Manual
Mikroti k Completo
Contenido
Modulo UNO
Instalando desde cero y configurando la WAN 1. Quemando RouterOS en CD para instalarlo en una PC 2. Instalando Mikrotik en un PC [con VIDEO !. Conect"ndose al Mikrotik #$a %I&'O( ). Entendiendo al %in*o+ por dentro , Opciones -enerales . Preparando / con0iurando las eternet en Router'oard R'34 / +56 6. Con0iurando las tar7etas de red %8& / 98& para tener internet desde el Mikrotik
Ancho de banda Amarre de Mac e IP con horarios 3. Con0iurar la ora en e:uipos R outer'oard / e:uipos +56 , &;P Client 5. 8nco de 'anda por rupo de IPs /eca ?. 8marre de M8C e IP , Entendiendo el proceso 8RP
Poner Equipo ADSL !elef"nica# ID$ Ne%tel# en M&D& '(ID)E para Mi*roti* Paso 1@ Poner E:uip o 8DS9 A;ele0Bnic A;ele0Bnica a ID A&e+tel en modo *ride para Mikrotik Paso 2@ Mikro;ik con PPPoE,Client para e:uipos 8DS9 Paso !@ Mikro;ik con PPPoE,Client , 8DS9
+A'LEM&DEM +A'LEM&DEM Motorola S,)-./0 en M&D& '(ID)E para Mi*roti* Como usar en modo 'RID-E el C8'9EMODEM Motorola SV-241 de C98RO
Modulo DOS
Aprendiendo $sar Leer +onfigurar S+(IP!S 12a !elnet SS3 y Ne4 !erminal 1. 8prendiendo a usar los SCRIP;S #$a ;elnet ;elnet SS= / &e ;erminal ;erminal 2. 8prendiendo a usar los SCRIP;S, Comandos -enerales Asorcut ke/s !. sando sortcut ke/s en 8M8RRE de M8C e IP ). sando Comando P RI&; 8DD SE; [Imprimir 8rear Editar . 8prende =a*ilitar Desa*ilitar Remo#er Encontrar Relas
+reando 'ac*ups 5 Encriptadas y editables Scripts# 'ackup por Consola / %in*o+ , -uardando ;oda ;oda la con0iuraciBn
Contenido
Modulo UNO
Instalando desde cero y configurando la WAN 1. Quemando RouterOS en CD para instalarlo en una PC 2. Instalando Mikrotik en un PC [con VIDEO !. Conect"ndose al Mikrotik #$a %I&'O( ). Entendiendo al %in*o+ por dentro , Opciones -enerales . Preparando / con0iurando las eternet en Router'oard R'34 / +56 6. Con0iurando las tar7etas de red %8& / 98& para tener internet desde el Mikrotik
Ancho de banda Amarre de Mac e IP con horarios 3. Con0iurar la ora en e:uipos R outer'oard / e:uipos +56 , &;P Client 5. 8nco de 'anda por rupo de IPs /eca ?. 8marre de M8C e IP , Entendiendo el proceso 8RP
Poner Equipo ADSL !elef"nica# ID$ Ne%tel# en M&D& '(ID)E para Mi*roti* Paso 1@ Poner E:uip o 8DS9 A;ele0Bnic A;ele0Bnica a ID A&e+tel en modo *ride para Mikrotik Paso 2@ Mikro;ik con PPPoE,Client para e:uipos 8DS9 Paso !@ Mikro;ik con PPPoE,Client , 8DS9
+A'LEM&DEM +A'LEM&DEM Motorola S,)-./0 en M&D& '(ID)E para Mi*roti* Como usar en modo 'RID-E el C8'9EMODEM Motorola SV-241 de C98RO
Modulo DOS
Aprendiendo $sar Leer +onfigurar S+(IP!S 12a !elnet SS3 y Ne4 !erminal 1. 8prendiendo a usar los SCRIP;S #$a ;elnet ;elnet SS= / &e ;erminal ;erminal 2. 8prendiendo a usar los SCRIP;S, Comandos -enerales Asorcut ke/s !. sando sortcut ke/s en 8M8RRE de M8C e IP ). sando Comando P RI&; 8DD SE; [Imprimir 8rear Editar . 8prende =a*ilitar Desa*ilitar Remo#er Encontrar Relas
+reando 'ac*ups 5 Encriptadas y editables Scripts# 'ackup por Consola / %in*o+ , -uardando ;oda ;oda la con0iuraciBn
'ackup por Consola / % %in*o+ in*o+ , Creando *ackups edita*les 9e/endo 'ackups Edita*les , 'lo:ueo Foutu*e / >ace*ook
6ire4all (ules 5 Aprendiendo desde cero a usar las reglas del 6ire4all 1. I&P; C=8I& , datos :ue #an =8CI8 el Mikrotik 2. O;P; C=8I& , datos :ue salen DESDE el Mikrotik !. >OR%8RD C=8I& , datos :ue pasan 8 ;R8VGS ;R8VGS del Mikrotik ). HMP C=8I& , Creando &ue#as Cadenas [Separando Redes . 8DDRESS 9IS; , Creando rupos de IPs 6. EHEMP9O Proteiendo a Mikrotik de ata:ues
6ire4all Mangle 5 Entendiendo el Mangle para dummies 1. P8CJE; >9O% , Entendiendo el Packet >lo 8&89ISIS 2. Marcar Cone+iBn #s Marcar Pa:uetes !. Marcar Cone+iBn #s Marcar Pa:uetes ). PrioriKaciBn de ;ra0ico QoS 1 Modulo TRES
NA!7 Redireccionar puertos con Mikro;ik , a*rir puertos con mikrotik , port 0orardin 3otspot7 Mikrotik ser Manaer 'illin L =otspot ,PN , Con0iurar VP& con PP;P -atea/ -atea/ to VP& Client L Script actualiKaciBn actualiKaciBn de IP Din"mica , VP& PP;P , Como enlaKar Dos Puntos Remotos Remotos sando PP;P Ser#er Ser#er , PP;P Client
'alanceos 'alanceo PCC PCC de 2N !N ) o m"s l$neas de Internet [9oad 'alancin 'alanceo PCC , %an Est"tico 'alanceo PCC L =O;SPO; 8l propio estilo de Hanis Meis , MM S8 [Sin PPPoE >ailo#er con pin a un D&S o IP en particular ECMP AE:ual Cost Multi,Pat, 'alanceo per,src,dst,address
+alidad y Ser1icio 8oS# PrioriKaciBn de ;ra0ico QoS , Manual -u$as Mikrotik 8sinar 8nco 8nco de 'anda por Paina %E'[ 9a/er 9a/er 3
Con0iurar 'urst mikrotik , QueueN *urst limitN *urst tresold
Acceso (emoto Mikrotik CaneIP Detras &8; , D/namic D&S pdate Script 8cceso remoto , IP din"mica Mikrotik &O,IP , D/namic D&S pdate Script , 8cceso remoto , IP din"mica Como *lo:uear Foutu*e >ace*ook en mikrotik usando 93 Mikrotik 'ride @ Con0iuraciBn de Mikrotik 'ride / Router
Modulo I +urso completo sobre MI9(&!I9
0: 8uemando (outer&S en +D para instalarlo en una P+ Para instalar el sistema llamado RouterOS en una PC necesitaremos un CD en *lanco / un :uemadorN adem"s de ello un sistema para :uemar im"eneS AISO. 9a imaen puede *a7arla de este link ttp@<<.mikrotik.com
na #eK :ue a/an descarado el ISO lo :ueman.
>inalmente /a tenemos el CD *ootea*le / estamos listos para poder instar el MIJRO;IJ en una PC.
-: Instalando Mi*roti* en un P+ ;con ,IDE&< na #eK :ue a/an :uemado el Mikrotik en un CD A en esta direcciBn esta como se :uema el CD iniciaremos con los siuientes pasos@ Introducimos el CD en una PC Precon0iuraciBn del Mikrotik 1. 'ootear la PC para :ue aa *oot desde el CD,ROM
Instalando 2. Despus :ue a/a *ooteado seleccionaremos los pa:uetes :ue :ueremos instalarN se puede #er los :ue estan marcados con una ( son los escoidos. Para esto nos a/udaremos con las teclas direccionales / con la *arra espaciadora los seleccionaremos. 9os pa:uetes :ue est"n seleccionados en la imaen son los :ue suelo instalar en los ser#idores. !. na #eK :ue a/amos seleccionado #amos a proceder a instalar el mikrotikN para ello presionamos la tecla i en ese proceso aparecer"n preuntas a las cuales daremos a e+plica r.
Do you 4ant to *eep old configuration= [/n>
Warning7 all data in the dis* 4ill be erased? +ontinue= [/
). Presionamos la tecla @y@ para :ue empiece a particionar / 0ormatear el disco o unidad de almacenamiento. Este proceso puede demorar dependiendo de la capacidad del disco :ue se a/a eleido para acer la instalaciBn. na #eK :ue termine el proceso los pa:uetes seleccionados se instalar"n autom"ticamente / al 0inaliKar tendremos el mensa7e@
. Retiramos el CD de instalaciBn de la PC / presionamos la tecla enter para :ue el PC reinicie / el sistema carue directamente del disco duro. 8l prender la PC aparecer" este mensa7e@
It is recomended to chec* your dis* dri1e for errors but it may ta*e a 4hile B0min for 0)b#: It can be done later 4ith @Csystem chec*5dis*@: Do you 4ant to do it no4= ;yCN< Es recomenda*le compro*ar :ue su unidad de di sco est li*re de erroresN pero puede tomar alTn tiempo AU1min para 1-*. Puede acerse m"s tarce con
9oin@ admin Passord@
3. na #eK :ue emos entrado o*ser#aremos una noti0icaciBn del ser#idor :ue nos dice :ue nuestro sistema no tiene licenciaN / :ue tenemos menos de 2) oras para pro*arlo...
5. 9isto /a tenemos instalado con +ito nuestro ser#idor / solo 0alta a0inar / con0iurar m"s adelante lo aremos.
: +onectandose al Mi*roti* 1ia WIN'& Resumen %in*o+ es una pe:uea aplicaciBn :ue nos permite la administraciBn de Mikrotik RouterOS usando una inter0aK r"0ica Ae+isten dos opciones m"s una es por consola / otra por e*N aconse7amos por in*o+ de usuario 0"cil / simple. Es un *inario %in!2 nati#oN pero se puede e7ecutar en 9inu+ / Mac OS( usando %ine APara los :ue usan 9inu+ %ine es una aplicaciBn :ue permite usar proramas de indos en linu+. Casi todas las 0unciones :ue podemos acer por medio de la inter0aK in*o+ se puede acer por consola / #ice#ersa Ase llama consola a la pantalla nera :ue aparece en indos. 8lunos de a#anKada / con0iuraciones importantes del sistema :ue no son posi*les de in*o+N como cam*io de direcciBn M8C de una inter0aK.
Iniciando %I&'O( 1 %in*o+ puede ser descarado por dos #iasN una indirectamente es por medio de la e* de mikrotik %in*o+,link,de,descara@
2 9a otra opciBn es directamente de tu router mikrotik. 8*ra su na#eador de internetN puede ser cromeN 0ire0o+N internet e+plorer / escri*a la direcciBn IP del router del mikrotik. Se mostrar" la p"ina de *ien#enida RouterOS. =aa clic en el enlace para descarar in*o+.e+e
Cuando in*o+ a/a sido descaradoN aa do*le clic en l / la #entana de in*o+ aparecer".
Para conectarse al Mikrotik se tienen dos opciones@ *ien puede introducir la direcciBn IP del mikrotik o tam*in la M8C del mismoN especi0i:ue nom*re de usuario / contrasea Asi lo a/N en caso :ue es un e:uipo nue#o no tiene passord por lo :ue tiene :ue de7arlo en *lanco / aa clic en el *otBn Conectar.
&ota@ Se recomienda :ue utilices la direcciBn IP siempre :ue sea posi*le de*ido a :ue cuando aces una sesiBn por M8C la #entana se cierre inesperadamente. ;am*in puede utiliKar el descu*rimiento de o tros Mikrotik en la redN aa clic en *otBn ;:::<@
Cuando aa click en ;:::< aparecer" la lista de Mikrotiks descu*iertosN para conectarse aluno de ellos simplemente aa click en la direcciBn IP Asi ace click en la IP aseurese de :ue este dentro del rano en el caso :ue no aa click en la M8C &ota@ ;am*in aparecer"n los dispositi#os :ue no son compati*les con %in*o+N como routers Cisco o cual:uier otro dispositi#o :ue utiliKa CDP ACisco Disco#er/ Protocol Nota Importante: Si no aparece la MAC e IP en el escaneo de dispositivos MikroTik, esta puede deberse a las siguientes razones a) una alla de la tar!eta de red, b) cable de red en mal estado, c) un ire"all activado, d) un antivirus agresivo, e) virus de red, etc# as$ %ue &abr$a %ue revisar las posibles allas#
DescripciBn de los *otones / campos del in*o+@ •
• • • • •
• • • • •
•
;:::< , descu*re / muestra los dispositi#os :ue estan en la red AMikro;ik &ei*or Disco#er/ Protocol or CDP ACisco Disco#er/ Protocol. +onnect , Conecta al router Mikrotik. Sa1e , -uarda la direcciBnN el loinN passord / notas. (emo1e , Remue#e las direcciones :ue se an uardado. !ools... , Permite #arias erramientas. +onnect !o7 , Sir#e para conectar el Mikrotik :ue tu deseesN se coloca la M8C o la IP del router Login , usuario Apor de0ecto es admin Pass4ord , el passord :ue tiene el usuario Apor de0ecto esta #acio 9eep Pass4ord , si acen ceck el passord se ra*ara automaticamente Secure Mode , si acen ceck la comunicacion ser" encriptada Apor de0ecto esta con ceck Load Pre1ious Session , si esta con ceck uardar" la Tltima sesiBn a*ierta Apor de0ecto esta con ceck Note , na descripciBn de la sesiBn :ue as uardado.
F: Entendiendo al Winbo% por dentro 5 &pciones )enerales 'ueno en este paso daremos a conocer a las opciones :ue tiene el mikrotik / a la #eK poder 0amiliariKarse con el sistema. 9a inter0aK %in*o+ a sido diseada para ser intuiti#o para la ma/or$a de los usuarios. Esta inter0ace consta de@
1. 'ot"n Deshacer y (ehacer N esta opciBn es parecida a la :ue utiliKamos enN si lle"ramos a *orrar o modi0icar una rela accidentalmente podemos utiliKar el *otBn desacer para re#ertir el cam*io realiKadoN tiene una *uena memoria as$ :ue podemos re#ertir los cam*ios de toda nuestra sesiBn en %in'o+N del mismo modo con el *otBn reacerN sal#o :ue este Tltimo ace todo lo contrario.
2. 'arra de t2tulo: Muestra in0ormaciBn para identi0icar con la :ue se a*re per$odo de sesiones %in*o+ router. 9a in0ormaciBn se muestra en el siuiente 0ormato@
De la imaen anterior podemos #er :ue el usuario es admin el router tiene la direcciBn IP 0/:0/:0/:0. ID del router es Mi*ro!i* N #ersiBn RouterOS instalada actualmente es 1.:00N Router'oard es ('G./ / la plata0orma es mipsbe.
!. 3ide Pass4ords cuando esta opciBn est" marcada Aes decir con un ceckN ocultar" todos los passords de nuestro sistema con asteriscos AWWWWWWWWN si :ueremos #isualiKar el passord necesitamos :uitarle el ceck.
). 'arra de herramientas principal Situado en la parte superiorN donde los usuarios pueden aadir #arios campos de in0ormaciBnN como el porcenta7e de uso de la CPN la cantidad li*re de la memoria R8MN el tiempo :ue a estado prendido el MikrotikN etc.
. 'arra de menH de la iquierda , la lista de todos los menTs / su*menTs. Esta lista cam*ia dependiendo de :u pa:uetes est"n instalados. Esta *arra #a a ser de utilidad de*ido a :ue dentro de estos su*menTs encontramos opciones :ue ser"n conocidos por nosotrosN tales como I&;ER>8CESN 'RID-EN QEESN >IRE%899 etc.
Jrea de trabaKo y 1entanas en el 4inbo% Cada #entana secundaria tiene su propia *arra de erramientas. 9a ma/or$a de las #entanas tienen el mismo con7unto de *otones de la *arra de erramientas@
8adir , aadir nue#o elemento a la lista Eliminar , eliminar elemento seleccionado de la lista 8cti#ar , a*ilitar o*7eto seleccionado Ael mismo :ue permite desde la consola de comandos Desacti#ar , desacti#ar la opciBn seleccionada Alo mismo :ue desacti#ar comandos de consola
comentarios , aada o edite comentario
Ordenar , Permite ordenar los elementos en 0unciBn de distintos par"metros.
.: Preparando y configurando las ethernet en (outer'oard ('G./ y % na #eK instalado el Mikrotik en una PC A+56 o teniendo un Router 'oard Mikrotik procederemos a con0iurarlo para poder tener Internet. Para el caso de una PC o*ser#amos :ue se presenta la siuiente 0iura
Mikrotik puede o*ser#ar las tar7etas de red :ue tiene el e:uipoN en este caso a/ ! tar7etas de red. na es de la placa misma / las otras dos son tar7etas D,9ink. Si u*iera el caso en el :ue no reconoce una tar7eta de redN podr$a ser :ue 0uera una tar7eta cu/o dri#er no lo tena Mikrotik Anormalmente ocurre con tar7etas *aratas / no conocidas para e#itar ello *us:uen *uenas tar7etas de red de marcas como !,Com D,9ink etc.
+aso ('G./ y dems (outer'oard Si as comprado alTn R' a*r"s #isto :ue /a #iene con una con0iuraciBn pre,diseadaN entonces lo :ue #amos acer es resetear al R' para poder acer las con0iuraciones manualmente. Por de0ecto el Mikrotik #iene con la red 0O-:0::0 / para poder acceder al R' tenemos :ue poner el ca*le de red en cual:uiera de los puertos del - al . / recomendamos acceder por la M8C para la primera #eKN esto de*ido para :ue no estn con0iurando su tar7eta de red con la IP 0O-:0:: donde ( toma #alores entre 2 , 2). &ota@ &o poner en el puerto 1 /a :ue por de0ecto #iene *lo:ueado
Entonces seleccionado la M8C de nuestro R'34 / damos en conectar
&os aparecer" una #entana donde nos dice :ue el e:uipo esta con la con0iuraciBn por de0ecto@ El puerto eter1 es renom*rado con eter1,atea/ A%8& / el resto de las inter0aces est"n como sitcN por lo :ue los cuatro puertos son sla#es del puerto 2 eter2,local, master A98&.
