Guia paso-a-paso de Mikrotik

Como hacer NAT en Mikrotik

Ingrese al menu IP, FIREWALL

Elija la opcion: NAT

Cree una nueva regla (presionando +
En CHAIN seleccione la opcion forward
En OUT INTERFACE (SALDA), seleccione la interface de su link con la internet.
En la pestaa ACTION, seleccione la opcion MASQUERAD.
Rapidamente su NAT est perfectamente configurado.

Como fijar IP/MAC

Ingrese al menu IP, ARP
Cree una nueva ARP (presionando +)
Digite la IP de la mquina que desea fijar, la MAC ADDRESS de la INTERFACE a
la cual la mquina ser ligada.
En COMMENT, de el nombre de esta ARP, como en el ejemplo de arriba.
Ingrese al menu, INTERFACE
Como ltimo procedimento, se debe habilitar en la interface, o ARP para reply-only.
web-proxy
Ingrese al menu IP, WEB-PROXY
Click en el menu SETTINGS
Debera aparecer una pantalla como esta
Configure de acuerdo con sus necesidades...
SRC-ADDRESS = Dejar en blanco
PORT = Seleccionar la puerta de su web-proxy
TRANSPARENT PROXY = Dejar marcado para proxy transparente
PARENT PORT = Dejar en blanco
PARENT PROXY PORT = Dejar en blanco
CACHE ADMINISTRATOR = Dejar como est
MAXIMUM OBJECT SIZE = Dejar como est
CACHE DRIVE = Dejar como system
MAXIMUM CACHE SIZE = Define el tamao de su cache, este varia de acuerdo
con el tamao de su HD
MAXIMUM RAM
CACHE SIZE = Define el tamao mximo de sa memria RAM para el cache
Despus de configurar estos parametros, oprima la tecla ENABLE
El segundo paso para que el WEB-PROXY funcione es crear una regla para
redireccionar las peticiones iniciales para el proxy, para esto:
Ingrese al menu IP, FIREWALL
Seleccione la pestaa NAT
Cree una nueva regla (presionando +)
 Cree una regla de la siguiente forma:
CHAIN = DSTNAT
PROTOCOL = 6 (TCP)*
DST. PORT = 80
IN. INTERFACE = INTERFACE DOS CLIENTES
Luego presione la pestaa ACTION
En la ventana ACTION ingrese a la opcion REDIRECT y en TO PORT defina
la puerta de su proxi (definida anteriormente al comienzo de este tpico).
Es interesante realizar una regla para cada interface de usuarios. En este caso como se
puso dos interfaces (LAN/WLAN), se crearon dos reglas, una para cada interface.
Es importante crear una regla de bloqueo externo al web-proxy. En caso que no se
realice esta regla, se sobrecargara el proxy, colgando el servidor.
A continuacin ingrese al men IP, FIREWALL
Ingrese a la pestaa FILTER RULES
Cree una nueva regla (presionando +)
 Segn la siguiente configuracin:
CHAIN = INPUT*
PROTOCOL = 6 (TCP)
DST PORT = PORTA DO SEU WEB-PROXY
IN. INTERFACE = INTEFACE DE SADA (LINK DE INTERNET)
Ingrese a ACTION
En ACTION elija la opcion drop.
EN COMMENT puede dar un nombre a la regla, que en este caso fue nombrado como
BLOQUEO DE PROXY EXTERNO.

Con este tutorial, se creo y habilito un web-proxy y tambin se torno mas eficiente,
bloqueando el acceso externo al sistema.

Control de ancho de banda

Ingrese al men, QUEUE
Cree un nuevo control de ancho de banda (presionando +)
 Configure como se indica a continuacin:
NAME = Nombre del "dueo" de la configuracion Nombre del cliente
TARGET ADDRESS = IP que controlara la banda
TARGET UPLOAD MAX LIMIT = Taza de subida (Colocar k Minscula
al final)
TARGET DOWNLAOD MAX LIMIT = Taza de descarga (Colocar k
minscula al final)
Control de ancho de banda finalizado, esto es todo lo necesario.

Acesso remoto a otro Mikrotik

Para tener acesso a radios AP en su red, deber habilitar la funcin ACTIVAR
GERENCIAMIENTO DE LA PUERTA WAN de su radio.
Es simple, solo con crear tres reglas en firewall. Como se indica a continuacion:
Ingrese al menu IP, FIREWALL
Click en la pestaa NAT
Cree una nueva regla (presionando +)
 Siga los procedimientos de configuracion siguientes:
CHAIN = DTSNAT
DST. ADDRESS = Direccion IP del MK principal
PROTOCOL = 6 (TCP)
DST. PORT = 4040 (Puerta principal del Firewall)
Ingrese a la pestaa ACTION
 Introduzca la siguiente configuracin:
ACTION = DTSNAT
TO ADDRESS = Direccion IP del AP que desea agregar.
TO PORT = Puerta de acesso al AP
Confirme y de un nombre en COMMENT para su regla.
ATENCION: Si el AP que desea agregar es otro AP Mikrotik, debera seleccionar un
puerto estandar TELNET (23). Si es para un AP radio, seleccione un puerto estandar
HTTP (80) o otro escogido en la radio.

