MANUAL: Mikrotik, tips & tricks

Hola,

En esta ocasión quiero arrancar un nuevo post a modo colaborativo, de igual modo que hice con el de las cofiguraciones básicas de los ISPs. La idea es que nos vayáis enviando trucos que habéis descubierto usando vuestros equipos, y que creáis que puedan resultar interesantes.

Podemos hacerlo como queráis, o los vais poniendo debajo y yo voy editando el primer este primer POST par ir añadiéndolos, o montamos un formato común y que cada uno vaya añadiendo en las respuestas sus propios trucos. Sin más, os dejo con algunos de los que uso de manera habitual, y que me son de gran ayuda.

Truco: Activar el Hardware Offloading [aceleración por hardware] en equipos con switch chip MT7621 [hEX, hEX-S] - NO NECESARIO EN RouterOS-V7x
Este es el primer truco que debéis aprender los recién llegados a la marca y que hayáis optado por un equipo hEX [RB750Gr3] o hEX-S [RB760iGS]
Por defecto, el quick setup nos va a configurar nuestro equipo de manera correcta, pero dejará una interesante configuración sin activar: el hardware offloading o aceleración por hardware. Dado que nuestro equipo lleva un switch chip, podemos hacer uso de él para enrutar los paquetes que van al resto de puertos, sin llegar a pasar por la CPU del router, usando la aceleración por hardware del propio switch. Esto se traduce en un aumento de rendimiento más que notable. Para ello, lo único que tendremos que hacer es editar el bridge principal y desactivarle el protocolo de spanning tree, ya que este router no es compatible con STP/R-STP y hardware offloading al mismo tiempo, para este modelo de switch chip en concreto.
Código:
/interface bridge set numbers=0 protocol-mode=none

Tras esto, perderéis momentanemente la conexión con vuestro equipo. Una vez restaurada, podéis ir a la pestaña "Ports" dentro del bridge, y veréis que los puertos que están asociados al birdge principal (sólo funciona con él, el primero), ahora aparecen con una "H" delante. Esto significa que trabajan ahora a nivel de hardware, mucho más rápido que antes cuando enviaban el tráfico a la CPU del equipo.
Este truco es incompatible con los protocolos del spanning tree como STP/R-STP/MSTP, así como con el VLAN filtering en el bridge o la opción de IGMP snooping, para este equipo concreto. Sólo los equipos más capaces pueden usar todas estas caracterísiticas a nivel hardware. Podéis ver el detalle en la siguiente tabla


Truco: Usar un dominio tipo DynDNS con mi equipo mikrotik
Este truco es realmente sencillo, porque cada routeboard viene con un dominio dinámico que nos regala mikrotik, no tenéis ni que montar un script para configurar el vuestro, como se hacía antiguamente. Vuestro dominio será siempre vuestro número de serie del equipo + .sn.mynetname.net. Es decir, llevará el siguiente formato: serial.sn.mynetname.net

Para usarlo, lo único que tenéis que hacer es activarlo en IP -> Cloud -> DDNS = enabled
Código:
/ip cloud set ddns-enabled=yes
Si además queréis que el equipo mantenga actualizada la hora del sistema usando ese servicio, sólo tenéis que marcar la opción de "Update Time" del la misma pantalla

Bonus extra: si tenéis un dominio particular contratado, tipo pericoeldelospalotes.com, podéis crear una entrada tipo CNAME que apunte a vuestro dominio mikrotik, y así no tener que aprenderte el número de serie del chisme ni tener que recordar ese dominio tan complejo. La entrada tipo CNAME simplemente asocia un dominio a otro, de tal manera que podéis crear un router.pericoeldelospalotes.com que apunte como CNAME a serial.sn.mynetname.net. Esto os ayudará mucho a configurar, por ejemplo, una VPN, dado que ese dominio se va a mantener siempre activo y apuntando a vuestra IP dinámica, aunque esta cambie con un reinicio del equipo.


Truco: Crear un backup en cloud de nuestra configuración
Desde hace poco, mikrotik nos permite subir un backup de nuestros equipos a un dominio cloud de su propiedad. Los backups están cifrados y protegidos por contraseña de manera obligatoria, así que no me preocuparía en exceso de temas de seguridad. Este tipo de backup el muy útil si tenéis varios routers iguales, o si tenéis un equipo en producción y otro en stagging (en la retaguardia), por si el primero falla. De esta manera, podéis enchufar un router nuevo con la configuración base, bajar el backup y echarlo a andar en menos de un minuto. Ojo que sólo podréis crear uno por equipo, así que si queréis crear uno cuando ya habéis creado el primero, tendréis que borrar el anterior. Sin más, os detallo cómo se hace:

Crear el backup
Código:
/system backup cloud upload-file action=create-and-upload password=MySup3rB4ckup!


Visualizar el detalle del backup, incluida la clave de descarga del fichero (por si os queréis llevar la configuración a otro equipo)
Código:
/system backup cloud print


Descargar el backup en el propio equipo - Se descargará en Files y podréis restaurarlo con la contraseña de encriptado que pusisteis al crearlo [MySup3rB4ckup!]
Código:
/system backup cloud download-file action=download number=0


Descargarlo en otro equipo - Necesitaréis el secret-download-key que se proporciona por consola en el segundo paso, cuando mostramos la info del backup
Código:
/system backup cloud download-file action=download secret-download-key=XXXXXXXXX


Borrar el backup, para dejar el espacio libre y crear uno nuevo
Código:
/system backup cloud remove-file 0

Bonus: si jugáis con el apartado /system scripts y /system scheduler, veréis que podéis automatizar esto para que se haga cada cierto tiempo, automáticamente.


Truco: Hairpin NAT [NAT Loopback]
Esta opción nos valdrá para acceder a una máquina local (tipo un NAS o un webserver) usando un dominio público, cuando estemos dentro de nuestra propia red. En los routers comerciales al uso, normalmente esto ya viene implementado, y es algo por lo que no nos tenemos que preocupar. No obstante, en routers más avanzados, es una opción que hay que configurar a mano. La configuración básica, para una única máquina y un único puerto, la tenéis explicada en la wiki. No obstante, vamos a darle una vuelta de tuerca y a configurar esto para que el loopback funcione para todo el segmento de red y que, además, no tengamos que andar editando la regla de apartura de puertos del hairpin cada vez que necesitemos exponer un puerto nuevo. Para ello, vamos a hacer uso de una propiedad relativamente nueva en los routers mikrotik, llamada address-llists.