Para poder :uitar la con0iuraciBn por de0ecto a*riremos la consola del %in*o+N / #amos a escri*ir las siuientes pala*ras@ •
CBdio@ s/stem reset En el terminal aparecer" un a#iso :ue es peliroso acer esto ADanerous / preuntar" si desea acer esta acciBnN nosotros daremos un FES. El router*oard se reiniciar" / accederemos otra #eK al mikrotik por medio del in*o+.
na #eK :ue se reinicie el mikrotik / accedamos a lN nos aparecer" la siuiente #entana
en la :ue nosotros de*eremos seleccionar el cuadro ro7o / aremos un click en el cuadro REMOVE CO&>I-R8;IO&
Se prender" / apaar" por Tltima #eK / por 0in podremos #er el mikrotik sin ninuna con0iuraciBn lista para ser con0iurada como :ueramos. Veremos cinco entradas de eternet@ eter1 eter2 eter! eter) eter
: +onfigurando las tarKetas de red WAN y LAN para tener internet desde el Mi*roti*
En esta etapa #amos a con0iurar las i nter0aces :ue se encuentran tanto en nuestra PC como en el Router'oard de Mikrotik. P8ra poder o*ser#ar todas las inter0aces seleccionaremos del comando :ue se encuentra en la iK:uierda la opciBn inter0aces
El es:uema de la red ser" la siuiente@
+onfigurando la WAN 8ntes de con0iurar la %8& #amos a #er m"s so*re las opciones :ue tiene una inter0aK en el Mikrotik@ Como primer punto uno podr" #er :ue por de0ecto tiene un nom*re de la inter0ace llamado eter1 eter2 etc.N en este campo #amos a poder escri*ir el nom*re de la inter0aK a nuestro anto7o. Este paso es una ran a/uda de*ido a :ue #amos a poder reconocer de 0orma r"pida las
inter0aces. 8dem"s e+isten otros datosN tales comoN sa*er si e+iste un ca*le de red conectado en ese puerto o sa*er si est" a*ilitado.
8ora #amos a la inter0ace llamada @ether0@ / le cam*iamos el nom*re a @WAN@
8ora #amos a la inter0ace llamada @ether-@ / le cam*iamos el nom*re a @LAN@
9isto aora colocaremos las IPs a la %8& / a 98&N para ello entraremos a IP / despus a 8ddress para ello
Para la WAN colocaremos la siuiente IP 0O-:0:0:-//C-F
Para la LAN colocaremos la siuiente IP 0O-:0:0/:0C-F
8lunos estar"n preunt"ndose@ Por:u C-F 'ueno ese <2) indica la m"scara de red :ue tiene la direcciBn IPN por si no lo sa*$as sir#e para delimitar el "m*ito de una red. ;e permite :ue todos los rupos de direcciones IP :ue pertenecen a la misma mascara de red est"n en una misma red / por lo tanto son una misma unidad. En este caso la m"scara de red es -..:-..:-..:/.
'ueno asta el momento tenemos las IPs seleccionadas / mencionadas aora nos 0alta natearlasN para este caso la l$nea :ue nos pro#ee internet es el e:uipo 8DS9 Apuede ser X/+el cu/o IP es 0O-:0:0:0N pero nosotros #amos a crear nuestra propia red cu/o IP del mikrotik es 0O-:0:0/:0N entonces nuestras IPs de nuestra nue#a red ser"n de la 0orma 0O-:0:0/: donde toma #alores de [2 asta el 2).
CainN seleccionamos scrnat. 8un:ue siempre est" as$ por de0ecto cuando se crea una nue#a rela... Out. Inter0aceN seleccionaremos nuestra inter0aK %8&
8ora enmascaramos nuestra inter0aK %8&
8ora nos 0alta decirle al mikrotik :ue el internet #iene del router 1?2.165.1.1N :ue para este caso es del router 8DS9
En la #entana Route 9istN se o*ser#a :ue a/ 2 relas :ue nosotros no areamos Aesto es
normal Vamos a prepararnos para arear la puerta de e nlace :ue usar" nuestro ser#idor MikrotikN #amos a la pestaa Routes / areamos una nue#a rela AL.
-atea/N a:u$ sBlo colocaremos la puerta de enlace del router 8DS9 A1?2.165.1.1 para este casoN con esto le estamos diciendo al ser#idor de dBnde llea el internet para repartirlo.
Con esto la inter0aK de red 98& de*er$a de tener internet si conectamos los ca*les correctamente. 8ora lo Tnico :ue nos 0alta es con0iurar las tar7etas de red de los clientes. ;eniendo en cuenta :ue nuestra nue#a puerta de enlace es 1?2.165.14.1N entonces el cliente de*er$a de tener esta con0iuraciBn de acuerdo a ese rano de red. 8:u$ un e7emplo@
AN+3& DE 'ANDA Amarre de Mac e IP con horarios : +onfigurar la hora en equipos (outer'oard y equipos % 5 N!P +lient 8ntes de continuar con el prB+imo tema A:ue es la asinaciBn de anco de *anda a cada cliente tenemos :ue con0iurar la ora en los e:uipos :ue tienen el MikrotikN / ustedes se preuntar"n Para :u *ueno este es indispensa*le para aplicar relas con orarios esta*lecidos.
En una P+ Mi*roti* est en el disco duro# Simple / limpioN solo cam*iamos los apartados Date / Time &o ol#idarse :ue para cam*iar los meses / d$as Mikro;ik utiliKa el 0ormato americano :ue es el siuiente Mes/Día/AñoN todo est" representado por letras / en inlsN entonces los meses ser$an@
an Q 6eb Q Mar Q Apr Q May Q un Q ul Q Aug Q Sep Q &ct Q No1 Q Dec
3ora en un (outer'oard 9amenta*lemente para este caso los Router'oards no tienen una pila o *ater$a :ue pueda uardar datos al momento de apaar / reiniciar el e:uipo. Entonces es necesario de un ser#idor &;P. 8ora la preunta es@
R8u es un ser1idor N!P= El protocolo &;P A&etork ;ime Protocol o traducido Protocolo de tiempo en la redN m"s comTnmente conocido como &;PN es un protocolo de Internet ampliamente utiliKado para trans0erir el tiempo a tra#s de una red. &;P es normalmente utiliKado para sincroniKar el tiempo en clientes de red a una ora precisa. n ser#idor &;P da la ora a dispositi#os :ue se encuentren conectados a la red. Vamos a con0iurar el &;P client Acliente por:ue #a el R' #a a reci*ir la ora@ Como o*ser#aremos tenemos :ue acti#ar el S&;P Client para ello aremos un ceck en @enabled@
Despus de dar con enabled seleccionaremos unicast Como podr"n o*ser#ar autom"ticamente los dos campos situados en la parte de a*a7o se acti#aran esperando :ue les d un IP de alTn ser#idor &;P.
Podemos encontrar mucos ser#idores &;P en la e*. Dentro de ello a:u$ les puedo dar unos cuantos CBdio@ 0.south-america.pool.tp.or! T cuyo IP es 0F:0F:.:. CBdio@ time-a.ist.!o" Y cu/o IP es 0-O::0.:- Se puede colocar m"s de una IP para :ue si 0alla uno salte el otro autom"ticamente.
Selecciona la regi"n
5. 8nco de 'anda por rupo de IPs /eca no de las randes #enta7as de los e:uipos Mikrotik es el poder administrar el anco de *anda de una red. Esto es un punto crucial de*ido a :ue o/ en d$a e+isten p"inas e* :ue consumen altos ni#eles de anco de *anda. n e7emplo es el /outu*e. Este es un dolor de ca*eKa para las 98& Center en la :ue se re:uiere una *uena latencia. En este e7emplo se puede o*ser#ar una l$nea de ) measN dentro de la red e+iste un usuario :ue #e un #ideo en Foutu*e =DN es el trailer de una pel$culaN esto pro#oca :ue a/a un consumo de !.! Meas con lo :ue est" consumiendo casi todo el anco de *anda.
Es un pro*lema Respuesta@ Es un ran pro*lemaN es por ello :ue es necesario poder tener alTn administrador de anco de *andaN en la :ue uno puede sa*er cu"nto anco de *anda como m"+imo se le da a un usuario en la red. Para ello aremos los siuientes pasos@
•
Name@ En este casillero podremos colocar cual:uier nom*reN es solo para poder identi0icar :ue
m":uina es la :ue esta con la cola Aanco de *anda Podremos colocar cual:uier nom*re :ue se nos ocurra como di7e es solo una re0erencia. •
Tar!et Address@ tenemos :ue especi0icar el #$ de uestro e%uipo cliente al :ue :ueremos
limitar el anco de *anda
Nota7 Es necesario ingresar algun IP de lo contrario se asignara el ancho de banda para toda la red ocasionando problemas asi que ES+(I'A $N IP •
Ma& 'imit @ Esta es la parte :ue m"s nos interesa de*ido a :ue es donde es el luar donde
0i7aremos la #elocidad m"+ima de nuestro clienteN tanto de su*ida Aupload como de *a7ada Adonload
EKemplo $N& 9a computadora con IP 1?2.165.1.!4 est" aciendo altos consumos de la red por lo :ue se le pide :ue le asine una rela para :ue no est produciendo cuellos de *otella en la red. sted #a acer lo siuiente@
0O-:0:0:/ con ancho de banda de S$'IDA .//9bps y de 'AADA 0///9bps $n mega#
EKemplo D&S E+iste un con7unto de computadoras con las siuientes IPs@ 1?2.165.1.!1N 1?2.165.1.!2N 1?2.165.1.!!N 1?2.165.1.!)N 1?2.165.1.! / a usted le piden :ue este con7unto de computadoras tena 1 mea de su*ida / 2 meas de *a7ada de #elocidadN es decir :ue a/a dos meas :ue se repartan entre ellas. Entonces usted ar$a la siuiente cola A:ueue
8ora usted #er" :ue a/ #arias colas :ue usted a creado con sus respecti#os colores. 9os colores cam*iar"n dependiendo del uso :ue le d la computadora a su anco de *anda asinadoZ entoncesN si una computadora cliente usa de 4 a 4 de su anco de *andaN su rela estar" de color #erdeN si usa del 4 a 34N se #ol#er" amarilloN /a si pasa del 34 entonces su rela se #ol#er" ro7a.
EKemplo !(ES 9e piden :ue@
9a computadora con IP 1?2.165.1.!4 tena anco de *anda de 1 mea de su*ida / 2 meas de *a7ada de partir de las 44@44 oras asta el mediod$a. 9a misma computadora con IP 1?2.165.1.!4 tena un anco de *anda de 44k de su*ida / 544k de *a7ada despus del mediod$a asta las 2) oras. Para ello crearemos dos relas
Para poder hacer esto debemos ES!A( SE)$(&S 8$E MI9(&!I9 !IENE UA +&N6I)$(AD& S$ 3&(A ES DE+I( $S!ED DE'I& LEE( EL SI)$IEN!E MAN$AL Con0iurar la ora en e:uipos Router'oard / e:uipos +56 , &;P Client (O)li!atorio* 9a primera rela ser"@ 9a computadora con IP 1?2.165.1.!4 tena anco de *anda de 1 mea de su*ida / 2 meas de *a7ada de partir de las 44@44 oras asta el mediod$a.
9a seunda rela ser"@ 9a misma computadora con IP 1?2.165.1.!4 tena un anco de *anda de 44k de su*ida / 544k de *a7ada despus del mediod$a asta las 2) oras.
Con estas dos relas usted podr" asinar dos ancos de *anda por orarios
EKemplo +$A!(& 9e piden :ue la computadora con IP 1?2.165.1.!4 de*er" tener *uen anco de *anda los d$as 9&ES M8R;ES MIERCO9ES de*ido a :ue estos d$as tiene :ue en#iar arci#os importantes / a la #eK *a7ar arci#os randes. Entonces el caso es@ 1?2.165.1.!4 ;endr" 2444 k*ps A2 meas de su*ida / )444k*ps A) meas de *a7ada los d$as 9&ES M8R;ES MIERCO9ES / los otros d$as tendra un anco de *anda de 44k de su*ida / 544k de *a7ada. 9a primera rela ser$a@ 1?2.165.1.!4 ;endr" 2444 k*ps A2 meas de su*ida / )444k*ps A) meas de * a7ada los d$as 9&ES M8R;ES MIERCO9ES
9a seunda rela ser$a@ 9os otros d$as tendr" un anco de *anda de 44k de su*ida / 544k de *a7ada.
E+isten m"s opciones dentro del "rea de QEES pero por el momento estamos aprendiendo a caminar para m"s adelante correr. ?. 8marre de M8C e IP , Entendiendo el proceso 8RP Para :ue los dispositi#os Allamamos dispositi#os a los e:uipos como PCN 8PsN SmartponeN Ser#idoresN etc. se puedan comunicarN los dispositi1os emisores necesitan tanto las direcciones IP como las direcciones M8C de los dispositi1os destino. Entonces cuando estos dispositi#os emisores tratan de comunicarse con dispositi#os cu/as direcciones IP ellos conocenN de*en determinar las direcciones M8C. El con7unto ;CP
puede detectar autom"ticamente la direcciBn M8C. El protocolo 8RP entonces permite :ue un computador descu*ra la direcciBn M8C del computador :ue est" a sociado con una direcciBn IP. Mikrotik tiene una ta*la 8RP en la :ue se uarda las IPs / se amarran a las M8CN es como si una persona tu#iera el D&I //7G7D767EO7-G / desee ir a un conciertoN entonces la persona comprar" tickets para el asiento 0O-:0:0:-N entonces a usted le ser" asinado ese nTmero / nadie m"s podr" tener el ticket con nTmero 0O-:0:0:-. 9a misma din"mica es la :ue tiene el amarre de M8C e IP en el Mikrotik.
Vamos al Mikrotik / a*riremos la ta*la 8RP para colocar nuestro amarre. 9o primero :ue podremos #er es :ue e+isten M8Cs e IPs /a escritos Aesto es si tenemos /a ma:uinas na#eando o aciendo alTn tr"0ico por la red. 9a seunda caracter$stica es :ue tienen una letra D al costadoN esta D indica :ue los dispositi#os no est"n colocados en la ta*laN al ser din"micos estos pueden aparecer / desaparecer.
8*rimos en el s$m*olo L para crear un amarre de M8C e IPN En ese casillero llenaremos los datos de nuestro dispositi#oN el IP Address de nuestro dispositi#o de red. MA+ AddressZ a:u$ tiene :ue ir el M8C del PC de nuestro cliente o dispositi#o de red :ue necesite internet. InterfaceN tendremos :ue especi0icar la inter0aK de red por donde entran estos IPs / M8CsN a:u$ tendremos :ue seleccionar la inter0aK de red 98&.
Para el e7emplo mostrado@
IP 0O-:0:0:MA+ //7G7D767EO7-G
R!erminamos= Pues N& 9o :ue #amos acer es de suma importancia por lo :ue
Ad1ertimos7 Solo #as acer el siuiente paso si est"s seuro :ue todos los dispositi#os estn en la ta*laN si e+iste un dispositi#o :ue no est autom"ticamente ser" recaKado de la red / no podr" entrar al mikrotik. Inclusi#e la computadora donde estas con0iurando el MikrotikN por eso !&D&S DE'EN ES!A( EN LA !A'LA O*ser#amos :ue la Inter0ace 98& tiene el campo 8RP como ena*led esto :uiere decir :ue est"
a*ierto la redN lo :ue #amos acer es cerrar el sistema de tal manera :ue no puedan na#ear en internet las computadoras :ue &O estn en la ta*la 8RP
Seleccionamos 8RP repl/ onl/
9isto solo las computadoras :ue estn en la ta*la 8RP podr"n na#ear / las :ue no se encuentren ser"n recaKados por el ser#idor. n diarama de esto ser" di*u7ado.
+&N6I)$(A( M&DEM EN M&D& '(ID)E PA(A MI9(&!I9 0: Poner Equipo ADSL !elef"nica# ID$ Ne%tel# en M&D& '(ID)E para Mi*roti* Como emos #isto es 0"cil poder con0iurar Mikrotik *a7o el escenario en :ue tenemos 0rente a nosotros un e:uipo :ue nos de internet. Es decir estamos 0rente a un Router en el :ue nos da InternetN pero para los :ue #an a re:uerir ma/or control de la red / alTn tipo de redireccionamiento de los puertos Atales como arear una c"mara IP o an"loa #a a ser tedioso el poder con0iurarloN /a :ue de*er"n acer dos redireccionamientos de puertos. Otro moti#o por el cual se pone un e:uipo en modo *ride es por:ue e#ita :ue los procesos sean tomados por el Router Anormalmente los Routers son de *a7o rendimiento. Entonces si Mikrotik toma el control total lo ar" e0icientemente. Vamos a #er para dos casos en el :ue se presentan
+aso de Ne%tel (equisitos7 +onocer nuestro usuario y cla1e PPPoE +liente Debe conectar un cable de red del puerto LAN del ID$ al primer puerto del Mi*roti* Este re:uisito es 0"cil conocerlo /a :ue podemos pedirlo a la empresa o tam*in est" en nuestro contrato. Para el caso de &e+tel Aen PerT el internet #iene de un router -aokeN para estos casos el Mikrotik reemplaKar" el Router :ue la empresa nos a de7ado.
Como ustedes podr"n o*ser#ar el Mikrotik es el :ue tomar" control de la red directamente de la l$nea de InternetN sin intermediariosN esto es de ran a/uda de*ido a :ue /a no estaremos por detr"s de un router. F :u di0erencia e+iste *ueno e+iste una ran di0erencia de*ido a :ue con nuestro Mikrotik podremos rutear los puertos :ue :ueramosN /a sea para #er nuestras c"maras o #er nuestro ser#idores de correo o ser#idores e* :ue tenamos en nuestra red. O*#iamente usted se dar" cuenta :ue el ca*le de red :ue sale del ID al router ir" al puerto eternet nTmero &O del MikrotikN el cual m"s tarde con0iuraremosN pero de /a estamos preparando cBmo ser" la instalaciBn.
Caso ;ele0Bnica AMo#istar 8DS9
Debe conectar un cable de red del (outer ADSL al primer puerto del Mi*roti* 8 di0erencia de &e+telN ;ele0Bnica trae el internet por medio de los pares de co*re de la l$nea tele0BnicaN por lo :ue necesitaremos del e:uipo X/+el X;E =uaei etc para poder con0iurar el PPPoE :ue se pondr" en el Mikrotik
'ueno a modo de pre"m*ulo en el PerT ;ele0Bnica / &e+tel nos dan internet d"ndoles a los clientes un usuario PPPoE con su cla#e respecti#a. Esta in0ormaciBn nos a/udara cuando con0iuremos el Mikrotik en modo PPPoE Client. P8ra el caso de ne+tel es solo reemplaKar el e:uipoN en cam*io para el caso de ;ele0Bnica &O SE REEMP98X8 sino :ue el e:uipo :ue ;ele0Bnica nos da tiene :ue estar en modo '(ID)E. Es decir :ue ser" solo un modem / no dar" internet. Manos a la o*raN daremos tres e7emplos de tres e:uipos :ue 0recuentemente nos dan cuando pedimos la l$nea de internet
Modelo V!E Entramos al router del X;E
Entramos a la opciBn 8uic* Setting / de a$ la opciBn WIVA(D. De*en aseurarse los datos del VPI / el VCIN normalmente toma los #alores siuientes VPIY5 VCIY64N pero en alunos casos el VCI es !2.
stedes #er"n %8& Connection ;/pe es decir tipo de cone+iBn %8&N seleccionar"n 0F 'ridge
=asta a:u$ todo *ienN pero adem"s de*eremos desa*ilitar el D=CP para e#itar cual:uier pro*lema.
F aora tenemos :ue uardar los cam*ios se reinicia r"
Modelo Vy%el Es el modelo m"s comTn :ue e o*ser#ado :ue tienen la ma/or$a.
