Configurar Mikrotik RB5009UG+S+IN para Movistar y O2

Raul Unzue Pulido 2 semanas hace Mikrotik Deja un comentario 966 Vistas

Configurar Mikrotik RB5009UG+S+IN para Movistar y O2

Llegó mi 44 cumpleaños, este año mucho más importante que otros años, ya que hace unos pocos meses un trombo-embolismo pulmonar bilateral masivo, del que me estoy recuperando, se cruzó en mi vida, sin avisar y por una lesión deportiva de dos meses atrás. La historia es larga y jodida, pero al menos el blog sigue adelante y espero estar muchos años “vivo” y enredando/compartiendo, ya que no parece que me deje ninguna secuela, porque como dicen los médicos ha sido mala suerte, y no se debería repetir.

La verdad, nunca sabes cual es tu momento…por suerte, ese 7 de Febrero de 2024 no era el mío.

Es la primera vez que me siento a escribir una nueva entrada después del episodio, intentando tener buenas sensaciones delante de una pantalla, antes de empezar con la esperada normalidad.

Este año, para el cumpleaños, a parte de querer cumplirlos, le comenté a mi mujer si podía regalarme alguna nueva “txutxe” tecnológica, en forma de vale Amazon. Y llevaba bastante tiempo mirando un Mikrotik (la opción Synology RT6600AX me parece que es demasiado cara para lo que ofrece) con puertos 2,5gb o 10gb para mejorar mi red. Mi router Synology RT2600AX funciona muy bien, pero es verdad que hay ciertas aplicaciones que no puedo ejecutar (Threat Prevention, principalmente), porque se comen los 512MB que tiene el dispositivo.

He elegido el Mikrotik RB5009UG+S+IN, porque por calidad-precio me encaja perfectamente. Y me da un mundo de posibilidades para crear contenido…

La idea es convertir este equipo en mi router principal, y los equipos Synology (RT2600AX + MR2200AC) sean simplemente puntos de acceso y algún role más, porque en el día a día me parece espectacular como trabajan, porque por sistema operativo son muy intuitivos y me han dado cero problemas.

Tabla comparativa Mikrotik RB5009AX vs Synology RT2600AX

Os dejo una pequeña comparativa entre los dos equipos, para entender que ambas opciones son buenas, pero Mikrotik es una gama mucho más profesional:

Hard Reset MIKROTIK RB5009

En mi caso, he tenido que restablecer el router Mikrotik, básicamente, porque tal y como ha llegado no funcionaba la cuenta y usuario por defecto.

Para realizar un restablecimiento completo o “hard reset” de un dispositivo MikroTik RB5009, puedes seguir estos pasos. Este proceso eliminará todas las configuraciones y restablecerá el dispositivo a su configuración de fábrica:

Apagar el Dispositivo:
- Antes de comenzar con el proceso de restablecimiento, asegúrate de que el dispositivo esté apagado.
Localizar botón de Reset:
- Está ubicado en la parte izquierda con el led azul de corriente
- Es importante pulsar y mantener con fuerza, el dedo debería ser suficiente, pero deberemos probar si somos capaces de hacerlo y oír el “clac” al pulsarlo
Mantener Presionado el Botón de Reset: Enciende el dispositivo mientras mantienes presionado el botón de reset. Debes mantener presionado el botón de reset hasta que el indicador LED verde que se ve detrás de botón de reset (no el azul) comience a parpadear. Esto generalmente toma alrededor de 5 a 10 segundos, pero puede variar.
Esperar a que el Dispositivo se Reinicie: Una vez que el LED verde empiece a parpadear, puedes soltar el botón de reset cuando se vuelva a poner fijo y antes de que se apague. El dispositivo comenzará el proceso de reinicio, que puede tomar algunos minutos.
Configuración Inicial: Después de que el dispositivo se haya reiniciado, estará en su configuración de fábrica. Podrás acceder al dispositivo a través de la dirección IP por defecto, que generalmente es “192.168.88.1”.
Conectar PC: Modificaremos la tarjeta de red de nuestro PC a una IP del rango por defecto, y nos conectaremos, por ejemplo, al puerto 2.
Con el PC ya en el rango, abrimos el navegado “WebFig” o usamos la aplicación Winbox:

Cambiar IP por defecto Mikrotik RB5009UG+S+IN

Uno de los primeros pasos que he realizado es cambiar la IP por defecto del router.

