• Introducción a RouterOS

• WinBox
• Packages / Recovery
• DHCP

• Wireless
• Bridging
• VLans
• Ruteo Estático

• Firewall
• Simple Queues
• RouterOS tools
• Introducción a RouterOS
• WinBox
• Packages / Recovery
• DHCP
Historia
Empresa fundada en 1996 para desarrollar enrutadores y sistemas ISP inalámbricos.
Mikrotik proporciona hardware y software para la conectividad a Internet en la
mayoría de los países del mundo.

En 1997 desarrolla su propio sistema de software RouterOS que proporciona una

gran estabilidad, controles y flexibilidad para todo tipo de interfaces de datos y
enrutamiento.

En 2002 desarrolla su propio hardware, RouterBOARD.

• Fundada en Latvia
• Fundada en Latvia
 Fechas de liberación de las versiones de RouterOS

• v7.1 stable Dic 2021

• v7(beta) - May 2019
• v6 - May 2013
• v5 - Mar 2010
• v4 - Oct 2009
• v3 - Ene 2008

Configuración
• Acceso basado en MAC para configuración inicial.
• WinBox: herramientas de configuración gráfica (GUI)
• WebFig: Interface de configuración avanzada basada en web
• Línea de Comandos (CLI: command line) con capacidades de scripting , consola serial,
telnet y ssh.
• API: programación de aplicaciones.
Versiones

Las versiones de RouterOS se numeran secuencialmente cuando se usa un punto para separar
secuencias, no representa un punto decimal y las secuencias no tienen importancia posicional
Las versiones de RouterOS se lanzan en varias "cadenas de lanzamiento": a largo plazo, estable y beta.
Al actualizar RouterOS, puede elegir una cadena de lanzamiento desde la cual instalar los nuevos
paquetes.

A Long Term: se publica con poca frecuencia e incluye solo las correcciones más importantes, las
actualizaciones dentro de una rama de número no agregan nuevas funciones. Cuando una versión
estable ha estado disponible durante un tiempo y parece ser lo suficientemente estable, se
promociona a la rama a largo plazo, reemplazando una versión anterior, que luego se traslada a
Archivo. Esto agrega consecutivamente nuevas características.
Stable : publicado cada pocas semanas, incluye todas las funciones y correcciones probadas
Beta : Lanzado cada pocos días, solo se somete a pruebas internas básicas, no debe usarse en
producción
Hardware creado por MikroTik
con RouterOS

Soluciones completas
Hardware creado por MikroTik
con RouterOS

Motherboards
Hardware creado por MikroTik
con RouterOS

Enclosures
Nomenclatura
RouterBOARD (Versión corta RB)

<Nombre de board><características>(especificaciones Wireless)<tipo de enclousure>

Actualmente hay 3 tipos de nombres de board :

Nombre de 3 dígitos:
1er dígito representa la serie
2do dígito indica el número potencial de interfaces cableadas (Ethernet, SFP, SFP+)
3er dígito indica el número potencial de interfaces inalámbricas (built-in and mPCI and mPCIe slots)

Una Palabra - Nombres comunes : OmniTIK, Groove, SXT, SEXTANT, Metal, LHG, DynaDish, cAP, wAP, LDF, DISC,
mANTBox, QRT, DynaDish, cAP, hAP, hEX . Si el board tiene cambios fundamentales en el hardware (como un CPU distinto)
se agregará revisión versión al final.

Nombre Excepcional - 600, 800, 1000, 1100, 1200, 2011, 3011 los boards son representantes independientes de la serie
o tienen más de 9 interfaces cableadas, por lo que el nombre se simplificó o fue el año del desarrollo.
Características
Las características siguen inmediatamente después del nombre de board excepto cuando el nombre
de board es una palabra, entonces son separados por un espacio.
Listado de características (ordenadas por uso):
U - USB
P – Power Injection with Controller
i – Single Port Power Injector without Controller
A – More Memory (and usually higher license level)
H – More Powerful CPU
G - Gigabit (may include "U","A","H", if not used with "L")
L – Light Edition
S – SFP Port (legacy usage - SwitchOS devices)
e – PCIe Interface Extension Card
x<N> - Where N is number of CPU cores ( x2, x16, x36 etc)
R - MiniPCI or MINIPCIe slot
Especificaciones Wireless
(Si el board tiene Wireless incluido)

<band><power_per_chain><protocol><number_of_chains>

Band
5 - 5Ghz
2 - 2.4Ghz
52 - dual band 5Ghz and 2.4Ghz

Power per Chain

(not used) - "Normal" - <23dBm at 6Mbps 802.11a; <24dBm at 6Mbps 802.11g
H - "High" - 23-24dBm at 6Mbps 802.11a; 24-27dBm at 6Mbps 802.11g
HP - "High Power" - 25-26dBm 6Mbps 802.11a; 28-29dBm at 6Mbps 802.11g
SHP - "Super High Power" - 27+dBm at 6Mbps 802.11a; 30+dBm at 6Mbps 802.11g

