Introducción A MikroTik RouterOS v6.35.4.01 PDF

NAS-ROS
Libro de Estudio
RouterOS v6.35.4.01
Introducción a MikroTik
RouterOS & RouterBOARD
por Mauro Escalante
RouterOS, RouterBOARD, Licencias

Winbox, WebFig, Quick Set
Firewall, src-nat, dst-nat
Introducción a
MikroTik RouterOS
& RouterBOARD
v6.35.4.01
Libro de Estudio
ABC Xperts ®
Network Xperts ®
Academy Xperts ®
Derechos de autor y marcas registradas

Todos los derechos de autor y marcas registradas son propiedad del titular de los derechos de autor respectivo
Derechos de autor © por Academy Xperts

Todos los derechos reservados. Ninguna parte de este libro puede ser reproducido, almacenado, o transmitido por cualquier
medio ya sea este un auditorio, medio gráfico, mecánico, o electrónico sin el permiso escrito del autor, excepto en los casos
en que se utilicen breves extractos para usarlos en artículos o revisiones. La reproducción no autorizada de cualquier parte
de este libro es ilegal y sujeta a sanciones legales.
RouterOS v6.35.4.01 – Introducción a MikroTik RouterOS & RouterBOARD
Tabla de Contenido
Introducción ........................................................................................................................................................ iii
Resumen .......................................................................................................................................................................... iv
Audiencia .......................................................................................................................................................................... iv
Convenciones usadas en este libro.................................................................................................................................. iv
Comentarios y preguntas .................................................................................................................................................. v
Partners de Academy Xperts en Latinoamérica .............................................................................................. vi
Empresas Asociadas ........................................................................................................................................................ vi
Universidades e Institutos Superiores .............................................................................................................................. vi
Deseas convertirte en Academia o ser Partner de Academy Xperts? ............................................................................. vi
Un poco de Historia (Costa Rica) .................................................................................................................................... vii
Cubriendo un País con MikroTik. ............................................................................................................................ vii
Detalle de cambios en las cinco últimas versiones de RouterOS ............................................................... viii
v6.35.4, 09/Junio/2016, 12:02 ................................................................................................................................ viii
v6.35.3, 01/Junio/2016, 07:55 ................................................................................................................................ viii
v6.35.2, 02/Mayo/2016, 10:09 .................................................................................................................................. ix
v6.35.1, 26/Abril/2016, 09:29 .................................................................................................................................... ix
v6.35, 14/Abril/2016, 12:55 ....................................................................................................................................... ix
Capítulo 1: Introducción ..................................................................................................................................... 1
Sobre MikroTik ................................................................................................................................................................. 1
¿Qué es RouterOS? ......................................................................................................................................................... 1
Característica de RouterOS ............................................................................................................................................. 2
Qué hay de nuevo en la Versión 6 ................................................................................................................................... 4
Licencias RouterOS.......................................................................................................................................................... 6
Niveles de Licencias ................................................................................................................................................. 7
Cambio de Niveles de Licencias .............................................................................................................................. 8
Uso de las Licencias ................................................................................................................................................. 8
Qué es RouterBOARD? ................................................................................................................................................... 8
Arquitecturas Soportadas: ........................................................................................................................................ 9
Programa Made For MikroTik (MFM) ............................................................................................................................... 9
Por qué trabajar con un router integrado?........................................................................................................................ 9
Nomenclatura de los productos RouterBOARD ............................................................................................................... 9
Nomenclatura de los productos CloudCoreRouter ......................................................................................................... 11
Nomenclatura de los productos CloudCoreSwitch ......................................................................................................... 11
Capítulo 2: Quick Set ........................................................................................................................................ 13
Configuración Básica o dejar el router en Blanco? ........................................................................................................ 13
Ingresando al Router por Primera vez............................................................................................................................ 13
WebFig - Ingreso por Web Browser ............................................................................................................................... 14
Skins ............................................................................................................................................................................... 15
Quickset.......................................................................................................................................................................... 15
WinBox ........................................................................................................................................................................... 16
Home AP Usage ............................................................................................................................................................. 17
Internet ........................................................................................................................................................................... 18
Internet Automático ................................................................................................................................................ 18
Internet Estático ...................................................................................................................................................... 19
Internet PPPoE ....................................................................................................................................................... 19
Wireless .......................................................................................................................................................................... 20
Wireless Guest ....................................................................................................................................................... 20
WPS ....................................................................................................................................................................... 20
VPN Access – PPTP ...................................................................................................................................................... 21
DynamicDNS – IP Clud .................................................................................................................................................. 21
CPE Usage ..................................................................................................................................................................... 21
Configuración Modo Router .................................................................................................................................... 22
Configuración Modo Bridge .................................................................................................................................... 22
Release de RouterOS .................................................................................................................................................... 23
Actualizando el router ..................................................................................................................................................... 23
Cómo hacer un Upgrade ........................................................................................................................................ 24
Actualización automática ........................................................................................................................................ 25
RouterBoot firmware Upgrade ................................................................................................................................ 25
Paquetes de RouterOS .......................................................................................................................................... 25
Paquetes extra de RouterOS ................................................................................................................................. 26
Configurando un password............................................................................................................................................. 26
System identity ............................................................................................................................................................... 26
Academy Xperts i
Capítulo 3: Firewall Básico ............................................................................................................................... 28

Conceptos básicos de Firewall ....................................................................................................................................... 28
¿Cómo funciona un firewall? .................................................................................................................................. 28
Flujo de Paquetes........................................................................................................................................................... 29
Diagrama de flujo de paquetes en Bridge o Capa 2 (MAC) ................................................................................... 30
Diagrama de flujo de paquetes en Ruteo o Capa 3 (IP)......................................................................................... 30
Estructura: chains y acciones ......................................................................................................................................... 30
Filtrado Firewall en acción ...................................................................................................................................... 31
Consejos Básicos y trucos ..................................................................................................................................... 31
Filtrado por Parámetros .......................................................................................................................................... 31
Filter actions ................................................................................................................................................................... 31
Protegiendo tu router (input)........................................................................................................................................... 32
Protegiendo a todos los clientes (forward) ..................................................................................................................... 32
Source NAT .................................................................................................................................................................... 33
masquerade & src-nat ............................................................................................................................................ 33
Destination NAT ............................................................................................................................................................. 34
dst-nat & redirect .................................................................................................................................................... 35
Capítulo 4: Administración ............................................................................................................................... 36
Administración de los respaldos (backup) de las configuraciones ................................................................................. 36
Comando export ..................................................................................................................................................... 36
Guardar archivos de Backup .................................................................................................................................. 36
Opciones del Reset Configuration .................................................................................................................................. 36
Botón de Reset Físico .................................................................................................................................................... 37
Herramientas RouterOS – ping ...................................................................................................................................... 37
Herramientas RouterOS – traceroute ............................................................................................................................. 38
Traceroute ...................................................................................................................................................................... 38
Herramientas RouterOS – Monitor de Tráfico de Interface ............................................................................................ 38
Herramientas RouterOS – Torch .................................................................................................................................... 39
Graphing (Gráficos) ........................................................................................................................................................ 40
Interface Graphing .................................................................................................................................................. 41
Queue Graphing ..................................................................................................................................................... 42
Resource Graphing ................................................................................................................................................ 42
Graphics en WinBox ............................................................................................................................................... 42
Recursos adicionales ..................................................................................................................................................... 43
Ponerse en contacto con Soporte MikroTik.................................................................................................................... 43
Supout.rif ................................................................................................................................................................ 43
Supout.rif Viewer .................................................................................................................................................... 44
Autosupout.rif ......................................................................................................................................................... 44
Registros (logging) del sistema y registros de depuración ............................................................................................. 45
Configuración del Logging ...................................................................................................................................... 45
Actions .................................................................................................................................................................... 46
Tópicos ................................................................................................................................................................... 47
Capítulo 5: Training ........................................................................................................................................... 49
Cursos de Certificación MikroTik .................................................................................................................................... 49
MTCNA ................................................................................................................................................................... 49
MTCTCE ................................................................................................................................................................. 49
MTCWE .................................................................................................................................................................. 50
MTCUME ................................................................................................................................................................ 50
MTCRE ................................................................................................................................................................... 50
MTCINE .................................................................................................................................................................. 50
Academy Xperts ii
Introducción
MikroTik es una empresa que nace en Latvia (Letonia) en 1995 con el claro objetivo de proveer un sistema operativo de red
altamente robusto y eficiente al cual llamó RouterOS en 1997. La evolución del mismo llevó a la creación y lanzamiento al
mercado en el 2002 de un hardware que aprovechara al máximo sus grandes capacidades de multiprocesamiento simétrico
y multi-núcleo, este hardware es el RouterBOARD.
A lo largo de los años a partir del nacimiento del Internet, los administradores de red hemos visto desfilar varios fabricantes
por nuestros racks, siendo Cisco el referente, sin embargo siempre había representado un costo más o menos importante a
la hora de implementar una solución de red ruteada en especial si se trataba de un ISP/WISP.
No es sino hasta hace una década aproximadamente en que MikroTik se empieza a hacer conocer en Latinoamérica y varios
emprendedores, y por sobre entusiastas, se vuelcan a la implementación de soluciones basadas en RouterOS y
RouterBOARD. Claro ejemplo de ello son nuestros grandes amigos de Index México (Ezequiel García) y REICO Costa Rica
(Miguel Solís) quienes tomaron la iniciativa de confiar en los productos ofrecidos por MikroTik. Es muy interesante y
gratificante conversar con ellos y escuchar los relatos sobre los primeros pasos del fabricante letón en tierras americanas.
Estoy convencido de que MikroTik llegó no solo para quedarse sino para formar una parte muy importante en la historia del
networking y de las telecomunicaciones. De hecho, cientos de miles (quizá millones a esta fecha - Junio 2015) obtienen su
internet de banda ancha a un bajo costo a través de una red ruteada gracias a que los proveedores de Internet, pequeños y
medianos, pueden estructurar e implementar redes sumamente complejas y completas usando los RouterBOARD.
Las soluciones en RouterOS y RouterBOARD no se han quedado estancadas en las empresas de Telecom pequeñas, sino
que han ido escalando en credibilidad en las empresa medianas y grandes en Latinoamérica, rompiendo paradigmas de
fabricantes y costos de implementación.
Este libro nace como un aporte a la comunidad tecnológica de habla hispana y latinoamericana que ha decidido incursionar
en MikroTik y desea obtener un conocimiento formal. De igual manera queremos que esta guía constituya una fuente
importante de aprendizaje para quienes empiezan a realizar sus primeras configuraciones en RouterOS.
Mauro Escalante
CEO Academy Xperts
CEO Network Xperts
Academy Xperts iii

Resumen
Este libro inicia con laboratorios de ruteo estático en los que aplicando diferentes parámetros de distancia, routing-mark, o
haciendo uso de ECMP, se llega a la conclusión de que estas técnicas por si solas no son suficientes para proveer funciones
como un failover confiable, o un ruteo dinámico automático. Se realizan varias pruebas valiosas con ECMP que sirven para
usos posteriores como Balanceo de Carga con PCC.
Si bien es cierto que hasta versión del libro no se profundiza en todos los conceptos que rigen OSPF, sin embargo se realizan
sendos laboratorios donde se podrán plasmar las principales funciones del protocolo, no solo entre rutas y routers dentro del
mismo área de backbone, sino también con un área externa al área de backbone. En las próximas versiones de este libro
se están agregando puntos elementales de conocimiento y nuevos laboratorios de OSPF. Si dispones de este libro es
seguramente porque lo has adquirido y tienes 12 meses garantizados de actualización a los textos, ejercicios y demás
recursos a partir de tu compra.
La alta disponibilidad del gateway se logra utilizando el protocolo estándar VRRP (Virtual Router Redundancy Protocol) y
constituye una configuración obligatoria e indispensable en toda red de misión crítica. En este libro se presentan varios
ejercicios VRRP con los cuales se intenta demostrar los diferentes escenarios y sus alternativas de solución.
Finalmente la sección de túneles PPP se complementa con ejercicios muy elaborados, explicando al detalle los procesos
involucrados y los escenarios de configuración.
Hemos tenido un especial cuidado en ampliar la información de aquellos puntos que no se profundizan en los cursos de
certificación, pero que resultan claves para el correcto entendimiento de la materia.
La información aquí presentada se complementa con nuestros recursos en www.abcxperts.com y
www.youtube.com/abcxperts
Este libro no pretende reemplazar la interacción face-to-face con un instructor ya que su experiencia y conocimiento es
invaluable y únicamente explotable a través del contacto interpersonal de un curso de certificación. Sin embargo, todo el
material de apoyo junto con los videos tutoriales, webinars, tips, etc., representan un importante aporte para aquellos colegas
que optan por leer un libro y estudiar a su propio ritmo.
Esta es la primera revisión dedicada a la versión 6.33.5. Las posteriores revisiones al material y a los nuevos releases de
RouterOS serán agregadas a esta edición y estarán a disponibilidad de las personas que compren la suscripción.
Tenemos una tarea inmensa por delante pero estamos muy claros en nuestro objetivo de hacer de este libro la mejor guía
de autoestudio MikroTik.
Audiencia
Las personas que leen este libro deben estar familiarizados con:
• Operaciones de red en Capa 2
• Conjunto de protocolos IP, incluyendo TCP. UDP e ICMP
Este libro está dirigido a:
• Ingenieros y Técnicos en Redes, Telecomunicaciones y afines, que desea implementar y dar soporte a:
§ Redes Corporativas
§ Clientes WISP e ISP
• Ingenieros de Redes involucrados en actividades de pre-venta y post-venta en soporte e instalación de redes
corporativa y PYMES
• Ingenieros de Redes, Administradores de Red, Técnicos en Soporte de Redes, y Técnicos de Soporte a Usuario
(Help Desk)
Convenciones usadas en este libro

En este libro se utilizarán las siguientes convenciones tipográficas:
Itálicas
Indica comandos, direcciones de correo, claves, mensajes de error, nombres de archivos, énfasis, y el primer uso
de términos técnicos
Courier new
Indica direcciones IP y ejemplos de línea de comando
Courier new en itálica
Indica texto que puede ser reemplazado
Courier new en negrita
Indica datos de entrada del usuario
Este icono significa un consejo, sugerencia, o una nota general.
Este icono indica una advertencia o precaución.
Academy Xperts iv
Comentarios y preguntas
Puede enviar sus comentarios y preguntas sobre este libro por correo tradicional a la siguiente dirección:
Network Xperts S.A.
Av. Juan T. Marengo y J. Orrantia
Edificio Professional Center, Piso 5, Ofic. 507
Guayaquil, ECUADOR
+593-4-600-8590
+593-9-9535-2132
A través del sitio web y por medio de su usuario y contraseña, tendrá acceso a las actualizaciones, ejemplos, e información
adicional:
http://cursos.abcxperts.com
Puede enviarnos sus comentarios o preguntas técnicas sobre este libro enviándonos un email a:
libro@abcxperts.com
Para más información sobre libros, conferencias, centros de recursos, y la red educativa de Academy Xperts, visite nuestros
Websites y canal de YouTube
http://www.abcxperts.com
http://www.academyxperts.com
http://www.youtube.com/abcxperts
Academy Xperts v
Partners de Academy Xperts en Latinoamérica

Nuestro recorrido por América Latina nos ha comprometido de una manera muy importante con nuestros alumnos, amigos
y socios. Y este compromiso conlleva la enorme responsabilidad de estar siempre a la vanguardia, de presentar a nuestros
estudiantes el mejor y más completo material de estudio & laboratorio, y lo que es muy importante… que el contenido siempre
esté actualizado.
Nos encantaría estar presente en cada uno de los 14 países y las más de 40 ciudades que recorremos todos los años, pero
el tiempo y la disponibilidad física nos es un obstáculo.
Por este motivo hemos desarrollado un esquema de Partnership con empresas, universidades e institutos superiores en
diferentes países que trabajan junto con nosotros en sus respetivos ambientes, y que entregan a sus estudiantes el contenido
y el acceso a la suscripción anual de este libro (y todos sus recursos) por un cómodo valor.
Empresas Asociadas
Universidades e Institutos Superiores
Deseas convertirte en Academia o ser Partner de Academy Xperts?

