Implementación de VLANs en MikroTik con Switches HP Capa 2
📘 Implementación de VLANs en MikroTik con Switches HP Capa 2 1. Fundamentos de VLANs Una VLAN (Virtual LAN) permite agrupar dispositivos dentro de una misma red lógica, aunque estén físicamente separados. Esto mejora: 2. Rol de MikroTik y Switch HP Capa 2 3. Tipos de Puertos en Switch HP Tipo de Puerto Descripción Uso Común Access Pertenece a una sola VLAN. No etiqueta tramas. Conexión a PCs, impresoras, cámaras. Trunk Transporta múltiples VLANs etiquetadas (802.1Q). Conexión a MikroTik o a otros switches. 4. Ejemplo Práctico de Configuración 🎯 Objetivo: 🖥️ MikroTik (RouterOS) 🖧 Switch HP Capa 2 5. Diagrama de Topología Voy a generar un diagrama visual para ilustrar esta arquitectura.Análisis Aquí tienes el diagrama de red que representa la implementación de VLANs entre un MikroTik y un Switch HP Capa 2: 6. Buenas Prácticas 7. Errores Comunes Error Causa Solución No hay comunicación entre VLANs MikroTik no enruta Verifica interfaces VLAN y direcciones IP Dispositivos no reciben IP DHCP no configurado por VLAN Configura un servidor DHCP por VLAN Tráfico no llega al MikroTik Puerto trunk mal configurado Asegura que el puerto esté etiquetado correctamente 8. Conclusión La implementación de VLANs con MikroTik y Switches HP Capa 2 es una solución poderosa y económica para segmentar redes. Permite una administración eficiente, mejora la seguridad y facilita el crecimiento de la infraestructura. Con una configuración adecuada de puertos access y trunk, se puede lograr una red robusta y bien organizada.
Gestión Inteligente del Tráfico en MikroTik: De PFIFO a PCQ con Marcación y Control de Ancho de Banda
🧠 Gestión Inteligente del Tráfico en MikroTik: De PFIFO a PCQ con Marcación y Control de Ancho de Banda 🎯 Objetivo General Configurar un router MikroTik para cambiar el tipo de cola de tráfico de PFIFO a PCQ, utilizando marcación de paquetes para diferenciar tráfico entrante y saliente, y asignar anchos de banda específicos para los siguientes servicios: 🧪 Escenario de Ejemplo Imagina que estás administrando la red de una pequeña empresa con 10 empleados. Cada uno usa internet para diferentes tareas: Tu tarea es priorizar el tráfico web y de base de datos, y limitar el tráfico FTP y SSH para evitar saturación. 📋 Pasos Detallados con Ejemplos 🔹 Paso 1: Identificar el Tráfico Servicio Puerto Dirección Ejemplo de uso Web 80, 443 Entrada/Salida Navegar en Chrome FTP 21 Entrada/Salida Subir archivos al servidor SSH 22 Entrada/Salida Acceder a un servidor remoto Base de Datos 3306, 5432 Entrada/Salida Consultas desde un sistema ERP 🔎 Importancia: Saber qué tráfico se genera permite aplicar políticas de control más efectivas. 🔹 Paso 2: Marcación de Paquetes (Mangle) Ejemplo: Marcar tráfico web saliente Repetir para: 🔎 Importancia: Esta marcación permite que las colas reconozcan el tráfico y lo gestionen de forma diferenciada. 🔹 Paso 3: Crear Tipos de Cola PCQ 🔎 Importancia: PCQ reparte el ancho de banda entre múltiples usuarios o conexiones de forma justa. 🔹 Paso 4: Crear Colas Simples Ejemplo: Cola para tráfico web saliente Repetir para: 🔎 Importancia: Las colas permiten asignar prioridades y límites de velocidad por tipo de tráfico. 🔹 Paso 5: Verificación Ejemplo: 🔎 Importancia: Verificar asegura que la configuración esté funcionando como se espera. 🧩 Preguntas de Reflexión 🧭 ¿Qué representa este diagrama?
