MikroTik – Filtrado Por MAC Address

El filtrado por MAC Address es un mecanismo adicional para limitar las conexiones inalámbricas de los
clientes.

Para agregarlas y poder realizar esta limitación, nos dirigimos a nuestro AP, y en “Registration” que es la
lista de los usuarios registrados, seleccionamos a los clientes deseados, abrimos los detalles con doble
clic en el cliente y damos clic en la sección de “copy to access list“.

Ya podrá ver una nueva entrada en la sección de “access-list”

Access-list

Las listas de acceso se usan en los AP para restringir las conexiones a clientes específicos y controlar sus
parámetros de conexión. Hay que tener en cuenta los siguiente:

Las reglas serán comprobadas secuencialmente.

Sólo se aplicara la primera regla que coincida con todos los parámetros.

Si la opción “Default Authenticate” (en la pestaña de “Wireless” en “Interface->WLAN” de pantalla) no se

encuentra habilitado, los dispositivos que no corresponden a una regla de la lista de acceso serán
rechazados.

Parámetros adicionales:

Authentication Option: Este ítem le dirá al router que compruebe el “security-profile” para determinar si
la conexión se debe permitir. Si no coinciden la autenticación, siempre fallará el acceso.

Forwarding: Opción de reenvío le dirá al router permita a los clientes del AP llegar a la otra sin la ayuda
de otros APs (evitando así las reglas del firewall que pueda tener). Para mayor seguridad, deje sin marcar.

MikroTik – Configurar DNS Server Transparente

Nivel: basico

Todos los equipos en una red de datos, requieren de un DNS-Server que se encarga de traducir los
nombres de dominios de la paginas WEB como lo es por ejemplo: www.syscom.mx para las personas es
mas fácil aprender un nombre, que este es el motivo por el cual se crearon.

Un servidor de DNS transparente consiste en un equipo que puede identificar el trafico de las peticiones
de resolución de nombre de dominio de un cliente y realizar un cambio en el destino de la petición y en
lugar de que el cliente pida la información a un equipo foráneo este se la solicite a un equipo interno,
claro sin que el cliente se de cuenta, y al momento de que la petición nunca salió de la Red LAN, el ancho
de banda no se utilizo en peticiones de resolución de nombre de dominio.

Sintaxis de código:

/ip firewall nat

add action=redirect chain=dstnat dst-port=53 protocol=udp to-ports=53

Metodo de configurazione por Winbox:

Hay que acceder a la ruta en del Menú principal: “IP => Firewall”

Dentro de la ventana de Firewall nos cambiaremos a la pestaña de “NAT“, en donde geeraremos un

nuevo Registro.

Los parametros que se tiene que configurar son:

En la pestaña General:

Chain: dstnat

Protocol: udp

dst-port: 53

En la pestaña Action:

action: redirect

to-port: 53

Como se muestra a continuación:

Al terminar tendremos una regla como la que se muestra en donde todo el trafico que sea de petición
DNS será redireccionado al DNS cache del Router.

MikroTik – Modificar La Mac-Address De Una Interface

Nivel: Intermedio

En este articulo veremos el procedimiento para modificar la mac-address de una interface física
ethernet y/o wireless que tenga un router MikroTik.

Para realizar la modificación se requiere conectarse por alguna de las siguientes maneras:

Winbox

SSH

Si nos conectamos por Winbox hay que acceder a la opción del menú principal en “New Terminal”

Una ves conectado al router se tiene que ejecutar el siguiente comando con la sintaxis correspondiente:

Modificar una la Interface fisica ethernet (cableada)

/ interface ethernet set ether1 mac-address=aa:aa:aa:aa:aa:aa

Modificar una la Interface fisica wireless (inalámbrica)

/ interface wireless set wlan1 mac-address=aa:aa:aa:aa:aa:aa

MikroTik – Realizar Control De Tráfico

Nivel: Intermedio

En este articulo veremos la forma sencilla para realizar el control de trafico o Ancho de Banda que puede
utilizar un cliente en la Red LAN.

Requisitos:

– Para realizar la configuración de este Articulo es necesario llevar a cabo primero la configuración de los
siguientes Artículos:

MikroTik – Configurar Puerto WAN

MikroTik – Configurar Red LAN

Nota Importante:

Si el router ya esta realizando el Balanceo de Cargas por PCC (Clasificación de Conexiones), se requiere
que esta configuración se realice en otro Router.
Diagrama demostrativo de la Implementación:

Clic en la imagen para agrandar.

