Está en la página 1de 36

MIKROTIK TUTORIAL MUY COMPLETO EN

CASTELLANO
Mikrotik Tutorial
Guia paso-a-paso de Mikrotik
Como hacer NAT en Mikrotik
Ingrese al menu IP, FIREWALL


Elija la opcion: NAT



Cree una nueva regla (presionando +

En CHAIN seleccione la opcion forward
En OUT INTERFACE (SALDA), seleccione la interface de su link con la internet.
En la pestaa ACTION, seleccione la opcion MASQUERAD.

Rapidamente su NAT est perfectamente configurado.
Como fijar IP/MAC
Ingrese al menu IP, ARP



Cree una nueva ARP (presionando +)



Digite la IP de la mquina que desea fijar, la MAC ADDRESS de la INTERFACE a la cual la mquina
ser ligada.
En COMMENT, de el nombre de esta ARP, como en el ejemplo de arriba.
Ingrese al menu, INTERFACE



Como ltimo procedimento, se debe habilitar en la interface, o ARP para reply-only.

web-proxy
Ingrese al menu IP, WEB-PROXY

Click en el menu SETTINGS

Debera aparecer una pantalla como esta

Configure de acuerdo con sus necesidades...
SRC-ADDRESS = Dejar en blanco
PORT = Seleccionar la puerta de su web-proxy
TRANSPARENT PROXY = Dejar marcado para proxy transparente
PARENT PORT = Dejar en blanco
PARENT PROXY PORT = Dejar en blanco
CACHE ADMINISTRATOR = Dejar como est
MAXIMUM OBJECT SIZE = Dejar como est
CACHE DRIVE = Dejar como system
MAXIMUM CACHE SIZE = Define el tamao de su cache, este varia de acuerdo
con el tamao de su HD
MAXIMUM RAM
CACHE SIZE = Define el tamao mximo de sa memria RAM para el cache
Despues de configurar estos parametros, oprima la tecla ENABLE

El segundo paso para que el WEB-PROXY funcione es crear una regla para redireccionar las peticiones
iniciales para el proxy, para esto:
Ingrese al menu IP, FIREWALL

Seleccione la pestaa NAT

Cree una nueva regla (presionando +)

Cree una regla de la siguiente forma:
CHAIN = DSTNAT
PROTOCOL = 6 (TCP)*
DST. PORT = 80
IN. INTERFACE = INTERFACE DOS CLIENTES
Luego presione la pestaa ACTION

En la ventana ACTION ingrese a la opcion REDIRECT y en TO PORT defina la puerta de su proxi
(definida anteriormente al comienzo de este tpico).
Es interesante realizar una regla para cada interface de usuarios. En este caso como se puso dos interfaces
(LAN/WLAN), se crearon dos reglas, una para cada interface.
Es importante crear una regla de bloqueo externo al web-proxy. En caso que no se realice esta regla, se
sobrecargara el proxy, colgando el servidor.
A continuacion ingrese al menu IP, FIREWALL

Ingrese a la pestaa FILTER RULES

Cree una nueva regla (presionando +)

Segun la siguiente configuracion:
CHAIN = INPUT*
PROTOCOL = 6 (TCP)
DST PORT = PORTA DO SEU WEB-PROXY
IN. INTERFACE = INTEFACE DE SADA (LINK DE INTERNET)
Ingrese a ACTION

En ACTION elija la opcion drop.
EN COMMENT puede dar un nombre a la regla, que en este caso fue nombrado como BLOQUEO DE
PROXY EXTERNO.
Con este tutorial, se creo y habilito un web-proxy y tambien se torno mas eficiente, bloqueando el acesso
externo al sistema.