Protocol
(not used) - for cards with only 802.11a/b/g support
n - for cards with 802.11n support
ac - for cards with 802.11ac support
Connector Type
Number_of_chains
(not used) - only one connector option on the model
(not used) - single chain
MMCX - MMCX connector type
D - dual chain
u.FL - u.FL connector type
T - triple chain
Tipos de Enclosure:
Enclosure más específicos de algunos modelos:
(not used) - main type of enclosure for a product SA - sector antenna enclosure (for SXT)
BU - board unit (no enclosure) HG - high gain antenna enclosure (for SXT)
RM - rack-mount enclosure BB - Basebox enclosure (for RB911)
IN - indoor enclosure NB - NetBox? enclosure (for RB911)
EM - extended memory NM - NetMetal? enclosure (for RB911)
LM - light memory QRT - QRT enclosure (for RB911)
BE - black edition case SX - Sextant enclosure (for RB911,RB711)
TC - Tower (vertical) case PB - PowerBOX enclosure (for RB750P, RB950P)
OUT - outdoor enclosure PC - PassiveCooling enclosure (for CCR)
TC - Tower (vertical) Case enclosure (for hEX, hAP, home
routers.)
 CloudRouterSwitch
CloudCoreRouter
CloudSmartSwitch
Ejemplo

Descodificando el RB912UAG-5HPnD

RB (RouterBOARD)
912 - Serie 9 con 1 puerto ethernet y 2 interfaces wireless
UAG - Tiene puerto USB, más memoria y el puerto Ethernet es Gigabit
5HPnD - Tiene 5GHz y high power con soporte para 802.11, dual chain

Descodificando el RB2011UiAS-2HnD-IN

RB (RouterBOARD)
2011 – Nombre Excepcional Modelo
UiAS - Tiene puerto USB, mas memoria, PoE output, Slot para SFP normal
2HnD - Tiene 2GHz y high con soporte para 802.11, dual chain,
IN - Enclosure para sitios protegidos (indoor)
CloudCoreRouter
CloudCoreRouter (versión corta CCR):

<4 dígitos>-<listado de puertos>-<tipo de enclosure>

4 dígitos
1er dígito para la serie
2nd (reserved)
3er-4to dígito indica el número total de CPU cores del equipo

Listado de puertos
CCR1036-8G-2S+EM
-<n>G - número de puertos Gigabit Ethernet
-<n>C número de puertos combo Ethernet/SFP
-<n>S - número de puertos SFP
-<n>S+ - número de puertos SFP+

Tipo de enclosure - Igual que RouterBOARD .

CloudRouterSwitch and CloudSmartSwitch
CloudRouterSwitch (versión corta de CRS, RouterOS device)
CloudSmartSwitch (versión corta CSS, SwOS device)

<3 dígitos>-<listado de puertos>-<especificaciones Wireless>-<tipo de enclosure>

3 dígitos
1er dígito para la serie CRS125-24G-1S-2HnD-IN
2do - 3er diígito - número total de interfaces (Ethernet, SFP, SFP+)
Listado de Puertos
-<n>G - número de puertos Gigabit Ethernet
-<n>P - número de puertos Gigabit Ethernet con PoE-out
-<n>C - número de puertos combo Ethernet/SFP
-<n>S - número de puertos SFP
-<n>S+ - número de puertos SFP+

Especificaciones Wireless - Igual que RouterBOARD .

Enclosure type - Igual que RouterBOARD .
Winbox es una pequeña aplicación que nos permite la administración de Mikrotik RouterOS usando una
interfaz gráfica (existen dos opciones, mas una es por consola y otra por web, aconsejamos por Winbox) de
usuario fácil y simple. Es un binario Win32 nativo, pero se puede ejecutar en Linux y Mac OSX usando Wine
(Para los que usan Linux Wine es una aplicación que permite usar programas de windows en Linux).
Casi todas las funciones que podemos hacer por medio de la interfaz Winbox se pueden hacer por consola y
viceversa (se llama consola a la pantalla negra que aparece en windows).
Algunos de avanzada y configuraciones importantes del sistema que no son posibles de Winbox, como
cambio de dirección MAC de una interfaz.

Winbox puede ser descargado por dos vías, una indirectamente es por medio de la web de Mikrotik.

La otra opción es directamente de tu router Mikrotik:

Abra su navegador de internet, puede ser chrome, firefox, internet explorer y escriba la dirección IP del
router del Mikrotik. Se mostrará la página de bienvenida RouterOS. Haga clic en el enlace para descargar
winbox.exe

Corre por defecto en puerto TCP 8291

Botón Deshacer y Rehacer, esta opción es parecida a la que utilizamos en cualquier
situación, si llegamos a borrar o modificar una regla accidentalmente podemos utilizar
el botón "deshacer" para revertir el cambio realizado, tiene una buena memoria así que
podemos revertir los cambios de toda nuestra sesión en WinBox, del mismo modo con
el botón rehacer, salvo que este último hace todo lo contrario.

Botón Modo Seguro, esta función nos permite que si accidentalmente se aplica un
cambio y se cae nuestra sesión, deshace los cambios.
Se recomienda solo para cuando se realizan cambios críticos que involucren el acceso al
Mikrotik.
Barra de Título
Muestra información para identificar con la que se abre período de sesiones Winbox router.
De la imagen anterior podemos ver que el usuario es admin, el router tiene la dirección IP 172.16.99.1.
ID del router es Office-Blue1, versión RouterOS instalada actualmente es v6.40.04, RouterBoard es
RB951G-2HnD y la plataforma es mipsbe.

