Configuración de mikro tik para thundercache

Instalación y Licenciamiento
1. Instalar MikroTik desde Cero (Sólo para x86)
2. Primer Paso: Conectarse al servidor MikroTik desde Winbox
3. Cómo licenciar MikroTik por primera vez (Sólo para x86 y
para RB's del que se quiera actualizar la licencia)
4. MikroTeka de versiones antiguas

Empezando a Configurar nuestro
Servidor
1. Base Generales y cómo entender las Guías
2. Reconocer y Nombrar las tarjetas de red del Servidor
3. Configurar WAN y LAN para conectarse a internet desde el
servidor
4. Asignar un ancho de banda específico a los Clientes

Amarre IP/MAC
1. Configurar amarre IP/MAC por ARP

Configurar MikroTik DNS
1. Configurar el DNS Caché de MikroTik
2. Configurar DNS Caché Transparente

Configurar MikroTik en modo
PPPoE Cliente

1. Configurar MikroTik en modo PPPoE-Client para router
modo Bridge

Configurar MikroTik WebProxy
1. Configurar MikroTik WebProxy (WebCaché)
2. Configurar WebProxy Transparente
3. Liberar Velocidad de WebProxy (Full Caché)
4. Ver el contenido Cacheado por WebProxy
5. Configurar disco duro secundario dedicado al cache

Un poco de Seguridad
1. Evitar ataque a MikroTik WebProxy y DNS Caché
2. Evitar ataque de Ping sl servidor MikroTik
3. Prevenir ataque SSH y FTP

Configurar MikroTik DHCP Server
1. Configurar MikroTik DHCP Server (dar IP's
automáticamente) Parte1

QoS (Quality of Service o Calidad de
Servicio)
1. QoS Parte 1: Mangle
2. QoS Parte 2: Queue Tree
3. QoS estático: Queue Tree + Mangle

Configurar MikroTik para
Redireccionar a nuestros Clientes a
ThunderCache
1. Redireccionar nuestros clientes a ThunderCache utilizando
MikroTik (Proxy Paralelo)
2. Configurar ThunderCache como Parent Proxy de MikroTik
3. Configurar MikroTik para hacer Full Caché con Thunder

Tutoriales sobre ThunderCache
Profesional
1. Configuración inicial en MikroTik para Thunder 7 en
Paralelo.
2. Activación de AHCI antes de la instalación.
3. Instalación de ThunderCache Profesional en el Servidor.
4. Configuración del Panel de Control.
5. Configuración de ThunderCenter.
6. Redirección a Thunder 7 y Full Cache.
7. Habilitar servidor WEB con ThunderCache Profesional

Configurar MikroTik Hotspot
1. Configurar MikroTik Hotspot (Portal Cautivo)
2. Enviar mensajes a los clientes utilizando Hotspot
3. Cortar Internet al Cliente y Notificar falta de Pago
Utilizando Hotspot
4. Forzar página de inicio de los clientes con Hotspot

Tareas Administrativas
1. Configurar -correctamente- la hora en MikroTik (x86/RB)
2. Reiniciar el Servidor MikroTik automáticamente
3. Apagar el Servidor MikroTik automáticamente
4. Actualizar MikroTik RouterOS para PC / x86 y
RouterBOARDS

Redireccionamientos
1. Redireccionar puertos con MikroTik
2. Activar "IP NAT Loopback" en MikroTik para DoTA (Warcraft
III)
3. Cambiar el logo de Google con MikroTik

Puertos y Conexiones
1. Torch: Ver conexiones y consumo de nuestros usuarios
2. Total de tráfico consumido y sesiones NAT

Balanceo de Carga
1. Balanceo de carga PCC para 3 WAN en un RB750G

Reparación de RouterBOARDS
1. Reparar RouterBOARDS reinstalando MikroTik con
Netinstall

Lo que deberías saber
1. Qué es el Ping
2. Conseguir un buen enlace WiFi

Cómo instalar MikroTik RouterOS desde Cero
Bueno, esta guía va dedicada a los que me piden
instrucciones de cómo instalar su MikroTik para que luego sea
licenciado y configurado .

En primer lugar, es necesario descargar el ISO de MikroTik,
en este caso será la versión 4.16 que la pueden descargar
directamente desde mikrotik.com, o siguiendo este link.
Claro, también está mi sección descargas donde sólo colocaré
las versiones de MikroTik que considere estables .

Una vez que se tenga el ISO hay grabarlo en un CD, el
programa para hacerlo ya es a gusto de cada uno, que puede
ser Nero, CDBurnerXP (Bueno, Bonito y... Gratis! Lo
recomiendo), etc .

Paso siguiente es configurar el PC para que inicie del CD, si es
que no está configurado así. Este paso no necesita mucha
explicación ya que es lo mismo que se hace cuando se va a
instalar cualquier sistema operativo, por ejemplo Windows
XP.

Una vez que el CD inicie mostrará una pantalla para elegir
qué paquetes instalar .

Con las teclas direccionales nos colocaremos encima del
paquete que queremos instalar, y con ayuda de la barra
espaciadora los seleccionaremos. Los paquetes que están
seleccionados en la imagen son los que suelo instalar en los
servidores que vendo, inclusive para el nivel 'novato' puede
ser prescindible el paquete routing, security y wireless (si es
que no se va a instalar una tarjeta wireless para hacer
trabajar al server como AP).

Una vez que los paquetes estén selecionados, presionaremos
la tecla 'i' para empezar con la instalación de MikroTik
RouterOS en el disco duro.

En el proceso nos aparecerán los siguientes mensajes:

Do you want to keep old configuration? [y/n]:

¿Desea mantener la configuración anterior?

Presionamos la tecla 'n' ya que no tenemos una configuración
anterior que mantener.

Warning: all data in the disk will be erased! Continue? [y/n]:

Advertencia: todos los datos en el disco serán eliminados! ¿Continuar?
Presionamos la tecla 'y' para que empiece a particionar y
formatear el disco o unidad de almacenamiento. El proceso
puede demorar dependiendo de la capacidad del disco que se
haya elegido para hacer la instalación .

Una vez que el disco duro esté particionado y formateado, los
paquetes seleccionados se instalarán automáticamente y al
finalizar tedremos el mensaje:

Software installed
Press ENTER to reboot

Software instalado
Presione ENTER para reiniciar
Ya en este punto hay que retirar el CD de instalación y
presionar la tecla 'enter' para que el PC reinicie y el sistema
cargue directamente del disco duro.

Tendremos este mensaje:

It is recomended to check your disk drive for errors,
but it may take a while (~1min for 1Gb).
It can be done later with "/system check-disk".
Do you want to do it now? [y/N]

Es recomendable comprobar que su unidad de disco esté libre de
errores,
pero puede tomar algún tiempo (~1min para 1Gb).
puede hacerse más tarce con "/sistem check-disk".
¿Quiere hacerlo ahora?

Presionaremos la tecla 'n' para evitar la comprobación de
disco.

Una vez hecho esto tendremos la clásica pantalla de login de
MikroTik.

El usuario ó login y password por defecto son:

Login: admin
Password:
Bueno, creo que se sobreentiende que no tiene password
alguno, así que aquí lo dejamos vacío.
Presionamos enter para terminar de loguearnos
.

Una vez logueados veremos una notificación del servidor que
nos dice que nuestro sistema no tiene licencia, y que tenemos
menos de 24 horas para probarlo. ..

Claro, tenemos menos de 24 horas para colocarle la licencia,
o simplemente nuestro sistema expirará (no permitirá acceso
alguno, empezarán a sonar muchos 'beeps' y se apagará
automáticamente) lo que inutilizaría su uso y posterior
licenciamiento. Si esto llegara a ocurrir, no queda otra que
volver a reinstalar el sistema siguiendo los pasos de esta guía
desde el inicio .

Es bastante recomendable verificar que MikroTik RouterOS
haya reconocido absolutamente todas nuestras tarjetas de
red, inclusive las wireless, si es que hubiésemos instalado
alguna, para eso escribimos el siguiente comando en la
consola y luego presionaremos 'enter':

Código:
/interface print

La imagen muestra que MikroTik ha reconocido 2 tarjetas de
red en nuestro PC, que es justamente el total de tarjetas de
red que tiene el PC en este momento. Si tuviesemos más
tarjetas de red, entonces tendrían que aparecer en la lista. Si
fuera una tarjeta wireless, el nombre por defecto de este tipo
de tarjetas es wlan1 .

Nota: MikroTik RouterOS sólo reconocerá las tarjetas wireless
que utilicen chipset Atheros .

Si no apareciera el total de tarjetas instaladas en el PC server,
esto se debe casi siempre a:
 Tarjeta de red dañada.
 Conectores de la tarjeta sucios, o inclusive puede ser
suciedad en el mismo slot PCI.
 La placa madre, por antiguedad, limitación de diseño o
chipset, no puede soportar determinada cantidad,
marcas, ó modelos de tarjetas. Esto suele suceder con
las tarjetas wireless en placas antiguas, inclusive
problemas de IRQ.

 La tarjeta es un modelo bastante nuevo, o raro, que
MikroTik no puede reconocerla.
 etc.
Tengan en cuenta que no existen drivers para MikroTik
RouterOS que se puedan descargar e instalar.
Absolutamente todos los drivers vienen dentro de los
paquetes de Mikrotik que instalamos previamente, así
que no se dejen engañar por 'estafadores' que dicen
tener drivers para todas las placas y tarjetas.

Con esto ya se tiene el Sistema Operativo MikroTik
RouterOS instalado en el PC servidor, ahora sólo falta
licenciar el software y empezar la configuración.

Primer Paso: Conectarse al Servidor MikroTik desde
Winbox
Cómo licenciar MikroTik RouterOS por primera vez

Primer Paso: Conectarse al Servidor MikroTik desde
Winbox
Bueno, luego de la instalación de MikroTik RouterOS tenemos
que aprender a conectarnos al servidor. Si bien hay muchas
formas de hacerlo, la mayoría son para hacerlo en modo
consola, es decir, línea de comandos no muy amigables al
usuario que recién se inicia .

Winbox es el método más amigable para conectarnos al
servidor, ya que podremos conectarnos al servidor desde
cualquier PC con windows, y lo mejor de todo, con las
ventanas que tanto gustan y que además nos hacen la vida
más fácil.

Para empezar, es necesario tener winbox a la mano, como
mencioné en el párrafo anterior, winbox es la utilidad que nos
permite comunicarnos con nuestro servidor desde cualquier
PC con windows. Lo pueden descargar desde mi página de

descargas, o desde mikrotik.com .

Una vez abierto, veremos una ventana como esta:

Una vez abierto, hay que presionar el botón con puntos
suspensivos (...) para poder escanear los dispositivos que
tengan instalado MikroTik RouterOS en la red, en este caso, la
imagen muestra sólo un dispositivo, que es el servidor que
instalamos previamente.

Como es una nueva instalación, esta no cuenta aún con un IP,
así que nos conectaremos por MAC, para eso seleccionaremos
la MAC tal como nos muestra la imagen .

Una vez que se haya colocado la MAC en el cuadro Connect
To es hora de presionar el botón Connect para establecer
conexión con nuestro servidor .

Cuando es la primera vez que nos conectamos al servidor,
winbox descarga los módulos necesarios para mostranos
todas las características del servidor .