Control de ancho de banda
Ingrese al menu, QUEUE


Cree un nuevo control de banda (presionando +)

Configure como se indica a continuacion:
NAME = Nombre del "dueo" de la configuracion Nombre del cliente
TARGET ADDRESS = IP que controlara la banda
TARGET UPLOAD MAX LIMIT = Taza de upload (Colocar k Minscula al final)
TARGET DOWNLAOD MAX LIMIT = Taza de download (Colocar k minscula al final)
Control de banda finalizado, esto es todo lo necesario.
Acesso remoto a otro Mikrotik
PS: Para tener acesso a radios AP en su red, deber habilitar la funcion ACTIVAR GERENCIAMENTO
DE LA PUERTA WAN de su radio.
Es simple, solo con crear tres reglas en firewall. Como se indica a continuacion:
Ingrese al menu IP, FIREWALL

Click en la pestaa NAT


Cree una nueva regla (presionando +)

Siga los procedimientos de configuracion siguientes:
CHAIN = DTSNAT
DST. ADDRESS = Endereo IP do MK principal
PROTOCOL = 6 (TCP)
DST. PORT = 4040 (Porta padro do Firewall)
Ingrese a la pestaa ACTION

Introduzca la siguiente configuracion:
ACTION = DTSNAT
TO ADDRESS =Direccion IP del AP que desea agregar.
TO PORT = Puerta de acesso al AP
Confirme y de un nombre en COMMENT para su regla.
ATENCION: Si el AP que desea agregar es otro AP Mikrotik, debera seleccionar un puerto estandar
TELNET (23). Si es para un AP radio, seleccione un puerto estandar HTTP (80) o otro escogida en la radio.
Se deber crear una segunda regla

Reptiendo el mismo procedimiento anterior, pero esta vez, alterando apenas el protocolo a 17 (UDP).

Grabe todo y cree una tercera regla.


En esta regla debera definir una direccion IP para su AP. Verifique con una operadora cuales direcciones IP
le son asignadas y cuales estan sobrando.
Cree una regla como sigue:
CHAIN = DTSNAT
DST. ADDRESS =Direccion IP libre, a la cual ser asignada la rdio o AP MIKROTIK.
PROTOCOL = 6 (TCP)
DST. PORT = Puerta de acceso al AP o radio. Si desea agregar otro AP por WINBOX, seleccione la
puerta 8291 (PUERTA POR DEFECTO DEL WINBOX), si agrega una radio, el puerto estandar es
la 80 u otra pr-definido en la radio.
Abra la pestaa ACTION

Aqui se configurara de la siguiente forma:
ACTION = DST-NAT
TO ADDRESS = Direccion IP de la rdio o AP (direccion IP de la red interna)
TO PORT = Puerto estandar del WINBOX (AP MIKROTIK) o puerto estandar para rdios, puerto
80 (u otro definida).
Listo!!! Para tener acesso al AP MIKROTIK, ingrese al WINBOX, digite la IP vlida definida
anteriormente, coloque la contrasea y loguee. Para tener acceso a las rdios, abra el internet explorer,
digite la direccion IP vlida definida anteriormente... Abrir un box para contrasea y login... Digite estas y
listo!!!
No olvide de agregar las IP's vlidas que seran usadas para las rdios en ADDRESS LIST. Como??
Ingrese al menu IP, ADDRESS LIST


Cree una nueva lista de direcciones (presionando +)

De acuerdo con su link, coloque una nueva IP vlida, o Ip de "NETWORK es la IP de BROADCAST.
Defina tambien la interface (EN este caso, la interface de salida de internet)
Control P2P
Aqui aprendera a controlar (shape) o trfico P2P, marcando paquetes, facilmente. Basta apenas 4
reglas, 2 en firewall y 2 en queue.
Ingrese al menu IP, FIREWALL

Seleccione la pestaa, MANGLE



Cree una nueva regla (presionando +)
En el campo
"CHAIN", seleccione "PREROUTING". En el campo "P2P", seleccione "all-p2p".
Ingrese a la pestaa ACTION
En el campo "ACTION",
seleccione "MARK CONNECTION". En el campo "NEW CONNECTION MARK", indique un nombre al
marcado de paquetes (como ejemplo, el nombre de "p2p_conn". Deje la opcion "PASSTHROUGH" atada.
Confirme.
Cree una nueva rega (presione +)

En el campo "CHAIN", seleccione "PREROUTING". En el campo "CONNECTION MARK"
seleccione la opcion con el nombre definido arriba (en este caso es "p2p_conn".
Abra la pestaa ACTION
En el campo "ACTION",
seleccione "MARK PACKET", en el campo "NEW PACKET MARK", defina otro nombre (en este caso es
"p2p". Confirme.
Despues de crear estas dos reglas en el firewall, ser necesrio crear dos regla mas en queue.
Abra el menu, QUEUE