Barra de Herramientas Principal

Situado en la parte superior, donde los usuarios pueden añadir varios campos de información, como el
porcentaje de uso de la CPU, la cantidad libre de la memoria RAM, el tiempo que ha estado encendido el
Mikrotik.
Barra de menú de la izquierda
La lista de todos los menús y submenús.
Esta lista cambia dependiendo de qué
paquetes están instalados. Esta barra va Cada ventana secundaria tiene su propia
a ser de utilidad debido a que dentro de barra de herramientas. La mayoría de las
estos submenús encontramos opciones ventanas tienen el mismo conjunto de
que serán conocidos por nosotros, tales botones de la barra de herramientas:
como INTERFACES, BRIDGES, QUEUES,
FIREWALL, etc.
Contenido de los paquetes
Lcd: Soporte panel LCD.
Mpls:Soporte MPLS. Multicast: Soporte Multicast.
NTP: Server NTP.
RouterBoard: Funcionalidades de la BIOS de RouterBOARD.
Routing: Soporte protocolos de enrutamiento dinámico.
Security: Soporte IPSec, SSH, WinBox seguro.
UPS: Soporte UPS APC.
UserManager: Radius externo de MikroTik
Wireless: Soporte tarjetas inalámbricas.
System: Paquete básico del sistema operativo funcional.
PPP: Soporte para VPN del tipo PPP, PPPoE, L2TP, PPTP, etc.
DHCP: Cliente y Servidor de DHCP.
advance Tools: Ring, Netwatch, IP-Scan, Email, SMS VVOL, etc.
calea: paquete para control de conexiones (requerido en EEUU).
Dude: Servidor de monitoreo de redes.
GPS: Soporte para dispositivos de GPS.
HotSpot: Servidor de HotSpot.
IPv6: Soporte para I v6.
ISDN: Soporte para ISDN
Actualización a v7 Compatibilidad con la lista de características
Actualización a v7
Nuevas características
Niveles de Licencias

Tenemos 6 tipos de licencias cuyas principales diferencias se muestran en la tabla a continuación:

• Nivel 0 : Demo (24 Horas)
• Nivel 1 : Free (Muy limitada)
• Nivel 3 : Es una licencia solo para estaciones Wireless o WISP CPE (Cliente WiFi, cliente o CPE).
• Nivel 4 : WISP (Access Point)
• Nivel 5 : WISP (Más Capacidades)
• Nivel 6 : Ilimitada

Las licencias vienen con una capacidad

de upgrade de software ilimitado.

Nunca expiran.
Backup de las Configuraciones
Tipos de Backups: • Backup Binario • Comando Export

Archivo binario, que puede ser almacenada en el router o descargado a otro equipo. La opción restore (restauración) se puede
utilizar para recuperar la configuración del router cuando fue creado el archivo.

La opción export puede utilizarse para volcar la configuración Mikrotik RouterOS completa o parcial a la pantalla de la consola
o a un archivo de texto.

Backup Binario (de archivo)

• Realiza un respaldo completo del sistema
• Incluye contraseñas y usuarios
• Los archivos de backup serán guardados por defecto
en el mismo router
• Puede colocar contraseña al archivo
• Puede llevar encriptación

Export (cli pantalla)

• Exporta todos los comandos utilizados a la pantalla o hacia un archivo
• Puede exportar configuraciones parciales

Se recomienda que los archivos de backup se guarden en una PC o en una unidad Externa.
Demostracion 1
• DHCP

El protocolo de configuración dinámica de host (Dynamic Host Configuration Protocol,

también conocido por sus siglas de DHCP) es un servidor que usa protocolo de red de tipo
cliente/servidor en el que generalmente un servidor posee una lista de direcciones IP
dinámicas y las va asignando a los clientes conforme éstas van quedando libres, sabiendo en
todo momento quién ha estado en posesión de esa IP, cuánto tiempo la ha tenido y a quién
se la ha asignado después. Así los clientes de una red IP pueden conseguir sus parámetros de
configuración automáticamente.

El RouterOS MikroTik incluye ambas partes: Servidor / Cliente.

DHCP usa los puertos UDP 67 (Server) y 68 (Cliente).

DHCP es básicamente inseguro y debe ser usado en redes que se consideren confiables.

Nota : si usted tiene un ambiente en bridge, el servidor DHCP debe estar configurado en la
interfaz de bridge.
• DHCP
• DHCP

DHCP Server con Wizzard Setup

La interfaz que va ser configurada como DHCP- Server debe tener su propia dirección y al mismo tiempo esa
dirección no debe ser incluida en el pool de direcciones.
(pool es un rango de direcciones que estarán disponibles para los clientes)
En la ventana de DHCP-Server, se presiona el botón DHCP Setup y luego se sigue con los requisitos que se
piden:

1. Interfaz a la que va ser asignado el servidor DHCP

2. Dirección de red
3. Puerta de enlace
4. Pool de direcciones para los clientes DHCP
5. DNS servers (Se puede configurar más de uno)
6. Tiempo de asignaciones
• DHCP

Si el cliente lo soporta, se pueden configurar más opciones como:

42 NTP Servers
33 Static Route
69 SMTP-Server
70 POP3-Server

https://www.iana.org/assignments/bootp-dhcp-parameters/bootp-dhcp-parameters.xhtml
https://www.miniwebtool.com/ip-address-to-hex-converter/
• DHCP

Rogue DHCP Servers

Un servidor DHCP fraudulento es un servidor DHCP en una red que no está bajo el control administrativo
del personal de la red. Es un dispositivo de red como una PC o router conectado a la red por un usuario
que puede desconocer las consecuencias de sus acciones o, utilizarlo a sabiendas para ataques de red
como el hombre en el medio. Se ha descubierto que algunos tipos de virus informáticos o software
malicioso configuran un DHCP fraudulento
• DHCP

Asignación Estática
Configuración que asigna la misma dirección IP al
MacAddress y una vez con esta asignación se pueden
forzar algunas de las siguientes opciones:

• Lease Time: Tiempo de asignación

• Block Access: Limitar el acceso
• DHCP Options: Asignación de opciones de IANA
• Rate Limit: Asignar ancho de banda a través de
simple queues
• Address List: Agregar a una lista de IP’s
• DHCP

Sin Filtros

Con Filtros
Demostración 2
• Wireless
• Bridging
• VLans
• Ruteo Estático
Wireless
• WIRELESS

IEEE 802.11
El estándar IEEE 802.11 define el uso de los dos niveles inferiores de la arquitectura OSI (capas física y de
enlace de datos), las especificaciones de este estándar proporcionan la base para los productos con
redes inalámbricas que hacen uso de la marca Wi-Fi.
Los equipos El MikroTik RouterOS pueden operar en 5GHz (802.11a/n/ac) y 2.4GHz (802.11b/g/n)
802.11b/g
• 2.4GHz, Ancho de Banda 22MHz, 54Mbps
• Rango de Frecuencia en Canales 1, 6 y 11 no se sobreponen o no se produce el efecto de overlapping
• WIRELESS

Los países aplican sus propias regulaciones a

los canales permitidos, usuarios permitidos y
niveles de potencia máxima dentro de estos
rangos de frecuencia.

Los operadores de red deben consultar a sus

autoridades locales, ya que estas regulaciones
pueden estar desactualizadas ya que están
sujetas a cambios en cualquier momento. La
mayor parte del mundo permitirá los primeros
trece canales en el espectro no se produce el
efecto de overlapping.
• WIRELESS

Estándar 802.11a
El estándar 802.11a utiliza el mismo juego de protocolos de base que el
estándar original, opera en la banda de 5 GHz y utiliza la multiplexación
por división de frecuencias (OFDM) con una velocidad máxima de 54
Mbit/s, lo que lo hace un estándar práctico para redes inalámbricas con
velocidades reales de aproximadamente 20 Mbit/s.
La velocidad de datos se reduce a 48, 36, 24, 18, 12, 9 o 6 Mbit/s. El
estándar 802.11a tiene 12 canales que no se sobreponen, 8 para red
inalámbrica
y 4 para conexiones punto a punto. No puede interoperar con equipos
del estándar 802.11b, excepto si se dispone de equipos que
implementen ambos estándares.
• WIRELESS

Basic-rates / Supported-rates
• Basic-rates: son las tasas de velocidad mínima que un cliente debería soportar al momento de
conectarse a un AP.
Para que haya comunicación entre el AP y el cliente, ambos deberán tener el mismo Basic-rate.
• supported-rates: estas son las tasas de velocidad que un cliente puede llegar o soportar.
• Los data-rates son soportados según el estándar usado como tenemos a continuación:
• 802.11b : 1 a 11Mbps
• 802.11a/g : 6 a 54Mbps
• 802.11n : 6 a 300Mbps, dependiendo de factores como el canal, ancho de banda (20 o 40 MHz), y el
número de salidas o antenas (MikroTik las conoce como CHAINS)
• 802.ac: 433 Mbit/s por flujo de datos, consiguiendo teóricamente tasas de 1.3 Gbit/s

HT chains
• Hace referencia a una antena de radio
• Son usados para el protocolo 802.11n y es un factor de rendimiento configurable.
• WIRELESS

Modo de Frecuencia (frequency-mode)

Esta opción nos permitirá elegir el modo en el cual nuestro router va a
trabajar, respetando las siguientes limitaciones:
• Regulatory-domain: Esta sección limita los canales usados y la
potencia de TX, basado en las regulaciones de cada país o del estándar.
• Manual-TXpower: Igual que el anterior pero sin la restricción de
potencia de TX.
• Superchannel: Ignorará todas las restricciones.
• Country: Frecuencias y potencias de TX, limitados y regulados por
cada país. Usando el parámetro no-countryset, se podría configurar los
parámetros de frecuencia y potencia según canales aprobados por la
FCC.
Simple Advance
• WIRELESS

Manejo de Interconexión
Default-fowarding:
Habilita comunicación entre los clientes conectados a
un AP
Default-authentication:
AP: Si está habilitado sólo los clientes que se podrán
conectar son los que están definidos en acces-list
Station: Si está habilitado sólo se podrá registrar a los
AP definidos en connect-list
• WIRELESS

Access List
Se puede configurar parámetros específicos para cada cliente.
• WIRELESS

Connect List
Se puede permitir o negar conexión a clientes a AP’s específicos.
• WIRELESS
Tabla de Registro
• WIRELESS

CCQ – Coeficiente de Calidad del Cliente

CCQ = Client Connection Quality (Calidad de Conexión de un Cliente). Indica que tan bueno es el
enlace en base a la retrasmisión de frames.

100% = no hay retransmisiones

La relación señal/ruido o S/R (Signal to Noise Ratio, abreviado SNR o S/N) se define como la
proporción existente entre la potencia de la señal que se transmite y la potencia del ruido que la
corrompe.
• WIRELESS

Modos de la Interface Wireless

Station (cliente):
NO puede estar dentro de un bridge, los puertos Ethernet y Wireless son independientes.

Station-Bridge:
Cliente RouterOS hace el bridge.

Bridge:
AP permite un solo registro.

AP-Bridge:
Modo AP.

Station-Pseudobridge:
Igual que station pero realiza un filtrado de MacAddress.

Los dispositivo con licencia L3 no pueden estar en modo AP-Bridge

• WIRELESS

MikroTik Nv2
Protocolo propietario. Este protocolo
esta basado en TDMA (Time Division
Multiple Access) lo que le permite
abarcar más estaciones en lugar de
CSMA (Carrier Sense Multiple Access)
Se utiliza para mejorar el rendimiento a
través de largas distancias (Nstreme
Version 2)

Disponible deade RouterOS v5

Mayor control sobre latencia
Soporta QoS

Los dispositivos con licencia L3 no pueden estar en modo AP-Bridge.