Damos click en la %8&N /a :ue es en ese luar donde *uscaremos la opciBn 'RID-E. Por de0ecto est" en modo RO;I&-
En Mode dice RoutinN cuando est" en esa opciBn se puede #er :ue aparece celdas o campos en las cuales tienes :ue poner tu nom*re de usuario / contrasea :ue por de0ecto ;ele0Bnica te a dadoN entonces lo cam*iamos a 'RID-EN cuando cam*iamos a 'ride se o*ser#a un cam*io. Este cam*io es :ue /a no aparecer"n los campos para poner usuario / contrasea. Esto es normal.
Como se puede #er al seleccionar desaparecen los camposN esto es normal.
&ecesitamos desacti#ar el D=CP por si ocurre alTn pro*lema
Modelo 3ua4ei
-: Mi*ro!i* con PPPoE5+lient para equipos ADSL !elefonica# e ID$ Ne%tel# Este es la seunda etapa a nuestra con0iuraciBn PPPoEN en el post anterior en el post anterior /a a*$amos con0iurado nuestro router o nuestra red para :ue Mikrotik aa el tra*a7o duro. Como sa*r"n alunos de nuestros pro#eedores de internet AISP utiliKan el protocolo PPPoE Ao#er 8;M o PPPo8 para autenticarnos /
8ora #amos a la inter0ace llamada @ether0@ y le cambiamos el nombre a @WAN@
8ora #amos a la inter0ace llamada @ether-@ y le cambiamos el nombre a @LAN@
+onfigurar la interfa PPPoE5+lient: Como usted podr" #er creamos un PPPoE cliente inresando a la opciBn PPP :ue tiene el Mikrotik
na #eK eco estoN nos aparecer" una nue#a #entana para con0iurar nuestro PPPoE ClientN lueo iremos a pestaa -eneral.
InterfacesN seleccionaremos la inter0aK a la :ue ser" asociada nuestra cuenta PPPoE ClientN :ue en este caso siuiendo nuestros manuales ser" l a %8&. Es de suponer :ue conectaremos nuestro modem
9ueo iremos a la pestaa Dial &ut
$serCPass4ord7 son los datos :ue nuestro ISP nos da para podernos autenticar a sus ser#idoresN estos #alores los encontraremos dentro de nuestro modem
Si se 0i7a en el cuadro 1erde indica el Status Si est" conectado dir" connected
En el di*u7o /a indica el estado de la l$nea connected
Otra 0orma en darnos cuenta :ue la l$nea esta OJ es #iendo :ue en la parte de nuestra Inter0ace pppoe5out0 e+iste en el lado iK:uierda la letra (
Despus o*ser#aremos :ue en la inter0ace creada pppoe5out1 nuestro pro#eedor de internet al conectarse a nuestro Mikrotik e+itosamente nos dar" una IP P$'LI+AN / esta IP P'9IC8 tiene la letra D al costado de la IP
: Mi*ro!i* Mi*ro!i* con con PPPoE5+li PPPoE5+lient ent 5 ADSL ADSL !ele !elefoni fonica# ca# e ID$ Ne%tel Ne%tel## 8nteriormente a*iamos cam*iado cam*iado de om*re a la inter0ace inter0ace llamada @ether0@ @ether0@ por por el nombre a @WAN@
8ora #amos a llamar a la @ether-@con el nom*re de @LAN@
9isto aora colocaremos la IP a LANN para ello entraremos a IP / despus a 8ddress para ello. &ota@ No usaremos una IP a la WA WAN N de*ido a :ue el ser#idor PPPoE de nuestro pro#eedor de Internet AISP nos dar" una IP pT*licaN / es por esta IP pT*lica por la cual salimos a Internet
8s$ :ue iremos directo a la Inter0ace LAN / colocaremos la siuiente IP 0O-:0:0/:0C-F :ue es la IP :ue tendr" nuestro Mikrotik
8lunos estar"n preunt"ndose@ Por:u C-F 'ueno ese <2) indica la m"scara de red :ue tiene la direcciBn IPN por si no lo sa*$as sir#e para delimitar el "m*ito de una red. ;e permite :ue todos los rupos de direcciones IP :ue pertenecen a la misma mascara de red est"n en una misma red / por lo tanto son una misma unidad. En este caso la m"scara de red es -..:-..:-..:/ -..:-..:-..:/::
'uen 'ueno o ast asta a el mome moment nto o tene tenemo moss las IPs IPs sele selecc ccion ionada adass / menc mencio iona nadas das aor aora a nos nos 0alt 0alta a natearlasN entonces nuestras IPs de nuestra nue#a red ser"n de la 0orma 0O-:0:0/: donde toma #alores de [2 asta el 2).
seleccionamos scrnat. 8un:ue siempre est" as$ por de0ecto cuando se crea una nue#a +hainN seleccionamos rela...
&ut: InterfaceN seleccionaremos nuestra inter0aK pppoe5out0
8ora enmascaramos nuestra inter0aK pppoe5out0
8 di0erencia de la con0iuraciBn *"sica a:u$ no ponemos como Inter0ace de Salida a la %8& sino a la inter0ace pppoe,out1. Entonces tendremos control de nuestra red directamente sin necesidad de :ue a/a un Router por detr"sN aora podremos redireccionar puertos a nuestro anto7oN cosa :ue aremos m"s adelante.
+omo usar en modo '(ID)E el +A'LEM&DEM Motorola S,)-./0 de +LA(& Pasar C8'9EMODEM de Claro en modo 'ride para poder usarN al mismo modo del PPPoE Clie nt en los Routers de Mo#istarN el Mikrotik como el estor de la Pu*lica :ue si entrea Claro aora. 8c" les #o/ de7ando un resumen de lo :ue se tiene :ue mo#er en este C8'9EMODEM a. 8ntes de empeKar sa*er :ue el usuario de inreso por de0ecto Asi los de claro no lo cam*iaron es@ admin / la cla#e@ MotorolaN si estu#iese cam*iado pueden acer un ard reset. /a inresando al ca*lemodem a/ :ue ir a la pestaa 'asic ai a/ :ue acer el cam*io en &8P; Mode en@ Disa*ledN lueo aplicar cam*iosN / el CM ACa*lemodem se reiniciara. *. lueo de esto colocar estas IPs Acon la 0inalidad :ue el CM no est intentando o*tener la IP Pu*lica c. En la misma Pestaa 'asicN De7ar desacti#ado el D=CP Ser#er Aes decir de7arlo en &O d. 9ueo nos diriimos a la Pestaa 8d#ancedN colocamos los cecks respecti#os Ade7e a*ilitado el PPPtP Passtrou puesto :ue no lora*a acer una cone+iBn con una VP& punto a puntoN si desean a*il$tenlaN puesto :ue aora todo lo ar" el mikrotik e. 8c" Colocaremos la M8C de la inter0ace del Mikrotik Ao /a si estas usando linu+ u otro routerN pues colocas la M8C de la %8& 0.
>inalmente De7aremos desa*ilitadas las 0unciones del %i,>iN :ue en #erdad no #iene al caso para lo :ue :ueremos. aora en el siuiente paso #eremos la parte *"sica de asinaciBn de la PT*lica en el Mikrotik.
. 8c" Iremos a IP
M"dulo II +urso completo sobre MI9(&!I9
Aprendiendo $sar Leer +onfigurar S+(IP!S 12a !elnet SS3 y Ne4 !erminal 0: Aprendiendo a usar los S+(IP!S 12a !elnet SS3 y Ne4 !erminal E+isten #arios mtodos por la cual uno puede acceder al sistema del Mikrotik.
!elnet ,ia Mac en Winbo% 1ia IP en Winbo% SS3 55 Secure Shell Pgina Web API Serial Interface De todas estas opciones re#isaremos alunas para :ue puedan entender cBmo acceder al ;erminal #$a Consola del Mikrotik. Para :u Respondiendo a la preuntaN esto es con la 0inalidad de poder utiliKar los scripts :ue est"n en la e*N e+isten mucos scripts pero si no sa*emos cBmo se utiliKan / como lo usamosN estos scritps solo ser"n de uso decorati#o m"s no e+plicati#o. sando &ei*orood Vieer A#ia M8C Mikrotik tiene una so0tare llamado &ei*orood. ;T puedes descararlo #$a la p"ina de Mikrotik Aclick a:ui.
Est" en un arci#o .Kip lo descomprimes / o*ser#ar"s dos arci#os acemos click en Neighbor,ie4er:e%e . 9o :ue ar" este so0tare es darte a conocer los Mikrotiks :ue e+isten en tu redN / te permitir" comunicarte 1ia MA+ ACapa dos con el :ue dispositi#o mikrotik :ue tu eli7as #$a +onsola
sando ;elnet A#ia IP Por de0ecto el Mikrotik tiene un ser#idor telnet a*ilitado. ;u puedes acer uso de aluna aplicaciBn telnet clienteN para poder acceder al sistema necesitaremos la IP :ue tiene el Mikrotik. Por de0ecto el sistema uso la sesiBn telnet por el puerto 2!. &ote :ue usted de*e usar una conecti#idad por capa ! Aes necesario tener la IP del mikrotikN por lo :ue usted de*er" estar en la misma red. E7emplo@ •
PC cliente con indos
•
IP de la pc con indos 1?2.165.1.!4
•
IP del Mikrotik 1?2.165.1.1
Para este e7emplo la IP del cliente %indos 3 tendr" :ue tener la IP 0O-:0:0: donde ( podr" tomar #alores entre [2,2).
sando SS= ,Secure Sell 8ccess A#ia IP Mikrotik o0rece tam*in un acceso a su terminal #$a SS=. Este acceso es el mismo :ue se puede acceder usando una sesiBn telnetN sin em*aroN durante la cone+iBn SS=N los datos usados entre la PC / el Mikrotik ser"n dados mediante un canal seuroN se crear"n lla#es seuras. Esto :uiere decir :ue la in0ormaciBn #endr" encriptada / no en#iada en un te+to plano. E+isten un nTmero de proramas SS= clientes ratuitos :ue tT puedes usarN para este e7emplo usaremos el Putt/N puedes usar tam*ien el OpenSS= / otras aplicaciones. Descarar putt/. Como usted puede #er el prorama Putt/ tiene mucas opcionesN pero el *"sico es el de SS= cone+iBnN usted necesitar" la IP del mikrotik / usar el puerto 22.
9a primera #eK :ue te conectes a tu Mikrotik aparecer" un mensa7e en el cual te preunta si deseas uardar la lla#eN normalmente tendr"s :ue dar en SI
>inalmente si todo #a *ien acceder"s a tu Mikrotik por consola
Entrar consola #ia %in*o+ Esta es la manera m"s sencilla para entrar a modo consolaN lo malo es :ue se necesita a*rir una sesiBn en el in*o+N / no es directoN para cone+iones mu/ lentas esta o pciBn no ser" de muca utilidad.
-: Aprendiendo a usar los S+(IP!S5 +omandos )enerales shorcut *eys# Como emos #isto en el post anterior si /a emos entrado correctamenteN Mikrotik te dar" un mensa7e de *ien#enida
Herar:u$a En modo terminal Aprompt nos permite la con0iuraciBn del router utiliKando comandos de te+to. Estos comandos se esta*lecen dentro de cada ni#el :ue se selecciona. Por lo eneral me7or es e+plicar con un e7emplo@ &ormalmente uno entra a la ta*la 8RP #$a in*o+ de esta manera@
Pero por medio de la consola o terminal podemos entrar tam*in de la misma maneraN simplemente escri*imos IP,,\8RP,,\@
Pero usted dir" DBnde est" el cuadrito 8RP 'ueno por ello este post se llama comandos eneralesN para poder sa*er :ue comandos se pueden escri*ir solamente tenemos :ue tipear el sim*olo @=@ AInterroante
Este s$m*olo ser" una elemento de muca a/uda /a :ue si no sa*emos alo al escri*ir nos dir" :ue opciones e+isten en el ni#el :ue nos encontramos.
na #eK :ue a/amos tecleado esa letra aparecer" las opciones
Como pueden o*ser#ar e+iste una opciBn llamada print con esta opciBn podemos imprimir es decir mostrar en te+to el cuadro del 8RP :ue aparec$a en in*o+
'ueno entonces #amos a#anKar e+plicando alunas sortcut Ateclas de ata7o para lueo e+plicar los comandos enerales :ue est"n asociados al Mikrotik =emos reducido el nTmero de comandos para no perdernosN #amos primero a o*ser#ar lo m"s eneralN El propBsito de este 0oro es diriido a poder acer uso del Mikrotik con pocos conocimientos en redes as$ :ue esperemos su comprensiBn. ;eclas de ata7o Asorcut ke/s >1 o la letra &os muestra la a/uda en el conte+to :ue puede estar tra*a7ando A/a sea en inter0aces o en el "rea de IP etc.. Se coloca despus del comando a consulta.
E7emplo@
Control,C Interrumpe el comando :ue estamos tratando de e7ecutar Dos puntos .. Esto sir#e para poder *a7ar de ni#el en el :ue se est" tra*a7andoN un e7emplo de ello podr$a ser :ue estamos con0iurando el manle / necesitamos salir del ni#el IP,,\8RP,,\M8&-9E para poder ir al ni#el lo*al.
Es de muca a/uda cuando deseamos pasar de un ni#el a otro ni#el pero un poco enorroso si deseamos ir al ni#el m"s eneral. Para ello usamos la tecla < ;ecla < 9o usamos en dos 0ormasN la primera para sali r de un ni#el. sando el e7emplo anteriorN a*$amos necesitado escri*ir tres #eces .. para poder salir al ni#el *aseN pero racias a la tecla < solo *asta con escri*irla para poder ir de 0rente.
9a otra 0orma de poder usarla es salt"ndonos de un ni#el a otro ni#el
&ormalmente esto ar$amos si :ueremos ir de un ni#el a otroN Aa/ud"ndonos con las letras ..
Pero racias a la letra < se ace m"s sencillo
9a tecla ;8' Esta letra nos a/udar" a poder completar la sinta+is en los comandosN mientras tecleamos una pala*ra ustedes #er"n :ue cam*ia de un color nero a un color /a sea aKul #erde0u+ia / esto es de*ido :ue el Mikrotik reconoce alunos comandos autom"ticamente / para no estar tecleando todo el comando solo de*emos presionar ;8'
: $sando shortcut *eys en AMA((E de MA+ e IP 8nteriormente a*$amos #isto alunas teclas :ue nos a/udar"n a poder mane7ar / na#ear por el mikrotik a tra#s de la consola. 8ora nos a/udaremos con un e7emplo para poder tener una me7or e+plicaciBn@
EKemplo Queremos arear un amarre de mac e ip al siuiente cliente@
Entonces inresamos a la consola
Pero imainemos :ue se nos ol#idB como poder entrar a la ta*la 8RPN la preunta ser$a :u acemosN como /a di7imos anteriormente usamos la tecla 60 o la tecla = para consultar. Entonces o*ser#aremos un menT mu/ #ariadoN pero lo :ue nos interesa es la opciBn IP
8ora lleamos a IPN pero #ol#emos a ol#idarnos :ue m"s siue A*ueno es un caso :ue normalmente parecer$a tonto pero pasa amios Entonces #ol#emos a oprimir la tecla 60 o =. O*ser#aremos :ue e+iste un menu #ariado en la :ue se puede entrar a la ta*la 8RP Arecuadro ro7o pero tam*in cam*iar los dnsN entrar a los campos@ 0ireallN otspotN ipsec.. etc Acuadro #erde.
Como indica el cuadro ro7o de*emos tipear la pala*ra arp / despus #amos a oprimir la tecla para sa*er :ue siue. Es a:u$ donde o*ser#aremos los comandos enerales. Estos comandos enerales est"n con letras de este color . Es a mi entender :ue /a de*er$a al menos el usuario tener alTn contacto con el idioma inlsN la pala*ra 8DD se traduce como 8-RE-8RN / como nosotros estamos en *Ts:ueda de arear la IP@ 1?2.165.1.4 con la M8C@ >4@'5@8@1@6@E?N utiliKaremos esta opciBn@
Si :ueremos sa*er cu"l es la sinta+is para arear un IP con su M8C en la ta*la de 8RP nos a/udamos con la letra N escri*imos add / seuido de la letra =N es entonces donde aparecer"n la sinta+is enerales para arear la IP en la ta*la. Como usted puede o*ser#ar la sinta+is esta en letras #erdes.
Recordando la letra ;8' Aun parntesis para recordar el tema anterior 9a tecla ;8' Esta letra nos a/udar" a poder completar la sinta+is en los comandosN mientras tecleamos una pala*ra ustedes #er"n :ue cam*ia de un color nero a un color /a sea aul 1erde fu%ia / esto es de*ido :ue el Mikrotik reconoce alunos comandos autom"ticamente / para no estar tecleando todo el comando solo de*emos presionar ;8'
8reando la direcciBn IP Escri*imos@
=acemos esto para acostum*rarnos a usar el ta* / mikrotik nos escri*a todo el cBdio :ue estamos :ueriendo llenarN para este caso aparecer" la siuiente 0rase@
8 esto emos lleado pero otra #eK suponamos :ue no sa*emos cu"l es la sinta+is del cBdioN presionamos la tecla = para :ue nos indi:ue como se usa. 8 lo cual nos aparecer" a*a7o de la l$nea una l$nea con color amarillo con letras A:':+:D / a su costado dice IP ADD(ESS 9a letra A:':+:D indica :ue de*emos utiliKar la sinta+is de la manera 1?2.165.1.4
8s$ estar" ok... pero toda#$a no emos terminado as$ :ue no hagan EN!E( toda#$aN por:ue nos 0alta la M8C / la inter0ace
8reando la Mac
9o :ue resultar"@
-racias a aorramos tiempo / preuntas so*re completar el comandoN pero no ol#idemos :ue aTn nos 0alta sa*er la sinta+is del comando mac,address. Para ello usaremos una #eK m"s el s$m*olo de . Como podr" apreciar nos da una l$nea el cual di#ide a los 12 d$itos de la M8C en 6 pares unido a este s$m*olo ;7Q5Q:< N el cual si lo desmenuKamos contiene otros tres s$m*olos encerrados en corcetesN estos s$m*olos son 7 Aparntesis 5 Ara/a en medio : punto.
9o :ue :uiere indicar es :ue uno puede poner los doce d$itos de la M8C usando cual:uiera de estos conectoresN un e7emplo de ello ser$a@
6/7'7A.7.07.7EO T 6/5'5A.5.05.5EO T 6/:':A.:.0:.:EO 9o cual :uiere decir :ue es indi0erente si ponemos la mac con dos puntos o ra/a al medio o un puntoN mikrotik siempre lo tomar" como una mac. Entonces escri*imos la mac PERO !&DA,IA N& P(ESI&NE EN!E( ... :ue no a terminado.
Agregando la Interface
Escri*imos inter L ta* para :ue nos complete el comando
8 lo :ue recurriremos a nuestro s$m*olo para :ue nos a/ude a indicar :ue ponemos en inter0ace. 9o :ue o*ser#amos es :ue nos dicen en inles inter0ace name lo :ue #endr$a a ser el nom*re de la inter0aceN en este caso nosotros emos colocado el nom*re 98& Ae+isten otros casos en :ue no le ponen nom*re / lle#an el nom*re por de0ecto como eter1 eter2 etc.