En este articulo veremos las reglas que se tiene que dar de alta en el router para controlar la velocidad
de conexión que van a tener 2 clientes conectados a la Red LAN, y que cada uno tenga su propia
asignación de velocidad.

Nota:

Para realizar el marcado de las conexiones de los clientes, hay que conocer las direcciones IP que van a
tener los clientes a los que se les limitara el Ancho de Banda.

Sintaxis Código de Configuración:

/ip firewall mangle

add action=mark-connection chain=prerouting comment="Trafico Cliente1" connection-mark=no-mark

dst-address-type=!local new-connection-mark=Cliente1_conn passthrough=yes src-address=192.168.1.2

add action=mark-packet chain=prerouting connection-mark=Cliente1_conn new-packet-

mark=Cliente1_traffic passthrough=no

add action=mark-connection chain=prerouting comment="Trafico Cliente2" connection-mark=no-mark

dst-address-type=!local new-connection-mark=Cliente2_conn passthrough=yes src-address=192.168.1.3

add action=mark-packet chain=prerouting connection-mark=Cliente2_conn new-packet-

mark=Cliente2_traffic passthrough=no

/queue tree

add max-limit=1M name="Servicio Upload" parent=ether1 queue=default

add limit-at=32k max-limit=254k name=Cliente1_Up packet-mark=Cliente1_traffic parent="Servicio

Upload" queue=pcq-upload-default

add limit-at=32k max-limit=128k name=Cliente1_Up packet-mark=Cliente2_traffic parent="Servicio

Upload" queue=pcq-upload-default
add max-limit=10M name="Servicio Download" parent=ether2 queue=default

add limit-at=128k max-limit=2M name=Cliente1_Down packet-mark=Cliente1_traffic parent="Servicio

Download" queue=pcq-download-default

add limit-at=128k max-limit=1M name=Cliente2_Down packet-mark=Cliente2_traffic parent="Servicio

Download" queue=pcq-download-default

Modo de configuración por Medio de Winbox:

Parte 1. Dar de alta el marcado de las conexiones y de los paquetes que proceden de los clientes:

1. Primero accederemos en el menu principal a la opción “IP” posteriormente en la opción “Firewall”

2. En la ventana de “Firewall“, nos cambiaremos a la pestaña de “Mangle” y agregaremos nuevos

registros con el botón “add” (+).

3. En la ventana de New Mangle Rule se dara de alta una nueva con los siguientes parámetros; en esta
regla lo que se realizara es el marcado de las conexiones que realizan cada cliente:

Clic en la imagen para agrandar.

4. Posteriormente se registrara una nueva regla de mangle con los parámetros para identificar el trafico
que se genera por la conexión que esta realizando el cliente:

Clic en la imagen para agrandar.

5. Al dar de alta estas dos reglas tendremos los registros necesarios para poder identificar a un cliente en
especifico:

6. Si se requiere agregar otros clientes solo se tienen que dar de alta con los mismos tipos de parámetros
, pero con su información distintiva.

Repitiendo los pasos #3 y #4, para tener como resultado algo similar a la siguiente imagen, repetir tantas
veces como clientes se requieran controlar el ancho de banda.
Con esto ya tenemos identificados y marcados las conexiones y paquetes que están generando las
peticiones de los clientes.

Parte 2. Asignar un Ancho de Banda al trafico de cada cliente.

1. Para crear las reglas de la velocidad que podrá usar cada cliente se tiene que acceder en el menú
Principal a “Queues”

2. Una vez en la ventana de Queue List hay que cambiarse a la pestaña de “Queue Tree” y aquí
generaremos nuevos registros pulsando el botón “add” (+)

3. De esta forma crearemos un nuevo registro, el cual sera el Servicio Upload, en el cual tiene que tener
la siguiente información:

Este registro es el que especificaremos como Nodo Padre y es el que tendrá especificada la velocidad de
Internet de Subida (Uplink) que tenemos contratada, o que es la que tendrá disponible este router.

Name: Nombre que nos ayudara a identificar el registro.

Parent: Especificaremos la interface WAN por la que recibimos el servicio de Internet, o en otra palabras
por donde enviaremos la información de subida a internet.

Queue Type: es la dirección que tienen los paquetes, es donde le diremos que administraran los
paquetes que van de Subida por la interface WAN.

Max Limit: es la velocidad de subida que nos proporciona el proveedor o la que va a tener este router.

Al finalizar de configurar los datos y guardar tendremos un registro como el que se ve en la imagen
siguiente:

4. Crearemos un nuevo registro el cual dependerá de nuestro registro que se genero en el paso #3.

La información que configuraremos sera la siguiente:

Name: Nombre con el que identificaremos que el registro le pertenece al cliente1 (para este ejemplo),
en el sentido de Subida.

