MANUAL: Mikrotik, tips & tricks

Listo, ya lo tienes con la chincheta puesta.

Saludos!
 
Este truco va bien para controlar el tipo de webs que visitan los más peques de la casa.
Así lo tengo yo y espero que a otros compañeros les sea de utilidad.

Truco: Bloquear webs maliciosas a determinas IPs de nuestra red.

Lo que vamos ha hacer es que a unas determinadas ips o rango de ips de nuestra red las haremos pasar por el DNS de Norton ConnectSafe.
Este servicio gratuito de Norton nos filtra las webs maliciosas , webs de pornografía, etc.
Hay otros servicios de DNS como OpenDNS, Adguard, etc que hacen la misma función.

DNS Norton ConnectSafe = 199.85.126.30 – Consultar en la web.

Código: 
/ip firewall address-list
add address=192.168.1.151-192.168.1.254 list="Bloquear XXX"

/ip firewall nat
add action=dst-nat chain=dstnat comment=\
"Redireccionar DNS a Norton Connectsafe" dst-port=53 protocol=udp \
src-address-list="Bloquear XXX" to-addresses=199.85.126.30 to-ports=53


Saludos.
 
stargate4you dijo:
Este truco va bien para controlar el tipo de webs que visitan los más peques de la casa.
Así lo tengo yo y espero que a otros compañeros les sea de utilidad.

Truco: Bloquear webs maliciosas a determinas IPs de nuestra red.

Lo que vamos ha hacer es que a unas determinadas ips o rango de ips de nuestra red las haremos pasar por el DNS de Norton ConnectSafe.
Este servicio gratuito de Norton nos filtra las webs maliciosas , webs de pornografía, etc.
Hay otros servicios de DNS como OpenDNS, Adguard, etc que hacen la misma función.

DNS Norton ConnectSafe = 199.85.126.30 – Consultar en la web.

Código: 
/ip firewall address-list
add address=192.168.1.151-192.168.1.254 list="Bloquear XXX"

/ip firewall nat
add action=dst-nat chain=dstnat comment=\
"Redireccionar DNS a Norton Connectsafe" dst-port=53 protocol=udp \
src-address-list="Bloquear XXX" to-addresses=199.85.126.30 to-ports=53


Saludos.
Haz clic para expandir...
Listo, lo he añadido a la lista de trucos y lo he completado un poco, con algunas otras opciones que recordaba de otros usos. Espero te sean útiles.

Saludos!
 
Hola @pokoyo, comunidad en general!

Tengo una duda sobre el tip del backup en Cloud, ya que me parece muy interesante. Hace tiempo que quiero hacerlo, pero llevo una temporada con menos tiempo libre, entre los niños y lo que no son los niños, pero anoche saqué un rato y me puse a ello. La duda es sobre el script y el planificador.

Me puse a leer sobre los scripts en la wiki, pero parece un poco complejo, es para dedicarle un poco de más tiempo del que disponía anoche, así que intenté hacerlo por mi cuenta. Al final son dos órdenes que debe ejecutar el script, primero borrar el backup y luego volver a crearlo.

Pero no había forma, por más que ejecutaba el script, no me actualizaba el backup. Es como si no le gustara la primera orden de borrar el backup.

Me puse a investigar un poco por la web, y por un hilo perdido encontré que alguien utilizaba estos dos pasos en una sola línea. Entonces cree el script con dicha linea y ya parece que funcionó:

Código: 
/system backup cloud upload-file action=create-and-upload password=MyPassWordChula \
    replace=[/system backup cloud get 0 name]

Después creé un planificador que ejecutase ese script 1 vez por semana (esto no tiene misterio y en la wiki viene bastante bien explicado) y parece que funcionó correctamente.

¿Dudas? Primero: ¿Le veis algún punto flaco al script? Es bastante sencillo, pero funciona. Solo imagino que cuando no pueda acceder a la nube, bien porque esté caída, o porque no tenga conexión a Internet, o lo que sea, entiendo que dará un fallo y no se cómo se lo tomará RouterOS, si lo reintentará o supongo que lo ignorará hasta la siguiente planificación.