• Si eres Universidad o Instituto Superior que cuenta con el respectivo acuerdo ministerial de tu país, puedes
optar por convertirte en una Academia MikroTik. Escríbenos a libro@abcxperts.com para darte más información.
• Si eres Trainer Partner y quieres explotar junto a tus alumnos nuestro material y portal de capacitación, te
invitamos escribirnos a mescalante@academyxperts.com para proporcionarte los detalles.
• Si deseas que organicemos cursos en tu ciudad/país de residencia, escríbenos a cursos@academyxperts.com
Academy Xperts vi
Un poco de Historia (Costa Rica)

Cubriendo un País con MikroTik.
En el año 1998, estando en una empresa de servicios públicos en Costa Rica, el Ing. Miguel Solís en conjunto con el Ing.
Paulino Solano, comenzaron a utilizar MikroTik con gran éxito en las telecomunicaciones de esta empresa. Se lograron 2
Mbps en una distancia de 8 Km, una velocidad record para aquellos tiempos en que la velocidad rondaba los 256 Kbps.
En esta empresa de Servicios Públicos, se logró la interconexión de 52 sucursales mediante tecnología inalámbrica, todas
bajo la misma marca MikroTik y su sistema operativo RouterOS.
Dado el éxito alcanzado en este proyecto, ambos ingenieros en conjunto con uno más llamado Olman González, decidieron
formar una empresa que se dedicara a solventar los problemas de telecomunicaciones en donde el cobre no fuera factible o
se necesitara más velocidad. Esta empresa fue nombrada Redes Inalámbricas de Costa Rica S.A (REICO).
Es así como a la fecha (Julio 2015), REICO, con solo Miguel Solís como propietario, tiene el liderato en telecomunicaciones
inalámbricas en el país Centroamericano Costa Rica. REICO posee más de 3,800 Km de red troncal inalámbrica y más de
80,000 Km de red de acceso. Posee más de 100 radio bases instaladas estratégicamente para alcanzar una cobertura de
más del 80% del territorio y a más del 90% de la población.
La empresa se dedica 100% a proveer transporte de datos corporativos y sirve a sectores financieros, agroindustriales,
turísticos, comerciales, etc.
Su plataforma tiene una particularidad única en el mundo, con sus más de 1,000 clientes corporativos y empresariales y sus
más de 1,500 equipos de acceso, CPE, transporte, Core secundario y Core primario: EL 100% SON MARCA MIKROTIK.
REICO es un ejemplo del gran potencial que tiene MikroTik y RouterOS ya que esta empresa compite en el mercado con
grandes de las telecomunicaciones y aun así mantiene una posición privilegiada, siendo el cuarto operador en Costa Rica
en importancia en Transporte de Datos Corporativos, por debajo de ICE, Tigo y de RACSA pero por encima de Claro,
Telefónica, Cables & Wireless, etc. Esto según el último informe de Estadísticas del Sector de Telecomunicaciones de Costa
Rica 2014.
Texto desarrollado por el Ing. Miguel Solís, a quien agradezco por su aporte histórico
sobre los inicios de MikroTik en Latinoamérica.
Academy Xperts vii

Detalle de cambios en las cinco últimas versiones de

RouterOS
Para una revisión más amplia del histórico de cambios en la versión 6.x le recomendamos visitar el siguiente link:
http://abcxperts.com/index.php/bitacora-de-cambios
v6.35.4, 09/Junio/2016, 12:02

address-list
- Se hizo que dynamic=yes sea una opción read-only (solo lectura)
bonding
- Se corrigió un problema en el modo de balanceo 802.3ad sobre túneles
- Se corrigió un problema de asignación del esclavo en el bonding primario para interfaces OVPN ñuego de que se inicia
- Se corrigió un problema de caída en la transmisión de tráfico RoMON
dhcpv6 client
- Se corrigió un problema de validación ia lifetime cuando se configura por el cliente dhcpv6
disk
- Se agregó soporte para Plextor PX-G128M6e(A) SSD en el CCR1072
ethernet
- Se corrigió un problema de falla de memoria cuando se configura la interface sin cambiar la configuración
firewall
- No se muestra el parámetro disabled=no en un export
health
- Se corrigió un problema de fábrica en la data de calibración de voltaje para algunas tarjetas hAP ac
- Se corrigió un problema de voltaje incorrecto después de que se ejecutaba un reboot en un RB2011UAS
ipsec
- Se corrigió un problema en mode-config export
- Se corrigió un problema de desborde de route cache cuando se utiliza ipsec con el route cache deshabilitado
lte
- Utiliza únicamente creg result codes como indicadores de estatus de red
ovpn
- Se habilita el soporte perfect forwarding secrecy por default
rb3011
- Se corrigió un problema de port flapping en las interface ether6-ether10
- Se corrigió un problema de funcionabilidad en el botón reset
- Se mejoró el desempeño cuando existe un alto uso del CPU
v6.35.3, 01/Junio/2016, 07:55

Fue un release únicamente de fábrica
Academy Xperts viii

v6.35.2, 02/Mayo/2016, 10:09

discovery
- Se corrigió un problema del descubrimiento de identidad (se introdujo en v6..35.1)
firewall
- Se corrigió un problema en las configuraciones de políticas de ruteo (se introdujo en v6.35rc38)
log
- Se corrigió un problema de ajuste del time zone (se introdujo en v6.35.1)
queue
- Se corrigió un problema del queue type en la interface para túneles OVPN
snmp
- Se corrigió un problema de timeout snmp (se introdujo en v6.35.1)
vrrp
- Se corrigió un problema de interfaces vrrp perdidas después de hacer un upgrade (se introdujo en v6.35.1)
v6.35.1, 26/Abril/2016, 09:29

bonding
- No se corrompen las estadísticas bonding en los cambios de configuración
- Se corrigió un problema de caída cuando el MTU de la VLAN padre es más alto que el MTU del bonding
ethernet
- No se permite que el MTU sea más alto que el L2MTU, y que el L2MTU sea más alto que el MAX-L2MTU (se reduce
automáticamente en el upgrade si es que estaba equivocado anteriormente)
log
- Se corrigieron los mensajes de log en el reboot
LTE
- No se permiten configurar múltiples modos cuando no está soportado
- Se corrigió la adquisición de dirección (address acquisition) en las interfaces Huaweii LTE
winbox
- Se muestra el voltaje en Health únicamente si es el monitor de voltaje
wireless
- Se corrigió un problema cuando el CAPsMAN podía bloquear la interface CAPs
v6.35, 14/Abril/2016, 12:55

address-list
- Se corrigió un problema de caída del sistema en situaciones de baja memoria
arp
- Se aplica un parche del Kernel del Linux para evitar que RouterOS muestre aleatoriamente los ARPs fuera de lugar
bonding
- Se corrigió un problema de caída cuando se creaban VLANs en la interface bonding
capsman
- Se agregó la banda 802.11g/n
- Se corrigió los nombres de canal de extensión capsman
- Se agregaron más parámetros de configuración
- Se agregó soporte para la configuración del rate
certificates
- Los certificados revocados no se muestran como (R)evocados
- Se permite la adición manual crl url
chr (Cloud Hosted Router)
- Se agregó soporte para VLAN en Hyper-V
- Se corrigió el booting de Hyper-V desde SCSI
- Se corrigió un problema de un loop en el reboot de Windows 8 y Windows 10 en Hyper-V
- Se corrigió un problema en bridge firewall
- Se corrigió un problema de caída del Kernel cuando la interface ethernet virtual no está conectada a nada en Hyper-V
- Se implementó el incremento automático de almacenamiento en la opción de incremento de tamaño de imagen de
disco
- Se implementó grabar la caída de Kernel a autosupout.rif (esto utilizará adicionalmente 24Mb de RAM)
- Se hace que funcione el requerimiento de shutdown desde hyper-V (es posible que corrija también otros hypervisors)
- No más instalación en el primer boot
- Se trata de renovar la licencia expirada una vez cada hora, en lugar de cada 100 horas
Academy Xperts ix
cloud
- No se escriben en el almacenamiento los cambios de estatus menores
console
- Se corrigió el print follow en el menú "/ip dns cache"
- Se muestra la versión de RouterOS en /interface wireless scan
- Se muestra completions/hints en el orden natural
- Se actualiza el aviso de copyright
default config
- Se corrigió la configuración por default del SXT LTE
dhcpv6 client
- Se corrigió un mensaje de error equivocado
- Se corrigió la expiración ia y la validación del lifetime
- Se adquiere el binding o se renueva si no existe
dude
- Los cambios se discuten en el siguiente link http://forum.mikrotik.com/viewtopic.php?f=8&t=104395
- Se corrige el logging (registro en bitácora) del login del Dude. Ya no se muestra como Wibox login
email
- Se corrigió send cmd server addr override
ethernet
- Se agregó la opción para ver el módulo S-GPON-ONU, GPON side SN en "/int eth mon sfp#"
- No permite configurar a sí mismo como un master port
export
- El bonding no se mostrará en global export
- Se excluyen los valores por default de export en el menú "/interface l2tp-server server"
- Se corrigió el export cuando la dirección IPv6 se tomaba del pool
- Se corrigieron situaciones extrañas cuando no se exportaba toda la configuración
- Se actualizó los defaults para el export compacto
fastpath
- Se corrigió un problema de caída cuando el paquete llegaba en una interface deshabilitada
- Se corrigió un problema que mostraban los rx-bits-per-second en todas las interfaces VLAN
- Se mejoró el VLAN fastpath
fasttrack
- Se corrigió el timer de actualización en las tablas de conexión para las conexiones fasttrack
fetch
- Se disminuyó el connection idle timeout
firewall
- Se agregó el parámetro experimental "action=route" en mangle prerouting. Este parámetro forza los paquetes a un
gateway específico, ignorando las decisiones de ruteo (funciona únicamente en CLI)
health
- Siempre se reporta la velocidad del ventilador, incluso si es 0 (cero)
- Permite el intercambio de fan2 y fan3 en el CCR1072
hotspot
- Se limpian inmediatamente todas las entradas muertas
- Se corrigen todos los posibles puntos muertos
- Se mejoró la resistencia de la página HTML contra ataques
- Se hace que el tag de video trabaje apropiadamente en la página login.html de hotspot
ip accounting
- Se renombra nax-arp-entries a un parámetro menos confuso max-neighbor-entries
ippool6
- Se corrigió un problema potencial de caída
ipsec
- Se hace que siempre se haga un re-key ph1 ya que es posible que expire ph1 sin un DPD
- Se logra un mejor flujo en el cambio de proposal
- Se corrigió un problema de caída cuando se hacía una actualización de las políticas
- Se corrigió la adición de fast ph2 SA
- Se corrigió el refresh larval SA para el display
- Se corrigió el flujo de múltiples políticas dinámicas consecutivas
l2tp
- Se corrigió la contabilización del tráfico de usuario cuando se usaba fastpath
- Se introdujo la opción allow-fast-path por túnel
- Se agregó el soporte para Hidden AVP, que se necesita para la autenticación proxy
- Se agregó soporte para max-sessions
- Se agregó el soporte para autenticación proxy cuando se reciben sesiones PPPoE forwarded
- Se corrigió un pequeño problema de fuga de memoria en las reconexiones
Academy Xperts x
- Se implementó el soporte fastpath/fasttrack l2tp y lns

lcd
- Se corrigió el problema de dibujo del logo en el paquete de marca al inicio
led
- Se corrigió un problema de caída en la remoción de la interface asignada
- Se enciende el led de falla en el CCR1072 si el CPU está demasiado caliente
- Se corrigió el problema del parpadeo del led AP-CAP después de una asociación satisfactoria a CAPsMAN
LTE
- Se agregó el soporte IPv6 para SXT LTE
- Se cambió el procesamiento del comando AT
- Se cambió el análisis sintáctico AT debido a que los modems Huawei soportados usan eventos no solicitados en lugar
del polling
- Se corrigió el marcado (dialing) del modem bandlux
- Se corrigió un problema de caida cuando había una inicialización temprana
- Se mejoró una situación en que el modem SXT nunca encuentra operador
- Se reemplazó signal-strength con rssi en el comando info
- Se agregó el soporte para el modem ALT38XX
- Se agregó el soporte para ZTE MF820s2
- Los modems soportados ahora usan eventos no solicitados para el monitoreo de la red
- Se usa el timer para la info del modem
map lite
- Se agregó el soporte de hardware para el botón WPS
mipsbe
- Se corrigió un extraña corrupción del buffer tx ethernet (se excluye de este error a las series RB4xx y CRS)
mpls
- No se resetea el VPLS en TE tunnel re-optimize
nand
- Se implementó un refresh del NAND una vez a la semana para mejorar la integridad de la data almacenada
(incrementará la escritura de los sectores)
ospf
- Se corrigió un problema de caída cuando se obtenía el router-id del vecino (neighbor) en un área NBMA
ppp
- Se corrigió un problema de reconexión de la interface PPP cuando se usaba uPnP
- Se cierra la conexión si un peer intenta re-autenticar
- Se corrigió un problema de fuga de memoria cuando un número alto de clientes PPPoE se conectan al mismo server
- Se corrigió una caída PP si los paquetes LCP se perdían y la autenticación se retardaba
• Se corrigió el problema de que algunos clientes no podían reconectarse debido a un reinicio LCP
pppoe
- Se corrigió la contabilización del tráfico de usuario cuando se usaba fastpath
- Se agregó soporte para RFC4679
- Se corrigió un problema de caida cuando se removia el servicio PPPoE
pppoe client
- Se implementó el soporte fastpath
pppoe server
- Se agregó la opción pado-delay
profiler
- Se clasifica la firma de certificado
proxy
- Se corrigió la decodificación url del requerimiento FTP
queues
- Se mejoró el menú "/queue interface"
- Se agregó la configuración bucket-size a las colas (derivado de max-limit)
quickset
- Se corrigió un problema enque la fecha inválida ajustaba el threshold de la señal para la tabla de señal y la tasa de
refresh
- Se corrigieron situaciones en las que el password oculto se pasaba como ****** de Winbox y Webfig
radius
- Se alerta al cliente si se está usando un secret incorrecto
RB3011
- Se corrigió la compatibilidad SFP con CCR cuando se usan cables directamente conectados
- Se corrigió el time keeping
- Se hace que Ether6-Ether10 trabajen si el módulo SFP está presente en bootup
romon-ssh
- Se corrigió las direcciones activas para romon user
route
Academy Xperts xi
- No se muestra el gateway duplicado en la ruta conectada

- Se corrigió el filtro por la tabla de ruteo
routing
- Se corrigió un raro problema de falla de kernel en diferentes configuraciones de ruteo dinámico
- Se corrigió un problema de routing-mark donde no se borraban de memoria cuando no estaban siendo usados
services
- No se muestra la entrada SSH en IP services si el paquete de seguridad está deshabilitado
snmp
- No se agrupa los OIDs para que tengan carga con maxreps > 1
- Se corrigió un reporte de carga de CPU a un promedio de 1 minuto y se cambió el OID a 1.3.6.1.4.1.2021.11.10.0
- Se corrigió el formato hwaddr de reserva DHCPv4 de acuerdo al MIB
- Se corrigió un problema de obtención de carga que resultaba en la reordenación con múltiples requerimientos de OIDs
ssh
- Se simplifica el proceso de login
ssl
- Se optimizó la actualización del certificado
system
- Se registran los cambios de tiempo
tile
- Se corrigió el max-l2mtu
- Se corrigió una pérdida de memoria relacionada con fastpath
- Se corrigió un problema de regresión de performance en el chip del switch (se introdujo en v6.33rc18)
- Se corrigió una situación extraña cuando alguno núcleos (cores) decidían no tomar parte en el procesamiento del
paquete hasta que se haga el siguiente reboot
tile-crypto
- Se corrigió una fuga menor de memoria
tool fetch
- Se corrigió la limpieza del HTTPs en la parada del usuario mientras había el handshaking
trafficgen
- Se corrigió los argumentos de consola
- Se corrigió un problema de caida cuando reaparecía un stream no esperado
trafflow
- Se corrigió un potencial problema de punto muerto (deadlock)
tunnels
- Se corrigió un problema de deterioro del performance en cualquier túnel que se habilita/deshabilita
ups
- Se corrigió un problema de que se entraba en modo de hibernación cuando la capacidad de la batería estaba bajo el
límite
users
- Se agregó una política separada de RoMoN
webfig
- Se corrigió un problema en el ordenamiento de regla de firewall que no trabajaba en otros chains excepto en todos
- Muestra grupos de ítems individuales como valores opcionales
- Se ordenan numéricamente las columnas numéricas incluso si contienen algo de texto
winbox
- Se agregó "pw-type" al menú "/interface vpls bgp-vpls"
- Se agregó "use-control-word" y "pw-mtu" al menú "/interface vpls cisco-bgp-vpls"
- Se agregó /interface wireless setup-repeater
- Se agregó todas las configuraciones de rates al CAPsMAN
- Se agregó la opción flip-screen a la configuración LCD
- Se agregó la opción init-delay a las configuraciones de routerboard
- Se agregó la opción IPv6 firewall missing log
- Se agregó el método missing eap-ttls-mschamv2 al profile de seguridad wireless
- Se agregó el soporte mtu=auto para el túnel IPv6
- Se agregó sfp-mac para interfaces GPON
- Se agregó el soporte para nuevas configuraciones del paquete wireless-rep
- Se agregó el soporte para la acción route en las reglas de mangle
- Se permite configurar additional-network-modes
- Se permite configurar múltiple dh-groups
- Se deshabilita en la apertura el autostart para wireless scan, snooper, align, etc.
- No se muestra la configuración "enable-jumper-reset" en los dispositivos sin puerto serial
- No se muestra la columna real-tx-power en current-tx-power por default
- Se corrigió las opciones no configuradas en el menú /routing ospf interface
- En hotspot, el usuario default-trial muestra el profile coo "unknown" en Winbox
- Se mejoró la detección de la pérdida de conexión. Se corrige el modo safe de Winbox
Academy Xperts xii

- Se limita la clave OSPF a 16 símbolos

- Se hace que el parámetro additional-network-mode sea opcional par ala interface LTE
- Se hace build con los últimos cambios LTE
- Se hace que MRRU se deshabilite si se configura MTU+MRU como automático por default en los nuevos servidores
- Se muestra la opción "usb-power-reset" en todos los boards que lo tienen
- Se incrementó a que la mínima versión de Winbox requerida sea la 3.4
wireless
- Se agregó el nuevo paquete "wireless-rep"
- Se mejoró la compatibilidad de estación 802.11ac (1-chain) con otros vendedores de Aps multi-chain
- Se corrigió un problema de caída en la actualización de las estadísticas de la interface nstreme-dual
wireless-rep
- Se agregó la banda 802.11g/n only
- Se agregó la característica STEP para el scan-list
- Se agregó el soporte del cliente WPS
- Se agregó el soporte para grabar los resultados del wireless scan a un archivo
- Se agregó el soporte para el escaneo en background para el protocolo 802.11
- Se agregó el soporte para el modo repetidor (repeater) en wireless para el protocolo 802.11
- Se agregó el soporte para las configuraciones wireless scan rounds
- Se ajustó los tiempos de roaming scan
- Se permite conectar a un AP después del scan
- No se permite un SSID vacío para los modos AP
- Se corrigió un problema de caida en los clientes que no son HT
- Se corrigió un problema de latencia con clientes wireless Intel
- Se corrigió un problema en el protocolo NV2
- Se corrigió un problema de QoS en frame-priority cuando el protocolo NV2 se usaba en modo station-wds
- Se corrigió un problema de señal en los LEDs
- Se corrigió un problema de velocidad cuando se conectaba con Intel 802.11ac
- Soporte inicial para el roaming de estación para el modo station en el protocolo 802.11
- Se solicita el nombre de la interface para setup-repeater
- Se utiliza la identidad completa donde sea posible
- Se agregaron más parámetros de configuración
- Se agregó soporte para la configuración del rate
Academy Xperts xiii