Primero, activamos el dominio ddns (primer truco)
Código:
/ip cloud set ddns-enabled=yes

Segundo, añadiremos nuestro dominio como una lista de direcciones, la cual vamos a llamar public-ip. Al hacerlo, el propio router resolverá nuestra IP pública, a la cual apunta el dominio, modificando el address=serial.sn.mynetname.net por la dirección de IP cloud que podemos sacar del primer paso sacando la dirección directamente del comando /ip cloud
Código:
/ip firewall address-list add address=[/ip cloud get dns-name] list=public-ip

Suponiendo que nuestra LAN es la que monta el router por defecto [supongo 192.168.88.1/24; cambiar según vuestra LAN], crearemos la siguiente regla de masquerade en el NAT, la cual colocaremos en la primera posición, antes que la regla por defecto (posición 0), obteniendo nuestra LAN dinámicamente. Suponemos que, si no se ha cambiado, nuestra LAN por defecto es la que se define en la primera entrada de "networks" en el servidor DHCP:
Código:
/ip firewall nat add action=masquerade chain=srcnat comment=hairpin-nat dst-address=[/ip dhcp-server network get 0 address] src-address=[/ip dhcp-server network get 0 address] place-before=0

Por último, creamos la apertura de puertos que queramos, pero con una pequeña modificación: ahora le diremos que el tráfico viene por nuestra IP pública. Al no tener una IP pública estática, no podremos usarla en el dst-address, pero como hemos creado la entrada en la lista de direcciones, podemos usar el dst-address-list como filtro. De esta manera no secuestramos todo el tráfico de nuestra red para ese puerto en cuestión, sino sólo el de entrada (el que tiene como destino la IP pública)
En este caso, abriremos el tráfico del puerto 443 externo (HTTPS) y lo redireccionaremos a la al puerto https de la consola de administración de nuestro equipo (supongo un servidor web situado en la IP 192.168.88.100 y con puerto de administración el 1234). Adaptar el ejemplo a vuestras necesidades:
Código:
/ip firewall nat
add action=dst-nat chain=dstnat comment=Web-Admin dst-address-list=public-ip \
    dst-port=443 protocol=tcp to-addresses=192.168.88.100 to-ports=1234

Una vez hecho esto, podremos ingresar a nuestra consola de admin, tanto desde dentro de la red como desde fuera, usando nuestro dominio tipo https://serial.sn.mynetname.net, tráfico que acabará golpeando el puerto tcp interno 1234 de la máquina 192.168.88.100
Para el resto de puertos a abrir, seguiremos la misma técnica y en todos especificaremos el dst-address-list, en lugar del in-interface.


Truco: Aislar un equipo en una red aparte
Muchas veces tenemos la necesidad, bien por trabajo bien por cualquier otro tema, de aislar un equipo dentro de nuestra red. Para ello, no basta con asignar una IP o segmento de red distinta al equipo, sino que además tenemos que bloquear el tráfico que genera para que no acceda a nuestra red princpal, dado que, por defecto, todos los segmentos de red que se configuren en un router mikrotik se comunican entres sí.

Para montar una red independiente, lo primero que vamos a hacer es sacar el puerto físico donde vayamos a conectar el equipo (ether5 en mi caso) del bridge principal, el cual de normal aglutina los puertos del 2 al 5 (en el caso de equipos con 5 puertos ethernet). En este caso, saco ether5 del bridge principal llamado bridge1
Código:
/interface bridge port remove numbers=[find where interface=ether5]

Lo siguiente que haremos, será asignar un nuevo segmento de red para ese puerto. Por ejemplo, le daremos el segmento de red 192.168.99.1/24
Código:
/ip address add address=192.168.99.1/24 interface=ether5

Siguiente, creamos un pool de direcciones para dicho servidor, tan grande como nos interese. En mi caso, de 8 equipos, de la 3 a la 10.
Código:
/ip pool add name=pool-out-of-lan ranges=192.168.99.3-192.168.99.10

Y le añadimos un servidor DHCP a dicha interfaz, para no tener que preocuparnos de poner una IP estática en la máquina la cual conectemos a ese puerto. Primero el detalle de la red, luego el servidor propiamente dicho
Código:
/ip dhcp-server network
add address=192.168.99.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.99.1

/ip dhcp-server
add address-pool=pool-out-of-lan disabled=no interface=ether5 name=dhcp-out-of-lan

Y por último, y más importante, añadimos las reglas de firewall que nos impedirán la comunicación entre ambas redes, dado que el mikrotik las comunica por defecto. Serán dos reglas (una por cada sentido del tráfico) en el chain de forward:
Código:
/ip firewall filter
add action=drop chain=forward comment="drop communication from LAN to new network" \
    src-address=192.168.88.0/24 dst-address=192.168.99.0/24

add action=drop chain=forward comment="drop communication from new network to LAN" \
    src-address=192.168.99.0/24 dst-address=192.168.88.0/24


Truco: Acceder a la ONT o el router que tengo conectado el puerto WAN [ether1]
Muchas veces tenemos la necesidad de acceder al router u ONT que usamos como WAN. Sin embargo, si estamos conectados al router mikrotik y estamos en otro segmento, no llegaremos a dicho equipo. La manera de hacerlo es muy sencilla.

Primero, creamos una IP del rango del equipo conectado al WAN, y se la asignamos a ether1. En mi caso tengo una ONT a la cual accedo con la dirección 192.168.100.1, de tal manera que he configurado la dirección 192.168.100.2 sobre ether1:
Código:
/ip address add address=192.168.100.2/24 interface=ether1 network=192.168.100.0

Y, a continuación, especifiamos que la interfaz física ether1 la considere como un puerto WAN (además de la VLAN o cliente PPPoE que use vuestra configuración original, la cual ya estará dada de alta como perteneciente a la lista WAN)
Código:
/interface list member add interface=ether1 list=WAN

Con estos dos sencillos pasos, ahora podremos abrir un navegador y, desde cualquier dispositivo conectado a nuestro router mikrotik, acceder a la dirección 192.168.100.1 [adaptarlo según necesidad de cada uno]


Truco: Usar el servidor DNS, como servidor local para un dominio de intranet.
Con la opción de IP -> DNS -> Allow remote requests, estamos convirtiendo nuestro equipo en un servidor DNS, el cual podrá hacer las funciones de DNS caché y de servidor local. Para esto último podemos crear entradas estáticas a las IP's locales de nuestros dispositivos, resolviendolos luego vía nombre.dominio.