8ora listo /a terminamos / podemos apretar EN!E(
Si o*ser#amos en el in*o+ o*ser#aremos :ue esta /a areado
Con esta 0inaliKamos el e7emploN este e7emplo nos a/uda a poder utiliKar las erramientas 9a lBica de los comandos De aluna manera los comandos tienen una lBica de escrituraN por lo :ue #amos apro#ecar este e7emplo para aprender de ello. 9os comandos en color #erde se llaman comandos enerales Aestos ser"n e+plicados en el siuiente postN este post es una introducciBn /a :ue nos a/udamos con un e7emplo. Dentro de los comandos enerales est"n los siuientes@
•
address ,, para arear la direcciBn IP
•
comment ,, para arear un comentario cual:uiera
•
disa*led ,, Para desa*ilitar aluna rela
•
•
inter0ace ,, 9a inter0ace a la :ue corresponde Apuede ser eter1N eter2. 98& %8& etc mac,address ,, 9a direcciBn M8C
&ota@ Esta es una e+cepciBnN de a:u$ adelante ustedes de*er"n traducir los comentarios :ue se encuentren en inlsN sal#o :ue e+ista al Tn trmino :ue sea di0$cil de entender. 8ora #amos nosotros :ueremos arear una direcciBn IP. Sa*emos :ue en inles las pala*ras siuientes se traducen en@
add Y arear address Y direcciBn disabledY desa*ilitar interface Y inter0ace mac5address Y direcciBn mac Entonces :ueremos@
Estas pala*ras de*emos con#ertirlas en cBdioN lo cual no es nada del otro mundo
8reamos entonces el cBdio en el terminal Ala sell del mikrotik
Entender la lBica es mu/ importante para poder escri*ir lo :ue :ueramos inclusi#e proramar. ;oda#$a no termina este tema de usar el &E% ;ERMI&89....
F: ;Modo +onsola< $sando +omando P(IN! ADD SE! ;Imprimir Agregar Editar< Estos comandos se e7ecutan en los di#ersos ni#eles :ue se pueden encontrarN / casi todos tienen la misma caracter$stica.
PRI&; command Muestra toda la in0ormaciBn :ue se puede acceder desde todo ni#el de mando. El comando PRI&; tam*in asina los nTmeros :ue son usados por todos los comandos :ue operan con elementos :ue est"n dentro de cada lista. n e7emplo de ello es el siuiente comando :ue nos mostrar" la 0eca / ora del sistema@
Dentro de las opciones :ue te puede permitir el comando PRI&; se encuentra su* menTs en la :ue puedes indicarN por e7emplo si :uieres imprimir alo m"s detalladoN a:u$ estamos imprimiendo las inter0aces :ue se encuentran en el mikrotik en un e:uipo
En cam*io ac" areamos la opciBn detail para :ue nos imprima alo m"s detallado :ue lo :ue nos dio arri*a escrito.
En cam*io ac" areamos la opciBn #alue,list para :ue nos imprima las inter0ace con sus propiedades pero por 0ilas
Par"metros comunes del comando PRI&;
8DD command El comando add aade un nue#a rela Acon los #alores :ue se especi0icaN estas nue#as relas se sitTan en orden por lo :ue a cada rela nue#a tiene un orden siuiente :ue #a desde el cero uno dos tres etc.
EKemplo Este el e7emplo tomado en el post anteriorN en ese post e+plicamos al detalle de cBmo usar los sortcut ke/s o teclas de ata7o para poder usar los comandos *"sicos. Como podemos #er solo e+iste una computadora cliente en la ta*la 8RPN por lo :ue procederemos arear una IP con su respecti#a M8C
8reamos la IP 1?2.165.1.4 con la mac >4@'5@8@1@6@E?
F #ol#emos a imprimir en el ni#el :ue nos encontramos A:ue es el ni#el 4@'5@8@1@6@E?
=a/ alunas propiedades necesarias :ue a/ :ue suministrarN como la inter0aK de una nue#a direcciBnN mientras :ue otras propiedades se a7ustan a los #alores predeterminados a menos :ue especi0i:ue e+pl$citamente. Par'metros comunes cop+-,rom , Copia un elemento e+istente. ;oma los #alores predeterminados de las •
propiedades del nue#o elemento de otro. Si usted no :uiere acer la copia e+actaN puede especi0icar nue#os #alores para alunas propiedades. 8l copiar elementos :ue tienen nom*resN por lo eneral tiene :ue dar un nue#o nom*re a una copia •
place-)e,ore , coloca un nue#o elemento antes de un elemento e+istente con la posiciBn
especi0icada. Por lo tantoN no es necesario utiliKar el comando de mo#imiento despus de aadir un elemento a la lista •
disa)led , controles desacti#ados < estado del elemento recin areado A,s a*i litadas
•
commet , contiene la descripciBn de un elemento recin creado
SE; command El comando set tiene sentido en tanto MODI>IQEMOS aluna rela /a colocadaN es decir si por e7emplo tenemos una IP / una M8C colocada en la ta*la 8RP / necesitaremos modi0icar alTn #alor de la ta*laN /a sea la M8C o la IP o un comentarioN el comando set nos ser#ir" para poder acer ese cam*io. Este comando no de#uel#e nada Aes decir cuando usted aa click en la tecla enter ace los cam*ios correspondientes pero no sale nada solo el prompt del MikrotikN para poder #er los cam*ios necesitar" usar el print. Vamos a tomar el e7emplo anteriorN en este e7emplo a*$amos areado una IP / M8C a la ta*la 8RPN *ueno aora #amos a modi0icar los #alores en la ta*laN /a sea por:ue emos dado en cuenta :ue a a*ido un error o por:ue :ueremos modi0icar alTn termino.
stedes pueden #er :ue en la primera columna e+isten los >98-S es decir estos son los llamados items :ue pone desde el cero uno dos tres etc. las relas :ue se colocanN entonces #amos a modi0icar el >98-S numero 1N :ue contiene a la IP 1?2.165.1.4 con M8C >4@'5@8@1@6@E?
EKemplo 0
Modi0icar la M8C del >98- 1N #amos a cam*iar la mac >4@'5@8@1@6@E? a esta mac 44@11@22@!!@))@
Vamos a imprimir para #er los cam*ios
stedes pueden o*ser#ar :ue /a se a cam*iado la macN entonces damos en cuenta :ue con el comando SE; podemos MODI>IC8R las relas :ue estamos escri*iendoN atienda *ien /a :ue con este comando &O V8MOS 8-RE-8R O CRE8R nue#as relas sino las modi0ica.
EKemplo &os ol#idamos del e7emplo anterior / nos an dico :ue :ueremos modi0icar la IP del >98- 1 as$ :ue manos a la o*ra. Modi0icar la IP 1?2.165.1.4 por la IP 1?2.165.1.64
Vamos a imprimir para #er los cam*ios
.: ;Modo +onsola 5 6INAL< Aprende 3abilitar Deshabilitar (emo1er Encontrar (eglas Comando ena*le98- (. Si un elemento no es #"lido Ain#alidN pero no est" desacti#ado Adisa*ledN este es marcado con una >98- con letra I. ;odas estas >98-SN si los a/N son descrito en la parte superior de la salida del comando de impresiBn.
EKemplo Como siempre emos dico :ue me7or :ue un e7emplo para poder aprender a usar este comandoN eres un administrador de red / te dicen :ue desa*ilites de esta ta*la de arp la IP 1?2.165.1.152 con la mac 44@46@'@d5@?)@C> *ueno #amos por pasos. Paso 1@ De*emos #er :ue >98- es la :ue corresponde esta computadoraN para ello nos a/udaremos de el comando print. En la siuiente ta*la arp podemos o*ser#ar :ue a/ 1) computadoras con sus respecti#as mac e ips. De esta relaciBn encontramos la :ue nos interesaN es la >98- 11N en esta >98- est" la computadora :ue tenemos :ue desa*ilitar.
'ueno para ello #amos a la consola / escri*imos disa* L Ala tecla ;8' / otra #eK Ala tecla ;8'N tenemos :ue acostum*rar usar la tecla ;8' de*ido a :ue esta tecla nos escri*e autom"ticamente A/a :ue completa la sinta+is la sinta+is :ue estamos escri*iendo.
Si an eco todo *ien aparecer" esta sinta+is
En ella de*emos poner en la opciBn num*ersT el >98- :ue corresponde a lo :ue *uscamosN en este e7emplo es el >98- 11N entonces procedemos a acer esta modi0icaciBn.
Como ustedes pueden #er e+iste una al costado del >98- 11 este indica :ue esta desa*ilitado / as$ terminamos el e7emplo. Comando REMOVE 'ueno creo :ue se entiende :ue este comando nos a/uda a remo#er aluna rela. 9a sinta+is es similar al comando anterior. Siuiendo con lo anterior :ueremos *orrar la IP :ue emos desa*ilitado AIP 1?2.165.1.152 con la mac 44@46@'@d5@?)@C> /a :ue esta computadora /a no #a estar presente en nuestra red / por lo tanto seria en #ano tenerlo en nuestra ta*la arp. Fa a*$amos #isto :ue para este e7emplo tiene la >98- nTmero 11N entonces... escri*imos remo#e L la ta*la arp.
Ala tecla ;8' / ponemos el numero 11N :ue es el *uscamos remo#er de
F 0inalmente imprimimos / o*ser#amos :ue la IP 1?2.165.1.152 con la mac 44@46@'@d5@?)@C> ha sido retirado.
Comando >I&D El comando >I&D ace re0erencia a lo :ue su propio nom*re dice A>I&D en inles se traduce como E&CO&;R8RN para esto usamos un e7emplo. Queremos encontrar los datos de la IP 1?2.165.1.24 de una lista lara en nuestra ta*la 8RP entonces usamos el siuiente cBdio.
8ora si :ueremos encontrar datos de la ma:uina con mac C4@d@21@>)@EC@d! usamos el siuiente cBdio
En el caso :ue usen radio enlaces / no estn en modo %DS A'ride #an a tener en su ta*la 8RP una repeticiBn de M8Cs / es de*ido al enmarascamiento de la mac por parte del 8P,Cliente / los clientes :ue est"n en el ca*le de red cliente. 9os %ISP entienden esta parte. Entonces en su *Ts:ueda de una macN es posi*le :ue se repita las mac. n e7emplo es el siuiente en el :ue un usuario 8ccess Point Cliente Asin %DS es decir no est" en modo *ride@
con
los
siuientes
datos
+reando 'ac*ups 5 Encriptadas y editables Scripts# 'ac*up por +onsola y Winbo% 5 )uardando !oda la configuraci"n En alunos momentos e+iste la posi*ilidad de :ue ocurra alTn accidente / eliminemos aluna rela o :uiK"s corrimos un script el cual a pro#ocado :ue nuestro Mikrotik no sala a internet o no
est 0uncionando correctamente. Para ello todo administrador de redes de*er" tener en cuenta uardar siempre un *ackup del sistema. 9a copia de seuridad A'ackup de con0iuraciBn se puede utiliKar para acer copias de seuridad de la con0iuraciBn. Esta copia se uarda en un arci#o *inarioN :ue puede ser almacenado en el router o descarado de ella a tra#s de >;P para su uso 0uturo. El *ackup se puede utiliKar para restaurar la con0iuraciBn del routerN tal / como era en el momento de creaciBn de copia de seuridad.
;enemos :ue ponerle un nom*re al arci#oN este arci#o se crear" en el Mikrotik / podr" ser uardado para ser usado si es :ue :uiere #ol#er a un estado de la con0iuraciBn. Para este e7emplo #amos a ponerle el nom*re 26]7unio]241! :ue ace re0erencia a la 0eca donde se a uardado.
Si o*ser#amos mediante el in*o+ #eremos :ue a sido creado un arci#o llamado 26]7unio]241! del tipo de e+tensiBn *ackup.
-uardando un *ackup 'ueno /a tenemos el arci#o creadoN as$ :ue aora podremos uardarlo en alTn luar de nuestra computadoraN si :ueremos copiarlo en el mikrotik tenemos :ue copiar / pearlo como si 0uera indos.
Carando un *ackup uardado 'ueno /a :ue tenemos un *ackup Aal cual emos llamado 26]7unio]241! procederemos a cararlo.
El mikrotik se reiniciar" / estar" con la con0iuraciBn al cual se a in#ocado Aen este caso el del *ackup llamado 26]7unio]241!. 'ackup mane7ado por in*o+ Otra 0orma de uardar un *ackup es mediante el uso del in*o+N es m"s sencilla /a :ue solo usamos unos cuantos clicksN procederemos a mostrar el procedimiento.
8ora #eremos :ue a/ un arci#o de nom*re Mikro;ik,2346241!,4?.*ackup &ota@ Este es el moti#o por el cual no me arada cuando uardo un *ackup por esta #$aN /a :ue Mikrotik dar" un nom*re autom"ticamenteN / es un nom*re medio raro :ue no es de 0"cil lecturaN a di0erencia de uardarlo por consola en la :ue uno puede asinarle el nom*re :ue desee.
Para restaurar la con0iuraciBn seleccionamos el *ackup / damos click en RES;ORE / el mikrotik se reiniciar" con la con0iuraciBn :ue as seleccionado. Esta primera parte estamos #iendo como uardar toda la con0iuraciBn del MikrotikN pero este tipo de arci#o enerado esta encriptadoN es decir si #amos al arci#o uardado / lo a*rimos con el *lock de notas nos aparecer" esta imaen.
8l estar encriptado toda la con0iuraciBn se #er" como en cino.
&o es la Tnica 0orma de uardar los *ackupsN / estas 0ormas 0uncionan de distinta maneraN /a :ue no es para recuperar sino :ue se usa 7unto con el terminal o consolaN en esta 0orma puedes seleccionar :ue cosa :uieres uardarN diamos solo :uieres uardar o copiar la con0iuraciBn del >IRE%899 lo acesN lo me7or es :ue puedes o*ser#ar la con0iuraciBn cuando lo a*res con el notepad de indos. n e7emplo@
'ac*up por +onsola y Winbo% 5 +reando bac*ups editables 8nteriormente emos estado #iendo :ue el *ackup :ue se a creado en el mikrotik es un arci#o no edita*leN este es un arci#o *inario :ue no puedes #er :ue contiene dentro de lN entonces uno si :uisiera leer o sa*er :u tipo de con0iuraciBn contiene de*er" acer otro tipo de *ackupN el cual sea edita*le. Por:u acer un arci#o edita*le 1 9a primera raKBn es :ue cuando creamos un *ackup edita*leN este arci#o nos permite o*ser#ar la toda la con0iuraciBn :ue tiene un ser#idor mikrotikN as$ :ue cuando a/a alTn pro*lema seamos capaces de imprimir esta con0iuraciBn / pedir a/uda a otra personaN esta persona podr" #er la con0iuraciBn / #er" en donde podr$a encontrarse los errores. Con ello nos ace la #ida m"s sencilla para solucionar alTn tipo de e#ento :ue podr$a 0allar. 2 9a seunda raKBn es :ue nos #a a permitir copiar la con0iuraciBn :ue podemos encontrar en cual:uier 0oro relacionado a Mikrotik / modi0icarla para n uestro caso.
+omando EP&(! Para poder acer este tipo de *ackup usamos el comando e+portN este comando produce un arci#o con e+tensiBn src
Vemos dentro de 0ile :ue e+iste un arci#o creado llamado con0iuraciBn con e+tensiBn rsc
Visto en la in*o+ aparecer" la con0iuraciBn
8ora #eremos :ue a/ dentro del arci#oN para ello lo *a7amos a la computadora / a*rimos con el *lock de notas
Cuando a*rimos el arci#o llamado con0iuracion.rsc #eremos :ue a/ alo escrito parecido al siuiente cBdio
8lunos podr"n o*ser#ar :ue aora si pueden leer cosas :ue se encuentran dentro del arci#o de *ackupN esto es *ueno para los :ue :ueremos sa*er cBmo est" la con0iuraciBn / a/uda a a/udarlos Adisculpen la redundancia.
Leyendo 'ac*ups Editables 5 'loqueo Uoutube y 6aceboo* ;EKemplo< =asta a:u$ emos #isto :ue los *ackups se pueden uardarN un e7emplo podr$a ser :ue te piden :ue como administrador de red lo siuiente@ 1 'lo:uea a la IP 1?2.165.1.4 el /outu*e / el 0ace*ook. ;T no sa*es cBmo acerlo as$ :ue pides a/uda al amio Aal amio MikrotikPeru de Inka9inu+ como acerloN nuestro amio entonces no te #a a mandar toooooodo su *ackupN el solo #a a mandar los scripts en donde se sitTa lo :ue pides. Gl #a a su terminal / #a a crear los *ackups :ue sean necesarios. Primero #a al ni#el de la/er3,protocol. Para ello entra a cada ni#el donde se u*ica la direcciBn la/er3
na #eK u*icado el ni#el damos el comando E(POR; para sacar el *ackup de la con0iuracion :ue necesitamos Aes decir no sacamos toooda el *ackup sino lo :ue necesitamos / denominamos el *ackup con el nom*re Relasde9a/er3
8ora nos 0alta *a7ar el *ackup de nuestras relas para *lo:uear el 0ace*ook / /outu*e :ue se encuentran en el 0ireall 0ilterN entonces #amos al ni#el :ue corresponde al 0iltro del 0ireall
F creamos un arci#o denominado Relasde>iltrode>ireall :ue e s el :ue contiene el *ackup de todas las relas de 0iltro :ue tiene el 0ireall
Veremos en nuestro in*o+ :ue esos dos *ackups est"n creados
Si a*rimos el arci#o Acon un arci#o de te+to llamado Relasde9a/er3 #eremos esto@
De iual manera si a*rimos el arci#o Acon un arci#o de te+to *ackup llamado Relasde>iltrode>ireall #eremos esto
F aora Fa tenemos el script eneradoN aora #amos a sa*er m"s so*re lo :ue podemos uardar como *ackup. Vamos a #er como *lo:uear /outu*e / 0ace*ook en una red. Inresamos al mikrotik / corremos en ne terminal de mikrotik estas relas@
Esta rela nos indica el ree+ del 0ace*ook / /outu*e en 93
9ueo corremos estas relas en el ne4 terminal de mi*roti* donde se *lo:uea el 0ace*ook / /outu*e para esta IP :ue ser$a la 0/:-:0:-0 en nuestro e7emplo.
Para :ue nuestro >iltro 0uncione se de*e crear dos relas de *lo:ueo donde se oriina SRC SORCE donde #a el IP del clienteN como el destino del mismo IPN por :ue como sa*r"n las relas de >ilter rules 0uncionan de un sentido no #an de 2 sentidosN / si :uisieran armar con una rela de*er"n marcar toda la cone+iBn en manle / traerlo a 0ilter rules / a$ acerle un drop.
;raducciBn 9a primera l$nea Aesta l$nea
9a seunda linea A add commentY nameY0ace*ook ree+pY^.WA0ace*ook.W_` nos dice A)(E)A( un RE-E( con nom*re >8CE'OOJ sin &I&-& COME&;8RIO
9isto /a lo tenemosN #isto por el in*o+ #emos :ue /a tenemos la rela :ue colocamos #$a terminal.