RouterOS v6.35.4.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 1: Introducción
Capítulo 1: Introducción
MikroTik, RouterOS, RouterBOARD, Licenciamiento
Sobre MikroTik
MikroTik es una compañía fundada en 1996 en Riga, capital de Latvia, creada para desarrollar routers y sistemas
inalámbricos para Proveedores de Servicios de Internet (ISP – Internet Service Provider)
En 1997 MikroTik creó el sistema de software RouterOS que proporciona estabilidad, control y flexibilidad para todos los
tipos de interfaces de datos y ruteo
En el 2002 MikroTik decidió fabricar su propio hardware y de esta forma nace el RouterBOARD. MikroTik tiene distribuidores
en muchas partes del mundo, y clientes probablemente en casi todos los países del planeta.
Páginas de interés:
www.mikrotik.com - Website oficial
www.routerboard.com - Página oficial de los productos RouterBOARD
wiki.mikrotik.com - Portal de documentación
tiktube.com - Portal de videos
mum.mikrotik.com - Eventos y conferencias del MikroTik User Meeting
forum.mikrotik.com - Foro de soporte oficial
¿Qué es RouterOS?
MikroTik RouterOS es el sistema operativo del hardware MikroTik RouterBOARD, que tiene las características necesarias
para un ISP: Firewall, Router, MPLS, VPN, Wireless, HotSpot, Calidad de Servicio (QoS), etc.
RouterOS es un sistema operativo independiente basado en el kernel de Linux v3.3.5 que proporciona todas las funciones
en una instalación rápida y sencilla, con una interfaz fácil de usar.
RouterOS puede instalarse en PCs y otros dispositivos de hardware compatibles con x86, como tarjetas embebidas y
sistemas miniITX. RouterOS soporta computadores multi-core y multi CPU. Soporta tambien Multiprocesamiento Simétrico
(SMP: Symmetric MultiProcessing). Se puede ejecutar en los motherboards Intel más recientes y aprovechar los nuevos
CPUs multicore.
Multiprocesamiento Simétrico
Es una arquitectura de Software y Hardware donde dos o más procesadores idénticos son conectados a una simple memoria
compartida, teniendo acceso a todos los dispositivos I/O (entrada y salida), y que son controlados por una simple instancia
del OS (Sistema Operativo), en el cual todos los procesadores son tratados en forma igualitaria, sin que ninguno sea
reservado para propósitos especiales.
En el caso de los procesadores multi-core (multi-núcleo), la arquitectura SMP se aplica a los núcleos, tratándolos como
procesadores separados.
El RouterOS formateará la partición y se convertirá en el sistema operativo por default del dispositivo. Soporta una gran
variedad de interfaces de red, incluyendo tarjetas Ethernet de 10 Gigabit, tarjetas wireless 802.11a/b/g/n/ac y módems 3G y
4G.
Academy Xperts 1
Fechas de liberación de las versiones de RouterOS

• v6 - May 2013
• v5 - Mar 2010
• v4 - Oct 2009
• v3 - Ene 2008
Característica de RouterOS
Soporte de Hardware
• Compatible con arquitectura i386
• Compatible con SMP (multi-core y multi-CPU)
• Requiere un mínimo de 32MB de RAM (reconoce hasta máximo 2GB, excepto en los dispositivos Cloud Core, donde
no existe un máximo)
• Soporta los medios de almacenamiento IDE, SATA, USB y flash, con un mínimo de 64MB de espacio. Incluye HDDs,
tarjetas CF y SD, y discos SDD
• Tarjetas de red soportadas por el kernel de Linux v3.3.5 (PCI, PCI-X)
• Soporte de configuración de Chip de Switch:
o http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features
• Compatibilidad de diferentes tipos de interfaces y dispositivos. Existe una lista de compatibilidad que alimentada
por los usuarios en el siguiente link:
o http://wiki.mikrotik.com/wiki/Supported_Hardware
Instalación
• Netinstall: Instalación basada en red desde una tarjeta de red habilitada con PXE o EtherBoot.
o http://wiki.mikrotik.com/wiki/Manual:Netinstall
• Netinstall: Instalación a un drive secundario montado en Windows
• Instalación basada en CD
Configuración
• Acceso basado en MAC para configuración inicial. http://wiki.mikrotik.com/wiki/Manual:First_time_startup
• WinBox: herramientas de configuración gráfica (GUI) independiente para Windows.
o http://wiki.mikrotik.com/wiki/Manual:Winbox
• WebFig: Interface de configuración avanzada basada en web
• Poderosa interface de configuración basada en Línea de Comandos (CLI: command line) con capacidades de
scripting integrado, accesible a través de terminal local, consola serial, telnet y ssh.
o http://wiki.mikrotik.com/wiki/Manual:Scripting
• API: una forma de crear sus propias configuraciones y aplicaciones de monitoreo.
o http://wiki.mikrotik.com/wiki/Manual:API
Respaldo y Restauración (Backup/Restore)
• Copia de seguridad se configuración binaria
• Exportar e Importar la Configuración en formato de texto legible
Firewall
• Filtrado basado en el estado del paquete (Statefull filtering)
• Source NAT y Destination NAT.
o http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT
• NAT helpers (h323, pptp, quake3, sip, ftp, irc, tftp).
o http://wiki.mikrotik.com/wiki/Manual:IP/Services#Service_Ports
• Marcas internas: mark-connection, mark-routing y mark-packet
• Filtrado basado en dirección IP y rango de direcciones, puerto y rango de puertos, protocolo IP, DSCP y muchos
más.
o http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter
• Listas de direcciones (Address lists).
o http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Address_list
• Filtros de Capa 7 personalizados.
o http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/L7
• Soporte para IPv6.
o http://wiki.mikrotik.com/wiki/Manual:IPv6_Overview
• PCC: clasificador basado en conexión, utilizado en configuraciones de balanceo de carga.
o http://wiki.mikrotik.com/wiki/Manual:PCC
Ruteo (Routing)
• Ruteo Estático
• Virtual Routing and Forwarding (VRF).
o http://wiki.mikrotik.com/wiki/Manual:Virtual_Routing_and_Forwarding
Academy Xperts 2
• Ruteo basado en políticas (Policy based routing)

• Interface de ruteo. http://wiki.mikrotik.com/wiki/Manual:IP/Route#Routes_with_interface_as_a_gateway
• Ruteo ECMP. http://wiki.mikrotik.com/wiki/Manual:IP/Route#Multipath_.28ECMP.29_routes
• Protocolos de ruteo dinámico IPv4: RIP v1/v2, OSPFv2, BGP v4
• Protocolos de ruteo dinámico IPv6: RIPng, OSPFv3, BGP
• Bidirectional Forwarding Detection ( BFD).
o http://wiki.mikrotik.com/wiki/Manual:Routing/BFD
MPLS
• Static Label bindings para IPv4
• Label Distribution protocol para IPv4.
o http://wiki.mikrotik.com/wiki/Manual:MPLSVPLS
• Túneles de Ingeniería de Tráfico RSVP.
o http://wiki.mikrotik.com/wiki/Manual:MPLS/TE_Tunnels
• Autodescubrimiento y señalización basado en VPLS MP-BGP
• MP-BGP basado en MPLS IP VPN
• Es el siguiente link se puede revisar la lista completa de las características de MPLS
VPN
• IPsec: túnel y modo de transporte, certificado o PSK, protocolos de seguridad AH y ESP. Soporte de encriptación
por hardware en RouterBOARD 1000.
o http://wiki.mikrotik.com/wiki/Manual:IP/IPsec
• Point to point Tunneling (OpenVPN, PPTP, PPPoE, L2TP, SSTP)
• Características avanzadas de PPP (MLPPP, BCP)
• Soporte para túneles simples ( IPIP, EoIP) IPv4 e IPv6
• Soporte para túnel 6to4 (IPv6 sobre red IPv4)
• VLAN: soporte para IEEE802.1q Virtual LAN, Soporte de Q-in-Q.
o http://wiki.mikrotik.com/wiki/Manual:Interface/VLAN
• VPNs basadas en MPLS.
o http://wiki.mikrotik.com/wiki/Manual:RouterOS_features#MPLS
Wireless
• Cliente y Access Point inalámbrico IEEE802.11a/b/g
• Soporte completo para IEEE802.11n
• Protocolos propietarios Nstreme y Nstreme2
• Protocolo NV2. http://wiki.mikrotik.com/wiki/Manual:Nv2
• Wireless Distribution System (WDS)
• Virtual AP
• WEP, WPA, WPA2
• Control por Lista de Acceso (Access List)
• Roaming de cliente Wireless
• WMM. http://wiki.mikrotik.com/wiki/Manual:WMM
• Protocolo HWMP+ Wireless MESH.
o http://wiki.mikrotik.com/wiki/Manual:Interface/HWMPplus
• Protocolo de ruteo wireless MME.
o http://wiki.mikrotik.com/wiki/Manual:Routing/MME
DHCP
• DHCP server por interface
• DHCP client y relay
• Arrendamiento de direcciones IP (leases) DHCP estáticas y dinámicas
• Soporte RADIUS
• Opciones personalizadas de DHCP
• Delegación de prefijo DHCPv6 (DHCPv6-PD)
• Cliente DHCPv6
HotSpot
• Acceso Plug-n-Play a la red
• Autenticación de clientes de red locales
• Contabilización de usuarios (Users Accounting)
• Soporte RADIUS para Autenticación y Contabilización
QoS
• Sistema Hierarchical Token Bucket ( HTB) QoS con CIR, MIR, burst y soporte de prioridades.
o http://wiki.mikrotik.com/wiki/Manual:HTB
• Colas Simples (Simple Queues) para implementación de QoS básico para una solución rápida y simple
• Entrega equitativa de ancho de banda al cliente en forma dinámica ( PCQ).
Academy Xperts 3
o http://wiki.mikrotik.com/wiki/Manual:PCQ
Proxy
• Servidor proxy para almacenamiento en caché de HTTP
• Proxy Transparente HTTP
• Soporte de protocolo SOCKS.
o http://wiki.mikrotik.com/wiki/Manual:IP/SOCKS
• Entradas estáticas DNS.
o http://wiki.mikrotik.com/wiki/Manual:IP/DNS
• Soporte para almacenamiento en caché en un drive separado
• Soporte para Proxy Padre (parent proxy)
• Lista de Control de Acceso (access control list)
• Lista de almacenamiento en caché (caching list)
Herramientas
• Ping, traceroute
• Test de ancho de banda (Bandwidth test), ping flood
• Packet sniffer, torch
• Telnet, ssh
• E-mail y herramientas de envío SMS
• Herramientas de ejecución de Scripts automatizados
• CALEA. http://wiki.mikrotik.com/wiki/CALEA
• Herramienta File Fetch.
o http://wiki.mikrotik.com/wiki/Manual:Tools/Fetch
• Generador avanzado de tráfico
Características adicionales
• Soporte para Samba.
o http://wiki.mikrotik.com/wiki/Manual:IP/SMB
• Soporte para OpenFlow.
o http://wiki.mikrotik.com/wiki/Manual:OpenFlow
• Bridging: spanning tree protocol (STP, RSTP), bridge firewall y MAC natting.
• Herramienta de actualización de Dynamic DNS
• NTP client/server y sincronización con sistema GPS.
o http://wiki.mikrotik.com/wiki/Manual:System/Time#SNTP_client
• Soporte para VRRP v2 y v3.
o http://wiki.mikrotik.com/wiki/Manual:Interface/VRRP
• SNMP
• M3P: MikroTik Packet Packer Protocol para enlaces Wireless y Ethernet
• MNDP: MikroTik neighbor discovery protocol, soporta CDP (Cisco discovery protocol)
• Autenticación y Contabilización RADIUS
• TFTP server. http://wiki.mikrotik.com/wiki/Manual:IP/TFTP
• Soporte para interface Sincrónica (Farsync cards only) (Se removió en la versión v5.x)
• Asincrónico: serial PPP dial-in/dial-out, dial on demand
• ISDN: dial-in/dial-out, soporte para128K bundle, Cisco HDLC, x75i, x75ui, x75bui line protocols, dial on demand
Qué hay de nuevo en la Versión 6

Novedades Generales
• Drivers y Kernel actualizados a linux-3.3.5
• Soporte inicial para OpenFlow. http://wiki.mikrotik.com/wiki/Manual:OpenFlow
• Nuevas características para pantallas táctiles LCD.
o http://wiki.mikrotik.com/wiki/Manual:LCD_TouchScreen
• Método de login mac-cookie para el HotSpot (mayormente usado en teléfonos inteligentes).
o http://wiki.mikrotik.com/wiki/Manual:Hotspot_Introduction#MAC_Cookie
• Opciones configurables del kernel en el menú /ip settings y /ipv6 settings (ip forward, filtros rp etc.)
• El timeout del ARP puede ser cambiado en /ip settings
• El Neighbor discovery puede ser deshabilitado por default en las interfaces dinámicas en el menú /ip neighbor
discovery settings
• Para habilitar/deshabilitar el descubrimiento (discovery) en la interface se debe usar el comando /ip neighbor
discovery set (interface number/name) discover=yes/no
• Muestra el last-logged-in en la lista de usuarios
• GRE soporta todos los protocolos de encapsulación, no solo IPv4 e IPv6
• La etiqueta ‘Slave’ se muestra en las interfaces que están en bridge, bonding o grupo de switch
• El cliente SSH provee la nueva propiedad output-to-file, muy útil cuando se realiza scripting.
• Soporte para API sobre TLS (SSL). http://wiki.mikrotik.com/wiki/Manual:API
Academy Xperts 4
• API se encuentra habilitado por default

• DNS reintenta las búsquedas con TCP si se reciben resultados truncados
• DNS rota los servidores únicamente en falla
• DNS cache guarda en bitácora los requerimientos de los tópicos "dns" y "packet";
• WebFig ahora soporta autenticación RADIUS (vía MS-CHAPv2).
o http://wiki.mikrotik.com/wiki/Manual:Webfig
• Se agregó un nuevo parámetros en Web Proxy: max-cache-object-size
• Se incrementó el contador de conexiones Max client/server en el Web Proxy
• Si el cliente NTP está habilitado, el log muestra la hora y fecha correctas cuando el router ha realizado un reboot
• Trunking 802.1Q con el chip de switch Atheros.
o http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features
OpenFlow: Es la primera interfaz de comunicaciones estándar definida entre las capas de control y forward de una
arquitectura SDN. Permite el acceso directo y la manipulación del plano de forward de los dispositivos de red tales como
switches y routers, tanto físicos como virtuales (basados en hypervisor)
El OpenFlow basado en tecnologías SDN, permite direccionar el consumo de ancho de banda, adaptar la red a las
necesidades cambiantes del negocio, y reducir las complejidad de las operaciones y de la administración.
https://www.opennetworking.org/sdn-resources/openflow
SDN = Software-Defined Networking. Es la separación del <plano de control> de la red del <plano de forwarding.> Un <plano
de control> controla diferentes dispositivos.
https://www.opennetworking.org/sdn-resources/sdn-definition
Mac-Cookie: es una nueva función HotSpot, diseñado para mejorar la accesibilidad de los teléfonos inteligentes,
computadoras portátiles y otros dispositivos móviles. Si tenemos activado esto podremos:
• Primer inicio de sesión correcto. Mac cookie mantiene un registro de nombre de usuario y la contraseña de la
dirección MAC si solo hay un HotSpot con tales MAC.
Aparece un nuevo Host. HotSpot chequea si hay un registro de cookies mac para la dirección y los registros.
PPP
• SSTP puede forzar una encriptación AES en lugar del RC4 por default
• El profile de PPP provee ahora los parámetros bridge-path-cost y bridge-port-priority
• Secrets muestra la fecha y hora de last-logged-out
• HotSpot y PPP ahora soportan múltiples address-lists
• Únicamente se crean 2 reglas de mangle mss para todas las interfaces PPP
Firewall
• Nuevos comparadores (matchers) de interfaces all-ether, all-wireless, all-vlan, all-ppp
• Comparador con prioridad
• Nuevas opciones en change-dscp: from-priority y from-priority-to-high-3-bits
• Nuevas acciones de mangle: snif-tzsp, snif-pc
Wireless
• Opciones de Canales Wireless: se puede crear una lista de canales personalizados.
o http://wiki.mikrotik.com/wiki/Manual:Wireless_Advanced_Channels
DHCP
• El cliente DHCP ahora soporta opciones personalizadas
• El cliente DHCP v4 ahora tiene la opción special-classless para el parámetro add-default-route
• Se puede agregar la opción (Option 82) de información del agente relay.
o http://wiki.mikrotik.com/wiki/Manual:IP/DHCP_Relay
• Soporte de la opción DHCPv6 DNS
• Soporte de DHCPv6 Relay
• Soporte de ruta enmarcada DHCP server RADIUS
• Opción de configuración por entrega de IP (lease) DHCP
IPsec
• Se mejoró significativamente la configuración Road Warrior cuando se usa con el soporte Mode Configuration.
• Soporte Mode Conf (unity split include, address pools, DNS)
• IPsec peer puede ser configurado como pasivo: no iniciará una negociación ISAKMP SA
• Soporte Xauth ( xauth PSK e Hybrid RSA)
• Plantilla de políticas: permite generar una política solo si src/dst address, protocol y proposal coinciden con la
plantilla
• Peer groups
• Se puede usar Multiple peers con la misma dirección IP.
• Para los peers con un sistema especificado de dirección IP completo se auto-iniciará una negociación ISAKMP SA.
Academy Xperts 5
• generate-policy puede ahora tener un valor port-strict que usará el puerto del peer's proposal
• La dirección origen (source address) de la fase 1 se puede ahora configurar
Certificados
• Las claves CA (CA keys) ya no son almacenados, cada operación CA ahora requiere un CA passphrase válido. Se
usa el parámetro set-ca-passphrase para que el servidor SCEP almacene la clave CA (CA key) en forma
encriptada
• Para los certificados marcados como trusted=yes, CRL se actualizará automáticamente una vez por hora desde
las fuentes HTTP
• IPsec y SSTP respetan los CRLs
• Soporte para server/cliente SCEP
• El administrador de certificados puede ahora emitir certificados firmados por sí mismo.
Ruteo (Routing)
• Nuevo parámetro use-dn en OSPF. Obliga a ignorar el DN bit en los LSAs.
• Se cambió la lógica de propagación BGP MED. Ahora se descarta cuando se envía una ruta con non-empty
AS_PATH a un par externo
• Las rutas conectadas se vuelven inactivas cuando la interface se cae. Esto significa que los protocolos de ruteo
dinámico detendrán la distribución de las rutas conectadas que no tengan la etiqueta Active.
Colas (Queues)
• Se mejoró el desempeño del uso de las colas simpes (simple queues)
• Se mejoró la administración de las colas (/queue simple y /queue tree), permitiendo el manejo de decenas de
miles de colas
• Las entradas de /queue tree con parent=global se ejecutan en forma separada de las /queue simple y antes
de las /queue simple
• Se crean por default los tipos de encolamiento (queue types): pcq-download-default y pcq-upload-default
• Las colas simples (simple queues) tienen configuraciones de prioridad separados para download/upload/total
• Los padres global-in, global-out, global-total en /queue tree se reemplazan con global que es el equivalente a global-
total en la versión 5
• Las colas simples se ejecutan en un lugar diferente: al final de los chains postrouting y local-in
• Los parámetros target-addresses e interface en colas simples se unen en un solo parámetro destino, ahora
soporta múltiples interfaces para una sola cola
• El parámetro dst-address en las colas simples se cambia a dst y ahora soporta una interface como destino
Exportar una configuración compacta
• Ahora por default la configuración se exporta en modo compacto
• Para realizar un export completo de la configuración se debe usar el parámetro verbose
/export verbose file=myConfig
Herramientas
• Soporte FastPath. http://wiki.mikrotik.com/wiki/Manual:Fast_Path
• Se renombró en e-mail el tls a start-tls y se agregó como un parámetro configurable
• La herramienta Fetch ahora tiene soporte para HTTPS.
o http://wiki.mikrotik.com/wiki/Manual:Tools/Fetch
• Se agregó soporte de la cabecera IPv6 al generador de tráfico(traffic generator)
• Reproducción de archivos pcap dentro de la red usando el nuevo comando trafficgen inject-pcap
• La NAND Flash puede ser particionada en los routerboards y se pueden instalar versiones separadas de RouterOS
en cada una de las particiones.
o http://wiki.mikrotik.com/wiki/Manual:Partitions
Licencias RouterOS
Los dispositivos RouterBOARD vienen pre-instalados con una licencia RouterOS. Esto significa que si compra un dispositivo
RouterBOARD no se debe hacer nada respecto a la licencia.
En cambio, cuando se trabaja con sistemas X86 (por ejemplo PCs), ahí si se necesita obtener una clave de licencia (license
key).
La clave de licencia (license key) es un bloque de símbolos que necesitan copiarse desde su cuenta en mikrotik.com, o
desde el email que usted recibe.
Ejemplo de License Key recibido por email
License key for your router,
-----BEGIN MIKROTIK SOFTWARE KEY------------
LlCoU6wx6QFaGCbTieJCgAcloa4cPrF776F/9=Dxk+0+vZ39KBonqfyXrfBdrng3ajK/zFGr8KtgAcU
gcwHLNA==
-----END MIKROTIK SOFTWARE KEY--------------
Ejemplo de License Key desde la cuenta en mikrotik.com
Academy Xperts 6
Se puede copiar la clave en cualquier lugar en la ventana terminal, o haciendo click en “Paste key” en el menú de Licencias
de Winbox. Es necesario/requerido hacer un reboot para que la clave (key) tenga efecto (se active).
El esquema de licenciamiento de RouterOS se basa en el número de SoftwareID que está asociado al medio de
almacenamiento (HDD, NAND).
La información también se puede leer desde la consola del CLI
/system license print
software-id: 5ATP-QYIX
nlevel: 4
features:
Niveles de Licencias
Tenemos 6 tipos de licencias cuyas principales diferencias se muestran en la tabla a continuación:
• Nivel 0 (L0) : Demo (24 Horas)
• Nivel 1 (L1) : Free (Muy limitada)
• Nivel 3 (L3) : Es una licencia solo para estaciones Wireless o WISP CPE (Cliente WiFi, cliente o CPE). Para
arquitecturas x86 la licencia Nivel 3 no pude ser adquirida de forma individual. Si se desea ordenar más de 100
licencias L3, se debe escribir un correo a sales@mikrotik.com
• Nivel 4 (L4) : WISP (Requeridos para un Access Point)
• Nivel 5 (L5) : WISP (Mas Capacidades)
• Nivel 6 (L6) : Controlador ( Capacidades ilimitadas)
Datos importantes sobre las Licencias:

• El nivel de licencia determina las capacidades permitidas en un Router
• RouterBOARD viene con una licencia pre-instalada, la misma que varía dependiendo del tipo de arquitectura del
RouterBOARD.
• Para un sistema X86 deben adquirirse las licencias. Una licencia es válida solo para un equipo
• La licencia Nivel 2 (L2) fue una licencia transicional entre el formato de licencia old-legacy (pre v2.8). Estas licencias
ya no están disponibles. Si usted posee este tipo de licencia L2, la misma trabajará, pero al hacer el upgrade usted
tendrá que comprar una nueva licencia.
Academy Xperts 7
• El protocolo dinámico BGP está incluido en la Licencia Nivel 3 (L3) únicamente para los RouterBOARDs. Para
activar BGP en otros dispositivos se necesitará una licencia L4 o superior.
• Todas las licencias:
o Nunca expiran
o Incluyen soporte gratis vía email por 15 a 30 días
o Pueden usar un número ilimitado de interfaces
o Las Licencias únicamente son válidas para una sola instalación
o Las licencias vienen con una capacidad de upgrade de software ilimitado
Realizando un Upgrade desde RouterOS v3 (2009)

*** Este tópico se desarrollará en la próxima versión del manual
Usos Típicos:
• Nivel 3: CPE, Clientes Wireless
• Nivel 4: WISP
• Nivel 5: Amplio WISP
• Nivel 6: infraestructuras internas ISP (Cloud Core)
Cambio de Niveles de Licencias

• No se puede actualizar el nivel de licencia. Si se desea usar un nivel de Licencia diferente, entonces se debe
comprar el nivel apropiado/requerido. Se debe tener mucho cuidado cuando se compre la licencia, ya que se debe
elegir el nivel de licenciamiento adecuado.
• Por qué no se puede cambiar el nivel de licencia (hacer upgrade)? Un ejemplo práctico sería actualizar el motor de
un vehículo de 2L a 4L, para lo cual se requiere pagar la diferencia. Por este motivo no se puede cambiar de niveles
de licenciamiento fácilmente. Esta es una política usada por muchas compañías de software.
Uso de las Licencias

Se puede formatear o hacer un re-flash al drive?
Formatear, y hacer una re-imagen del drive con herramientas que no son MikroTik (por ejemplo DD y Fdisk) destruirán su
licencia. Se debe actuar con cautela y contactar al soporte de MikroTik antes de hacer esto. No se recomienda ya que el
soporte de MikroTik podría negar su requerimiento para reemplazar una licencia. Por este motivo MikroTik provee las
herramienta Netinstall o la instalación por CD.
Con Cuántas computadoras se puede usar la licencia?
Al mismo tiempo, la licencia de RouterOS se puede usar únicamente en un solo sistema. La licencia está ligada al HDD
(disco duro) en donde se instala. Sin embargo se puede mover el HDD a otro sistema de cómputo. No se puede mover la
licencia a otro HDD. Si se formatea o se sobre escribe el HDD con la licencia RouterOS, se borrará todo el contenido del
drive, y se deberá adquirir una nueva licencia. Si de forma accidental se removió la licencia, debe contactar al equipo de
soporte para ayuda.
Se puede usar el HDD para algún a actividad diferente que RouterOS?
No se puede
Se puede mover la licencia a otro HDD?
Si su HDD actual se destruye, o ya no puede ser usado, se puede transferir la licencia a otro HDD. Para ejecutar esta
actividad, se deberá solicitar una clave (key) de reemplazo que costará 10 USD.
Qué es la clave de reemplazo?
Es una clave especial que es emitida por el Equipo de Soporte MikroTik si es que usted accidentalmente perdió la licencia.
El soporte de MikroTik decide si es o no su culpa de forma directa. Esta clave de reemplazo cuesta 10 USD y tiene las
mismas características que la que perdió. Es posible que antes de que el equipo de soporte emita la clave, pueda pedirle
prueba de que el viejo drive en verdad en verdad está dañado. En algunos caso esto puede implicar que deba enviar el drive
muerto a MikroTik.
Nota: Se puede emitir únicamente una clave de reemplazo por cada clave original. No se puede usar el procedimiento de
reemplazo de clave dos veces para una sola clave. En estos casos se debe adquirir una nueva key.
Para una revisión más detallada sobre Licenciamiento, le recomendamos visitar el siguiente link:
http://wiki.mikrotik.com/wiki/Manual:License
Qué es RouterBOARD?
Es una familia de soluciones de hardware con circuitos diseñados por MikroTik para responder a las necesidades de los
clientes a nivel mundial. Todas las placas RouterBOARD operan con el sistema operativo RouterOS.
Esta división de hardware se caracteriza por incluir su sistema operativo RouterOS y actualizaciones de por vida. Estos
dispositivos tienen la ventaja de tener una excelente relación costo/beneficio comparados con otras soluciones en el
mercado.
Academy Xperts 8
Arquitecturas Soportadas:
Soluciones Integradas
• Estos productos se proporcionan completos con carcasas y adaptadores de corriente.
• Listo para usar y pre configurados con la funcionalidad más básica.
• Todo lo que necesitas hacer es conectarlo y conectarse a Internet o a una red corporativa.
RouterBOARD solamente
Son pequeñas placas madres que se venden "tal cual". Se debe elegir el modelo y solicitar adicionalmente, adaptador de
corriente y las interfaces, todo esto por separado. Es ideal para el montaje de sistemas/implementaciones propietarias.
Enclosures
Son cubiertas para interiores/exteriores, sirven para albergar los dispositivos RouterBOARD. La Selección se realiza en base
a:
• Localización prevista
• El modelo del RouterBOARD
• El tipo de conexiones necesarias (USB, antenas, etc.).
Interfaces
• Módulos Ethernet, fibra SFPs, o tarjetas de radio inalámbricas para ampliar la funcionalidad de los dispositivos
RouterBOARD y PCs con RouterOS.
• Una vez más, la selección se basa según las necesidades.
Accesorios
Abarca toda la gama de dispositivos adicionales para los productos MikroTik, tales como: adaptadores de corriente, soportes,
antenas e inyectores PoE.
Programa Made For MikroTik (MFM)

Este programa consta de dos partes: “Mikrotik Certified Integrators” y “Mikrotik Certified Accessories”
http://www.mikrotik.com/mfm
Accesorios Certificados MikroTik (MikroTik Certified Accesories)
Son hechos por empresas homologadas de MikroTik, y que hacen los accesorios específicamente para productos MikroTik.
Esto incluye productos compatibles con RouterBOARD, antenas externas y otros productos.
Integrador Certificado MikroTik (MikroTik Certified Integrator)
Son empresas que hacen soluciones basados en un RouterBOARD MikroTik y RouterOS. Estos productos incluyen en el
ensamblado de dispositivos CPE/AP, preinstalación de antenas integradas y soluciones para montaje en rack con RouterOS.
Por qué trabajar con un router integrado?

Con este tipo de solución se puede atender muchas necesidades.
• Los routers integrados proveen poca o ninguna expansión, ya que vienen con una configuración de hardware fija
(WiFi, puertos ethernet, memorias on-board, puertos USB)
• Esta es una solución simple, pero muy sólida para muchas necesidades.
Nomenclatura de los productos RouterBOARD

Los nombres de los routers son elegidos según características, y basados en una nomenclatura establecida. La abreviatura
para RouterBOARD es RB
Para complementar información se puede ir al siguiente link http://wiki.mikrotik.com/wiki/Manual:Product_Naming
Formato para la nomenclatura de los productos:
Academy Xperts 9
Nombre de la tarjeta (board name)

Actualmente existen 3 tipos de nombres de tarjetas:
• Número de 3 dígitos
o El primer dígito representa la serie
o El segundo dígito indica el número de interfaces cabeladas potenciales (Ethernet, SFP, SFP+)
o El tercer dígito indica el número de interfaces wireless potenciales (tarjetas embebidas, y slots mPCI y
mPCIe)
• Usando una palabra (word).- Los nombres que actualmente se usan son:
o OmniTIK
o Groove
o SXT
o SEXTANT
o METAL
o Si la tarjeta (board) sufre un cambio fundamental en el hardware (como por ejemplo un CPU
completamente diferente) se agregará una revisión de versión al final
• Nombres excepcionales.- Las tarjetas 600, 800, 1000, 1100, 1200, 2011 representan de forma independiente las
series, o tienen más de 9 interfaces cableadas, por lo que los nombres fueron simplificados a cientos totales o el
año de desarrollo.
Características de la Tarjeta
Las características de la tarjeta siguen a continuación de la sección Nombre de la Tarjeta (sin espacios o guiones), excepto
cuando el nombre de la tarjeta es una palabra. Entonces las carácterísticas de la tarjeta se separan por un espacio. Las
características que actualmente se usan son las siguientes. Están listadas en el orden en que son mayormente usadas
• U : USB
• P : Power Injection con Controlador
• i : Puerto simple Power Injector sin Controlador
• A : Más memoria (y usualmente el nivel de licencia más alto)
• H : Un CPU más potente
• G : Gigabit (puede incluir U, A, H si no se usa con L)
• L : Edición Light (ligera)
• S : Puerto SFP (uso legacy – dispositivos SwitchOS)
• e : Tarjeta de extensión PCIe
• x<N> : Donde N es el número de núcleos (core) de CPU (x2, x9, x16, x36, x72, etc.)
Detalles de la tarjeta Wireless Embebida
Cuando el board tiene una tarjeta wireless embebida, sus características se representan en el siguiente formato:
• Banda (band)
o 5 : 5 GHz
o 2 : 2.4 GHz
o 52 : Dual band. 5 GHz y 2.4 GHz
• Potencia por chain (power per chain)
o (not used) - Normal - <23dBm a 6Mbps 802.11a; <24dBm a 6Mbps 802.11g
o H – High : 23-24dBm a 6Mbps 802.11a; 24-27dBm a 6Mbps 802.11g
o HP - High Power : 25-26dBm a 6Mbps 802.11a; 28-29dBm a 6Mbps 802.11g
o SHP - Super High Power : 27+dBm a 6Mbps 802.11a; 30+dBm a 6Mbps 802.11g
• Protocolo (protocol)
o (not used) : Para tarjetas únicamente con soporte 802.11a/b/g
o n : para tarjetas con soporte 802.11n
o ac : para tarjetas con soporte 802.11ac
• Número de Chains (number_of_chains)
o (not used) : single chain
o D : dual chain
o T : triple chain
Tipo de Conector (connector type)
• (not used) : únicamente una opción de conector en ese modelo
• MMCX : conector de tipo MMCX
• u.FL : conector de tipo u.FL
Tipo de Enclosure (enclosure type)
Academy Xperts 10
• (not used) : Tipo de enclosure principal para un producto

• BU - board unit (no enclosure) : Para situaciones cuando se requiere la opción board-only, pero el producto principal
ya viene en el case
• RM : enclosure para montar en rack (rack-mount enclosure)
• IN : enclosure para interiores (indoor enclosure)
• OUT : enclosure para exteriores (outdoor enclosure)
• SA : enclosure para antena sectorial (sector antenna enclosure)
• HG : enclosure para antena de alta ganancia (high gain antenna enclosure)
• EM : memoria extendida (extended memory)
Ejemplo: Decodificar la siguiente nomenclatura RB912UAG-5HPnD
• RB : RouterBOARD
• 912 : Board de la serie 9na, con 1 interface cableada (Ethernet) y 2 interfaces wireless (embebida y miniPCIe)
• UAG : Tiene puerto USB, más memoria y puerto Gigabit Ethernet
• 5HPnD : Tiene una tarjeta embebida de 5GHz, de alta potencia, dual chain, con soporte 80211n.
Nomenclatura de los productos CloudCoreRouter

El formato para la nomenclatura de estos productos es la siguiente:
Número de 4 dígitos
• El primer dígito representa la serie
• El segundo dígito es reservado
• El tercero y cuarto dígito indican el número total de núcleos por CPU en el dispositivo
Lista de Puertos
• <n>G : número de puertos Gigabit Ethernet
• <n>S : número de puertos SFP
• <n>S+ : número de puertos SFP+
ya viene en el case
Nomenclatura de los productos CloudCoreSwitch

El formato para la nomenclatura de estos productos es la siguiente:
Número de 3 dígitos
• El primer dígito representa la serie
• El segundo y tercer dígito indican el número de interfaces cableadas (Ethernet, SFP, SFP+)
Lista de Puertos
• <n>G : número de puertos Gigabit Ethernet
• <n>S : número de puertos SFP
• <n>S+ : número de puertos SFP+
Detalles de la tarjeta Wireless Embebida
Cuando el board tiene una tarjeta wireless embebida, sus características se representan en el siguiente formato:
• Banda (band)
o 5 : 5 GHz
o 2 : 2.4 GHz
o 52 : Dual band. 5 GHz y 2.4 GHz
• Potencia por chain (power per chain)
Academy Xperts 11
o (not used) - Normal - <23dBm a 6Mbps 802.11a; <24dBm a 6Mbps 802.11g

o H – High : 23-24dBm a 6Mbps 802.11a; 24-27dBm a 6Mbps 802.11g
o HP - High Power : 25-26dBm a 6Mbps 802.11a; 28-29dBm a 6Mbps 802.11g
o SHP - Super High Power : 27+dBm a 6Mbps 802.11a; 30+dBm a 6Mbps 802.11g
• Protocolo (protocol)
o (not used) : Para tarjetas únicamente con soporte 802.11a/b/g
o n : para tarjetas con soporte 802.11n
o ac : para tarjetas con soporte 802.11ac
• Número de Chains (number_of_chains)
o (not used) : single chain
o D : dual chain
o T : triple chain
ya viene en el case
Por qué construir su propio Router?
Puede ayudar a solucionar una gran variedad de necesidades especificas que desea cubrir. Dependiendo del board que
use, puede tener muchas ranuras de Expansión muy útiles.
• Gran variedad de complementos.
• Configuración personalizable.
Academy Xperts 12
RouterOS v6.35.4.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 2: Quick Set
Capítulo 2: Quick Set

Configuración Básica, WebFig, Quick Set, WinBox, Actualización Router, Paquetes
Configuración Básica o dejar el router en Blanco?

