Mikrotik Paso a Paso

Serie de videos sobre configuración de dispositivos mikrotik, enfocado en procedimientos manuales de configuración, mismos que por lo general son usados en los procesos de certificación MTCNA

Lista de reproducción: https://www.youtube.com/playlist?list=PLZ9B0ANCDjgDNaeyRqi7QQhkNaUe8Obs9

Video 001

En el cual aprendemos como acceder a la configuración de los adaptadores de red en windows, de una manera rápida mediante el comando ncpa.cpl

Video 002

En el cual aprendemos como configurar una ip estática en el adaptador de red cableado de nuestro computador con windows

Video 003

En el cual aprendemos como configurar el adaptador de red para recibir la configuración ip desde un servidor DHCP en un computador windows

Video 004

En el cual aprendemos como conectar el mikrotik al pc y como acceder por medio de winbox

Video 005

Vemos acceso a página de mikrotik donde podremos encontrar información sobre la configuración que viene precargada en los dispositivos en su estado de fabrica.

Video 006

En el cual vemos como limpiar la configuración de un router mikrotik mediante winbox, paso necesario para poder iniciar con configuraciones personalizadas en el dispositivo mikrotik.

Video 007

En el cual vemos como realizar la configuración de un usuario administrador personalizado en el mikrotik mediante winbox

Video 008

Donde realizamos la configuración ip a una de las interfaces físicas de un router mikrotik, luego en el adaptador cableado de nuestro pc configuramos una ip del mismo segmento y confirmamos conectividad mediante ping.

Video 009

Donde realizamos la personalización del nombre de la interface WAN y configuramos un cliente DHCP sobre esta interface

Video 010

Vemos como realizar la configuración de una dirección ip estática en la interface WAN1, se crea la ruta por defecto y se confirma salida a internet desde el router.

Video 011

Aprendemos a quitar la configuración de salida a internet mediante ip estática y se realiza configuración de interface PPPoE Client, con la cual obtendremos el direccionamiento ip.

Video 012

Vemos como deshabilitar la interface PPPoE Client y configuramos nuevamente una ip estática en la WAN1, se habilita la resolución DNS y se confirma la resolución DNS desde el propio mikrotik.

Video 013

Se configura el direccionamiento ip que permite la salida a internet al pc, mediante el router que se estaba configurando en los videos anteriores. Se valida la salida mediante utilidad tracert de windows.

Video 014

Configuración un servidor DHCP en la interface de red del mikrotik donde se esta trabajando localmente para la administración del router desde el pc con una conexión directa. Configuramos el adaptador de red cableado en windows, para obtener direccionamiento por DHCP.

Video 015

Se realiza cambio de la configuración de la wan de estática a PPPoE client y se realiza cambio en la regla de masquerade (NAT), realizamos pruebas de funcionamiento. Luego hacemos un cambio de salida a internet de PPPoE Client a salida mediante obtención de dirección ip por medio de cliente DHCP. Se nos presenta un comportamiento anormal al realizar los cambios, por lo cual deshabilitamos y rehabilitamos el adaptador de red que conecta hacia el mikrotik.

Video 016

Habilitamos en el mikrotik un servidor DNS, para que sea el mikrotik quien atienda las solicitudes de los dispositivos internos, para ello también actualizamos la red del servidor DHCP, para que envié la ip de servidor DNS que nosotros especificamos.

Video 017

Creación de un bridge en los puertos ethernet y wlan.

Video 018

Veras como habilitar la interface inalámbrica, configurar la seguridad para la red inalámbrica, habilitar un nombre de red inalámbrica (SSID). Esta configuración es especialmente útil para resolver problema con dispositivos apple que en algunos casos no conectan al mikrotik, debido a una configuración inadecuada del ancho de canal.

Video 019

Servicios por defecto para la administración de RouterOS mikrotik, y como mejorar la seguridad deshabilitando aquellos servicios que no se requieren.

Video 020

Veras como deshabilitar los Service Ports en mikrotik (firewall), estos se usan en casos muy puntuales y con la configuración actual no se requieren.

Video 021

Veras como gestionar address-list en mikrotik para posteriormente ser usadas en el firewall filter, nat o en mangle

Video 022

Veras un conjunto de reglas básicas que permite la protección del router, al cerrar todos los puertos a ips no autorizadas previamente.

