MANUAL: Mikrotik, tips & tricks

pokoyo · 28 Noviembre 2020

Dando un vistazo rápido (mañana te lo reviso con más calma), lo único que cambiaría es habilitar el fast forward en el bridge. Por lo demás, creo que lo tienes todo bien configurado, solo que es un equipo viejete y creo que no da más de sí.

saludos!

vdias · 8 Diciembre 2020

Como hago para que toda la red use el DNS de Adguard en vez de usar los del ISP?

Seria poner solo esto? ip dns set servers=94.140.14.14, 94.140.15.15

Por vuestra experiência para tema de bloquear anuncios... cual es el mejor AdGuard o el OpenDNS?

Es que el OpenDNS, no acabo de entenderlo... como pongo mi network en la version free, teniendo IP publica dinamica?

sermayoral · 8 Diciembre 2020

vdias dijo:
Como hago para que toda la red use el DNS de Adguard en vez de usar los del ISP?

Seria poner solo esto? ip dns set servers=94.140.14.14, 94.140.15.15

Buenas! Si, pero además asegúrate de que no tienes otras DNS definidas en esa misma parte de IP >> DNS y que el check de "Allow Remote Requests" está marcado, y también asegurate que en el DHCP Server no hay DNS definidas, para que así salga siempre por las DNS de Upstream que has definido en IP >> DNS

vdias dijo:
Por vuestra experiência para tema de bloquear anuncios... cual es el mejor AdGuard o el OpenDNS?

Es que el OpenDNS, no acabo de entenderlo... como pongo mi network en la version free, teniendo IP publica dinamica?

Hasta donde yo se, OpenDNS no filtra publicidad. ¿O estoy equivocado?

¡Saludos!

vdias · 8 Diciembre 2020

Esto que significa... que se los DNS de Adguard fallan, salta a los DNS que llegan por la PPPOE?

sermayoral · 8 Diciembre 2020

vdias dijo:
Esto que significa... que se los DNS de Adguard fallan, salta a los DNS que llegan por la PPPOE?

No, los servidores que definas en esta parte (IP -> DNS) no respetan orden. Tu Mikrotik lanzará peticiones indistintamente a uno de esos 4 aplicando un algoritmo de Round Robin. Los que si respetan el orden son los que definas en el DHCP Server.

Yo tengo quitados los DNS heredados del ISP, para que no me haga eso. De tenerlo activado, cuando el Mikrotik lance peticiones contra esos DNS del ISP, no te filtrará publicidad.

Si lo quieres hacer, tienes que desactivar el "Use Peer DNS" del menú Interfaces >> Interface >> PPPoE Client.

¡Saludos!

vdias · 9 Diciembre 2020

Una idea... es posible lanzar correos cuando tengamos un alerta grave en firewall? LLevo un rato mirando logs y es casi imposible ver algo?

pokoyo · 9 Diciembre 2020

Sí, OpenDNS sí filtra contenido, además a nivel de usuario, sacarse una cuenta es gratis. La única pega de OpenDNS es que funciona basado en tu IP pública, así que necesitas descargar un programa que mantenga actualizada tu IP pública en su base de datos (tipo cliente DDNS). Ellos te dan una pareja de servidores DNS distintos de los públicos cuando te sacas una cuenta, y tienes un Dashboard muy completo para realizar el filtrado.

Es una muy buena opción si no quieres montar un filtro de publicidad y solo te interesa filtrar por categorías y/o por dominós concretos.

PS: @sermayoral, orgulloso de verte poner en práctica la teoría que vinimos hablando estos días. Enhorabuena, no sólo lo has entendido, sino que sabes explicarlo también.

Saludos!

furny · 10 Diciembre 2020

vdias dijo:
Una idea... es posible lanzar correos cuando tengamos un alerta grave en firewall? LLevo un rato mirando logs y es casi imposible ver algo?

Bueno. Es posible, depende de lo que quieras decir como "grave".

Lo primero, sería activar la herramienta de correo (yo usaría p.e. el smtp de Movistar, el de gmail es muy quisquilloso si quieres enviar algo desde fuera de lo que tiene controlado):

/tool e-mail
set address=mailhost.movistar.es from="mirouter <fulanito.detal@movistar.es>" password=patata \ user=fulanito.detal@movistar.es

donde user y password son los datos de la cuenta en movistar.es

2) Pongo un logging en la regla firewall que me interesa monitorizar, p.e. una de eliminación de conexiones desde sitios pelmazos:

/ip firewall filter
add action=drop chain=input comment=\
"Drop attackers from Blocked address list" log=yes log-prefix="Attack!: " \
src-address-list=Blocked_address_list

con esto se genera una entrada en el "log" de tipo info,firewall cada vez que alguien de esa lista nos mande un paquete (indeseado).