• Usted puede o no tener una configuración básica cuando recién ha instalado el equipo, debido a que el equipo
provee una configuración inicial, por defecto, para permitirle usar el equipo sin previa configuración definida por el
usuario.
• Usted puede optar por no tomar la configuración básica por defecto, o dejar en blanco los equipos para poderlo
configurar a gusto del cliente, usuario o administrador.
• Puede visitar el siguiente link para revisar cómo se comportará el dispositivo:
o http://wiki.mikrotik.com/wiki/Manual:Default_Configurations
Configuración Básica
Dependiendo del hardware, se tendrá una configuración por defecto que puede incluir:
• Puertos WAN
• Puertos LAN
• DHCP client (WAN) y servidor (LAN)
• Reglas básicas de Firewall
• Reglas NAT
• Direccionamiento LAN IP por defecto
Al momento de tener acceso por medio de WinBox, podrá revisar la configuración por defecto por medio de una ventana
emergente inicial, que consta de opciones de visualización de configuración o de borrar configuraciones y dejar en blanco.
En cualquier momento usted puede observar la configuración por defecto, con el comando:
/system default-configuration print
• Al conectar por primera vez con WinBox, haga clic en OK. Después se revisará la opción: remove-configuration
• El router tiene la configuración básica por defecto que la muestra en una ventana
Cuando el equipo es nuevo viene con varias configuraciones por defecto, entre las que sobresalen las siguientes:
• Se crea un bridge (bridge1) por defecto entre wlan1 y ether2.
• A este bridge1 se le asigna la dirección IP 192.168.88.1/24
• Se crea un dhcp-server en bridge1 y el rango del pool es de 192.168.88.2 a 192.168.88.254
• Se configuran reglas de /ip firewall fitler y /ip firewall nat que impiden que se pueda acceder al router
por ether1
• Las interfaces ether2, ether3, ether4 y ether5 están configuradas en switch
Configuración en Blanco
Puede ser utilizado en situaciones en las que no se requiere la configuración básica por defecto.
• No hay necesidad de Reglas de firewall por defecto.
• No hay necesidad de Reglas de NAT por defecto
Los pasos mínimos para configurar un acceso básico a Internet (si el router no tiene una configuración básica por defecto)
• Direcciones IP de LAN
• Puerta de enlace predeterminada y servidor DNS
• Dirección IP de la WAN
• Regla de NAT (enmascaramiento)
• Cliente SNTP y la zona horaria
Ingresando al Router por Primera vez

Dentro de las formas que tenemos para ingresar al router están las siguientes:
• WebFig (Web Browser)
Academy Xperts 13
• WinBox - http://www.mikrotik.com/download
• SSH
• Telnet
• Emulador de Terminal a través de conexión serial o puerto de consola (RS-232)
WebFig - Ingreso por Web Browser

Este método de ingreso puede ser usado cuando el router ya tiene algunos parámetros previamente configurados.
Proporciona una manera intuitiva de conectarse a un router/dispositivo/PC (que tiene instalado RouterOS) únicamente
colocando en el navegador web la dirección IP asignada al router. Por defecto se utiliza 192.168.88.1
WebFig es un utilitario de RouterOS basado en Web que permite monitorear, configurar y hacer labores de troubleshooting
en el router. Está diseñado como una alternatica al WinBox ya que ambos tienen similares diseños de menú de acceso a las
opciones de RouterOS.
WebFig se puede acceder directamente desde el router, esto quiere decir que no es necesario instalar ningún software
adicional, tan solo tener un Web Browser con soporte JavaScript.
WebFig es una plataforma independiente, por lo que puede ser usado directamente desde varios dispositivos móviles sin la
necesidad del desarrollo de software específico.
Algunas de las tareas que se pueden ejecutar con WebFig son:
• Configuración – Ver y editar la configuración actual
• Monitoreo – Mostrar el estatus actual del router, información de ruteo, estadísticas de interface, registros (logs), etc.
• Troubleshooting – RouterOS provee muchas herramientas para realizar troubleshooting (como ping, traceroute,
packet sniffers, traffic generators, y otras) y todas las que puede ser usadas con WebFig.
El servicio http de RouterOS puede escuchar también en IPv6. Para acceso vía browser debe ingresar la dirección IPv6, por
ejemplo 2001:db8:1::4
Si se requiere conectar a la dirección local, se debe recordar especificar el nombre de la interface o el ID de la interface en
Windows. Por ejemplo fe80::9f94:9396%ether1
Pasos para ingresar por Web browser:

• Conecte al router con un cable Ethernet y posteriormente a su tarjeta de red.
• Abra un navegador (Mozilla, Chrome, Internet Explorer, etc.)
• Escriba en el browser la dirección IP por default: 192.168.88.1
• Si se le solicita, inicie sesión. Nombre de usuario es admin y la contraseña está en blanco por defecto.
Al momento de ingresar verá lo siguiente:
Academy Xperts 14
Skins
Esta herramienta permite crear interfaces má amigables par ael usuario. No puede ser considerado como una herramienta
de seguridad total, ya que si el usuario posee los suficientes derechos de acceso, podrá acceder a los recursos ocultos.
Diseño de Skins
Si el usuario tiene los permisos adecuados (es decir que el grupo tiene permisos de edición) entonces tiene acceso a botón
de Design Skin (Diseño de Skin). Los posibles operadores son:
• Hide menu – Ocutará todos los items y sus sub menús
• Hide submenu – Ocultará únicamente ciertos sub menús
• Hide tabs – Si los detalles de sub menú tienen varias pestañas, es posible ocultarlas por esta vía
• Rename menus, items – Hacer que ciertas características sean más obvias, o traducirlas a algún lenguaje
• Add note to to item (in detail view) – Agregar comentarios
• Make item read-only (in detail view) – Para campos muy sensibles en seguridad par ael usuario, los cuales
pueden ser puestos en modo de “solo lectura”
• Hide flags (en modo de vista detallada) – Mientras es posible únicamente ocultar la bandera en modo detallado,
esta bandera no será visible en la vista de lista y en modo detallado
• Add limits for field - (en modo de vista detallada) Donde está presente muestra la lista de tiempos que están
separados por coma o por newline, de valores permitidos:
§ number interval '..' por ejemplo: 1..10 mostrará los valores para los campos con números, por
ejemplo MTU size.
§ field prefix (Text fields, MAC address, set fields, combo-boxes). Si se requiere limitar la
longitud del prefijo, se debe agregar el símbolo “$” al final
• Add Tab – Se agregará una cinta gris con una etiqueta editable que separará los campos. La cinta se añadirá antes
de campo
• Add Separator – Agregará un campo horizontal de baja altura antes del campo
Quickset
Es un menú especial de configuración que permite prepara el router a través de unos pocos clicks.
Está disponible en WinBox y WebFig para:
• Dispositivos CPE (Licencia Nivel 3, una interface wireless, una interface ethernet)
• Dispositivos AP a partir de RouterOS v5.15 (Licencia Nivel 4, una interface wireless, más interfaces ethernet)
Academy Xperts 15
WinBox
WinBox es un utilitario propietario de MikroTik que posee una rápida y simple interface GUI que permite el acceso a los
routers con RouterOS instalado.
Es un programa binario Win32, pero también puede correr en Linux y Mac OSX usando wine
Casi todas las funciones de RouterOS están disponibles en WinBox, sin embargo algunas funciones avanzadas y
configuraciones críticas únicamente están disponibles desde consola. Por ejemplo los cambios de las direcciones MAC en
una interface.
El WinBox se puede descargar desde el sitio web de MikroTik o del router.
o http://www.mikrotik.com/download
Se puede para acceder al router a través de IP (capa 3 OSI) o MAC (capa 2 OSI).
Utilizando Winbox
• Haga clic en el ícono de WinBox, para abrir la aplicación y darle click en refresh.
• Escriba la dirección IP 192.168.88.1
• Haga clic en Conectar
Academy Xperts 16
• Esperar a que se cargue la interfaz completa:

• Haga clic en OK
También se puede ingresar el número del puerto después de la dirección IP, separándolo con “:”, como por ejemplo
192.168.88.1:9999
El puerto se puede cambiar en el menú de Servicios de RouterOS
Importante: Se recomienda utilizar la dirección IP siempre que sea posible. Las sesiones MAC utilizan broadcast de red y no
es 100% confiable.
Se puede utilizar el “discovery neighbor” para listar los routers disponibles. Debe hacer click en el botón “Neighbor”
Si se hace click en la dirección IP entonces se realiza la conexión por Capa 3 (Layer 3). Si se hace click en la dirección MAC
entonces se realiza la conexión por Capa 2 (Layer 2).
Importante: La opción Neighbor Discovery mostrará también los dispositivos que no son compatibles con WinBox, como por
ejemplo los routers Cisco y cualquier otro dispositivo que utilice el protocolo CDP (Cisco Discovery Protocol).
Home AP Usage
• Local Network
• Internet
o Automático
o Estático
o PPPoE
• Wireless, Guest Wireless
• WPS
• VPN Access (PPTP)
• DynamicDNS (ipcloud)
Academy Xperts 17
Escenario
Local Network
Configurar Red LAN para poder ingresar al Router MikroTik por medio de capa 3.
Ingresar por Capa 2 es un poco inestable
Luego Configurar una dirección IP en su PC, que este dentro del mismo segmento de Red
Internet
Tenemos 3 opciones por las cuales podemos configurar la salida a internet.
• Estático
• Automático
• PPPoE
Internet Automático
La opción Automático hará lo siguiente:
• Creara un DHCP-Client en la interfaz WAN (ether1)
• Configura DNS
• Configura Ruta por defecto
Academy Xperts 18
Verificar
• New Terminal: ping 8.8.8.8
• New Terminal: ping google.com
Internet Estático
Con la opción Internet – Estático debemos manualmente:
• Configurar una dirección WAN
• Configurar DNS
• Configurar Ruta por defecto
Verificar
• New Terminal: ping 8.8.8.8
• New Terminal: ping google.com
Internet PPPoE
Con la opción internet – PPPoE nosotros:
• Nos conectamos a un servidor PPPoE
• Nos provee una conexión sobre capa 2
• Nos administra direccionamiento WAN automáticamente
• Nos configura ruta por defecto
Academy Xperts 19
Wireless
La opción Wireless nos permite configurar una Red Wi-Fi de una manera mas optima, permitiendo la capacidad de elegir en
que banda va a trabajar y con que estándar va a manejar
Nos permite configurar un clave de seguridad
Modifica el Security-profile por default y configura la clave generada anteriormente y con los métodos de autenticación y
encriptación mas seguros
Los usuarios que se conectan a la red Wireless estarán dentro del mismo segmento de Red LAN
Wireless Guest
La opción Wireless – Guest creara:
• Una Red Wi-Fi secundaria para los invitados
• Solo hace crear un AP-Virtual en la tarjeta Wireless
• Los clientes que se conectan a esta red estarán dentro del mismo segmento de red LAN
WPS
Permite por 2 minutos a equipos clientes que soporten WPS conectarse a la red sin la necesidad de ingresar la contraseña
de la Red Wi-Fi
Academy Xperts 20
Clientes WPS
VPN Access – PPTP

Esta opción nos permite crear una VPN para que desde cualquier ubicación geográfica nos podamos conectar de manera
segura a toda nuestra Red LAN.
Siempre y cuando nuestro Router tenga configurada una dirección publica.
DynamicDNS – IP Clud
A partir de RouterOS v6.14 ofrece un servicio de nombres DNS dinámicos para dispositivos RouterBoard.
Esto significa que el dispositivo puede obtener automáticamente un nombre de dominio de trabajo, esto es útil si cambia de
dirección IP a menudo, y que siempre quieren saber como conectarse a su Router.
CPE Usage
Configuración
• Router
• Bridge
Wireless
Academy Xperts 21
Configuración Modo Router

Modo Router te permite conectarte a una Red Wi-Fi y obtener direccionamiento IP de forma: automática, estática o PPPoE
Para luego poder configurar una Red LAN
Wireless
Wireless Network
Local Network
Configuración Modo Bridge

Te va a permitir pasar el direccionamiento IP del AP a las red LAN del equipo CPE
Academy Xperts 22
Release de RouterOS
• Bugfix Only – Correciones, No hay nuevas Caracteristicas
• Current – Las mismas correciones + Nuesvas Caracteristicas
• Release Candidate – Proximo Release en que se esta trabajando
Actualizando el router
Cuando realizar una Actualización
Si el router MikroTik se encuentra desactualizado, podemos realizar en cualquier momento la actualización siempre y cuando
intentemos mejorar o corregir lo siguiente:
• Corregir un error conocido.
• Cuando se necesita una nueva característica.
• Mejora del rendimiento.
NOTA: Leer la lista de cambios antes de realizar un Upgrade, en especial si tiene una versión inferior a la v6.
http://wiki.mikrotik.com/wiki/Manual:RouterOS6_news
El Procedimiento
• Se requiere una planificación.
o Los pasos posiblemente tengan que hacerse en un orden preciso y con planificación previa.
• Se requiere pruebas ...
o Antes de que ponga en acción la nueva actualización, es necesario realizar pruebas en ambientes
controlados, o sino realizar un backup de la configuración anterior, como medida de contingencia en caso
de que la nueva actualización no funcione como se espera.
• Recomendaciones: Si el dispositivo funciona correctamente no se recomienda realizar un upgrade, de preferencia
mantenerse con la configuración anterior.
Antes de realizar una actualización
Es importante saber la arquitectura soportada (mipsbe, ppc, x86, mipsle, tile) en la cual se va a realizar la actualización.
Winbox indica la arquitectura del equipo.
Debe conocer qué ficheros se necesitan:

• NPK: paquete de actualización de RouterOS (siempre que se realiza un upgrade)
• ZIP: Paquetes adicionales (sobre la base de las necesidades)
Academy Xperts 23
• Verificar los Cambios: proceso de verificación post-actualización que valida el cambio efectuado en su dispositivo y
el correcto funcionamiento (siempre que se realiza un upgrade)
Cómo hacer un Upgrade

Existen tres maneras
• Descargar archivos y copiar en el router
• Buscar actualizaciones (System -> Packages)
• Actualizaciones automáticas (System -> Automatic Updates)
Se sugiere mantener siempre actualizado su RouterOS para mejor funcionamiento ya que siempre los desarrolladores están
añadiendo nuevas funciones y mejorando el rendimiento y la estabilidad mediante la liberación de actualizaciones.
Requisitos y sugerencias
Cuando se utiliza un dispositivo RouterBOARD, siempre se sugiere actualizar el RouterBoot bootloader, después ya se
podrá actualizar el RouterOS. Para hacer esto, ejecutar el comando
/system routerboard upgrade
Descargando los archivos
Copiar los archivos en el router por medio de la ventana File. Por ejemplo:
• routeros-mipsbe-6-28.npk
• ntp-6.28-mipsbe.npk
• Reiniciar el equipo /system reboot
• Comprobar que se realizó la actualización
Para realizar este proceso lo principal que debemos hacer es tener descargado los paquetes de actualización que
necesitamos.
• Primer paso es visitar la web: http://www.mikrotik.com y nos dirigiremos a la página de descarga (downloads).
• Una recomendación es descargar paquetes combinados en vez de solo la versión que desea, ya que en estos
paquetes combinados, vendrán con todas las funciones incluidas, tales como, paquetes adicionales para la
actualización requerida.
Buscar actualizaciones
• A través del menú System / Packages
• Presionar el botón Ckeck for Updates a continuación Download & Upgrade
• Luego el equipo se reiniciará automáticamente
• Verificamos la instalación de los paquetes y el estado del router
Academy Xperts 24
Desde el lanzamiento del RouterOS v5.21, se añadió la actualización automática. Para actualizar la versión de RouterOS,
todo lo que se necesita hacer es hacer clic en un botón Check For Updates. Esta característica está disponible en la línea
de comandos, Winbox GUI, Webfig GUI y QuickSet.
La función de actualización automática se conecta a los servidores de descarga MikroTik, y comprueba si hay una nueva
versión de RouterOS para su dispositivo.
En caso afirmativo, se muestra una lista de cambios, y el botón de actualización se mostrará. Al hacer clic en el botón
Actualizar, los paquetes de software se descargarán automáticamente, y el dispositivo se reiniciará. Incluso si usted tiene un
sistema con paquetes personalizados instalados, solo los paquetes que usted desea tener en su equipo se descargarán. El
proceso es fácil y rápido, con el uso de los servidores FTP.
Actualización automática
• Copie los archivos requeridos en uno de los routers para que sirva como fuente del archivo de actualización.
• Configurar todos los router para que apunten hacia el router interno
Objetivos
• Hacer un router como punto central de la red con las actualizaciones, que actualizará el RouterOS en otros routers.
• Subir los paquetes RouterOS necesarios para este router.
• Mostrar los paquetes disponibles
• Se selecciona y se descarga los paquetes deseados
• Reiniciar y luego verificar el estado del router
• Comprobar la versión actual
[admin@Mikrotik] > /system RouterBOARD print
RouterBoard: yes
Model: 951Ui-2HnD
Serial-number: 458802555182
Current-firmware: 3.18
Upgrade-firmware: 3.18
RouterBoot firmware Upgrade