Abra la pestaa "QUEUE TREE"


Cree una nueva regla (presionando +)


Defina de acuerdo con la figura.
NAME = Defina un nombre para esta regla
PARENT = Seleccione "GLOBAL-IN"
PACKET MARK = Seleccione la opcion de nombre escogida arriba. Aparecer aqui el nombre
definido en la regla del firewall
QUEUE TYPE = DEFALT
PRIORITY = 8
MAX LIMIT = Define el limite mximo de banda reservado para o P2P. En este caso, es un total de
200k para p2p
Confirme...
Cree una nueva regla (presione +)


Defina de acuerdo con la figura.
NAME = Defina un nombre para la regla
PARENT = Seleccione "GLOBAL-OUT"
PACKET MARK = Seleccione la opcion de nombre indicado arriba. Aparecer aqui el nombre
definido en la regla del firewall
QUEUE TYPE = DEFALT
PRIORITY = 8
MAX LIMIT = Define el limite mximo de banda reservado para el P2P. En este caso, es un total de
200k para p2p
Confirme...
Ahora el trfico P2P, ser limitado por marcacion de paquetes. Esta regla es muy eficiente!!
BACKUP y restauracin
Abra el menu, FILES
Para crear una copia de backup, cliquee en
"BACKUP"

En "FILE NAME", aparecer un nuevo BACKUP. Esta copia estar archivada el el HD del
MIKROTIK. Para copiar este backup en otro computador, clique en "copy" (como en la figura) y guarde
en cualquier lugar de su PC.



Para restaurar su backup, seleccione la copia deseada en "FILE NAME" y cliquee en "RESTORE",
como se indica abajo.


Tambien podr restaurar una copia del backup, que se encuentre en su PC, por ejemplo. Para esto,
en su sistema operativo, seleccione el archivo del backup y con el boton derecho del mouse, seleccione
"COPIAR" (COPY). Vaya a la ventana de backup de su MIKROTIK y cliquee en "paste" (como en la
figura).


Seleccione esta nueva copia de backup (aparecer una lista) y aprete en "RESTORE"

Despues de realizar la restauracin del backup, reinicie su MIKROTIK.
PS: Estamos tratando apenas de backup realizados por el "winbox", sea este remotamente o en el
propio servidor.
Limitar conexiones por cliente
Ingrese al menu IP, FIREWALL


Ahora abra "FILTER RULES", cree una nueva regla (presionando "+").


Configure de la seguiente forma:
CHAIN = FORWARD
SRC. ADDRESS = ENDEREO DO CLIENTE A QUAL APLICAR O LIMITE.
PROTOCOL = 6 (TCP)
Ahora abra la pestaa "ADVANCED"

En "TCP FLAGS", seleccione la opciono "SYN" (este comando es responsabe por la recepcion de
requisiciones de conexion del cliente y tambiem por el aviso de a que puerta est o no disponible
Abra la pestaa "EXTRA"


En "CONNECTION LIMIT" / "LIMIT", defina el nmero de conexiones mximas para este cliente.
En el campo "NETMASK", defina la mscara 32 (32 significa que la regla ser aplicada solamente a esta
IP)
Ahora abra la pestaa "ACTION"
En "ACTION", seleccione la opcion "DROP".
Basicamente esta regla libera N conexiones simultneas para un cliente, bloqueando requisiciones de
conexiones encoma del limite.
Configure de acuerdo con sus necesidades
PS: en caso de desear aplicar una regla para un range de IPs completo, configure la IP
XXX.XXX.XXX.0 NETMASK = 24.
Servidor PPoE y Registro de Clientes
Abra el menu PPP


Cliquee en la pestaa "PROFILES"


Cree un nuevo profile (presione "+")


Configure este nuevo profile de acuerdo con sus necesidades. Basicamente configure asi:
NAME = Nome do profile.
USE COMPRESSION = NO
USE VJ COMPRESSION = NO
USE ENCRYPTION = NO
CHANGE TCP MSS = YES
Deje en blanco los otros campos , conforme la figura anterior.
Confirme y abra la pestaa "INTERFACES" (en la pestaa PPP misma) y cliquee en "PPPoE SERVER".


