Manual conectar Mikrotik a Servidor Radius en la Nube

Para asociar sus Mikrotik a un servidor Radius en la nube para la autenticación de usuarios, y la creación de fichas para la venta de internet por tiempo  es necesario seguir los siguientes pasos:

  1. Obtener una cuenta de acceso al sistema de administración del Servidor Radius, ingresar el usuario y contraseña:
  2. Al ingresar al sistema debemos registrar el Mikrotik en el sistema, en el apartado Management , elegir la opción Routers Mikrotik, donde aparece un listado de opciones para administrar los Mikrotik, en este caso será registrar el Mikrotik en la opción Nuevo Router Mikrotik:                               
    Ingresamos un Nombre del Mikrotik representativo para el mikrotik a registrar, y un usuario y contraseña para poder hacer la conexión entre el Mikrotik y el servidor radius en la nube:                                           
    Al registrar el Mikrotik se muestra la IP que se le ha asignado:
                                              
  3. Lo siguiente es configurar el Mikrotik para Internet por Tiempo, configurando el hotspot y asociando en el servidor Radius en la nube para la autenticación de usuarios.

    Acceso a Internet para el Mikrotik

    En este caso se usa un Router Mikrotik RB750, el cual se configura de inicio para que tenga conexión a internet, vamos a configurar la interfaz ether1 que está conectada al modem de internet, esta debe solicitar la ip por medio del dhcp-client. para eso entramos la opción de menú IP/DHCP Client/+
                                   

    En la opción interface elegimos ether1 de damos clic sobre el botón aplicar, y después ok nos debe aparecer la IP que nos asigna el modem de internet



    Ahora vamos asignar una ip a nuestra interfaz LAN (ether2), para eso nos vamos a la opción IP/Address/+



    Para a la interfaz ether2 vamos agregar dirección ip 192.168.5.1/24 en la opción Address, y seleccionar la interface ether2 en la opción Interface. después presionar botón Apply y OK.



    ConfiguraciónHotspot

    Como siguiente paso vamos al levantar un servidor hotspot, para eso elegimos la opcion IP / Hotspot / HotspotSetup



    Le damos clic sobre el botón HotspotSetup y elegimos en la opción Hotspotinteface, la interface ether2 y presionamos botón Next.



    En la siguiente pantalla revisar que los datos estén correctos, que en Local Address Network tenga la dirección 192.168.5.1/24 y que le check Masquerade Network este seleccionado y presionamos botón Next.



    En la imagen que sigue debe tener en rango de IP de la siguiente forma: 192.168.5.10-192.168.5.254 en la opción Address pool of Network y presionamos el botón Next.



    Después en la opción SelectCertificate, elegimos la opción none y presionamos botón Next



    En la opción de IPAddress of SMTP Server, lo dejamos con la dirección ip: 0.0.0.0 y presionamos Next.



    En la siguiente pantalla tecleamos las direcciones ip de los servidores dns en la opcion DNS servers, empezando con la ip: 192.168.5.1 para dns cache del router y los otros dns: 8.8.8.8 y 8.8.4.4. y presionamos boton Next.



    En la siguiente pantalla elegimos el DNS Name, este puede ser relacionado con el nombre del negocio, y presionamos boton Next



    Posteriorelegimos Name of Local Hotspot User, como admin y tecleamos un password 12345 en Password for the User. Este usuario y password son para loguearse por primera ves con el hotspot. y después presionamos botón Next



    Al final nos queda un resultado como la siguiente imagen:



    Configuración para comunicar con servidor Radius en la nube

    VPN

    Para comunicar el Mikrotik con el servidor Radius en la nube se crea un cliente VPN en el apartado



    En el apartado Dial Out ingresar la IP del servidor para hacer la conexión con el servidor, ingresar en User y Passwor del usuario y contraseña que se ingresaron al momento de registrar el RouterMikrotik en el sistema:



    Para comprobar que se conectó correctamente vemos en Interface que la conexión tiene una letra R lo que significa que se hizo la conexión y en IP > Addresses aparece la interfaz pptp-out con la IP que le asignó el sistema al momento de registrar en Mikrotik:



    Radius

    En el apartado Radius asociamos la IP del servidor VPN, para hacer la comunicación con el servidor Radius, como se muestra a continuación, donde en secret se coloca la misma contraseña que se asignó al momento de registrar el Mikrotik en el sistema:



  4. Para comprobar que se asoció correctamente el Mikrotik con el servidor Radius en la nube, creamos un usuario desde el sistema, en el apartado Management y en la opción Usuarios, en el submenú elegir Nuevo Usuario:



