1

¿QUE ES MIKROTIK?

Mikrotik es la solución completa a cualquier escenario de red.

Mikrotik es un fabricante de hardware y software de routers. Usado mundialmente en millones
de redes de todas las escalas. Esta empresa se fundó en 1995 en Latvia al norte de Europa y ya
cuenta con varios miles de técnicos en todo el mundo brindando el apoyo a la marca.

Una característica para destacar de Mikrotik es su sistema operativo o RouterOS; es un

sistema operativo stand-alone basado en el kernel de Linux2.6, de gran potencia y capaz de
ejecutar cualquier configuración de red, las configuraciones más populares son:

•Firewall
•Routing
•Forwarding
•MPLS
•VPN
•Wireless
•HotSpot
•Calidad de Servicio (QoS)
•Web Proxy
Las funciones del RouterOS dependen de la licencia con la que cuente el dispositivo, todos los
dispositivos Mikrotik cuentan con una licencia de uso; Lista de licencias y configuraciones
permitidas:
RouterOS puede instalarse en PCs y otros dispositivos de hardware compatibles x86, como
tarjetas embebidas y sistemas miniITX. Se puede ejecutar en los motherboards Intel más
recientes y aprovechar los nuevos CPUs multicore.

2
Los dispositivos Mikrotik se pueden configurar en capa 2 o capa 3 por medio de la herramienta
propietaria WINBOX, o por medio de los métodos tradicionales como lo son CLI; consola, telnet,
MAC telnet, ssh, ftp y web.
Mikrotik también desarrolla su propio hardware que cumple con los requerimientos más
básicos para brindar soluciones al hogar y routers con requerimientos muy altos, capaces de
mover millones de paquetes por segundo para satisfacer la alta demanda de empresas o
proveedores de internet ISP, WISP.
MikroTik fabrica tecnología para internet más rápida, potente y de un costo adecuado para
un amplio rango de usuarios.
Algunos de los equipos que produce Mikrotik son: 

•Routers para el hogar y la empresa.

•Switches para el hogar y la empresa.

•Soluciones Wi-Fi para el hogar y la empresa.

•Soluciones de comunicación inalámbrica de larga distancia para Punto a Punto y redes

muntipunto.

•Routers y switches para Fibra Óptica y accesorios.

Conceptos Generales de WINBOX

Winbox es una pequeña aplicación que nos permite la administración de Mikrotik RouterOS
usando una interfaz gráfica.
Incluye una sofisticada tecnología para realizar estas conexiones basada en el sistema
operativo RouterOS.
Este software permite a sus usuarios realizar conexiones vía FTP, telnet y SSH. Incluye también
una API que permite crear aplicaciones personalizadas para monitorizar y administrar. Aquí
podrás conocer algunos conceptos generales…
Pasos para descargar Winbox, hay 2 formas de hacerlo:
La primera opción es de forma indirecta por medio de la Página Oficial de Mikrotik  
La otra opción es directamente de tu router Mikrotik
Abres el navegador de Internet de tu preferencia y escribes la dirección IP del Router del
Mikrotik.

3
Se mostrará la página de bienvenida RouterOS. Haz clic en el enlace para descargar Winbox.exe
Cuando Winbox haya sido descargado, haz doble clic en él y la ventana de Winbox aparecerá.

Instrucciones necesarias para conectarte al Mikrotik:

Introduce la dirección IP del Mikrotik o la MAC de este (Recomiendo utilizar preferiblemente la
dirección IP porque cuando inicias sesión por MAC la ventana se cierra de forma inesperada) 
Especifica el nombre de usuario y contraseña si lo tienes (Si es un equipo nuevo no tiene
Password, lo debes dejar en blanco)
Haz clic en el botón Conectar. 

Pasos para Buscar otros Mikrotik en la Red:

Debes hacer clic en el botón […]:
Aparecerá la lista de Mikrotik descubiertos
Para conectarte a alguno de ellos simplemente haz click en la dirección IP (Si haces click en la IP
asegúrate de que este dentro del rango, en el caso que no sea así haz click en la MAC) 
Nota: Recuerda que también aparecerán los dispositivos que no son compatibles con Winbox,
como routers Cisco o cualquier otro dispositivo que utiliza CDP (Cisco Discovery Protocol)

HERRAMIENTAS DE MIKROTIK

FLOOD PING

4
CARACTERÍSTICAS

Como su propio nombre indica, esta herramienta de MikroTik RouterOS te permite

“inundar” con pings a un dispositivo para poder diagnosticar fallos en la conectividad.
Puedes enviar hasta 1000 peticiones ICMP a un destino específico y deberías recibir
los mismos paquetes que envías.