Parent: Indicaremos de quien dependerá el registro del cliente1, lo relacionaremos con el Nodo Padre
que tiene configurada la máxima velocidad de subida y la interface WAN.

Packet Marks: Seleccionaremos la Marca de Paquetes que se genero en la Parte 1, donde estamos
marcando los paquetes que pertenecen a las conexiones de este cliente.

Queue Type: Especificaremos el sentido de los paquetes, para que solo limite los paquetes que van de
Subida.

Limit At: Especificaremos un mínimo de ancho de banda que se le reservara al cliente, para que pueda
empezar a realizar una conexión a internet.

Max Limit: Especificamos la velocidad Maxima a la que puede aspirar ese cliente, siempre y cuando este
disponible en el Router.

5. Así sucesivamente iremos creando un registro por cada uno de los clientes que tengamos en nuestra
Red LAN.

Y tendremos algo similar a la siguiente imagen:

Nota: No se recomienda que el Max Limit de un cliente sea igual al Max Limit del registro Padre, ya que si
un cliente ocupa todo el ancho de banda no habrá disponibilidad para iniciar comunicación con otro
cliente.

6. Para definir la velocidad de descarga hay que generar un nuevo registro Padre con los siguientes
parámetros:

Name: Servicio Download para identificar el nuevo registro.

Parent: La interface principal por donde nos comunicamos con los clientes LAN.

Queue Type: Es la dirección que tienen los paquetes, es donde le diremos que administraran los
paquetes que son de descarga hacia los clientes LAN.

Max Limit: Es la velocidad de descarga que nos proporciona el proveedor o la que va a tener este router.

Al dar de alta el registro tendremos algo similar a lo que se ve en la siguiente imagen:

7. Ahora que ya tenemos el Registro Padre, tenemos que crear los registros de los clientes, dando de alta
un nuevo registro con los siguientes parámetros:

Name: Nombre con el que identificaremos que el registro le pertenece al cliente1 (para este ejemplo),
en el sentido de Descarga.

Parent: Indicaremos de quien dependerá el registro del cliente1, lo relacionaremos con el Nodo Padre
que tiene configurada la máxima velocidad de subida y la interface LAN.

Packet Marks: Seleccionaremos la Marca de Paquetes que se genero en la Parte 1, donde estamos
marcando los paquetes que pertenecen a las conexiones de este cliente.

Queue Type: Especificaremos el sentido de los paquetes, para que solo limite los paquetes que son de
Descarga.

Limit At: Especificaremos un mínimo de ancho de banda que se le reservara al cliente, para que pueda
empezar a realizar una conexión a internet.

Max Limit: Especificamos la velocidad Máxima a la que puede aspirar ese cliente, siempre y cuando este
disponible en el Router.

De esta forma tendremos nuestra Lista de la siguiente forma:

8. Así sucesivamente iremos creando un registro por cada uno de los clientes que tengamos en nuestra
Red LAN.

Y tendremos algo similar a la siguiente imagen:

De esta forma tendremos dos registros por cada cliente, uno para su velocidad de descarga y otro para
su velocidad de subida.

MikroTik – Configurar Password

Nivel: Basico

En este articulo veremos como colocar un password al usuario de inicio de un equipo MikroTik.

Nota Importante: Una vez establecido un password a un usuario no se puede recuperar el password, si
se olvida el password hay que resetear el router.
Para colocar un password lo primero que tenemos que haces es acceder al router a través de Winbox

Una vez en la ventana de Winbox accederemos a la opción “System” y posteriormente a “Users”

Al entrar al User List veremos los usuarios que están registrados en el sistema, para editar el usuario y
colocarle el Password hay que dar doble clic en el registro existente.

Al entrar al registro del usuario veremos la información que tiene, en esta ventana tenemos el Menú en
la parte derecha donde tenemos el botón Password, al que hay que dar clic.

En la ventana de Change Password es donde pondremos el Password, nos aparecen dos cuadros de texto
en donde tenemos que teclear el password en los dos de forma igual.

Para finalizar el dar de alta el Password solo daremos clic en el botón “OK”.

MikroTik – Configuración Firewall Básico

Nivel: Básico

En el siguiente articulo se en listaran las reglas básicas para protección del router y de los equipos
clientes que están en nuestra red.

Requisitos:

– Para realizar la configuración de este Articulo es necesario llevar a cabo primero la configuración de los
siguientes Artículos:

* Articulo: “MikroTik: Configurar puerto WAN” aplicado a un puerto de Red.

