MANUAL: Mikrotik, tips & tricks
- Iniciador del tema pokoyo
- Fecha de inicio
stargate4you
Usuari@ ADSLzone
- Mensajes
- 432
Este truco va bien para controlar el tipo de webs que visitan los más peques de la casa.
Así lo tengo yo y espero que a otros compañeros les sea de utilidad.
Truco: Bloquear webs maliciosas a determinas IPs de nuestra red.
Lo que vamos ha hacer es que a unas determinadas ips o rango de ips de nuestra red las haremos pasar por el DNS de Norton ConnectSafe.
Este servicio gratuito de Norton nos filtra las webs maliciosas , webs de pornografía, etc.
Hay otros servicios de DNS como OpenDNS, Adguard, etc que hacen la misma función.
DNS Norton ConnectSafe = 199.85.126.30 – Consultar en la web.
Saludos.
Así lo tengo yo y espero que a otros compañeros les sea de utilidad.
Truco: Bloquear webs maliciosas a determinas IPs de nuestra red.
Lo que vamos ha hacer es que a unas determinadas ips o rango de ips de nuestra red las haremos pasar por el DNS de Norton ConnectSafe.
Este servicio gratuito de Norton nos filtra las webs maliciosas , webs de pornografía, etc.
Hay otros servicios de DNS como OpenDNS, Adguard, etc que hacen la misma función.
DNS Norton ConnectSafe = 199.85.126.30 – Consultar en la web.
Código:
/ip firewall address-list
add address=192.168.1.151-192.168.1.254 list="Bloquear XXX"
/ip firewall nat
add action=dst-nat chain=dstnat comment=\
"Redireccionar DNS a Norton Connectsafe" dst-port=53 protocol=udp \
src-address-list="Bloquear XXX" to-addresses=199.85.126.30 to-ports=53Saludos.
- Mensajes
- 6,472
Listo, lo he añadido a la lista de trucos y lo he completado un poco, con algunas otras opciones que recordaba de otros usos. Espero te sean útiles.
Saludos!
stargate4you
Usuari@ ADSLzone
- Mensajes
- 432
Perfecto, ya sabes que puedes corregir o añadir lo que veas oportuno.
Gracias.
sermayoral
Usuari@ ADSLzone
- Mensajes
- 122
Hola @pokoyo, comunidad en general!
Tengo una duda sobre el tip del backup en Cloud, ya que me parece muy interesante. Hace tiempo que quiero hacerlo, pero llevo una temporada con menos tiempo libre, entre los niños y lo que no son los niños, pero anoche saqué un rato y me puse a ello. La duda es sobre el script y el planificador.
Me puse a leer sobre los scripts en la wiki, pero parece un poco complejo, es para dedicarle un poco de más tiempo del que disponía anoche, así que intenté hacerlo por mi cuenta. Al final son dos órdenes que debe ejecutar el script, primero borrar el backup y luego volver a crearlo.
Pero no había forma, por más que ejecutaba el script, no me actualizaba el backup. Es como si no le gustara la primera orden de borrar el backup.
Me puse a investigar un poco por la web, y por un hilo perdido encontré que alguien utilizaba estos dos pasos en una sola línea. Entonces cree el script con dicha linea y ya parece que funcionó:
Después creé un planificador que ejecutase ese script 1 vez por semana (esto no tiene misterio y en la wiki viene bastante bien explicado) y parece que funcionó correctamente.
¿Dudas? Primero: ¿Le veis algún punto flaco al script? Es bastante sencillo, pero funciona. Solo imagino que cuando no pueda acceder a la nube, bien porque esté caída, o porque no tenga conexión a Internet, o lo que sea, entiendo que dará un fallo y no se cómo se lo tomará RouterOS, si lo reintentará o supongo que lo ignorará hasta la siguiente planificación.
Segunda: ¿Por qué no le gusta que pongamos dos ordenes, primero la de borrar y luego la de crear?
Ya me contáis cuando tengáis un rato. ¡Gracias chicos!
Tengo una duda sobre el tip del backup en Cloud, ya que me parece muy interesante. Hace tiempo que quiero hacerlo, pero llevo una temporada con menos tiempo libre, entre los niños y lo que no son los niños, pero anoche saqué un rato y me puse a ello. La duda es sobre el script y el planificador.
Me puse a leer sobre los scripts en la wiki, pero parece un poco complejo, es para dedicarle un poco de más tiempo del que disponía anoche, así que intenté hacerlo por mi cuenta. Al final son dos órdenes que debe ejecutar el script, primero borrar el backup y luego volver a crearlo.
Pero no había forma, por más que ejecutaba el script, no me actualizaba el backup. Es como si no le gustara la primera orden de borrar el backup.