Por defecto, el router habrá creado una entrada que apunta a la IP del propio equipo, la cual podemos resolver con un ping a router.lan. Siguiendo con ese dominio .lan, podemos seguir añadiendo dispositivos para luego resolverlos por nombre. Ejemplo:
Código:
/ip dns static add address=192.168.88.2 name=miequipo.lan
/ip dns static add address=192.168.88.3 name=miotroequipo.lan
...
etc

Bonus: una vez tengamos nuestros equipos, todos bajo un mismo dominio (puede ser el .lan o cualquier otro que nos guste más), podemos añadir este dominio a la lista de dominios de búsqueda en el DHCP, de tal manera que nos lo entregue como parte de los datos que facilita el router cuando un cliente le solicita una IP.
Código:
/ip dhcp-server network set number=[find where gateway=192.168.88.1] domain=lan

De esta forma, una vez el servidor DHCP nos entregue una dirección, también nos entregará su dominio de búsqueda, tal que ahora podremos invocarlo con un ping simplemente al nombre del equipo: ping router deberia responder de la misma manera ahora que un ping router.lan


Truco: Convertir tu routerboard en un switch (o un AP puro, en caso de tener wifi) [by @stargate4you]
Para cuando nos interese convertir nuestro router en un bridge, o en el caso de AP's inalámbricos los cuales no queramos usar con ninguna función de router, la solución es sencilla. Lo único que necesitamos hacer son los siguientes cambios:
  • Dar un reset al equipo sin configuración, no necesitamos ni si quiera la configuración que sale del quick set.
  • Crear el bridge principal y meter todas las interfaces que vayan a participar en el switch bajo dicho bridge. En el caso de un AP, meter también las interfaces físicas o virtuales correspondientes a los distintos radios.
  • Borrar las listas de interfaces (si las hubiera), puesto que no las vamos a necesitar, así como el firewall o el NAT
  • Crear un cliente dhcp sobre la interfaz del bridge /ip dhcp-client add disabled=no interface=bridge


Truco: Filtrar web maliciosas a parte de tus equipos usando filtrado DNS [by @stargate4you]
Para cuando tenemos peques en la casa o simplemente queremos que se filtren las peticiones DNS a parte de nuestra red, podemos redirigir las peticiones DNS a un servidor público con filtrado, evitando así que los más peques de la casa accedan a contenido indeseado.

Código:
# Creamos una lista de IP's a las que se les va a aplicar el bloqueo
/ip firewall address-list
add address=192.168.1.151-192.168.1.254 list="Bloquear XXX"

#Redirigimos las peticiones DNS al DNS de Norton ConnectSafe
/ip firewall nat
add action=dst-nat chain=dstnat comment=\
"Redireccionar DNS a Norton Connectsafe" dst-port=53 protocol=udp \
src-address-list="Bloquear XXX" to-addresses=199.85.126.30 to-ports=53

Si queremos aplicarlo a toda la red, lo más sencillo es utilizar como servidor uptream de DNS uno que ya vaya filtrado. Por ejempo:
  • Family shield, de OpenDNS: 208.67.222.123 / 208.67.220.123
  • Cloudflare family:
    • Anti malware: 1.1.1.2 / 1.0.0.2
    • Anti malware + anti pornografía: 1.1.1.3 / 1.0.0.3
Código:
# Configurarmos nuestro servidor dns upstream apuntando al family de cloudflare anti malware
ip dns set servers=1.1.1.2,1.0.0.2

Y, si queremos personalizarlo, sólo hay que sacarse una cuenta en OpenDNS Home y configurar a nuestro gusto los filtros que queramos. Nos proveerán otros servidores DNS donde podremos personalizar qué tipo de filtrado queremos aplicar, los cuales, al igual que lo anterior, podremos usar para filtrar parte o todo el tráfico del mikrotik.


Truco: Fijar la MAC de nuestro equipo en el bridge, para no tener problemas en la asignación de direcciones dinámicas por DHCP
Hay veces que conectamos nuestros equipos como CPE/Bridge o puentes inalámbricos, y queremos que el resto de puertos ethernet del router funcionen como un simple switch. Normalmente, esto se consigue metiendo todas las interfaces ethernet+wifi en el mismo bridge, y levantando sobre él un cliente DHCP, el cual recibirá una dirección IP del router o equipo que tenga el servidor DHCP corriendo

Problemática: al meter todos los puertos en el bridge, incluido el puerto que hace de WAN, perdemos consciencia de que el bridge como tal no tiene una MAC propia, sino que la obtiene del primer puerto que se agrega al bridge. No es infrecuente que, al reiniciar, ese orden cambie, y la MAC asociada al bridge cambien también, haciendo que el servidor DHCP nos vea como otro equipo y nos de otra IP. Esto puede causar que perdamos conectividad, si a ese equipo le tenemos hecho un lease y reservado una IP para, por ejemplo, una apertura de puertos. Se me ocurre el caso típico del router haciendo de swtich (bridge mode) + servidor VPN.

Solución: simplemente tenemos que elegir una MAC, de entre los puertos que conforman el bridge que lleva el cliente DHCP levantado, y ponerla como MAC de administración en el bridge. Normalmente, yo suelo elegir la MAC del puerto que hace de WAN. Ejemplo: router con 5 puertos ethernet y una wifi, la cual hace de WAN, dentro del mismo bridge, donde le otorgo la MAC de la interfaz inalámbrica, como MAC de administración a dicho bridge.