    En el apartado Autenticación con nombre de usuario, ingresamos los datos del usuario en este caso sería Pedro13 y contraseña 123456, donde elegimos un perfil cualquiera



    Probamos conectándonos a la red del HotspotMikrotik, e ingresamos el usuario y contraseña que acabamos de crear:



    Y nos muestra el mensaje de que se logueo correctamente el usuario



    Podemos comprobar que en el Mikrotik efectivamente esté el usuario conectado, nos vamos al apartado IP >Hotspot> Active y podemos ver que está el usuario Pedro13 conectado:



Cree su configuración para balanceo de carga con mikrotik

Sistema para balanceo de carga con mikrotik

Proceso a través del cual el tráfico saliente es distribuido por múltiples enlaces, con el fin de ampliar el ancho de banda de la red.

 

Ahora ya puede crear su script de configuración de balanceo de carga de 2 a 9 lineas de Internet, solo copie y pegue a su mikrotik y listo.

Click aqui

 

 Pantalla de inicio del sistema

Puede personalizar puerta de enlace, direccion ip de cada interface, velocidad de cada linea de internet y direccionamiento IP de la red LAN.

Aquí se muestra el resultado del script, que ya solo se copia y pega el mikrotik para aplicar la configuración

 

 

Enlace punto a punto con RB SXT

Leer más: Enlace punto a punto con RB SXT

Balanceo de Carga con Ruteo Recursivo

 

 

Balanceo de Carga con Ruteo Recursivo

 

Balanceo de carga: Proceso a través del cual el tráfico saliente es distribuido por múltiples enlaces. Cuando se emplea algún mecanismo de balanceo, lo que realmente se balancea son el número total de conexiones entre la cantidad de enlaces disponibles. No se balancea el consumo de tráfico ni se “suma” literalmente.

Esta técnica es comúnmente utilizada por ISP, WISP y empresas, instituciones educativas, etc. cuando los proveedores tienen limitada en velocidad el servicio de Internet para ciertas zonas.

También se utiliza para evitar cortes del servicio por caída de alguna de las líneas de Internet.

Failover (Conmutación por error) cuando un enlace deja de funcionar por cualquier motivo y automáticamente cambia al enlace de backup o redundancia para seguir funcionando. 

El ejemplo que vamos a simular es dos líneas de Internet, con las siguientes puertas de enlace:

  • WAN1: 192.168.1.254/24
  • WAN2: 192.168.2.254/24
  • LAN: 172.16.0.1/24

como lo muestra el siguiente diagrama.

 

 

Paso 1

Asignarle el nombre a cada una de nuestras interfaces de la siguiente forma: ether1=WAN1, ether2=WAN2, ether3=LAN. 

Para eso elegimos la opción de: Intefaces y doble clic sobre la interfaz en este caso es ether1 (ether2, ether3).

En la pestaña General, asignamos el nombre en el parámetro Name: WAN1 y clic en botón Apply y OK.

Repetir el Paso 1 para cambiar el nombre de las interfaces de ether2 y ether3. Y al concluir de cambiarle el nombre a cada una de las interfaces debe de quedar de la siguiente forma.

 

Paso 2

Solicitar la IP de cada uno de los módems. Para eso elegimos la opción de: IP à DHCP Client à DHCP Client à +.

En la pestaña DHCP y asignamos los siguientes parámetros: Interface: WAN1, Add Default Route: no y clic en botón Apply y OK.

Repetir el Paso 2 solo que ahora en el parámetro Interface se elige WAN2. Al concluir con la solicitud de IP con cada una de las interfaces WAN1 y WAN2 debe de quedar de la siguiente forma ya con una IP asignada por los módems.

 

Paso 3:

Ahora vamos a asignar la IP de la red LAN. Para eso elegimos la opción de: IP à Address à +.

 Asignamos la IP en el parámetro Address: 172.16.0.1/24 y elegimos la interfaz en el parámetro Interface: LAN y clic en botón Apply y OK.

 y obtenemos un resultado como el siguiente.

 

 

Paso 4:

Levantar un servidor DHCP para la red LAN, que asigne un rango de IP a los clientes (172.16.0.2 - 172.16.0.254). Para eso elegimos la opción de: IP à DHCP Server à DHCP à DHCP Setup.

Elegimos la interfaz LAN el parámetro: DHCP Server Interface: LAN y clic en botón Next.

 Corroboramos que sea la dirección de red correcta en el parámetro: DHCP Address Space: 172.16.0.0/24 y clic en botón Next.

Revisamos que la puerta de enlace este correcta en el parámetro: Gateway for DHCP Network: 172.16.0.1 y clic en botón Next.