Algunas veces y por distintos motivos, esta descarga de

módulos puede llegar a fallar, por lo que se debería repetir la
operación una vez más hasta que logre establecer la correcta
comunicación entre winbox y el servidor. Tengan en cuenta
que conectarse por MAC no es tan estable como conectarse
por IP, así que luego del licenciamiento, y cuando el servidor
tenga la respectiva configuración, se debería de dar
preferencia a la conexión por IP .

Cuando la conexión esté establecida, deberíamos de tener la
ventana principal de winbox lista para licenciar el software,
configurar, administrar y monitorizar a nuestros clientes, etc.

Nota: Si no se puede llevar a cabo la conexión entre winbox y
el servidor a punto tal que no aparezca la MAC en el escaneo
de dispositivos MikroTik, esta puede deberse a una falla de la
tarjeta de red, cable de red en mal estado, un firewall

activado, un antivirus agresivo, etc. así que habría que dar
con el problema para poder conectarnos apropiadamente.

Cómo licenciar MikroTik RouterOS por primera vez
Una vez que el sistema está instalado, es necesario licenciar
el software para quitar el límite de 24 horas y así poder usar
nuestro servidor cómodamente .

Las licencias MikroTik son de por vida, sea la licencia que
sea, y si las compraron en mikrotik.com vienen con 15 a 30
días de soporte oficial via email. Si no se utiliza User
Manager entonces la única diferencia entre los level 4, 5 y 6,
es la cantidad de usuarios que pueden manejar, que sería
200, 500, e ilimitados usuarios respectivamente .

Una vez conectados al servidor mediante winbox, este nos
mostrará una ventana advirtiéndonos que nuestro servidor no
tiene una licencia, y que dejará de funcionar en menos de 24
horas.

Presionamos el botón License para ir a la ventana de licencia,
o también se puede llegar a través de System -> License

Una vez ahí, seleccionamos el Software ID (SoftID), le damos
click derecho y seleccionamos Copy para tener el SoftID en el
portapapeles.

Lo único que necesitamos para poder obtener la licencia
(clave de licencia) es el SoftID. Hay 2 formas de comprar
licencias MikroTik, una es que la obtengamos comprándola
directamente a mikrotik.com y otra es comprándola a un
reseller, comprarla a este último es casi siempre más barato.
En cualquiera de las 2 formas, nos tendrán que proveer
la clave de licencia para 'instalarla' en nuestro servidor.

En el caso de querer comprar la licencia directamente a
mikrotik.com, hay que registrarse como usuario y pedir
aprobación de nuestra tarjeta de crédito para proceder a

comprar licencias directamente. Una vez aprobado, el sistema
es bastante simple.

Purchase a key (Comprar una clave de licencia)

Seleccionar el
level de licencia a
comprar, para la
mayoría, al
menos aquí en
Perú, basta con el
level 4.

Colocar
el SoftID que
obtuvimos
en System ->
License, es
recomendable
revisarlo al
menos 2 veces
para no llevarse
malas sorpresas,
ya que una vez
generada una
clave de licencia
de un SoftID de 8
dígitos, no hay
vuelta atrás.

Elegir el Board Type, para nuestro caso, es x86 system. Ya si

se quisiera actualizar una licencia para RouterBOARD, sólo
habría que seleccionarla.

Aquí piden la
confirmación de la
compra, ya sea para
pagar por tarjeta o
por prepaid key. Yo
dispongo de esta
última opción ya que
tengo claves de
licencia prepagadas
en mi cuenta.

Luego de esta
confirmación llegará
la clave de licencia al
correo que se utilizó
para el registro, o
también la pueden
ver directamente
en all keys junto con
todas las otras claves
de licencia
compradas.

El objetivo de todo esto es tener la clave de licencia, que es
un código como este:

-----BEGIN MIKROTIK SOFTWARE KEY------------
SS5+bR2Hs3JZSPm78pHboXRNxabp35Oq8Hr62d0v4Uzb
Y6oTroGSJlFJZsB5hm+vGNtyA3EI7N5XYCl9NcfAHA==
-----END MIKROTIK SOFTWARE KEY--------------

Nota:Se puede evitar todo este proceso engorroso si se
compra la licencia a través de un reseller, en mi caso vendo
las licencias a S/.100.00 Nuevos Soles. Simplemente me
tendrían que proporcionar el SoftID y minutos después
mandaría la clave de licencia al correo que me indiquen.

Bueno, ya tenemos la clave de licencia, ahora sólo falta
agregarla al servidor. Esta ya es la parte más fácil,
simplemente tenemos que "copiar y pegar" la clave de
licencia al New Terminal de nuestro winbox.

Seleccionamos toda la clave de licencencia y luego
hacemos click derecho -> copiar. Ya dentro de winbox vamos
a New Terminal, y nos saldrá el aviso que nos indica la falta
de licencia, presionamos 'enter' para continuar.

Simplemente toca pegar la clave de licencia haciendo click
derecho -> Paste

Una vez que la clave de licencia esté pegada, presionamos
enter y nos saldrá el siguiente mensaje:

You must reboot before new key takes effect. Reboot? [y/N]

Debe de reiniciar el sistema para que la clave tome efecto. Reiniciar?
Presionamos la tecla 'y' para que valide nuestra licencia.

Ya luego de esto, cuando nos conectemos al servidor, no
tendremos más avisos de falta de licencia. De esta manera
nuestro servidor estará debidamente licenciado y listo para
proceder con las configuraciones que deseemos.

Puntos a tomar en cuenta:
 El SoftID es un código único que se genera a partir del
Nº de serie y demás características únicas del disco
duro, por lo tanto, no es posible clonar el disco duro para
poder utilizar la misma clave de licencia, ya que el
SoftID cambiaría de un disco a otro.
 La licencia (clave de licencia) se guarda en una partición
especial en el disco duro, por lo tanto, si se modifica o se
borra tal partición, perderíamos irremediablemente la
licencia.
 Si se llegara a dañar la instalación y se necesitara volver
a instalar el sistema, esto se tendría que hacer
únicamente con el CD instalador de MikroTik o por
NetInstall, ya que estos no tocan la partición de la
licencia al momento de particionar, formatear y volver a
instalar el sistema.
 Si el disco duro que contiene la licencia se llegara a
dañar, no hay manera de recuperar la licencia, así que el
procedimiento normal es comprar una nueva licencia.

Bases Generales y cómo entender las Guías
Es muy bueno conocer ciertas cosas básicas acerca de
MikroTik, esto a que en mis siguientes manuales los haré
dando por hecho que el lector ya las conoce.

Opciones Generales WinBox:

Cuando entremos a Winbox y nos conectemos al servidor,
veremos una ventana con menús, tal como esta imagen.

1. Botón Deshacer y Rehacer, tal como si utilizaramos
Word, si llegaramos a borrar o modificar una regla

accidentalmente, podemos utilizar el botón "deshacer" para
revertir el cambio realizado, tiene una buena memoria así que
podemos revertir los cambios de toda nuestra sesión en
WinBox, del mismo modo con el botón rehacer, salvo que este
último hace todo lo contrario.

2. Hide Passwords, cuando esta opción está marcada,
ocultará todos los passwords de nuestro sistema con
asteriscos (********); por ejemplo, los passwords de los
clientes PPP, Hotspot, acceso al sistema, etc.

3. Menú Lateral y 4. Submenú, son el conjunto de opciones
que cuenta WinBox para hacer la configuración o el
monitoreo, algunas de esas opciones también cuentan con
submenús.

Haciendo un resumen de estos menús, tienemos a:

Intefaces, donde nos mostrará todas las tarjetas conectadas
al servidor, incluyendo las tarjetas wireless, interfaces
virtuales como pppoe-client, vLAN, vAP, etc. nos mostrará
también, casi en tiempo real, el tráfico que está pasando por
estas interfaces.

Wireless, si tuvieramos conectado una tarjeta wireless con
chipset atheros, tendriamos la opción wireless para configurar
esa tarjeta como un access point, cliente wireless, escanear
redes, ver el estado de utilización de un canal, ver los clientes
conectados a esta tarjeta, su estado, etc.

IP, aquí encontraremos un submenú con todas las opciones
que hagan referencia a IP como por ejemplo:

 Addresses, donde asignaremos IP's a las interfaces de
red.
 Firewall, donde entraremos opciones para bloqueo de
IP's, puertos, NAT, marcado de paquetes, etc.

 Hotspot, para configurar un hotspot server, y que
nuestros clientes tengan acceso a internet mediante un
usuario y clave.
 Routes, para asignar políticas de routeo.
 Webproxy, donde configuraremos el webcache de
MikroTik, bloqueo de páginas, etc.
 etc.
System, encontraremos opciones relativas al sistema, como
por ejemplo:
 Clock, aquí podremos configurar la hora en nuestro
servidor.
 License, podremos ver el estado de nuestra licencia de
uso de MikroTik RouterOS, así como el SoftID para el
posterior licenciamiento.
 Password, donde colocaremos una contraseña para
asegurar el acceso a nuestro servidor.
 Reboot, para reiniciar el servidor.
 Resources, aquí aparecerá el estado físico del servidor
como, la cantidad de memoria que tenemos, memoria
libre, tipo de procesador, velocidad del procesador,
espacio del disco duro, espacio libre, tiempo que lleva el
servidor encendido, etc.
 Shutdown, para apagar el servidor.
 etc.
Queues, aquí podremos encontrar opciones para poder
limitar la velocidad de nuestros clientes, asignar límites
globales de velocidad, priorización de servicios, etc.

Files, veremos el direcctorio principal de MikroTik, donde
podremos crear backups de nuestra configuración y también
restaurarlos, además de poder ver los archivos "log", la
carpeta donde se almacena el portal cautivo de hotspot.

Tools, encontraremos herramientas generales de MikroTik,
como ping, torch (para escanear conexiones), etc.

New Terminal, que es la consola MikroTik, donde podremos
acceder a todas las opciones y configurarlas por línea de

comandos, es lo más práctico cuando se trata de muchas
configuraciones, ya que podemos "pegar" listas de comandos
para evitar todo el trabajoso proceso de hacer una
configuración regla por regla.

Pestañas, Opciones de Ventana y Columnas.

Además de los Menús y Submenús, también encontraremos
pestañas entra las opciones de MikroTik:

Dependiendo del tamaño de la ventana que utilicemos, o
inclusive el tamaño y resolución de nuestro monitor,
podríamos tener 'pestañas ocultas', como por ejemplo en la
imagen de arriba, donde la pestaña cookies está
completamente oculta, así que se debería usar el botón (...)
para poder acceder a esa pesetaña.
En esta ventana también tendremos opciones para poder
agregar, eliminar, habilitar y deshabilitar reglas:

(+) Agregar Regla, atajo de teclado: (A)dd.
(–) Remover Regla, atajo de teclado: (R)emove.
(✓) Habilitar Regla, atajo de teclado: (E)nable.
(x) Deshabilitar Regla, atajo de teclado: (D)isable.

Al igual que con el Explorador de Windows, nosotros podemos
ordenar las reglas con la ayuda de las columnas:

Si por ejemplo, presionamos el botón de columna: #, las
reglas se ordenarán numéricamente, si presionamos el botón
de columna: Name, entonces las reglas se ordenarán
alfabéticamente, etc.