Código:
/interface bridge
add admin-mac=48:8F:5A:95:2E:03 auto-mac=no comment=defconf name=bridge
/interface bridge port
add bridge=bridge comment=defconf interface=ether1
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge interface=wlan-wan


Truco: Configurar un script para duckdns.org en mikrotik y programarlo para ejecución automática.
Por si no os gusta el dominio que os regala el propio mikrotik y sois usuarios de este servicio, podéis usarlo también en vuestro equipo. Lo único que tendréis que dar de alta será un script que actualice el dominio con vuestra dirección pública, y meterle un programador para correrlo periódicamente. El script está recogido de la propia web de duckdns, y simplemente parametrizado en las tres primeras líneas, para que sólo tengáis que cambiar los valores de dichas variables globales, "wanInterface", "domain" y "token", las cuales corresponden a la interfaz por la cual obtenéis IP pública. El script es el siguiente:

Código:
# Modificad las siguientes tres asignaciones de variables, relativas a la interfaz wan, el dominio y el token, con vuestros datos. Se cambia lo que va entrecomillado.

# Poned aquí la interfaz por la que te conectas a internet, ejemplo:
:global wanInterface "ether1"

# Poned aquí el dominio duckdns que queramos mantener actualizado, ejemplo:
:global domain "pericoeldelospalotes.duckdns.org"

# Poned aquí el token que nos da duckdns para nuestra cuenta, ejemplo:
:global token "fc8e6521-35b8-1234-b915-db6345a31c75"

# Inicio del Script
:global actualIP value=[/ip address get [find where interface=$wanInterface] value-name=address];
:global actualIP value=[:pick $actualIP -1 [:find $actualIP "/" -1] ];
:if ([:len [/file find where name=ipstore.txt]] < 1 ) do={
/file print file=ipstore.txt where name=ipstore.txt;
/delay delay-time=2;
/file set ipstore.txt contents="0.0.0.0";
};
:global previousIP value=[/file get [find where name=ipstore.txt ] value-name=contents];
:if ($previousIP != $actualIP) do={
:log info message=("Try to Update DuckDNS with actual IP ".$actualIP." -  Previous IP are ".$previousIP);
/tool fetch mode=https keep-result=yes dst-path=duckdns-result.txt address=[:resolve www.duckdns.org] port=443 host=www.duckdns.org src-path=("/update?domains=$domain&token=$token&ip=".$actualIP);
/delay delay-time=5;
:global lastChange value=[/file get [find where name=duckdns-result.txt ] value-name=contents];
:global previousIP value=$actualIP;
/file set ipstore.txt contents=$actualIP;
:if ($lastChange = "OK") do={:log warning message=("DuckDNS update successfull with IP ".$actualIP);};
:if ($lastChange = "KO") do={:log error message=("Fail to update DuckDNS with new IP ".$actualIP);};
};

Para ello, primero damos de alta el script en System -> Script, pulsando el botón +. Seleccionamos todos los permisos que vienen por defecto y pegamos el script en el campo en blanco.
1606045969729.png


Luego, damos de alta un programador en System -> Scheduler, y le decimos que corra el script, por ejemplo, cada 30 minutos. Simplemente rellenamos los datos y, en el cajetín en blanco, ponemos el nombre con el cual guardamos el script previamente, en mi caso, "duckdns"

1606046364684.png


Con esto y un bizcocho, duckdns funcionando en mikrotik. Si todo ha ido bien, veréis una líneas como estas en el log, cuando corra el script:
1606046866065.png



Truco: Reserva de direcciones estáticas sobre direccionamiento dinámico DHCP
Este truco es realmente sencillo, pero acabo de darme cuenta de que no estaba documentado. Muchas veces tenemos la necesidad de asignar una IP fija (estática) a una máquina concreta, dentro de nuestra red. Por ejemplo, cuando tenemos un servidor web, de vpn, o cualquier otro tipo de máquina que lleve un mapeo de puertos. Obviamente, dado que el mapeo de puertos va asociado a una IP concreta, nos interesa que se le otorgue siempre la misma IP a dicho equipo y que no cambie, o el mapeo de puertos nos funcionará relativamente poco tiempo.
Mucha gente tiene la tentación de asignar IP's a mano dentro de los equipos (ip, máscara, puerta de enlace y dns) y para mi esto es un grandísimo error. No es que per se esto está mal, que no lo está, pero es un paso atrás enorme: empiezas a distribuir distintas configuraciones por distintos equipos, en lugar de centralizar la configuración en el router. Si mañana cambias tu router principal, te va a tocar modificar a mano ese equipo, a menos que respetes con pelos y señales cada detalle que pusiste. Y, cuando tienes una máquina...ni tan mal. Pero, ¿y cuando tienes 30 interruptores en casa domotizados? O cuando tienes 50 impresoras en una empresa.. ¿vas a querer ir metiendo la IP de cada una a mano? Obviamente no, para esto está el servidor DHCP, que nos entrega direcciones automáticas. Pero, ¿podríamos hacer que también las entregue estáticas? Pues sí, vinculando la IP que queremos entregar a la MAC address o dirección física del dispostitivo en cuestión.
Para hacerlo, tenemos dos opciones:
  • Abriendo un agujero en el pool de direcciones del DHCP: esta opción no es necesaria, aunque sí puede ser conveniente si vamos a mezclar reserva de direcciones estáticas en el DHCP con las que nosotros metamos a pelo en los dispositivos. Si mi pool de direcciones va de la 192.168.88.2-192.168.88.254, puedo modificar el comienzo y decirle que arranca en el 20, y así asinar de la 2 a la 20 esas direcciones como las estáticas. El pool iría entonces de la 192.168.88.20 - 192.168.88.254, y cuando diera de alta una IP estática en la reserva, la asociaría a un número del 192.168.88.2 al 192.168.88.19.
  • Sin abrir dicho agujero: simplemente vamos a asociar una IP del rango del pool a una MAC concreta. El propio servidor DHCP se encargará de reservar esa dirección para entregarla sólo a la dirección MAC asociada, ignorándola en la asignación normal de direcciones dinámicas.
De cualquiera de las dos formas, la manera más sencilla es ir a la pestaña Leases dentro del servidor DHCP, y localizar el dispositivo que nos interesa por su dirección MAC. Una vez localizado, seleccionaremos esa entrada (doble click en winbox, un click en webfig) y pulsaremos el botón Make Static
1606842402790.png

Una vez hecho esto, pasan dos cosas: la primera, se quita la "D" que aparece en la primera columna, y que nos indicaba que la entrada era dinámica. La segunda: que dicha entrada se vuelve editable, y podemos volver a hacer doble click en ella y modificar ahora su dirección IP. En ese momento, le otorgaremos la dirección que queramos que tome, y dicha dirección será entregada en el siguiente proceso de renovación del lease del DHCP (cuando el cliente vuelva a preguntarle al servidor, "oye, dame u na IP", y este le conteste con la reservada, en lugar de decirle "quédate con la dinámica que ya tienes"), lo cual pasa a la mitad del tiempo del Lease que tengáis configurado. Por defecto está en 10 minutos, así que las IP's renuevan cada 5. No pasa nada porque escojáis una IP que ya está en uso dinámico para la reserva, y asignada a otra máquina: el servidor DHCP es inteligente, y se quedará con la tarea de desasignar esa IP a quien la tiene como dinámica, y asignarle otra nueva en el siguiente lease. Puede que os de un warning en el log, avisando de ello, pero lo resuelve él solito. La reservada siempre manda sobre el resto.

