MikroTik – Zeque.com.ar | Linux, Mikrotik, Noticias… https://www.zeque.com.ar Temas que me salvaron alguna vez, los comparto acá Mon, 14 May 2018 20:58:59 +0000 en-US hourly 1 https://wordpress.org/?v=6.5 Cursos MikroTik https://www.zeque.com.ar/cursos-mikrotik/ https://www.zeque.com.ar/cursos-mikrotik/#respond Mon, 14 May 2018 20:58:59 +0000 http://www.zeque.com.ar/?p=605 Para aquellos que me lo venían pidiendo finalmente armé y ya estoy dictando cursos de MikroTik en EducacionIT . Los espero el 18 de junio!!!

]]> https://www.zeque.com.ar/cursos-mikrotik/feed/ 0 Restringir sitios en MikroTik con DNS y Firewall https://www.zeque.com.ar/restringir-sitios-en-mikrotik-con-dns-y-firewall/ https://www.zeque.com.ar/restringir-sitios-en-mikrotik-con-dns-y-firewall/#respond Mon, 15 Jan 2018 20:32:41 +0000 http://www.zeque.com.ar/?p=589 Hace unos meses surgió la necesidad de habilitar ciertos sitios y bloquear el resto en equipos remotos con tráfico satelital medido  (algunos con solo 40MB mensuales).
El problema que tuve es que las consultas DNS terminaban consumiendo el tráfico mensual en un par de semanas.
Para solucionar esto en el DNS del mikrotk agregué de manera estática los dominios que quería tener habilitados, entonces el script lo que hace es recorrer cada sitio del DNS, actualizar su IP y agregarla en un address-list en el firewall para que permita su tráfico.

Requiere RouterOS 6.2+ debido a que antes no estaba la opción on-error para tomar acción ante un error.

:foreach a in=[/ip dns static find] do={
        :global nombre
        :set nombre [/ip dns static get $a name]
        :global ip
        :global resuelto
        :set ip [/ip dns static get $a address  ]
        :global iporig
        :set iporig [:put [/ip dns  static get [/ip dns static find name=$nombre] value-name=address ]]
        /ip dns static remove $a
        :if ( [:do {[:set resuelto [:put [ :resolve $nombre server=8.8.8.8 ]]]} on-error={:set resuelto [put $iporig]}] != "") do={
                /ip dns static add address=$resuelto name=$nombre
        } else={
                /ip dns static add address=$iporig name=$nombre
}
        :put $nombre
}

:foreach a in=[/ip dns static  find  ] do={
:do { /ip firewall address-list add list=habilitadas address=[ :put [/ip dns static  get $a address   ] ] comment=[:put [/ip dns static get $a name]] } on-error {:log info "ya existe"}
}

Luego hay que hacer las reglas en el firewall para que permita el tráfico forward del address-list habilitadas, forzar a que cualquier consulta DNS sea redirigida al mikrotik y no olvidarse de agregar una tarea programada para que corra el script.
Reglas NAT:

/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.0.0/24
add action=redirect chain=dstnat dst-port=53 protocol=tcp to-ports=53
add action=redirect chain=dstnat dst-port=53 protocol=udp to-ports=53

Reglas firewall:

/ip firewall filter
add action=reject chain=forward dst-address-list=!habilitadas dst-port=80 \
    protocol=tcp reject-with=tcp-reset
add action=reject chain=forward dst-address-list=!habilitadas dst-port=443 \
    protocol=tcp reject-with=tcp-reset

Nota: A partir de RouterOS 6.36+ ya se pueden generar address-list por nombre

]]> https://www.zeque.com.ar/restringir-sitios-en-mikrotik-con-dns-y-firewall/feed/ 0 MikroTik: Uso del winbox https://www.zeque.com.ar/mikrotik-uso-del-winbox/ https://www.zeque.com.ar/mikrotik-uso-del-winbox/#respond Wed, 15 Feb 2012 02:39:31 +0000 http://www.zeque.com.ar/?p=170 ¿Qué es el winbox? Utilizaremos la aplicación winbox para configurar nuestro MikroTik de manera más rápida y cómoda.

Si el MikroTik tuviera o no configurada una IP podemos detectarlo haciendo click en botón con tres puntos “…”

Una vez que hacemos click en el botón se desplegará un listado con los MikroTiks detectados en la red.
Si no tiene configurada una IP (aparecerá 0.0.0.0), hay que hacer click sobre la MAC address para conectarnos por ARP, en cambio si tenemos una IP de la misma red o es una red que tenemos acceso hacemos click en la IP, la comunicación se establece por el puerto TCP 8291.

En el caso de conectarnos por ARP la conexión es más inestable y más lenta. También hay más posibilidades de que se desconecte, sobre todo si tenemos dos interfaces activas en nuestra PC/Notebook (ej: ethernet y wifi)

Las versiones más nuevas de RouterOS de MikroTik asignan por dhcp una IP de la red 192.168.88.0/24 desde la ether2 a la última.
La ether1 será la que mira hacia la red pública y toma IP por dhcp como para conectarlo detrás de nuestro proveedor y que comparta internet haciendo NAT a las demás interfaces.

]]> https://www.zeque.com.ar/mikrotik-uso-del-winbox/feed/ 0 Evitar errores con MikroTik Safe Mode https://www.zeque.com.ar/evitar-errores-con-mikrotik-safe-mode/ https://www.zeque.com.ar/evitar-errores-con-mikrotik-safe-mode/#comments Wed, 12 Oct 2011 20:11:49 +0000 http://www.zeque.com.ar/wordpress/?p=36 Alguna vez hemos intentado querer cambiar reglas de firewall, rutas, o hasta direcciones IP de manera remota, obviamente con sus riesgos.
Gracias al Modo Seguro (Safe Mode)  MikroTik esto ya no es un problema.

Al ingresar por telnet/ssh pulsar “CTRL X” para habilitar el Safe Mode (Modo Seguro) en caso de entrar por winbox hacer click en “New Terminal” y luego “CTRL X“.
Si perdemos la conexión por los cambios automáticamente dejará todo como estaba al momento de haber pulsado “CTRL X“, y, si todo sale bien, pulsamos “CTRL X” para guardar los cambios.

Si no salimos del modo seguro, al cerrar el winbox o la session ssh/telnet perderemos los cambios como si se nos hubiera desconectado.

Las versiones más nuevas del mikrotik routeros tienen un botón en la parte superior. El procedimiento es el mismo, lo pulsamos una vez para comenzar a trabajar, y una vez finalizados los cambios lo volvemos a pulsar para que quede todo guardado.


Winbox Safe Mode

]]> https://www.zeque.com.ar/evitar-errores-con-mikrotik-safe-mode/feed/ 1