Podemos ver las columnas disponibles y agregarlas a lo que
necesitemos:

Muchas de mis guías serán bastante simples ya que las
explicaré con imágenes "paso a paso", pero otras serán
únicamente escritas en código para ser editado (a nuestra
configuración) y pegado en New Terminal. El punto de esto
es explicar cómo se utiliza estas guías basadas en código.

Por ejemplo, podrían ver una guía con código parecido a este:

Código:
/ip firewall filter
add action=drop chain=input comment="Bloqueo webproxy
externo" disabled=no dst-port=8080 in-interface=ether1
protocol=tcp

¿Cómo lo utilizamos?

En primera lugar, copiamos todo el código, luego iremos
a New Terminal y pegaremos el código ahí (click
derecho, paste), quizá necesitemos presionar enter para
aceptar el código.

Quizá no sea tan fácil como parece ya que tendríamos que
editar el código a nuestras necesidades, por ejemplo, en esa
regla se tendría que modificar el in-interface a lo que
nosotros tengamos como in-interface, quiero decir, que en la
guía el in-interface es ether1, pero posiblemente nuestra in-
interface seaWAN1, Speedy, Internet, etc. y no
necesariamente ether1. Tengan en cuenta que estos nombres
son sólo eso, nombres que nosotros modificamos
enInterface.

En todo caso, esta modificación no la tendrán que advinar, ya
que en la guía mencionaré que in-interface debe ser
modificada por el nombre de interfaz que nosotros tengamos
o al lo que apuntemos. Por cierto, este código sirve para
bloquear todo acceso externo a nuestro webproxy, por lo
que in-interface tendría que ser nuestra interfaz de red
"WAN."

Ya sólo como comentario y para hacerse una idea, con un
poco de análisis notarán que la primera línea: /ip firewall filter
corresponde al menú de WinBox IP -> Firewall -
> pestaña Filter, que en imágen sería:

De la segunda línea, add quiere decir "Agregar nueva Regla" y
todas las demás opciones de esta segunda línea las
encontraremos en la ventana que se abrirá luego de
presionar (+).

Bueno, el objetivo de esta guía no es mostrar cómo se usa
una regla en código para luego colocarla 'paso a paso' en las
ventanas de winbox ... no del todo al menos.

Reconocer y Nombrar las Tarjetas de Red conectadas al
Servidor
Lo primero que haremos será reconocer las tarjetas de red
que tenemos instaladas físicamente y qué nombre tienen
éstas según MikroTik. Si leyeron el manual de instalación de
MikroTik desde cero sabrán que por defecto MikroTik nombra
a las tarjetas como ether1, ether2, ether3... etc. de igual
manera si tuvieramos tarjetas wireless conectadas, a estas
las nombra como wlan1, wlan2, wlan3... etc. Pero aun
sabiendo los nombres, no sabemos a ciencia cierta qué tarjeta
conectada físicamente al servidor es ether1, ether2 o ether3,
etc.

Supongamos que la imagen de abajo son las 2 tarjetas
instaladas en el servidor, donde la tarjeta de arriba la
llamaremos tarjeta A y la de abajo tarjeta B. Quizá nuestra
lógica nos diga que la tarjeta A es ether1 y la tarjeta
B es ether2, lo cual podría ser cierto, pero no
necesariamente, ya que dependiendo de la placa madre,
podría ser todo lo contrario, osea que la tarjeta A sea ether2,
y la tarjeta B sea ether1. Si tenemos más tarjetas
conectadas, incluyendo las tarjetas integradas, posiblemente
todo sea más desordenado.

Entonces vamos al grano. Conectamos una sóla tarjeta del
servidor al switch general y nos entramos al servidor desde
winbox. Ya en winbox vamos aInterfaces y en la
pestaña interface veremos la lista de tarjetas de red
reconocidas por MikroTik. Según la imagen de abajo podemos
darnos cuenta que existe un movimiento
en Tx y Rx de ether1, eso quiere decir que ether1 es el
nombre de esa única tarjeta conectada al servidor. Sería
bueno hacerle una marca a la tarjeta indicando su nombre
para no olvidarla.

Ya es de suponer que ether2 es la tarjeta que está
desconectada del servidor. Si es que se tuviera más de
2 tarjetas conectadas se debería repetir el proceso con
la siguiente tarjeta y así sucesivamente.

Una vez que sepamos a qué "ether#" corresponde cada
una de las tarjetas, podemos cambiarles el nombre
fácilmente haciendo doble click encima de su nombre,
de la imagen de abajo, se puede ver el ejemplo. Quizá
se quiera restructurar el orden de las "ether#", para
que estén también ordenadas físicamente, por ejemplo,
tarjeta integrada como ether1, primera tarjeta
independiente como ether2, etc. Ya es decisión de cada
uno colocar el orden que se desee.

Muchas veces veo servidores con nombres muy
diversos, o con el típico "WAN" y "LAN", sinceramente
me es algo 'fastidioso' ya el nombre también debería de
indicar un orden en las tarjetas, así que para evitarme
problemas utilizo siempre los nombres por defecto
(aveces acomodados para guardar un orden) como
ether1 y ether2, pero dejo un comentario para
identificar a qué corresponden, tal como la imagen de
abajo:

Como pueden apreciar, el nombre de la tarjeta es el
mismo: ether2, salvo que utilizo el
botón Comment para hacer un comentario a la regla y
así poder identificarla con facilidad.

Nota: El botón Comment se puede utilizar en
absolutamente todas las reglas en MikroTik, es MUY
recomendable usarla, y más si se está aprendiendo a
configurar.

Así tenemos las 2 tarjetas de red ya identificadas y
'nombradas' listas para proceder con la configuración.

Configurar WAN y LAN para conectarse a Internet desde el
Servidor
Luego de tanto preludio, al fin empezamos a configurar. El
objetivo de esta guía es poder conectarnos a internet a través

del servidor y así poder seguir configurando; claro, también
probaremos lo que estamos haciendo.

El esquema de la red es el siguiente:

Ya sabemos que el servidor cuenta con 2 tarjetas de red, una
que será nuestra WAN y otra que será nuestra LAN. Sólo para
recalcar, ya que esto deberían de saberlo, WAN es la interfaz
de red que se conectará al router y de la que nuestro servidor
se conectará a internet, y LAN es la interfaz de red a la que

nuestros clientes se conectarán, incluyendo nosotros ya que
vendríamos a ser clientes del servidor.

Tal como se ve en la imagen de arriba, se puede conectar un
switch a la tarjeta LAN para así poder conectar todos los
dispositivos que queramos, ya sean Access Points, PC's,
Equipos VoIP, etc.

1.- Agregamos un IP a WAN (tarjeta de red WAN o interfaz de
red WAN) para que nuestro servidor se puede comunicar con
el router. Para eso nos vamos aIP -> Addresses y
agregamos una nueva regla (+)

Address, aquí colocaremos el WAN IP del servidor, este IP
tiene que estar en el mismo rango de red que la IP de nuestro
router, del ejemplo, el IP es: 192.168.1.2, Quizá se estén

preguntando qué quiere decir el "/24" que se encuentra al
final del IP; bueno, el "/24" corresponde a a máscara de
subred, en este caso quiere decir 255.255.255.0.

Interface, seleccionamos a qué interfaz de red asignaremos
esta IP, en este caso elegiremos ether1, que está haciendo
referencia a WAN. Esta referencia sólo aparecerá si hemos
colocado un comentario a las "ether#" en Intefaces. Para
saber más de esto último, sugiero dar lectura a esta guía.

Network y Broadcast, no es necesario configurarlas
manualmente ya que al momento de colocar el "/24"
en Address, estas 2 opciones se configurarán
automáticamente al momento de hacer click en el
botón Apply u OK.

2.- Agregamos un IP a LAN (tarjeta de red LAN o interfaz de
red LAN) para que podamos conectarnos al servidor. Esta IP
será nuestra nueva puerta de enlace, y tiene que ser una red
diferente a WAN, por lo tanto no podrá ser 192.168.1.X.

El proceso es similar al anterior, salvo que aquí utilicé, como
opcional, el botón Comment para dejar un comentario a la
regla que acabo de crear y así poder reconocerla fácilmente.

3.- Una vez que tengamos las IP's configuradas para cada
tarjeta, tocará hacer el "enmascarado", para eso vamos a IP
-> Firewall -> Pestaña NAT, y agregamos una nueva
regla (+)

3a.- En la ventana que se abrirá, iremos a la
pestaña General.

Chain, seleccionamos scrnat. Aunque siempre está así por
defecto cuando se crea una nueva regla...

Out. Interface, seleccionaremos nuestra interfaz WAN, en
este caso es ether1.

3b.- Pasamos a la pestaña Action.

Action, eligiremos masquerade que nos permitirá
enmascarar nuestras conexiones a detrás de la WAN IP, y así
aislar nuestra red LAN.

En realidad existen muchas maneras de trabajar el
enmascarado, aunque personalmente uso y recomiendo esta,
así que no se sorprendan si ven una manera diferente de
enmascaramiento en otras guías.

4.- Como cuarto y último paso: hacer el ruteo a una puerta de
enlace disponible, en realidad es bastante simple ya que sólo
hay que especificar el Gatewayo puerta de enlace donde el
servidor se conectará a internet, de nuestro ejemplo, la
puerta de enlace para el servidor, será la IP del router; del
ejemplo, es 192.168.1.1, para eso nos vamos a IP ->
Routes.

Ya en la ventana Route List, veremos que hay 2 reglas que
nosotros no agregamos. Esto es normal ya que ahí se agregan
las rutas de las IP's que asignamos previamente a las tarjetas
de red en Address List. Para agregar la puerta de enlace que
usará nuestro servidor, vamos a la pestaña Routes y
agregamos una nueva regla (+).

Gateway, aquí sólo colocaremos la puerta de enlace del
router (el IP del router), de esta manera le estamos diciendo
al servidor de dónde tiene que sacar internet para repartirlo a
nuestros clientes .

Como opcional, le coloqué un comentario a la regla con la
ayuda del botón Comment .

Con esto la interfaz de red LAN (ether2 en este ejemplo) ya
debería de tener internet si es que conectamos los cables
correctamente (ver primera imagen), sólo hay configurar las
tarjetas de red de los clientes para para iniciar conexión.
Teniendo en cuenta que nuestra nueva puerta de enlace es

192.168.10.1, entonces el cliente debería de tener esta
configuración de acuerdo a ese rango de red. Un ejemplo
desde un cliente con Windows 7:

En este caso he colocado los DNS de Telefónica. Ya si utilizan
DNS de otro proveedor, tendrían que colocar, el que les
corresponde.

Nota: Tengan en cuenta que hice esta guía siguiendo el
esquema de red de la primera imágen, con las IP's que están
ahí establecidas. Si se tiene una red diferente, con IP's
diferentes, sólo es necesario adaptarlo a sus necesidades. Por
ejemplo, si se quiere usar como LAN IP (o puerta de enlace de
los clientes) el 192.168.1.1, pero el router también es
192.168.1.1, entonces sólo es necesario cambiar la IP del

router a por ejemplo, 192.168.0.1, y luego seguir la guía con
los valores adaptados.

Configurar WAN y LAN para conectarse a Internet desde el
Servidor
Luego de tanto preludio, al fin empezamos a configurar. El
objetivo de esta guía es poder conectarnos a internet a través
del servidor y así poder seguir configurando; claro, también
probaremos lo que estamos haciendo .