Por último comentaros que el servidor DHCP de mikrotik es de lo mejorcito que tienen estos equipos. Lo he visto funcionando sin pestañear incluso otorgando direcciones por intenet sobre una conexión pésima a través de túneles EoIP. Así que creo que no hay razón alguna para seguir metiendo IP's a mano en los dispositivos finales, or recomiendo enfáticamente no hacerlo y usar esto en su lugar. Y creedme cuando os digo que es capaz de manejar una tabla de leases con muchos muchos equipos, sin mayor problema.

Truco: Programación de un botón para ejecutar un script [by @stargate4you]


Truco: Notificar vía mail una nueva IP asignada por el servidor DHCP [by @Mikroberto]
Recibir un aviso por mail cuando un nuevo cliente recibe IP dinámica por DHCP. Es muy útil para detectar conexiones nuevas, pero las IPs de equipos conocidos, lo suyo es cambiarlas a estáticas
Lo he sacado de:

get Alert by email on new Device - MikroTik


forum.mikrotik.com


1. Configurar e-mail
Código:
/tool e-mail set address=usuario.servidor.com from=nombre@dominio.com password=tucontraseña port=465 start-tls=tls-only user=nombre@dominio.com

2. Configurar alerta
Esto debería ir en la caja de script del servidor dhcp en el que quieres que se ejecute - no en la pestaña de alertas.
Código:
:local recipient "destinatario@correo.com"
/ip dhcp-server lease
:if (($leaseBound=1) && ([/ip dhcp-server lease find where dynamic mac-address=$leaseActMAC]!="")) do {
:do {
:tool e-mail send to=$recipient subject="NUEVA CONEXION [MAC: $leaseActMAC]" body="La siguiente dirección MAC [$leaseActMAC] recibió la dirección IP [$leaseActIP] del servidor DCHP del router Mikrotik [$leaseServerName]"
:log info "Envío de alerta DHCP para la MAC $leaseActMAC"
} on-error={:log error "Error al enviar alerta por correo a $recipient"}

...

Si tenéis aguno más que queráis ver aquí, no dejéis de compartirlo. Seguro que tenéis más de uno que yo no me sé ;)

Saludos!
 
Última edición:
Muchísimas gracias @pokoyo, un manual de lo más interesante para los novatos como yo :)

Sobre el primer tips, aceleración por hardware, tengo una duda. Desactivar el spanning tree, qué implicaciones puede tener? Por lo que he leído en la web, su función es la de gestionar bucles en topologías de red. ¿Puede que al desactivarlo nos encontremos con algún problema?
 
Muchísimas gracias @pokoyo, un manual de lo más interesante para los novatos como yo :)

Sobre el primer tips, aceleración por hardware, tengo una duda. Desactivar el spanning tree, qué implicaciones puede tener? Por lo que he leído en la web, su función es la de gestionar bucles en topologías de red. ¿Puede que al desactivarlo nos encontremos con algún problema?
En redes muy complejas es aconsejable tenerlo. Pero montarte un bucle en la red de tu casa es prácticamente imposible, a menos que te lo propongas. Y, de cualquier forma, fácilmente evitable. Ganas más que pierdes, en mi humilde opinión.

Saludos!
 
@pokoyo Puedes adaptar la edición a tu gusto en el primer post y añadir cualquier cosa o aclaración que veas conveniente. Aquí dejo mi aportación.

El Quickstep deja montadas unas configuraciones en el cAP AC que no se adaptan del todo bien a nuestros propósitos.

cAP AC como Home AP Dual

Después de poner en marcha el cAP AC mediante el Quickstep Home AP Dual haremos unas pequeñas modificaciones.

Montar el bridge con wlan1,wlan2 y eth1. Asegurate que el el protocolo que usa el bridge está en modo none.

En el Logs sale un aviso referente al dhcp client. Editamos el cliente dhcp (lo que te sale en rojo) y seleccionar la interfaz bridge1 en lugar de ether1. Con esto solucionaremos el problema.

Las listas de interfaces LAN y WAN carecen de sentido (se usan en el firewall que no tenemos) y por tanto podemos borrarlas.

El Quickstep nos obliga a rellenar el apartado Local Network sino no podremos aplicar la configuración inicial. Después podemos borrar la dirección (ether2) en IP —> Address.

Para conseguir mayor compatibilidad con nuestros equipos debemos cambiar unos ajustes en el apartado Wireless sección Band. En wlan1 (banda 2.4G) seleccionar 2GHz-B/G/N y en wlan2 (banda 5G) seleccionar 5GHz-A/N/AC.

Para conseguir mayores velocidades también debemos cambiar en la sección Channel Width unos ajustes. En wlan1 (banda 2.4G) selecionar 20/40MHz XX y en wlan2 (banda 5G) seleccionar 20/40/80MHz XXXX.

Saludos.
 
Última edición:
@pokoyo Puedes adaptar la edición a tu gusto en el primer post y añadir cualquier cosa o aclaración que veas conveniente. Aquí dejo mi aportación.

El Quickstep deja montadas unas configuraciones en el cAP AC que no se adaptan del todo bien a nuestros propósitos.

cAP AC como Home AP Dual

Después de poner en marcha el cAP AC mediante el Quickstep Home AP Dual haremos unas pequeñas modificaciones.

Montar el bridge con wlan1,wlan2 y eth1. Asegurate que el el protocolo que usa el bridge está en modo none.

