Mikrotik

Tutorial
Guia paso-a-paso de Mikrotik
Como hacer NAT en Mikrotik
Ingrese al menu IP, FIREWALL

Elija la opcion: NAT

Cree una nueva regla (presionando +

En CHAIN seleccione la opcion forward

En OUT INTERFACE (SALDA), seleccione la interface de su link con la internet.
En la pestaa ACTION, seleccione la opcion MASQUERAD.

Rapidamente su NAT est perfectamente configurado.

Como fijar IP/MAC

Ingrese al menu IP, ARP

Cree una nueva ARP (presionando +)

Digite la IP de la mquina que desea fijar, la MAC ADDRESS de la INTERFACE a la cual la

mquina ser ligada.
En COMMENT, de el nombre de esta ARP, como en el ejemplo de arriba.
Ingrese al menu, INTERFACE

Como ltimo procedimento, se debe habilitar en la interface, o ARP para reply-only.

web-proxy
Ingrese al menu IP, WEB-PROXY

Click en el menu SETTINGS

Debera aparecer una pantalla como esta

Configure de acuerdo con sus necesidades...

SRC-ADDRESS = Dejar en blanco
PORT = Seleccionar la puerta de su web-proxy
TRANSPARENT PROXY = Dejar marcado para proxy transparente
PARENT PORT = Dejar en blanco
PARENT PROXY PORT = Dejar en blanco
CACHE ADMINISTRATOR = Dejar como est
MAXIMUM OBJECT SIZE = Dejar como est
CACHE DRIVE = Dejar como system
MAXIMUM CACHE SIZE = Define el tamao de su cache, este varia de acuerdo con
el tamao de su HD
MAXIMUM RAM
CACHE SIZE = Define el tamao mximo de sa memria RAM para el cache
Despus de configurar estos parametros, oprima la tecla ENABLE

El segundo paso para que el WEB-PROXY funcione es crear una regla para redireccionar las
peticiones iniciales para el proxy, para esto:
Ingrese al menu IP, FIREWALL

Seleccione la pestaa NAT

Cree una nueva regla (presionando +)

Cree una regla de la siguiente forma:

CHAIN = DSTNAT
PROTOCOL = 6 (TCP)*
DST. PORT = 80
IN. INTERFACE = INTERFACE DOS CLIENTES
Luego presione la pestaa ACTION

En la ventana ACTION ingrese a la opcion REDIRECT y en TO PORT defina la puerta de

su proxi (definida anteriormente al comienzo de este tpico).
Es interesante realizar una regla para cada interface de usuarios. En este caso como se puso dos
interfaces (LAN/WLAN), se crearon dos reglas, una para cada interface.
Es importante crear una regla de bloqueo externo al web-proxy. En caso que no se realice esta
regla, se sobrecargara el proxy, colgando el servidor.
A continuacin ingrese al men IP, FIREWALL

Ingrese a la pestaa FILTER RULES

Cree una nueva regla (presionando +)

Segn la siguiente configuracin:

CHAIN = INPUT*
PROTOCOL = 6 (TCP)
DST PORT = PORTA DO SEU WEB-PROXY
IN. INTERFACE = INTEFACE DE SADA (LINK DE INTERNET)
Ingrese a ACTION

En ACTION elija la opcion drop.

EN COMMENT puede dar un nombre a la regla, que en este caso fue nombrado como
BLOQUEO DE PROXY EXTERNO.
Con este tutorial, se creo y habilito un web-proxy y tambin se torno mas eficiente, bloqueando el
acceso externo al sistema.

Control de ancho de banda

Ingrese al men, QUEUE

Cree un nuevo control de ancho de banda (presionando +)

Configure como se indica a continuacin:

NAME = Nombre del "dueo" de la configuracion Nombre del cliente

TARGET ADDRESS = IP que controlara la banda
TARGET UPLOAD MAX LIMIT = Taza de subida (Colocar k Minscula al final)
TARGET DOWNLAOD MAX LIMIT = Taza de descarga (Colocar k minscula al
final)
Control de ancho de banda finalizado, esto es todo lo necesario.

Acesso remoto a otro Mikrotik

Para tener acesso a radios AP en su red, deber habilitar la funcin ACTIVAR
GERENCIAMIENTO DE LA PUERTA WAN de su radio.
Es simple, solo con crear tres reglas en firewall. Como se indica a continuacion:
Ingrese al menu IP, FIREWALL

Click en la pestaa NAT

Cree una nueva regla (presionando +)

Siga los procedimientos de configuracion siguientes:

CHAIN = DTSNAT
DST. ADDRESS = Direccion IP del MK principal
PROTOCOL = 6 (TCP)
DST. PORT = 4040 (Puerta principal del Firewall)
Ingrese a la pestaa ACTION

Introduzca la siguiente configuracin:

ACTION = DTSNAT
TO ADDRESS = Direccion IP del AP que desea agregar.
TO PORT = Puerta de acesso al AP
Confirme y de un nombre en COMMENT para su regla.
ATENCION: Si el AP que desea agregar es otro AP Mikrotik, debera seleccionar un puerto
estandar TELNET (23). Si es para un AP radio, seleccione un puerto estandar HTTP (80) o otro
escogido en la radio.
Se deber crear una segunda regla

Reptiendo el mismo procedimiento anterior, pero esta vez, alterando apenas el protocolo a 17
(UDP).