BENEFICIOS

Ayuda a resolver problemas en la red por ejemplo si existen discrepancias entre el

número de paquetes enviados y recibidos o el RTT es elevado, puede ser un incido
de problemas en la red.

CONFIGURACION

Los parámetros para configurar son los siguientes:

 Ping To: dirección IP de destino

 Packet Count: número de paquetes a enviar

 Packet Size: tamaño de los paquetes a enviar

 Timeout: tiempo de espera en ms a esperar antes de dar un paquete enviado

y no recibido como perdido.

TRACERT ROUTE

5
Traceroute es una herramienta de diagnóstico de redes. Esta herramienta permite
determinar la ruta efectuada por un paquete. El comando Traceroute se puede usar
para diagramar un mapa de los routers que se encontraron entre la máquina fuente y
la máquina destino. El comando Traceroute difiere según cada sistema operativo.

BENEFICIOS:

nos puede ser muy útil para averiguar si hay algún problema en el camino hacia un
equipo de la red interna, externa o sitio web. Imaginemos que queréis entrar en
nuestro sitio web www.google.com, y no os carga la web. Aparte de realizar por
ejemplo un PING hacia la red de google, podemos ejecutar también el comando
Tracert para averiguar si la comunicación hacia el host de destino se pierde o
interrumpe en algún punto del camino. Gracias a estos resultados, podemos
averiguar en qué punto ocurre el problema e incluso avisar para que solucionen el
problema en dicho router, o si es a nivel de red interna poder solucionarlo.

Tenemos las siguientes opciones (parámetros):

 Traceroute To: La dirección IP del host al que está rastreando la ruta.

 Packet Size: Tamaño de paquete en bytes.

 Timeout: Tiempo de espera de respuesta, es decir, demora entre mensajes

 Protocol: (UDP | ICMP) - tipo de protocolo a utilizar. Si uno falla (por ejemplo,
está bloqueado por un firewall), intente con el otro.

 Port: (entero: 0..65535) - número de puerto UDP.

 -Use DNS: (sí | no; predeterminado: no): especifica si se debe usar el servidor
DNS para resolver dominio, que se puede configurar en el menú / ip dns
 Count: Numero de paquetes a enviar por cada ruta.

 Max Hops: Máximo número de saltos a través del cual se puede llegar al
paquete, ejemplo si tenemos que pasar por 5 rutas y seleccionamos un
numero 3 solo pasaremos por las primeras 3 rutas como maximo sera hasta
dónde puede llegar el paquete.
 Src Address: Cambie la dirección de origen del paquete.

 Interface: Interface desde la cual empezara la ruta.

6
  DSCP: Establecer un valor para simular el tipo de servicio.

 Routing Table: Marcar una ruta a seguir especifica.

En este ejemplo hacemos un tracerrout a la ip de google

PING SPEED

Ping speed es una herramienta que nos ayuda a medir la velocidad de los paquetes
que se están enviando a un destino en particular

BENEFICIOS

Analizar el ancho de banda y velocidad de nuestra red.

 Ping To: dirección IP de destino

7
  Small Packet Size tamaño del paquete minimo que queremos analizar

 Big Packet Size tamaño del paquete maximo que queremos analizar

CONFIGURACIÓN.

Vamos a la pestaña Tools

Ping speed Y llenamos los campos indicados

IP SCAN

Esta herramienta de MikroTik RouterOS te permite escanear un rango de IPs para

buscar dispositivos cuya IP desconoces

BENEFICIOS

Si queremos saber cuántos equipos están conectados en nuestra red y buscar

aquellas ip que desconozcamos esta herramienta nos ayudara muchicimo.

CONFIGURACIÓN

 Interface: debes elegir la interfaz donde realizar la búsqueda. Por defecto

buscará en todas las interfaces.
 Address Range: rango de direcciones IP a buscar.

 Pulsa Start y comenzará a devolver resultados en caso de encontrar

dispositivos.

8
 BANDWIDTH TEST

Bandwidth test es una utilidad que permite medir la capacidad de tráfico existente
entre dos equipos Mikrotik.

BENEFICIOS

Conocer la capacidad de tus enlaces es algo sumamente útil a la hora de definir tus
políticas de gestión de ancho de banda y esta herramienta de MikroTik RouterOS te
permite ver cómo de saturada está tu red.

CONFIGURACION:

 Test to: aquí debes especificar la dirección IP del equipo de destino.

 Protocol: elegir si deseas realizar el test con tráfico TCP o UDP.

