Mikrotik Tutorial Muy Completo en Castellano

MIKROTIK TUTORIAL MUY COMPLETO EN CASTELLANO Mikrotik Tutorial Guia paso-a-paso de Mikrotik Como hacer NAT en Mikrotik Ingrese al menu IP, FIREWALL

Elija la opcion: NAT

Cree una nueva regla (presionando “+”

En “CHAIN” seleccione la opcion “forward” En OUT INTERFACE (SALÍDA), seleccione la interface de su link con la internet. En la pestaña “ACTIO “ACTION”, N”, seleccione la opcion “MASQUERA “MASQUERAD”. D”.

Cree una nueva regla (presionando “+”

En “CHAIN” seleccione la opcion “forward” En OUT INTERFACE (SALÍDA), seleccione la interface de su link con la internet. En la pestaña “ACTIO “ACTION”, N”, seleccione la opcion “MASQUERA “MASQUERAD”. D”.

Rapidamente su NAT está perfectamente configurado.

Como fijar IP/MAC Ingrese al menu IP, ARP

Cree una nueva “ARP” (presionando “+”)

Digite la IP de la máquina que desea fijar, la MAC ADDRESS de la INTERFACE a la cual la máquina será ligada. En COMMENT, de el nombre de esta ARP, como en el ejemplo de arriba. Ingrese al menu, INTERFACE

Como último procedimento, se debe habilitar en la interface, o ARP para reply-only.

web-proxy Ingrese al menu IP, WEB-PROXY

Click en el menu “SETTINGS”

Debera aparecer una pantalla como esta

Configure de acuerdo con sus necesidades... SRC-ADDRESS = Dejar en blanco PORT = Seleccionar la puerta de su web-proxy TRANSPARENT PROXY = Dejar marcado para proxy transparente PARENT PORT = Dejar en blanco PARENT PROXY PORT = Dejar en blanco CACHE ADMINISTRATOR = Dejar como está MAXIMUM OBJECT SIZE = Dejar como está CACHE DRIVE = Dejar como “system” MAXIMUM CACHE SIZE = Define el tamaño de su cache, este varia de acuerdo con el tamaño de su HD MAXIMUM RAM CACHE SIZE = Define el tamaño máximo de sa memória RAM para el cache Despues de configurar estos parametros, oprima la tecla “ENABLE”

El segundo paso para que el WEB-PROXY funcione es crear una regla para redireccionar las peticiones iniciales para el proxy, para esto: Ingrese al menu IP, FIREWALL

Seleccione la pestaña “NAT”

Cree una nueva regla (presionando “+”)

Cree una regla de la siguiente forma: • • • •

CHAIN = DSTNAT PROTOCOL = 6 (TCP)* DST. PORT = 80 IN. INTERFACE = INTERFACE DOS CLIENTES

Luego presione la pestaña “ACTION”

En la ventana “ACTION” ingrese a la opcion “REDIRECT” y en “TO PORT” defina la puerta de su proxi (definida anteriormente al comienzo de este tópico). Es interesante realizar una regla para cada interface de usuarios. En este caso como se puso dos interfaces (LAN/WLAN), se crearon dos reglas, una para cada interface. Es importante crear una regla de bloqueo externo al web-proxy. En caso que no se realice esta regla, se sobrecargara el proxy, colgando el servidor. A continuacion ingrese al menu IP, FIREWALL

Ingrese a la pestaña “FILTER RULES”

Cree una nueva regla (presionando “+”)

Segun la siguiente configuracion: • • • •

CHAIN = INPUT* PROTOCOL = 6 (TCP) DST PORT = PORTA DO SEU WEB-PROXY IN. INTERFACE = INTEFACE DE SAÍDA (LINK DE INTERNET)

Ingrese a “ACTION”

En “ACTION” elija la opcion “drop”.

EN COMMENT puede dar un nombre a la regla, que en este caso fue nombrado como “BLOQUEO DE PROXY EXTERNO”. Con este tutorial, se creo y habilito un web-proxy y tambien se torno mas eficiente, bloqueando el acesso externo al sistema.

Control de ancho de banda Ingrese al menu, QUEUE

Cree un nuevo control de banda (presionando “+”)

Configure como se indica a continuacion: • • • •

NAME = Nombre del "dueño" de la configuracion – Nombre del cliente TARGET ADDRESS = IP que controlara la banda TARGET UPLOAD – MAX LIMIT = Taza de upload (Colocar “k” Minúscula al final) TARGET DOWNLAOD – MAX LIMIT = Taza de download (Colocar “k” minúscula al final)

Control de banda finalizado, esto es todo lo necesario.