En el Logs sale un aviso referente al dhcp client. Editamos el cliente dhcp (lo que te sale en rojo) y seleccionar la interfaz bridge1 en lugar de ether1. Con esto solucionaremos el problema.

Las listas de interfaces LAN y WAN carecen de sentido (se usan en el firewall que no tenemos) y por tanto podemos borrarlas.

El Quickstep nos obliga a rellenar el apartado Local Network sino no podremos aplicar la configuración inicial. Después podemos borrar la dirección (eth2) en IP —> Address.

Para conseguir mayor compatibilidad con nuestros equipos debemos cambiar unos ajustes en el apartado Wireless sección Band. En wlan1 (banda 2.4G) seleccionar 2GHz-B/G/N y en wlan2 (banda 5G) seleccionar 5GHz-A/N/AC.

Para conseguir mayores velocidades también debemos cambiar en la sección Channel Width unos ajustes. En wlan1 (banda 2.4G) selecionar 20/40MHz XX y en wlan2 (banda 5G) seleccionar 20/40/80MHz XXXX.

Saludos.

¿Me puedes pasar un pantallazo de las opciones que tiene ese AP en el quick setup, cuando seleccionas "Home AP Dual" en el desplegable?

Gracias!
 
Creo que si reseteas el AP (haz un backup primero) y seleccionas en el apartado Internet "Automático" (como lo tienes), y en Local Network no seleccionas nada, más que "birdge all lan ports", conseguirás el mismo efecto que con el truco que propones. Si te animas a probarlo, me dices.

Saludos!
 
Creo que si reseteas el AP (haz un backup primero) y seleccionas en el apartado Internet "Automático" (como lo tienes), y en Local Network no seleccionas nada, más que "birdge all lan ports", conseguirás el mismo efecto que con el truco que propones. Si te animas a probarlo, me dices.

Saludos!
En Local Network te obliga igualmente a rellenarlo aunque marques "bridge all lan ports". Ya lo he probado de diferentes maneras y siempre te obliga.
Saludos.
 
Vale, pero ahí le podrías dar en verdad cualquier dirección. Lo único que va a hacer con ella es asignarla a una interfaz, bien a ether1 o al bridge, pero poco más. Incluso puedes ponerle la misma dirección que te entrega arriba el dhcp.

Supongo que será un pequeño fallo del quick set en ese modo.

Saludos!
 
Vale, pero ahí le podrías dar en verdad cualquier dirección. Lo único que va a hacer con ella es asignarla a una interfaz, bien a ether1 o al bridge, pero poco más. Incluso puedes ponerle la misma dirección que te entrega arriba el dhcp.

Supongo que será un pequeño fallo del quick set en ese modo.

Saludos!

Te la asigna siempre al ether2.
 
Correcto, puesto que el ether1 es normalmente el puerto WAN, me colé yo en mi comentario. Está bien de esa manera, descuida.

Saludos!
 
@stargate4you cómo va ese cAP AP? Hoy he estado leyendo un poco sobre el AP, porque recientemente he adquirido yo un Ubiquiti UAC AP Lite, un 50 % más caro que el de Mikrotik, y bueno la verdad es que me va muy bien. Lo hice deprisa porque necesitaba corregir el problema de wifi que tenía en mi casa.

La cuestión es que el de Mikrotik parece similar, más barato, y seguro que con el hEX se entienden genial. ¿Creeis que es comparable al de Ubiquiti?
 
@stargate4you cómo va ese cAP AP? Hoy he estado leyendo un poco sobre el AP, porque recientemente he adquirido yo un Ubiquiti UAC AP Lite, un 50 % más caro que el de Mikrotik, y bueno la verdad es que me va muy bien. Lo hice deprisa porque necesitaba corregir el problema de wifi que tenía en mi casa.

La cuestión es que el de Mikrotik parece similar, más barato, y seguro que con el hEX se entienden genial. ¿Creeis que es comparable al de Ubiquiti?
Va bien en relación calidad/precio.
De todas maneras yo he leído que Ubiquiti los supera en prestaciones por lo que he podido leer en otros foros.
Al escoger router Mikrotik pues pensé en completar el pack con un AP wifi de la misma marca y porque económicamente era más asequible que los Ubiquiti. Si el presupuesto lo permite parece ser que a día de hoy los AP de Ubiquiti van un paso por delante. También hay que tener en cuenta el tipo de clientes que se conectarán al AP para ver si puedes exprimir al máximo las conexiones.
Saludos.
 
Va bien en relación calidad/precio.
De todas maneras yo he leído que Ubiquiti los supera en prestaciones por lo que he podido leer en otros foros.
Al escoger router Mikrotik pues pensé en completar el pack con un AP wifi de la misma marca y porque económicamente era más asequible que los Ubiquiti. Si el presupuesto lo permite parece ser que a día de hoy los AP de Ubiquiti van un paso por delante. También hay que tener en cuenta el tipo de clientes que se conectarán al AP para ver si puedes exprimir al máximo las conexiones.
Saludos.

Muchas gracias por la respuesta. Vale pues me quedo más tranquilo, porque he estado a punto de devolverlo y pillar uno de Mikrotik (lo bueno de Amazon), pero despues de oirte, creo que me lo voy a quedar. En mi caso prefiero gastar un poco mas y tener un wifi pro pro, porque mis necesidades lo requieren.

En mi caso los clientes que se conectan al AP son mayoritariamente dispositivos IoT, pero muchos, muchísimos. De momento voy por 60 fijos y sin parar de crecer, y luego cuenta los temporales (moviles, tablets, portatiles, ...). He sufrido mucho con un Xiaomi Router 3G con Padavan, al principio me iba bien pero al superar un determinado número, empecé a tener problemas de microdesconexiones y cosas que para la domótica me mataban. Ahora tengo el Ubiquiti con una red para IoT (solo en 2.4 ghz) y otra red para dispositivos temporales, que combina la red de 2.4 y la de 5ghz, y no puede ir mejor. Estoy encantado.

Iba a poner un segundo AP, para balancear carga, pero me dijo @pokoyo que mejor exprimir el que tengo, que me sorprendería la cantidad de clientes que soporta un Ubiquiti sin despeinarse, y si ya veo que me da problemas añado otro más. Le he hecho caso y de momento 0 problemas. Desde que puse el Ubiquiti, mi domótica funciona como nunca.

