MANUAL: Mikrotik, tips & tricks

Listo, ya lo tienes con la chincheta puesta.

Saludos!
 
Este truco va bien para controlar el tipo de webs que visitan los más peques de la casa.
Así lo tengo yo y espero que a otros compañeros les sea de utilidad.

Truco: Bloquear webs maliciosas a determinas IPs de nuestra red.

Lo que vamos ha hacer es que a unas determinadas ips o rango de ips de nuestra red las haremos pasar por el DNS de Norton ConnectSafe.
Este servicio gratuito de Norton nos filtra las webs maliciosas , webs de pornografía, etc.
Hay otros servicios de DNS como OpenDNS, Adguard, etc que hacen la misma función.

DNS Norton ConnectSafe = 199.85.126.30 – Consultar en la web.

Código:
/ip firewall address-list
add address=192.168.1.151-192.168.1.254 list="Bloquear XXX"

/ip firewall nat
add action=dst-nat chain=dstnat comment=\
"Redireccionar DNS a Norton Connectsafe" dst-port=53 protocol=udp \
src-address-list="Bloquear XXX" to-addresses=199.85.126.30 to-ports=53


Saludos.
 
Este truco va bien para controlar el tipo de webs que visitan los más peques de la casa.
Así lo tengo yo y espero que a otros compañeros les sea de utilidad.

Truco: Bloquear webs maliciosas a determinas IPs de nuestra red.

Lo que vamos ha hacer es que a unas determinadas ips o rango de ips de nuestra red las haremos pasar por el DNS de Norton ConnectSafe.
Este servicio gratuito de Norton nos filtra las webs maliciosas , webs de pornografía, etc.
Hay otros servicios de DNS como OpenDNS, Adguard, etc que hacen la misma función.

DNS Norton ConnectSafe = 199.85.126.30 – Consultar en la web.

Código:
/ip firewall address-list
add address=192.168.1.151-192.168.1.254 list="Bloquear XXX"

/ip firewall nat
add action=dst-nat chain=dstnat comment=\
"Redireccionar DNS a Norton Connectsafe" dst-port=53 protocol=udp \
src-address-list="Bloquear XXX" to-addresses=199.85.126.30 to-ports=53


Saludos.
Listo, lo he añadido a la lista de trucos y lo he completado un poco, con algunas otras opciones que recordaba de otros usos. Espero te sean útiles.

Saludos!
 
Hola @pokoyo, comunidad en general!

Tengo una duda sobre el tip del backup en Cloud, ya que me parece muy interesante. Hace tiempo que quiero hacerlo, pero llevo una temporada con menos tiempo libre, entre los niños y lo que no son los niños, pero anoche saqué un rato y me puse a ello. La duda es sobre el script y el planificador.

Me puse a leer sobre los scripts en la wiki, pero parece un poco complejo, es para dedicarle un poco de más tiempo del que disponía anoche, así que intenté hacerlo por mi cuenta. Al final son dos órdenes que debe ejecutar el script, primero borrar el backup y luego volver a crearlo.

Pero no había forma, por más que ejecutaba el script, no me actualizaba el backup. Es como si no le gustara la primera orden de borrar el backup.

Me puse a investigar un poco por la web, y por un hilo perdido encontré que alguien utilizaba estos dos pasos en una sola línea. Entonces cree el script con dicha linea y ya parece que funcionó:

Código:
/system backup cloud upload-file action=create-and-upload password=MyPassWordChula \
    replace=[/system backup cloud get 0 name]

Después creé un planificador que ejecutase ese script 1 vez por semana (esto no tiene misterio y en la wiki viene bastante bien explicado) y parece que funcionó correctamente.

¿Dudas? Primero: ¿Le veis algún punto flaco al script? Es bastante sencillo, pero funciona. Solo imagino que cuando no pueda acceder a la nube, bien porque esté caída, o porque no tenga conexión a Internet, o lo que sea, entiendo que dará un fallo y no se cómo se lo tomará RouterOS, si lo reintentará o supongo que lo ignorará hasta la siguiente planificación.

Segunda: ¿Por qué no le gusta que pongamos dos ordenes, primero la de borrar y luego la de crear?

Ya me contáis cuando tengáis un rato. ¡Gracias chicos!
 
Hola @pokoyo, comunidad en general!

Tengo una duda sobre el tip del backup en Cloud, ya que me parece muy interesante. Hace tiempo que quiero hacerlo, pero llevo una temporada con menos tiempo libre, entre los niños y lo que no son los niños, pero anoche saqué un rato y me puse a ello. La duda es sobre el script y el planificador.