Me puse a investigar un poco por la web, y por un hilo perdido encontré que alguien utilizaba estos dos pasos en una sola línea. Entonces cree el script con dicha linea y ya parece que funcionó:
Código:
/system backup cloud upload-file action=create-and-upload password=MyPassWordChula \
replace=[/system backup cloud get 0 name]Después creé un planificador que ejecutase ese script 1 vez por semana (esto no tiene misterio y en la wiki viene bastante bien explicado) y parece que funcionó correctamente.
¿Dudas? Primero: ¿Le veis algún punto flaco al script? Es bastante sencillo, pero funciona. Solo imagino que cuando no pueda acceder a la nube, bien porque esté caída, o porque no tenga conexión a Internet, o lo que sea, entiendo que dará un fallo y no se cómo se lo tomará RouterOS, si lo reintentará o supongo que lo ignorará hasta la siguiente planificación.
Segunda: ¿Por qué no le gusta que pongamos dos ordenes, primero la de borrar y luego la de crear?
Ya me contáis cuando tengáis un rato. ¡Gracias chicos!
- Mensajes
- 6,472
Te paso como lo tengo yo hecho. Yo borro el previo, creo el backup y lo notifico por mail, todo en el mismo script. Y sí, sí que se pueden meter varias instrucciones en el mismo script. A esto luego le pongo un scheduler, y le digo que ejecute este script.
por si te sirve de inspiración
Saludos!
sermayoral
Usuari@ ADSLzone
- Mensajes
- 122
Te paso como lo tengo yo hecho. Yo borro el previo, creo el backup y lo notifico por mail, todo en el mismo script. Y sí, sí que se pueden meter varias instrucciones en el mismo script. A esto luego le pongo un scheduler, y le digo que ejecute este script.
Ver el adjunto 73366
por si te sirve de inspiración
Saludos!
Cómo mola!! Pero entiendo que para enviar correos necesitarás configurar algo en el Mikrotik, verdad?
Edito: Si, configurar un servidor SMTP, que acabo de hacer ahora mismo
Última edición:
- Mensajes
- 6,472
Sí, el cliente de correo. Si tienes una cuenta de Gmail u otra cuenta con seguridad en dos pasos, tendrás que crear una contraseña de aplicación.
Pero la configuración, una vez creada, es bien sencilla. Si quieres, te paso la configuración.
Saludos!
Pero la configuración, una vez creada, es bien sencilla. Si quieres, te paso la configuración.
Saludos!
sermayoral
Usuari@ ADSLzone
- Mensajes
- 122
¡Gracias! Me he creado una cuenta de Gmail únicamente para el servidor SMTP, y nada he desactivado la seguridad en dos pasos
- Mensajes
- 6,472
No hace falta hombre! Con crear una contraseña de aplicación para tu cuenta normal vale; no hace falta que abras una exclusiva sólo para eso.¡Gracias! Me he creado una cuenta de Gmail únicamente para el servidor SMTP, y nada he desactivado la seguridad en dos pasos
Saludos!
sermayoral
Usuari@ ADSLzone
- Mensajes
- 122
Bueno, la verdad es que me gusta separar las cosas, siempre que sea posible, claro (total, abrir una cuenta de Gmail no pide pan).
La verdad es que me has inspirado con tu ejemplo...
Adjuntos
-
Screenshot_20201016-002543__01.jpg
stargate4you
Usuari@ ADSLzone
- Mensajes
- 432
Me ha venido muy bien este truco. He aislado la TV y la PS4 del resto de la Lan.
Gracias.
- Mensajes
- 6,472
Yo que me alegro! Es verdad que ese es de los trucos más útiles. Me gusta mucho también el truco que usan los propios de mikrotik a la hora de aislar la red de invitados de in AP: directamente meten una regla de filtrado en el propio bridge, evitando el tráfico de forward desde y hasta esa interfaz virtual. Ese es para nota.
Saludos!
stargate4you
Usuari@ ADSLzone
- Mensajes
- 432
Esto que comentas se refiere a las vlans, que también sirven para aislar equipos, como la gente que tiene domótica y no quieren que pase el tráfico por la Lan principal. Algo he leído pero en el tema de vlans me pierdo. Esto de las vlans da para otra guía.
Saludos.
- Mensajes
- 6,472
No, esto que te digo no tiene que ver con VLANs, que como bien dices, da para otro manual, que por cierto tengo pendiente.
Si tienes un AP de la marca, cuando ejecutas el quick set, seleccionas crear una wifi de invitados, el equipo crea una interfaz virtual para la nueva wifi. Para esa interfaz, crea dos reglas de filtrado, que en lugar de ser reglas de firewall que actúan en capa 3 (sobre una IP), crea dos reglas de filtrado sobre el bridge al que pertenece esa interfaz (filtra en capa 2). Esas dos reglas se pueden ver en la pestaña de Bridge -> Filters, y actúan filtrando en el chain de forward, directamente sobre la interfaz wlan virtual.