Así que si, seguiré así, como dijo @pokoyo, una red gestionada por un buen Mikrotik y APs Ubiquiti es una red a prueba de bombas. No podía llevar más razón.

Un saludo!!
 
Muchas gracias por la respuesta. Vale pues me quedo más tranquilo, porque he estado a punto de devolverlo y pillar uno de Mikrotik (lo bueno de Amazon), pero despues de oirte, creo que me lo voy a quedar. En mi caso prefiero gastar un poco mas y tener un wifi pro pro, porque mis necesidades lo requieren.

En mi caso los clientes que se conectan al AP son mayoritariamente dispositivos IoT, pero muchos, muchísimos. De momento voy por 60 fijos y sin parar de crecer, y luego cuenta los temporales (moviles, tablets, portatiles, ...). He sufrido mucho con un Xiaomi Router 3G con Padavan, al principio me iba bien pero al superar un determinado número, empecé a tener problemas de microdesconexiones y cosas que para la domótica me mataban. Ahora tengo el Ubiquiti con una red para IoT (solo en 2.4 ghz) y otra red para dispositivos temporales, que combina la red de 2.4 y la de 5ghz, y no puede ir mejor. Estoy encantado.

Iba a poner un segundo AP, para balancear carga, pero me dijo @pokoyo que mejor exprimir el que tengo, que me sorprendería la cantidad de clientes que soporta un Ubiquiti sin despeinarse, y si ya veo que me da problemas añado otro más. Le he hecho caso y de momento 0 problemas. Desde que puse el Ubiquiti, mi domótica funciona como nunca.

Así que si, seguiré así, como dijo @pokoyo, una red gestionada por un buen Mikrotik y APs Ubiquiti es una red a prueba de bombas. No podía llevar más razón.

Un saludo!!

Correcto. Los equipos de ubiquiti, a nivel inalámbrico, van un paso por delante, en cuanto a tecnología se refiere. Lo cual no quiere decir que los de mikrotik sean malos, ojo; pero desde luego no son comparables a un AP bueno de ubiquiti.
Quizá donde más brille el mikrotik sea en CPE’s punto a punto con NV2 (una implementación propia de sus equipos en enlaces inalámbricos entre dos routers de la marca). Y en el precio, obviamente, porque valen la mitad.

También te pierdes otras cosas, como no poder usar CAPsMAN, pero si solo vas a tener un AP o dos, tampoco pierdes nada. Y que el AP que tiene el compi @stargate4you, en verdad no es un AP, es otro router de mikrotik, con todas sus funcionalidades, por si quisiera en algún momento usarlo como tal.

Y el manejo de decenas de clientes no es solo tarea del AP, que tiene mucho que ver, sino de tener detrás un buen router que soporte sin problemas el direccionamiento de todos esos clientes.

Como te comenté al principio: mikrotik en router y ubiquiti en APs es una elección segura.

Me alegro de que ambos tengáis unos equipos con los que estáis contentos, eso sobre todo. No hay mejor cosa que estar satisfecho con lo que uno compra y monta para su red.

Así que nada, que lo disfrutéis!

Saludos!
 
Buenas @pokoyo, te mando una miniguía que me he elaborado para actualizar, ya que la primera vez, tiene su aquel. Me encontré con el problema de que desde WebFig se me quedaba el proceso tostado "buscando actualización" sin embargo desde Winbox perfecto. Luego también tuve dudas de las ramas de Software existentes, y ya navegando por la Wiki vi que había que aplicar dos tipos de actualizaciones, la de Software y la de Firmware.

Por lo tanto, creo que no está mal tener esto por escrito para la gente que viene nuevo a este mundo, por lo que te adjunto mi miniguía. No hay que decir que puedes sentirte libre de modificarla/adaptarla a tu gusto, colocarla en el foro que consideres (quizás encaje más en primeros pasos que aquí) o simplemente descartarla :)


Actualización de RouterOS


En este apartado vamos a tratar todo el proceso de actualización de RouterOS. Hablaremos de las ramas del Software que tiene Mikrotik, de cómo buscar actualizaciones y como aplicarlas, tanto en el Software como en el Firmware.

Ramas de Software

Mikrotik actualmente tiene cinco ramas de Software, las cuales explico y enumero a continuación:

  • Legacy: Es la rama de Software deprecado, que ya no se usa, pero que lo mantienen por si alguien pudiera necesitarlo alguna vez.
  • Development: Es la rama donde el equipo de desarrollo sube las betas de la nueva versión del sistema operativo. No es recomendable que los usuarios finales usemos estas versiones.
  • Testing: Es la rama donde se suben las release candidates. Una release candidate es una beta ya testada, con objeto de que usuarios sin demasiados conocimientos la prueben para poder detectar errores que no se detectaron en la fase beta. Yo solo recomendaría usar esta rama si hay alguna funcionalidad que necesitas, y que todavía no está en la rama Stable.
  • Stable: Como su nombre indica, es la rama estable, la principal, a la que llega todo el Software que ha superado con éxito las pruebas realizadas tanto en la fase Development como en la fase Testing. Será la rama que usemos alrededor del 90% de los usuarios de RouterOS.
  • Long-term: Yo la llamo ‘super estable’. Va un par de versiones o tres por debajo de la rama Stable, y principalmente se usa para empresas o redes cruciales, en las que nada puede fallar. Añade una batería de pruebas extra que se realiza sobre la rama Stable, y si el Software la pasa con éxito, pasa a formar parte de esta rama. Si no te importa estar “a la última” y consideras tu red crucial, entonces podrías usar esta rama en lugar de la Stable.
Actualización de Software

Una vez que decidamos que rama de Software seguir, podemos realizar la comprobación si hay alguna actualización de RouterOS en la siguiente ruta: System (menú) >> Packages (submenú) >> Check For Updates (botón). He de decir que, a mí, a veces, accediendo desde WebFig se me queda colgado “finding out lastest version…”, es decir, buscando la última versión. Usando Winbox nunca he tenido este problema.

En el caso de que os encuentre una versión más moderna que la que tenéis, os aparecerá en la ventana el changelog (novedades) y los botones para descargar y/o aplicar la actualización.

En caso de querer aplicarla, lo más fácil es darle al botón Download&Install y esperar a que el router termine y se reinicie.