Se deber crear una segunda regla

Reptiendo el mismo procedimiento anterior, pero esta vez, alterando apenas el
protocolo a 17
(UDP).
Grabe todo y cree una tercera regla.
 En esta regla debera definir una direccion IP para su AP. Verifique con una operadora
cuales direcciones IP le son asignadas y cuales estan sobrando.
Cree una regla como sigue:
CHAIN = DTSNAT
DST. ADDRESS = Direccion IP libre, a la cual ser asignada la rdio o AP
MIKROTIK.
PROTOCOL = 6 (TCP)
DST. PORT = Puerta de acceso al AP o radio. Si desea agregar otro AP por
WINBOX, seleccione la puerta 8291 (PUERTA POR DEFECTO DEL WINBOX), si
agrega una radio, el puerto estandar es la 80 u otro pr-definido en la radio.
Abra la pestaa ACTION
 Aqu se configurara de la siguiente forma:
ACTION = DST-NAT
TO ADDRESS = Direccion IP de la rdio o AP (direccion IP de la red interna)
TO PORT = Puerto estandar del WINBOX (AP MIKROTIK) o puerto
estandar para rdios, puerto 80 (u otro definida).
Listo!!! Para tener acesso al AP MIKROTIK, ingrese al WINBOX, digite la IP vlida
definida anteriormente, coloque la contrasea y loguee. Para tener acceso a las rdios,
abra el internet explorer, digite la direccion IP vlida definida anteriormente... Abrir
un box para contrasea y login... Digite estas y listo!!!
No olvide de agregar las IP's vlidas que seran usadas para las rdios en ADDRESS
LIST. Como??
Ingrese al menu IP, ADDRESS LIST
Cree una nueva lista de direcciones (presionando +)
De acuerdo con su link, coloque una nueva IP vlida, o Ip de "NETWORK es la IP de
BROADCAST. Defina tambien la interface (en este caso, la interface de salida de
internet)