9o mismo acemos con la seunda rela :ue nos a en#iado
=asta a:u$ todo normal pero en la seunda parte donde se u*ica las relas de 0ireall #emos esto CBdio@
CBdio@ ace*ookN Si es :ue tenemos un R'34 CBdio@ ace*ook *lock 8S!2?!) disa*ledYno _listY'lock, >ace*ook add addressY66.224.12.4<21 disa*ledYno listY'lock,>ace*ook add addressY66.224.1?.4<2) disa*ledYno listY'lock,>ace*ook add addressY6?.6!.136.4<21 disa*ledYno listY'lock,>ace*ook add addressY6?.6!.15).4<21 disa*ledYno listY'lock,>ace*ook add addressY6?.131.22).4<24 disa*ledYno listY'lock,>ace*ook add addressY6?.131.2!?.4<2) disa*ledYno listY'lock,>ace*ook add addressY6?.131.2)4.4<24 disa*ledYno listY'lock,>ace*ook add addressY6?.131.2.4<2) disa*ledYno listY'lock,>ace*ook add addressY3).11?.36.4<22 disa*ledYno listY'lock,>ace*ook add addressY24).1.24.4<22 disa*ledYno listY'lock,>ace*ook add addressY66.224.1)).4<21 commentY>ace*ook *lock 8S!2?!) disa*ledYno _listY'lock,>ace*ook add addressY66.224.12.4<21 disa*ledYno listY'lock,>ace*ook add addressY66.224.1?.4<2) disa*ledYno listY'lock,>ace*ook add addressY6?.6!.136.4<21 disa*ledYno listY'lock,>ace*ook add addressY6?.6!.15).4<21 disa*ledYno listY'lock,>ace*ook add addressY6?.131.22).4<24 disa*ledYno listY'lock,>ace*ook add addressY6?.131.2!?.4<2) disa*ledYno listY'lock,>ace*ook add addressY6?.131.2)4.4<24 disa*ledYno listY'lock,>ace*ook add addressY6?.131.2.4<2) disa*ledYno listY'lock,>ace*ook add addressY3).11?.36.4<22 disa*ledYno listY'lock,>ace*ook add addressY24).1.24.4<22 disa*ledYno listY'lock,>ace*ook add addressY!1.1!.2).4<21 disa*ledYno listY'lock,>ace*ook add addressY!1.1!.6).4<1? disa*ledYno listY'lock,>ace*ook add addressY!1.1!.6).4<2) disa*ledYno listY'lock,>ace*ook add addressY!1.1!.6.4<2) disa*ledYno listY'lock,>ace*ook add addressY!1.1!.66.4<2) disa*ledYno listY'lock,>ace*ook add addressY!1.1!.6?.4<2) disa*ledYno listY'lock,>ace*ook add addressY!1.1!.34.4<2) disa*ledYno listY'lock,>ace*ook add addressY!1.1!.31.4<2) disa*ledYno listY'lock,>ace*ook add addressY!1.1!.32.4<2) disa*ledYno listY'lock,>ace*ook add addressY!1.1!.3!.4<2) disa*ledYno listY'lock,>ace*ook add addressY!1.1!.3).4<2) disa*ledYno listY'lock,>ace*ook
6ire4all (ules 5 Aprendiendo desde cero a usar las reglas del 6ire4all INP$! +3AIN 5 datos que 1an 3A+IA el Mi*roti* Vamos a comenKar tra*a7ando con el 0ireall de MikrotikN esto de*ido a :ue necesitaremos de erramientas como las cadenas Acains para el uso de *lo:ueos o permisos del 0ireall con el e+terior o en la misma red interna. Varios de ustedes a*r"n #isto este tipo de relas CBdio@
Input +hain Este proceso llamado input se re0iere a todo tr"0ico de datos :ue #a como destino al router Mikrotik. Para entender me7or este concepto aremos un caso e+plicati#o.
EKemplo 07 sted es un administrador de redes / le piden :ue *lo:uee el comando pin acia el Mikrotik. Es decir el Mikrotik &O RESPO&DER a los pineos ASolo el mikrotikN /a :ue usted podr" pinear a otros dispositi#os Datos a tomar en cuenta •
El Mikrotik tiene la IP pri#ada 1?2.165.1.1
•
El Mikrotik tiene la IP pT*lica 1?4.2!.1!6.?
Si o*ser#an la imaen #er"n :ue las peticiones de PI&- son en#iadas Acon direcciBn al RO;ERN /a sea desde el internet o desde nuestra red interna. Este tipo de peticiones son procesos en :ue in#olucran la cadena I&P;.
Pin 0unciona mediante el Internet Control Messae Protocol AICMP. Vamos a arear una cadena input e indicamos el protocolo ICMP / tomaremos como acciBn *lo:uearlo. CBdio@
De iual manera si en#iamos desde el internet =8CI8 E9 MIJRO;IJ Acu/a IP pu*lica es 1?4.2!.1!6.?N es decir desde 0uera de nuestra redN no nos responder"
EKemplo -7 8ora nos piden :ue por nuestra misma red !&D&S los dispositi1os de nuestra propia red puedan PINEA( AL MI9(&!I9 y las IPs que no pertenecen a esa red N& P&D(AN PINEA( AL MI9(&!I9N es decir todos los :ue pertenecen a las IPs@ 1?2.165.1.1 1?2.165.1.2 1?2.165.1.! ... ... 1?2.165.1.2)
Solo estas pueden estar permitidos pinear al MI9(&!I9N pero ;ODOS los dem"s &O. Como es tedioso poner IP por IP #amos a*re#iar 1?2.165.1.4<2) Y Arepresenta o es iual Y 1?2.165.1.( [donde ( toma #alores desde 1 asta 2) 9isto las relas de 0ireall ser$an@ CBdio@
E%plicando las reglas. De*emos crear una primera rela :ue nos d ia PERMI;E pinear a la 0amilia de IPs 1?2.165.1.( / despues O;R8 RE-98 :ue nos dia '9OQE8 todos los dem"s IPs De*en recordar :ue el orden de las relas en el >IRE%899 >I9;ER se e7ecutan por ordenN es decir el ordenN se e7ecutan las :ue se sitTan arri*a / despus la de a*a7o. Esta primera rela nos indica :ue toda la red #a a poder mandar pineos entre ellos 1?2.165.1.( CBdio@ add cainYinput src,addressY1?2.165.1.4<2) protocolYicmp actionYaccept
Esta seunda nos dice :ue ;ODOS los dem"s IPs *lo:uealos. CBdio@ add cainYinput protocolYicmp actionYdrop
$ltimo EEMPL& Ser" utiliKado en el prB+imo POS; de cain O;P; Importante??? =asta a:u$ emos usado solo el protocolo ICMP / no emos especi0icado alTn puerto. 8ora usaremos la cadena I&P; con puertos espec$0icos. Se les da el siuiente pro*lema@ CondiciBn necesaria@ $tiliando la cadena INP$! de*er"n PERMI;IR el >;P del Mikrotik en toda la REDPRIV8D8N es decir 1?2.165.1.4<2) / a la #eK de*er"n DE&E-8R el >;P del Mikrotik a toda RED Pb'9IC8N es decir :ue denear a todos los :ue estn :ueriendo entrar desde el internet al >;P de Mikrotik. CBdio@
Si o*ser#an con detenimiento emos areado adem"s del protocoloN el puerto del >;PN :ue es 21. En esta ocasiBn aremos una pausa /a :ue si *ien es cierto tenemos el puerto 21 como puerto a utiliKar para aplicar nuestras relasN e+iste siempre preuntas /a :ue en Mikrotik se tiene dos
opciones para el puerto. S :ue es el puerto 21N pero Qu uso Src Port o Dst Port 9a respuesta es@ Cuando uses Input cain usas el dst port de*ido a :ue I&P; es cuando a/ aluna peticiBn desde a0uera con direcciBn de destino al router. Por ello usamos destination,portN :ue en a*re#iaturas es dst,port
Pero de*ido a :ue emos puesto nuestra rela de I&P; C=8I&N de*eremos apuntar a un puerto de destino :ue en este caso es Adestination port Y dst,port puerto de destino 21 Apuerto del >;P
9isto =emos permitido :ue cual:uier computadora de nuestra red tena acceso al >;P del Mikrotik / *lo:ueado a cual:uiera :ue este 0uera de nuestra red.
&$!P$! +3AIN 5 datos que salen DESDE el Mi*roti* En el anterior post a*$amos #isto la cadena I&P;N :ue es para el caso de cuando a/a aluna in0ormaciBn o cone+iBn con direcciBn =8CI8 el MIJRO;IJ. Esta rela es mu/ utiliKada /a :ue nos e#itara alunos ata:ues. 8l 0inaliKar esta secciBn #eremos un e7emplo de cBmo se proteer$a a nuestro 0ireall de posi*les ata:ues. 8ora #amos a entender la cadena O;P; C=8I&. 9a cadena O;P; es para cuando a/a aluna data :ue a/a sido enerada desde nuestro RO;ER MIJRO;IJ.
Para entenderlo utiliaremos el eKemplo anterior Se les da el siuiente pro*lema@ CondiciBn necesaria $tiliando la cadena &$!P$! De*er"n De*er"n PERMI;IR PERMI;IR el >;P del Mikrotik en toda la RED PRIV8D8N PRIV8D8N es decir 1?2.165.1.4<2 1?2.165.1.4<2) ) / a la #eK De*er"n DE&E-8R DE&E-8R el >;P del Mikrotik Mikrotik a toda RED Pb'9IC8N es decir :ue denear a todos los :ue estn :ueriendo entrar desde el internet al >;P de Mikrotik.
Antes 1amos a recordar c"mo era resuelto este problema cuando usbamos S&L& la cadena INP$!: En el e7emplo del anterior postN postN se utiliKa*a la cadena INP$!. Entonces ten$amos :ue tomar la rela #isto desde toda in0ormaciBn :ue #a 3A+IA el RO;ER Mikrotik. Por lo :ue los puertos eran tomados como puertos de destino. destino.
CBdio@
Pero si utiliKamos la cadena &$!P$! tenemos :ue crear relas :ue S89-8& DESDE el Mikrotik entonces si la in0ormaciBn tiene direcciBn desde el Mikrotik acia a0uera serian puertos de orien o en inles SORCE POR; A/a :ue la in0ormaciBn nace del Mikrotik. 9a 0iura es la siuiente
Entonces el script seria el siuiente@ CBdio@ OR%8RD para crear relas de protecciBn de >IRE%899.
6&(WA(D +3AIN 5 datos que pasan A !(A,S del Mi*roti* 9a cadena >OR%8RD es usada para procesar pa:uetes / datos :ue #ia7an a tra#s del MikrotikN es decir :ue &O est"n diriidos ac$a el Mikrotik Acadena I&P; &I ;IE&E& orien en el Mikrotik Acadena O;P;N estos datos pueden estar diriidos a un ser#idor de correosN ser#idor D&SN etc. Es decir tienen direcciBn distinta a la del Mikrotik pero :ue &ECES8RI8ME&;E re:uieren pasar por el Mikrotik. EKemplo 0 Para este e7emplo ustedes &ECESI;8& tener esta con0iuraciBn en su Mikrotik. Es decir :ue el Mikrotik aa de Ser#idor D&S. Como Dato el Mikrotik tiene la IP 0O-:0:0:0 / la red mane7a la l a IP 1?2.165.1.( [+ puede ocupar #alores desde 2 asta 2). 2) . Para esto necesitamos arear los D&S A:ue nuestro pro#eedor ISP nos a dado en el MikrotikN esto para :ue el Mikrotik pueda ser#ir como Ser#idor D&S
Se le pide como administrador de RED :ue@
0# !odas !odas las computa computadoras doras client clientes es sean obligada obligadas s a no usar ningHn ningHn DNS 2 El Hnico Ser1idor que las computadoras pueden usar es el del Ser1idor DNS del Mi*roti*: Para poder realiKar esta tarea #amos a usar la cadena >OR%8RD para *lo:uear el puerto ! / el protocolo DP Aes el puerto :ue usan los D&SN adem"s los D&S usan el protocolo DP. 8s$ ser$a el script :ue necesitar$amos. CBdio@
Cip fire4all filter add chain chainT T0orard dst5port dst5portT T! protocol protocolT Tudp action actionT Tdrop Si ustedes desean pueden pro*ar aan lo siuiente@ a. 8re 8reu uen en est esta a rel rela a a su su red. red. *. Va/an Va/an a una computa computadora dora cliente cliente / #ean :ueN :ueN si la computadora computadora cliente cliente tiene tiene con0iurad con0iurado o los D&S :ue su pro#eedor ISP les a dado no #a a poder na#ear por internet. Apara el e7emplo nuestro pro#eedor es tele0Bnica del PerT / por e llo usamos los D&S 244.)5.22.1!4.
F la preunta es@ Cu"l es la IP de nuestro SERVIDOR D&S Mikrotik 'ueno la respuesta es 0"cil es la misma IP :ue tiene nuestro MikrotikN para el e7emplo :ue mostramos es 1?2.165.1.1
Con el e7emplo :ue emos #isto podemos o*ser#ar :ue la cadena >OR%8RD puede ser aplicado para la tarea :ue nos piden de*ido a :ue una computadora cliente cuando pone un D&S de alTn pro#eedorN necesariamente tiene :ue pasar 8 ;R8VGS del Mikrotik. Es decir &O 8P&;8 al Mikrotik sino :ue apunta alTn ser#idor e+terno. Por lo :ue >OR%8RD se aplica a todo lo :ue pasa por el Mikrotik PERO &O 89 MISMO MIJRO;IJN /a de*er$amos sa*er :ue si deseamos diriirnos =8CI8 el Mikrotik usar$amos I&P; / la cadena O;P; apuntar$a los datos :ue tienen ORI-E& en el Mikrotik acia 80uera.
&!(& EEMPL& Otro e7emplo :ue se encuentra en el 0oro es el del *lo:ueo del 0ace*ook / /outu*e. Estas dos primeras l$neas arean los ree+p para el /outu*e / el 0ace*ookN no es de muco inters para e+plicar so*re ree+p usadosN /a :ue lo :ue interesa es la cadena >OR%8RD. 9o :ue se puede decir es :ue los ree+p a/udan a poder *lo:uear el 0ace*ook / el /outu*e CBdio@
Cip fire4all layerG5protocol add nameT0ace*ook rege%pT@^.WA0ace*ook.W___`@ add nameT/outu*e rege%pT@^.WA/outu*e.W_`@ Estos dos cBdios si son de intersN /a :ue se encuentran dos cadenas >OR%8RDN estas dos cadenas nos dice :ue *lo:ueen a cual:uier computadora cliente :ue se diri7an acia la direcciBn url del 0ace*ook o /outu*eN para conectarnos a esas p"inas necesitamos pasar 8 ;R8VGS del Mikrotik por ello usamos la cadena >OR%8RD. CBdio@
Cip fire4all filter
add chainT0orard layerG5protocolT0ace*ook actionTdrop add chainT0orard layerG5protocolT/outu*e actionTdrop Espero :ue a/an entendido del uso correcto de la cadena >OR%8RDN e+iste otro uso para esta cadena / se usan con la cadena HMP
$MP +3AIN 5 +reando Nue1as +adenas ;Separando (edes< Por de0ecto tT tienes solo tres cadenas :ue #ienen con el mikrotik I&P; O;P; >OR%8RD. 9o me7or del mikrotik es :ue te permite poder crear tus propias cadenasN esto se consiue con la cadena HMP. ;T puedes construirlas / darles el nom*re :ue :uieras. Para ello citaremos un e7emplo :ue casi siempre me lo piden. ;enemos un Router'oard :ue mane7a #arias redes.
(ed0 T 0O-:0:/:0 [En esta red est" el "rea de Conta*ilidad (ed- T 0/:0/:0/:0 [En esta red est" el "rea de Ventas El pro*lema es el siuiente@ 9a Red1 pertenece a una red de Conta*ilidad / la in0ormaciBn :ue tienen es importante / por ende no :uieren :ue los de la Red2 A:ue son el "rea de Ventas puedan #er esta in0ormaciBn
Para resol#er el pro*lema usaremos la cadena HMPN /a :ue #amos a crear nue#as cadenas a las cuales #amos aplicar despus relas entorno a ellas
8ntes de empeKar #eremos :ue por de0ecto Mikrotik tiene solo tres cadenas
Vamos a crear entonces una nue#a cadena ll amada Red1 / lo acemos con la a/uda de HMP
Despus de a*er creado la cadena Red1 podemos o*ser#ar :ue en la lista aparece 7unto a las tres
Este es un e7emplo pero /a :ue necesitamos dos cadenas una llamada Red1 / otra llamada Red2 lo aremos con los comandos de Mikrotik
Con estas dos relas creamos dos nue#as cadenas llamadas Red1 / Red2N estas acen re0erencias a las dos redes :ue se mane7an / racias a estas dos nue#as relas #amos a poder separarlasN / as$ e#itar :ue se miren unas a otras. CBdio@
Con esto loramos tener control so*re las dos redes / podemos *lo:uear la comunicaciBn entre ellas. E+isten #arias 0ormas para acer este tipo de *lo:ueos pero la idea era e+plicar para :u sir#e la cadena HMP. CBdio@
9o :ue dice la rela anterior es :ue cual:uier cone+iBn :ue este 0uera de la red a la cual pertenece &O podr" tener acceso. Esta rela es mu/ riurosa /a :ue si tu#iramos un ser#idor de correos o un ser#idor e* los *lo:uear" si es :ue se un cliente del e+terior :uisiese entrar. Para ello aremos la rela menos restricti#a usando la cadena HMP llamada RED1 / RED2. CBdio@
9a primera cadena nos dice :ue SO9O la red 14.14.14.4<2) ser" *lo:ueada si es :ue :uiere inresar a la RED1 Aesta es la red 1?2.165.4.4<2) de iual manera la seunda nos dice :ue SO9O la red 1?2.165.4.4<2) ser" *lo:ueada para inresar a la RED2 A:ue es la red 14.14.14.4<2). Como pueden o*ser#ar podemos acer mTltiples opcionesN :ue tal si necesitamos :ue E&;RE 98S REDES SE PED8 PI&E8R solo incluiremos esta rela por encima de todas / despus drop para *lo:uear otro tipo de acceso. CBdio@
ADD(ESS LIS! 5 +reando grupos de IP>s
'uenos d$asN despus de a*er pasado un periodo de #acaciones empeKamos por terminar el capitulo de >IRE%899 >I9;ER R9ES. Como ustedes podr"n #er dentro del >IRE%899 e+iste la pestaa llamada 8DDRESS 9IS;. 8ddress 9ist es una erramienta poderosa :ue caracteriKa a MikrotikN sta nos da la a*ilidad de pro#eer una lista de direccionesN /a sea una sola o de un rupo de IPs Ael cual puede ser un su*red tam*in. Pero ustedes se preuntar"n F *ueno esto nos a/uda a poder aplicar relas a un cual:uier con7unto de IPs :ue :ueramosN inclusi#e a las IPs e+ternas :ue no pertenecen a nuestra redN /a sea para *lo:uearlasN marcarlasN arearlas a una cadenaN etc.
Pero como la teor$a no se entiende si no a/ pr"ctica #amos a desarrollar un par de e7emplos :ue nos permitan poder sa*er a ciencia cierta lo :ue se puede acer con este comando. E7emplo 1 =a/ situaciones donde necesitamos sa*er :ue e:uipos est"n entrando a nuestra redN imainen :ue est"n tra*a7ando en una empresa / les piden :ue usted mencione cuantas dispositi#os Acomo computadorasN ipadsN smartponeN etc. inresan a la red Ael router tiene IP 1?2.165.1.1 en el periodo de una semana. &osotros no sa*emos ese dato / no creo :ue sea *uena la idea estar las 2) oras del d$a con l"piK / papel #iendo :uien inresa o :uin no.