 Direction: definir si quieres hacer el test en la recepción (receive), transmisión

(transmit) o en ambos sentidos (both). Esta opción es bastante útil para
detectar en qué extremo de un radioenlace inalámbrico está esa posible
interferencia que hace que tus clientes se quejen de un mal funcionamiento.
9
  Local Tx Speed: límite de velocidad a la que transmitir al extremo opuesto(Ej.
10M)
 Remote Tx Speed: límite de velocidad a la que el extremo opuesto te
transmitirá (Ej. 10M)
 User: usuario del equipo opuesto.

 Password: contraseña del equipo opuesto.

Una vez rellenos los campos, debes pulsar en Start y te mostrará una gráfica con los
valores instantáneos, los paquetes perdidos, etc.

10
 MANGLE (MARCADORES)

CARACTERÍSTICAS

Mangle es una especie de "marcador" que marca los paquetes para su

procesamiento futuro con marcas especiales.

BENEFICIOS

La función de mangle es que se utiliza para modificar algunos campos en el

encabezado IP, como los campos TOS (DSCP) y TTL.

USOS

Identifican un paquete en función de su marca y lo procesan en consecuencia. Las

marcas de mangle existen solo dentro del enrutador, no se transmiten a través de la
red.

CONFIGURACIÓN

 Vamos a la pestaña ip y seleccionamos firewall

 En la ventana firewall seleccionamos la pestaña mangle

 En mangle damos clic en el signo + para crear una nueva marca

 Se abre una nueva ventana de mangle rule

 En la pestaña general en el apartado chain seleccionamos prerouting

 En protocolo ponemos el (protocolo) que queremos marcar en el

ejemplo seleccionare tcp
 En Dst Port seleccionare el puerto https que es el 443

 En la pestaña action seleccionamos la opción mark connection

 En New Connection Mark escribimos el nombre que queremos ponerle

a la marca y le pondré https_Entrada
 Aplicamos y ok

11
 oo Reset Countersoo Reset All Counters

Chain Src. AddressS re. POff

Chain Cancel
Src. Address

Commen
t

Copy

Reset Counters

Reset All
Counters

Connection
Mark

Connection Type

Connection State
Connection NAT State

12
Ahora crearemos la marca de destino:

13
 En mangle damos clic en el signo + para crear una nueva marca

 Se abre una nueva ventana de mangle rule

 En la pestaña general en el apartado chain seleccionamos prerouting

 En Connection Mark seleccionamos la marca creada que fue

htpps_Entrada
 En la pestaña action seleccionamos la opción mark packet

 En New Connection Mark escribimos el nombre que queremos ponerle

a la marca y le pondré https_F
 Aplicamos y ok

14
Y de esa manera vamos marcando los paquetes, para luego darles prioridad a los más
15
importantes en nuestra red.

16
 HERRAMIENTA PING

El objetivo de un ping es comprobar si un determinado host, que está identificado

por una dirección IP es accesible desde el equipo en el que nos encontramos.

BENEFICIOS

Esto nos permite comprobar si nuestro equipo dispone de conexión a host

determinado y realmente el problema está en la aplicación que nos encontramos que
no funciona correctamente.

Ping posee los siguientes parámetros:

Ping to: la dirección ip que queremos enviar los paquetes

Interface: la interface de red por la que queremos hacer los pings
También Podemos elegir la interfaz: ether1, etc.
Que significa cada uno de los siguientes parámetros:

Time out: Tiempo de respuesta, expresado en ms.

Address: Dirección desde la que vamos a enviar la comprobación

PackSize: Peso del paquete.

TTL: Tiempo de vida.

En el siguiente ejemplo hacemos ping a una ruta que esta tenemos problemas de
conexión.

17
Con esto podemos verificar que es posible que el cable o los conectores estén
defectuosos porque no existe ningún ping recibido

TORCH

Esta función nos permite analizar el tráfico a tiempo real

BENEFICIO

Nos mostrará entre otras cosas la cantidad de tráfico que hay, quien es el que genera
el tráfico, a donde va, tipo de tráfico, etc.
18
  Interface. La interfaz que queremos analizar

 Src. Address de que dirección es la fuente

 Dst: Destino de ip que queremos analizar

CONFIGURACIÓN

En el listado de opciones seleccionamos: Tools  Torch

19
 COLAS SIMPLES QUEUES

Configuración:

Vamos al menú en la pestaña Queues simple Queues  signo más de

agregar y realizamos los siguientes pasos:
 En name asignamos el nombre que queramos poner a la regla

 Target la ip del host que queremos restringir el ancho de banda o limitar

 En max limit ponemos el límite de megas que le vamos a asignar

 aplicamos

 aceptamos

20
Aquí realizamos un test de velocidad

21
 REGLAS EN FIREWALL

BLOQUEO DE PÁGINAS DE INTERNET

En este ejemplo ya están configuradas de antemano las interfaces de red entrada de

internet (WAN) y la red privada (LAN).

