MANUAL: Mikrotik, tips & tricks

Una pregunta, referente al script para detectar nuevos clientes conectado.

Sabéis si en ROS 7.X (7.5 específicamente) ha cambiado algo en la sintaxis, referente a la siguiente consulta?

Código:
/ip dhcp-server lease
:if (($leaseBound=1) && ([/ip dhcp-server lease find where dynamic mac-address=$leaseActMAC]!="")) do= {
:do {
<...>
}

Consultando en el siguiente enlace, las variables globales son correctas:
Prueba cambiando las dos primeras líneas por estas:

Código:
/ip dhcp-server lease
:if ( ($leaseBound = "1") and ([:len [find where dynamic=no and mac-address=$leaseActMAC]] > 0) ) do={

Eso es para que se ejecute una acción si la lease es sobre una IP estática (dynamic=no) o dinámica (dynamic=yes). Si quieres que se ejecute con cualquier IP, pones lo siguiente y andando:

Código:
/ip dhcp-server lease
:if ($leaseBound = "1") do={

Ya comentas los resultados.

S@lu2.
 
Última edición:
No hay manera @diamuxin
Con ninguna de las dos modificaciones salta lo que haya dentro de los corchetes.
Por otro lado, cualquier otro script que ponga fuera (notificacion telegram, por ejemplo) si funciona.

Nota: :log info "..." no me funcionan tampoco. Hay alguna forma de indicar que se vuelque algo al log de alguna otra manera para los scripts de dhcp server? O no sportan :log info?
 
No hay manera @diamuxin
Con ninguna de las dos modificaciones salta lo que haya dentro de los corchetes.
Por otro lado, cualquier otro script que ponga fuera (notificacion telegram, por ejemplo) si funciona.

Nota: :log info "..." no me funcionan tampoco. Hay alguna forma de indicar que se vuelque algo al log de alguna otra manera para los scripts de dhcp server? O no sportan :log info?

Desconozco como tienes ese script en el DHCP, compártelo y así lo vemos mejor.

Para no ensuciar mucho este hilo de tips & tricks, mejor abre un hilo nuevo sobre este tema, ok?

S@lu2.
 
@pokoyo ya que has puesto un script para DuckDNS, te puedo ayudar a poner uno para Google domains.
Tengo este dominio y SmartPhoneLover me ha ayudado a crear el script y la automatización de su acción para varios scripts.
 
Me ha llegado la semana pasada el Mikrotik ax2 y os voy a compatir unas tonterias que a mas de uno lo hara de inmediato tan pronto lea el post:

Añadir Emoticonos en el SSID es muy divertido -->

Lo primero que teneis que haces es ir a esta pagina :


Ahi os aparecen una serie de iconos para elegis el que mas os guste y lo seleccionais en la columna 3 browser, doble click con el boton browser y lo copiais

Luego vais a esta pagina -->


y lo pegais por ejemplo poneis este SSID , es un ejemplo poner el que querais-->Ver adjunto

mikrotik.jpg


Le dais a go y os saldra este codigo : /interface wireless set [find name="wlan1"] ssid="\41\64\73\6C\7A\6F\6E\65\F0\9F\A4\A0\20\4D\69\6B\72\6F\74\69\6B\E2\99\A5\E2\99\A5\E2\99\A5"

Este codigo lo teneis que poner por consola, si estais con wifiwave2 por ejemplo con router ax2, yo lo que hice fue poner algo asi:

/interface wifiwave2
set [ find default-name=wifi1 ] channel.band=5ghz-ax .frequency=2300-7000 \
.width=20/40/80mhz configuration.country=Spain .mode=ap .ssid="\41\64\73\6C\7A\6F\6E\65\F0\9F\A4\A0\20\4D\69\6B\72\6F\74\69\6B\E2\99\A5\E2\99\A5\E2\99\A5" \
disabled=no security.authentication-types=wpa2-psk,wpa3-psk .disable-pmkid=\
no .encryption=ccmp

Cosas a tener en cuenta --> Aspiradores, equipos como fire tv es posible que no os llegue a conectar, cosas a favor, nivel de seguridad extra, he intentado sacar handshake con este ssid y me ha sido imposible, no se si es de la tarjeta de red o alguna configuracion que se me colo de unicode pero no me fue.

Este extra es super divertido sobre todo cuando llega alguien a tu casa y ve un ssid con emoticonos.