Es una de las opciones más rápidas y seguras para realizar una actualización por medio de línea de comando utilizando el
software de Winbox.
Actualizar si es necesario (esto es un ejemplo):
/system RouterBoard Upgrade
Do you really want to Upgrade firmware? [y/n]:
Yes
Echo: system, info, critical firmware Upgrade successfully, please reboot for changes to take effect!
Reboot, yes? [y/N]:
Paquetes de RouterOS
• advanced-tools (mipsle, mipsbe, ppc, x86) – herramientas avanzadas de. netwatch, ip-scan, sms tool, wake-on-
LAN
• dhcp (mipsle, mipsbe, ppc, x86) – client y server DHCP (Dynamic Host Control Protocol)
• hotspot (mipsle, mipsbe, ppc, x86) – servidor de portal cautivo HotSpot para administración de usuarios
• ipv6 (mipsle, mipsbe, ppc, x86) – soporte de direccionamiento IPv6
• mpls (mipsle, mipsbe, ppc, x86) – soporte de MPLS (Multi Protocol Labels Switching)
• ppp (mipsle, mipsbe, ppc, x86) – cliente MlPPP, clientes y servers PPP, PPTP, L2TP, PPPoE, ISDN PPP
Academy Xperts 25
• routerboard (mipsle, mipsbe, ppc, x86) – acceso y manejo del RouterBOOT. Información específica del
RouterBOARD.
• routing (mipsle, mipsbe, ppc, x86) – protocolos de ruteo dinámico como RIP, BGP, OSPF y utilitarios de ruteo
como BFD, filtros para rutas.
• security (mipsle, mipsbe, ppc, x86) – IPSEC, SSH, Secure WinBox
• system (mipsle, mipsbe, ppc, x86) – características de ruteo básico como ruteo estático, direccionamiento ip, sNTP,
telnet, API, queues, firewall, web proxy, DNS cache, TFTP, IP pool, SNMP, packet sniffer, e-mail send tool, graphing,
bandwidth-test, torch, EoIP, IPIP, bridging, VLAN, VRRP etc.). También, para la plataforma RouterBOARD -
MetaROUTER | Virtualization
• wireless (mipsle, mipsbe, ppc, x86) – soporte para la interface Wireless. Algunas veces se liberan sub-tipos. Por
ejemplo wireless-fp se introdujo para soportar FastPath, wireless-cm2 se introdujo para soportar CAPsMAN v2
y wireless-rep se introdujo para soportar el modo repetidor. Ocasionalmente estos paquetes se liberan en forma
separada, antes de que las nuevas características se puedan fusionar en un solo paquete principal de Wireless.
Paquetes extra de RouterOS

• calea (mipsle, mipsbe, ppc, x86) – herramienta de recolección de datos para usos específicos requeridos por la
"Communications Assistance for Law Enforcement Act" en USA
• gps (mipsle, mipsbe, ppc, x86) – soporte a dispositivos GPS (Global Positioning System)
• multicast (mipsle, mipsbe, ppc, x86) – PIM-SM (Protocol Independent Multicast - Sparse Mode); IGMP-Proxy
(Internet Group Managing Protocol – Proxy)
• ntp (mipsle, mipsbe, ppc, x86) – NTP (Network Time Protocol server), también incluye un cliente NTP sencillo. El
cliente NTP también está embebido en el system package y funciona sin que éste paquete (ntp) esté instalado.
• openflow (mipsle, mipsbe, ppc, x86) – habilita el soporte para OpenFlow
• ups (mipsle, mipsbe, ppc, x86) – interface de administración ups APC
• user-manager (mipsle, mipsbe, ppc, x86) – servidor MikroTik User Manager para cntrolar el Hotspot y otros
servicios de usuario.
Configurando un password
Por defecto al iniciar en un equipo mikrotik iniciamos con estas credenciales:
• Usuario: admin
• Clave: en blanco
Con la opción (system – Password) se puede definir una contraseña de administración para el usuario “admin”
System identity
A pesar de que no es una herramienta, es importante para establecer la identidad del sistema
• No se puede establecer a 100 router y que todos tengan el mismo nombre “Mikrotik”. Esto hace casi imposible la
resolución de problemas.
• Una vez establecido, se hará la identificación del router con el cual se está trabajando y hará mucho más simple la
identificación
• Sintaxis
/system identity print
Name: Mikrotik
/system identity set name=my-router
/system identity print
Name: my-router
Academy Xperts 26
Academy Xperts 27
RouterOS v6.35.4.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 3: Firewall Básico
Capítulo 3: Firewall Básico

Conceptos Básicos, Estructura, chain, action, filter, src-nat, dst-nat
Conceptos básicos de Firewall

Un firewall es un dispositivo o sistema de seguridad de red que permite (en base a un conjunto de reglas) controlar el tráfico
que ingresa y sale a la red. Generalmente un firewall crea una barrera entre una red que se considera segura (usualmente
la red interna o LAN) y otra red que se asume no es segura (comúnmente red externa, y/o Internet). El firewall filtra el tráfico
entre dos o más redes.
Los routers que gestionan el tráfico entre redes contienen componentes de firewall, y de igual manera algunos firewalls
pueden desempeñar ciertas funciones de ruteo, pudiendo incluso proveer servicios de túneles (VPN), asignación de
direcciones pro DHCP, y otros.
• En la actualidad, un firewall es una herramienta indispensable para proteger nuestra conexión a Internet. El hecho
de hacer uso de una conexión a Internet puede ser causa de múltiples ataques a nuestro equipo de cómputo desde
el exterior, cuanto más tiempo estemos en línea, mayor es la probabilidad de que la seguridad de nuestro sistema
se vea comprometida por un intruso desconocido. Por lo tanto, ya no solamente es necesario tener instalado y
actualizado un software antivirus y un software antispyware sino también es totalmente recomendable mantener
instalado y actualizado un software de firewall.
• Un firewall es un sistema diseñado para impedir el acceso no autorizado o el acceso desde una red privada. Pueden
implementarse firewalls en hardware, software o en ambos. Los firewalls se utilizan con frecuencia para impedir que
los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet.
• El firewall MikroTik protege al equipo frente a ataques de Internet, contenidos Web peligrosos, análisis de puertos
y otros comportamientos de naturaleza sospechosa.
• El Firewall implementa filtrado de paquetes y de este modo provee funciones de seguridad, que son usadas para
administrar los datos que fluyen hacia, desde, y a través del router:
• Por medio del NAT (Network Address Translation) se previene el acceso no-autorizado a las redes conectadas
directamente y al router en sí mismo. Y también sirve como un filtro para el tráfico de salida.
• RouterOS funciona como un Stateful Firewall, lo cual significa que desarrolla una inspección del estado de los
paquetes, y realiza el seguimiento del estado de las conexiones de red que viajan a través del router RouterOS
también soporta:
• Source y Destination NAT
o NAT
o Helpers para las aplicaciones populares
o UPnP
• El firewall provee marcado interno de conexiones, Routing y paquetes.
¿Cómo funciona un firewall?

El Firewall opera usando reglas. Esta tiene 2 opciones:
• The matcher : Todas las condiciones tienes que ser verificadas y deben coincidir, para poder aplicar.
• The Action : Una vez que todos los parámetros coinciden y pasa la primera verificación, se procede con la acción.
El matcher analiza y compara estos siguientes parámetros:
• Source MAC address
• IP addresses (network or list) y address types (broadcast, local, multicast, unicast)
• Port o port range
• Protocol
• Protocol options (ICMP type y code fields, TCP flags, IP options)
• Interface por donde el paquete llega o sale
• DSCP byte
• Y muchos mas…
RouterOS puede filtrar por:
• Dirección IP, rango de direcciones, puerto, rango de puertos
• Protocolo IP, DSCP y otros parámetros
• Soporta Listas de Direcciones estáticas y Dinámicas
Academy Xperts 28
• Puede hacer match de paquetes por patrón en su contenido, especificado en Expresiones Regulares, conocido
como Layer 7 matching
El Firewall de RouterOS también soporta IPv6
Un firewall constituye una especie de barrera delante de nuestro equipo, esta barrera examina todos y cada uno de los
paquetes de información que tratan de atravesarlo. En función de reglas previamente establecidas, el firewall decide qué
paquetes deben pasar y cuáles deben ser bloqueados. Muchos tipos de firewalls son capaces de filtrar el tráfico de datos
que intenta salir de nuestra red al exterior, evitando así que los diferentes tipos de código malicioso como caballos de Troya,
virus y gusanos, entre otros, sean efectivos. El firewall actúa de intermediario entre nuestro equipo (o nuestra red local) e
Internet, filtrando el tráfico que pasa por él.
Un firewall, como ya se ha descrito, intercepta todos y cada uno de los paquetes destinados a nuestro equipo y los
procedentes de él, realizando este trabajo antes de que algún otro servicio los pueda recibir. De lo anterior podemos concluir
que un firewall puede controlar todas las comunicaciones de un sistema a través de Internet.
Se dice que un puerto de comunicaciones está abierto si el sistema devuelve una respuesta al llegar un paquete de petición
de establecimiento de conexión. En caso contrario el puerto se considera cerrado y nadie puede conectarse a él. El punto
fuerte de un firewall reside en que al analizar cada paquete que fluye a través del mismo, puede decidir si lo deja pasar en
uno u otro sentido, y puede decidir si las peticiones de conexión a determinados puertos deben responderse o no.
Los firewalls también se caracterizan por su capacidad para mantener un registro detallado de todo el tráfico e intentos de
conexión que se producen (lo que se conoce como un log). Estudiando los registros o logs es posible determinar los orígenes
de posibles ataques y descubrir patrones de comunicación que identifican ciertos programas maliciosos. Sólo los usuarios
con privilegios administrativos pueden acceder a estos registros, pero es una característica que se le puede exigir a estas
aplicaciones.
http://wiki.mikrotik.com/wiki/Firewall
Flujo de Paquetes
Todas las comunicaciones de Internet se realizan mediante el intercambio o flujo de paquetes o datos, que son la unidad
mínima de datos transmitida por la red. Para que cada paquete pueda llegar a su destino, independientemente de donde se
encuentren las máquinas que se comunican, debe llevar anexada la información referente a la dirección IP de cada máquina
en comunicación, así como el puerto a través del que se comunican. La dirección IP de un dispositivo lo identifica de manera
única dentro de una red. Los puertos de comunicación también son una parte muy importante de la que el Firewall deberá
verificar y controlar también, debido a que la mayoría de comunicaciones se realizan bajo protocolos los cuales realizan el
envió de paquetes mediante puertos tales como:
TCP es el protocolo de comunicación que garantiza que los datos serán entregados en su destino sin errores y en el mismo
orden en que se transmitieron.
TCP usa el concepto de número de puerto para identificar a las aplicaciones emisoras y receptoras. Cada lado de la conexión
TCP tiene asociado un número de puerto (de 16 bits sin signo, con lo que existen 65536 puertos posibles) asignado por la
aplicación emisora o receptora. Los puertos son clasificados en tres categorías: bien conocidos, registrados y
dinámicos/privados. Los puertos bien conocidos son asignados por la Internet Assigned Numbers Authority (IANA), van
del 0 al 1023 y son usados normalmente por el sistema o por procesos con privilegios. Las aplicaciones que usan este tipo
de puertos son ejecutadas como servidores y se quedan a la escucha de conexiones. Algunos ejemplos son: FTP (21), SSH
(22), Telnet (23), SMTP (25) y HTTP (80). Los puertos registrados son normalmente empleados por las aplicaciones de
usuario de forma temporal cuando conectan con los servidores, pero también pueden representar servicios que hayan sido
registrados por un tercero (rango de puertos registrados: 1024 al 49151). Los puertos dinámicos/privados también pueden
ser usados por las aplicaciones de usuario, pero este caso es menos común. Los puertos dinámicos/privados no tienen
significado fuera de la conexión TCP en la que fueron usados (rango de puertos dinámicos/privados: 49152 al 65535,
recordemos que el rango total de 2 elevado a la potencia 16, cubre 65536 números, del 0 al 65535)
User Datagram Protocol (UDP) es un protocolo del nivel de transporte basado en el intercambio de datagramas
(Encapsulado de capa 4 Modelo OSI), este protocolo no garantiza que los datos serán entregados en su destino sin errores
y en el mismo orden en que se transmitieron.
UDP utiliza puertos para permitir la comunicación entre aplicaciones. El campo de puerto tiene una longitud de 16 bits, por
lo que el rango de valores válidos va de 0 a 65.535. El puerto 0 está reservado, pero es un valor permitido como puerto
origen si el proceso emisor no espera recibir mensajes como respuesta.
• Los puertos 1 a 1023 se llaman puertos bien conocidos y en sistemas operativos tipo Unix enlazar con uno de
estos puertos requiere acceso como súper usuario.
• Los puertos 1024 a 49.151 son puertos registrados.
• Los puertos 49.152 a 65.535 son puertos efímeros y son utilizados como puertos temporales, sobre todo por los
clientes al comunicarse con los servidores.
http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers
Para facilitarnos el entendimiento
• MikroTik ha creado diagramas para ayudarnos a la configuración avanzada en el flujo de paquetes.
• Es bueno estar familiarizado con ellos para saber qué está pasando con los paquetes y en qué orden irán.
• Para este curso, se analizara superficialmente y de manera simple los gráficos.
Academy Xperts 29
http://wiki.mikrotik.com/wiki/Packet_Flow
Diagrama de flujo de paquetes en Bridge o Capa 2 (MAC)

En este diagrama la parte de Ruteo se encuentra simplificada como un cuadro (Layer 3)
Diagrama de flujo de paquetes en Ruteo o Capa 3 (IP)

En este diagrama la parte de Bridge se encuentra simplificada como un cuadro (Bridging)
Estructura: chains y acciones

• Un chain: es una agrupación de reglas basado en los mismos criterios. Hay tres cadenas predeterminadas en
función de criterios predefinidos.
o input: El tráfico que va al router
o forward: El tráfico que va a través del router
o output: El tráfico procedente del router
• Por ejemplo, se puede implementar un chain pasado en:
Academy Xperts 30
o Basado en el criterio: todo el tráfico del icmp.

o Basado en tráficos provenientes de puertos Ethernet, por ejemplo: Ether2 hacia una red LAN remota o
una red bridge.
• Los usuarios definen los chains, y estos mismos son creados dependiendo de los parámetros que se puedan
comparar, y si desean pueden realizar un «jump» para una vez que el match ha sido confirmado, se realizara un
salto hacia otra regla en el firewall, esto se los define en «jump target»
• Una acción dicta lo que va a realizar el filtro o regla cuando los paquetes aplican con todas las condiciones para ser
filtrado.
• Los paquetes se comprueban secuencialmente contra de las reglas existentes en la cadena de firewall actual hasta
que se produce una coincidencia. (Cuando se tenga el # significa que respetará un orden: primero uno si coinciden,
se aplica la acción, y de ahí pasara a la siguiente si se encuentra habilitada esa opción, en caso contrario hasta ahí
llegara el análisis)
Filtrado Firewall en acción

Se puede aprovechar la seguridad de un firewall de diferentes maneras tales como:
• Confiar en la seguridad de nuestra LAN, ya que lo proveniente de la WAN es lo inseguro.
• Bloqueamos todos y permitimos únicamente en lo que estamos de acuerdo.
• Permitiremos todo y bloquearemos únicamente lo que causa problemas.
Consejos Básicos y trucos

• Antes de realizar cambios en el firewall ingresemos en “modo seguro”
• Después de realizar configuraciones y cambios en las reglas firewall, se aconseja probar las debilidades: una
herramienta recomendada: ShieldsUP
• Antes de comenzar se recomienda escribir en texto plano o en papel una descripción sencilla de las políticas que
se quiere aplicar.
o Una vez que las entiende y está de acuerdo con ellos, se procede con ingreso al router.
o Añadir las siguientes reglas progresivamente, una vez que esté satisfecho con las reglas básicas
ingresadas.
o Si se es nuevo en el área de seguridad, lo recomendable es que no ingrese reglas que apunten en todas
direcciones, suficiente con hacer lo básico, pero hay que hacerlo bien.
• Es una buena idea poner fin a sus cadenas con las reglas "catch-all" y ver lo que se puede haber perdido.
• Usted necesitará dos reglas "catch-all", uno de "log" y uno de "drop" para todo tráfico sin precedentes. Ambos deben
basarse en los mismos parámetros comparados para que sea útil para usted.
• Una vez que vea lo que llega a las reglas "catch-all", puede agregar nuevas reglas basadas en el comportamiento
deseado por el firewall.
Filtrado por Parámetros

• Antes de decidir en tomar una acción en el firewall, primero hay que identificarlo.
• Nosotros tenemos muchos parámetros por el cual podemos comparar.
Filter actions
Una vez realizada el match con todos los parámetros de una regla, y coinciden, entonces se realizara una acción. El firewall
de MikroTik tiene las 10 siguientes acciones:
1. accept: Acepte el paquete. El Paquete ya no pasaría a la siguiente regla de firewall.

2. add-dst-to-address-list: dirección destino, después de hacer match el paquete pasa a la siguiente regla.
3. add-src-to-address-list: dirección origen. Después de hacer match el paquete pasa a la siguiente regla.
4. drop: el paquete es desechado. Después de hacer match el paquete pasa a la siguiente regla.
5. jump: jump es definido por el usuario y sirve para saltar a una regla en específico, definido por el jump-target.
Después de hacer match el paquete pasa a la siguiente regla definida en jump-target.
6. log: añade un mensaje en los logs con la siguiente información: in-interface, out-interface, src-mac,
protocol, src-ip:port->dst-ip:port y length of the packet. Después de hacer match el paquete
pasa a la siguiente regla.
7. passthrough: si esta opción está marcada, habilitará la opción de ignorar resta regla y pasar a la siguiente (muy
útil para estadísticas de red).
Academy Xperts 31
8. reject: desecha los paquetes icmp y envía un mensaje definido por el usuario el paquete no pasa a la siguiente
regla.
9. return: pasa el control del filtro de nuevo, en donde se originó el filtro anterior. Después de hacer match el paquete
pasa a la siguiente regla (únicamente si la regla anterior no ocasiona que se deseche el paquete y pare el match).
10. tarpit: captura y retiene los paquetes TCP (replicas con SYN/ACK para paquetes entrantes TCP SYN). Después
de hacer match el paquete pasa a la siguiente regla.
Protegiendo tu router (input)
• El chain=input analiza todo el tráfico entrante al router.