Para cambiar la dirección IP por defecto en un MikroTik RB5009, debes acceder al dispositivo a través de una interfaz gráfica como WinBox o WebFig, o mediante la línea de comandos (CLI) si prefieres esa opción. Aquí te explico cómo hacerlo paso a paso utilizando WinBox, que es una de las herramientas más accesibles y fáciles de usar para la configuración de dispositivos MikroTik:

Paso 1: Conectarse al MikroTik RB5009
- Abrir WinBox: Descarga e instala WinBox desde el sitio web de MikroTik si aún no lo tienes.
- Conectar a tu RB5009: Abre WinBox y conecta tu PC al MikroTik utilizando un cable Ethernet a uno de los puertos LAN (ether2-ether8). Luego, en WinBox, haz clic en “Neighbors” y encuentra tu dispositivo en la lista. Haz doble clic en él para conectarte. Normalmente, necesitarás ingresar el nombre de usuario y la contraseña (por defecto, el nombre de usuario es ‘admin’ y no hay contraseña).
Paso 2: Cambiar la Dirección IP
- Acceder a las Interfaces de IP:
  - En el menú principal de WinBox, encuentra y haz clic en “IP“, y luego en “Addresses“. Esto mostrará todas las direcciones IP configuradas en el dispositivo.
- Modificar la Dirección IP por Defecto:
  - Busca la dirección IP que deseas cambiar. Si estás cambiando la IP por defecto, probablemente estará asignada a la interfaz ‘bridge’ o ‘ether1’ (dependiendo de tu configuración inicial).
  - Haz clic en la dirección IP para editarla. En el campo “Address“, cambia la dirección IP a la nueva que deseas usar.
    Asegúrate de que el “Network” y el “Interface” sean correctos. El “Network” debe ajustarse automáticamente al ingresar la nueva IP, pero es bueno verificar que corresponda con la máscara de red correcta.
  - Haz clic en “OK” para aplicar los cambios.

Paso 3: Verificar la Configuración
- Revisar la Conexión:
  - Después de cambiar la dirección IP, puede que necesites ajustar la configuración de la IP en tu PC para seguir accediendo al dispositivo.
  - Asegúrate de que tu computadora esté en la misma subred que la nueva dirección IP del MikroTik.
- Acceder al MikroTik con la Nueva IP:
  - Intenta acceder al dispositivo usando la nueva dirección IP para confirmar que los cambios se han aplicado correctamente.
Paso 4: Guardar los Cambios
- Guardar la Configuración:
  - En WinBox, ve a “System” y luego “Reboot” para reiniciar el dispositivo y asegurarte de que todos los cambios permanezcan efectivos después del reinicio.
  - También puedes usar el comando /system backup save name=backup-before-ip-change para guardar la configuración actual antes de hacer cambios.

Estos pasos te permitirán cambiar la dirección IP por defecto de tu MikroTik RB5009. Es crucial que recuerdes que al cambiar la dirección IP, todos los dispositivos que se conectan a este router necesitarán ser reconfigurados para acceder a la nueva dirección si están configurados con IPs estáticas o reglas específicas.

Configurar Mikrotik RB5009 con ONT en modo bridge de Movistar y O2

Como ya he explicado, de momento no voy a tocar la ONT que se queda en modo bridge (actualmente ya estaba conectada a mi router Synology RT2600AX que pasará al role de punto de acceso).

Para que tu router MikroTik RB5009 funcione con una ONT de Movistar en modo bridge implica varios pasos. Vamos a configurar la conexión utilizando el protocolo PPPoE para la WAN en el puerto 2,5Gb que es el ether1, y el resto de los puertos se configurarán para LAN. Si el día de mañana compro un switch 10Gb o 2,5Gb, usaré el puerto sfp o cambiaré el puerto para la WAN, ya que la ONT no da más de 1Gb.

Aquí os detallo el proceso y explico por qué sigo estos pasos, antes de realizar modificaciones más avanzadas (VLAN´s, Bonding, Containers…):

Paso 1: Conexión de los dispositivos
- La ONT (Optical Network Terminal) es el dispositivo que convierte la fibra óptica en una señal ethernet que tu router puede manejar. Al conectar la ONT al puerto 1 de 2,5 Gb en tu MikroTik, estás asegurando que tu router pueda recibir datos de alta velocidad de tu proveedor de servicios de internet en un futuro cambiando la ONT (actualmente me llega 1Gb simétrico)