Segunda: ¿Por qué no le gusta que pongamos dos ordenes, primero la de borrar y luego la de crear?

Ya me contáis cuando tengáis un rato. ¡Gracias chicos!
 
sermayoral dijo:
Hola @pokoyo, comunidad en general!

Tengo una duda sobre el tip del backup en Cloud, ya que me parece muy interesante. Hace tiempo que quiero hacerlo, pero llevo una temporada con menos tiempo libre, entre los niños y lo que no son los niños, pero anoche saqué un rato y me puse a ello. La duda es sobre el script y el planificador.

Me puse a leer sobre los scripts en la wiki, pero parece un poco complejo, es para dedicarle un poco de más tiempo del que disponía anoche, así que intenté hacerlo por mi cuenta. Al final son dos órdenes que debe ejecutar el script, primero borrar el backup y luego volver a crearlo.

Pero no había forma, por más que ejecutaba el script, no me actualizaba el backup. Es como si no le gustara la primera orden de borrar el backup.

Me puse a investigar un poco por la web, y por un hilo perdido encontré que alguien utilizaba estos dos pasos en una sola línea. Entonces cree el script con dicha linea y ya parece que funcionó:

Código: 
/system backup cloud upload-file action=create-and-upload password=MyPassWordChula \
    replace=[/system backup cloud get 0 name]

Después creé un planificador que ejecutase ese script 1 vez por semana (esto no tiene misterio y en la wiki viene bastante bien explicado) y parece que funcionó correctamente.

¿Dudas? Primero: ¿Le veis algún punto flaco al script? Es bastante sencillo, pero funciona. Solo imagino que cuando no pueda acceder a la nube, bien porque esté caída, o porque no tenga conexión a Internet, o lo que sea, entiendo que dará un fallo y no se cómo se lo tomará RouterOS, si lo reintentará o supongo que lo ignorará hasta la siguiente planificación.

Segunda: ¿Por qué no le gusta que pongamos dos ordenes, primero la de borrar y luego la de crear?

Ya me contáis cuando tengáis un rato. ¡Gracias chicos!
Haz clic para expandir...
Te paso como lo tengo yo hecho. Yo borro el previo, creo el backup y lo notifico por mail, todo en el mismo script. Y sí, sí que se pueden meter varias instrucciones en el mismo script. A esto luego le pongo un scheduler, y le digo que ejecute este script.

1602785339233.png


por si te sirve de inspiración :p

Saludos!
 
pokoyo dijo:
Te paso como lo tengo yo hecho. Yo borro el previo, creo el backup y lo notifico por mail, todo en el mismo script. Y sí, sí que se pueden meter varias instrucciones en el mismo script. A esto luego le pongo un scheduler, y le digo que ejecute este script.

Ver el adjunto 73366

por si te sirve de inspiración :p

Saludos!
Haz clic para expandir...

Cómo mola!! Pero entiendo que para enviar correos necesitarás configurar algo en el Mikrotik, verdad?

Edito: Si, configurar un servidor SMTP, que acabo de hacer ahora mismo :)
 
Última edición:
Sí, el cliente de correo. Si tienes una cuenta de Gmail u otra cuenta con seguridad en dos pasos, tendrás que crear una contraseña de aplicación.
Pero la configuración, una vez creada, es bien sencilla. Si quieres, te paso la configuración.

Saludos!
 
pokoyo dijo:
Sí, el cliente de correo. Si tienes una cuenta de Gmail u otra cuenta con seguridad en dos pasos, tendrás que crear una contraseña de aplicación.
Pero la configuración, una vez creada, es bien sencilla. Si quieres, te paso la configuración.

Saludos!
Haz clic para expandir...