Para ello usaremos el siguiente script 8reamos una cadena 0orard a la red 1?2.165.1.4<2)N esto representa toda la redN / la acciBn :ue #amos a tomar es la de add,src,to,address,list traducido al espaol es arear al address,list llamado 9IS;8 DE IPs CBdio@
Entonces :u es lo :ue #a acer estas relas en el 0ireallN lo :ue #a acer es arear a la *ase de datos del 8DDRESS 9IS; todas a:uellas direcciones IPs :ue pasan por el MikrotikN / a este con7unto de IPs los #a a eti:uetar con un nom*re llamado 9IS;8 DE IPs. Si pueden o*ser#ar despus de alTn tiempo se #er" en la pestaa 8DDRESS,9IS; #arias IPs. 9o importante a:u$ es aprender la lBica de esta relaN en la :ue
E7emplo 2 En su tra*a7o le piden :ue a#erie :ue computadoras en la red 1?2.165.1.4<2) est"n usando proramas Peer to Peer :ue se sim*oliKa con P2P. Como ar$an eso 'ueno racias al mikrotik no a*r$a pro*lema sol o ser$a cuestiBn de poner lo siuiente@ CBdio@
E7emplo ! Como seunda orden le dan :ue una #eK encontrado a los dispositi#os :ue est"n *a7ando P2PN les *lo:uee todo paso a internet / a la red como medida de castio. Entonces para ello usaremos el siuiente script CBdio@
Espero :ue a/an podido entender el uso del 8DDRESS,9IS; /a :ue m"s adelante se usaran para poder dar relas :ue nos a/udaran a proteer nuestra Red.
EEMPL& Protegiendo a Mi*roti* de ataques Mikrotik siempre de*e proteerse de ata:ues o alunos intrusos :ue :uieran apoderarse de tu cla#e mikrotik e+ternamente para ello #amos a crear un par de relas :ue *lo:uearemos todo el tr"0ico -enerado desde Internet acia la 98&. Para ello nos #amos a &e ;erminal de mikrotik / peamos las siuientes relas@ Esta es la direcciBn donde se arearan las relas@ CBdio@
add actionYaccept cainYinput commentY connection,stateYesta*lised disa*ledYno in, inter0aceYpppoe,out1 Como tercera rela de7amos pasar cone+iones relacionadas *"sicamente e+isten aplicaciones como puede ser el caso >;P donde la autenticaciBn la acen en un puerto / el tr"0ico en otro *"sicamente para ello areamos esta rela. CBdio@ add actionYaccept cainYinput commentY connection,stateYrelated disa*ledYno in, inter0aceYpppoe,out1 >inalmente cerramos todo para :ue todo lo :ue lleue al mikrotik desde %8& , 98& lo descarte. CBdio@ add actionYdrop cainYinput commentY disa*ledYno in,inter0aceYpppoe,out1 Con estos simples pasos /a tenemos nuestro mikrotik seuro.
6ire4all Mangle 5 Entendiendo el Mangle para dummies 0: ;6ire4all 5 Mangle< PA+9E! 6L&W 5 Entendiendo el Pac*et 6lo4 ANALISIS El sistema Manle del Mikrotik es usado en di0erentes tareas / son de ran a/uda /a :ue nos permitir" acer mucas mara#illas pero el ran pro*lema es :ue no se tiene una clara e+plicaciBn so*re el Packet >loN por lo :ue partiremos con ello. Pac*et 6lo4
Para a:ul :ue nunca a #ista un diarama de 0lu7o lo #er" como cino. &o es di0$cil solo es sa*er interpretar :ue sini0ica cada sim*olo$a :ue se presenta en un diarama de 0lu7o. EmpeKaremos indicando la sim*olo$a :ue se usa en este ra0ico de packet 0lo.
Entonces como podr"n o*ser#ar El diarama de 0lu7o representan un diarama los 0lu7os de tra*a7o de cada procedimientoN paso a pasoN de un sistema. 8:u$ un e7emplo@
+omenamos ;INP$! IN!E(6A+E<@ &ormalmente son llamadas inter0aces consumidorasN de*ido a :ue es en esta inter0ace donde se inician las peticiones. Son en#iadas desde 0uera del router apuntando a MikrotikN por ello #an antes del routin APRE,RO&;I&-. Punto de partida de los pa:uetesN no importa :ue inter0ace sea A0$sica o #irtual. EKemplo7 9a red 98& puede considerarse I&P; I&;ER>8CE cuando se acen las peticiones de una p"ina e* o acceso a una *ase de datosN todas estas peticiones tienen con direcciBn al router Mikrotik para :ue esta pueda resol#erlas. ;&$!P$! IN!E(6A+E<@ &ormalmente son llamadas inter0aces productoras de*ido a :ue es en esta inter0ace donde responde a la solicitud de una inter0ace consumidora. Este es el Tltimo camino :ue tiene el pa:uete antes :ue sea en#iado a0uera de la red. EKemplo n e7emplo de ello es la inter0ace %8&N /a :ue produce la in0ormaciBn :ue la red 98& Aconsumidora solicita. F es en esta Inter0ace donde los pa:uetes toman el Tltimo camino antes :ue sean en#iados a internet.
;P(E5(&$!IN)< @ Este es el sitio m"s usado para los manles rules Ao llamados relas de manle De este luar se procesar" la data :ue se diriir" a tra#s del routerN pero lo m"s importante es :ue procesar" antes de :ue a/a una decisiBn de ruteo. 8s$ :ue tT puedes aplicar las marcas Amark connection antes de :ue el router determine :ue ruteo #a acer. OOX de tus reglas de mangle estarn aqui. ;P&S!5(&$!IN)< @ En esta u*icaciBn est" el pa:uete :ue a*andona el routerN *uen uso para nuestro sistema de manles a:u$ es cuando tu estas cam*iando el tamao de tu ;CP o MMSN o aciendo otro cam*io de packets. Otra posi*ilidad es si tu estas cam*iando el ;OS *it de un pa:uete.
;INP$!<@ Este luar tiene la misma caracter$stica :ue tiene la cadena I&P; de las relas de >IRE%899N estas /a an sido #istas con muco detenimiento por lo :ue de7amos el link a:uellos :ue no lo an #isto aun para :ue lo re#isen. I&P; C=8I& , datos :ue #an =8CI8 el Mikrotik
;&$!P$!< @ Este luar tiene la misma caracteristica :ue tiene la cadena O;P; de las relas de >IRE%899N estas /a an sido #istas con muco detenimiento por lo :ue de7amos el link a:uellos :ue no lo an #isto aun para :ue lo re#isen. O;P; C=8I& , datos :ue salen DESDE el Mikrotik
;6&(WA(D<@ Este luar tiene la misma caracter$stica :ue tiene la cadena >OR%8RD de las relas de >IRE%899N estas /a an sido #istas con muco detenimiento por lo :ue de7amos el link a:uellos :ue no lo an #isto aun para :ue lo re#isen. >OR%8RD C=8I& , datos :ue pasan 8 ;R8VGS del Mikrotik
'ueno asta a:u$ la primera parteN es importante entender estos puntosN s :ue no est" todo el an"lisis del packet 0lo pero los :ue se encuentran e+plicados son 0undamentalmente importantes para los pasos siuientesN /a :ue aremos marcado de pa:uetesN / de*emos conocer :ue camino toman nuestros pa:uetes antes de ser marcados.
-: ;6ire4all 5 Mangle< Marcar +one%ion 1s Marcar Paquetes ;Mar* +onnection 1s Pac*et< PA(!E $N& Como la ma/or$a de personas al comenKar estudiar el tema de M8&-9E *usca in0ormaciBn en la redN pero nos damos con el ran pro*lema :ue no e+iste alTn luar donde se e+pli:ue con C98RID8D so*re este tema. no necesita desci0rar la poca in0ormaciBn :ue se a/a en la e* para poderle entender Ano a/ ni si:uiera en inles una *uena e+plicaciBn. Pero suerte para ustedesN estamosN desde este 0oroN contri*u/endo con un ranito de arena a despe7ar este tema.
$SA( MA(+AS Y MA(9S Mientras estas usando el sistema de ManleN uno de las caracter$sticas cla#es es la acciBn llamada markin o marcado. ;u usaras esta caracter$stica para marcar la data e identi0icarla para despus usarla en otras relas Acasi siempre lo usamos para dar prioridades 7unto con el :ueues. Mar* +onnection 5 Marcado de +one%iones Como su mismo nom*re lo indica este tipo de marcado marca la cone+iBn. 'uscando una 0iura para poder e+plicar este temaN imainen el siuiente e7emplo@ 1 &ecesitamos ir de un punto 8 a un punto ' 2 Se nos presentan #arias opciones para poder llear a nuestro punto ' ! De*emos eleir una CO&E(IO&
) Eleimos una cone+iBn / nos preparamos para esta*lecer la comunicaciBn entre los dos puntos. Para poder enta*lar una comunicaciBn se necesita identi0icar el emisor como el receptorN esta identi0icaciBn contiene las siuientes in0ormaciones@ 9a direcciBn IpN el protocolo A;CP<DP ICMP etc.N el puerto por el cual se est" enta*lando la comunicaciBnN la Inter0ace por la cual est" saliendoN etc. Esta identi0icaciBn es en am*os sentidos.
Esta cone+iBn :ue se esta*lece se marca es decir se le eti:ueta con un nom*re. 8*stra/ndonos podr$amos imainar :ue la carretera :ue une 9IM8 , ;8C&8 es una cone+iBnN / podemos marcarlo con el nom*re de P8&8MERIC8&8 &OR;E. O*#iamente lo :ue se marca con la eti:ueta panamericana norte seria toda la in0raestructuraN el as0altoN las seales de tr"nsitoN etc. OHO pero lo :ue &O SE M8RC8 son los autos.
Mar* Pac*ets 5 Marcado de paquetes Vamos a e+plicar el marcado de pa:uetes AMark Packets con a/uda del marcado de cone+iones. Como emos #isto anteriormente el marcado de pa:uetes se re0iere al tr"0ico de pa:uetesN / estos se identi0ican / se marcan. tiliKando la misma analo$aN es decir de la carretera de 9IM8 a IC8N el marcado de pa:uetes se re0iere a los autos :ue transitan por la #$a panamericana. Cada una con una placa distinta / un diseo de carro distinto.
Vamos a ir paso a pasoN esto para poder entender Acon muca paciencia la 9O-IC8 del marcado de pa:uetes. =a/ muca con0usiBn so*re esto /a :ue /o mismo no sa*$a en un primer momento si aplicar marcado de cone+iBn o marcado de pa:uetes.
: ;6ire4all 5 Mangle< Marcar +one%ion 1s Marcar Paquetes ;Mar* +onnection 1s Pac*et< Es meKor Marcar Paquete Marcar +one%ion o Marcar +one%ion y a la 1e Marcar Paquete= &ormalmente encontramos siempre alunas con0iuraciones :ue a*lan so*re el marcadoN pero el ran pro*lema es :ue en alunas ocasiones marcan el pa:uete otras marcan las cone+ionesN / otras marcan las cone+iones / los pa:uetes a la #eK. Es a:u$ donde #iene la con0usiBn /a :ue alunos encuentran el mismo resultado aplicando por un lado el marcado de pa:uetes / por otro el marcado de cone+ionesN entonces se preuntanN si son los mismo cu"l es la di0erencia entre el marcado de pa:uetes / marcado de cone+iones Para poder despe7ar dudas usaremos como /a es costum*re en este 0oro un e7emplo para ma/or comprensiBn.
EKemplo ;area@ Marcar el tra0ico =;;P de la red 98& 0:0:0:0C-F Apudo ser la red 1?2.165.1.1<2) pero para el e7emplo se tra*a7B una red 0icticia Marcar 1ia MA(+AD& de PA8$E!ES Como los pa:uetes #ia7an en dos sentidosN tendremos dos partes :ue tra*a7aran en el manle@ 1. n sentido es cuando la red interna *a7a in0ormaciBn del ser#idor e*. 2. Otro sentido es cuando la red interna su*e in0ormaciBn del ser#idor e*. Entonces se re:uiere marcar el tra0ico =;;P #$a M8RC8DO DE P8QE;ESN entonces en donde #amos a marcar ser" en la tar7eta %8&. En la 0iura se puede apreciar :ue la tar7eta %8& est" actuando como O;,I&;ER>8CEN como /a se a dico anteriormenteN O;,I&;ER>8CE ace re0erencia a las tar7etas productorasN para el caso la tar7eta %8& PRODCE in0ormaciBn para la red interna 98& Aesto sucede cuando accedemos a una p"ina alo7ada en un ser#idor e* :ue est" en la nu*eN la tar7eta %8& recopila in0ormaciBn de esos ser#idores e* para despus p roducir las p"inas e* :ue la red 98& re:uiere.
CBdio@
8CEN ace re0erencia a las tar7etas consumidorasN para el caso la tar7eta %8& CO&SME& A#isto desde 0uera de la red interna 98& in0ormaciBn para la red 98& Aesto sucede cuando accedemos a una p"ina alo7ada en un ser#idor e* :ue est" en la nu*eN la tar7eta %8& ace peticiones de in0ormaciBn de esos ser#idores e*.
CBdio@
E%plicaci"n necesaria 9o :ue ar$amos con estas relas es marcar todos los pa:uetes :ue son tra0ico =;;P entre la red 1.1.1.1<2) / un ser#idor e* con la marca llamada ;ES;. Sin em*aro para cada pa:uete tu de*er$as tener :ue acer un montBn de tra*a7o. El proceso es el siuiente para la primera parte AEl primer r"0ico@ CBdio@ add cainY0orard src,addressY1.1.1.4<2) protocolYtcp dst,portY54 out,inter0aceY%8&_ actionYmark,packet ne,packet,markYtest a. El pa:uete est" saliendo Asource address de la red 1.1.1.1<2) Respuesta SI *. Es el pa:ueteN un pa:uete ;CP Respuesta SI c. El pa:uete tiene como puerto de destino el 54 Respuesta SI d. El pa:uete est" saliendo por la inter0ace productora Aout,inter0ace %8& Respuesta SI Para la seunda parte AEl seundo r"0ico el proceso seria el siuiente@ CBdio@ add cainY0orard dst,addressY1.1.1.4<2) protocolYtcp src,portY54 in,inter0aceY%8&_ actionYmark,packet ne,packet,markYtest
a. El pa:uete tiene como destino Adestine address la red 1.1.1.1<2) Respuesta SI *. Es el pa:ueteN un pa:uete ;CP Respuesta SI c. El pa:uete tiene como puerto de salida el 54 Respuesta SI d. El pa:uete est" diriindose a la inter0ace consumidora Ain,inter0ace %8& Respuesta SI Como usted puede apreciar cada pa:uete =;;P re:uiere 5 comparacionesN POR C8D8 P8QE;E
Marcar 1ia MA(+AD& de +&NEI&NES y PA8$E!ES 9o :ue se *usca cuando se marca una cone+iBn es solo marcar una cone+iBn Aa di0erencia del marcado de pa:uetes :ue se tiene :ue especi0icar la ida / #enidaN no se necesita marcar las dos direccionesN /a :ue si esta*lecemos un camino se marcara todo lo :ue se transite por esta #$aN /a sea de ida o de #enida.
CBdio@
d. El pa:uete de la cone+iBn est" saliendo por la inter0ace productora Aout,inter0ace %8& Respuesta SI e. Marcar todos los pa:uetes de la cone+iBn esta*lecida. Cada pa:uete siuienteN es decir cada pa:uete :ue siue al primer pa:uete solo ser" compro*ado dos #eces@ CBdio@ 1 Es esta una nue#a cone+iBn Respuesta@ &O 2 ;iene la marca de cone+iBn Respuesta@ SI
+&N+L$SI&NES En este e7emplo #emos :ue si marcamos los pa:uetes el Router Mikrotik tra*a7ara muc$simo /a :ue compro*ara 5 #eces por cada pa:ueteN esto pro#ocara :ue el procesador sea saturadoN en cam*io s$ usamos marcado de cone+iones / marcado de pa:uetes solo usar" dos compro*aciones A/a esta*lecidas por lo :ue se ar" un uso mu/ e0iciente del mikrotik. &O SE DE'E S8R SO9O M8RC8DO DE P8QE;ESN SI&O DE'EMOS 8FD8R&OS S8&DO M8RC8DO DE CO&E(IO&ES para poder acer un uso e0iciente de nuestro router mikrotik. Espero a*erles a/udado a entender m"s so*re el tema de marcados /a :ueN como di7e anteriormenteN no e encontrado una e+plicaciBn clara / detenida so*re marcado o manle.
F: ;6ire4all 5 Mangle< Prioriaci"n de !rafico 8oS 0 ;+alidad de Ser1icio 5 Ni1el 'sico< Fa :ue emos aprendido so*re el tema de marcado de cone+iones / pa:uetes #amos a tocar el tema de Calidad / Ser#icio en nuestra red a tra#s de Mikrotik. Para ello #amos a poner un e7emplo@ 8naliKar el caso de la cone+iBn e* Apuertos 54 / marcar la cone+iBn en el manle para poder darle una prioridad en la red. Entonces manos a la o*raN para empeKar seuiremos el Packet >9O% / determinaremos las inter0aces productoras / las inter0aces consumidoras. 8ora para este caso es 0"cil poder o*ser#ar :ue la inter0ace consumidora es la 98& de*ido a :ue es la :ue consume los datos del internetN / el %8& #a a producir los datosN esta entre comillas de*ido a :ue los datos #ienen de la nu*e.
Entonces para este caso tenemos dos inter0aces@ Inter0ace productora Y WAN Inter0ace consumidoras Y LAN Pero tam*in pueden e+istir #arias inter0aces consumidoras Inter0ace consumidoras Y LAN0 5 LAN- 5 LAN ::: Primero Marcamos las cone+iones para despus marca los pa:uetes El marcado de cone+iones es para poder marcar el camino al cual nosotros #amos usar. Podemos a*rir una cone+iBn en cual:uier direcciBnN pero de*emos eleir :u direcciBn #amos a*rir una cone+iBn. Para el caso eleimos la direcciBn de su*ida de datos / ello lo podemos #er de*ido a :ue acemos pre,routin / tomamos como destino el puerto 54.
CBdio@
Seundo Marcamos los pa:uetes 8ora #amos a marcar los pa:uetes relacionados a la cone+iBn :ue emos realiKado. 8ntes de ello tenemos :ue tener presente :ue los pa:uetes tienen dos sentidosN as$ :ue primero #amos a marcar los pa:uetes de un sentido Acuando su*imos in0ormaciBn / despus del otro sentido Acuando *a7amos in0ormaciBn
Marcando cuando subimos informaci"n De*ido a :ue el sentido del marcado de pa:uetes es el mismo :ue el de la cone+iBn no especi0icamos la I&;ER>8CE en el script.
CBdio@
Marcando cuando baKamos informaci"n De*ido a :ue el sentido del marcado de pa:uetes es N& el mismo :ue el de la cone+iBnN SI DE'E(EM&S especificar la IN!E(6A+E en el script.
CBdio@
9isto 8ora solo 0alta prioriKar los pa:uetes marcados.