* Articulo: “MikroTik – Configurar Red LAN” aplicado a otro puerto de Red.

Configuración a través de Terminal

Sintaxis de código

/ip firewall address-list

add address=192.168.1.0/24 list="Red LAN"

/ip firewall filter

add action=accept chain=input comment=IN_CONN_ESTABLISHED_Y_RELATED connection-

state=established,related log-prefix=""

add action=drop chain=input comment=IN_DROP_CONN_INVALID connection-state=invalid log-prefix=""

add action=accept chain=input comment=IN_CONN_RED_LAN log-prefix="" src-address-list="Red LAN"

add action=drop chain=input comment="IN_DROP_ALL" log-prefix=""

add action=accept chain=forward comment=FW_CONN_ESTABLISHED_Y_RELATED connection-

state=established,related log-prefix=""

add action=drop chain=forward comment=FW_DROP_CONN_INVALID connection-state=invalid log-

prefix=""

add action=accept chain=forward comment=FW_CONN_RED_LAN log-prefix="" src-address-list="Red

LAN"

add action=drop chain=forward comment="FW_DROP_ALL, Excepto DST-NAT" connection-nat-state=!

dstnat log-prefix=""

Configuración a través de Winbox

1. En base a la Red LAN que se definió en el Articulo Previo, tendremos que definir esa Red en una Lista
de Direcciones.

Primero accederemos en nuestro Winbox a IP => Firewall.

En la Ventana Firewall accederemos a la Pestaña Address Lists, y daremos clic en el boton ADD(+).

En la ventana New Firewall Address List registraremos el ID de la Red LAN con un Nombre para
identificarlo y por ultimo damos clic en el boton “OK”.

Con esto ya podemos identificar nuestra Red LAN para futuras referencias.

2.- Ahora nos cambiamos a la Pestaña Filter Rules, y estaremos

Generaremos las siguientes Reglas:

Nota: “Los comentarios son opcionales”

La reglas IN, son para proteger del trafico que tiene como destino nuestro router.

Regla para aceptar solo las conexiones relacionadas y establecidas:

Regla para denegar conexiones invalidas

Regla para aceptar el trafico que viene de nuestra Red LAN

Regla para denegar todo el trafico restante, que no cumple con las condiciones anteriores

Las Reglas FW, son para proteger del trafico que tiene como destino a los clientes del Router.

Regla para aceptar solo las conexiones relacionadas y establecidas

Regla para denegar conexiones invalidas

Regla para aceptar el trafico que saldrá que viene de nuestra Red LAN

Regla para denegar el resto del trafico a través del router, a excepción del trafico que este autorizado con
una regla DST-NAT

Al final tendremos algo como lo siguiente:

MikroTik – Primer Acceso

Nivel: Basico

Para acceder a un equipo MikroTik se requiere descargar la aplicación Winbox, de la pagina web
www.mikrotik.com

Una vez que se descarga la aplicación y se acceda al Winbox veremos la siguiente interface:

Cuando se conecta la computadora a un router mikrotik la aplicación Winbox detectara el router en Capa
2.

Para ver a los equipos hay que cambiar a la pestaña Neighbors:

Si el router mikrotik se encuentra configurado con una dirección IP y la computadora tiene una dirección
IP en el mismo segmento podremos acceder al router dando clic en la IP y para entrar dar clic en el
botón “Connect”.

Si el router no tiene programación y no tiene una dirección IP para acceder a el, se tiene acceder por
medio de mac-address Capa 2.Para esto le daremos clic en la mac-address y solo dar clic en el botón
“Connect”:

MikroTik – Configurar Puerto WAN

Nivel: Básico

En este articulo se vera la configuración un puerto como WAN (Wide Area Network).

Requisitos:

– Para realizar la configuración de este Articulo es necesario llevar a cabo primero la configuración del
siguiente Artículo:

* Articulo: “MikroTik – No Default Configuration“.

Nota Importante:

La configuración que se realizara en este articulo sera en el puerto ether1, no obstante esta
configuración se puede aplicar a cualquier otra interface.

Las direcciones IP’s son meramente representativas del Artículo.

Sintaxis código de configuración a través de Consola o Terminal

Configuración Manual de los parámetros:

/ip address

add address=192.168.0.2/24 interface=ether1

/ip firewall nat

add action=masquerade chain=srcnat out-interface=ether1

/ip dns setallow-remote-requests=yes servers=192.168.0.254

/ip route

add gateway=192.168.0.254
Obtención de la configuración automaticamente:

/ip dhcp-client

add interface=ether1

Configuración a través de Winbox

1.- Configuración Manual:

En la configuración manual nosotros daremos de alta cada uno de los parametros necesarios, esta
configuracion se utiliza principalmente cuando el equipo al que conectamos nuestro router no entrega
direcciones por DHCP.

a) Asignación de la dirección IP a una interface.