Control P2P
Aqu aprender a controlar (shape) o trfico P2P, marcando paquetes, fcilmente.
Basta apenas 4 reglas, 2 en firewall y 2 en queue.
Ingrese al menu IP, FIREWALL
Seleccione la pestaa, MANGLE
Cree una nueva regla (presionando +)
En el campo "CHAIN", seleccione "PREROUTING".
En el campo "P2P", seleccione "all-p2p".
Ingrese a la pestaa ACTION
En el campo "ACTION", seleccione "MARK CONNECTION".
En el campo "NEW CONNECTION MARK", indique un nombre al marcado de paquetes
(como ejemplo, el nombre de "p2p_conn".
Deje la opcion "PASSTHROUGH" atada.
Confirme.
 Cree una nueva regla (presione + )
En el campo "CHAIN", seleccione "PREROUTING". En el campo "CONNECTION MARK"
seleccione la opcin con el nombre definido arriba (en este caso es "p2p_conn".
Abra la pestaa ACTION
En el campo "ACTION", seleccione "MARK PACKET", en el campo "NEW PACKET MARK",
defina otro nombre (en este caso es "p2p".
Confirme.
Despues de crear estas dos reglas en el firewall, ser necesrio crear dos regla mas en
queue.
Abra el menu, QUEUE
Abra la pestaa "QUEUE TREE"
Cree una nueva regla (presionando +)
 Defina de acuerdo con la figura.
NAME = Defina un nombre para esta regla
PARENT = Seleccione "GLOBAL-IN"
PACKET MARK = Seleccione la opcion de nombre escogida arriba. Aparecer aqui el
nombre definido en la regla del firewall
QUEUE TYPE = DEFALT
PRIORITY = 8
MAX LIMIT = Define el limite mximo de banda reservado para o P2P. En este caso,
es un total de 200k para p2p
Confirme...
Cree una nueva regla (presione +)
 Defina de acuerdo con la figura.
NAME = Defina un nombre para la regla
PARENT = Seleccione "GLOBAL-OUT"
PACKET MARK = Seleccione la opcion de nombre indicado arriba. Aparecer aqui el
nombre definido en la regla del firewall
QUEUE TYPE = DEFALT
PRIORITY = 8
MAX LIMIT = Define el limite mximo de banda reservado para el P2P. En este caso,
es un total de 200k para p2p
Confirme...
Ahora el trfico P2P, ser limitado por marcacion de paquetes. Esta regla es muy
eficiente!!
BACK UP y RESTAURACIN
Abra el men, FILES
Para crear una copia de back up, cliquee en "BACK UP"
En "FILE NAME", aparecer un nuevo BACKUP. Esta copia estar archivada el el HD del
MIKROTIK. Para copiar este back up en otro computador, cliquee en "copy" (como en la
figura) y guarde en cualquier lugar de su PC.
Para restaurar su backup, seleccione la copia deseada en "FILE NAME" y cliquee en
"RESTORE", como se indica abajo.
 Tambien podr restaurar una copia del backup, que se encuentre en su PC, por
ejemplo. Para esto, en su sistema operativo, seleccione el archivo del backup y con el boton
derecho del mouse, seleccione "COPIAR" (COPY). Vaya a la ventana de backup de su
MIKROTIK y cliquee en "paste" (como en la figura).
Seleccione esta nueva copia de back up (aparecer una lista) y seleccione "RESTORE"
Despes de realizar la restauracin del back up, reinicie el Mikrotik. Solo
para back ups realizados por medio del "winbox" , sea este realizado
remotamente o en el propio servidor.
Limitar conexiones por cliente
Ingrese al menu IP, FIREWALL
Ahora abra "FILTER RULES", cree una nueva regla (presionando "+").
 Configure de la seguiente forma:
CHAIN = FORWARD
SRC. ADDRESS = ENDEREO DO CLIENTE A QUAL APLICAR O LIMITE.
PROTOCOL = 6 (TCP)
Ahora abra la pestaa "ADVANCED"
 En "TCP FLAGS", seleccione la opcin "SYN" (este comando es responsable por la
recepcin de peticiones de conexin del cliente y tambin por el aviso de la puerta que est
o no disponible
Abra la pestaa "EXTRA"
 En "CONNECTION LIMIT" / "LIMIT", defina el nmero de conexiones mximas para este
cliente.
En el campo "NETMASK", defina la mscara 32 (32 significa que la regla ser aplicada
solamente a esta IP)
Ahora abra la pestaa "ACTION"
En "ACTION", seleccione la opcion "DROP".
Basicamente esta regla libera N conexiones simultaneas para un cliente, bloqueando
requisiciones de conexiones por encima del limite.
Configure de acuerdo con sus necesidades
En caso de desear aplicar una regla para un rango de IPs completo, configure la IP
XXX.XXX.XXX.0 NETMASK = 24.
Servidor PPoE y Registro de Clientes
Abra el menu PPP
Cliquee en la pestaa "PROFILES"
Cree un nuevo profile (presione "+")
 Configure este nuevo profile de acuerdo con sus necesidades.
Bsicamente configure as:
NAME = Nombre del profile.
USE COMPRESSION = NO
USE VJ COMPRESSION = NO
USE ENCRYPTION = NO
CHANGE TCP MSS = YES
Deje en blanco los otros campos, conforme a la figura anterior.
Confirme y abra la pestaa "INTERFACES" (en la pestaa PPP misma) y cliquee en "PPPoE
SERVER".
En la ventana "PPPoE SERVER LIST", cree un nuevo servidor (presionando "+")
Configure de acuerdo con sus necesidades. Basicamente como en la siguiente figura:
 Parametros:
SERVICE NAME = Nombre del servidor PPPoE.
INTERFACE = Interface con que este servidor trabajar.
MAX MTU = Taza mxima de transmision. Basicamente deje en 1500 para clientes
con winxp o superior y 1452 para clientes con win98 e inferior y clientes que utilizan
discador RASPPPOE.
MAX MRU = Taza mxima de recepcion. Configurar conforme a lo anterior.
KEEPALIVE TIMEOUT = Tiempo mximo que una conexion retornar un error.
Basicamente deje en 10.
DEFALT PROFILE = Recuerda la profile que creo? Es aqui que todas estas
configuraciones quedaron incorporadas a el. Basicamente el profile es un atajo de todas
estas configuraciones.
ONE SESSION PER HOST = Esta opcin permite el login y la contrasea de un
cliente (registrado en el servidor pppoe), conecte por vez. Esto es interesante por que evita
que varias personas conecten al mismo tiempo con el mismo login y contrasea. Deje
marcado.
MAX SESSION = Define el nmero mximo de conexiones a este servidor.
Bsicamente deje en blanco.
 AUTENTICATION = Para que haya compatibilidad con todos los servicios de
descarga disponibles, deje todas marcadas.
Se podr crear varios servidores PPPoE. Cada uno atendiendo una determinada interface y
un determinado sistema operacional, como en el ejemplo siguiente:

Para registrar clientes es bien fcil. Despus de crear su servidor PPPoE, basta cliquear en
la pestaa "SECRETS"
Para crear una nueva cuenta, presione el boton "+"
 Configure de acuerdo con sus necesidades:
NAME = Login del asignante. Puede conter @xxxxxxx.com.xx o no.
PASSWORD = Contrasea de acesso.
SERVICE = Escoja PPPoe.
CALLER ID = Define cual MAC Address sera fijada a esta conexion
PROFILE = Define el profile que ser fijado a esta conexion.
LOCAL ADDRESS = Direccin del Gateway (normalmente un rango de IP utilizadas
con final 254)
REMOTE ADDRESS = Direccion IP de esta mquina (preferentemente dentro del
rango de IPs de la red local, LOCAL ADDRESS).
ROUTERS = Define enrutamiento. Dejar en blanco.
LIMITY BYTES IN = Limita el nmero de bytes de entrada. Dejar en blanco.
LIMITY BYTES OUT = Limita el nmero de bytes de salida.

Confirme todo y listo. En el computador del cliente basta crear una conexion PPPoE con
esta contrasea y login y se conectara.
Espero que les aclare algunas dudas.
Cualquier consulta: lic.o.diaz@gmail.com.
Saludos.-