El esquema de la red es el siguiente :

Ya sabemos que el servidor cuenta con 2 tarjetas de red, una
que será nuestra WAN y otra que será nuestra LAN. Sólo para
recalcar, ya que esto deberían de saberlo, WAN es la interfaz
de red que se conectará al router y de la que nuestro servidor
se conectará a internet, y LAN es la interfaz de red a la que
nuestros clientes se conectarán, incluyendo nosotros ya que
vendríamos a ser clientes del servidor .

Tal como se ve en la imagen de arriba, se puede conectar un
switch a la tarjeta LAN para así poder conectar todos los
dispositivos que queramos, ya sean Access Points, PC's,
Equipos VoIP, etc .

1.- Agregamos un IP a WAN (tarjeta de red WAN o interfaz de

red WAN) para que nuestro servidor se puede comunicar con
el router. Para eso nos vamos aIP -> Addresses y
agregamos una nueva regla (+)

Address, aquí colocaremos el WAN IP del servidor, este IP
tiene que estar en el mismo rango de red que la IP de nuestro
router, del ejemplo, el IP es: 192.168.1.2, Quizá se estén
preguntando qué quiere decir el "/24" que se encuentra al
final del IP; bueno, el "/24" corresponde a a máscara de
subred, en este caso quiere decir 255.255.255.0.

Interface, seleccionamos a qué interfaz de red asignaremos
esta IP, en este caso elegiremos ether1, que está haciendo
referencia a WAN. Esta referencia sólo aparecerá si hemos
colocado un comentario a las "ether#" en Intefaces. Para
saber más de esto último, sugiero dar lectura a esta guía.

Network y Broadcast, no es necesario configurarlas
manualmente ya que al momento de colocar el "/24"
en Address, estas 2 opciones se configurarán
automáticamente al momento de hacer click en el
botón Apply u OK.

2.- Agregamos un IP a LAN (tarjeta de red LAN o interfaz de
red LAN) para que podamos conectarnos al servidor. Esta IP
será nuestra nueva puerta de enlace, y tiene que ser una red
diferente a WAN, por lo tanto no podrá ser 192.168.1.X.

El proceso es similar al anterior, salvo que aquí utilicé, como
opcional, el botón Comment para dejar un comentario a la
regla que acabo de crear y así poder reconocerla fácilmente.

3.- Una vez que tengamos las IP's configuradas para cada
tarjeta, tocará hacer el "enmascarado", para eso vamos a IP
-> Firewall -> Pestaña NAT, y agregamos una nueva
regla (+)

3a.- En la ventana que se abrirá, iremos a la
pestaña General.

Gateway, aquí sólo colocaremos la puerta de enlace del
router (el IP del router), de esta manera le estamos diciendo
al servidor de dónde tiene que sacar internet para repartirlo a
nuestros clientes.

Como opcional, le coloqué un comentario a la regla con la
ayuda del botón Comment.

Con esto la interfaz de red LAN (ether2 en este ejemplo) ya
debería de tener internet si es que conectamos los cables
correctamente (ver primera imagen), sólo hay configurar las
tarjetas de red de los clientes para para iniciar conexión.
Teniendo en cuenta que nuestra nueva puerta de enlace es
192.168.10.1, entonces el cliente debería de tener esta
configuración de acuerdo a ese rango de red. Un ejemplo

desde un cliente con Windows 7:

En este caso he colocado los DNS de Telefónica. Ya si utilizan
DNS de otro proveedor, tendrían que colocar, el que les
corresponde.

Nota: Tengan en cuenta que hice esta guía siguiendo el
esquema de red de la primera imágen, con las IP's que están
ahí establecidas. Si se tiene una red diferente, con IP's
diferentes, sólo es necesario adaptarlo a sus necesidades. Por
ejemplo, si se quiere usar como LAN IP (o puerta de enlace de
los clientes) el 192.168.1.1, pero el router también es
192.168.1.1, entonces sólo es necesario cambiar la IP del
router a por ejemplo, 192.168.0.1, y luego seguir la guía con
los valores adaptados.

Asignar un Ancho de Banda Específico a los Clientes
A diferencia de tener a nuestros clientes conectados
directamente al router, con nuestro servidor podemos asignar
un ancho de banda específico por cada cliente; esto nos
permitirá fijar un tipo de servicio para estos, no pudiendo
sobrepasar el límite establecido, aunque ya más adelante,
según nuestro requirimientos, podríamos hacer que sí lo
sobrepasen pero esto ya es otro cuento.

Vamos a Queue -> pestaña Simple Queues, y agregamos
una nueva regla (+)

En la ventana que aparecerá "New Simple Queue", iremos a la
pestaña General.

Name, aquí colocaremos el nombre del cliente, aunque en
realidad puede ser cualquier palabra que nos ayude a
indentificarlo.

Target Address, especificaremos el IP de nuestro cliente al
que queremos limitar el ancho de banda, del ejemplo, el IP es
192.168.10.20

Max Limit, es el lugar donde fijaremos la velocidad máxima
de nuestro cliente, tanto de subida (upload) como de bajada
(download), en este ejemplo, la subida es de 128k, y la
bajada de 512k. Si bien MikroTik muestra varias velocidades
preestablecidas para escoger, eso no nos impide de que
podamos asignar una velocidad "a nuestro gusto" tan solo
escribiéndola con el teclado. Recueden siempre colocar la
letra "k" al final de la velocidad escrita manualmente; por
ejemplo 320k (ó 320000, k=1000), ya que ésta está medida
en bit/s.

¿Qué sucede si tenemos un cliente con 3 PC's y
queremos que estos compartan una misma
velocidad? Pues sólo tenemos que agregar las demás IP's a

la misma regla, y para ello presionamos el botón en forma de
flecha apuntando hacia abajo, y así tendremos un cuadro más
en donde colocar un IP extra.

Una vez que hayamos agregado a todos los clientes,
tendremos una lista como esta:

Los colores cambiarán dependiendo del uso que le de el
cliente a su ancho de banda asignado; entonces, si el cliente
usa de 0 a 50% de su ancho de banda, su regla estará de
color verde, si usa del 50 a 70%, se volverá amarillo, ya si

pasa del 70% entonces su regla se volverá roja.

Quizá en un inicio el Queue List no muestre todas las
columnas que aparecen en la imagen de arriba, así que, como
con el explorador de windows, sólo hay que agregarlas.

Seguro se estarán preguntando qué hay con las demás
opciones, pero ya es algo que veremos más adelante, por el
momento, tal como está, la guía cumple su cometido.

Actualización: (opcional)
Vamos a afinar un poco la configuración del Simple Queue.

Código:

/queue type
add kind=pcq name=pcq-up pcq-classifier=src-address pcq-
limit=50 pcq-rate=0 pcq-total-limit=2000
add kind=pcq name=pcq-down pcq-classifier=dst-address
pcq-limit=50 pcq-rate=0 pcq-total-limit=2000

Este código agregará 2 nuevas Queue Type.

Y luego modifiquen la config de cada Simple Queue.

Vamos a la pestaña Advanced, y en Target Upload, cambien
el Queue Type a pcq-up; en el caso de Target Download,
cambien el Queue Type a pcq-down.
Ahora vamos a la pestaña Total, y cambiamos el Total Queue
Type a default.

Configurar Amarre IP/MAC por ARP con MikroTik
El amarre IP/MAC por ARP es una de las medidas de
seguridad más básicas que puede ofrecer el servidor MikroTik,
y consiste en tener una lista de relaciones IP/MAC registradas
dentro del servidor; de esa manera, si un intruso con un IP, o
MAC, o relación IP/MAC distinto a los ya registrados intentara
tener internet, no tendrá respuesta alguna ya que no está en
la lista de IP/MAC que registramos previamente.

Bueno, para empezar tendremos que agregar las IP/MAC de
nuestros clientes, para eso vamos a IP -> ARP

En la imagen de arriba veremos los IP's y MAC's de los
dispositivos (PC's, VoIP, Celulares,Routers, etc.) que se
agregaron automáticamente a la lista de ARP, y sabemos que
fue automáticamente porque tienen la letra "D" al lado
izquierdo de cada regla. Se agregan automáticamente ya que
tuvieron cierta comunicación con el servidor, podemos
suponer que fue porque solicitaron internet al server o
viceversa (como el caso de nuestro router: 192.168.1.1).
Nótese que también aparece la interfaz de red por donde se
conectan, de la imagen de arriba los IP's 192.168.10.x se
conectan a la interfaz de red LAN, oether2, y el
IP 192.168.1.1 a la interfaz de red WAN, o ether1.

Por defecto, esta lista es dinámica, eso quiere decir que
cuando se pierde la comunicación entre el dispositivo 'X' y el
servidor, su IP y MAC desaparece de la lista para luego volver
a aparecer si se llegara a conectar nuevamente y solicitar
internet al server.

Entonces es hora de crear una lista estática de IP/MAC que se
conectan al server a pedir internet, para eso hacemos doble
click a la regla dinámica, y presionamos el botón Make
Static de la ventana que aparecerá.

Una vez que se presione Make Static, la letra "D"
desaparecerá de la regla, así como esas 2 reglas de la imagen
de arriba. Cuando una regla de ARP es estática, esta nunca
desaparecerá de la lista.

No es necesario, y mucho menos recomendable, hacer que el
IP/MAC del router sea una regla estática, ya que este no es
uno de nuestros clientes y obviamente no accede desde la
interfaz LAN de nuestro server, ether2 en este caso.

En el caso que tengamos otros clientes, entonces tendremos
que agregarlos manualmente, en este caso presionamos el
botón (+), y veremos una ventana como esta:

IP Address, aquí colocaremos el IP del PC de nuestro cliente
o dispositivo de red que necesite internet, con esto último
quiero decir que NO colocaremos el IP de los access points, ya
que estos no necesitan internet. La única excepción sería
aquellos AP Routers que estén configurados como router
cliente, aunque este caso estaría dentro de los 'dispositivos de
red que necesiten internet' así que si se diese el caso,
colocaríamos el WAN IP de ese AP Router (y ya no los IP's de
los clientes conectados a ese AP Router, ya que estarían en
una red distinta a la nuestra).

MAC Address; aquí tiene que ir el MAC del PC de nuestro
cliente o dispositivo de red que necesite internet, aquí hay 2
excepciones, uno ya la conocemos, los AP Routers
configurado como router cliente, por lo tanto colocaremos la
MAC de la interfaz WAN de ese AP Router, y la otra GRAN
excepción, son los access points configurados en modo

cliente, de modo que tendremos que colocar la MAC del AP
cliente.

Esto último es una regla de los AP's modo cliente. "Todo IP
que esté detrás de un AP modo cliente, saldrá enmascarado
con la MAC del AP modo cliente"; entonces, si tuviésemos 10
PC's (cada uno con su respectivo MAC) detrás de un AP
cliente, todos estos saldrían con el MAC del AP cliente. Así que
si estuvieramos en un caso similar, tendríamos que agregar
los IP's de cada PC y todos estos con el mismo MAC.

Interface, tendremos que especificar la interfaz de red por
donde entran estos IP's y MAC's, aquí tendremos que
seleccionar la interfaz de red LAN o interfaz de red de los
clientes, en este caso sería ether2.

Una vez que tengamos la lista completa, tendremos que
"decirle" al servidor que responda únicamente a los IP/MAC
que estén en la lista de ARP, dejando fuera a todo aquél que
no esté resgistrado.

