Aquí os pongo un listado de IPs de los mas comunes que hay que tener abiertos para no tener problemas con los móviles principalmente.
Todas ellas están vinculadas a un listado llamado "whitelist" para que lo excluyais del firewall.
/ip firewall filter
add action=accept chain=input src-address-list=whitelist
add action=accept chain=output src-address-list=whitelist
add action=accept chain=forward src-address-list=whitelist
Read more: Listado de Ips Publicas de Google, Facebook y WhatsApp para el firewall de Mikrotik
Estoy substituyendo un router veterano un Linksys wrt54g con dd-wrt que tiene un colega en un bar. Este router funciona bien y hace lo que tiene que hacer. Solo que se queda un poco pillado por potencia y además de ser un cuello de botella ya que es solo 10/100.
Mirando por foros y viendo los problemas de substituir el router de diferentes compañías por culpa de la televisión en fibra acabe descubriendo los MiKrotik.
Así que por ahora vamos a hacer una substitución del Linksys por el Mikrotik sin tocar el router la de compañía. Después posiblemente le añadamos las Vlans correspondientes y procederemos a su substitución.
Hay que tener en cuenta como nos llega el Internet.
*Si es ADSL u ONO (seudofibra). El router lo configuramos en modo bridge. (buscar manual para cada router especifico).
*Si es fibra. La fibra entra en la ONT y de ahi sale un cable de red a un router de la compañía. Donde dicho router se puede poner en bridge o no dependiendo de si tiene que tener Vlans para la TV o no. Si se puede poner en bridge, lo ponemos, sino, lo que haces es un DMZ al router nuestro(Linksyso Microtik).
Para poneros en situación, la configuración en el bar actualmente es la siguiente:
ONO-Vodafone: Con seudofibra por lo que tenemos solo un router de la compañía. Este lo ponemos en modo bridge para darnos Internet sin ningún filtro a nuestro router.
Router Linksys que substituiremos por un Mikrotic del cual solo usamos 2 bocas.
La boca 2 sera la Wan de estrada. (no usamos la 1 por ser la que es POE por si en un futuro la usásemos para algo).
La boca 5 es la salida Trunk (donde tendremos 3 Vlans con sus DHCPs correspondientes)
La boca 1 con IPs 192.168.100.x con Internet.
La boca 3 con IPs 192.168.100.x con Internet.
La boca 4 con IPs 192.168.100.x con Internet.
Read more: MiKrotik puede ser mas complicado de lo que parece. Parte 1
Las reglas de IP-Firewall del MiKrotik sirven para abrir o bloquear puertos tanto desde fuera de la red (Internet) hacia dentro de nuestra red como dentro de nuestra red.
Como podremos observar los puertos son enunciados uno a uno separados por comas y si son por ejemplo son continuos como el 80,81,82,83,84,85,86 los ponemos como del 80-86
Podemos por tanto abrir los puertos clásicos o específicos para algún aparato, ejemplo:
- 21 ftp
- 80 http
- 443 https
- 1194 vpn
- 3389 escritorio remoto
- 86 controlador de tira led
Antes de empezar a abrir puertos, ponemos las reglas generales básicas de acceso y funcionamiento de la red interna.
/ip firewall filter
add action=accept chain=input comment="Permitir entrada del Protocolo TCP" \
in-interface=Ether01-WAN protocol=tcp
add action=accept chain=input comment="Permitir entrada del Protocolo UDP" \
in-interface=Ether01-WAN protocol=udp
add action=accept chain=input comment="Permitir Entradas Establecidas" \
connection-state=established in-interface=Ether01-WAN
add action=accept chain=input comment="Permitir Entradas Related" \
connection-state=related in-interface=Ether01-WAN
add action=accept chain=forward comment="Permitir TCP dentro de la RED" \
protocol=tcp
add action=accept chain=forward comment="Permitir UDP dentro de la RED" \
protocol=udp
add action=accept chain=input comment="Permitir el Protocolo PING Limitado" \
in-interface=Ether01-WAN limit=50,5:packet protocol=icmp
add action=drop chain=input comment="Denegar Conexiones Invalidas" \
connection-state=invalid in-interface=Ether01-WAN
/
Pues empezamos con un poco de historia.
Mikrotic es el nombre internacional con el que se conoce a Mikrotīkls SIA una compañía de Letonia. Una empresa de creación de redes.
Esta empresa crea 2 cosas Routers, swiches (denominados routerboards) y sofware que pueden usar estos routers, swiches u ordenadores dedicados al control de redes.
Este sofware se llama RouterOS y a la fecha de este artículo van por la versión 6.41.
Los conocí cuando se me ocurrió la idea de intentar gestionar un poco la red de ordenadores de casa y acababa de cambiarme de compañía de teléfono en este caso a a Telefónica (por la fibra).
Entonces empece a leer foros y descubrimos que para no tener problemas con el Imagenio (la tele de Telefónica) estos routers iván muy bien ya que permitían controlar Vlans. Cuando esto normalmente solo lo puedes hacer con router profesionales Cisco de 500€ (el mas barato nuevo, de segunda mano mas baratos claro) y estos los tenemos desde 20€ hasta los mas caros que rondan lo 250€.
pues claro con estos datos pues decidí agenciarme uno para para probar.
Empecé con un RB951G-2HnD que me costo unos 45€