Para asignar la dirección IP hay que acceder en nuestro Winbox a: IP => Addresses

En la ventana de Address List.- Se agregan las direcciones IP que van a manejar cada una de las interfaces
que tiene el Router.

Para agregar una nueva IP a una interface solo hay que dar clic al botón de ADD (+).

En la ventana de New Address.- se especificara la dirección IP seguida por la notación simplificada de la

mascara de subred.

– Para nuestro ejemplo usaremos la dirección 192.168.0.2/24, donde /24 simplifica el uso de la mascara
255.255.255.0

– Y se elige a que interface es a la que se quiere aplicar la configuración para nuestro ejemplo estamos
usando la interface ether1.

– Por ultimo solo tenemos que dar clic en el botón “OK”.

De esta forma visualizaremos algo como en la imagen siguiente:

b) Configuración del enmascaramiento

El enmascaramiento es para que el trafico de la Red LAN salga con la dirección IP del puerto WAN. Para
asignar el NAT hay que acceder en nuestro Winbox a: IP => Firewall.

En la ventana de Firewall tendremos que cambiarnos a la Pestaña de NAT, y para agregar una regla de
NAT a una interface solo hay que dar clic al botón de ADD (+).

En la ventana de New NAT Rule.- se especificara el Chain: srcnat y el Out. Interface: ether1 o la interface
que es el Gateway. Y después cambiamos a la pestaña de Action En esta pestaña configuraremos la
Action: masquerade.

De esta forma veremos un registro como el de la siguiente imagen:

c) Configurar el DNS

El DNS es el servicio que tendra el Router para que este pueda resolver los nombres de dominio. Para
asignar la IP del Servidor hay que acceder en nuestro Winbox a: IP => DNS.

En la ventana de DNS Settings.- se especificara o especifican las direcciones IP de los Servidores DNS a los
que va a consultar nuestro Router.

Así como tambien se habilitara la opción Allow Remote Requests

d) Configurar el Gateway

Configurar el Gateway es para poder enviar el trafico al equipo que le esta dando el servicio al router a
travez del puerto WAN. Para asignar el Gateway hay que acceder en nuestro Winbox a: IP => Routes.

En la ventana de Route List.- Se agregan las direcciones destino y el gateway que se utiliza para llegar a
esa direccion.

Para agregar un Gateway solo hay que dar clic al botón de ADD (+).

En la ventana de New Route.- se especifica la Dst. Address 0.0.0.0/0 que es la dirección destino general y
el Gateway: 192.168.0.254, que es la dirección IP del Router que nos esta dando el servicio. Y por ultimo
solo tenemos que dar clic en el botón “OK”.

Con esto tendremos agregado el Gateway y se vera como en la imagen siguiente:

2.- Configuración Automática:

La configuración Automática se utiliza cuando el Router entrega la configuración por DHCP.

Para configurar el Cliente DHCL hay que acceder en nuestro Winbox a: IP => DHCP Client.

En la ventana de DHCP Client.- Se configura que el Router busque y acepte la configuración por medio de
Broadcast por el puerto ether1.

Para agregar el DHCP Client solo hay que dar clic al botón de ADD (+).

En la ventana de New DHCP Client.- se especifica el parámetro Interface: ether1, que es la interface por
la cual vamos a recibir el servicio. Y por ultimo solo tenemos que dar clic en el botón “OK”.

Con esto tendremos la configuración automática, y se vera como en la siguiente imagen.

MikroTik – Realizar No Default Configuration
Nivel: Básico

En este articulo se explicará como borrar la configuración del Router para realizar nuestra propia
configuración posteriormente.

Se recomienda borrar la configuración para que no existan reglas preestablecidas desde fábrica que
pueden hacer que nuestra configuración personalizada no se comporte correctamente.

Comando de terminal para realizar el Reset:

/system reset-configuration no-defaults=yes

Para borrar la configuración actual del router, siga los siguientes pasos en el Winbox:

1. Acceder a la opción Reset Configuration, desde nuestro Winbox en System / Reset Configuration

2. En la Ventana de Reset Configuration: marcaremos la opción No Default Configuration y damos clic en

el botón Reset Configuration

3. Por último el equipo nos pedirá la confirmación de resetear el Router.

Este procedimiento se puede aplicar a todos los modelos de RouterBoard. con excepcion de los switches
RB260GS y RB260GSP.