Entonces, para activar el amarre IP/MAC, vamos
a Interfaces -> pestaña Interface y hacemos doble click a
la interfaz de red de los clientes o LAN, en este caso
es ether2, y de la ventana que aparecerá, seleccionaremos la
pestaña General.

ARP, tendremos que cambiar esta opción a reply-only, de
esta manera la interfaz de red ether2 sólo responderá a las
peticiones de los IP y MAC que estén en la lista de ARP. Esta
opción por defecto está en enabled (importante recordar esto
si queremos deshabilitar el amarre IP/MAC).

De este modo ya tendremos activado nuestro amarre IP/MAC.

Importante:

Tener en mente que nosotros también somos clientes del
servidor, por lo tanto nuestra IP/MAC también debería estar
agregada. Si accidentalmente llegaramos a olvidar este punto,
perderíamos todo acceso al servidor. Así que la única manera
poder ingresar al server es a través de la interfaz WAN o
ether1 en este caso, o simplemente desde cualquier otra
interfaz de red cuya opción ARP sea enabled (todas vienen
así por defecto).

Para agregar un nuevo cliente, es mejor agregar su IP/MAC a
la lista de ARP antes de que este se conecte, o también

modificando la opción ARP,de reply-only cambiarla
a enabled (como estuvo en un inicio) para desactivar el
amarre IP/MAC, ya una vez que tengamos al cliente agregado
y comprobemos que tenga internet, deberíamos de volverlo a
activar. Ya en el peor de los casos será necesario reiniciar el
servidor para que el cliente tenga internet, para eso vamos
a System -> Reboot.

En lo personal considero que el amarre IP/MAC por ARP es
muy agresivo, por eso prefiero usar el amarre IP/MAC por
hotspot (sin usuario y contraseña), esto ya lo veremos más
adelante.

Configurar el DNS Cache de MikroTik
Es seguro que conozcamos el término "DNS" y lo
relacionemos a ciertos IP's que colocamos en la configuración
de nuestra tarjeta de red, como por ejemplo los DNS de TdP:
200.48.225.130 y 200.48.225.146; pero también es seguro
que no todos sabemos qué significan, o qué es lo que hacen.
Bueno, para hacerlo breve, ese DNS se encarga de resolver
nombres de dominio a IP's, por ejemplo, si queremos
ver http://www.google.com, nuestro PC envía una solicitud al
servidor DNS para que resuelva ese dominio, y el servidor
DNS le responderá con un IP; paso siguiente, el PC utilizará
ese IP para conectarse.

Configurar el DNS cache en MikroTik es muy importante, ya
que nuestro servidor también necesita resolver nombres de
dominio para poder utilizar ciertas herramientas propias del
servidor como el ping, o ciertas configuraciones como
webproxy, etc. por lo que su configuración es casi obligatoria.

Podemos aprovechar el DNS cache de MikroTik para minimizar
peticiones de nuestros clientes a la internet; de esta manera,
cada vez que uno de nuestros clientes haga una solicitud a los
DNS de nuestro proveedor, MikroTik almacenará en memoria
la respuesta aquellos servidores y las utilizará para las

siguientes peticiones.

Para empezar con la configuración vamos a IP -> DNS -
> pestaña Static -> botón Settings.

Servers, aquí colocaremos el IP de los DNS que nos entregó
nuestro ISP, en este ejemplo son los 2 DNS de TdP.

Allow Remote Request, marcaremos el check para activar
la funcion DNS cache para todos nuestros clientes y no
únicamente para nuestro servidor.

Cache Size, es el tamaño en memoria que será destinado
para el cache de los DNS, por defecto es 2048KiB ó 2MB,
personalmente lo aumento a aproximadamente a12288KiB ó
12MB, en servidores que tienen un mínimo de 128MB de RAM.

Se puede probar que todo quedó bien haciendo un ping al
alguna página desde el servidor, en este caso suelo probar
haciendo ping a google y verificar las respuestas, para eso
voy a New Terminal y escribo el comando respectivo:

ping www.google.com

Si se quiere dar una ojeada a las respuestas en cache, se
puede ir a IP -> DNS -> pestaña Cache.

Si se quiere sacar el máximo provecho al DNS cache de
MikroTik, tenemos que hacer que los clientes utilicen el DNS
cache de MikroTik, ya sea configurando un "DNS
Transparente" o colocando manualmente el nuevo DNS en la
configuración de la tarjeta de red de los clientes tal como se
muestra en la siguiente imagen.

En este caso, la IP de la tarjeta de red LAN (en MikroTik) o
puerta de enlace de los clientes es el 192.168.10.1, por lo
tanto, ese IP también será nuestro DNS cache, así que lo
colocaremos manualmente como "Servidor DNS preferido" de
esa manera, el PC de nuestro cliente solicitará la resolución
de nombres a nuestro DNS cache. Como opcional pueden
configurar el "Servidor DNS alternativo" con uno de los DNS
del ISP.

Configurar DNS Cache Transparente
Una vez que tengamos configurado el DNS Cache, es bastante
molesto eso de modificar la configuración de la tarjeta de
red de los clientes para que empiecen a utilizar el DNS Cache;
bueno, con ayuda del servidor podemos evitar todas esas

molestias, sólo enviaremos las solicitures de nuestros clientes
a los DNS y las redirecionaremos al DNS Cache de MikroTik.

Para esto nos vamos a IP -> Firewall -> pestaña NAT y
agregamos una nueva regla (+).

En la ventana que aparecerá iremos a la pestaña General.

Chain=dstnat, en pocas palabras, esta cadena especifica 'lo
que tenga como destino'.

Protocol=udp, el protocolo usado para las solicitures DNS.

Dst. Port, escogemos el puerto destino DNS, o puerto 53.

In. Interface, la interfaz de red de nuestros clientes ó LAN,
si han seguido todos mis manuales, la interfaz LAN es ether2.

Luego vamos a la pestaña Action.

Action, que es lo que va a hacer con el tráfico que
identificamos en la pestaña General, en este caso vamos a
redireccionar (a nuestro servidor), por eso
elegiremos redirect.

To Ports, el puerto al que será redireccionado todo el tráfico
que identificamos en la pestaña General, que será el puerto
53, ya que es el puerto que aceptará las peticiones del DNS
Caché, según nuesta configuración.

"Todo lo que tenga como destino (dstnat), el puerto 53 (Dst.
Port), con protocolo udp (protocol), y que entre por ether2
(In. Interface)". "Será redireccionado (redirect), al puerto 53
(To Ports)".

Es MUY recomendable, que coloquen un comentario a la regla
utilizando el botón Comment, esto para reconocer la regla

fácimente cuando necesitemos hacerlo, ya que cuando
tengamos más de 10, 20 ó x reglas, nos será más fácil
reconocerla, y esto va con énfasis para los que recién
empiezan. En este caso el comentario que le pondré será
"Redirección DNS Cache".

Y así ya tenemos configurado nuestro DNS Cache
Transparente.

Configurar MikroTik en modo PPPoE-Client para Router
modo Bridge
Como ya sabrán, muchos de nuestros proveedores de internet
(ISP) utilizan el protocolo PPPoE (over ATM) ó PPPoA para
autenticarnos y/o encriptar nuestras conexiones hacia sus
servidores para así poder darnos acceso a un internet
"seguro", como el caso de Telefónica y su servicio Speedy,
Nextel (sin ATM en el caso de Perú), Telmex en México, y
cientos de ISP's en el mundo.

El problema viene a que estos ISP's nos
venden/ceden/alquilan/regalan routers ADSL de gama MUY
baja, con muy poca capacidad de conexiones y sesiones NAT,
inclusive algunos tienden a colgarse o a dejar de aceptar
nuevas conexiones cuando son ligeramente exigidos, y esto
sin contar con los bugs que algunos tienen con su firewall
integrado y en sus opciones NAT.

El punto de esta guía es hacer que MikroTik sea el único que
maneje estas conexiones, dejando prácticamente "inutizado"
al router que nos dió el ISP, y así poder manejar plenamente
nuestra conexión a internet sin los problemas que estos
routers nos podrían dar.

A groso modo, un routerADSL ó modem/router cuenta con:
 Modem ADSL (Interfaz ADSL)
 Router (encargado del NAT, conexiones, firewall, etc)
 Switch
 Access Point
Todo integrado en un sólo equipo, del cual por configuración,
sólo dejaremos activado el modem ADSL y el switch. El
trabajo de Router (duro trabajo) lo hará únicamente MikroTik.

Antes de empezar a hacer esta configuración, recomiendo
darle una lectura a lo más básico, cómo configurar MikroTik
en modo router neutro, para hacerse una idea del proceso.

Parte 1: Configurar la interfaz virtual PPPoE-Client.

Para empezar, teniendo ya reconocidas nuestras interfaces de
red, nos conectaremos por la interfaz ether1, luego ya en
Winbox, vamos a Interfaces.

En la ventana que aparecerá, iremos a la pestaña Interface y
luego agregaremos una nueva interfaz (+) para
nuestro PPPoE Client.

Una vez hecho esto, nos aparecerá una nueva ventana para
configurar nuestro PPPoE Client, luego iremos a
pestaña General.

Interfaces, seleccionaremos la interfaz a la que será
asociada nuestra interfaz virtual PPPoE Client, que en este
caso es ether1. Es de suponer que conectaremos nuestro
modem/router a ether1, para que establezca la conexión
PPPoE.

Luego iremos a la pestaña Dial Out

User/Password, son los datos que nos da nuestro ISP para
podernos autenticar a sus servidores, estos valores los
encontraremos dentro de nuestro modem/router, o quizá los
tengamos a la mano si nuestro ISP nos dió un simple modem
xDSL, esto último lo sabremos ya que es necesario instalar en
nuestro PC un cliente PPPoE como WinPoET (PPPoE para
Windows) y loguearnos para tener internet.

Nota: Algunos ISP no necesitan estos User y Password, ya
que sólo usan el protocolo PPPoE para encriptación.

Dial On Demand, sólo marcará el usuario y password y
conectará con el servidor de nuestro ISP, cuando existan
peticiones a internet. Si no hay petición alguna, entonces se
desconectará automáticamente.

Add Default Route, al tener marcada esta opción, MikroTik
agregará automáticamente una ruta de salida a Internet
(Gateway) utilizando los valores que le entregó
automáticamente el ISP al momento que estableció conexión
con su servidor.

Use Peer DNS, MikroTik configurará automáticamente el
DNS (IP -> DNS) con los valores que le entregó el ISP al
momento que estableció conexión con su servidor.

Nota: Estas 2 últimas opciones deberían de estar descarcadas
si se está configurando el PPPoE-Client para balanceo de
carga (load balance) entre 2 más líneas (links) de internet.

Una vez hecho esto, tendremos una interfaz nueva llamada
por defecto, pppoe-out1.

Podrán notar que esta nueva interfaz no tiene un R a lado
izquierdo, eso quiere decir que no está funcionando o
"Running"; claro, tendríamos que tener ya configurado el
modem/router en modo bridge para que establezca conexión
con el servidor de nuestro ISP, una vez hecho, debería de
tener esa "R"

Parte 2: Configurar Puerta de Enlace (Gateway) de los
clientes y enmascarado.