Sistema de Defensa Progresiva contra Accesos Fallidos en Red WAN con MikroTik
🛡️ Sistema de Defensa Progresiva contra Accesos Fallidos en Red WAN con MikroTik 🎯 Objetivo General Implementar un sistema automatizado en MikroTik que detecte, registre y bloquee direcciones IP externas que realicen múltiples intentos fallidos de conexión a servicios expuestos en la red WAN, aplicando bloqueos escalonados (10 minutos y luego 1 día), con notificaciones en el log y señales sonoras diferenciadas. 🧱 Componentes de la Solución 🔧 Configuración Paso a Paso 1. Crear listas de seguimiento por etapas /ip firewall address-list add list=whitelist address=192.168.88.0/24 comment=»Red interna confiable» 2. Detección de intentos nuevos (ej. SSH puerto 22) /ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=!whitelist \ action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m log=yes log-prefix=»SSH intento 1″ 3. Escalado de intentos fallidos Repetir para ssh_stage2 hasta ssh_stage5: /ip firewall filter add chain=input src-address-list=ssh_stage1 protocol=tcp dst-port=22 connection-state=new \ action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m log-prefix=»SSH intento 2″ 4. Bloqueo temporal (10 minutos) /ip firewall filter add chain=input src-address-list=ssh_stage5 action=add-src-to-address-list \ address-list=ssh_block_10min address-list-timeout=10m log=yes log-prefix=»SSH BLOQUEO 10min» add chain=input src-address-list=ssh_block_10min action=drop 5. Escalado a bloqueo de 1 día /ip firewall address-list add list=ssh_block_10min list=ssh_block_1day timeout=1d /ip firewall filter add chain=input src-address-list=ssh_block_1day action=drop log=yes log-prefix=»SSH BLOQUEO 1día» 🔔 Notificaciones Sonoras Scripts para sonidos /system script add name=beep_10min policy=read,write source=»/beep frequency=1000 length=500ms» add name=beep_1day policy=read,write source=»/beep frequency=2000 length=1000ms» Scheduler para ejecutar sonidos /system scheduler add name=beep10min on-event=»/system script run beep_10min» interval=10m start-time=startup add name=beep1day on-event=»/system script run beep_1day» interval=1d start-time=startup 🧹 Mantenimiento y Limpieza Asegúrate de que las listas temporales se limpien automáticamente: /ip firewall address-list add list=ssh_stage1 timeout=1m add list=ssh_stage2 timeout=1m … 📋 Recomendaciones Adicionales Descarga el archivos RSC: Sistema de Defensa Progresiva contra Accesos Fallidos en Red WAN con MikroTik.rsc
MikroTik – OSPF
Actividad Completa: Configuración de OSPF en MikroTik El Protocolo de Primeros en el Sistema Abierto (OSPF) es un protocolo de enrutamiento dinámico que optimiza la comunicación entre múltiples routers al calcular la ruta más corta hacia cada destino. Esta actividad te guiará paso a paso para implementar OSPF en MikroTik en un entorno simulado usando GNS3. Objetivo: Configurar y verificar OSPF en una red con tres routers MikroTik, cada uno conectado a una red interna diferente, asegurando la comunicación entre todas las redes. Escenario: Material necesario: Parte 1: Configuración de las Interfaces Parte 2: Configuración de OSPF Parte 3: Pruebas de Conectividad Parte 4: Configuración de Redistribución de Rutas En caso de tener rutas estáticas adicionales que deseas compartir con OSPF: Parte 5: Monitoreo de OSPF Preguntas para Evaluar Criterios de Evaluación Esta actividad proporcionará una experiencia práctica integral sobre el uso de OSPF en MikroTik. Evaluación:1.- Crea un video mostrando la configuración de cada una de las colas y explicando cómo afecta el ancho de banda de los dispositivos en la red.2.- Realiza pruebas para demostrar que cada configuración está funcionando según lo planificado.3.- Sube el video a tu canal de YouTube y pega la URL en la plataforma de entrega asignada. Conclusión sobre el Uso de OSPF en MikroTik OSPF (Open Shortest Path First) es un protocolo de enrutamiento dinámico robusto y ampliamente utilizado en redes empresariales debido a su capacidad para adaptarse rápidamente a los cambios en la topología de red. En el contexto de MikroTik, OSPF demuestra ser una herramienta eficiente para la interconexión y gestión de rutas en entornos dinámicos y complejos. Ventajas principales del uso de OSPF en MikroTik: Limitaciones a considerar: Reflexión Final: Implementar OSPF en MikroTik proporciona un equilibrio perfecto entre funcionalidad y control. Permite a los administradores de red gestionar de forma eficiente entornos dinámicos con múltiples rutas y topologías complejas, asegurando alta disponibilidad y rendimiento. Además, la compatibilidad de MikroTik con estándares abiertos como OSPF lo convierte en una solución versátil y confiable para redes empresariales. Aprender y dominar OSPF en MikroTik no solo mejora las habilidades técnicas, sino que también fomenta el diseño de redes resilientes y escalables.
