Apuntes Mikrotik

Hace unos días tuve la oportunidad de trastear con un aparatito que pululaba por la oficina. Concretamente un router Mikrotik.

A continuación expongo las pruebas que hice y lo que consideré importante para cubrir un par de escenarios típicos en mi trabajo.

1. Acceso típico de una red interna a internet.

Hacer un reset desde el terminal:

system reset-configuration no=yes

En “Interfaces List”, cambiamos los nombres de los puertos para identificarlos mejor: WAN, LAN1, ….

En IP/Addresses creamos un pool de IP’s para la LAN1.

En IP/DHCP Client creamos el cliente para el puerto WAN que tome una ip de la entrada que reciba (router).

Probamos en el terminal que ya nos debe resolver el ping a google.

Ahora creamos un DHCP Server que reparta el pool de IP para la boca LAN1:

Lo hacemos con el asistente marcado en rojo.

Después hay que crear un nat que se hace desde IP/Firewall/NAT especificando la boca de salida a internet (WAN) y que es del tipo masquerade:

Con todo esto, cualquier entrada en LAN1 tendrá acceso a internet siempre y cuando el puerto WAN lleve la toma del router/modem de internet.

Pero tenemos las bocas 3,4, 5 y wireless sin configurar. Si queremos que los demás puertos tengan la misma configuración que la puerta 2 tendremos que formar un bridge agrupándolos todos:

Primero se crea el bridge:

Y después se agregan los puertos 2, 3, 4, 5 y wireless.

Cuando creamos el pool de Ip’s para nuestra red lo hicimos sobre la LAN1 ahora hay que cambiarlo para que sea sobre el bridge1 recién creado.

Lo mismo ocurre con el DHCP Server creado anteriormente. Antes fué creado sobre el puerto LAN1 y ahora lo tenemos que cambiar para que actúe sobre el bridge.

La interfaz wifi viene deshabilitada por defecto. Si lo queremos habrá que hacerlo en Interfaces:

La configuración de dicha tarjeta inalámbrica la haremos con el correspondiente menú:

Las fases para configurarla serán:

1. Crear un “Security Profile”

2. Nos vamos a la opción Avanzada del Wireless

Y modificamos estos dos puntos:

Asignaremos el security mode creado anteriormente.

Para asegurar un poco nuestra wifi, podemos hacer que solo los dispositivos que metamos en la opción Access List de nuestra wifi puedan navegar. Para ello, además de añadirlos a la Access List tendremos que desactivar la opción del Wireless en Avanzado que se se muestra a continuación (Default Authenticate):

2. Creación de un HotSpot

Un recurso importante en la red, es la modificación del portal cautivo que Mikrotik nos propone inicialmente: https://mikrotikthemes.airpoint.club/

Pasos:

1. Tener la puerta WAN con internet:
2. Crear un bridge con las interfaces que queremos que respondan al portal cautivo. Pueden ser todas las interfaces o solamente la Wifi.
3. Crear un pool de direcciones para la interfaz bridge.
4. Crear una ruta por defecto que apunte al gateway de internet (nuestro router/modem real)

Nota: si se ha creado un servidor DHCP como en el punto anterior, no es necesario el punto 4, porque la ruta al gateway físico ya se le ha dado en el setup del DHCP.

5. Crear unos DNS de Google:

6. Crear un Hotspot con la ayuda del setup:

Creamos el hotspot sobre el bridge1 o sobre la wlan1

Una vez finalizado se hacen unos pequeños ajustes:

El último paso será habilitar la interfaz wifi que viene por defecto deshabilitada. No es necesario configurarle seguridad, de eso ya se encarga el portal cautivo.

Espero haber sido claro. Estos pasos los he seguido yo mismo para configurar ambos escenarios.

Cualquier comentario será bien recibido.