Modulo III +urso completo sobre MI9(&!I9 NAT
(edireccionar puertos con Mi*ro!i* 5 abrir puertos con mi*roti* 5 port for4arding Mucas #eces decimos sin :uerer a/ :ue abrir puertos en el mi*roti* lo cual est" mal dico a/ mucos casos de redireccionar puertos depende el caso pero estas relas lo #alen para este caso tenemos un mikrotik / detr"s tenemos un ser1idor el cual se eKecuta en el puerto .O// donde el ip pT*lico en este momento es 244.4.2).2 si 0uera din"mica usar en #eK de dst5address usar interfaces / lo redireccionamos todo lo :ue #ena a esa pu*lica al IP 1?.165.1.141 al puerto ?44N entonces pT*licamente podemos inresar sin pro*lemas tena en cuenta :ue si a/ aluna rela en CIP 6I(EWALL 6IL!E( con la cadena for4ard #eri0icar :ue no a/a ninTn drop ecamos manos a la o*ra. CBdio@
+aso-7 ;enemos un mikrotik :ue *alancea / un mikrotik :ue administra / :ueremos inresar al mikrotik administrador como tam*in al *alanceador. Veamos con IP para acer m"s sencillo con e7emplos@
'ALAN+EAD&( • •
WAN T 1.1.1.1 LAN T 1?2.165.?.1
ADMNIS!(AD&( •
WAN T 1?2.165.?.2
•
LAN T 1?2.165.1.1
Estamos asumiendo :ue estamos usando *alanceo PCC / :ue la red est" operati#a enrutada entonces procedemos a con0iurar@
En el balanceador7 Entonces a:u$ acemos una 7uada NA!CPA! donde le decimos al *alanceador :ue todo lo :ue #ena acia el con el puerto 5444 lo direccione al IP 0O-:0:O:- :ue es el administrador pero no con ese puerto si no cmbialo al -O0 esto se ace por :ue no puedes usar el mismo puerto en una red con la misma pu*lica / como los dos mikrotik tra*a7an con el puerto 52?1 entonces no se podr$a pero a:u$ /a le dimos soluciBn. CBdio@
+aso0 , 1 Mikrotik o una sola linea L ;undercace Para este e7emplo :ueremos redireccionar los puertos 22 / 52 en ;CP este e7emplo esta eco si un usuario :uiere inresar remotamente al tundercace / costa solo de una l$nea. Donde pppoe,out1 es nuestra cone+iBn a internet an / estaremos redireccionando los puertos 22N52 al 1?2.165.14.2 :ue es nuestro tundercace
3otspot Mi*roti* $ser Manager 'illing Z 3otspot Veamos sin esta instalado el pa:uete usermanaer si no est" instalado pues procedemos a instalarla para compro*ar :ue est" instalado podemos inresar al in*o+. SFS;EM < P8CJ8-ES
9ueo acti#amos el Radius Ser#er del mikrotik en direcciBn le asinamos el IP del ser#idor *illinN en el caso :ue sea el mismo mikrotik entonces seria 123.4.4.1 Bsea localost. 9ueo eleimos el ser#icio :ue :ueremos acti#ar en este caso otspot lueo el passord de cone+iBn entre ser#idores.
El puerto escuca del ser#idor Radius acti#amos por de0ecto 1344
Vamos a =O;SPO; / seteamos en Ser#er Pro0ileN acti#amos la opcion se Radius / accountin para enlaKar el =otspot a nuestro ser#idor Radius.
9ueo Para inresar a con0iurar al sermanaer necesitamos tener una cla#e de acceso para eso en ne terminal creamos un usuario@ admin / un passd @ 12!)
9ueo entramos por e* al user manaer en nuestro caso es local seria la IP del ser#idor mikrotik ttp@<<1?2.165.1.1
9ueo Ponemos las mismas credenciales creadas en el Radius Ser#er.
9ueo Creamos 9os per0iles para asinaciBn de anco de *anda / orarios.
8:u$ asinamos el anco de *anda
En este e7emplo estamos creando planes de 1M' tanto para *a7ada como su*ida.
'ien como #eras es sencillo la con0iuraciBn entonces /a podemos crear usuarios en la pestaa SER para :ue /a se conecten.
,PN +onfigurar ,PN con PP!P @)ate4ay to ,PN +lient@ Z Script actualiaci"n de IP Dinmica
'alanceo de +arga 'alanceo P++ Esquema del balanceo P++7
CBdio@ < ip address add addressY1?2.165.4.1<2) netorkY1?2.165.4.4 *roadcastY1?2.165.4.2 inter0aceYeter < ip 0ireall manle add cainYpreroutin in,inter0aceYpppoe,out1 connection,markYno,mark actionYmark,connection n e,connection,markYISP1]conn add cainYpreroutin in,inter0aceYpppoe,out2 connection,markYno,mark actionYmark,connection n e,connection,markYISP2]conn add cainYpreroutin in,inter0aceYeter connection,markYno,mark dst,address,t/peYlocal per , connection,classi0ier Y*ot,addresses@2<4 actionYmark,connection ne,connection, markYISP1]conn add cainYpreroutin in,inter0aceYeter connection,markYno,mark dst,address,t/peYlocal per , connection,classi0ier Y*ot,addresses@2<1 actionYmark,connection ne,connection, markYISP2]conn
add cainYpreroutin connection,markYISP1]conn in,inter0aceYeter actionYmark,routin ne, routin,markYto]ISP1 add cainYpreroutin connection,markYISP2]conn in,inter0aceYeter actionYmark,routin ne, routin,markYto]ISP2 add cainYoutput connection,markYISP1]conn actionYmark,routin ne,routin,markYto]ISP1 add cainYoutput connection,markYISP2]conn actionYmark,routin ne,routin,markYto]ISP2 < ip route add dst,addressY4.4.4.4<4 atea/Ypppoe,out1 routin,markYto]ISP1 ceck,atea/Ypin add dst,addressY4.4.4.4<4 atea/Ypppoe,out2 routin,markYto]ISP2 ceck,atea/Ypin add dst,addressY4.4.4.4<4 atea/Ypppoe,out1 distanceY1 ceck,atea/Ypin add dst,addressY4.4.4.4<4 atea/Ypppoe,out2 distanceY2 ceck,atea/Ypin < ip 0ireall nat add cainYsrcnat out,inter0aceYpppoe,out1 actionYmas:uerade add cainYsrcnat out,inter0aceYpppoe,out2 actionYmas:uerade CBdio@ < ip address add addressY1?2.165.4.1<2) netorkY1?2.165.4.4 *roadcastY1?2.165.4.2 inter0aceYeter Estamos asumiendo :ue la inter0ace local ser" eter CBdio@ < ip 0ireall manle add cainYpreroutin in,inter0aceYpppoe,out1 connection,markYno,mark actionYmark,connection n e,connection,markYISP1]conn add cainYpreroutin in,inter0aceYpppoe,out2 connection,markYno,mark actionYmark,connection n e,connection,markYISP2]conn Se entiende :ue a/ dos l$neas de internet :ue est"n discando en las inter0aces pppoe,out1 / pppoe,out2 ;odo el tr"0ico no marcado en esas inter0aces #irtuales :ue en realidad serian eter1 / eter2 0$sicas las mar:ue con la eti:ueta :ue solo la reconocer" mikrotik mas no a0uera de ella con ISP1]conn / ISP2]conn. CBdio@ add cainYpreroutin in,inter0aceYeter connection,markYno,mark dst,address,t/peYlocal per , connection,classi0ier Y*ot,addresses@2<4 actionYmark,connection ne,connection, markYISP1]conn add cainYpreroutin in,inter0aceYeter connection,markYno,mark dst,address,t/peYlocal per , connection,classi0ier Y*ot,addresses@2<1 actionYmark,connection ne,connection, markYISP2]conn
Se entiende :ue todo el tr"0ico entrante en eter no marcado pero :ue sea di0erente de la direcciBn local por e7emplo peticiones al D&S local o in*o+ / :ue aparte de ellos tome un 4 del tra0ico / :ue lo mar:ue como ISP1]conn asi como ISP2]conn. CBdio@ add cainYpreroutin connection,markYISP1]conn in,inter0aceYeter actionYmark,routin ne, routin,markYto]ISP1 add cainYpreroutin connection,markYISP2]conn in,inter0aceYeter actionYmark,routin ne, routin,markYto]ISP2 >inalmente todo el tr"0ico :ue tena la marca ISP1]conn :ue pro#ena del eter necesariamente Routealo con la marca to]ISP1 as$ como a to]ISP2 :ue esto ser #era en < ip route CBdio@ add cainYoutput connection,markYISP1]conn actionYmark,routin ne,routin,markYto]ISP1 add cainYoutput connection,markYISP2]conn actionYmark,routin ne,routin,markYto]ISP2 Estas Tltimas marcas sencillamente son cuando el tr"0ico es marcado cuando inreso al mikrotik :ue se ace en las primera l$neas de esta e+plicaciBn a:u$ pues la de#uel#e por la propia l$nea a la :ue pertenece un e7emplo claro es cuando se inresa al in*o+ por IP pu*lica remotamente si se inresa por una 9$nea se asume :ue tam*in de*er$a salir por la misma l$nea.
P++ de - F o ms l2neas de Internet ;Load 'alancing< Para este caso presentamos *alanceo de ) l$neas. Podemos tener una *re#e e+plicaciBn para este caso nuestra puerta de enlace para las ma:uinas seria 14.4.4.1 CBdio@ < ip address add addressY14.4.4.1<2) netorkY14.4.4.4 *roadcastY14.4.4.2 inter0aceYeter < ip 0ireall manle add cainYpreroutin in,inter0aceYpppoe,out1 connection,markYno,mark actionYmark,connection ne,connection,markYISP1]conn add cainYpreroutin in,inter0aceYpppoe,out2 connection,markYno,mark actionYmark,connection ne,connection,markYISP2]conn add cainYpreroutin in,inter0aceYpppoe,out! connection,markYno,mark actionYmark,connection ne,connection,markYISP!]conn add cainYpreroutin in,inter0aceYpppoe,out) connection,markYno,mark actionYmark,connection ne,connection,markYISP)]conn add cainYpreroutin in,inter0aceYeter connection,markYno,mark dst,address,t/peYlocal per, connection,classi0ierY*ot,addresses@)<4 actionYmark,connection ne,connection, markYISP1]conn add cainYpreroutin in,inter0aceYeter connection,markYno,mark dst,address,t/peYlocal per, connection,classi0ierY*ot,addresses@)<1 actionYmark,connection ne,connection, markYISP2]conn add cainYpreroutin in,inter0aceYeter connection,markYno,mark dst,address,t/peYlocal per, connection,classi0ierY*ot,addresses@)<2 actionYmark,connection ne,connection, markYISP!]conn
add cainYpreroutin in,inter0aceYeter connection,markYno,mark dst,address,t/peYlocal per, connection,classi0ierY*ot,addresses@)
'alanceo P++ 5 Wan Estatico CBdio@ < ip address add addressY1?2.165.1.1<2) netorkY1?2.165.1.4 *roadcastY1?2.165.1.2 inter0aceYeter add addressY1?2.165.4.2<2) netorkY1?2.165.4.4 *roadcastY1?2.165.4.2 inter0aceYeter1 add addressY1?2.165.2.2<2) netorkY1?2.165.2.4 *roadcastY1?2.165.2.2 inter0aceYeter2 < ip 0ireall manle add cainYpreroutin dst,addressY1?2.165.4.4<2) actionYaccept in,inter0aceYeter add cainYpreroutin dst,addressY1?2.165.2.4<2) actionYaccept in,inter0aceYeter add cainYpreroutin in,inter0aceYeter1 connection,markYno,mark actionYmark,connection ne, connection,markYISP1]conn add cainYpreroutin in,inter0aceYeter2 connection,markYno,mark actionYmark,connection ne, connection,markYISP2]conn add cainYpreroutin in,inter0aceYeter connection,markYno,mark dst,address,t/peYlocal per , connection,classi0ier Y*ot,addresses@2<4 actionYmark,connection ne,connection, markYISP1]conn add cainYpreroutin in,inter0aceYeter connection,markYno,mark dst,address,t/peYlocal per , connection,classi0ier Y*ot,addresses@2<1 actionYmark,connection ne,connection, markYISP2]conn add cainYpreroutin connection,markYISP1]conn in,inter0aceYeter actionYmark,routin ne,
routin,markYto]ISP1 add cainYpreroutin connection,markYISP2]conn in,inter0aceYeter actionYmark,routin ne, routin,markYto]ISP2 add cainYoutput connection,markYISP1]conn actionYmark,routin ne,routin,markYto]ISP1 add cainYoutput connection,markYISP2]conn actionYmark,routin ne,routin,markYto]ISP2 < ip route add dst,addressY4.4.4.4<4 atea/Y1?2.165.4.1 routin,markYto]ISP1 ceck,atea/Ypin add dst,addressY4.4.4.4<4 atea/Y1?2.165.2.1 routin,markYto]ISP2 ceck,atea/Ypin add dst,addressY4.4.4.4<4 atea/Y1?2.165.4.1 distanceY1 ceck,atea/Ypin add dst,addressY4.4.4.4<4 atea/Y1?2.165.2.1 distanceY2 ceck,atea/Ypin < ip 0ireall nat add cainYsrcnat out,inter0aceYeter1 actionYmas:uerade add cainYsrcnat out,inter0aceYeter2 actionYmas:uerade
'alanceo P++ Z 3&!SP&! De forma sencilla son - puntos que debemos tener en cuenta el mangle y el NA!
CBdio@ < ip address add addressY1?2.165.4.1<2) netorkY1?2.165.4.4 *roadcastY1?2.165.4.2 inter0aceYeter add addressY1?2.165.?.2<2) netorkY1?2.165.?.4 *roadcastY1?2.165.?.2 inter0aceYeter1 add addressY1?2.165.5.2<2) netorkY1?2.165.5.4 *roadcastY1?2.165.5.2 inter0aceYeter2 < ip 0ireall manle add cainYpreroutin in,inter0aceYeter1 connection,markYno,mark actionYmark,connection ne, connection,markYISP1]conn add cainYpreroutin in,inter0aceYeter2 connection,markYno,mark actionYmark,connection ne, connection,markYISP2]conn add cainYpreroutin in,inter0aceYeter connection,markYno,mark otspotYaut dst,address, t/peYlocal per ,connection,classi0ier Y*ot,addresses@2<4 actionYmark,connection ne,connection, markYISP1]conn add cainYpreroutin in,inter0aceYeter connection,markYno,mark otspotYaut dst,address, t/peYlocal per ,connection,classi0ier Y*ot,addresses@2<1 actionYmark,connection ne,connection, markYISP2]conn add cainYpreroutin connection,markYISP1]conn in,inter0aceYeter actionYmark,routin ne, routin,markYto]ISP1
add cainY cainYpreroutin connection, connection,mark markY YISP2]conn in,inter0aceY in,inter0aceYeter eter actionY actionYmark mark,,routin ne, routin,,mark routin markY Yto]ISP2 add cainY cainYoutput connection, connection,mark markY YISP1]conn actionY actionYmark mark,,routin ne, ne,routin routin,,mark markY Yto]ISP1 add cainY cainYoutput connection, connection,mark markY YISP2]conn actionY actionYmark mark,,routin ne, ne,routin routin,,mark markY Yto]ISP2 < ip route add dst, dst,address addressY Y4.4.4.4 4.4.4.4<<4 atea/Y atea/Y1?2.165.?.1 routin, routin,mark markY Yto]ISP1 ceck, ceck,atea/ atea/Y Ypin add dst, dst,address addressY Y4.4.4.4 4.4.4.4<<4 atea/Y atea/Y1?2.165.5.1 routin, routin,mark markY Yto]ISP2 ceck, ceck,atea/ atea/Y Ypin add dst, dst,address addressY Y4.4.4.4 4.4.4.4<<4 atea/Y atea/Y1?2.165.?.1 distanceY distanceY1 ceck, ceck,atea/ atea/Y Ypin add dst, dst,address addressY Y4.4.4.4 4.4.4.4<<4 atea/Y atea/Y1?2.165.5.1 distanceY distanceY2 ceck, ceck,atea/ atea/Y Ypin < ip 0ireall nat add actionY actionYaccept cainY cainYpre pre,,otspot disa*ledY disa*ledYno dst, dst,address address,,t/pe t/peY Ylocal local otspotY otspotYaut add cainY cainYsrcnat out,inter0aceY out,inter0aceYeter1 eter1 actionY actionYmas:uerade add cainY cainYsrcnat out,inter0aceY out,inter0aceYeter2 eter2 actionY actionYmas:uerade
Al propio estilo de anis Megis 5 M$M $SA CBdio@
add action actionYmark,routin Ymark,routin cain cainYoutput Youtput connection,mark connection,markYISP2]conn YISP2]conn disa*led disa*ledYno Yno ne,routin, markYISP2]tra00ic mark YISP2]tra00ic passtrou passtrouY/es Y/es CBdio@
6ailo1er con ping a un DNS o IP en particular CBdio@
add actionYmark,routin cainYpreroutin connection,markY%8&2]mark disa*ledYno in, inter0aceY98& ne,routin,markYto]ISP2 passtrouY/es CBdio@
!rabaKaremos !rabaKaremos el failo1er con &PENDNS &PENDNS CBdio@
E+MP Equal +ost Multi5Path#5 'alanceo per5src5dst5address Principalmente usamos *alanceos alternati#os cuando no :ueremos usar marcas de cone+iBn en Manle / :ue se so*rescri*an con otras relas importantes entonces a$ pensamos en *alancear desde IP (&$!E CBdio@ < ip address add addressY1?2.165.1.1<2) netork netorkY1?2.165.1.4 Y1?2.165.1.4 *roadcast *roadcastY1?2.165.1.2 Y1?2.165.1.2 inter0ace inter0aceYeter Yeter Enmascaramos el tra0ico Orien en Pu*licas asinadas en las inter0aces pppoe5out0 y pppoe5 outCBdio@ < ip 0ireall nat add chainYsrcnat out,inter0ace out,inter0aceYpppoe,out1 Ypppoe,out1 actionYmas:uerade actionYmas:uerade add chainYsrcnat out,inter0ace out,inter0aceYpppoe,out2 Ypppoe,out2 actionYmas:uerade actionYmas:uerade
9ueo Creamos Rutas donde todo lo :ue inrese por la 9inea 1 o 2 tam*ien sala por la misma linea :ue inreso CBdio@ < ip 0ireall manle
add chainYpreroutin in,inter0aceYpppoe,out1 connection,markYno,mark actionYmark,connection ne,connection,markYISP1]conn add chainYpreroutin in,inter0aceYpppoe,out2 connection,markYno,mark actionYmark,connection ne,connection,markYISP2]conn add chainYpreroutin connection,markYISP1]conn in,inter0aceYeter actionYmark,routin ne, routin,markYto]ISP1 add chainYpreroutin connection,markYISP2]conn in,inter0aceYeter actionYmark,routin ne, routin,markYto]ISP2 add chainYoutput connection,markYISP1]conn actionYmark,routin ne,routin,markYto]ISP1 add chainYoutput connection,markYISP2]conn actionYmark,routin ne,routin,markYto]ISP2 >inalmente 'alanceamos el ;ra0ico CBdio@ < ip route add dst,addressY4.4.4.4<4 atea/Ypppoe,out1 routin,markYto]ISP1 add dst,addressY4.4.4.4<4 atea/Ypppoe,out2 routin,markYto]ISP2 add dst,addressY4.4.4.4<4 atea/Ypppoe,out1Npppoe,out2 ceck,atea/Ypin
+alidad y Ser1icio 8oS# Prioriaci"n de !rafico 8oS 5 Manual )u2as Mi*roti*
Pegar en Mangle CBdio@
,packet,markYPRIO 3 passtrouY/es add actionY 7ump cainYpreroutin commentY disa*ledYno 7ump,taretY;ERMI&O DE PROCES 8R packet,markYPRIO 3 add actionYmark,connection cainYpreroutin commentYM8RCO PRIO 1 disa*ledYno ne, connection,markYPRIO 1 passtrouY/es protocolYicmp add actionYmark,connection cainYoutput commentY disa*ledYno dst,portY! ne,connection, markYPRIO 1 passtrouY/es protocolYudp add actionYmark,connection cainYpreroutin commentY disa*ledYno dst,portY! ne, connection,markYPRIO 1 passtrouY/es protocolYudp add actionYmark,packet cainYpreroutin commentY connection,markYPRIO 1 disa*ledYno ne ,packet,markYPRIO 1 passtrouY/es add actionY 7ump cainYpreroutin commentY disa*ledYno 7ump,taretY;ERMI&O DE PROCES 8R packet,markYPRIO 1 add actionYmark,connection cainYpreroutin commentYM8RCO PRIO 2 N S;RE8MI&- , HE-O SNVOIP disa*ledYno dst,portY464,461 ne,connection,markYPRIO 2 passtrouY/es protoc olYudp add actionYmark,connection cainYpreroutin commentY disa*ledYno dst,portY156!N1?4N333 ne ,connection,markYPRIO 2 passtrouY/es protocolYtcp add actionYmark,packet cainYpreroutin commentY connection,markYPRIO 2 disa*ledYno ne ,packet,markYPRIO 2 passtrouY/es add actionY 7ump cainYpreroutin commentY disa*ledYno 7ump,taretY;ERMI&O DE PROCES 8R packet,markYPRIO 2 add actionYmark,connection cainYpreroutin commentYmarco prio ! na#eacion disa*ledYno ds t,portY54N))!N5444,?444 ne,connection,markYPRIO ! passtrouY/es protocolYtcp add actionYmark,packet cainYpreroutin commentY connection,markYPRIO ! disa*ledYno ne ,packet,markYPRIO ! passtrouY/es add actionY 7ump cainYpreroutin commentY disa*ledYno 7ump,taretY;ERMI&O DE PROCES 8R packet,markYPRIO ! add actionYmark,connection cainYpreroutin commentYPRIO ) , PER;OS 98'OR89ES disa*l edYno dst,portY2N114N1)!N!!5?N132!N21,2! ne,connection,markYPRIO ) passtrouY/es prot ocolYtcp add actionYmark,packet cainYpreroutin commentY connection,markYPRIO ) disa*ledYno ne ,packet,markYPRIO ) passtrouY/es add actionY 7ump cainYpreroutin commentY disa*ledYno 7ump,taretY;ERMI&O DE PROCES 8R packet,markYPRIO ) add actionYmark,connection cainYpreroutin commentYM8RCO PRIO disa*ledYno ne, connection,markYPRIO passtrouY/es add actionYmark,packet cainYpreroutin commentY connection,markYPRIO disa*ledYno ne
,packet,markYPRIO passtrouY/es add actionYaccept cainY;ERMI&O DE PROCES8R commentY disa*ledYno En este e7emplo marcamos cone+iBn / marcamos pa:uetes :ue es la 0orma correcta de un QoS por:ue e+iste la 0orma de tra*a7ar a ni #el de pa:uetes pero por 2 raKones marcamos.