Configuración de una VPN en MikroTik 6.46
Objetivo: Configurar una VPN en MikroTik 6.46 para permitir el acceso seguro a la red local desde ubicaciones remotas. En esta actividad configuraremos una VPN PPTP (Point-to-Point Tunneling Protocol), que es relativamente sencilla de configurar y ampliamente compatible con la mayoría de los dispositivos. Requisitos: Configuración de VPN PPTP en MikroTik Paso 1: Activar el Servidor PPTP en MikroTik Paso 2: Crear Usuarios para la VPN Paso 3: Configuración de Reglas de Firewall Para que la VPN funcione correctamente y pueda acceder a la red local, debes permitir el tráfico PPTP en el firewall. Paso 4: Configuración de NAT (Si es Necesario) Para que los usuarios de la VPN puedan acceder a Internet a través del router, es posible que necesites agregar una regla de NAT: Esta regla permite que el tráfico de los clientes VPN tenga acceso a Internet. Configuración en el Cliente VPN Después de configurar la VPN en el router MikroTik, es necesario establecer la conexión desde un dispositivo cliente. Explicaré cómo realizar esto en Windows. Paso 1: Configuración en el Cliente (Windows) Paso 2: Probar la Conexión Pruebas de Conectividad y Seguridad Resumen Con estos pasos, has configurado una VPN PPTP en tu MikroTik, permitiendo que dispositivos remotos accedan a tu red de forma segura. Aunque PPTP es fácil de implementar, considera usar alternativas más seguras como L2TP/IPSec o OpenVPN en futuras implementaciones, ya que ofrecen mejor cifrado y protección de datos. Evaluación: Conclusión: La configuración de una VPN en MikroTik 6.46 proporciona un método seguro y eficiente para que los usuarios remotos accedan a los recursos internos de una red. A lo largo de esta actividad, establecimos una conexión PPTP, configurando tanto el router como el cliente, y aplicamos reglas de firewall y NAT para asegurar el acceso y la privacidad de los datos en tránsito. Aunque PPTP ofrece una solución rápida y de fácil implementación, es recomendable considerar protocolos con mayor nivel de cifrado, como L2TP/IPSec o OpenVPN, para escenarios que demanden una seguridad adicional. Esta actividad no solo mejora la conectividad remota, sino que también fortalece el control de la red, optimizando su rendimiento y su administración segura.
