, o SD/microSD. En este ejemplo el disco duro
secundario que ser dedicado exclusivamente al cach es uno del tipo
SATA, y normalmente debera de tener Status: invalid ya que MikroTik
an no lo ha preparado para ser utilizado, entonces presionamos el
botn Format Drive, notaremos que el status cambiar a formatting...
o formateando, la operacin podra tardar dependiendo de la capacidad
y velocidad del disco duro. Una vez terminada la operacin el status
cambiar a ready, o listo.Ya con el disco preparado para ser
utilizado por MikroTik regresamos a la pestaa Stores y agregamos
una nueva regla ( + )
Name, aqu escribiremos el nombre de la regla, en este caso le
puse web-proxy2Type, elegiremos qu tipo de uso se le dar a este
disco, en este caso elegiremos web-proxy, ya que lo usaremos para
eso.Disk, pues seleccionamos el disco que utilizaremos, de este
ejemplo, el disco duro dedicado al cach es sata1.
Recuerden marcar Activate, para que la regla se active.
Notaremos que nuestra regla web-proxy2 ya est activada, y la
regla anterior entr a pasar a ser un backup, esto quiere decir que
si quitramos el disco duro de cach actual, el disco duro de backup
se activar automticamente, ya si no se quisiera que esto ocurra,
simplemente borren la regla web-proxy1.
Listo! slo queda comprobar que nuestro nuevo Cache Drive
corresponda a nuestro disco duro que designamos para el cach, y
como muestra la imagen, todo fue un xito ya que vemos a sata1.
Tener en cuenta que si tenemos nuestro WebProxy funcionando y an
procesando peticiones, todo esto no funcionar hasta que reiniciemos
el server con System -> Reboot.
Saludos.Evitar Ataque a MikroTik Webproxy y DNS cache Bueno, ya
muchos sabrn que MikroTik dispone de un Web Proxy server y un DNS
Cache, pero muchas veces al momento de configurarlo no solemos
cololocar las reglas necesarias para bloquear el acceso a estos
recursos desde internet.
Muchos ser harn esta pregunta Que podra pasar si no bloqueo el
acceso a estos servicios desde internet?
La respuesta no es muy complicada. Si el servicio est abierto,
por ejemplo el webproxy, cualquier tipo de spyware, malware o virus
en general, podra informar esta falla de seguridad en nuestro
servidor y aprovecharse de nosotros haciendo peticiones desde
nuestro web proxy a internet, obviamente nos est consumiendo
nuestra propia lnea, y con ms nfasis, nuestro escaso upload.
Cuando esto ocurre, se siente una extraa lentitud, y un uso
bastante desproporcionado del upload del WAN respecto al upload de
la interfaz de los clientes. Si se llega a abrir google para hacer
una bsqueda, este te devolver un mensaje con en esta imagen.
Bueno, luego de tanto prembulo, vamos al grano.
Bloqueo webproxy externo:Cdigo:/ip firewall filter add
action=drop chain=input comment="Bloqueo webproxy externo"
disabled=no dst-port=8080 in-interface=pppoe-out1
protocol=tcpBloqueo DNS cache externo:Cdigo:/ip firewall filter add
action=drop chain=input comment="Bloqueo DNS cache externo"
disabled=no dst-port=53 in-interface=pppoe-out1 protocol=udpVoy a
desmantelar un poco la primera regla e intentar explicarla para que
se hagan una idea de qu estn copiando y pegando en sus
servidores.
action=drop, "arroja" los paquetes, no sern procesados.
chain=input, utiliza la cadena input (conexiones y/o paqutes cuyo
destino final sean el mismo servidor). in-interface=pppoe-out1,
interfaz de entrada de las conexiones y/o paquetes (que sern
bloqueados por action=drop), en este caso es el pppoe-out1. Se
tiene que cambiar por la interfaz WAN que corresponda.
protocol=tcp, protocolo de transmisin, el ms utilizando en internet
junto con en protocolo UDP. dst-port=8080, puerto destino (que ser
bloqueado por action=drop), por defecto de webproxy es el puerto
8080.
SaludosEvitar ataque de ping al servidor MikroTik Este ejemplo
bloquea los packetes de 99 bytes a ms.Cdigo:/ip firewall filter add
action=drop chain=input comment="" disabled=no
in-interface=pppoe-out1 packet-size=128-65535
protocol=icmpin-interface, interfaz de entrada a limitar el ping.
Puede ser LAN, WAN, etc.
packet-size, tamao de paquetes a bloquear.