Actualización de Firmware

Cuando apliquéis una actualización de Software (descrita en el apartado anterior) es importante que posteriormente hagáis una actualización del Firmware del router, ya que las actualizaciones de Software suelen llevar también cambios a nivel de Firmware en el router.

Para realizar la actualización de Firmware, tenéis que ir a la siguiente ruta: System (menú) >> RouterBOARD (submenú) >> Upgrade.
 
Buenas @pokoyo, te mando una miniguía que me he elaborado para actualizar, ya que la primera vez, tiene su aquel. Me encontré con el problema de que desde WebFig se me quedaba el proceso tostado "buscando actualización" sin embargo desde Winbox perfecto. Luego también tuve dudas de las ramas de Software existentes, y ya navegando por la Wiki vi que había que aplicar dos tipos de actualizaciones, la de Software y la de Firmware.

Por lo tanto, creo que no está mal tener esto por escrito para la gente que viene nuevo a este mundo, por lo que te adjunto mi miniguía. No hay que decir que puedes sentirte libre de modificarla/adaptarla a tu gusto, colocarla en el foro que consideres (quizás encaje más en primeros pasos que aquí) o simplemente descartarla :)


Actualización de RouterOS


En este apartado vamos a tratar todo el proceso de actualización de RouterOS. Hablaremos de las ramas del Software que tiene Mikrotik, de cómo buscar actualizaciones y como aplicarlas, tanto en el Software como en el Firmware.

Ramas de Software

Mikrotik actualmente tiene cinco ramas de Software, las cuales explico y enumero a continuación:

  • Legacy: Es la rama de Software deprecado, que ya no se usa, pero que lo mantienen por si alguien pudiera necesitarlo alguna vez.
  • Development: Es la rama donde el equipo de desarrollo sube las betas de la nueva versión del sistema operativo. No es recomendable que los usuarios finales usemos estas versiones.
  • Testing: Es la rama donde se suben las release candidates. Una release candidate es una beta ya testada, con objeto de que usuarios sin demasiados conocimientos la prueben para poder detectar errores que no se detectaron en la fase beta. Yo solo recomendaría usar esta rama si hay alguna funcionalidad que necesitas, y que todavía no está en la rama Stable.
  • Stable: Como su nombre indica, es la rama estable, la principal, a la que llega todo el Software que ha superado con éxito las pruebas realizadas tanto en la fase Development como en la fase Testing. Será la rama que usemos alrededor del 90% de los usuarios de RouterOS.
  • Long-term: Yo la llamo ‘super estable’. Va un par de versiones o tres por debajo de la rama Stable, y principalmente se usa para empresas o redes cruciales, en las que nada puede fallar. Añade una batería de pruebas extra que se realiza sobre la rama Stable, y si el Software la pasa con éxito, pasa a formar parte de esta rama. Si no te importa estar “a la última” y consideras tu red crucial, entonces podrías usar esta rama en lugar de la Stable.
Actualización de Software

Una vez que decidamos que rama de Software seguir, podemos realizar la comprobación si hay alguna actualización de RouterOS en la siguiente ruta: System (menú) >> Packages (submenú) >> Check For Updates (botón). He de decir que, a mí, a veces, accediendo desde WebFig se me queda colgado “finding out lastest version…”, es decir, buscando la última versión. Usando Winbox nunca he tenido este problema.

En el caso de que os encuentre una versión más moderna que la que tenéis, os aparecerá en la ventana el changelog (novedades) y los botones para descargar y/o aplicar la actualización.

En caso de querer aplicarla, lo más fácil es darle al botón Download&Install y esperar a que el router termine y se reinicie.

Actualización de Firmware

Cuando apliquéis una actualización de Software (descrita en el apartado anterior) es importante que posteriormente hagáis una actualización del Firmware del router, ya que las actualizaciones de Software suelen llevar también cambios a nivel de Firmware en el router.

Para realizar la actualización de Firmware, tenéis que ir a la siguiente ruta: System (menú) >> RouterBOARD (submenú) >> Upgrade.

Crea un hilo nuevo, sólo con la información a partir del título de la guía, y lo metemos aparte. Sinceramente, esto más que un tip & trick es una cosa importante a tener en cuenta, que merece de un manual aparte, aunque no sea muy extenso. Le ponemos una chincheta al post y listo. Por seguir un poco el mismo esquema de manuales, al post le pondría el título algo así como

MANUAL: Mikrotik, cómo actualizar tu routerboard

¿Qué te parece?

PS: Mil gracias por el aporte, by the way!

Saludos!
 
Otra cosa @sermayoral, mira este vídeo, por si quieres completar tu miniguía, que merece la pena. Así recopilamos todos los métodos, tanto los ortodoxos como los menos ortodoxos de actualizar el software de nuestra routerboard:

Así mismo te recomiendo que eches un vistazo también a la instalación de paquetes individuales, muy útil para equipos pequeños con poco espacio. Es otra manera de actualizar la routerboard, además del famoso paquete "bundle" que trae todo, y que todos usamos. Lo puedes encontrar en la web de mikrotik, bajo "Extra packages" para tu arquitectura concreta.

Saludos!
 
Otra cosa @sermayoral, mira este vídeo, por si quieres completar tu miniguía, que merece la pena. Así recopilamos todos los métodos, tanto los ortodoxos como los menos ortodoxos de actualizar el software de nuestra routerboard:

Así mismo te recomiendo que eches un vistazo también a la instalación de paquetes individuales, muy útil para equipos pequeños con poco espacio. Es otra manera de actualizar la routerboard, además del famoso paquete "bundle" que trae todo, y que todos usamos. Lo puedes encontrar en la web de mikrotik, bajo "Extra packages" para tu arquitectura concreta.

Saludos!

Genial, pues si te parece bien, creo el hilo desde ya, con la información que ya tenemos, y luego lo vamos ampliando con lo que dice el video, que es muy interesante, pero que para hacerlo bien hay que documentarse bien :)
 
Genial, pues si te parece bien, creo el hilo desde ya, con la información que ya tenemos, y luego lo vamos ampliando con lo que dice el video, que es muy interesante, pero que para hacerlo bien hay que documentarse bien :)

Perfecto, tú crea el hilo y luego lo editas con el resto de información.

Saludos!
 
Arriba