Configuración Detallada de Control de Ancho de Banda en MikroTik 6.46 usando Queues
Objetivo: Configurar y gestionar colas de ancho de banda en MikroTik 6.46, aplicando limitaciones para diferentes dispositivos y tipos de tráfico. Aprenderás cómo controlar el ancho de banda utilizando Simple Queues y Queue Tree para optimizar el rendimiento de la red. Requisitos: Parte 1: Control Básico de Ancho de Banda usando Simple Queues Caso 1: Limitar el Ancho de Banda de un Dispositivo Específico Pasos: Prueba: Desde el dispositivo con IP 192.168.1.10, realiza una descarga y una carga a Internet. Observa que la velocidad está limitada a los valores especificados. Caso 2: Limitar el Ancho de Banda para un Rango de IPs Pasos: Prueba: Desde cualquier dispositivo en el rango 192.168.1.20-192.168.1.30, realiza una descarga y una carga. La velocidad máxima de conexión estará limitada a los valores especificados. Caso 3: Limitar el Ancho de Banda para Todos los Usuarios de la Red Local Pasos: Prueba: Con cualquier dispositivo de la red, realiza pruebas de descarga y carga. La velocidad de toda la red debe estar limitada a los valores definidos. Parte 2: Control Avanzado de Ancho de Banda usando Queue Tree Queue Tree es útil cuando necesitas mayor control, permitiendo la gestión del ancho de banda según tipos de tráfico, priorización, o estructura jerárquica. Caso 1: Crear un Límite Global con Sub-limites para Diferentes Tipos de Tráfico Pasos: Prueba: Realiza descargas HTTP desde un dispositivo en la red y verifica que solo usa hasta 15 Mbps, mientras que otros tipos de tráfico usan hasta 5 Mbps. Caso 2: Priorizar Ancho de Banda para un Dispositivo Crítico en la Red Pasos: Prueba: Desde el dispositivo 192.168.1.50, realiza una descarga. El ancho de banda debe ser de hasta 5 Mbps, mientras que otros dispositivos en la red tendrán el ancho de banda restante disponible. Parte 3: Configuración de Burst (Explosión de Velocidad) Burst permite que los usuarios experimenten velocidades superiores durante un corto periodo, proporcionando una «explosión» inicial que puede mejorar la experiencia. Caso: Configurar una Cola con Burst Pasos: Prueba: Desde el dispositivo 192.168.1.60, inicia una descarga. La velocidad inicial debe alcanzar los 5 Mbps y luego reducirse a 2 Mbps después de 15 segundos. Evaluación: Conclusión: Esta actividad te permite comprender cómo administrar el ancho de banda en MikroTik utilizando Simple Queues y Queue Tree. Configurar burst, límites globales y colas prioritarias proporciona un control avanzado y eficiente para optimizar el rendimiento de la red.
Configuración de Filter Rules en MikroTik 6.46 para Bloqueo por Contenido, Puertos, Protocolos, Direcciones IP y más
Objetivo: Configurar reglas de filtrado en MikroTik 6.46 para bloquear tráfico en función de diversos criterios, como contenido (Layer 7), puertos, protocolos, direcciones IP de origen y destino, y listas de direcciones (Address List). Requisitos: Instrucciones: Evaluación: Conclusión: Esta actividad te permitirá comprender cómo usar MikroTik 6.46 para configurar reglas avanzadas de filtrado (Filter Rules), proporcionando un control robusto sobre el tráfico de la red mediante la implementación de reglas basadas en contenido, puertos, protocolos y direcciones IP.
Rutas Estaticas MikroTik
Router 1 # Configuraciones R1ip dhcp-client remove numbers=0# Configuracion del direccionamiento IPip address add address=192.168.10.105/24 network=192.168.10.0 interface=ether1ip address add address=172.16.1.254/24 network=172.16.1.0 interface=ether2# Configuracion de la Ruta hacia la red LAN del R2ip route add dst-address=172.16.2.0/24 gateway=192.168.10.205# Configuracion de la Ruta hacia la red LAN del R1-1ip route add dst-address=192.168.1.0/24 gateway=172.16.1.253# Configuracion de la Ruta hacia la red LAN del R2-1ip route add dst-address=192.168.2.0/24 gateway=192.168.10.205 Router 1_1 # Configuraciones R1-1ip dhcp-client remove numbers=0# Configuracion del direccionamiento IPip address add address=172.16.1.253/24 network=172.16.2.0 interface=ether1ip address add address=192.168.1.254/24 network=192.168.1.0 