Grabe todo y cree una tercera regla.

En esta regla debera definir una direccion IP para su AP. Verifique con una operadora cuales
direcciones IP le son asignadas y cuales estan sobrando.
Cree una regla como sigue:
CHAIN = DTSNAT
DST. ADDRESS = Direccion IP libre, a la cual ser asignada la rdio o AP MIKROTIK.
PROTOCOL = 6 (TCP)
DST. PORT = Puerta de acceso al AP o radio. Si desea agregar otro AP por WINBOX,
seleccione la puerta 8291 (PUERTA POR DEFECTO DEL WINBOX), si agrega una radio, el
puerto estandar es la 80 u otro pr-definido en la radio.
Abra la pestaa ACTION

Aqu se configurara de la siguiente forma:

ACTION = DST-NAT
TO ADDRESS = Direccion IP de la rdio o AP (direccion IP de la red interna)
TO PORT = Puerto estandar del WINBOX (AP MIKROTIK) o puerto estandar para
rdios, puerto 80 (u otro definida).
Listo!!! Para tener acesso al AP MIKROTIK, ingrese al WINBOX, digite la IP vlida definida
anteriormente, coloque la contrasea y loguee. Para tener acceso a las rdios, abra el internet
explorer, digite la direccion IP vlida definida anteriormente... Abrir un box para contrasea y
login... Digite estas y listo!!!
No olvide de agregar las IP's vlidas que seran usadas para las rdios en ADDRESS LIST.
Como??
Ingrese al menu IP, ADDRESS LIST

Cree una nueva lista de direcciones (presionando +)

De acuerdo con su link, coloque una nueva IP vlida, o Ip de "NETWORK es la IP de

BROADCAST. Defina tambien la interface (en este caso, la interface de salida de internet)

Control P2P
Aqu aprender a controlar (shape) o trfico P2P, marcando paquetes, fcilmente.
Basta apenas 4 reglas, 2 en firewall y 2 en queue.
Ingrese al menu IP, FIREWALL

Seleccione la pestaa, MANGLE

Cree una nueva regla (presionando +)

En el campo "CHAIN", seleccione "PREROUTING".

En el campo "P2P", seleccione "all-p2p".
Ingrese a la pestaa ACTION

En el campo "ACTION", seleccione "MARK CONNECTION".

En el campo "NEW CONNECTION MARK", indique un nombre al marcado de paquetes (como
ejemplo, el nombre de "p2p_conn".
Deje la opcion "PASSTHROUGH" atada.
Confirme.

Cree una nueva regla (presione + )

En el campo "CHAIN", seleccione "PREROUTING". En el campo "CONNECTION MARK"
seleccione la opcin con el nombre definido arriba (en este caso es "p2p_conn".
Abra la pestaa ACTION

En el campo "ACTION", seleccione "MARK PACKET", en el campo "NEW PACKET MARK",

defina otro nombre (en este caso es "p2p".
Confirme.
Despues de crear estas dos reglas en el firewall, ser necesrio crear dos regla mas en queue.
Abra el menu, QUEUE

Abra la pestaa "QUEUE TREE"

Cree una nueva regla (presionando +)

Defina de acuerdo con la figura.

NAME = Defina un nombre para esta regla
PARENT = Seleccione "GLOBAL-IN"
PACKET MARK = Seleccione la opcion de nombre escogida arriba. Aparecer aqui el
nombre definido en la regla del firewall
QUEUE TYPE = DEFALT
PRIORITY = 8
MAX LIMIT = Define el limite mximo de banda reservado para o P2P. En este caso, es
un total de 200k para p2p
Confirme...
Cree una nueva regla (presione +)

Defina de acuerdo con la figura.

NAME = Defina un nombre para la regla
PARENT = Seleccione "GLOBAL-OUT"
PACKET MARK = Seleccione la opcion de nombre indicado arriba. Aparecer aqui el
nombre definido en la regla del firewall
QUEUE TYPE = DEFALT
PRIORITY = 8
MAX LIMIT = Define el limite mximo de banda reservado para el P2P. En este caso, es
un total de 200k para p2p
Confirme...
Ahora el trfico P2P, ser limitado por marcacion de paquetes. Esta regla es muy
eficiente!!

BACK UP y RESTAURACIN
Abra el men, FILES

Para crear una copia de back up, cliquee en "BACK UP"

En "FILE NAME", aparecer un nuevo BACKUP. Esta copia estar archivada el el HD del
MIKROTIK. Para copiar este back up en otro computador, cliquee en "copy" (como en la figura)
y guarde en cualquier lugar de su PC.

Para restaurar su backup, seleccione la copia deseada en "FILE NAME" y cliquee en

"RESTORE", como se indica abajo.

Tambien podr restaurar una copia del backup, que se encuentre en su PC, por ejemplo.
Para esto, en su sistema operativo, seleccione el archivo del backup y con el boton derecho del
mouse, seleccione "COPIAR" (COPY). Vaya a la ventana de backup de su MIKROTIK y cliquee
en "paste" (como en la figura).