Una vez que nuestro PPPoE Client esté configurado,
tendremos que hacer que nuestros clientes tengan internet
utilizando nuestra conexión PPPoE Client.

Vamos a IP -> Adresses y agregamos una nueva regla (+),
en este caso será agregar el IP de la puerta de enlace
(Gateway) de nuestros clientes.

Address, aquí colocaremos la puerta de enlace que tendrán
nuestros clientes, en este caso es 192.168.10.1

Interface, seleccionaremos la interfaz de red a la que
estamos colocando este IP, obviamente seleccionaremos la
interfaz LAN de nuestro servidor, que en este caso es ether2.

Nota: Para tener una idea más clara de esta configuración,
como saber qué es el /24 que coloqué al lado del IP,
recomiendo dar una lectura al siguientemanual.

Una vez que colocamos el IP a la interfaz LAN (el gateway de
los clientes) tendremos que hacer el enmascarado, para eso
vamos a IP -> Firewall -> pestañaNAT y agregamos una
nueva regla (+)


Chain, seleccionamos scrnat. Aunque siempre está así por
defecto cuando se crea una nueva regla...

Out. Interface, seleccionaremos nuestra interfaz WAN, en
este caso será nuestra interfaz virtual pppoe-out1.

Pasamos a la pestaña Action.

Action, eligiremos masquerade que nos permitirá
enmascarar nuestras conexiones (de los clientes) detrás de la
IP pública que nos entregará nuestro ISP cuando nuetra
interfaz pppoe-out1 se conecte a su servidor.

Con esto la configuración ya está terminada de momento,
pero aún no tendremos internet hasta que nuestra
interfaz pppoe-out1 se conecte apropiadamente al ISP.

Tener en cuenta que aquí no iremos a IP -> Routes para
asginar una salida a internet al servidor, esto a que dejamos
marcada la opción Add Default Routede la pestaña Dial
Out en la configuración de nuestro pppoe-out1, así que
cuando se conecte, automáticamente se agregará dicha regla.

Como lo he mencionado al inicio de esta guía, es necesario
configurar el modem/router a modo bridge y conectarlo a la
interfaz de red asociado al pppoe-out1, que en este caso a
ether1.

Una vez hecho esto, MikroTik hará la conexión PPPoE, y
cuando llegue a conectar veremos estos cambios:

En Interfaces aparecerá la letra "R" al lado de pppoe-out1,
lo que indicaría que se estableció conexión.

En IP -> Addresses, se agregará automáticamente (nótese
la "D") un IP asoaciado a la interfaz pppoe-out1, esta
vendría a ser nuestra IP pública que asignó nuestro ISP.

Nota: En raras ocasiones, y dependiendo del ISP, este nos
dará una IP "muerta", que NO corresponde al rango de IP's
asignados a nuestros País, esto podría suceder por un error al
escribir el User y Password dentro de la configuración
de Interfaces -> pppoe-out1 -> pestaña Dial Out.

En IP -> Routes, se agregarán automáticamente las rutas
correspondientes desde nuestra IP pública, al servidor de
autenticación de nuestro ISP.

Nota: Tener en cuenta que sólo se agregará nuestra salida a
internet automáticamente si se tiene activada la opción Add
Default Route en Interfaces -> pppoe-out1-
> pestaña Dial Out.

Respuestas Rápidas:

¿Por qué no tengo la "R" en pppoe-out1?
Si se ha configurado correctamente y tal como está en esta
guía, una de las principales razones para que nuestro pppoe-
out1 no conecte, casi siempre se debe a alguna falla en la
configuración del modem/router a modo bridge, aunque
aveces con sólo reiniciar el modem/router y el servidor se
llega a solucionar, e inclusive puede tardar cierto tiempo
(varios minutos) en establecer conexión por primera vez.

¿Es necesario colocar un IP al ether1 (WAN)?
En realidad no, ya que ether1 NO es nuestra WAN, nuestra
verdadera WAN es la interfaz virtual pppoe-out1, y este
obtiene su IP automáticamente cuando establece conexión
con el servidor (PPPoE Server) del ISP. La IP que aparece
automáticamente en IP -> Addresses y que hace referencia
a pppoe-out1, es nuestra WAN IP o IP pública en este caso.

Mi ISP utiliza la autenticación por PPPoA, pero MikroTik
no tiene esta opción ¿Me sirve esta guía?
Si se utiliza el protocolo PPPoA, no existe problema alguno ya
que MikroTik sólo marca el User y Password para la
autenticación. Puedes usar esta guía sin problemas.

¿Cómo conecto el cable telefónico a la tarjeta de red del
servidor?
¿? ¡Jamás hagas eso! ¡Ni lo intentes! El cable telefónico
siempre irá conectado al puerto RJ11 del modem/router;
luego, de un puerto RJ45 del modem/router conectarás
únicamente un cable de red a la tarjeta ó puerto ethernet del
servidor.

¿Puedo conectar una tarjeta PCI fax/modem (RJ11) al
servidor y así no utilizar el modem/router?
Absolutamente NO. Una tarjeta fax/modem no es una interfaz
ADSL como las que llevan los modem ADSL, o modem/router.
Son tecnologías distintas.

¿Puedo conectar una tarjeta PCI ADSL (RJ11) al
servidor y así no utilizar el modem/router?
La idea es bastante válida, pero MikroTik no soporta ninguna
interfaz ADSL, y quizá nunca lo haga.

Configurar MikroTik WebProxy (WebCaché)
MikroTik cuenta con su propio Webproxy, que almacenará los
elementos de las páginas que nuestros clientes visitaron, así
que cuando estas páginas se vuelvan a visitar, dichos
elementos saldrán de nuestro disco duro y ya no de interent,
ahorrando ancho de banda; inclusive hace que nuestra
navegación sea más rápida ya que los elemenos que salgan
del disco duro, lo harán con una velocidad superior a la que
limitamos al cliente, claro para esto último hay que configurar
el famoso "Full Cache". Luego, con webproxy podremos

bloquear páginas, redireccionar, eliminar publicidad en la
navegación, etc.

Para iniciar la configuración, vamos a: IP -> Web Proxy -
> pestaña Access -> botón Web Proxy Settings.


Port, por defecto MikroTik usa el puerto 8080 para 'escuchar'
las peticiones al webproxy.

Cache Administrator, cuando una pagina sea inaccesible, ya
sea porque está caída o porque decidimos bloquearla (lo que
veremos en otra guía), el cliente tendrá una página de error,
en donde aparecerá lo que esté escrito ahí, por defecto es
webmaster, aunque si desean pueden colocar su correo para
recibir cualquier tipo de feedback.

Cache On Disk, aquí activaremos el caché en la unidad de
almacenamiento, si no está activado, entonces el caché se
almacerá en la memoria.

Max. Cache Size, aquí especificaremos el tamaño máximo
que tendrá el cache en el disco (o únidad de almacenamiento
que utilicemos); por ejemplo, si tenemos un disco duro de 20
GB, cuánto de estos 20 GB serán dedicados al caché, MikroTik
toma este valor en KiB, entonces, si queremos dedicar 15 GB
al caché tendremos que colocar este valor multiplicado 2
veces por 1024, por lo tanto 15 GB equivale a 15728640 KiB.
Si por accidente llegámos a equivocarmos con este valor y
colocáramos uno que sobrepase el tamaño total del disco, no
hay problema ya que MikroTik calculará el máximo tamaño
posible y hará la corrección automáticamente.

Aquí encontraremos 2 opciones más:
 Unlimited, MikroTik calculará automáticamente el
tamaño máximo en disco para almacenar el caché.
(viene con esta opción por defecto)
 None, MikroTik NO almacenará ningún tipo de caché.
¿Entonces cuál es el caso de activar el Webproxy? Pues
podemos bloquear páginas, redireccionarlas, etc. cosa
que veremos en otra guía. Muy usado en RouterBoards.
Cache Hit DSCP (TOS), marcará todo el contenido que salga
del caché almacenado (del disco duro), para poder trabajarlo
luego, por ejemplo, limitar su velocidad, o liberarla (hacer
"full caché"), esto último lo veremos en otra guía.

Cache Drive, aquí aparecerá el nombre de la unidad de
almacenamiento en donde se almacenará el cache, si es que
se configura para ello, claro.

Con esto el Webproxy ya está funcionando, si es que
queremos probarlo, entonces

configuraremos nuestro navegador:

Ya si vienen siguiendo este manual desde el principio, sabrán
que el IP 192.168.10.1 es la puerta de enlace de nuestros
clientes, el LAN IP del servidor. El puerto corresponte
obviamente a lo que configuramos en Web Proxy Settings.

Si vamos a una página tal
como http://www.whatismyip.com este nos dirá que ha
detectado a MikroTik WebProxy

Claro, como no es muy cómodo ir a la casa de los clientes y
cambiar la configuración en el navegador de cada uno,
entonces tendremos que configurar el webproxy

transparente (Hacer que los clientes vayan al webproxy sin
que ellos se den cuenta) con la ayuda del servidor.

Importante: Es muy recomendable bloquear el acceso al
WebProxy desde el exterior (Internet) así nos evitamos que
personas malintencionadas, o virus, usen nuestro Webproxy
sin autorización, convirtiéndolo en un proxy público a la que
cualquier persona en el mundo pueda acceder.

Nota: Si utilizan un RB, y sólo quieren activar el webproxy para
hacer redirecciones y bloqueos, sólo tendrían que configurar de
la siguiente manera.

Max. cache size, none
Cache On Disk, desmarcado.

Configurar Web Proxy Transparente
Ya vimos cómo configurar el WebProxy, y vimos también que
hay que configurar nuestro navegador para que se comunique
con WebProxy y así poder utilizarlo. Esta guía está diseñada
para que, con la ayuda del servidor, obliguemos a los clientes
a pasar por el webproxy sin que estos se den cuenta y sin
tocar su navegador. A esta configuración se le llama
"WebProxy Transparente" ó "Redirección a WebProxy".

En líneas generales, solo vamos a detectar el tráfico que
nuestros generen con destino al puerto 80 (puerto http, que
se usa para la navegación web) y redireccionarlo al puerto de
nuestro WebProxy, que según nuestra guía anterior es el
puerto 8080. Para esto nos vamos a IP -> Firewall -
> pestaña NAT y agregamos una nueva regla (+).


Chain=dstnat, en pocas palabras esta cadena especifica 'lo
que tenga como destino'

Protocol=tcp, el protocolo usado para la navegación web.

Dst. Port, escogemos el puerto destino http, o puerto 80.

In. Interface, la interfaz de red de nuestros clientes ó LAN, si
han seguido todos mis manuales, la interfaz LAN es ether2.

Luego vamos a la pestaña Action.

Action, que es lo que va a hacer con el tráfico que
identificamos en la pestaña General, en este caso vamos a
redireccionar (a nuestro servidor), por eso
elegiremos redirect.

To Ports, el puerto al que será redireccionado todo el tráfico
que identificamos en la pestaña General, que será el puerto
8080, ya que es el puerto que aceptará las peticiones del
WebProxy, según nuestra configuración.

"Todo lo que tenga como destino (dstnat), el puerto 80 (Dst.
Port), con protocolo tcp (protocol), y que entre por ether2 (In.
Interface)". "Será redireccionado (redirect), al puerto 8080
(To Ports)".