Demostración 3
• BRIDGE

Por defecto, en los routers MikroTik los puertos Ethernet están asociados (esclavos)
a un puerto maestro.
Ventajas:
• No necesita configuración previa.
• Conmutación rápida (a través de chip switch, no en software)
Desventajas:
• No hay visibilidad del tráfico de los puertos de esclavos. No conviene si se utiliza
SNMP para monitorear el uso de puertos.
• No se limita el número de reenvíos mediante broadcast
• Difícilmente escalable para redes muy grandes
• El procesado y almacenamiento de datos introduce retardos

Mediante la eliminación de configuración maestro (master) y esclavo (slave), se

debe utilizar una interfaz bridge para vincular a los puertos requeridos en una sola
LAN.
Ventajas:
• Completa visibilidad de todas las estadísticas de puerto de los puerto involucrados.
Desventajas:
• La función de switch se hace a través de software, por lo que provee una velocidad
de transferencia de paquetes menos óptima.

Desde la versión 6.41

La topología de Master Slave desaparece y en su lugar se maneja todo con Bridge.
Si los dispositivos cuentan con Chip Switch se habilita la función de hardware offloading.
• BRIDGE

Para combinar un número de redes en

un bridge, se debe crear una interfaz
de bridge (más adelante, todas las
interfaces deseadas se deben
configurar como sus puertos).

Se asignará una dirección MAC a todas

las interfaces puenteadas (la dirección
MAC del primer puerto puente que se
selecciona se seleccionará
automáticamente).
• BRIDGE

Bridge Host Monitoring

En la opción de Hosts se puede ver la
MacAddress de los equipos y averiguar
el puerto del bridge.

/interface bridge host print

• VLANS

RouterOS admite hasta 4095 interfaces VLAN,

cada una con una ID de VLAN única, por
interfaz. Las prioridades de VLAN también se
pueden usar y manipular.

Cuando la VLAN se extiende sobre más de un

switch, el enlace entre switches debe
convertirse en un "enlace troncal", donde los
paquetes se etiquetan para indicar a que red
VLAN pertenecen. Un trunk lleva el tráfico de
múltiples VLAN; es como un enlace punto a
punto que transporta paquetes etiquetados
entre switches o entre un switch y un router.
• VLANS
Demostración 4
• Routing

El ruteo (routing) es un proceso en la capa 3 del modelo

OSI. El ruteo define por donde va a ser enviado el
tráfico y son necesarias diferentes subredes para que
puedan comunicarse entre sí.
Métrica de la Red
Puede ser, por ejemplo, el número de saltos necesarios para ir de
un nodo a otro.
Aunque ésta no es una métrica óptima ya que supone el valor 1
para todos los enlaces, es sencilla y suele ofrecer buenos resultados.
Otro tipo de métrica es la medición del retardo de tránsito entre
nodos vecinos, en la que la métrica se expresa en unidades de
tiempo y sus valores no son constantes sino que dependen del
tráfico de la red.
• Routing

Etiquetas de Rutas
• Etiqueta (Flag) Descripción.
• Disabled (X) Regla de ruteo está deshabilitada.
• Active (A) Ruta se utiliza para el reenvió de paquetes. Denota una ruta activa.
• Dynamic (D) Regla de ruteo creada automáticamente por el software y no puede ser modificado directamente.
• Connect (C) Ruta conectada. Se genera cuando se configura una dirección IP en una interface activa.
• Static (S) Ruta estática. Ruta creada por el usuario de manera fija. Este método forzará el envío de paquetes a
través de un Gateway definido por el administrador.
• RIP (r) Ruta RIP (Routing Information Protocol)
• BGP (b) Ruta BGP (Border Gateway Protocol)
• OSPF (o) Ruta OSPF (Open Shortest Path First)
• MME(m) Ruta MME (Mesh Made Easy)
• Blackhole (B) Descarta silenciosamente el paquete reenviado por esta ruta.
• Unreachable (U) Descartar los paquetes reenviados por esta ruta. Se notifica al originador del paquete por medio
de un mensaje ICMP host unreachable (tipo 3, código 1).
• Prohibit (P) Descartar los paquetes reenviados por esta ruta. Se notifica al originador del paquete por medio de un
mensaje ICMP Communication Administratively Prohibited (tipo3, código 13).
• Routing
Etiquetas de Rutas
• Routing

Propiedades generales
• Check-gateway (arp | ping; Default: "").- Periódicamente (cada 10 segundos) se chequea el gateway enviando ya sea
un ICMP Echo Request (ping) o un ARP request (arp). Si no se recibe respuesta del gateway en 10 segundos, se
solicita un tiempo de espera (request times out). Después de dos timeouts el gateway se considera inalcanzable
(unreachable).- Después de recibir una respuesta del gateway se considera alcanzable (reachable) y el contador de
timeout se resetea.
• Comment (string; Default: "").- Es la descripción
• Distance (integer[1..255]; Default: "1").- Valor usado en la selección de ruta. Las rutas con valores de distancia
más pequeños tendrán preferencia.
• Connected Routes: 0 (rutas conectadas)
• Static Routes: 1 (rutas estáticas)
• eBGP: 20
• OSPF: 110
• RIP: 120
• MME: 130
• iBGP: 200
• dst-address (IP prefix; Default: 0.0.0.0/0).- Prefijo IP de la ruta, especifica las direcciones destino para la que esta ruta
puede ser utilizada.
• Routing