En la ventana "PPPoE SERVER LIST", cree un nuevo servidor (presionando "+")


Configure de acuerdo con sus necesidades. Basicamente como en la siguiente figura:



Parametros:
SERVICE NAME = Nombre del servidor PPPoE.
INTERFACE = Interface con que este servidor trabajar.
MAX MTU = Taza mxima de transmision. Basicamente deje en 1500 para clientes con winxp o
superior y 1452 para clientes con win98 e inferior y clientes que utilizan discador RASPPPOE.
MAX MRU = Taza mxima de recepcion. Configurar conforme a lo anterior.
KEEPALIVE TIMEOUT = Tiempo mximo que una conexion retornar un error. Basicamente deje
en 10.
DEFALT PROFILE = Recuerda
la profile que creo? Es aqui que todas estas configuraciones quedaron incorporadas a el. Basicamente
el profile es un atajo de todas estas configuraciones.
ONE SESSION PER HOST = Esta opcin permite el login y la contrasea de un cliente (registrado
en el servidor pppoe), conecte por vez. Esto es interesante por que evita que varias personas conecten
al mismo tiempo con el mismo login y contrasea. Deje marcado.
MAX SESSION = Define el nmero mximo de conexiones a este servidor. Bsicamente deje en
blanco.
AUTENTICATION = Para que haya compatibilidad con todos los servicios de descarga disponibles,
deje todas marcadas.
Se podr crear varios servidores PPPoE. Cada uno atendiendo una determinada interface y un
determinado sistema operacional, como en el ejemplo siguiente:

Para registrar clientes es bien fcil. Despus de crear su servidor PPPoE, basta cliquear en la pestaa
"SECRETS"

Para crear una nueva cuenta, presione el boton "+"

Configure de acuerdo con sus necesidades:
NAME = Login del asignante. Puede conter @xxxxxxx.com.xx o no.
PASSWORD = Contrasea de acesso.
SERVICE = Escoja PPPoe.
CALLER ID = Define cual MAC Address sera fijada a esta conexion
PROFILE = Define el profile que ser fijado a esta conexion.
LOCAL ADDRESS = Direccin del Gateway (normalmente un rango de IP utilizadas con final 254)
REMOTE ADDRESS = Direccion IP de esta mquina (preferentemente dentro del rango de IPs de la
red local, LOCAL ADDRESS).
ROUTERS = Define enrutamiento. Dejar en blanco.
LIMITY BYTES IN = Limita el nmero de bytes de entrada. Dejar en blanco.
LIMITY BYTES OUT = Limita el nmero de bytes de salida.

Confirme todo y listo. En el computador del cliente basta crear una conexion PPPoE con esta contrasea y
login y se conectara.


Espero que les aclare algunas dudas.
Cualquier consulta: lic.o.diaz@gmail.com.
Saludos.-



Publicado 13th June 2011 por Omar Diaz
Etiquetas: balanceo de carga. wifi fijar ip/mac guia paso a paso Mikrotik nat tutorial web proxi winbox
2
Ver comentarios
PARALLAX23 de enero de 2013, 8:06
Gracias por el tutorial
Quisiera saber de que forma puedo testear si el ancho de banda que me da mi ISP es el que contrat, a
travs del Mikrotik.
Saludos cordiales
Franco Villalta
hip3rion25 de enero de 2013, 5:01
Ingresando al Winbox en la solapa Interfaces se abren los grficos en tiempo real del trafico en las
interfaces de entrada y salida del Mikrotik, ether1, ether2...etc., en la interface que corresponde al
ISP podrs ver el ancho de banda que te estn proporcionando, otra manera es desde cualquier PC
con conexin directa al modem del ISP ingresas a sps.prima.com.ar luego a pruebas y luego a
descargas,tienes una opcin para descargar un archivo, al hacerlo el navegador te dar una tasa de
transferencia la que debes multiplicar x 8 (debido a que esta en KB)

También podría gustarte