interface=ether2# Configuracion de la Ruta hacia la red LAN del R1ip route add dst-address=192.168.10.0/24 gateway=172.16.1.254# Configuracion de la Ruta hacia la red LAN del R2ip route add dst-address=172.16.2.0/24 gateway=172.16.1.254# Configuracion de la Ruta hacia la red LAN del R2-1ip route add dst-address=192.168.2.0/24 gateway=172.16.1.254 Router 2 # Configuraciones R2ip dhcp-client remove numbers=0# Configuracion del direccionamiento IPip address add address=192.168.10.205/24 network=192.168.10.0 interface=ether1ip address add address=172.16.2.254/24 network=172.16.2.0 interface=ether2# Configuracion de la Ruta hacia la red LAN del R1ip route add dst-address=172.16.1.0/24 gateway=192.168.10.105# Configuracion de la Ruta hacia la red LAN del R1-1ip route add dst-address=192.168.1.0/24 gateway=192.168.10.105# Configuracion de la Ruta hacia la red LAN del R1-1ip route add dst-address=192.168.2.0/24 gateway=172.16.2.253 Router 2_1 # Configuraciones R2-1ip dhcp-client remove numbers=0# Configuracion del direccionamiento IPip address add address=172.16.2.253/24 network=172.16.2.0 interface=ether1ip address add address=192.168.2.254/24 network=192.168.1.0 interface=ether2# Configuracion de la Ruta hacia la red LAN del R2ip route add dst-address=192.168.10.0/24 gateway=172.16.2.254# Configuracion de la Ruta hacia la red LAN del R1ip route add dst-address=172.16.1.0/24 gateway=172.16.2.254# Configuracion de la Ruta hacia la red LAN del R1-1ip route add dst-address=192.168.1.0/24 gateway=172.16.2.254 Vídeo:
MikroTik
RouterOS es un sistema operativo destinado a dotar de las funciones necesarias a las placas RouterBoard para convertirlas en un router, aunque también funciona en equipos x86. En este nuevo tutorial os enseñaré como configurar vuestro router/pc RouterOS para dar acceso a Internet a los equipos de vuestra red interna de casa ó de la oficina. Podemos convertir un viejo PC/Portátil en un poderoso router con las más avanzadas opciones de los grandes routers. El «pero» de RouterOS es que es de pago, aunque podéis bajar la ISO y probarla durante 24 horas para ver todo su potencial. Y sin mas preámbulos, veamos nuestro ejemplo! ¿QUÉ ES RouterOS? RouterOS es un sistema operativo basado en GNU/Linux que implementa funcionalidades que los NSP e ISP tienden a implementar, como por ejemplo BGP, IPv6, OSPF o MPLS. RouterOS es un sistema versátil, con un gran soporte por parte de MikroTik, tanto a través de un foro como de su Sitio Wiki, proporcionando una amplia variedad de ejemplos de configuración. La venta de RouterOS, combinado con su línea de productos de hardware conocida como MikroTik RouterBOARD, está enfocada a los pequeños y medianos proveedores de acceso a Internet, que normalmente proporcionan acceso de banda ancha en áreas remotas. Recordad que cualquier duda o problema que tengáis, podeis escribir un comentario en la parte inferior del tutorial. 1.- ELEMENTOS UTILIZADOS EN ESTE TUTORIAL 2.- ESQUEMA DE RED El esquema de la red que queremos emular es el que se ve en la imagen siguiente. Como podemos ver, tenemos un router (MikroTik con Sistema Operativo RouterOS), un switch y un equipo cliente. El esquema puede ser incluso mas sencillo, eliminando el swicth y conectando directamente los equipos clientes al router MikroTik. El objetivo que queremos conseguir es tener Internet en los equipos de la LAN (PC0,PC1…PCn) configurando correctamente el router MikroTik con RouterOS: Esquema de red 3.- CONFIGURACIÓN INTERFACES DE RED El router deberá tener mínimo 2 interfaces de red, en este ejemplo ether1 y ether2 serán las dos interfaces de red de las que dispone el router. Ether1 será la tarjeta que conecte con Internet y ether2 la tarjeta que conecta con nuestra LAN. Para trabajar de forma más cómoda y sencilla, cambiaremos el nombre de las interfaces de red para no liarnos. Para ello, desde el terminal ejecutaremos los siguientes comandos: Si queremos hacerlo desde la interfaz gráfica con Winbox (puedes descargarlo de la web oficial de MikroTik) , desde el menú Interfaces -> Doble click encima de la interfaz y le cambiamos el nombre: Cambiar el nombre