¡Gracias! Me he creado una cuenta de Gmail únicamente para el servidor SMTP, y nada he desactivado la seguridad en dos pasos :)
 
sermayoral dijo:
¡Gracias! Me he creado una cuenta de Gmail únicamente para el servidor SMTP, y nada he desactivado la seguridad en dos pasos :)
Haz clic para expandir...
No hace falta hombre! Con crear una contraseña de aplicación para tu cuenta normal vale; no hace falta que abras una exclusiva sólo para eso.

Saludos!
 
pokoyo dijo:
No hace falta hombre! Con crear una contraseña de aplicación para tu cuenta normal vale; no hace falta que abras una exclusiva sólo para eso.

Saludos!
Haz clic para expandir...

Bueno, la verdad es que me gusta separar las cosas, siempre que sea posible, claro (total, abrir una cuenta de Gmail no pide pan).

La verdad es que me has inspirado con tu ejemplo...
 

Adjuntos

  • Screenshot_20201016-002543__01.jpg
    Screenshot_20201016-002543__01.jpg
    172.1 KB · Visitas: 101
stargate4you dijo:
Me ha venido muy bien este truco. He aislado la TV y la PS4 del resto de la Lan.
Gracias.
Haz clic para expandir...
Yo que me alegro! Es verdad que ese es de los trucos más útiles. Me gusta mucho también el truco que usan los propios de mikrotik a la hora de aislar la red de invitados de in AP: directamente meten una regla de filtrado en el propio bridge, evitando el tráfico de forward desde y hasta esa interfaz virtual. Ese es para nota.

Saludos!
 
pokoyo dijo:
Yo que me alegro! Es verdad que ese es de los trucos más útiles. Me gusta mucho también el truco que usan los propios de mikrotik a la hora de aislar la red de invitados de in AP: directamente meten una regla de filtrado en el propio bridge, evitando el tráfico de forward desde y hasta esa interfaz virtual. Ese es para nota.

Saludos!
Haz clic para expandir...

Esto que comentas se refiere a las vlans, que también sirven para aislar equipos, como la gente que tiene domótica y no quieren que pase el tráfico por la Lan principal. Algo he leído pero en el tema de vlans me pierdo. Esto de las vlans da para otra guía.
Saludos.
 
stargate4you dijo:
Esto que comentas se refiere a las vlans, que también sirven para aislar equipos, como la gente que tiene domótica y no quieren que pase el tráfico por la Lan principal. Algo he leído pero en el tema de vlans me pierdo. Esto de las vlans da para otra guía.
Saludos.
Haz clic para expandir...

No, esto que te digo no tiene que ver con VLANs, que como bien dices, da para otro manual, que por cierto tengo pendiente.

Si tienes un AP de la marca, cuando ejecutas el quick set, seleccionas crear una wifi de invitados, el equipo crea una interfaz virtual para la nueva wifi. Para esa interfaz, crea dos reglas de filtrado, que en lugar de ser reglas de firewall que actúan en capa 3 (sobre una IP), crea dos reglas de filtrado sobre el bridge al que pertenece esa interfaz (filtra en capa 2). Esas dos reglas se pueden ver en la pestaña de Bridge -> Filters, y actúan filtrando en el chain de forward, directamente sobre la interfaz wlan virtual.

Si tienes un AP o router wifi de la marca te animo a probarlo.

Saludos!
 
Última edición:
Hola,
Soy un completo novato. Tengo conexión con O2 y animado por lo leído en este foro, he sustituido el HGU por una ONT Huawei EG8120L de 19€ en AliExpress y un antiguo RB750GL.

Siguiendo las configuraciones de @stargate4you he configurado sin ningún problema la ONT (datos y voz) y he cargado la configuración básica en el MK.