La parte netmask de esta propiedad especifica cuántos de los bits más significantes en la dirección del
paquete destino deben coincidir con este valor.
Si existen varias rutas activas que coinciden con la dirección destino del paquete, entonces se utilizará la
más específica.
• Gateway (IP | interface | Arreglo de direcciones IP o nombres de interface. Especifica a que host o
interface deberían ser enviados los paquetes.
• Pref-src (IP; Default: "").- Cuál de las direcciones IP locales se utilizará para los paquetes originados
localmente que son enviados a través de esta ruta. El valor de esta propiedad no tiene efecto en los
paquetes reenviados. Si el valor de esta propiedad se configura con una dirección IP que no es la
dirección local de este router, entonces la ruta se volverá inactiva. Si no se configura el valor pref-src,
entonces para los paquetes originados localmente que son enviados usando esta ruta, el router elegirá
una dirección local anexada a la interface de salida que coincidacon el prefijo destino de la ruta.
• Routing

Propiedades Generales
•route-tag (integer; Default: "").- Valor del atributo la etiqueta de ruta para RIP u OSPF. Para RIP los únicos valores válidos son
0..4294967295
• routing-mark (string; Default: "").- Nombre de la tabla de ruteo que contiene esta ruta. No se configura por default porque es el mismo
que la tabla principal de ruteo. Los paquetes que son marcados por el firewall con este valor de routing-mark serán ruteados usando las
rutas de esta tabla, a menos que sean anulados por las reglas de políticas de ruteo. No se puede usar más de 250 routing-mark por
router.
• scope (integer[0..255]; Default: "30").- Usado en la resolución del nexthop. La ruta puede resolver el nexthop únicamente a través de
las rutas que tienen scope menor o igual al target-scope de esta ruta. El valor por default depende del protocolo de ruteo:
connected routes: 10 (si la interface está corriendo)
• OSPF, RIP, MME routes: 20
• Static routes: 30
• BGP routes: 40
• Connected routes: 200 (si la interface NO está corriendo)
• Target-scope (integer[0..255]; Default: "10").- Utilizado en la resolución del nexthop. Este es el valor máximo de scope para una ruta
a través del cual un nexthop de esta ruta puede ser resuelto.
• type (unicast | blackhole | prohibit | unreachable; Default: unicast).- Rutas que no especifican nexthop para los paquetes, pero que el
cambio desarrollan alguna otra acción en los paquetes que tienen un tipo diferente del usual unicast.
o blackhole – esta ruta descarta silenciosamente los paquetes
o unreachable – envía el mensaje ICMP Destination Unreachable (código 1) a la dirección origen del paquete
o prohibit – envía el mensaje ICMP Destination Unreachable (código 13) a la dirección origen del paquete
• Routing

Ventajas del Enrutamiento Estático

• Hace más sencilla la configuración en redes pequeñas que lo más probable es que no crezca.
• Limita el uso de recursos del router (memoria, CPU).
• El administrador podrá entender fácilmente la configuración cuando la red no es compleja.

Limitantes del Enrutamiento Estático

• La configuración es prolongada.
• Requiere configuraciones manuales para poder alcanzar nuevas redes.
• La configuración es propensa a errores, especialmente en redes extensas.
• El mantenimiento se torna cada vez más complicado, en lo que respecta al tema de escalabilidad.
• Requiere un conocimiento completo de toda la red para una correcta implementación
• Routing
• Routing

Una tabla de enrutamiento es una tabla de datos almacenada en un enrutador

que enumera las rutas a determinados destinos de red y, en algunos casos, las
métricas asociadas con esas rutas.
• Routing

La ruta 0.0.0.0/0 es conocida como la ruta por defecto. Es el destino a donde

se enviará todo el tráfico a subredes desconocidas.
Puede ser una ruta estática o creada automáticamente.
Demostración 5
• Firewall
• Simple Queues
• RouterOS Tools
• Firewall

Un firewall es un dispositivo o sistema de seguridad de red que permite (en base a un conjunto
de reglas) controlar el tráfico que ingresa y sale a la red.
Generalmente un firewall crea una barrera entre una red que se considera segura (LAN) y otra
red que se asume no es segura (comúnmente WAN, y/o Internet). El firewall filtra el tráfico
entre dos o más redes.
• Firewall

El firewall MikroTik protege al equipo frente a ataques de Internet, análisis de puertos y otros
comportamientos de naturaleza sospechosa.
• El Firewall implementa filtrado de paquetes Filtros que son usados para administrar los datos que
fluyen hacia, desde y a través del router:
• Por medio del NAT (Network Address Translation) se previene el acceso no-autorizado a las redes
conectadas directamente y al router en sí mismo. Y también sirve como un filtro para el tráfico de
salida.
• RouterOS funciona como un Stateful Firewall, lo cual significa que desarrolla una inspección del estado
de los paquetes y realiza el seguimiento del estado de las conexiones de red que viajan a través del
router.
RouterOS también soporta:
• Source y Destination NAT
• NAT
• Helpers para las aplicaciones populares (NAT transversal)
• UPnP (Universal Plug and Play)
• El firewall provee marcado interno de conexiones, Routing y paquetes.
• Firewall

RouterOS puede filtrar por:

• Dirección IP, rango de direcciones, puerto, rango de puertos
• Protocolo IP, DSCP y otros parámetros
• Soporta listas de direcciones estáticas y dinámicas
• Puede hacer match de paquetes por patrón en su contenido, especificado en expresiones
regulares, conocido como Layer 7 Matching (consumo alto de CPU)
El Firewall de RouterOS también soporta IPv6.
• Firewall