• Al aplicar una regla chain=input, se controla el ingreso de información al router
MikroTik da las siguientes sugerencias para el Input
Asumiendo que la interfaz ether1 está conectada a una WAN insegura.
• Aceptar el tráfico de icmp-echo-reply (si se desea tener replica de ping sobre internet, esto es útil cuando
manejamos servidores)
• Desechar todo el tráfico icmp-echo-request (Cuando no deseamos que nos hagan ping otro dispositivo. Con
esto evitamos estar en la mira de ataques como smurf attack u otros)
• Aceptar todo el tráfico entrante establecido y relacionado.
• Desechar todo el tráfico inválido.
• Realizar un Log de todo el resto del tráfico
• Desechar todo el resto de tráfico.
Protegiendo a todos los clientes (forward)

• El trafico forward es el tráfico que pasa a través del router.
MikroTik da las siguientes sugerencias para el Forward

Asumiendo que la interfaz ether1 está conectada a una WAN insegura.
• Aceptar todo el tráfico forward establecido y relacionado.
• Desechar todo el tráfico inválido.
• Hacer Log de todo el resto del tráfico (para verificar si es que algún paquete importante ha sido bloqueado)
• Desechar todo el resto de tráfico.
Academy Xperts 32
Source NAT
El Network Address Translation (NAT) permite a los hosts de una red LAN, comunicarse con redes externas
• Source NAT (srcnat) traduce las direcciones IP (de una LAN) a direcciones IP públicas cuando se accede al
Internet. También realiza la traducción de IP pública a privada cuando el tráfico se genera desde la WAN hacia una
LAN.
• Las direcciones IP que no son Públicamente Ruteables, son direcciones IP que no pueden ser usados en Internet.
o Estas direcciones privadas son:
§ 10.0.0.0/8
§ 172.16.0.0/12
§ 192.168.0.0/16
masquerade & src-nat

El primer chain para NAT es srcnat. Es usado para aplicar acciones a los datos salientes del router. Al igual que los filtros
de firewall, las reglas de NAT tienen algunas propiedades y acciones (13 acciones). La primera y más básica acción de NAT
es action=masquerade.
masquerade reemplaza la dirección IP origen en paquetes por otra IP determinada (ejemplo una privada a publica) para
facilitar el enrutamiento.
• Por lo general, la dirección IP de origen de los paquetes que van a la Internet será reemplazado por la dirección de
la interfaz externa (WAN)
chain=src-nat permite realizar cambios en dirección IP y puerto origen de los paquetes a unos especificados por el
administrador de la red
Ejemplo de uso:
Dos empresas (alfa y beta) se han fusionado, pero hay un problema en sus redes locales ya que ambas redes utilizan el
mismo espacio de direcciones (por ejemplo, 172.16.0.0/16.). Ellos no desean cambiar sus segmentos de red, ya que todos
Academy Xperts 33
los dispositivos en la empresa (impresoras, proyectores, copiadoras, etc.) tienen direcciones asignadas e implicaría pérdida
de tiempo.
Solución: Orientándonos al concepto de NAT, lo único que se requerirá son reglas básicas de NAT con src-nat y
posiblemente reglas de dst-nat, independientemente que las redes locales de cada una sean iguales.
Destination NAT
• action=dst-nat es una acción usada en chain=dstnat para re direccionar el tráfico entrante hacia una
diferente IP o puerto.
• Ejemplo de aplicación: Se tiene una granja de servidores (Web, Mail y SSH) y solo una dirección IP pública en el
router de borde. Se desea acceder desde del exterior hacia cada servidor en forma independiente.
Academy Xperts 34
dst-nat & redirect

• action=redirect cambia el puerto destino del tráfico hacia un puerto del propio router.
• Ejemplo de aplicación: Todo tráfico http (TCP, puerto 80) va a ser reenviado al web proxy del router por TCP puerto
8080.
• Este concepto en otros dispositivos se lo conoce como port-forwarding
Sintaxis NAT
Agregar regla masquerade
/ip firewall nat add action=masquerade chain=srcnat
Cambiar el source IP address
add chain=srcnat src-address=192.168.0.109 action=src-nat to-addresses=10.5.8.200
Destination NAT. Redirecciona todo el tráfico WEB (TCP, port 80) hacia el web proxy del router sobre el port 8080
add action=redirect chain=dstnat dst-port=80 protocol=tcp to-ports=8080
Academy Xperts 35
RouterOS v6.35.4.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 4: Administración
Capítulo 4: Administración
Export, backup, reset, herramientas RouterOS, supout.rif, logging
Administración de los respaldos (backup) de las configuraciones

Los backup de configuración se pueden utilizar para realizar copias de seguridad de la configuración de un RouterOS
MikroTik en un archivo binario, que puede ser almacenada en el router o descargado a través de FTP para su uso futuro.
La opción restore (restauración) se puede utilizar para recuperar la configuración del router, tal y como era en el momento
de la creación de la copia de seguridad, a partir de un archivo de backup.
La opción export puede utilizarse para volcar la configuración Mikrotik RouterOS completa o parcial a la pantalla de la
consola o a un archivo de texto, que se puede descargar desde el router mediante el protocolo FTP.
Tipos de Backups
• Backup Binario
• Comando export
Backup Binario
• Realiza un respaldo completo del sistema
• Incluye contraseñas y usuarios
• Los archivos de backup serán guardados por defecto en el mismo router.
Se recomienda que el archivo backup se guarde en una PC o en una unidad externa ya que resultaría ilógico que se guarde
en el mismo dispositivo. Se pueden generar “n” archivos de backup, y se guarda por defecto, con nombre del host, año,
fecha, hora.
Comando export
• Se puede visualizar la configuración completa o parcial
• Se usa el comando compact para mostrar la configuración no predeterminada
• La sentencia print permite visualizar la configuración parcial o total. Si se ingresa en la pagina principal
únicamente el comando export, entonces se respalda toda la configuración del router
/export file = nombre_del_archivo
• El comando export NO respalda los usuarios del router.
/ip firewall filter export
# jan/01/2014 01:58:17 by RouterOS 5.24
# software id = PEVF-794H
#
/ip firewall filter
Add action=Accept chain=input comment=”default configuration” disabled=no \
Protocol=icmp
Connection-state=established
Connection-state=related
Add action=drop chain=input comment=”default configuration” disabled=no \
Protocol=ethernet-gateway
Guardar archivos de Backup

• Una vez que se han generado los archivos de respaldo, se recomienda copiarlos en un servidor
o Por medio de SFTP en la forma recomendada
o FTP (Se lo habilita en el menú IP Services
o Arrastrar y Soltar usando la ventana Files
• Dejar los archivos de respaldo en el router no es una buena práctica o al menos no es algo recomendado. Los
routers no hacen respaldos en cintas o en CDs.
Opciones del Reset Configuration

• Resetea a la configuración por default
• Conserva los usuarios RouterOS después del Reset
• Resetea a un Router y lo deja sin ninguna configuración (blank)
Academy Xperts 36
• Se puede ejecutar un script después del Reset
Botón de Reset Físico

Cuando se usa el botón reset en el router:
• Se carga el respaldo (backup) del RouterBOOT Loader
• Se resetea cualquier configuración que tenga el router
• Se habilita el modo CAPs (AP Controlado)
• Se inicia en modo NetInstall
Herramientas RouterOS – ping

Es una herramienta de conectividad básica que utiliza mensajes de ICMP Echo para determinar si un host remoto está activo
o inactivo, y también para determinar el retardo de ida y vuelta cuando se comunica con dicho host remoto
La herramienta ping envía un mensaje ICMP (type 8) al host remoto y espera por el mensaje ICMP echo-reply (type 0) de
retorno. El intervalo entre estos eventos se conoce como “round trip”.
Si la respuesta (que se conoce como “pong”) no llega hasta que finaliza el intervalo de tiempo de espera, se asume que el
tiempo se ha agotado (timed-out).
Otro parámetro significativo que se reporta en la herramienta ping es ttl (Time To Live), el cual disminuye en cada máquina
en que el paquete es procesado. El paquete alcanzara su destino únicamente cuando el ttl sea mayor que el número de
routers entre el origen y el destino.
Como usar un Ping
En la ventana de Terminal del WinBox, lo podemos usar para realizar algún ping
/ping www.mikrotik.com
HOST SIZE TTL TIME STATUS
159.148.147.196 56 50 163ms
159.148.147.196 56 50 156ms
159.148.147.196 56 50 156ms
159.148.147.196 56 50 160ms
Sent=4 received=4 packet-loss=0% min-rtt=156ms avg-rtt=158ms
Otros Ejemplos de ping

/ping 10.1.101.3
10.1.101.3 56 64 3ms
10.1.101.3 56 64 10ms
10.1.101.3 56 64 7ms
sent=3 received=3 packet-loss=0% min-rtt=3ms avg-rtt=6ms max-rtt=10ms
/ping 10.1.101.9
timeout
timeout
timeout
sent=3 received=0 packet-loss=100%
Academy Xperts 37
Herramientas RouterOS – traceroute

Traceroute
Traceroute es una herramienta de diagnóstico de red que muestra la ruta (path) y mide el retardo del tránsito de los paquetes
a través de una red IP.
El histórico de la ruta se registra como el tiempo de ida y vuelta (round-trip) de los paquetes recibidos desde cada host
sucesivo (nodo remoto) en la ruta (path). La suma de los tiempos medios en cada salto indica el tiempo total empleado para
establecer la conexión.
Traceroute procede a menos que todos los paquetes (3 paquetes) que se envían, se pierdan más de dos veces, entonces
se pierde la conexión y la ruta ya no puede evaluada. Por otro lado, el ping sólo calcula los tiempos finales de ida y vuelta
desde el punto de destino.
Traceroute envía una secuencia de paquetes UDP (User Datagram Protocol) direccionados al host destino. También puede
usar paquetes ICMP Echo Request, o paquetes TCP SYN.
El valor del TTL se utiliza para determinar los routers intermedios por los cuales se está atravesando hasta llegar al destino.
Los routers disminuyen en uno los valores TTL de los paquetes y descartan los paquetes cuyos valores de TTL son cero.
Cuando un router recibe un paquete con ttl=0, envía de retorno un mensaje de error ICMP que indica ICMP Time Exceeded.
Los valores de fecha y hora de retorno de cada router a lo largo del camino son los valores de la demora (latencia). Este
valor generalmente se mide en milisegundos para cada paquete.
/tool traceroute www.mikrotik.com

# ADDRESS LOSS SENT LAST AVG BEST WORST STD-DEV STATUS
100% 3 timeout
216.113.124.190 0% 3 13.9ms 12.2 11.1 13.9 1.2
El emisor espera una respuesta dentro de un número especificado de segundos. Si un paquete no es reconocido dentro del
intervalo esperado, se muestra un asterisco (*). El protocolo IP no requiere que los paquetes tomen la misma ruta hacia un
destino en particular, por lo tanto los hosts que se muestran podría ser hosts que otros paquetes han atravesado. Si el host
en el salto #N no contesta, el salto se omite en la salida.
Más información es: https://en.wikipedia.org/wiki/Traceroute
Herramientas RouterOS – Monitor de Tráfico de Interface

El trafico pasa a través de cualquier interfaz y puede asi ser monitoreada
/interface monitor-traffic [id | name]
Caracteristicas
• Estatus del tráfico en tiempo real
• Disponible para cada interface en la pestaña traffic
Academy Xperts 38
• También puede monitorearse desde WebFig y el CLI
Ejemplo
Monitorear la ether2 y el trafico agregado. “Aggregate” se usa controlar la cantidad total de trafico manejado por el router.
/interface monitor-traffic ether2,aggregate
rx-packets-per-second: 9 14
rx-drops-per-second: 0 0
rx-errors-per-second: 0 0
rx-bits-per-second: 6.6kbps 10.2kbps
tx-packets-per-second: 9 12
tx-drops-per-second: 0 0
tx-errors-per-second: 0 0
tx-bits-per-second: 13.6kbps 15.8kbps
Herramientas RouterOS – Torch

El Torch es una herramienta de monitorización de tráfico en tiempo real que se puede utilizar para monitorear el tráfico a
través de una interfaz.
Se puede monitorear el tráfico clasificado por nombre de protocolo, dirección origen, dirección destino, puerto. La herramienta
torch muestra el protocolo que se ha elegido y la tasa de datos tx/rx de cada uno de ellos.
El siguiente ejemplo monitorea el tráfico generado por el protocolo telnet, el cual pasa a través de la interface ether1:
/tool torch ether1 port=telnet
SRC-PORT DST-PORT TX RX
1439 23 (telnet) 1.7kbps 368bps
Para ver qué protocolos se envían a través de ether1:

/tool torch ether1 protocol=any-ip
PRO.. TX RX
tcp 1.06kbps 608bps
Academy Xperts 39
udp 896bps 3.7kbps

icmp 480bps 480bps
ospf 0bps 192bps
Para ver qué protocolos están enlazados al host 10.0.0.144/32 conectado a la interface ether1:
/tool torch ether1 src-address=10.0.0.144/32 protocol=any
PRO.. SRC-ADDRESS TX RX
tcp 10.0.0.144 1.01kbps 608bps
icmp 10.0.0.144 480bps 480bps
Graphing (Gráficos)
Es una herramienta para monitorear en el tiempo varios parámetros RouterOS y pone los datos recogidos en gráficos.
Esta herramienta puede mostrar gráficos de:
• Estado de salud del RouterBOARD (voltaje y temperatura)
• Utilización de recursos (CPU, memoria y utilización de disco)
• Tráfico que pasa através de las interfaces
• Tráfico que pasa através de las colas simples (simple queue)
Graphing consiste de dos partes:

• La primera parte recoge información
• La segunda parte muestra los datos en una página web
Para acceder a los gráficos, debe escribir en el web browser http://[Direccion_IP_Router]/graphs/ y luego elegir el
gráfico que se desea visualizar.
Academy Xperts 40
/tool graphing
• store-every (24hours | 5min | hour; Default: 5min) – Cuán frecuente se escriben los datos recolectados al drive
del sistema
• page-refresh (integer | never; Default: 300) – Cuán frecuente se refresca la página de gráficos
Interface Graphing
/tool graphing interface
Esta opción permite configurar en cuál interface las gráficas recogerán los datos de uso de ancho de banda.
Propiedades
• allow-address (IP/IPv6 prefix; Default: 0.0.0.0/0) – Rango de dirección IP desde el cual está permitido acceder a
la información de gráficos
Academy Xperts 41
• comment (string; Default: ) – Descripción de la entrada actual

• disabled (yes | no; Default: no) – Define si el ítem es usado
• interface (all | interface name; Default: all) – Define qué interfaces serán monitoreadas. all significa que se van
a monitorear todas las interfaces.
• store-on-disk (yes | no; Default: yes) – Define si la información recolectada se va a grabar en el drive del sistema.
Queue Graphing
/tool graphing queue
Esta opción permite configurar en cuál cola simple (simple queue) las gráficas recogerán los datos de uso de ancho de
banda.
Propiedades
• allow-target (yes | no; Default: yes) – Define si se permite el acceso a los gráficos desde la dirección objetivo de
la cola
• simple-queue (all | queue name; Default: all) – Define qué colas serán monitoreadas. all significa que se van a
monitorear todas las colas.
Importante: Si la cola simple (simple queue) tiene un target-address=0.0.0.0/0 entonces todos estarán habilitados para
acceder a los gráficos de las colas incluso si la dirección permitida se configura con una dirección específica. Esto ocurre
porque los gráficos de la cola por default son accesibles también desde la dirección objetivo (target address).
Resource Graphing
/tool graphing resource
Esta opción permite habilitar los gráficos de los recursos del sistema.
Graphing recolecta los datos de:

• Uso de CPU
• Uso de Memoria
• Uso de Disco
Propiedades
Graphics en WinBox
WinBox permite visualizar la misma data r ecolectada como en el web page. Debe abrir la ventana en Tools/Graphing. Luego
debe hacer doble-click de lo que desea ver las gráficas
Academy Xperts 42
Recursos adicionales
Wiki
http://wiki.mikrotik.com/wiki/Manual:TOC
• Aquí se encontrará información acerca del RouterOS
• Todos los comandos del RouterOS
o Explicación
o Sintaxis
o Ejemplos
• Consejos y trucos adicionales
Tiktube
http://www.tiktube.com/
• Recursos en videos sobre varios temas
• Presentados por Trainers, Partners, IPSs, etc.
• Se encontrará diversas presentaciones
• Los videos están en varios lenguajes
Foros de Discusión
http://forum.mikrotik.com/
• Moderado por el personal de MikroTik
• Es un foro de discusiones sobre diversos temas
• Aquí se puede encontrar una gran cantidad de información
• Se puede encontrar una solución a su problema
Soporte MikroTik
• Mail: support@mikrotik.com
• Instrucciones para solicitar soporte: http://www.mikrotik.com/support.html
• El apoyo de Mikrotik si el router fue comprado a fábrica es de:
o 15 días (nivel licencia 4)
o 30 días (nivel 5 Licencia y el nivel 6)
Distribuidores/Soporte
• El distribuidor mayorista/reseller proporcionará soporte siempre y cuando el router haya sido comprado a él
• Se pueden contratar a Consultores Certificados para necesidades especiales
• http://www.mikrotik.com/consultants
Ponerse en contacto con Soporte MikroTik

Supout.rif
El archivo de soporte se utiliza para depurar MikroTik RouterOS y para resolver las preguntas de soporte más rápido. Toda
la información del Router MikroTik se guarda en un archivo binario, que se almacena en el router y puede ser descargado
desde el router mediante ftp.
Se puede revisar el contenido de este archivo en su cuenta de MikroTik, simplemente debe ir a la sección Supout.rif y cargar
el archivo.
Este archivo (supout.rif) contiene la configuración del router, los registros (logs) y otros detalles que ayudarán al grupo
de soporte de MikroTik para resolver su problema.
Sintaxis
Lo hacemos con el siguiente comando en “Terminal”
Academy Xperts 43
/system sup-output
Created: 14%
--[Q quit|D dump|C-z pause]
/system sup-output
Created: 100%
--[Q quit|D dump|C-z pause]
Una vez que se complete la carga al 100% podremos ver el archivo en “Files”
Supout.rif Viewer
Para acceder al Supout.rif Viewer solo tienes que acceder a tu cuenta Mikrotik. Usted debe tener una cuenta (es una buena
idea tener una de todos modos)
El primer paso es localizar y cargar el archivo que ha generado
Autosupout.rif
• Un archivo se puede generar de forma automática en caso de fallo de software (ex Kernel Panic o el sistema deja
de responder durante un minuto.)
• Hecho a través del organismo de control (sistema)
Academy Xperts 44
Registros (logging) del sistema y registros de depuración