ONT Huawei EG8120L Voip Movistar/O2 | Fibra óptica

Aclarar que esta ONT EG8120L puede o no funcionar en función de la OLT (centralita) a la que estemos conectados, pero funcionar funciona. Este.... Hilo del foro de ONT Huawei EG8120L Voip Movistar/O2 de ADSLZone
www.adslzone.net www.adslzone.net

Primeros Pasos con Mikrotik hAP AC con O2/Movistar | Mikrotik

Página 5. Hilo del foro dedicado a Primeros Pasos con Mikrotik hAP AC con O2/Movistar. Buenas tardes, siguiendo la recomendación de Pokoyo, abro hilo nuevo . Hoy a llegado a mis manos el Mikrotik hAP Ac , Pokoyo me recomendó este....
www.adslzone.net www.adslzone.net

Todo funciona bien con la salvedad de que mi viejo Router no es capaz de llegar a 300/300 y se queda en 300/150. A ver si consigo comprar un hEX S o un RB450Gx4.

Adicionalmente a la configuración básica he hecho los siguientes cambios, que no sé si puede considerarse trucos de lo básico que son:

Activado UPNP
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge type=internal

DNS over HTTPS
Siguiendo los pasos descritos aquí:
jcutrer.com

MikroTik Tutorial: How to enable DNS over HTTPS (DoH) - jcutrer.com

In this MikroTik Tutorial I will show you how to configure DNS over HTTPS on your MikroTik router using either Cloudflare DNS servers or Google DNS servers. The latest stable version of RouterOS 6.47 adds support for DNS over HTTPS or DoH. DoH is a protocol for performing remote DNS over HTTPS...
jcutrer.com jcutrer.com

Además he fijado algunas IP de equipos de mi LAN,
/ip arp
add address=192.168.YY.XX interface=bridge mac-address=12:34:56:78:9A:C8

Mis siguientes objetivos de novato son :
- Activar VPN y acceder a mi LAN desde internet.
- Montar un Pi-hole en una Rasperry Pi
- Comprar dos cAP ac y activar MESH con HWMP+ y crear una wifi para invitados

Un saludo
 
Revisa si ese equipo es compatible con hardware offloading. Puede que no estés alcanzando el tope de velocidad porque el router no esté trabajando en ese modo.

Saludos!
 
pokoyo dijo:
Revisa si ese equipo es compatible con hardware offloading. Puede que no estés alcanzando el tope de velocidad porque el router no esté trabajando en ese modo.

Saludos!
Haz clic para expandir...
Gracias por la sugerencia @pokoyo.
Lo tengo activo pero durante el test de velocidad la CPU se pone al 100%. :(
Me gustaría cambiar el router por otro que sea también pequeño para que me quepa en el registro de comunicaciones.
El que más me gusta (RB450Gx4) no parece que esté muy disponible.
Saludos
 

Adjuntos

  • Screenshot_20201127-222427.png
    Screenshot_20201127-222427.png
    110.6 KB · Visitas: 74
  • Captura de pantalla 2020-11-27 230944.jpg
    Captura de pantalla 2020-11-27 230944.jpg
    74 KB · Visitas: 78
Ojo que eso que me enseñas no significa que el hardware offloading esté funcionando. Fíjate si en la pestaña ports del bridge sale un “H” delante del puerto.

Sino, pásame un export de la configuración y lo reviso.

como equipos pequeños, un hex o hex-s, ambos con aceleración hardware para ipsec y cpu de sobra.

Saludos!
 
Subo el pantallazo de la pestaña ports en el mensaje anterior y este incluyo mi export.
Gracias!
 

Adjuntos

  • dinux00.txt
    4.6 KB · Visitas: 88
Debes estar conectado o registrado para responder aquí.

Similar threads

Bestriper
Mikrotik no me llega a 1Gg en los test de velocidad
Respuestas
4
Visitas
581
Bestriper
Ruben12345
Sustituir router del Lowi por un MikroTik
Respuestas
4
Visitas
343
Otro+
vorlander
Creacion de 2 redes con Mikrotik rb4011 y 3 AP UNIFI
2 3 4
Respuestas
68
Visitas
2,434
Yoniper
Capa8
¿Que topología de red hacer?
Respuestas
5
Visitas
394
pokoyo
M
HAP AC2 pierde conexion LAN al conectar switch
Respuestas
4
Visitas
208
huzoaaz
Arriba