Seleccione esta nueva copia de back up (aparecer una lista) y seleccione "RESTORE"

Despes de realizar la restauracin del back up, reinicie el Mikrotik. Solo para back
ups realizados por medio del "winbox" , sea este realizado remotamente o en el propio
servidor.

Limitar conexiones por cliente

Ingrese al menu IP, FIREWALL

Ahora abra "FILTER RULES", cree una nueva regla (presionando "+").

Configure de la seguiente forma:

CHAIN = FORWARD
SRC. ADDRESS = ENDEREO DO CLIENTE A QUAL APLICAR O LIMITE.
PROTOCOL = 6 (TCP)
Ahora abra la pestaa "ADVANCED"

En "TCP FLAGS", seleccione la opcin "SYN" (este comando es responsable por la recepcin de
peticiones de conexin del cliente y tambin por el aviso de la puerta que est o no disponible
Abra la pestaa "EXTRA"

En "CONNECTION LIMIT" / "LIMIT", defina el nmero de conexiones mximas para este

cliente.
En el campo "NETMASK", defina la mscara 32 (32 significa que la regla ser aplicada
solamente a esta IP)
Ahora abra la pestaa "ACTION"
En "ACTION", seleccione la opcion "DROP".
Basicamente esta regla libera N conexiones simultaneas para un cliente, bloqueando requisiciones
de conexiones por encima del limite.
Configure de acuerdo con sus necesidades
En caso de desear aplicar una regla para un rango de IPs completo, configure la IP
XXX.XXX.XXX.0 NETMASK = 24.

Servidor PPoE y Registro de Clientes

Abra el menu PPP

Cliquee en la pestaa "PROFILES"

Cree un nuevo profile (presione "+")

Configure este nuevo profile de acuerdo con sus necesidades.

Bsicamente configure as:
NAME = Nombre del profile.
USE COMPRESSION = NO
USE VJ COMPRESSION = NO
USE ENCRYPTION = NO
CHANGE TCP MSS = YES
Deje en blanco los otros campos, conforme a la figura anterior.
Confirme y abra la pestaa "INTERFACES" (en la pestaa PPP misma) y cliquee en "PPPoE
SERVER".

En la ventana "PPPoE SERVER LIST", cree un nuevo servidor (presionando "+")

Configure de acuerdo con sus necesidades. Basicamente como en la siguiente figura:

Parametros:
SERVICE NAME = Nombre del servidor PPPoE.
INTERFACE = Interface con que este servidor trabajar.
MAX MTU = Taza mxima de transmision. Basicamente deje en 1500 para clientes con
winxp o superior y 1452 para clientes con win98 e inferior y clientes que utilizan discador
RASPPPOE.
MAX MRU = Taza mxima de recepcion. Configurar conforme a lo anterior.
KEEPALIVE TIMEOUT = Tiempo mximo que una conexion retornar un error.
Basicamente deje en 10.
DEFALT PROFILE = Recuerda la profile que creo? Es aqui que todas estas
configuraciones quedaron incorporadas a el. Basicamente el profile es un atajo de todas estas
configuraciones.
ONE SESSION PER HOST = Esta opcin permite el login y la contrasea de un cliente
(registrado en el servidor pppoe), conecte por vez. Esto es interesante por que evita que varias
personas conecten al mismo tiempo con el mismo login y contrasea. Deje marcado.
MAX SESSION = Define el nmero mximo de conexiones a este servidor. Bsicamente
deje en blanco.
AUTENTICATION = Para que haya compatibilidad con todos los servicios de descarga
disponibles, deje todas marcadas.

Se podr crear varios servidores PPPoE. Cada uno atendiendo una determinada interface y un
determinado sistema operacional, como en el ejemplo siguiente:

Para registrar clientes es bien fcil. Despus de crear su servidor PPPoE, basta cliquear en la
pestaa "SECRETS"

Para crear una nueva cuenta, presione el boton "+"

Configure de acuerdo con sus necesidades:

NAME = Login del asignante. Puede conter @xxxxxxx.com.xx o no.
PASSWORD = Contrasea de acesso.
SERVICE = Escoja PPPoe.
CALLER ID = Define cual MAC Address sera fijada a esta conexion
PROFILE = Define el profile que ser fijado a esta conexion.
LOCAL ADDRESS = Direccin del Gateway (normalmente un rango de IP utilizadas con
final 254)
REMOTE ADDRESS = Direccion IP de esta mquina (preferentemente dentro del rango
de IPs de la red local, LOCAL ADDRESS).
ROUTERS = Define enrutamiento. Dejar en blanco.
LIMITY BYTES IN = Limita el nmero de bytes de entrada. Dejar en blanco.
LIMITY BYTES OUT = Limita el nmero de bytes de salida.
Confirme todo y listo. En el computador del cliente basta crear una conexion PPPoE con esta
contrasea y login y se conectara.
Espero que les aclare algunas dudas.

Cualquier consulta: lic.o.diaz@gmail.com.

Saludos.-