0:5 'aKo uso de procesador: -:5 (e5uso del connection trac*ing: El plan de QoS lo ;ra*a7amos de esta manera@
0:5 P(I&0 7 I+MP $DP. -:5 P(I&- 7 $DP .//5./0 Q !+P 0.0O/GGG Q 0////5-//// ,oIP# :5 P(I& 7 !+P /FF///5O/// F:5 P(I&F 7 !+P -.00/0FO0G--05- .:5 P(I&. 7 (esto :5 P(I&G 7 Descargas o 3ilos que dicha cone%ion pase mas de ./ M' :5 P(I& 7 P-P Pear en queue type samos el Qdiscs Stocastic >airness Queuein AS>Q para :ue el tr"0ico pasante por el QoS sea ecualiKado tam*in. CBdio@ <:ueue t/pe add kindYs0: nameY'8H8D8 s0:,allotY11) s0:,pertur*Y add kindYs0: nameYS'ID8 s0:,allotY11) s0:,pertur*Y CBdio@ <:ueue tree add *urst,limitY4 *urst,tresoldY4 *urst,timeY4s disa*ledYno limit,atY4 ma+,limitY4 nam eYDonload parentYeter priorit/Y1 add *urst,limitY4 *urst,tresoldY4 *urst,timeY4s disa*ledYno limit,atY4 ma+,limitY4 nameYPRIO1 packet,markYPRIO 1 parentYDonload priorit/Y1 :ueueY'8H8D8 add *urst,limitY4 *urst,tresoldY4 *urst,timeY4s disa*ledYno limit,atY4 ma+,limitY4 nameYPRIO2 packet,markYPRIO 2 parentYDonload priorit/Y2 :ueueY'8H8D8 add *urst,limitY4 *urst,tresoldY4 *urst,timeY4s disa*ledYno limit,atY4 ma+,limitY4 nameYPRIO! packet,markYPRIO ! parentYDonload priorit/Y! :ueueY'8H8D8 add *urst,limitY4 *urst,tresoldY4 *urst,timeY4s disa*ledYno limit,atY4 ma+,limitY4 nameYPRIO) packet,markYPRIO ) parentYDonload priorit/Y) :ueueY'8H8D8 add *urst,limitY4 *urst,tresoldY4 *urst,timeY4s disa*ledYno limit,atY4 ma+,limitY4 nameYPRIO packet,markYPRIO parentYDonload priorit/Y :ueueY'8H8D8 add *urst,limitY4 *urst,tresoldY4 *urst,timeY4s disa*ledYno limit,atY4 ma+,limitY4 nameYPRIO3 packet,markYPRIO 3 parentYDonload priorit/Y3 :ueueY'8H8D8
add *urst,limitY4 *urst,tresoldY4 *urst,timeY4s disa*ledYno limit,atY4 ma+,limitY4 nameYPRIO5 packet,markYPRIO 5 parentYDonload priorit/Y5 :ueueY'8H8D8 add *urst,limitY4 *urst,tresoldY4 *urst,timeY4s disa*ledYno limit,atY4 ma+,limitY4 nameYpload parentYpppoe,out1 priorit/Y1 add *urst,limitY4 *urst,tresoldY4 *urst,timeY4s disa*ledYno limit,atY4 ma+,limitY4 nameYPRIO.1 packet,markYPRIO 1 parentYpload priorit/Y1 :ueueYS'ID8 add *urst,limitY4 *urst,tresoldY4 *urst,timeY4s disa*ledYno limit,atY4 ma+,limitY4 nameYPRIO.2 packet,markYPRIO 2 parentYpload priorit/Y2 :ueueYS'ID8 add *urst,limitY4 *urst,tresoldY4 *urst,timeY4s disa*ledYno limit,atY4 ma+,limitY4 nameYPRIO.! packet,markYPRIO ! parentYpload priorit/Y! :ueueYS'ID8 add *urst,limitY4 *urst,tresoldY4 *urst,timeY4s disa*ledYno limit,atY4 ma+,limitY4 nameYPRIO.) packet,markYPRIO ) parentYpload priorit/Y) :ueueYS'ID8 add *urst,limitY4 *urst,tresoldY4 *urst,timeY4s disa*ledYno limit,atY4 ma+,limitY4 nameYPRIO. packet,markYPRIO parentYpload priorit/Y :ueueYS'ID8 add *urst,limitY4 *urst,tresoldY4 *urst,timeY4s disa*ledYno limit,atY4 ma+,limitY4 nameYPRIO.3 packet,markYPRIO 3 parentYpload priorit/Y3 :ueueYS'ID8 add *urst,limitY4 *urst,tresoldY4 *urst,timeY4s disa*ledYno limit,atY4 ma+,limitY4 nameYPRIO.5 packet,markYPRIO 5 parentYpload priorit/Y5 :ueueYS'ID8 >inalmente areamos las relas :ue ar"n :ue nuestro QoS sea una mara#illa este e7emplo est" eco para una l$nea de internetN =a/ mucas 0ormas de =acer QoS esta es la 0orma por Inter0aces >$sicas es mu/ recomendada Pronto su*ir usando inter0aces Virtuales -lo*al I& , -lo*al O;. Si estas usando PC / est" acti#ado el e*pro+/ / deseas :ue a/a cace 0ull entonces de*er"s arear las siuientes l$neas para todos los casos estamos asumiendo :ue@
ether. T Local Esto pegas en si el caso es 4ebpro%y mi*roti* Cip fire4all mangle CBdio@
Esto pegas en si el caso es parent con squid Cip fire4all mangle CBdio@
add actionYmark,packet cainYoutput commentY connection,markY0ullcace disa*ledYno ne, packet,markY0ullcace out,inter0aceYeter passtrouY/es
Esto pegas en si el caso es Paralelo con pro%y uso for4ard# Cip fire4all mangle CBdio@
Esto pegas en Cqueue tree CBdio@ <:ueue tree add *urst,limitY4 *urst,tresoldY4 *urst,timeY4s disa*ledYno limit,atY4 ma+,limitY24M nam eY0ull]cace packet,markY0ull]cace parentYlo*al,out priorit/Y5 :ueueYde0ault
Asignar Ancho de 'anda por Pagina WE'; Layer G< CBdio@
add actionYmark,packet cainY0orard connection,markYFoutu*e ne,packet,markYFoutu*e timeY3,24NsunNmonNtueNedNtuN0riNsat add actionYmark,connection cainY0orard commentY%update dst,address,t/peYlocal la/er3, protocolYindosupdate.com ne,connection,markY%update add actionYmark,packet cainY0orard connection,markY%update ne,packet,markY%update timeY3m,24NsunNmonNtueNedNtuN0riNsat add actionYmark,connection cainY0orard commentY>reaksare dst,address,t/peYlocal la/er3, protocolY0reaksare.com ne,connection,markY>reaksare add actionYmark,packet cainY0orard connection,markY>reaksare ne,packet,markY>reaksare add actionYmark,connection cainY0orard commentY)sared dst,address,t/peYlocal la/er3, protocolY)sared.com ne,connection,markY)sared add actionYmark,packet cainY0orard connection,markY)sared ne,packet,markY)sared add actionYmark,connection cainY0orard commentY(#ideos la/er3,protocolY+#ideos.com ne, connection,markY+#ideos add actionYmark,packet cainY0orard connection,markY+#ideos ne,packet,markY+#ideos CBdio@ <:ueue t/pe add kindYs0: nameY'8H8D8 add kindYs0: nameYS'ID8 CBdio@ <:ueue tree add nameYDescaras parentY9ocal :ueueYde0ault add nameYpload parentY%an :ueueYde0ault add ma+,limitY144k nameYFoutu*e packet,markYFoutu*e parentYDescaras :ueueY'8H8D8 add ma+,limitY125k nameY/outu*e packet,markYFoutu*e parentYpload :ueueYS'ID8 add ma+,limitY1k nameY%indosupdate packet,markY%update parentYDescaras :ueueY'8H8D8 add ma+,limitY1k nameYupdate packet,markY%update parentYpload priorit/Y1 :ueueYS'ID8 add ma+,limitY125k nameY>reaksare packet,markY>reaksare parentYDescaras :ueueY'8H8D8 add ma+,limitY!2k nameY0reaksare packet,markY>reaksare parentYpload :ueueYS'ID8 add ma+,limitY6k nameY)sared packet,markY)sared parentYDescaras :ueueY'8H8D8 add ma+,limitY!2k nameY)Sared packet,markY)sared parentYpload :ueueYS'ID8 add ma+,limitY4k nameY(#ideos packet,markY+#ideos parentYDescaras :ueueY'8H8D8
+onfigurar 'urst mi*roti* 5 8ueue burst limit burst threshold
8lunos usuarios nos preunta*an para :ue sir#e en :ueues simples los *urst pues a:u$ e+ponemos con e7emplos cual es el 0uncionamiento donde la rela de *urst es esta@ CBdio@
!iempo[de[rafaga % 'urst[limit T burst[time % burst[threshold !iempo[de[rafaga7 Es el tiempo donde se e7ecutara el *urst antes de desacti#arse. 'urst[limit7 Es el #alor :ue se :uiere se :uiere de r"0aa por tiempo deseado. 'urst[threshold7 m*ral de comparaciBn con el a#erae]RateN mientras este Tltimo sea menor :ue el um*ralN la r"0aa permanece acti#a. Se puede poner casi cual:uier #alorN /a :ue en realidad lo :ue importa es el resultado de la relaciBn mostrada anteriormente para lueo o*tener el #alor de *urst]time. EKemplo7 Para un e7emplo sencillo :ueremos tener !4 seundos de r"0aa con un canal de 2Meas durante ese tiempo pero si *a7o de 125k* #uel#o a o*tener mis 2Meas por los !4 seundos caso contrario sio con 12 k* como se saca a:u$ los c"lculos@ CBdio@
/ % -/// T V % 0- donde %TF
A++ES& (EM&!&
Mi*roti* +hangeIP Detras NA! 5 Dynamic DNS $pdate Script Acceso remoto 5 IP dinmica Antes siempre configurar la hora del mi*roti* con estos scripts CBdio@
244.
CBdio@ or support send mail to support at o000icelan dot pt_r_ _nf_r_ _nf ;e oriinal script as ritten */ _e*asd0_ on te Mikrotik 0orunsN i 7ust modi0ied it to ork it CaneIP.com_r_ _nf_r_ _nf =ere is ere /ou need to set /our de0initions_r_ _n@local user _user__r_ _n@local pass _pass__r_ _n@local ost _ost__r_ _nffffffffffffff_r_ _nffffffffffffff_r_ _n@lo*al lastanipZ_r_ _n@i0 A[ @t/peo0 _`lastanip Y _notin_ doYg @lo*al lastanip 4.4.4.4 hZ_r_ _n@local anip [@resol#e _`ostZ_r_ _n@i0 A _`anip Y _`lastanip doYg_r_ _n_t
Mi*roti* N&5IP 5 Dynamic DNS $pdate Script 5 Acceso remoto 5 IP dinmica Para esto de*emos crearnos una cuenta en la p"ina ttp@<<.noip.com lueo crear en manae osts a$ crear el su*dominios al escoer pues nos da una ama a nuestro usto. En nuestro caso escoimos user.s/tes.net Este Script &os permite Inresar #$a Dominio al mi*roti* en caso :ue el IP pT*lico sea dinamico
Antes siempre configurar la hora del mi*roti* con estos scripts CBdio@
CBdio@ f &o,IP automatic D/namic D&S update f,,,,,,,,,,,,,,, Cane Values in tis section to matc /our setup ,,,,,,,,,,,,,,,,,, f &o,IP ser account in0o @local noipuser /our]no,ip]user @local noippass /our]no,ip]pass f Set te ostname or la*el o0 netork to *e updated. f =ostnames it spaces are unsupported. Replace te #alue in te :uotations *elo it /our o st names. f ;o speci0/ multiple ostsN separate tem it commas. @local noipost ostname.no,ip.net f Cane to te name o0 inter0ace tat ets te d/namic IP address @local inetinter0ace /our]e+ternal]inter0ace f,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, f &o more canes need @lo*al pre#iousIP @i0 A[
f Strip te net mask o00 te IP address @0or i 0romYA [@len `currentIP , 1 toY4 doYg @i0 A [@pick `currentIP `i Y < doYg @set currentIP [@pick `currentIP 4 `i h h @i0 A`currentIP Y `pre#iousIP doYg @lo in0o &o,IP@ Current IP `currentIP is not e:ual to pre#ious IPN update needed @set pre#iousIP `currentIP f ;e update R9. &ote te _!> is e+ 0or :uestion mark A. Re:uired since is a special carac ter in commands. @local url ttp@<m/ipY`currentIP @local noipostarra/ @set noipostarra/ [@toarra/ `noipost @0oreac ost inY`noipostarra/ doYg @lo in0o &o,IP@ Sendin update 0or `ost
Agregar el cada cuanto tiempo se eKecutara el script CBdio@
+omo bloquear Uoutube 6aceboo* en mi*roti* usando LG ;0//X efecti1o<# Inresamos al mikrotik / corremos en ne terminal de mikrotik estas relas@ CBdio@
Esta regla nos indica el rege% del faceboo* y youtube en LG CBdio@
add actionYdrop cainY0orard commentY disa*ledYno la/er3,protocolY0ace*ook src, addressY14.26.1!.215 9ueo corremos estas relas en el ne4 terminal de mi*roti* donde se *lo:uea el 0ace*ook / /outu*e para esta IP :ue ser$a la 0/:-:0:-0 en nuestro e7emplo. CBdio@
3ago una correcci"n para :ue nuestro >iltro 0uncione se de*e crear dos relas de *lo:ueo donde se oriina SRC SORCE donde #a el IP del cliente N como el destino del mismo IPN por :ue como sa*r"n las relas de >ilter rules 0uncionan de un sentido no #an de 2 sentidosN / si :uisieran armar con una rela de*er"n marcar toda la cone+iBn en manle / traerlo a 0ilter rules / a$ acerle un drop. Mi*roti* 'ridge 7 +onfiguracion de Mi*roti* 'ridge y (outer +"mo establecer el puente Mi*roti* 0: Seleccione el menH en el puente en la ficha 'ridge haga clic en +onfiguraci"n: En in*o+N de 0orma predeterminadaN si se utiliKa el puenteN entonces la rela en el 0ireall no tendr" ninTn e0ecto. Entonces de*emos cam*iar con0iuraciBn / acer alunos a7ustes Re#ise el uso >ireall IPN 8plicar / 8ceptar.
-: +reaci"n de una interfa de puente: ;oda#$a en el menT 'rideN aa clic en AaadirN parece &e indo Inter0ace , pestaa -eneralN en esta secciBnN no necesitamos cam*iar l a con0iuraciBn por de0ecto proporcionados por Mikro;ikN simplemente reemplaKar el puente de su nom*re por s$ solo. ;erminar con 8plicar / 8ceptar.
: +onfiguraci"n de puerto 'ridge: Seleccione la pestaa PuertosN aa clic en AaddN entonces la #entana se a*rir" &e Port 'ride. 8$ ane%aremos al bridge creado los eternet :ue ser"n Huntados uno por uno.
F: +on dos (outer Mi*roti* hacer la siguiente configuraci"n de puente de modo que desde el (outer A puede hacer ping al router ':
EKemplo7 Eter! (outer A7 1?2.165.134.2<2) Eter! (outer '7 1?2.165.134.!<2) Para e#itar *ucles de puenteN utiliamos S!P C (S!P
G: En la ficha 'ridge haga doble clic en la interfa de 'ridge seleccione la ficha S!P compruebe el (S!P: Aplicar y Aceptar:
: Despus de todo acabado: 3acer un ping desde un router del otro router +onfiguraci"n del enrutamiento: 8:u$ es una con0iuraciBn est"tica ruta para :ue todos los ordenadores pueden conectarse a Internet / todos los e:uipos pueden acer pin al otro e:uipo.
0: src5natCmasquerade En in*o+N seleccione el menT IP , >ireallN no desacti#ar &8; en la 0ica en el *aile de m"scaras con el clic de un centro.
-: Agregue la direcci"n IP en la interfa utiliada la imagen correspondiente anterior: : Agregue las rutas IP Cada Router'oard tiene di0erentes tareas en la Para arear un router IPN seleccione el menT C IP 5 (oute.
adiciBn
de
un
router
IP.