3) Creamos una acción de "aviso" con envío de email en el logging:

/system logging action
add email-to=mengano@gmail.com name=aviso target=email

4) Activamos reglas en logging para que envíen avisos, por ejemplo, para firewall, o para error o critical:

/system logging
add action=aviso topics=error
add action=aviso topics=critical
add action=aviso topics=firewall

Así, cada vez que se produzca un error, o un evento crítico o un evento marcado de firewall nos manda un email a mengano@gmail.com desde "mirouter <fulanito.detal@movistar.es>"

Por supuesto que cabría otras posibilidades, por ejemplo, haciendo scripts programados, donde es posible hacer un análisis de la gravedad del evento (mira ejemplos de scripts que usan la herramienta de correo en el manual). Pero esto es quizás lo más sencillo (y puede que lo más cercano a lo que tu sugerías, quizás).

Saludos!

pokoyo · 10 Diciembre 2020

Sólo un añadido a lo que comenta @furny: para configurar el correo, no uses tu usuario y password habitual, crea una cuenta de servicio (de aplicación) para ello. Google tiene esta facilidad, y evitas plantar en dispostivos menos seguros, tu contraseña de gmail, ya que aquí no hay 2FA ni nada por el estilo. Para las cuentas de gmail, tenéis el detalle de cómo se hace aquí: https://support.google.com/mail/answer/185833?hl=es

Tampoco hace falta que des de alta un correo sólo para esto, como le he visto hacer a más de uno. Es innecesario.

Saludos!

vdias · 10 Diciembre 2020

Mi idea, era enterarme cuando hacen un portscan... un intento de abrir winbox desde wan...

Otra cosa que tambien estaria bien en este apartado, era la configuracion del Baneo de IP después de intento de ataque.

pokoyo · 10 Diciembre 2020

vdias dijo:
Mi idea, era enterarme cuando hacen un portscan... un intento de abrir winbox desde wan...

Otra cosa que tambien estaria bien en este apartado, era la configuracion del Baneo de IP después de intento de ataque.

Eso que comentas es imposible, si tienes bien configurado el firewall y no tienes el puerto del winbox abierto en el NAT. Desde fuera sólo se aceptan conexiones ya establecidad o nateadas.

Fíjate en estas dos reglas de drop que por defecto te pone mikrotik en el firewall. Son quizá las más importantes del setup. Básicamente son las que te protegen de accesos indeseados desde el exterior.

Aparte de eso, si restringes el acceso a winbox/webfig a tu subred local, evitas accesos remotos (puedes poner también el acceso por la subred de la VPN, en caso de querer manejar el router en remoto, par algún servicio concreto). Y si, además, deshabilitas los servicios que no uses, y cambias el puerto por defecto a winbox, pues va a ser muy muy complejo que te consigan entrar

Lo que no haría nunca es mapear el puerto de winbox en el NAT e intentar entrar como pedro por su casa en remoto, que para eso están las VPN's, bien sencillitas de montar en mikrotik.

Saludos!

furny · 10 Diciembre 2020

pokoyo dijo:
Sólo un añadido a lo que comenta @furny: para configurar el correo, no uses tu usuario y password habitual, crea una cuenta de servicio (de aplicación) para ello. Google tiene esta facilidad, y evitas plantar en dispostivos menos seguros, tu contraseña de gmail, ya que aquí no hay 2FA ni nada por el estilo. Para las cuentas de gmail, tenéis el detalle de cómo se hace aquí: https://support.google.com/mail/answer/185833?hl=es

Tampoco hace falta que des de alta un correo sólo para esto, como le he visto hacer a más de uno. Es innecesario.

Saludos!

Tienes razón, gracias. No sabía que gmail tenía esa facilidad. Lo he probado y funciona perfectamente.

Snkfear · 18 Diciembre 2020

A ver si me podéis ayudar... otra vez

@pokoyo estoy intentando acceder al router desde el dominio router.lan, pero no hay manera.

He mirado la config de las DNS como se explica en el primer post y mi config actual es esta:

/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf domain=lan gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip neighbor discovery-settings
set discover-interface-list=LAN

Salu2!

pokoyo · 18 Diciembre 2020

Vale, y cuál es es problema? A menos que hayas cambiado los puertos de administración del equipo en IP->Services, si pones http://router.lan en un navegador, debes llegar a la consola de login de webfig. Aparte de eso, el equipo ha de responder a un ping a “router.lan”, resolviendo la IP 192.168.88.1.