RouterOS es capaz de registrar (log) diversos eventos del sistema y la información del estatus. Los registros (log) se pueden
guardar en la memoria RAM de los routers, en un disco, en un archivo, pueden ser enviados por correo electrónico o incluso
enviarse a un servidor remoto de registro del sistema. Este último se conoce como syslog y está acorde con el RFC 3164.
Syslog corre sobre UDP 514
/log
Todos los mensajes almacenados en la memoria local del router se pueden imprimir desde el menú / log. Cada entrada
contiene la fecha y hora cuando se produjo el evento, los temas que pertenecen a este mensaje, y el mensaje en sí mismo.
Si los registros se muestran en la misma fecha en que se agrega la entrada de registro, entonces únicamente se mostrará
el tiempo.
En el siguiente ejemplo el comando mostrará todos los mensajes donde uno de los tópicos es info y detectará nuevas
entradas hasta que se presiona Ctrl+C
/log print follow where topics~".info"
12:52:24 script,info hello from script
-- Ctrl-C to quit.
Cuando se usa print se puede utilizar el modo follow. Esto ocasionará que cada vez que cada vez que se presione la barra
espaciadora en el teclado, se insertará un separador
/log print follow where topics~".info"
12:52:24 script,info hello from script
= = = = = = = = = = = = = = = = = = = = = = = = = = =
-- Ctrl-C to quit.
Configuración del Logging

/system logging
• action (name; Default: memory) – Especifica una de las acciones por default del sistema, o las acciones
especificadas por el usuario en el menú actions
• prefix (string; Default: ) – Prefijo que se puede agregar al inicio de los mensajes de registro
• topics (account, async, backup, bgp, calc, critical, ddns, debug, dhcp, e-mail, error, event, firewall, gsm, hotspot,
igmp-proxy, info, ipsec, iscsi, isdn, l2tp, ldp, manager, mme, mpls, ntp, ospf, ovpn, packet, pim, ppp, pppoe, pptp,
radius, radvd, raw, read, rip, route, rsvp, script, sertcp, state, store, system, telephony, tftp, timer, ups, warning,
watchdog, web-proxy, wireless, write; Default: info) – Registra todos los mensajes que caen en el tópico especificado
o en la lista de tópicos. Se puede utilizar el carácter “!” antes del tópico para excluir los mensajes que caen ese
tópico. El signo “!” es la negación lógica. Por ejemplo, si se desea registrar los eventos NTP pero sin mucho detalles
se puede escribir /system logging add topics=ntp,debug,!packet
Academy Xperts 45
Actions
/system logging action
• bsd-syslog (yes|no; Default: ) – Especifica si se usa el bsd-syslog según se define en RFC-3164
• disk-file-count (integer [1..65535]; Default: 2) – Especifica el número de archivos que se utilizarán para guardar
los mensajes de registro (log). Se aplica únicamente si action=disk
• disk-file-name (string; Default: log) – Nombre del archivo que se usará para guardar los mensajes de registro
(log). Se aplica únicamente si action=disk
• disk-lines-per-file (integer [1..65535]; Default: 100) – Especifica el tamaño máximo del archivo en número de
líneas. Se aplica únicamente si action=disk
• disk-stop-on-full (yes|no; Default: no) – Especifica si se detiene la grabación de los mensajes de registro (log)
en disco luego de que se han alcanzado los valores especificados en disk-lines-per-file y disk-file-count.
Se aplica únicamente si action=disk
• email-to (string; Default: ) – Dirección email hacia donde se enviarán los registros. Se aplica únicamente si
action=email
• memory-lines (integer [1..65535]; Default: 100) – Especifica el número de registros en el buffer de memoria local.
Se aplica únicamente si action=memory
• memory-stop-on-full (yes|no; Default: no) – Especifica si se detiene la grabación de los mensajes de registro
(log) en memoria luego de que se han alcanzado los valores especificados en memory-lines. Se aplica únicamente
si action=memory
• name (string; Default: ) – Nombre de la acción (action)
• remember (yes|no; Default: ) – Especifica si se debe mantener los mensajes de registro que aún no se han mostrado
en consola. Se aplica únicamente si action=echo
• remote (IP/IPv6 Address[:Port]; Default: 0.0.0.0:514) – Especifica la dirección IP/IPv6 del servidor de registro
remoto (syslog server) y el número de puerto UDP. Se aplica únicamente si action=remote
• src-address (IP address; Default: 0.0.0.0) – Dirección origen que se utiliza cuando se envían paquetes al servidor
remoto
• syslog-facility (auth, authpriv, cron, daemon, ftp, kern, local0, local1, local2, local3, local4, local5, local6, local7,
lpr, mail, news, ntp, syslog, user, uucp; Default: daemon)
• syslog-severity (alert, auto, critical, debug, emergency, error, info, notice, warning; Default: auto) – Nivel de
indicador de severidad definido en RFC-3164:
§ Emergency: system is unusable
§ Alert: action must be taken immediately
§ Critical: critical conditions
§ Error: error conditions
§ Warning: warning conditions
§ Notice: normal but significant condition
§ Informational: informational messages
§ Debug: debug-level messages
• target (disk, echo, email, memory, remote; Default: memory) – Facilidad de almacenamiento o destino de los
mensajes de registro (log)
§ disk - logs are saved to the hard drive
§ echo - logs are displayed on the console screen
§ email - logs are sent by email
§ memory - logs are stored in local memory buffer
§ remote - logs are sent to remote host
Importante: Las accione spor default no se pueden eliminar ni cambiar de nombre
Academy Xperts 46
Tópicos
Cada entrada de registro (log) tiene un tópico que describe el origen del mensaje de registro. Por lo tanto puede haber más
de un tópico asignado a dicho mensaje de registro. Por ejemplo OSPF depura los registros que tienen 4 diferentes tópicos:
route, ospf, debug y raw.
11:11:43 route,ospf,debug SEND: Hello Packet 10.255.255.1 -> 224.0.0.5 on lo0
11:11:43 route,ospf,debug,raw PACKET:
11:11:43 route,ospf,debug,raw 02 01 00 2C 0A FF FF 03 00 00 00 00 E7 9B 00 00
11:11:43 route,ospf,debug,raw 00 00 00 00 00 00 00 00 FF FF FF FF 00 0A 02 01
11:11:43 route,ospf,debug,raw 00 00 00 28 0A FF FF 01 00 00 00 00
Lista de opciones independiente de los tópicos:
• critical – Las entradas de registro marcadas como críticas. Estas entradas de registro se muestran en consola
cada vez que el usuario hace log in
• debug – Depura las entradas de registro
• error – Mensajes de error
• info – Entrada de registro informativa
• packet – Entrada de registro que muestra el contenido de los paquetes enviados/recibidos
• raw – Entrada de registro que muestra el contenido crudo (raw) de los paquetes enviados/recibidos
• warning – Mensaje de Advertencia.
Tópicos usados por varias facilidades de RouterOS
• account – Registra los mensajes generados por la opción accounting
• async – Registra los mensajes generados por los dispositivos asíncronos
• backup – Registra los mensajes generados por la opción de creación de backup
• bfd – Registra los mensajes generados por el protocolo Routing/BFD
• bgp – Registra los mensajes generados por el protocolo Routing/BGP
• calc – Registra los mensajes del cálculo de rutas
• ddns – Registra los mensajes generados por la herramienta Tools/Dynamic DNS
• dhcp – Registra los mensajes generados por el cliente DHCP, server y relay
• e-mail – Registra los mensajes generados por la herramienta Tools/email
• event - Registra los mensajes generados por el evento de routing. Por ejemplo, cuando una nueva ruta se ha
instalado en la tabla de ruteo.
• Firewall - Registra los mensajes generados por el firewall cuando se configura action=log
• Gsm – Registra los mensajes generados por los dispositivos GSM
• Hotspot – Registra los mensajes relacionados con HotSpot
• igmp-proxy – Registra los mensajes generados con IGMP Proxy
• ipsec – Entradas de registro IpSec
• iscsi
• isdn
• l2tp – Registra los mensajes generados por Interface/L2TP cliente y servidor
• ldp – Registra los mensajes generados por el protocolo MPLS/LDP
• manager – Registra los mensajes generados por User Manager
• mme – mensajes de protocolo de ruteo MME
• mpls – Mnesajes MPLS
• ntp – Registra los mensajes generados por el cliente sNTP
• ospf – Registra los mensajes generados por el protocolo de ruteo Routing/OSPF
• ovpn – Registra los mensajes generados por el túnel OpenVPN
• pim – Registra los mensajes generados por Multicast PIM-SM
• ppp – Registra los mensajes generados por la opción ppp
• pppoe – Registra los mensajes generados por PPPoE server/client
• pptp – Registra los mensajes generados por PPTP server/client
• radius – Registra los mensajes generados por RADIUS Client
• radvd – Registra los mensajes generados por el IPv6 radv deamon
• read – Mensajes de la herramienta SMS
• rip – Mensajes del protocolo de ruteo RIP
• route – Registra los mensajes generados por la opción de ruteo
• rsvp – Mensajes generados por el Protocolo de Reservación de Recurso (Resource Reservation Protocol)
• script - Registra los mensajes generados por los scripts
• sertcp – Registra los mensajes relacionados por la opción responsable de /ports remote-access
• simulator
• state – Mensajes de estado de routing y del cliente DHCP
• store – Registra los mensajes generados por la opción store
• system – Mensaje genéricos del sistema
Academy Xperts 47
• telephony
• tftp – Mensajes generados por el servidor TFTP
• timer – Registra los mensajes relacionados a los timers usados en RouterOS. Por ejemplo los registros (log)
keepalive bgp
12:41:40 route,bgp,debug,timer KeepaliveTimer expired
12:41:40 route,bgp,debug,timer RemoteAddress=2001:470:1f09:131::1
• ups – Mensajes generados por la herramientas de monitoreo UPS
• watchdog – Registra los mensajes generados por watchdog
• web-proxy – Registra los mensajes generados por web proxy
• wireless – Registra los mensajes generados por Interface/Wireless
• write – Mensajes de la herramienta SMS
Academy Xperts 48
RouterOS v6.35.4.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 5: Training
Capítulo 5: Training
Certificaciones, MTCNA, MTCTCE, MTCWE, MTCUME, MTCRE, MTCINE
Cursos de Certificación MikroTik
MTCNA
MTCNA es la primera certificación del portafolio que ofrece MikroTik para su sistema operativo RouterOS.
Este curso representa una guía completa para administradores de red y usuarios que desean iniciar sus conocimientos en
configuración de equipos MikroTik RouterOS, como también para aquellos que desean afianzar su expertise y orientarse
hacia un estudio formal de las principales funciones del Sistema Operativo RouterOS.
Contenido
1. Introducción
2. ARP, DHCP
3. Ruteo
4. Bridge
5. Wireless
6. Firewall
7. QoS
8. Túneles
9. Herramientas de RouterOS
MTCTCE
MTCTCE es una de las cinco certificaciones avanzadas de MikroTik RouterOS.
Este curso cubre los principales temas relacionados con la optimización del tráfico en una red LAN/WAN/Wireless, no solo
concentrándose en la correcta implementación de la Calidad de Servicio (QoS) sino también prestando especial importancia
al tráfico que en pequeñas proporciones puede ocasionar un flujo notable a través de canales de comunicación de baja
velocidad o en conexiones de internet restringidas.
Contenido
1. DNS
2. DHCP
3. Firewall – Filter
4. Firewall – Chain Input
5. Firewall – Chain Forward
6. Bogon IPs
7. Firewall NAT
8. Firewall Mangle
9. HTB
10. Queue Tree
11. Burst
12. Web Proxy
13. TTL
14. Balanceo de carga
Academy Xperts 49
RouterOS v6.35.4.01 – Introducción a MikroTik RouterOS & RouterBOARD – Capítulo 5: Training
MTCWE
MTCWE es una de las cinco certificaciones avanzadas de MikroTik RouterOS.
Este curso realiza un revisión profunda a los parámetros de configuración wireless de RouterOS. Los laboratorios han sido
desarrollados de tal manera que arrojen resultados que serán lo más cercanos a los ambientes reales y típicos en producción.
Para la ejecución de los mismos se deben trabajar con estadísticas obtenidas de las prácticas anotando dichos resultados
en tablas que podrán ser evaluadas a lo largo de los demás laboratorios.
Contenido
1. Banda, Frecuencia, scan-list
2. Herramientas Wireless
3. DFS – Selección Dinámica de frecuencia
4. Análisis de la tabla de registros + Troubleshooting
5. Configuraciones avanzadas para Troubleshooting
6. Modificando data-rates y tx-power
7. Virtual AP
8. Access-List y Connect-List
9. Administración Centralizada Access-list Radius
10. Seguridad Wireless
11. Protegiendo de ataques por “de autenticación” y “clonación de MAC”
12. Wireless WDS y MESH
13. Bridge Transparente Wireless
14. Protocolo Nstreme
15. Protocolo Nstreme Dual
16. 802.11n
17. 802.11ac
MTCUME
MTCUME es una de las cinco certificaciones avanzadas de MikroTik RouterOS
Este curso permitirá al estudiante obtener todos los conocimientos necesarios para comprender el funcionamiento del
paquete User Manager en un RouterOS MikroTik, asociado con los servicios Login(router), Wireless, DHCP, HotSpot, PPP
Contenido
1. PPP
2. PPTP/L2TP
3. PPPoE
4. PPP Bridging
5. IPSec
6. Hotspot
7. RADIUS
MTCRE
MTCRE es una de las cinco certificaciones avanzadas de Mikrotik RouterOS
Este curso permite obtener el expertise necesario para entender el funcionamiento del ruteo estático aplicando diferentes
parámetros de distancia, routing mark, o haciendo uno de ECMP, llegando a la conclusión de que estas técnicas por si solas
no son suficientes para proveer funciones como un Failover confiable
Contenido
1. Ruteo Estático
2. Direccionamiento punto a punto
3. VPN
4. OSPF
5. VRRP
MTCINE
MTCINE es el TOP de las certificaciones avanzadas de MikroTik RouterOS
Es el curso estrella del sistema operativo MikroTik RouterOS y centra su estudio en los protocolos BGP y MPLS
El estudiante podrá entender y fortalecer conceptos como sistemas Autónomos, Algoritmo Path vector, transporte y tipos de
paquetes BGP, iBGP & eBGP, distribución de rutas, loopbacks, atributos de prefijos, reflectores de rutas y confederaciones
BGP.
Contenido
1. BGP
2. Multicast
3. MPLS
4. Ingeniería de trafico
Academy Xperts 50
Introducción a MikroTik
RouterOS & RouterBOARD
por Mauro Escalante

Introducción A MikroTik RouterOS v6.35.4.01 PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Introducción A MikroTik RouterOS v6.35.4.01 PDF

Cargado por

Copyright:

Formatos disponibles

NAS-ROS

RouterOS, RouterBOARD, Licencias

Derechos de autor y marcas registradas

Derechos de autor © por Academy Xperts

Capítulo 3: Firewall Básico ............................................................................................................................... 28

Academy Xperts iii

Convenciones usadas en este libro

Este icono significa un consejo, sugerencia, o una nota general.

Este icono indica una advertencia o precaución.

Partners de Academy Xperts en Latinoamérica

Universidades e Institutos Superiores

Deseas convertirte en Academia o ser Partner de Academy Xperts?

Un poco de Historia (Costa Rica)

Academy Xperts vii

Detalle de cambios en las cinco últimas versiones de

v6.35.4, 09/Junio/2016, 12:02

v6.35.3, 01/Junio/2016, 07:55

Academy Xperts viii

v6.35.2, 02/Mayo/2016, 10:09

v6.35.1, 26/Abril/2016, 09:29

v6.35, 14/Abril/2016, 12:55

- Se implementó el soporte fastpath/fasttrack l2tp y lns

- No se muestra el gateway duplicado en la ruta conectada

Academy Xperts xii

- Se limita la clave OSPF a 16 símbolos

Academy Xperts xiii

Fechas de liberación de las versiones de RouterOS

• Ruteo basado en políticas (Policy based routing)

Qué hay de nuevo en la Versión 6

• API se encuentra habilitado por default

Ejemplo de License Key desde la cuenta en mikrotik.com

Datos importantes sobre las Licencias:

Realizando un Upgrade desde RouterOS v3 (2009)

Cambio de Niveles de Licencias

Uso de las Licencias

Programa Made For MikroTik (MFM)

Por qué trabajar con un router integrado?

Nomenclatura de los productos RouterBOARD

Nombre de la tarjeta (board name)

• (not used) : Tipo de enclosure principal para un producto

Nomenclatura de los productos CloudCoreRouter

Nomenclatura de los productos CloudCoreSwitch

o (not used) - Normal - <23dBm a 6Mbps 802.11a; <24dBm a 6Mbps 802.11g

Capítulo 2: Quick Set

Configuración Básica o dejar el router en Blanco?

Ingresando al Router por Primera vez

WebFig - Ingreso por Web Browser

Pasos para ingresar por Web browser:

• Esperar a que se cargue la interfaz completa:

VPN Access – PPTP

Configuración Modo Router

Configuración Modo Bridge

Debe conocer qué ficheros se necesitan:

Cómo hacer un Upgrade

RouterBoot firmware Upgrade

Paquetes extra de RouterOS

Capítulo 3: Firewall Básico

Conceptos básicos de Firewall

¿Cómo funciona un firewall?

Diagrama de flujo de paquetes en Bridge o Capa 2 (MAC)

Diagrama de flujo de paquetes en Ruteo o Capa 3 (IP)

Estructura: chains y acciones

o Basado en el criterio: todo el tráfico del icmp.