Cosas extras que he realizado con el Ax2, he creado una red de wifi a mayores con un ssid tipo TV, ponerle el que querais, con el fin de poder ver la tv a traves de esa wifi, os explico mejor, en mi casa soy "Pepe" y tengo macheada la ethernet 2 que va contra el deco de la operadora para ver la tv de "Paco". Pues he macheado la nueva interfaz de la siguiente manera

add bridge=bridge-iptv interface=ether2
add bridge=bridge-iptv interface=eoip-iptv
#Wifi 3 es la interfaz de la nueva wifi --->
add bridge=bridge-iptv interface=wifi3

Esto me resulta tremendamente util para cuando voy a la cama me pongo la tablet y me conecto a esa red wifi creada o por ejemplo quiero ver el f1 en la tablet y el futbol en el deco.

Mi ultimo tunning fue quitarle las luces al router ax2 que parece una tombola pero no pude, si es cierto que con otros modelos de router si se puede, asi que el que prefiera estar sin leds en el router, que pruebe

Seria asi-->

/system leds setting

all-leds-off (after-1h | after-1min | immediate | never; Default: never)

Con esto pongo mi granito de arena a este equipo super configurable, una autentica navaja suiza, si hay algo repetido lo siento, espero que os sirva de utilidad a muchos.

Un saludo
 
Última edición:
Cosas extras que he realizado con el Ax2, he creado una red de wifi a mayores con un ssid tipo TV, ponerle el que querais, con el fin de poder ver la tv a traves de esa wifi, os explico mejor, en mi casa soy "Pepe" y tengo macheada la ethernet 2 que va contra el deco de la operadora para ver la tv de "Paco". Pues he macheado la nueva interfaz de la siguiente manera

add bridge=bridge-iptv interface=ether2
add bridge=bridge-iptv interface=eoip-iptv
#Wifi 3 es la interfaz de la nueva wifi --->
add bridge=bridge-iptv interface=wifi3

Esto me resulta tremendamente util para cuando voy a la cama me pongo la tablet y me conecto a esa red wifi creada o por ejemplo quiero ver el f1 en la tablet y el futbol en el deco.

Mi ultimo tunning fue quitarle las luces al router ax2 que parece una tombola pero no pude, si es cierto que con otros modelos de router si se puede, asi que el que prefiera estar sin leds en el router, que pruebe

Seria asi-->

/system leds setting

all-leds-off (after-1h | after-1min | immediate | never; Default: never)

Con esto pongo mi granito de arena a este equipo super configurable, una autentica navaja suiza, si hay algo repetido lo siento, espero que os sirva de utilidad a muchos.

Un saludo

Cuando te refieres a la TV, que ves en la Tablet ¿A qué cliente te refieres? Porque con VLC se supone que los canales multicast van codificados. O te refieres a la APP de Movistar+, que tienes usuario y contraseña de Paco y la estás viendo saliendo por la IP de Paco, al tunelizar la tablet a través de ese Wifi específico.

Por otro lado, lo de los LEDs en el HAP AX2 no me queda claro si lo has conseguido o no. En mi caso no he podido desactivar los leds con esa opción.
 
Hola buenas.

Cuando digo en la tablet me refiero a la app, lo bueno de hacerlo asi es que no te solicita credenciales , accedes directamente y no estas ocupando un usuario de app. Paco podria dejar las credenciales a cualquier persona fuera del hogar y podría conectarse sin problemas.
Si no lo realizas asi y lo haces con tu propia salida de inet, primero necesitas credenciales y segundo ocuparia un usuario y ninguna otra persona fuera del hogar de Paco podria hacer uso.

Con relacion al tema de los Leds es algo que pense que podria hacer pero este modelo en concreto no se puede.

Un saludo
 
Hola buenas.

Cuando digo en la tablet me refiero a la app, lo bueno de hacerlo asi es que no te solicita credenciales , accedes directamente y no estas ocupando un usuario de app. Paco podria dejar las credenciales a cualquier persona fuera del hogar y podría conectarse sin problemas.
Si no lo realizas asi y lo haces con tu propia salida de inet, primero necesitas credenciales y segundo ocuparia un usuario y ninguna otra persona fuera del hogar de Paco podria hacer uso.

Con relacion al tema de los Leds es algo que pense que podria hacer pero este modelo en concreto no se puede.