Es MUY recomendable, que coloquen un comentario a la regla
utilizando el botón Comment, esto para reconocer la regla

fácimente cuando necesitemos hacerlo, ya que cuando
tengamos más de 10, 20 ó x reglas, nos será más fácil
reconocerla, y esto va con énfasis para los que recién
empiezan. En este caso el comentario que le pondré será
"Redirección a Webproxy".

Con esto ya tenemos configurado nuestro Web Proxy
Transparente.

Liberar la Velocidad de Web Proxy (Full Caché)
Una de las ventajas de utilizar el webproxy es acelerar la
navegación, esto a que los elementos de una página X vista
anteriormente almacenados en el disco duro de nuestro
servidor, saldrán de este disco duro, y ya no de internet a una
velocidad superior (hasta 80Mbps, a este proceso se llama
HIT) Hasta aquí todo bien, pero si se llega a asignar un ancho
de banda específico para cada cliente, habrán notado, o
notarán, que la gran velocidad que nos da un HIT también es
limitada a la velocidad estabelcida para cada cliente;
entonces, por tal motivo tenemos que configurar el "Full

Cache" en el servidor.

Bueno, esto funciona así: Cuando un archivo sale del disco
duro, este sale con una marca en común, prácticamente en
todos los webcaché, cuando un elemento sale del disco duro
(HIT), este sale con la marca : "X-Cache: HIT", o si el
webcaché lo permite, se puede introducir una marca por TOS
ó DSCP para estos elementos, como el caso de MikroTik 3.x y
4.x.

De esta manera, podemos configurar a MikroTik a que
reconozca tal marca, y que le quite la limitación de todo lo
que la utilice, aunque más adelante podemos definir un límite
global si es que lo necesitamos.

Para reconocer y marcar (dar nombre) a las conexiones y/o
paquetes de un determinado tipo de tráfico, ya sea por IP,
puerto, puerto, cantidad de bytes, etc etc, todo eso lo vemos
en IP -> Firewall -> pestaña Mangle, luego, para utilizar
esa marca que colocamos y dimos nombre, vamos a Queue -
> pestañaQueue Tree, justo aquí es donde se prioriza y
limita (o libera según sea el caso) aquellos paquetes con
marca.

Vamos entonces a IP -> Firewall -> pestaña Mangle y
abrimos una nueva regla (+). Veremos una ventana como
imagen de abajo, e iremos a la pestañaGeneral.

Chain=Output, la cadena especifica todo lo que tenga como
origen el mismo servidor (ya que el caché saldrá del mismo
servidor MikroTik)

Luego vamos a la pestaña Advanced.

DSCP (TOS), aquí colocamos el número 4, ya ese es el valor
que vino por defecto en la configuración de Webproxy. Si
quieren recordar, aquí una imagen.

Vamos a la pestaña Action.

Action=marck packet, seleccionamos mark packet de la
lista, ya que lo que haremos será "marcar paquetes".

New Packet Mark, aquí escribiremos el nombre con el que
identificaremos a nuestra marca de paquetes, en este caso le
coloqué "Full-Cache".

Passthrough, quitaremos este check, y así evitaremos que
los paquetes marcados se vuelvan a marcar por cualquier otra
regla debajo de esta.

De esta manera ya tenemos marcados los paquetes que
salieron del disco duro (hicieron HIT), la marca se llama "Full-
Cache" y ahora solo tenemos que utilizarla para liberar este
tráfico. Para eso vamos a Queue -> pestaña Queue Tree y
abrimos una regla (+). En la ventana que aparecerá vamos a
la pestañaGeneral.

Name, aquí colocaremos un nombre para reconocer a la
regla, casi igual que cuando utilizamos el botón comment.

Parent, seleccionaremos global-out, ya que según el packet
flow, global-out es la salida general de este sistema.

Packet Marks, elegiremos la marca que creamos hace un
paso atrás, en este caso "Full-Cache"

Max-Limit, esto es un opcional si trabajamos en red
cableada; si no colocamos ningún valor, entonces los
elementos que hagan HIT saldrán a una velocidad "ilimitada",
donde el límite lo pondrá la propia infraestructura que
utilicemos, en el caso de una red cableada normal, la
velocidad será aproximadamente de 80Mbits/s, en el caso de
una red wireless, 5.9Mbits/s y 22Mbits/s según el modo que
utilicemos, 802.11b ú 802.11g respectivamente. Ya para una
red wireless en modo 11b, o en modo 11g en "zonas

saturadas", es recomendable fijar el límite a un máximo de
4Mbits/s o menos, para no saturar nuestro ancho de banda
wireless (throughput).

Una vez hecho esto, cualquier elemento que salga de nuestro
caché, saldrá a la velocidad que hayamos colocado en la regla
Queue tree (ver última imagen), dando igual si el cliente tiene
fijado algún límite de velocidad.

Ver el Contenido Cacheado por WebProxy
Para revisar el contenido cacheado, existen 2 formas, una es
usando New Terminal, y la otra es utilizando las ventanas
de WinBox.

Ver el contenido cacheado por ventana de WinBox (NO
Recomendado).

Vamos a IP -> Web Proxy -> pestaña Cache Contents y
nos listará todos los elementos almacenados en el caché.

El problema aquí es que no nos mostrará el contenido real
hasta que terminen de listarse todos los elementos, y
hablamos de miles de elementos, así que este proceso puede
tardar horas; luego, cuando WinBox está listando los
elementos, el consumo de CPU y de disco duro llegan al 100%
ocasionando lentitud en toda la red; pero eso no es todo,
cuando WinBox está listando elementos, el ancho de banda
usado en la comunicación entre WinBox y el servidor puede
subir a más de 5Mbps, lo que saturaría el ancho de banda
wireless si se está conectado por este medio. En definitiva, no
es recomendable ver el contenido cacheado de esta forma.

Ver el contenido cacheado por New Terminal.

Vamos a New Terminal, escribimos el código de abajo, y
presionamos enter para ejecutarlo.

Código:
ip proxy cache-contents print

Una vez que se liste el contenido tal como la imagen de
arriba, se puede usar las teclas direccionales (arriba y abajo)
para que, manualmente, siga listando los elementos
almacenados en cache. Esta manera de ver el contenido
cacheado no tiene los problemas que ocasiona el otro método.

Es bastante molesto, no sé por qué lo han incluído en
winbox si da tantos dolores de cabeza...

Quita el check Load Previous Session, luego presiona el
botón Tools y selecciona Clear Cache. Cuando termines
de trabajar con Winbox, cerra todas las ventanas y
presiona el botón Exit para salir.

Configurar disco secundario dedicado al cache para
WebProxy

Muchas veces queremos agregar un disco duro secundario
para tenerlo dedicado al cache de MikroTik WebProxy, ya sea
porque nuestro disco de sistema es de poca capacidad, por
seguridad (así apenas se usa el disco del sistema donde se
guarda la licencia). o quizá tengamos un RouterBOARD o RB
al que le queremos colocar una tarjeta microSD, Compact
Flash, o un disco duro externo USB si es que nuestro RB
cuenta con este puerto.

Para empezar, sería bueno reconocer cuál es el disco en
donde estamos almacenando el caché actualmente, en este
caso es primary-master, ya que el disco duro en esta
oportunidad está conectado al Primary IDE, y está
configurado como Master, así que dependiendo del caso
podrían ser secondary-master,primary-slave, secondary-
slave, sata1, o system, en estos 2 últimos casos corresponde
a los discos SATA, y la memoria interna de nuestro RB.

Notaremos que nuestro Cache Drive actual, es primary-
master.

Vamos a System -> Stores -> pestaña Stores y veremos
que existe ya una regla, ya sólo al verla sacamos al ojo que
es la regla que configura nuestro disco (del sistema) para que
sea webproxy, y de paso está con Status: active, o activo.

Hacemos click en la pestaña Disks, y mostrará todas las

unidades de almacenamiento que tenemos disponibles, ya sea
IDE, SATA, USB, Compact Flash, o SD/microSD. En este
ejemplo el disco duro secundario que será dedicado
exclusivamente al caché es uno del tipo SATA, y normalmente
debería de tenerStatus: invalid ya que MikroTik aún no lo ha
preparado para ser utilizado, entonces presionamos el
botón Format Drive, notaremos que el status cambiará
aformatting... o formateando, la operación podría tardar
dependiendo de la capacidad y velocidad del disco duro. Una
vez terminada la operación el status cambiará a ready, o
listo.

Ya con el disco preparado para ser utilizado por MikroTik
regresamos a la pestaña Stores y agregamos una nueva
regla ( + )

Name, aquí escribiremos el nombre de la regla, en este caso
le puse web-proxy2
Type, elegiremos qué tipo de uso se le dará a este disco, en
este caso elegiremos web-proxy, ya que lo usaremos para
eso.
Disk, pues seleccionamos el disco que utilizaremos, de este
ejemplo, el disco duro dedicado al caché es sata1.

Recuerden marcar Activate, para que la regla se active.

Notaremos que nuestra regla web-proxy2 ya está activada,
y la regla anterior entró a pasar a ser un backup, esto quiere
decir que si quitáramos el disco duro de caché actual, el disco
duro de backup se activará automáticamente, ya si no se
quisiera que esto ocurra, simplemente borren la regla web-
proxy1.

¡Listo! sólo queda comprobar que nuestro nuevo Cache
Drive corresponda a nuestro disco duro que designamos para
el caché, y como muestra la imagen, todo fue un éxito ya que
vemos a sata1.

Tener en cuenta que si tenemos nuestro WebProxy
funcionando y aún procesando peticiones, todo esto no
funcionará hasta que reiniciemos el server conSystem ->
Reboot.

Evitar Ataque a MikroTik Webproxy y DNS cache
Bueno, ya muchos sabrán que MikroTik dispone de un Web
Proxy server y un DNS Cache, pero muchas veces al
momento de configurarlo no solemos cololocar las reglas
necesarias para bloquear el acceso a estos recursos desde
internet.

Muchos ser harán esta pregunta ¿Que podría pasar si no

bloqueo el acceso a estos servicios desde internet?

La respuesta no es muy complicada. Si el servicio está
abierto, por ejemplo el webproxy, cualquier tipo de spyware,
malware o virus en general, podría informar esta falla de
seguridad en nuestro servidor y aprovecharse de nosotros
haciendo peticiones desde nuestro web proxy a internet,
obviamente nos está consumiendo nuestra propia línea, y con
más énfasis, nuestro escaso upload.

Cuando esto ocurre, se siente una extraña lentitud, y un uso
bastante desproporcionado del upload del WAN respecto al
upload de la interfaz de los clientes. Si se llega a abrir google
para hacer una búsqueda, este te devolverá un mensaje con
en esta imagen.

Bueno, luego de tanto preámbulo, vamos al grano.