El Firewall opera usando reglas. Esta tiene 2 opciones básicas:

• The Matcher : Todas las condiciones tienes que ser verificadas y deben coincidir.
• The Action : Una vez que todos los parámetros coinciden y pasa la primera verificación, se procede
con la acción.
• Firewall

Connection Tracking
• Administra la información de las conexiones activas.
Es el corazón del Firewall se habilita utomáticamente
cuando se crea la primera regla.
/ip firewall connection
Al desactivarlo se pierden los siguientes features:
NAT firewall:
connection-bytes
connection-mark
connection-type
connection-state
connection-limit
connection-rate
layer7-protocol
p2p
new-connection-mark
tarpit
p2p matching in simple queues
• Firewall

Un Chain:
Es una agrupación de reglas basado en los mismos criterios. Hay tres cadenas predeterminadas en
función de criterios predefinidos.
• input: El tráfico que va hacia el router
• forward: El tráfico que va a través del router
• output: El tráfico sale del router
• Firewall

Una vez realizado el match con todos los parámetros de una regla y estos coinciden, entonces se realizará una acción.
El firewall de MikroTik tiene las siguientes acciones:
• accept: Acepte el paquete.
• add-dst-to-address-list: dirección destino
• add-src-to-address-list: dirección origen.
• drop: el paquete es desechado.
• jump: jump es definido por el usuario y sirve para saltar a una regla en
específico, definido por el jump-target.
Después de hacer match el paquete pasa a la siguiente regla definida en
jump-target.
• log: añade un mensaje en los
• passthrough: si esta opción está marcada, habilitará la opción de ignorar
esta regla y pasar a la siguiente (muy útil para estadísticas de red).
• reject: desecha los paquetes y envía un mensaje definido por el usuario
• return: pasa el control del filtro de nuevo, en donde se originó el filtro
anterior. Después de hacer match el paquete pasa a la siguiente regla
(únicamente si la regla anterior no ocasiona que se deseche el paquete y
pare el match).
• tarpit: captura y retiene los paquetes TCP (réplicas con SYN/ACK para
paquetes entrantes TCP SYN).
• Firewall

MikroTik Reglas de Oro (reglas por default)

Asumiendo que la interfaz ether1 está conectada a una WAN hacia Internet.
• Aceptar el tráfico de icmp-echo-reply (Input)
• Aceptar todo el tráfico entrante establecido y relacionado. (Foward)
• Desechar todo el tráfico inválido. (Foward)
• Desechar todo el resto de tráfico hacia el (Input).
• Firewall

• address-list : Se usa para agrupar direcciones IP. Ayuda a simplificar la cantidad de reglas creadas
en el router.

Pueden ser usados por Filter, Mangle, y NAT. La creación puede realizarse de manera automática con la
acción de firewall:

add-src-to-address-list o add-dst-to-address-list.
Con esto se facilita aplicar acciones a un listado
Con timeout podemos gestionar cuanto tiempo después la dirección se eliminará de la lista de
direcciones. Si no se especifica el tiempo de espera, la dirección se almacenará en la lista de direcciones
de forma permanente.

/ip firewall address-list print

• Firewall

NAT: (Network Address Translation) La Traducción de direcciones de red es un estándar de

Internet que permite a los hosts en redes de área local usar un conjunto de direcciones IP para
comunicaciones internas y otro conjunto de direcciones IP para comunicaciones externas. Una LAN
que usa NAT se conoce como red natted . Para que NAT funcione, debe haber una puerta de enlace
NAT en cada red natted. La puerta de enlace NAT (enrutador NAT) realiza la reescritura de la
dirección IP en la forma en que un paquete viaja desde / a la LAN.

Hay dos tipos de NAT:

NAT de Origen (srcnat). Este tipo de NAT se realiza en paquetes que se originan a partir de
una red natted. El MikroTik reemplaza la dirección de origen privada de un paquete IP con una
nueva dirección IP pública a medida que viaja a través de el.
NAT destino (dstnat). Este tipo de NAT se realiza en paquetes que están destinados a la red
natted. Es más comúnmente utilizado para hacer que los hosts en una red privada sean accesibles
desde Internet. El MikroTik que realiza dstnat reemplaza la dirección IP de destino de un paquete
IP a medida que viaja a través de el hacia una red privada.
• Firewall

Los hosts detrás de un Mikrotik habilitado con NAT no tienen una conectividad de extremo a extremo verdadera. Por lo
tanto, algunos protocolos de Internet podrían no funcionar en escenarios con NAT. Los servicios que requieren el inicio
de una conexión TCP desde fuera de la red privada o protocolos sin estado como UDP pueden verse afectados. Además,
algunos protocolos son inherentemente incompatibles con NAT.