Un saludo
Desconocía que de esta manera no pedia credenciales. Lo probaré, muchas gracias!

Lo de los LEDs quizá lo acaban arreglando en alguna actualización
 
Hola, he aislado el puerto 5 para un equipo de trabajo en una red distinta. ¿Cómo puedo ver los leases del DHCP y acceder a ese equipo de trabajo desde otro equipo? (entendiendo que pongo el equipo desde el que quiero acceder a ese equipo en el mismo segmento de red y entendiendo, no sé si bien o mal, que no puedo acceder desde la LAN default a la LAN aislada porque precisamente lo que hemos configurado es para evitar ese tráfico). ¿Tendría que poner un switch en el puerto 5 para ello ya que de otra manera no vería ese equipo desde ninguna otra interfaz?

Truco: Aislar un equipo en una red aparte
Muchas veces tenemos la necesidad, bien por trabajo bien por cualquier otro tema, de aislar un equipo dentro de nuestra red. Para ello, no basta con asignar una IP o segmento de red distinta al equipo, sino que además tenemos que bloquear el tráfico que genera para que no acceda a nuestra red princpal, dado que, por defecto, todos los segmentos de red que se configuren en un router mikrotik se comunican entres sí.

Para montar una red independiente, lo primero que vamos a hacer es sacar el puerto físico donde vayamos a conectar el equipo (ether5 en mi caso) del bridge principal, el cual de normal aglutina los puertos del 2 al 5 (en el caso de equipos con 5 puertos ethernet). En este caso, saco ether5 del bridge principal llamado bridge1


Código:

/interface bridge port remove numbers=[find where interface=ether5]


Lo siguiente que haremos, será asignar un nuevo segmento de red para ese puerto. Por ejemplo, le daremos el segmento de red 192.168.99.1/24


Código:

/ip address add address=192.168.99.1/24 interface=ether5


Siguiente, creamos un pool de direcciones para dicho servidor, tan grande como nos interese. En mi caso, de 8 equipos, de la 3 a la 10.


Código:

/ip pool add name=pool-out-of-lan ranges=192.168.99.3-192.168.99.10


Y le añadimos un servidor DHCP a dicha interfaz, para no tener que preocuparnos de poner una IP estática en la máquina la cual conectemos a ese puerto. Primero el detalle de la red, luego el servidor propiamente dicho


Código:

/ip dhcp-server network
add address=192.168.99.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.99.1

/ip dhcp-server
add address-pool=pool-out-of-lan disabled=no interface=ether5 name=dhcp-out-of-lan


Y por último, y más importante, añadimos las reglas de firewall que nos impedirán la comunicación entre ambas redes, dado que el mikrotik las comunica por defecto. Serán dos reglas (una por cada sentido del tráfico) en el chain de forward:


Código:

/ip firewall filter
add action=drop chain=forward comment="drop communication from LAN to new network" \
src-address=192.168.88.0/24 dst-address=192.168.99.0/24

add action=drop chain=forward comment="drop communication from new network to LAN" \
src-address=192.168.99.0/24 dst-address=192.168.88.0/24

Es decir, en esta configuración ¿cómo podría acceder al host 192.168.99.5 por ejemplo?

Mil gracias por adelantado.
 
Hola, he aislado el puerto 5 para un equipo de trabajo en una red distinta. ¿Cómo puedo ver los leases del DHCP y acceder a ese equipo de trabajo desde otro equipo? (entendiendo que pongo el equipo desde el que quiero acceder a ese equipo en el mismo segmento de red y entendiendo, no sé si bien o mal, que no puedo acceder desde la LAN default a la LAN aislada porque precisamente lo que hemos configurado es para evitar ese tráfico). ¿Tendría que poner un switch en el puerto 5 para ello ya que de otra manera no vería ese equipo desde ninguna otra interfaz?



Es decir, en esta configuración ¿cómo podría acceder al host 192.168.99.5 por ejemplo?

Mil gracias por adelantado.
No te sigo... el tip es para aislar el equipo de tu red principal. Qué quieres ahora, ¿comunicar el equipo con otro equipo de trabajo? Porque, si lo que estás haciendo es aislarlo, poco sentido tiene luego querer comunicarlo con la red principal, ¿no? Para eso, te ahorras el tip.