 

Asignar las direcciones de los servidores DNS de Google de la siguiente forma en el Parámetro: DNS Servers: 172.16.0.1,8.8.8.8,8.8.4.4 y clic en botón Next.

Elegir el tiempo de caducidad de la IP asignada a los clientes para este ejemplo es de un día, se asigna en el parámetro:  Lease Time: 1d 00:00:00 y clic en botón Next.

  

nos regresa un resultado como el siguiente ya solo clic en el botón OK.

 

Paso 5:

Agregar el enmascarado para cada una de las interfaces WAN1 y WAN2. Para eso elegimos la opción de: IP à Firewall à NAT à +.

En la pestaña General, elegimos el parámetro Chain: srcnat y elegimos el parámetro Out. Interface:  WAN1 y clic en el botón Apply.

Después en la pestaña Action, elegimos en el parámetro Action: masquerade y clic en botón Apply y OK.

Repetir el Paso 5 solo que ahora en el parámetro Out. Interface se elige WAN2. Obtenemos un resultado como la siguiente imagen, con el enmascarado de WAN1 y WAN2.

 

Mangleà Esta tabla es la responsable de ajustar las opciones de los paquetes, como por ejemplo la calidad de servicio. Todos los paquetes pasan por esta tabla. Debido a que está diseñada para efectos avanzados, contiene todas las cadenas predefinidas posibles:

ü PREROUTING chain (Cadena de PRERUTEO)à Todos los paquetes que logran entrar a este sistema, antes de que el ruteo decida si el paquete debe ser reenviado (cadena de REENVÍO) o si tiene destino local (cadena de ENTRADA).

  • INPUT chain (Cadena de ENTRADA)à Todos los paquetes destinados para este sistema pasan a través de esta cadena.
  • FORWARD chain (Cadena de REDIRECCIÓN)à Todos los paquetes que exactamente pasan por este sistema pasan a través de esta cadena.
  • OUTPUT chain (Cadena de SALIDA)à Todos los paquetes creados en este sistema pasan a través de esta cadena.
  • POSTROUTING chain (Cadena de POSRUTEO)à Todos los paquetes que abandonan este sistema pasan a través de esta cadena.

Seleccionamos la opción de: IP à Firewall à Mangle à +.

 

Paso 6:

Crear la regla que nos permite acceder al modem de internet, sin necesidad de salir a internet. Con su dirección de red correspondiente. (192.168.1.0/24 y 192.168.2.0/24)

Sobre la pestaña General y asignamos los siguientes parámetros:  Chain: prerouting, Dst. Address: 192.168.1.0/24 (depende de la línea), In. Interface: LAN y clic en el botón Apply.

 

Después elegimos la pestaña Action y elegimos en el parámetro Action: accept y clic en botón Apply y OK.

Repetir el Paso 6 solo que ahora en el parámetro Dst. Address la dirección de red es 192.168.1.0/24.

 

Paso 7:

Crear una marca de las conexiones que entra por la WAN1 o WAN2, para eso clic sobre pestaña General, seleccionamos en el parámetro Chain: prerouting, In. Interface: WAN1, Connection Mark: no-mark y clic en el botón Apply.

 

Después la pestaña Action, elegimos el parámetro Action: mark connection y escribimos en el parámetro New Connection Mark: WAN1_conn y clic en botón Apply y OK.

Repetir el Paso 7 solo que ahora en el parámetro In. Interface es WAN2 y el parámetro New Connection Mark por WAN2_conn.

 

Paso 8:

Crear las marcas de los clientes que entran por la interfaz LAN y lo vamos a equilibrar 50% por la WAN1 (2/0) y 50% (2/1) por la WAN2.

 

En la pestaña General y seleccionamos en el parámetro Chain: prerouting, In. Interface: LAN, Connection Mark: no-mark y clic en el botón Apply.

 

En la pestaña Advanced, elegimos el parametro:  Per Connection Classifier: both addresses: 2/0 (este valor depende de las líneas que se tiene y como se dividió los paquetes de una forma equilibrada). Y clic en el botón Apply.

 

En la pestaña Extra, elegimos en el parámetro Address Type: local, marcamos el check Invert y clic en el botón Apply.

 

Después en la pestaña Action, elegimos en el parametro Action: mark connection, New Connection Mark: WAN1_conn y clic en el botón Apply y OK.

Repetir el Paso 8 solo que ahora en el parámetro Per Connection Classifier: both addresses es 2/1 y el parámetro New Connection Mark por WAN2_conn.

 

Paso 9:

Marcar las rutas de cada una de las conexiones WAN1_conn y WAN2_conn. En la pestaña General seleccionamos en el parámetro Chain: prerouting, In. Interface: LAN, Connection Mark: WAN1_conn y clic en el botón Apply. 