Nota: Si se quiere bloquear completamente el ping, simplemente
hay que remover la parte "packet-size":Cdigo:/ip firewall filter
add action=drop chain=input comment="" disabled=no
in-interface=pppoe-out1 protocol=icmpSaludos.Prevenir ataque SSH y
FTP Bueno soy bastante nuevo esto pero he tenido ataques ftp y ssh
y buscando y buscando encontr la solucin (tal vez conocida por
muchos) para este tipo de problemas. Si estaba en el foro no la
encontr.
Como saber si te estn atacando de estas dos formas? fcil, entra
a log y veras algo como esto.
este es el tpico ataque ftp; en el ataque ssh es prcticamente lo
mismo pero al final va el ssh.
Este script bloquea una ip al noveno intento fallido de
conexion, donde al dcimo intento, esta ip entra en una lista donde
se bloquear por 3 horas (puedes modificar las horas a tu
gusto)Cdigo:/ip firewall filter
add chain=input protocol=tcp dst-port=21
src-address-list=ftp_blacklist action=drop comment="Bloquear
Ataques FTP"
add chain=output action=accept protocol=tcp content="530 Login
incorrect" dst-limit=1/1m,9,dst-address/1m
add chain=output action=add-dst-to-address-list protocol=tcp
content="530 Login incorrect" address-list=ftp_blacklist
address-list-timeout=3h
Este otro script bloquea la ip que intente cuatro intentos
fallidos de conexion en un minuto. Esta direccin ingresar a una
lista donde se bloquear cualquier ataque ssh proveniente de esa ip
por 10 dias (puedes modificar los das a tu gusto)Cdigo:/ip firewall
filter
add chain=input action=drop protocol=tcp
src-address-list=ssh_blacklist dst-port=22 comment="Proteccion VSC
contra ataques via SSH"
add chain=input action=add-src-to-address-list
connection-state=new protocol=tcp src-address-list=ssh_stage3
address-list=ssh_blacklist address-list-timeout=1w3d
dst-port=22
add chain=input action=add-src-to-address-list
connection-state=new protocol=tcp src-address-list=ssh_stage2
address-list=ssh_stage3 address-list-timeout=1m dst-port=22
add chain=input action=add-src-to-address-list
connection-state=new protocol=tcp src-address-list=ssh_stage1
address-list=ssh_stage2 address-list-timeout=1m dst-port=22
add chain=input action=add-src-to-address-list
connection-state=new protocol=tcp address-list=ssh_stage1
address-list-timeout=1m dst-port=22 Otra opcin es cambiar los
puertos en IP/Services. Personalmente intente cambiar el puerto del
ftp pero el ataque segua asi que no funciono en mi caso. Con el
ataque ssh cambie el puerto y santo remedio pero nunca estan dems
estos script.
Espero que le sirva a mas de alguno
saludosAporte: Firewall para evitar ataques SSH , portscanners y
paquetes invlidos Buenas ! aca les dejo el firewall que tengo
implementado para bloquear ataques ssh y los famosos robots que nos
scanean el server
antes que nada les recomiendo que desactiven todo menos ssh y
winbox en ip>>> services , ya que un ataque via ftp o por
cualquier medio puede elevar mucho el consumo del cpu ejemplo : mi
cpu sin ataques funciona al 15% como maximo , con un ataque ftp
continuo al 50% , para revisar si los atacan pueden ver el log
bueno aqui el firewall en cuestion :Cdigo:/ip firewall filteradd
action=drop chain=forward comment="Filtra paquetes invalidos"
connection-state=invalid disabled=noadd action=accept chain=forward
comment="Reglas Firewall Basicas" connection-state=related
disabled=noadd action=accept chain=forward comment=""
connection-state=established disabled=no
add action=drop chain=input comment="FIltra ICMP Redirect"
disabled=no icmp-options=5:0-255 protocol=icmpadd action=drop
chain=input comment="Filtro ataque SSH" connection-state=new
disabled=no dst-port=22 protocol=tcp
src-address-list=SSH_Rompepelotas
add action=add-src-to-address-list address-list=SSH_Rompepelotas
address-list-timeout=10m chain=input comment=""
connection-state=new disabled=no dst-port=22 protocol=tcp
src-address-list=SSH_TercerIntentoadd
action=add-src-to-address-list address-list=SSH_TercerIntento
address-list-timeout=1m chain=input comment="" connection-state=new
disabled=no dst-port=22 protocol=tcp
src-address-list=SSH_SegundoIntentoadd
action=add-src-to-address-list address-list=SSH_SegundoIntento
address-list-timeout=1m chain=input comment="" connection-state=new
disabled=no dst-port=22 protocol=tcp
src-address-list=SSH_PrimerIntentoadd
action=add-src-to-address-list address-list=SSH_PrimerIntento
address-list-timeout=1m chain=input comment="" connection-state=new
disabled=no dst-port=22 protocol=tcp
src-address-list=!SSH_PrimerIntento
add action=add-src-to-address-list address-list="port scanners"