Y, si quieres aplicar eso a más equipos, simplemente cuelga un switch del puerto ether5 y conecta ahí todos los equipos que necesiten estar aislados de tu red principal, pero comunicados entre sí.

Saludos!
 
No te sigo... el tip es para aislar el equipo de tu red principal. Qué quieres ahora, ¿comunicar el equipo con otro equipo de trabajo? Porque, si lo que estás haciendo es aislarlo, poco sentido tiene luego querer comunicarlo con la red principal, ¿no? Para eso, te ahorras el tip.

Y, si quieres aplicar eso a más equipos, simplemente cuelga un switch del puerto ether5 y conecta ahí todos los equipos que necesiten estar aislados de tu red principal, pero comunicados entre sí.

Saludos!
Exactamente eso, lo que pensaba, switch en ese puerto para tener esa red aislada de la LAN pero con varios equipos.
Y, si quieres aplicar eso a más equipos, simplemente cuelga un switch del puerto ether5 y conecta ahí todos los equipos que necesiten estar aislados de tu red principal, pero comunicados entre sí.

Gracias.
 
Si es únicamente otro equipo más, puedes poner un segundo bridge con dos puertos. Un bridge no deja de ser un switch, pero dinámico, donde se pueden meter y sacar puertos.

Saludos.
 
Hola de nuevo, tengo la necesidad de abrir un puerto (el 668:cool: con origen internet con destino un host de esa LAN aislada (en concreto el host 192.168.5.5) Lo he hecho de la siguiente manera:

add action=dst-nat chain=dstnat dst-port=6688 protocol=tcp \
to-addresses=192.168.5.5 to-ports=6688

Sin embargo me queda la duda si lo estoy haciendo bien:

1667828948057.png


Si marco ether5 en In. Interface entonces la regla no funciona. Si no marco nada o marco internet (PPPoE) o marco la vlan6-internet sí me funciona (es una configuración con triple VLAN de Movistar).

¿Estaría así bien aislado a pesar de tener el puerto abierto sin especificar una interfaz de entrada? Cuando especifico la interfaz ether5 el puerto no es alcanzable desde el origen. También tengo las reglas en el firewall configuradas para que mi LAN y la LAN aislada no se vean.

1667829174649.png


Vamos, que el comando me funciona y como está funciona, pero no sé si de esa manera estoy "fastidiando" el hecho de aislar ese puerto en otra LAN.

Gracias a todos por adelantado.
 
Mete el filtro adicional in-interface-list=WAN, si usas listas, sino in-interface=pppoe-client1. De la manera que lo tienes estás secuestrando todo tráfico a ese puerto, sin importar el sentido.

Saludos!
 
Mete el filtro adicional in-interface-list=WAN, si usas listas, sino in-interface=pppoe-client1. De la manera que lo tienes estás secuestrando todo tráfico a ese puerto, sin importar el sentido.

Saludos!

Es que me pintaba raro así a pelo sí... selecciono esto y así sí ¿no?

1667831135636.png


Así quedaría el export:

add action=dst-nat chain=dstnat dst-port=6688 in-interface-list=WAN \
protocol=tcp to-addresses=192.168.5.5 to-ports=6688

¡Gracias!
 
Correcto. Así está bien, siempre y cuando tu interfaz de internet (el cliente pppoe en tu caso), pertenezca a dicha lista.

Saludos!
 
Correcto. Así está bien, siempre y cuando tu interfaz de internet (el cliente pppoe en tu caso), pertenezca a dicha lista.

Saludos!

Sí, estoy reaprendiendo, pero diría que sí:

/interface pppoe-client
add add-default-route=yes comment=PPPoE disabled=no interface=vlan6-internet name=\
internet user=adslppp@telefonicanetpa

/interface list member
add interface=bridge list=LAN
add interface=internet list=WAN
add interface=vlan2-iptv list=VLANs2&3
add interface=vlan3-telefono list=VLANs2&3

Aunque lo modifiqué un poco, cogí el script "Movistar triple play (RouterOS >= 7.5) [by @pokoyo]" de aquí:

MANUAL: Mikrotik, configuraciones básicas ISPs - RouterOS v7

Diría que me está quedando una config decente gracias a la ayuda del foro y sobre todo de tu parte @pokoyo . Aún me falta todo el tema de Wireguard y EoIP, pero eso para otro hilo y poco a poco :D

Un saludo.
 
Arriba