/ip settings set tcp-syncookies=yes
/ip firewall filter
add action=accept chain=input comment="IN - P - Conexiones establecidas y relacionadas" connection-state=established,related
add action=drop chain=input comment="IN - R - Conexiones invalidas" connection-state=invalid
add action=accept chain=input comment="IN - P - Acceso a src-address-list \"Soporte\"" src-address-list=Soporte
add action=drop chain=input comment="IN - R - Detecta y rechaza escaneadores de puertos" protocol=tcp psd=10,3s,3,1 in-interface=WAN1
add action=drop chain=input comment="IN - R - Rechaza escaneadores de puertos" src-address-list=EscaneadoresPuertos in-interface=WAN1
add action=add-src-to-address-list address-list=EscaneadoresPuertos address-list-timeout=none-static chain=input comment="IN - R - Detecta y lista escaneadores de puertos" protocol=tcp psd=10,3s,3,1 in-interface=WAN1
add action=tarpit chain=input comment="IN - R - Suprime ataques DoS" connection-limit=3,32 protocol=tcp src-address-list=AtaqueDoS in-interface=WAN1
add action=add-src-to-address-list address-list=AtaqueDoS address-list-timeout=2w1d chain=input comment="IN - R - Detecta ataques DoS" connection-limit=10,32 protocol=tcp in-interface=WAN1
add action=accept chain=input comment="IN - P - TCP Trafico DNS" dst-port=53 protocol=tcp src-address-list=Redes_Lan
add action=accept chain=input comment="IN - P - UDP Trafico DNS" dst-port=53 protocol=udp src-address-list=Redes_Lan
add action=drop chain=input comment="IN - R - Todo lo demas"

Video 023

Aprenderás como crear copias de seguridad de un dispositivo mikrotik desde winbox.

Video 024

Las herramientas de pruebas de velocidad pueden ser usadas para medir el ancho de banda entre dos dispositivos mikrotik.

  • se requiere contar con dos dispositivos mikrotik a los cuales tengamos acceso por winbox
  • se requiere que haya un canal de comunicación entre los dos dispositivos, para esto cuando se trata de pruebas a través de Internet es importante que al menos uno de los dispositivos disponga de una ip pública, (Directa, DMZ o reenvío de puertos).
  • Que los dos dispositivos tengan la misma versión de RouterOS

El fabricante recomienda trabajar con tres dispositivos mikrotik con el objetivo de obtener resultados más precisos, es decir cliente prueba + router probado + servidor prueba, sin embargo en la mayoría de los escenarios sólo tendremos dos dispositivos entre los cuales realizar las pruebas.

Información proporcionada por el fabricante puede ser encontrada en https://help.mikrotik.com/docs/display/ROS/Bandwidth+Test

En el video https://youtu.be/U1AirE12I_Y se realiza una automatización mediante un archivo de Excel para que sea más rápido realizar las pruebas una vez documentada la información del servidor y del cliente.

Video 025

En este video que es continuación de https://youtu.be/Nm9LCYbowMk, realizamos una prueba de velocidad entre dos dispositivos RouterOS de mikrotik, haciendo uso de un archivo de excel con los datos del servidor, del cliente y la generación de los respectivos comandos. El archivo de ejemplo se puede descargar desde el siguiente enlace.

https://f002.backblazeb2.com/file/jcts-publico/Generador%20Test%20de%20velocidad.xlsx

Video 026

En este video veras como poner en practica varias de las configuraciones vistas hasta ahora, se podría ubicar este video después del Video 022. Adicionalmente se agregan unas reglas básicas de firewall en la llamada cadena FORWARD

/ip firewall filter
add action=accept chain=forward comment="FW - Permitir conexiones establecidas y relacionadas" connection-state=established,related
add action=drop chain=forward comment="FW - D - conexiones invalidas" connection-state=invalid
add action=accept chain=forward comment="FW - P - Puertos nateados" dst-port=7360 protocol=tcp disabled=yes
add action=accept chain=forward comment="FW - P - Salida a internet de la red lan" src-address-list=Redes_Lan
add action=drop chain=forward comment="FW - D - Todo lo demas"

Video 027

Teoría y pruebas de configuración de reenvió de puertos en mikrotik, se hacen pruebas reenviando un puerto para un servidor web. NO se recomienda crear reenvió de puertos públicamente accesibles, sin embargo si se debe habilitar, se recomienda proteger con un Src. Address List

Scroll al inicio