Acesso remoto a otro Mikrotik PS: Para tener acesso a radios AP en su red, deberá habilitar la funcion “ACTIVAR GERENCIAMENTO DE LA PUERTA WAN” de su radio. Es simple, solo con crear tres reglas en firewall. Como se indica a continuacion: Ingrese al menu IP, FIREWALL

Click en la pestaña “NAT”

Cree una nueva regla (presionando “+”)

Siga los procedimientos de configuracion siguientes: • • • •

CHAIN = DTSNAT DST. ADDRESS = Endereço IP do MK principal PROTOCOL = 6 (TCP) DST. PORT = 4040 (Porta padrão do Firewall)

Ingrese a la pestaña “ACTION”

Introduzca la siguiente configuracion: • • •

ACTION = DTSNAT TO ADDRESS =Direccion IP del AP que desea agregar. TO PORT = Puerta de acesso al AP

Confirme y de un nombre en COMMENT para su regla. ATENCION: Si el AP que desea agregar es otro AP Mikrotik, debera seleccionar un puerto estandar TELNET (23). Si es para un AP radio, seleccione un puerto estandar HTTP (80) o otro escogida en la radio. Se deberá crear una segunda regla

Reptiendo el mismo procedimiento anterior, pero esta vez, alterando apenas el protocolo a 17 (UDP).

Grabe todo y cree una tercera regla.

En esta regla debera definir una direccion IP para su AP. Verifique con una operadora cuales direcciones IP le son asignadas y cuales estan sobrando. Cree una regla como sigue: • • • •

CHAIN = DTSNAT DST. ADDRESS =Direccion IP libre, a la cual será asignada la rádio o AP MIKROTIK. PROTOCOL = 6 (TCP) DST. PORT = Puerta de acceso al AP o radio. Si desea agregar otro AP por WINBOX, seleccione la puerta 8291 (PUERTA POR DEFECTO DEL WINBOX), si agrega una radio, el puerto estandar es la 80 u otra pré-definido en la radio.

Abra la pestaña “ACTION”

Aqui se configurara de la siguiente forma: • • •

ACTION = DST-NAT TO ADDRESS = Direccion IP de la rádio o AP (direccion IP de la red interna) TO PORT = Puerto estandar del WINBOX (AP MIKROTIK) o puerto estandar para rádios, puerto 80 (u otro definida).

Listo!!! Para tener acesso al AP MIKROTIK, ingrese al WINBOX, digite la IP válida definida anteriormente, coloque la contraseña y loguee. Para tener acceso a las rádios, abra el internet explorer, digite la direccion IP válida definida anteriormente... Abrirá un box para contraseña y login... Digite estas y listo!!! No olvide de agregar las IP's válidas que seran usadas para las rádios en ADDRESS LIST. Como?? Ingrese al menu IP, ADDRESS LIST

Cree una nueva lista de direcciones (presionando “+”)

De acuerdo con su link, coloque una nueva IP válida, o Ip de "NETWORK es la IP de BROADCAST. Defina tambien la interface (EN este caso, la interface de salida de internet)

Control P2P Aqui aprendera a controlar (shape) o tráfico P2P, marcando paquetes, facilmente. Basta apenas 4 reglas, 2 en firewall y 2 en queue. Ingrese al menu IP, FIREWALL

Seleccione la pestaña, MANGLE

Cree una nueva regla (presionando “+”)

En el campo "CHAIN", seleccione "PREROUTING". En el campo "P2P", seleccione "all-p2p". Ingrese a la pestaña “ACTION”

En el campo "ACTION", seleccione "MARK CONNECTION". En el campo "NEW CONNECTION MARK", indique un nombre al marcado de paquetes (como ejemplo, el nombre de "p2p_conn". Deje la opcion "PASSTHROUGH" atada. Confirme. Cree una nueva rega (presione “+”)

En el campo "CHAIN", seleccione "PREROUTING". En el campo "CONNECTION MARK" seleccione la opcion con el nombre definido arriba (en este caso es "p2p_conn". Abra la pestaña “ACTION”

En el campo "ACTION", seleccione "MARK PACKET", en el campo "NEW PACKET MARK", defina otro nombre (en este caso es "p2p". Confirme. Despues de crear estas dos reglas en el firewall, será necesário crear dos regla mas en queue. Abra el menu, QUEUE

Abra la pestaña "QUEUE TREE"

Cree una nueva regla (presionando “+”)

Defina de acuerdo con la figura.

• • •

• • •

NAME = Defina un nombre para esta regla PARENT = Seleccione "GLOBAL-IN" PACKET MARK = Seleccione la opcion de nombre escogida arriba. Aparecerá aqui el nombre definido en la regla del firewall QUEUE TYPE = DEFALT PRIORITY = 8 MAX LIMIT = Define el limite máximo de banda reservado para o P2P. En este caso, es un total de 200k para p2p Confirme... Cree una nueva regla (presione “+”)

Defina de acuerdo con la figura. • • •

• • •

NAME = Defina un nombre para la regla PARENT = Seleccione "GLOBAL-OUT" PACKET MARK = Seleccione la opcion de nombre indicado arriba. Aparecerá aqui el nombre definido en la regla del firewall QUEUE TYPE = DEFALT PRIORITY = 8 MAX LIMIT = Define el limite máximo de banda reservado para el P2P. En este caso, es un total de 200k para p2p Confirme... Ahora el tráfico P2P, será limitado por marcacion de paquetes. Esta regla es muy eficiente!!