address-list-timeout=2w chain=input comment="Port scanners to list
" disabled=no protocol=tcp psd=21,3s,3,1add
action=add-src-to-address-list address-list="port scanners"
address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan"
disabled=no protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urgadd
action=add-src-to-address-list address-list="port scanners"
address-list-timeout=2w chain=input comment="SYN/FIN scan"
disabled=no protocol=tcp tcp-flags=fin,synadd
action=add-src-to-address-list address-list="port scanners"
address-list-timeout=2w chain=input comment="SYN/RST scan"
disabled=no protocol=tcp tcp-flags=syn,rstadd
action=add-src-to-address-list address-list="port scanners"
address-list-timeout=2w chain=input comment="FIN/PSH/URG scan"
disabled=no protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ackadd
action=add-src-to-address-list address-list="port scanners"
address-list-timeout=2w chain=input comment="ALL/ALL scan"
disabled=no protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urgadd
action=add-src-to-address-list address-list="port scanners"
address-list-timeout=2w chain=input comment="NMAP NULL scan"
disabled=no protocol=tcp
tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="dropping port scanners"
disabled=no src-address-list="port scanners"ryohnosuke y nukeko les
gusta esto.Configurar MikroTik DHCP Server (dar IP's
automticamente) Parte 1 Un servidor DHCP ser encarga de asignar un
IP y dems datos de configuracin de red a cualquier dispositivo que
se lo pida, este puede ser un PC, un AP, un PlayStation3, etc.
El proceso en s no es muy simple, pero para hacerlo fcil se
podra explicar de esta manera: El PC o dispositivo de red
configurado para obtener un IP automticamente har una solicitud a
nuestro servidor DHCP (MikroTik), y luego de una negociacin, ste
anotar la MAC de la tarjeta de red del solicitante y luego le
asignar un IP y dems datos de configuracin. El servidor DHCP no
entrega los IP's a ojo cerrado, este entrega slo los IP's de un
rango que designamos, y claro, este IP no debe de estar ya en
uso.
Por ejemplo, configur a esta compu para que obtuviera IP
automticamente, y con la ayuda del comando ipconfig /all desde CMD
(intrprete de comandos de windows) puedo ver los datos que me
entreg el servidor DHCP:
Como podemos ver en la imagen de arriba, el DHCP server nos
entreg todos los datos que usualmente completamos cuando
configuramos un IP manualmente.
Para hacer eseta gua he tomado en cuenta que ya se ley las dems
guas bsicas para configurar MikroTik y que el servidor est en
funcionamiento.
Para comenzar, vamos a IP -> DHCP Server -> pestaa DHCP y
presionamos el botn DHCP Setup para seguir con el asistente de
configuracin.
El asistente de configuracin nos ayudar a tener nuestro DHCP
server correctamente configurado, y de paso es la manera ms simple
de hacerlo, ya que slo es cosa de hacer "siguiente, siguiente y
siguiente" casi literalmente.
DHCP Server Interface, seleccionamos la interfaz de red en donde
se instalar el DHCP server, obviamente aqu elegieros la interfaz de
red LAN o la tarjeta de red desde donde se conectan nuestros
clientes, que en este caso es ether2.
El asistente de configuracin slo se guiar de de nuestra
configuracin actual. Este valor lo sac de manera automtica de
nuestra configuracin de IP en IP -> Addresses.
DHCP Address Space, es la red en donde funcionar el DHCP server,
en este caso 192.168.10.0/24. Tengan en cuenta que el /24 quiere
decir 255.255.255.0, la mscara de subred que el DHCP server nos dar
cuando solicitemos un IP automticamente.
Gateway for DHCP Network, es la puerta de enlace que el servidor
DHCP ofrecer a los clientes que soliciten un IP, en este caso es
192.168.10.1
Address to Give Out, es el rango de IP's que el servidor DHCP
asignar a nuestros clientes, del ejemplo el servidor tiene 55 IP's
para repartir, del 192.168.10.200 al 192.168.10.254
Lease Time, es el tiempo en el que MikroTik almacenar los datos
de todos los clientes al que el servidor DHCP asign un IP
automticamente.
Una vez hecho esto, ya tendremos nuestro DHCP server
funcionando.
Name, es el nombre de nuestro servidor DHCP, dhcp1 en este
caso.
Interface, es la interfaz de red donde nuestro servidor escuchar
las peticiones para asignar IP's automticamente, obviamente esta es
la interfaz LAN, o tarjeta de red de los clientes, en este caso es
ether2.
Lease Time, es el tiempo en el que MikroTik almacenar los datos
de todos los clientes al que el servidor DHCP asign un IP
automticamente.
Address