Para superar estas limitaciones, RouterOS incluye una serie de los denominados NAT helpers, que permiten NAT
transversal para varios protocolos.
• Firewall

Las reglas de NAT tienen algunas propiedades y acciones:

1. action=masquerade : reemplaza la dirección IP origen en paquetes por otra IP determinada

(no permite modificar la IP , es utilizada cuando la IP a utilizar puede ser dinámica).
2. chain=src-nat : permite realizar cambios en dirección IP y puerto origen de los paquetes a unos
especificados por el administrador de la red.
3. action=dst-nat: es una acción usada en chain=dstnat para re direccionar el tráfico entrante hacia una
IP diferente o puerto.
4. action=redirect: cambia el puerto destino del tráfico hacia un puerto del propio router.
Ejemplo: todo tráfico http va a ser reenviado al web proxy del router por TCP puerto 8080.
Este concepto en otros dispositivos se lo conoce como port-forwarding.
• Firewall

La tabla RAW de Firewall permite pasar o eliminar paquetes de forma selectiva antes que connection
tracking, reduciendo significativamente la carga en la CPU. La herramienta es muy útil para la mitigación
de ataques de DOS.
La tabla RAW no tiene coincidencias que dependen de connection tracking (como connection-state,
layer7 etc.).
Si el paquete está marcado para bypass de connection tracking, no se producirá la des-fragmentación
del paquete.
Es un buen lugar para eliminar paquetes de una lista negra, porque al hacerlo en formato raw evita que
los intentos de conexión obstruyan la tabla de connection tracking.
• Simple Queues

Las colas se utilizan para limitar y priorizar el tráfico:

• Límite la velocidad de datos para ciertas direcciones IP, subredes, protocolos, puertos y otros parámetros
• Límite tráfico punto a punto
• Priorizar algunos flujos de paquetes sobre los demás
• Configurar ráfagas de tráfico (burst)
• Aplicar diferentes límites en base al tiempo
• Dividir el tráfico entre los usuarios por igual o dependiendo de la carga del canal
La implementación de cola en MikroTik RouterOS se basa en Hierarchical Token Bucket (HTB).
HTB permite crear la estructura jerárquica de colas y determinar las relaciones entre las colas.
• Simple Queues

Hay dos maneras diferentes de cómo configurar Queues :

• queue-simple: diseñado para facilitar la configuración de las tareas de gestión de colas simples y
cotidianas (limitaciones básicas de upload/download).
• queue-tree: para la implementación de las tareas de gestión de colas avanzadas (como la política de
priorización global, limitaciones de grupos de usuarios). Requiere paquete marcado fluye desde /ip
firewall mangle.
• Simple Queues

Target
Es el objetivo al que se aplica la cola sencilla, se debe
introducir un objetivo que puede ser:
• Una dirección IP
• Una subred
• Una interface

DST
• La dirección IP donde el tráfico del target está dirigido.
• Interfaz a través del cual el tráfico del target fluirá.
• No es obligatorio que el campo "target"
• Puede ser utilizado para limitar la restricción de la cola
• Simple Queues

• limit-at = CIR (tasa de información comprometida) CIR (Committed Information Rate)

Ancho de banda comprometido a entregar.

• max-limit = MIR (máxima velocidad de información) MIR (Maximum Information Rate)

Ancho de banda máximo asignable.
• Simple Queues
• Simple Queues

Burst (ráfaga)
Es una característica que permite satisfacer el requisito de cola para ancho de banda adicional, incluso si
el ancho de banda requerido es más grande que el max-limit durante un período de tiempo limitado.
Parámetros del Burst:
1. Burst Limit: Velocidad máxima de datos al tiempo que se permite la ráfaga.
2. Burst-threshold: Umbral mínimo del promedio que tiene que llegar para aplicar.
3. Burst-time: período de tiempo, en segundos, durante el cual se calcula la velocidad de datos promedio.
(no es el tiempo en segundos que dura la ráfaga.)
• Simple Queues
• Simple Queues

Los íconos de cola cambian de color de acuerdo al uso.

El color tiene el siguiente significado:
• Verde: 0 – 50% de ancho de banda disponible
• Amarillo: 51 – 75% de ancho de banda disponible
• Red: 76 – 100% de ancho de banda disponible
• Simple Queues

Los simple Queues pueden ser condicionados para que se apliquen en condiciones de tiempo:
Demostración 6
• Tools
MikroTik Torch es una herramienta de monitoreo de tráfico en tiempo real que se puede usar para
monitorear el flujo de tráfico a través de una interfaz.

Puede monitorear el tráfico clasificado por:

dirección de origen (IPv4 e IPv6);

dirección de destino (IPv4 e IPv6);
Puerto;
protocolo;
protocolo mac;
ID de VLAN;
dirección MAC;
DSCP;
• Tools

IP Scan
La herramienta IP Scan permite a un usuario escanear redes en función de
algún prefijo de red o configurando una interfaz para escuchar. De cualquier
manera, la herramienta recopila ciertos datos de la red:

dirección: dirección IP del dispositivo de red;

mac-address: dirección MAC del dispositivo de red;
tiempo - tiempo de respuesta del dispositivo de red visto cuando se
encuentra;
DNS: nombre DNS de un dispositivo de red;
SNMP: nombre SNMP del dispositivo;
NET-BIOS: nombre de NET-BIOS del dispositivo si lo anuncia el dispositivo;

Al usar la herramienta de escaneo de IP, el usuario debe elegir qué desea

escanear:

cierto prefijo IPv4: la herramienta intentará escanear todas las direcciones

IP o las direcciones configuradas;
la interfaz del enrutador: la herramienta intentará escuchar los paquetes
que "pasan" e intentará compilar los resultados cuando encuentre algo;
• Tools
Profiler
La herramienta de generación de perfiles muestra el uso de la CPU para cada
proceso que se ejecuta en RouterOS. Ayuda a identificar qué proceso está
utilizando la mayoría de los recursos de la CPU.

Clasifica los procesos en varios clasificadores. La mayoría de ellos se explican

por sí mismos y no requieren una explicación detallada.
• Examen

En sitio de MikroTik ingresar con su usuario

Ingresar llave recibida por correo elegido
• Examen