Me puse a leer sobre los scripts en la wiki, pero parece un poco complejo, es para dedicarle un poco de más tiempo del que disponía anoche, así que intenté hacerlo por mi cuenta. Al final son dos órdenes que debe ejecutar el script, primero borrar el backup y luego volver a crearlo.

Pero no había forma, por más que ejecutaba el script, no me actualizaba el backup. Es como si no le gustara la primera orden de borrar el backup.

Me puse a investigar un poco por la web, y por un hilo perdido encontré que alguien utilizaba estos dos pasos en una sola línea. Entonces cree el script con dicha linea y ya parece que funcionó:

Código:
/system backup cloud upload-file action=create-and-upload password=MyPassWordChula \
    replace=[/system backup cloud get 0 name]

Después creé un planificador que ejecutase ese script 1 vez por semana (esto no tiene misterio y en la wiki viene bastante bien explicado) y parece que funcionó correctamente.

¿Dudas? Primero: ¿Le veis algún punto flaco al script? Es bastante sencillo, pero funciona. Solo imagino que cuando no pueda acceder a la nube, bien porque esté caída, o porque no tenga conexión a Internet, o lo que sea, entiendo que dará un fallo y no se cómo se lo tomará RouterOS, si lo reintentará o supongo que lo ignorará hasta la siguiente planificación.

Segunda: ¿Por qué no le gusta que pongamos dos ordenes, primero la de borrar y luego la de crear?

Ya me contáis cuando tengáis un rato. ¡Gracias chicos!
Te paso como lo tengo yo hecho. Yo borro el previo, creo el backup y lo notifico por mail, todo en el mismo script. Y sí, sí que se pueden meter varias instrucciones en el mismo script. A esto luego le pongo un scheduler, y le digo que ejecute este script.

1602785339233.png


por si te sirve de inspiración :p

Saludos!
 
Te paso como lo tengo yo hecho. Yo borro el previo, creo el backup y lo notifico por mail, todo en el mismo script. Y sí, sí que se pueden meter varias instrucciones en el mismo script. A esto luego le pongo un scheduler, y le digo que ejecute este script.

Ver el adjunto 73366

por si te sirve de inspiración :p

Saludos!

Cómo mola!! Pero entiendo que para enviar correos necesitarás configurar algo en el Mikrotik, verdad?

Edito: Si, configurar un servidor SMTP, que acabo de hacer ahora mismo :)
 
Última edición:
Sí, el cliente de correo. Si tienes una cuenta de Gmail u otra cuenta con seguridad en dos pasos, tendrás que crear una contraseña de aplicación.
Pero la configuración, una vez creada, es bien sencilla. Si quieres, te paso la configuración.

Saludos!
 
Sí, el cliente de correo. Si tienes una cuenta de Gmail u otra cuenta con seguridad en dos pasos, tendrás que crear una contraseña de aplicación.
Pero la configuración, una vez creada, es bien sencilla. Si quieres, te paso la configuración.

Saludos!

¡Gracias! Me he creado una cuenta de Gmail únicamente para el servidor SMTP, y nada he desactivado la seguridad en dos pasos :)
 
¡Gracias! Me he creado una cuenta de Gmail únicamente para el servidor SMTP, y nada he desactivado la seguridad en dos pasos :)
No hace falta hombre! Con crear una contraseña de aplicación para tu cuenta normal vale; no hace falta que abras una exclusiva sólo para eso.

Saludos!
 
No hace falta hombre! Con crear una contraseña de aplicación para tu cuenta normal vale; no hace falta que abras una exclusiva sólo para eso.

Saludos!

Bueno, la verdad es que me gusta separar las cosas, siempre que sea posible, claro (total, abrir una cuenta de Gmail no pide pan).

La verdad es que me has inspirado con tu ejemplo...
 

Adjuntos

  • Screenshot_20201016-002543__01.jpg
    Screenshot_20201016-002543__01.jpg
    172.1 KB · Visitas: 101
Me ha venido muy bien este truco. He aislado la TV y la PS4 del resto de la Lan.
Gracias.
Yo que me alegro! Es verdad que ese es de los trucos más útiles. Me gusta mucho también el truco que usan los propios de mikrotik a la hora de aislar la red de invitados de in AP: directamente meten una regla de filtrado en el propio bridge, evitando el tráfico de forward desde y hasta esa interfaz virtual. Ese es para nota.