Bloqueo webproxy externo:
Código:
/ip firewall filter add action=drop chain=input
comment="Bloqueo webproxy externo" disabled=no dst-
port=8080 in-interface=pppoe-out1 protocol=tcp

Bloqueo DNS cache externo:
Código:
/ip firewall filter add action=drop chain=input
comment="Bloqueo DNS cache externo" disabled=no dst-
port=53 in-interface=pppoe-out1 protocol=udp

Voy a desmantelar un poco la primera regla e intentaré
explicarla para que se hagan una idea de qué están copiando
y pegando en sus servidores.

 action=drop, "arroja" los paquetes, no serán
procesados.
 chain=input, utiliza la cadena input (conexiones y/o
paqutes cuyo destino final sean el mismo servidor).

 in-interface=pppoe-out1, interfaz de entrada de las
conexiones y/o paquetes (que serán bloqueados
por action=drop), en este caso es el pppoe-out1. Se
tiene que cambiar por la interfaz WAN que corresponda.
 protocol=tcp, protocolo de transmisión, el más
utilizando en internet junto con en protocolo UDP.
 dst-port=8080, puerto destino (que será bloqueado
por action=drop), por defecto de webproxy es el puerto
8080.
 Evitar ataque de ping al servidor MikroTik
 Este ejemplo bloquea los packetes de 99 bytes a más.
 Código:
 /ip firewall filter add action=drop chain=input
comment="" disabled=no in-interface=pppoe-out1
packet-size=128-65535 protocol=icmp
 in-interface, interfaz de entrada a limitar el ping. Puede
ser LAN, WAN, etc.

packet-size, tamaño de paquetes a bloquear.

Nota: Si se quiere bloquear completamente el ping,
simplemente hay que remover la parte "packet-size":
 Código:
 /ip firewall filter add action=drop chain=input
comment="" disabled=no in-interface=pppoe-out1
protocol=icmp
 Prevenir ataque SSH y FTP
 Bueno soy bastante nuevo esto pero he tenido ataques
ftp y ssh y buscando y buscando encontré la solución (tal
vez conocida por muchos) para este tipo de problemas.
Si estaba en el foro no la encontré.

Como saber si te están atacando de estas dos formas?
fácil, entra a log y veras algo como esto.

este es el típico ataque ftp; en el ataque ssh es
prácticamente lo mismo pero al final va el ssh.

Este script bloquea una ip al noveno intento fallido de
conexion, donde al décimo intento, esta ip entra en una
lista donde se bloqueará por 3 horas (puedes modificar
las horas a tu gusto)
 Código:
 /ip firewall filter

 add chain=input protocol=tcp dst-port=21 src-address-
list=ftp_blacklist action=drop comment="Bloquear Ataques FTP"

 add chain=output action=accept protocol=tcp content="530 Login
incorrect" dst-limit=1/1m,9,dst-address/1m

 add chain=output action=add-dst-to-address-list protocol=tcp
content="530 Login incorrect" address-list=ftp_blacklist
address-list-timeout=3h


Este otro script bloquea la ip que intente cuatro intentos
fallidos de conexion en un minuto. Esta dirección
ingresará a una lista donde se bloqueará cualquier

ataque ssh proveniente de esa ip por 10 dias (puedes
modificar los días a tu gusto)
 Código:
 /ip firewall filter

 add chain=input action=drop protocol=tcp src-address-
list=ssh_blacklist dst-port=22 comment="Proteccion VSC contra
ataques via SSH"

 add chain=input action=add-src-to-address-list connection-
state=new protocol=tcp src-address-list=ssh_stage3 address-
list=ssh_blacklist address-list-timeout=1w3d dst-port=22

list=ssh_stage3 address-list-timeout=1m dst-port=22

list=ssh_stage2 address-list-timeout=1m dst-port=22

state=new protocol=tcp address-list=ssh_stage1 address-list-
timeout=1m dst-port=22

 Otra opción es cambiar los puertos en IP/Services.
Personalmente intente cambiar el puerto del ftp pero el
ataque seguía asi que no funciono en mi caso. Con el
ataque ssh cambie el puerto y santo remedio pero nunca
estan demás estos script.


 Configurar MikroTik DHCP Server (dar IP's
automáticamente) Parte 1
 Un servidor DHCP ser encarga de asignar un IP y demás
datos de configuración de red a cualquier dispositivo que
se lo pida, este puede ser un PC, un AP, un PlayStation3,
etc.

El proceso en sí no es muy simple, pero para hacerlo
fácil se podría explicar de esta manera: El PC o

dispositivo de red configurado para obtener un IP
automáticamente hará una solicitud a nuestro servidor
DHCP (MikroTik), y luego de una negociación, éste
anotará la MAC de la tarjeta de red del solicitante y
luego le asignará un IP y demás datos de configuración.
El servidor DHCP no entrega los IP's a ojo cerrado, este
entrega sólo los IP's de un rango que designamos, y
claro, este IP no debe de estar ya en uso.

Por ejemplo, configuré a esta compu para que obtuviera
IP automáticamente, y con la ayuda del
comando ipconfig /all desde CMD (intérprete de
comandos de windows) puedo ver los datos que me
entregó el servidor DHCP:

Como podemos ver en la imagen de arriba, el DHCP
server nos entregó todos los datos que usualmente

completamos cuando configuramos un IP manualmente.

Para hacer eseta guía he tomado en cuenta que ya se
leyó las demás guías básicas para configurar MikroTik y
que el servidor está en funcionamiento.

Para comenzar, vamos a IP -> DHCP Server -
> pestaña DHCP y presionamos el botón DHCP
Setup para seguir con el asistente de configuración.

El asistente de configuración nos ayudará a tener
nuestro DHCP server correctamente configurado, y de
paso es la manera más simple de hacerlo, ya que sólo es
cosa de hacer "siguiente, siguiente y siguiente" casi
literalmente.

DHCP Server Interface, seleccionamos la interfaz de
red en donde se instalará el DHCP server, obviamente
aquí elegieros la interfaz de red LAN o la tarjeta de red
desde donde se conectan nuestros clientes, que en este
caso es ether2.

El asistente de configuración sólo se guiará de de
nuestra configuración actual. Este valor lo sacó de
manera automática de nuestra configuración de IP en IP
-> Addresses.

DHCP Address Space, es la red en donde funcionará el
DHCP server, en este caso 192.168.10.0/24. Tengan en
cuenta que el /24 quiere decir255.255.255.0, la máscara
de subred que el DHCP server nos dará cuando
solicitemos un IP automáticamente.

Gateway for DHCP Network, es la puerta de enlace
que el servidor DHCP ofrecerá a los clientes que soliciten
un IP, en este caso es 192.168.10.1

Address to Give Out, es el rango de IP's que el
servidor DHCP asignará a nuestros clientes, del ejemplo
el servidor tiene 55 IP's para repartir,
del192.168.10.200 al 192.168.10.254

Lease Time, es el tiempo en el que MikroTik almacenará

los datos de todos los clientes al que el servidor DHCP
asignó un IP automáticamente.

Una vez hecho esto, ya tendremos nuestro DHCP
server funcionando.

Name, es el nombre de nuestro servidor
DHCP, dhcp1 en este caso.

Interface, es la interfaz de red donde nuestro servidor
escuchará las peticiones para asignar IP's
automáticamente, obviamente esta es la interfaz LAN, o
tarjeta de red de los clientes, en este caso es ether2.

Lease Time, es el tiempo en el que MikroTik almacenará
los datos de todos los clientes al que el servidor DHCP
asignó un IP automáticamente.

Address Pool, es el pool de IP's que serán tomadas por
el servidor DHCP para asignar automáticamente. Tiene

ralación directa con Address to Give Out, que
configuramos con el asistente para configurar el DHCP.

Para ver la lista de clientes a quienes se le asignó un IP
automáticamente, pueden ir a IP -> DHCP Server -
> pestaña Leases.

Expire After, es el tiempo de expiración del Lease, que
será renovado si el cliente sigue conectado o vuelve a
conectarse antes que este tiempo expire, el DHCP server
le asignará siempre el mismo IP. Si el cliente se conecta
cuando el Lease Time está expirado (y por
consiguiente, su lease ha desaparecido de la lista
de Leases), y sólo si su IP está ocupado (ya que fue
asignado a otro dispositivo de red), entonces el servidor
le asignará un IP distinto al primero, esto suele suceder
muy a menudo cuando el rango de IP's disponibles
(Address Pool) para asignar automáticamente es muy
estrecho.

Si quieren ver o editar el Address Pool, o el rango de
IP's que el DHCP server tomará para asignar
automáticamente, pueden ir a IP -> Pool -
> pestañaPools.

Así terminamos la primera parte de esta guía, con todo
lo necesario para hacer funcionar el servidor DHCP de
MikroTik. La segunda parte será algo más específica, y
tocaremos una función muy interesante sobre
los Leases.

[EXCLUSIVO] QoS parte 1: MANGLE
Edición: He visto conveniente y necesario mencionar el
escenario para la cual estas reglas están
desarrolladas. Cualquier otro escenario podría no cumplir.
Mangle para QueueTree de red Enmascarada y con uso

de Web-Proxy incorporado. Reglas probadas en ROS 3.0
x86.

Bueno muchachos,
Hace algunos días comenté que tenía un algunos problemillas
con mi routerOs que se ponia lento en horas punta o cuando
le activaba webproxy y/o hotspot.

Decidí reconfigurar mi router por cuenta propia basándome en
la info de la wiki de mikrotik.
Y resolví que mi problema era la las Mangle y Queue Tree.

Se agradecen las configuraciones de los tantos foros
existentes que ciertamente son funcionales hasta
determinado punto, pero les llego su hora de expiración.

Aqui les va una pequeña muestra de cómo deberían realizarlo
a manera de guía y en Exclusiva para el Foro
Ryohnosuke.com
Espero que se fabriquen las suyas, cualquier duda pregunten.

Definiciones:
Para que sea de fácil entendimiento haré algunas definiciones
artesanas para el caso concreto que vamos a desarrollar.
El caso que se desarrollará es el de
peticiones/establecimiento/respuesta de una conexión a
internet; desde una red local hacia la nube (internet).

No tomaremos la nomenclatura usada en la wiki porque trae
confusión, pero si mencionaremos como encaja cada
definicion con la info de la wiki.

Interfaces consumidoras, son las interfaces desde las cuales
se realizan las solicitudes de conexión, para nuestro caso
solicitudes a internet; estas interfaces son las que usamos
para conectar las computadoras de nuestra red cableada y/o
inalámbrica.

Interface productora, es la interface que responde a una
conexión de solicitud de una interface consumidora; esta
interface comunmente es por la cual nos conectamos a
internet.

Se sabe que este tipo de conexión tiene siempre dos sentidos,
directo y reverso, envio y recepcion.
Para no complicar el asunto el marcado lo haremos
considerando sólo un sentido, y hablando de interfaces el
sentido será desde las interfaces consumidoras hacia la
productora.

Para nuestro caso especifico y segun la wiki:
interface consumidora sería la Interface In.
interface productora sería la Interface Out.
Por el sentido unico adoptado en este ejemplo todas las
interfaces consumidoras aportarán al Global In, y las
productoras al Global Out.

Desarrollo
Analizaremos el caso de las conexiónes web a los puertos 80
y 443, conexiones a las que le daremos el mismo tratamiento,
vale decir que compartirán el mismo marcado y a causa de
esto en un posterior manejo de colas serán tratados bajo las
mismas reglas.

Datos:
interface productora = WAN
interfaces consumidoras = LAN, LAN1, LAN2

Marcado de la solicitud de conexión a través de las interfaces
consumidoras
Estas reglas le serán familiares.

Código:

/ip firewall mangle

Configuración de mikro tik para thundercache

Configuración de mikro tik para thundercache

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Destacado

Destacado (20)

Similar a Configuración de mikro tik para thundercache

Similar a Configuración de mikro tik para thundercache (20)

Más de Marco Arias

Más de Marco Arias (13)

Configuración de mikro tik para thundercache