 

Después en la pestaña Action, y seleccionamos en el parámetro Action: mark routing y escribimos en el parámetro New Routing Mark: to_WAN1 y clic en botón Apply y OK.

 

Repetir el Paso 9 solo que ahora en el parámetro Connection Mark es WAN2_conn y el parámetro New Routing Mark por to_WAN2.

 

Paso 10:

 

Marcar las rutas de salida de cada una de las conexiones WAN1_conn y WAN2_conn. Hacemos clic en la pestaña General y seleccionamos en los parámetros Chain: output, Connection Mark: WAN1_conn y clic en el botón Apply.

En la pestaña Action, seleccionamos en el parámetro Action: mark routing, New Routing Mark: to_WAN1 y clic en botón Apply y OK.

 

Repetir el Paso 10 solo que ahora en el parámetro Connection Mark es WAN2_conn y el parámetro New Routing Mark por to_WAN2.

Al final tenemos un resultado como este en la pestaña Mangle.

 

 

Paso 11:

Asignar las rutas con las marcas de ruteo (to_WAN1, to_WAN2) y hacer un ruteo recursivo por si falla una línea solo salga por la línea que funciona. Para eso elegimos la opción de: IP à Routes à Routes à +.

  

En la pestaña General los parámetros quedan de la siguiente forma:

  •  Dst. Address: 8.8.8.8
  • Gateway: 192.168.1.254
  • Check Gateway: ping
  • Distance: 1
  • Scope: 10
  • Target Scope: 10
Clic en el botón Apply y OK

 

  • Dst. Address: 8.8.4.4
  • Gateway: 192.168.2.254
  • Check Gateway: ping
  • Distance: 1
  • Scope: 10
  • Target Scope: 10

Clic en el botón Apply y OK

  

  • Dst. Address: 0.0.0.0/0
  • Gateway: 8.8.8.8
  • Check Gateway: ping
  • Distance: 1
  • Scope: 10
  • Target Scope: 10
  • Routing Mark: to_WAN1

Clic en el botón Apply y OK

  • Dst. Address: 0.0.0.0/0
  • Gateway: 8.8.4.4
  • Check Gateway: ping
  •  Distance: 1
  • Scope: 10
  • Target Scope: 10
  • Routing Mark: to_WAN2

Clic en el botón Apply y OK


  • Dst. Address: 0.0.0.0/0
  • Gateway: 8.8.8.8
  • Check Gateway: ping
  • Distance: 1
  • Scope: 30
  • Target Scope: 30

Clic en el botón Apply y OK.

 

  • Dst. Address: 0.0.0.0/0
  • Gateway: 8.8.8.8
  • Check Gateway: ping
  • Distance: 2
  • Scope: 30
  • Target Scope: 30

Clic en el botón Apply y OK

 

 Al final tenemos un resultado como el siguiente:

Para saber si el balanceo de las líneas funciona de forma correcta, abrimos varios sitios de internet para generar tráfico y para visualizar vamos a la opción de menú: IP à Firewall à Connections y visualizamos las que efectivamente hay algunas conexiones WAN1_conn y WAN2_conn.


También podemos visualizar en tráfico en la opción de menú Interfaces, en las interfaces WAN1 y WAN2 así como también en la red local LAN.

Configurar Mikrotik como Web Proxy


En este artículo se muestra como configurar un Mikrotik como Web Proxy, para el bloqueo de páginas como Facebook, YouTube y sitios de pornografía. El bloqueo de estas páginas, se realiza con la  combinacion de Layer7 y Web Proxy de Mikrotik.

Configurar la WAN y la LAN:

Para configurar la WAN (ether 1), seleccionar IP > DHCP Client

 

Configurar la LAN  (ether 2), asignándole la IP 192.168.5.1/24

Agregar regla para que la LAN de salida a Internet IP > Firewall > NAT > +

Configurar LAN con DHCP server, para que asigne IPs a los equipos:

 

2.       Configurar Webproxy:

Agregar la regla para que el Proxy sea transparente, IP > Firewall > NAT > +:

Agregar reglas de bloqueo:

Bloquear Facebook y YouTube con Layer 7

Agregar Facebook y YouTube a Layer7 Protocols:

Agregar la regla para el bloqueo de Facebook en Filter Rules:

Obtenemos una regla de bloqueo por cada uno:

Reiniciamos el  Mikrotik para aplicar cambios:

Probamos, entrando a la página de Facebook:

Para el bloqueo de páginas específicas, por ejemplo pornográficas,  se agregan las reglas en el apartado New Web Proxy Rule:  IP > Web Proxy > Access  > +

Por palabras clave: *sex*                                                        http://www.host.com/path