Saludos!
 
Yo que me alegro! Es verdad que ese es de los trucos más útiles. Me gusta mucho también el truco que usan los propios de mikrotik a la hora de aislar la red de invitados de in AP: directamente meten una regla de filtrado en el propio bridge, evitando el tráfico de forward desde y hasta esa interfaz virtual. Ese es para nota.

Saludos!

Esto que comentas se refiere a las vlans, que también sirven para aislar equipos, como la gente que tiene domótica y no quieren que pase el tráfico por la Lan principal. Algo he leído pero en el tema de vlans me pierdo. Esto de las vlans da para otra guía.
Saludos.
 
Esto que comentas se refiere a las vlans, que también sirven para aislar equipos, como la gente que tiene domótica y no quieren que pase el tráfico por la Lan principal. Algo he leído pero en el tema de vlans me pierdo. Esto de las vlans da para otra guía.
Saludos.

No, esto que te digo no tiene que ver con VLANs, que como bien dices, da para otro manual, que por cierto tengo pendiente.

Si tienes un AP de la marca, cuando ejecutas el quick set, seleccionas crear una wifi de invitados, el equipo crea una interfaz virtual para la nueva wifi. Para esa interfaz, crea dos reglas de filtrado, que en lugar de ser reglas de firewall que actúan en capa 3 (sobre una IP), crea dos reglas de filtrado sobre el bridge al que pertenece esa interfaz (filtra en capa 2). Esas dos reglas se pueden ver en la pestaña de Bridge -> Filters, y actúan filtrando en el chain de forward, directamente sobre la interfaz wlan virtual.

Si tienes un AP o router wifi de la marca te animo a probarlo.

Saludos!
 
Última edición:
Hola,
Soy un completo novato. Tengo conexión con O2 y animado por lo leído en este foro, he sustituido el HGU por una ONT Huawei EG8120L de 19€ en AliExpress y un antiguo RB750GL.

Siguiendo las configuraciones de @stargate4you he configurado sin ningún problema la ONT (datos y voz) y he cargado la configuración básica en el MK.



Todo funciona bien con la salvedad de que mi viejo Router no es capaz de llegar a 300/300 y se queda en 300/150. A ver si consigo comprar un hEX S o un RB450Gx4.

Adicionalmente a la configuración básica he hecho los siguientes cambios, que no sé si puede considerarse trucos de lo básico que son:

Activado UPNP
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge type=internal


DNS over HTTPS
Siguiendo los pasos descritos aquí:

Además he fijado algunas IP de equipos de mi LAN,
/ip arp
add address=192.168.YY.XX interface=bridge mac-address=12:34:56:78:9A:C8


Mis siguientes objetivos de novato son :
- Activar VPN y acceder a mi LAN desde internet.
- Montar un Pi-hole en una Rasperry Pi
- Comprar dos cAP ac y activar MESH con HWMP+ y crear una wifi para invitados

Un saludo
 
Revisa si ese equipo es compatible con hardware offloading. Puede que no estés alcanzando el tope de velocidad porque el router no esté trabajando en ese modo.

Saludos!
 
Revisa si ese equipo es compatible con hardware offloading. Puede que no estés alcanzando el tope de velocidad porque el router no esté trabajando en ese modo.

Saludos!
Gracias por la sugerencia @pokoyo.
Lo tengo activo pero durante el test de velocidad la CPU se pone al 100%. :(
Me gustaría cambiar el router por otro que sea también pequeño para que me quepa en el registro de comunicaciones.
El que más me gusta (RB450Gx4) no parece que esté muy disponible.
Saludos
 

Adjuntos

  • Screenshot_20201127-222427.png
    Screenshot_20201127-222427.png
    110.6 KB · Visitas: 74
  • Captura de pantalla 2020-11-27 230944.jpg
    Captura de pantalla 2020-11-27 230944.jpg
    74 KB · Visitas: 78
Ojo que eso que me enseñas no significa que el hardware offloading esté funcionando. Fíjate si en la pestaña ports del bridge sale un “H” delante del puerto.

Sino, pásame un export de la configuración y lo reviso.

como equipos pequeños, un hex o hex-s, ambos con aceleración hardware para ipsec y cpu de sobra.

Saludos!
 
Subo el pantallazo de la pestaña ports en el mensaje anterior y este incluyo mi export.
Gracias!
 

Adjuntos

  • dinux00.txt
    4.6 KB · Visitas: 88
Arriba