Primero seleccionamos en el menú la pestaña IP  Firewall

En el menú de Firewall seleccionamos la pestaña address list y en el signo más

creamos una lista de direcciones de firewall, que este caso la nombrare
“Bloqueados” y como dirección pondré el rango 192.168.5.106-192.168.5.110 Luego
hacemos clic en el botón apply y a continuación ok.

Creamos otra lista “Aceptados” y en address ponemos el rango 192.168.5.100-

192.168.5.105 Luego hacemos clic en el botón apply y a continuación ok.

22
De esta manera ya tenemos nuestro rango de ip para aplicar las reglas de firewall.
Luego regresamos a la pestaña filter rules y realizamos los siguientes pasos:
 En la pestaña general en Chain seleccionamos forward

 En Dst. Address colocamos la dirección del target

 En protocol seleccionamos el protocolo tcp

 En Src port colocamos el puerto 80

23
En la pestaña acción del menú en el apartado action seleccionamos la opción drop
aplicamos y aceptamos.

24
Luego en la sección advanced del menú de firewall rule en el apartado Dst Address
List seleccionamos nuestra lista de bloqueados aplicamos y aceptamos.

25
Con estos pasos todas las páginas de internet que están con el protocolo http que
son las que pasan por el puerto 80 están bloqueadas.

Pero si queremos ir más allá bloquear a todas las páginas de internet tenemos que
en las reglas adicionar el puerto 443 que es del protocolo https y además el
protocolo udp.

Y lo hacemos de la siguiente manera.

26
Una forma para realizarlo más rápido podemos copiar la regla que ya tenemos la
abrimos y seleccionamos copy.

Y luego agregamos el puerto 443 y en protocolo seleccionamos udp

27
Aplicamos y aceptamos.

REGLA PARA BLOQUEAR FACEBOOK

Para crear una esta regla vamos a menú ip en la opción firewall en la pestaña layer 7
protocols (protocolo de la capa 7) creamos una regla, en el apartado name: le
ponemos como nombre Block Facebook y en el apartado Regexp: colocamos este
código:

 ^.+(facebook).*$

28
este es código está escrito en expresiones regualaras el cual indica que busque
cualquier palabra que contenga el string “facebook”.

Aplicamos y aceptamos.

 Luego vamos a la pestaña filter rules y creamos otra regla de filtrado,

 En la sección chain: dejamos como forward

 En Src Address colocamos la red o ip que queremos bloquear en este caso

usare mi ip 192.168.5.110
 En la pestaña avanced en la sección layer 7 protocol colocamos la regla que
creamos con nombre Block Facebook
 En la pestaña action en la sección action colocamos la opción drop

 Aplicamos y aceptamos.

29
 Filter Rules NAT Mangle Raw Service Ports Connections Address Lists
Layer7 Protocols

Con esta simple regla podemos bloquear la página de Facebook en nuestro

navegador.

Pero si podemos navegar en cualquier página web.

30
REALICE EL PROCESO PARA EL BLOQUEO DE YOUTUBE
Para crear una esta regla vamos a menú ip en la opción firewall en la pestaña
layer 7 protocols (protocolo de la capa 7) creamos una regla, en el apartado
name: le ponemos como nombre youtube como nombre a la regla y en el
apartado Regexp: colocamos este código:
• ^.+(youtube).*$

 Aplicamos y aceptamos.

 Luego vamos a la pestaña filter rules y creamos otra regla de filtrado

31
 En la sección chain: dejamos como forward

 En Src Address colocamos la red o ip que queremos bloquear en este

caso usare mi ip 192.168.5.110
 En la pestaña avanced en la sección layer 7 protocol colocamos la
regla que creamos con nombre youtube
 En la pestaña action en la sección action colocamos la opción drop

 Aplicamos y aceptamos.

32
Filter Rules

o0 Reset Counterso0 Reset All Counters

ActionChainS ic Address Dst Address Photo.PostD st Post IntelOut

OK
Action: drop Cancel

@ Log Appl
y
Log Disabl
Prefix e
Comment Copy

Remove
Reset Counters

Reset All
Counters

Filter Rules CAT Mangle Raw Service Ports Connections Address Lists
Layei7 Protocols

&Q @ 0o Reset Counterso0 Reset All Counters

Fn a

# Action Chain Src. Address Det. Address Proto... Src. PortDst. Port In. Inter... Out.

General Advanced Extra Action Statistics

Src. Address List:

Det. Address List:

Layei7 Protocol: @
You ube
Content:

33
 Connection Bytes:

Connection Rate:

Per Connection Classified:

S re. MAC Address:

Ahoara ponemos en la pestaña action en la sección action colocamos la opción accept

Aplicamos y aceptamos.

34
35