BACKUP y restauración Abra el menu, FILES

"BACKUP"

Para crear una copia de backup, cliquee en

En "FILE NAME", aparecerá un nuevo BACKUP. Esta copia estará archivada el el HD del MIKROTIK. Para copiar este backup en otro computador, clique en "copy" (como en la figura) y guarde en cualquier lugar de su PC.

Para restaurar su backup, seleccione la copia deseada en "FILE NAME" y cliquee en "RESTORE", como se indica abajo.

Tambien podrá restaurar una copia del backup, que se encuentre en su PC, por ejemplo. Para esto, en su sistema operativo, seleccione el archivo del backup y con el boton derecho del mouse, seleccione "COPIAR" (COPY). Vaya a la ventana de backup de su MIKROTIK y cliquee en "paste" (como en la figura).

Seleccione esta nueva copia de backup (aparecerá una lista) y aprete en "RESTORE"

Despues de realizar la restauración del backup, reinicie su MIKROTIK.

PS: Estamos tratando apenas de backup realizados por el "winbox", sea este remotamente o en el propio servidor.

Limitar conexiones por cliente Ingrese al menu IP, FIREWALL

Ahora abra "FILTER RULES", cree una nueva regla (presionando "+").

Configure de la seguiente forma: • • •

CHAIN = FORWARD SRC. ADDRESS = ENDEREÇO DO CLIENTE A QUAL APLICARÁ O LIMITE. PROTOCOL = 6 (TCP)

Ahora abra la pestaña "ADVANCED"

En "TCP FLAGS", seleccione la opciono "SYN" (este comando es responsabe por la recepcion de requisiciones de conexion del cliente y tambiem por el aviso de a que puerta está o no disponible Abra la pestaña "EXTRA"

En "CONNECTION LIMIT" / "LIMIT", defina el número de conexiones máximas para este cliente. En el campo "NETMASK", defina la máscara 32 (32 significa que la regla será aplicada solamente a esta IP) Ahora abra la pestaña "ACTION" En "ACTION", seleccione la opcion "DROP". Basicamente esta regla libera N conexiones simultâneas para un cliente, bloqueando requisiciones de conexiones encoma del limite. Configure de acuerdo con sus necesidades PS: en caso de desear aplicar una regla para un range de IPs completo, configure la IP XXX.XXX.XXX.0 NETMASK = 24.

Servidor PPoE y Registro de Clientes Abra el menu PPP

Cliquee en la pestaña "PROFILES"

Cree un nuevo profile (presione "+")

Configure este nuevo profile de acuerdo con sus necesidades. Basicamente configure asi: • • • • •

NAME = Nome do profile. USE COMPRESSION = NO USE VJ COMPRESSION = NO USE ENCRYPTION = NO CHANGE TCP MSS = YES

Deje en blanco los otros campos , conforme la figura anterior. Confirme y abra la pestaña "INTERFACES" (en la pestaña PPP misma) y cliquee en "PPPoE SERVER".

En la ventana "PPPoE SERVER LIST", cree un nuevo servidor (presionando "+")

Configure de acuerdo con sus necesidades. Basicamente como en la siguiente figura:

Parametros:

• • •

• •

• •

•

•

•

SERVICE NAME = Nombre del servidor PPPoE. INTERFACE = Interface con que este servidor trabajará. MAX MTU = Taza máxima de transmision. Basicamente deje en 1500 para clientes con winxp o superior y 1452 para clientes con win98 e inferior y clientes que utilizan discador RASPPPOE. MAX MRU = Taza máxima de recepcion. Configurar conforme a lo anterior. KEEPALIVE TIMEOUT = Tiempo máximo que una conexion retornará un error. Basicamente deje en 10. DEFALT PROFILE = Recuerda la profile que creo? Es aqui que todas estas configuraciones quedaron incorporadas a el. Basicamente el profile es un atajo de todas estas configuraciones. ONE SESSION PER HOST = Esta opción permite el login y la contraseña de un cliente (registrado en el servidor pppoe), conecte por vez. Esto es interesante por que evita que varias personas conecten al mismo tiempo con el mismo login y contraseña. Deje marcado. MAX SESSION = Define el número máximo de conexiones a este servidor. Básicamente deje en blanco. AUTENTICATION = Para que haya compatibilidad con todos los servicios de descarga disponibles, deje todas marcadas.

Se podrá crear varios servidores PPPoE. Cada uno atendiendo una determinada interface y un determinado sistema operacional, como en el ejemplo siguiente:

Para registrar clientes es bien fácil. Después de crear su servidor PPPoE, basta cliquear en la pestaña "SECRETS"

Para crear una nueva cuenta, presione el boton "+"