Saludos!

Snkfear · 18 Diciembre 2020

pokoyo dijo:
Vale, y cuál es es problema? A menos que hayas cambiado los puertos de administración del equipo en IP->Services, si pones http://router.lan en un navegador, debes llegar a la consola de login de webfig. Aparte de eso, el equipo ha de responder a un ping a “router.lan”, resolviendo la IP 192.168.88.1.

Saludos!

Pues el problema es que sin haber cambiado nada al respecto, al hacer ping a router.lan o intentar acceder desde el navegador, no resuelve la IP (si desde el terminal del winbox hago ping sí que funciona).

Simplemente es algo que me apetecía probar y me he topado con que a priori no funciona

pokoyo · 18 Diciembre 2020

Dame un export completo, que lo miramos.

Saludos!

Snkfear · 18 Diciembre 2020

pokoyo dijo:
Dame un export completo, que lo miramos.

Saludos!

Ahí va!

# dec/18/2020 16:18:36 by RouterOS 6.47.8
# software id = 2U0M-7X0V
#
# model = RB4011iGS+
# serial number = XXXXXXXXXXXXXXX
/interface bridge
add admin-mac=YYYYYYYYYYYYY auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=sfp-sfpplus1 ] speed=1Gbps
/interface vlan
add interface=sfp-sfpplus1 name=internet-vlan vlan-id=832
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=ether9
add bridge=bridge comment=defconf interface=ether10
add bridge=bridge comment=defconf disabled=yes interface=sfp-sfpplus1
add bridge=bridge interface=ether1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add interface=sfp-sfpplus1 list=WAN
add interface=internet-vlan list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether1 network=\
192.168.88.0
add address=192.168.1.100/24 interface=sfp-sfpplus1 network=192.168.1.0
/ip dhcp-client
add comment=defconf disabled=no interface=sfp-sfpplus1
add disabled=no interface=internet-vlan
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf domain=lan gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat dst-port=80 in-interface=internet-vlan \
protocol=tcp to-addresses=192.168.88.234 to-ports=80
add action=dst-nat chain=dstnat dst-port=289 in-interface=internet-vlan \
protocol=tcp to-addresses=192.168.88.233 to-ports=443
/system clock
set time-zone-name=Europe/Madrid
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
/tool sniffer
set filter-stream=yes

Gracias!

sermayoral · 18 Diciembre 2020

@Snkfear deberías de poder resolverlo. No tendrás DNS fijados en la tarjeta de red del PC donde estás haciendo ping a router.lan?

pokoyo · 18 Diciembre 2020

Si no es lo que comenta @sermayoral, desactiva esta regla de NAT y pruebas de nuevo. No la borres, simplemente la marcas como disabled. Me da que estás secuestrando todo tráfico al puerto 80 con esa regla.

Código:

add action=dst-nat chain=dstnat dst-port=80 in-interface=internet-vlan \
protocol=tcp to-addresses=192.168.88.234 to-ports=80

Saludos!

Snkfear · 18 Diciembre 2020

sermayoral dijo:
@Snkfear deberías de poder resolverlo. No tendrás DNS fijados en la tarjeta de red del PC donde estás haciendo ping a router.lan?

Para pegarme un tiro, efectivamente, conecté el cable de red a la tarjeta que no suelo usar y tenía la IP por DHCP pero las DNS puestas manualmente

pokoyo dijo:
Si no es lo que comenta @sermayoral, desactiva esta regla de NAT y pruebas de nuevo. No la borres, simplemente la marcas como disabled. Me da que estás secuestrando todo tráfico al puerto 80 con esa regla.

Código:

add action=dst-nat chain=dstnat dst-port=80 in-interface=internet-vlan \ protocol=tcp to-addresses=192.168.88.234 to-ports=80

Saludos!

Esa regla ya la he eliminado, que la creé para un challenge ssl y se me había olvidado. De todos modos... ¿cuál sería la forma correcta de establecerla sin secuestrar todo el tráfico al puerto 80?

Y ya que estamos, ¿se pueden utilizar varios dominios simultáneamente?

Suelo utilizar el .test bastante a menudo y no me vendría mal evitar editar cada vez el archivo hosts.

MANUAL: Mikrotik, tips & tricks

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Usuari@ ADSLzone

Usuari@ ADSLzone

Usuari@ ADSLzone

Usuari@ ADSLzone

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Usuari@ ADSLzone

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Usuari@ ADSLzone

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Similar threads