de las interfaces La interfaz ether1=INET obtiene su IP de forma dinámica de nuestro proveedor de internet por lo que debemos configurarla como cliente dhcp. La interfaz interna ether2=LAN tendrá una IP fija, en este caso 192.168.232.100/24. Para asignar las IPs a las interfaces y habilitarlas debemos ejecutar en consola estos 2 comandos: Para ver desde la consola las direcciones IPs que tienen las interfaces de red, hay que ejecutar el comando: En la siguiente imagen se pueden ver las 2 IPs, la dinámica tiene una D al principio: Listado de IPs y tarjetas de red Desde la administración gráfica con Winbox podemos configurar las direcciones IPs de las 2 interfaces. Para la interfaz ether1=INET debemos configurarla como cliente DHCP desde el menú IP -> DHCP Server, y haciendo click en el símbolo de + añadiremos la configuración para la interfaz ether1=INET como se ve en la siguiente imagen: Configuración DHCP Client para ether1=INET Para configurar la interfaz ether2=LAN con IP fija, debemos hacerlo desde el menú IP -> Address List. Haciendo click en + añadiremos la interfaz, la red a la que pertenece y su dirección IP: Configurar dirección IP fija ether2=LAN 4.- CONFIGURACIÓN DEL SERVIDOR DHCP PARA LA LAN El (los) equipos clientes tienen que tener configurada su dirección IP, máscara de red, puerta de enlace y servidores de DNS para poder navegar de forma correcta. Para evitar tener que configurar manualmente cada uno de los equipos, habilitaremos en el servidor MikroTik con RouterOS el servicio de Servidor de DHCP para que este proceso sea automático y de forma totalmente transparente para el usuario. Primero tenemos que crear el Pool de direcciones IPs. En este ejemplo empezaremos a entregar IPs desde la IP 192.168.232.150 hasta la IP 192.168.232.200. Crearemos un Pool con nombre DHCP con el siguiente comando y el siguiente rangos de IPs: Para crear/ver los Pool de direcciones desde el entorno gráfico, debemos ir desde el menú IP -> Pool: Crear Pool DHCP desde entorno gráfico Ahora tenemos que crear el servidor DHCP. Para ello asignaremos el nuevo servidor DHCP a la interfaz de red de la LAN, le asignaremos el Pool de direcciones IPs creadas anteriormente, le configuraremos un lease-time de 3 días, será de tipo autoritativo y estará activado: Desde la interfaz gráfica con Winbox podremos crear el servidor DHCP desde el menú IP->DHCP Server y añadiremos el servidor haciendo click en el símbolo +: Crear Servidor DHCP desde Winbox Con los pasos anteriores, el servidor DHCP ya estaría correctamente configurado, pero falta especificarle algunos parámetros necesarios a la hora de enviarle la información a los clientes. Se necesita configurar la puerta de enlace (Gateway) que usarán los clientes y los servidores de DNS. Para ello ejecutaremos el comando siguiente, el cual asigna como Gateway la IP de la interfaz de la LAN y usaremos 2 servidores DNS de Google: Desde el entorno gráficos, estos parámetros de configuración necesarios para que los clientes puedan navegar correctamente, está accesible desde IP -> DHCP Server -> Networks: Parámetros de DHCP necesarios Con estos pasos ya hemos terminado de configurar la parte del servidor de DHCP. Gracias a este servidor, los clientes solamente tendrán que conectarse a la red y de forma automática sus equipos se auto-configurarán de forma transparente para el usuario. 5.- CONFIGURACIÓN DEL NAT (Network Address Translate) Para compartir Internet, lo que haremos será usar NAT (Network Address Translate) para enmascarar las direcciones IPs de los equipos de la LAN con la IP Pública de la interfaz INET del router MikroTik. Esto es necesario porque en Internet no se puede navegar con un direccionamiento de IP Privada como por ejemplo 192.168.232.101. Es necesario crear una regla en el firewall la cual diga que: todo lo que venga de la LAN con destino 0.0.0.0 se envie por la interfaz INET y se enmascare con la IP Pública de Internet, en este ejemplo 80.80.80.2: Desde el entorno gráfico deberemos configurarlo en 2 pestañas desde IP -> Firewall -> General y en IP -> Firewall -> Action donde le diremos que haga «masquerade«: Nueva