Si tienes un AP o router wifi de la marca te animo a probarlo.
Saludos!
Última edición:
Hola,
Soy un completo novato. Tengo conexión con O2 y animado por lo leído en este foro, he sustituido el HGU por una ONT Huawei EG8120L de 19€ en AliExpress y un antiguo RB750GL.
Siguiendo las configuraciones de @stargate4you he configurado sin ningún problema la ONT (datos y voz) y he cargado la configuración básica en el MK.
www.adslzone.net
www.adslzone.net
Todo funciona bien con la salvedad de que mi viejo Router no es capaz de llegar a 300/300 y se queda en 300/150. A ver si consigo comprar un hEX S o un RB450Gx4.
Adicionalmente a la configuración básica he hecho los siguientes cambios, que no sé si puede considerarse trucos de lo básico que son:
Activado UPNP
DNS over HTTPS
Siguiendo los pasos descritos aquí:
jcutrer.com
Además he fijado algunas IP de equipos de mi LAN,
Mis siguientes objetivos de novato son :
- Activar VPN y acceder a mi LAN desde internet.
- Montar un Pi-hole en una Rasperry Pi
- Comprar dos cAP ac y activar MESH con HWMP+ y crear una wifi para invitados
Un saludo
Soy un completo novato. Tengo conexión con O2 y animado por lo leído en este foro, he sustituido el HGU por una ONT Huawei EG8120L de 19€ en AliExpress y un antiguo RB750GL.
Siguiendo las configuraciones de @stargate4you he configurado sin ningún problema la ONT (datos y voz) y he cargado la configuración básica en el MK.
ONT Huawei EG8120L Voip Movistar/O2 | Fibra óptica
Aclarar que esta ONT EG8120L puede o no funcionar en función de la OLT (centralita) a la que estemos conectados, pero funcionar funciona. Este.... Hilo del foro de ONT Huawei EG8120L Voip Movistar/O2 de ADSLZone
www.adslzone.net
Primeros Pasos con Mikrotik hAP AC con O2/Movistar | Mikrotik
Página 5. Hilo del foro dedicado a Primeros Pasos con Mikrotik hAP AC con O2/Movistar. Buenas tardes, siguiendo la recomendación de Pokoyo, abro hilo nuevo . Hoy a llegado a mis manos el Mikrotik hAP Ac , Pokoyo me recomendó este....
www.adslzone.net
Todo funciona bien con la salvedad de que mi viejo Router no es capaz de llegar a 300/300 y se queda en 300/150. A ver si consigo comprar un hEX S o un RB450Gx4.
Adicionalmente a la configuración básica he hecho los siguientes cambios, que no sé si puede considerarse trucos de lo básico que son:
Activado UPNP
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge type=internalDNS over HTTPS
Siguiendo los pasos descritos aquí:
MikroTik Tutorial: How to enable DNS over HTTPS (DoH) - jcutrer.com
In this MikroTik Tutorial I will show you how to configure DNS over HTTPS on your MikroTik router using either Cloudflare DNS servers or Google DNS servers. The latest stable version of RouterOS 6.47 adds support for DNS over HTTPS or DoH. DoH is a protocol for performing remote DNS over HTTPS...
jcutrer.com
Además he fijado algunas IP de equipos de mi LAN,
/ip arp
add address=192.168.YY.XX interface=bridge mac-address=12:34:56:78:9A:C8Mis siguientes objetivos de novato son :
- Activar VPN y acceder a mi LAN desde internet.
- Montar un Pi-hole en una Rasperry Pi
- Comprar dos cAP ac y activar MESH con HWMP+ y crear una wifi para invitados
Un saludo
Gracias por la sugerencia @pokoyo.
Lo tengo activo pero durante el test de velocidad la CPU se pone al 100%.
Me gustaría cambiar el router por otro que sea también pequeño para que me quepa en el registro de comunicaciones.
El que más me gusta (RB450Gx4) no parece que esté muy disponible.
Saludos
Adjuntos
-
Screenshot_20201127-222427.png -
Captura de pantalla 2020-11-27 230944.jpg
- Mensajes
- 6,472
Ojo que eso que me enseñas no significa que el hardware offloading esté funcionando. Fíjate si en la pestaña ports del bridge sale un “H” delante del puerto.
Sino, pásame un export de la configuración y lo reviso.
como equipos pequeños, un hex o hex-s, ambos con aceleración hardware para ipsec y cpu de sobra.
Saludos!
Sino, pásame un export de la configuración y lo reviso.
como equipos pequeños, un hex o hex-s, ambos con aceleración hardware para ipsec y cpu de sobra.
Saludos!