- Conexión de la ONT al MikroTik:
  - Conecta un cable Ethernet desde el puerto LAN de tu ONT de Movistar al puerto 1 de 2,5 Gb de tu MikroTik RB5009. Este puerto actuará como la conexión WAN.
Paso 2: Configurar el MikroTik
Para realizar la configuración necesitas acceder a la interfaz web (WebFig) o usar WinBox. Ambas herramientas proporcionan una interfaz gráfica para configurar el dispositivo fácilmente (usuarios avanzados pueden hacerlo vía comando).
- Crear VLAN 6 para Movistar / O2:
  - Ir a ‘Interfaces’:
    - Haz clic en el menú “Interfaces” en la barra lateral de WinBox.
  - Añadir una nueva VLAN:
    - Haz clic en el botón “+” y selecciona “VLAN” de la lista de interfaces.
    - En la configuración de la VLAN, establece:
      - Name: Asigna un nombre descriptivo, como VLAN_Movistar.
      - VLAN ID: Configura el ID de VLAN proporcionado por Movistar (por ejemplo, 6, que es comúnmente usado por Movistar para Internet).
      - Interface: Elige la interfaz sobre la cual la VLAN será configurada, que sería ether1 en este caso, si ese es tu puerto WAN.
      - MTU: Cambiar el valor a 1492

- Configurar el PPPoE Cliente (WAN)
  - PPPoE (Point-to-Point Protocol over Ethernet) es utilizado por muchos ISPs, entre ellos Movistar / O2, para gestionar conexiones individuales a Internet sobre un modelo ethernet. Al configurar tu MikroTik para usar PPPoE, estás estableciendo una sesión individualizada y autenticada con Movistar, que te asignará dinámicamente una dirección IP pública. Esto es esencial para acceder a Internet y permite al ISP controlar el acceso y la facturación.
  - Acceder a la interfaz de configuración: Ingresa a WebFig o WinBox.
    - Pulsar en la sección de “Interfaces“.
    - Añadir nueva interfaz PPPoE:
    - Haz clic en ‘+‘, luego selecciona “PPPoE Client“.
    - En la pestaña “General“, elige el puerto que has conectado a la ONT (en mi caso, ether1).

- - - En la pestaña “Dial Out“, ingresa el nombre de usuario y la contraseña proporcionados por Movistar para la configuración PPPoE:
      - Nombre de usuario: adslppp@telefonicanetpa
      - Contraseña: adslppp
    - Como no dispongo de IP fija no necesito hacer configuraciones adicionales y será la que me entregue Movistar al conectarse el router. Lo único aseguraros que la opción “Add Default Route” esté marcado.
    - Guarda los cambios, pulsando “OK o APPLY”
- Configurar LAN en los Puertos Restantes
  - Configurar el resto de los puertos para LAN (Red de Área Local) te permite conectar múltiples dispositivos en tu red local, compartiendo la conexión a Internet y permitiendo la comunicación entre dispositivos dentro de tu hogar o negocio. El bridge actúa como un punto de conexión virtual entre todos estos puertos, facilitando la gestión de la red.
  - Crear un Bridge para LAN:
    - Dirígete a “Bridge” y luego “Bridge“.
    - Haz clic en ‘+‘, introduce un nombre para el bridge (por ejemplo, bridgeLAN).
    - Guarda los cambios.
    - Asignar puertos al Bridge:
    - Ve a “Bridge” > “Ports“.
    - Añade todos los puertos que deseas incluir en la LAN (por ejemplo, ether2 hasta ether8).
    - Establece “Bridge” al que creaste anteriormente (bridgeLAN).
    - Guarda los cambios.

Paso 3: Configurar DHCP Server en LAN
- Configurar el servidor DHCP:
  - DHCP (Dynamic Host Configuration Protocol) simplifica la administración de la red asignando automáticamente direcciones IP a los dispositivos en tu LAN. Sin DHCP, tendrías que asignar direcciones IP manualmente a cada dispositivo, lo cual no es muy práctico en redes con muchos dispositivos.
    - Ve a “IP” > “DHCP Server” y luego “DHCP Setup“.
    - Elige el bridge de LAN (bridgeLAN). Y sigue un siguiente, siguiente…
    - Configura el rango de direcciones IP que deseas asignar a los dispositivos en tu red LAN.
    - Guarda la configuración.

Paso 4: Configurar Firewall y NAT
- Necesitaremos complementar la configuración con NAT y Firewall:
  - NAT (Network Address Translation) permite que múltiples dispositivos en tu LAN compartan una única dirección IP pública asignada a través de PPPoE. Esto es esencial para el acceso a Internet desde múltiples dispositivos en una red doméstica o pequeña empresa.
  - Firewall: Configurar reglas de firewall ayuda a proteger tu red interna de accesos no autorizados y ataques desde Internet. Por defecto, muchos dispositivos pueden estar expuestos a vulnerabilidades; por ello, un firewall adecuadamente configurado es crucial para la seguridad de la red.
    - Ve a “IP” > “Firewall“, luego “NAT“.
    - Añade una nueva regla: en la pestaña “General“, selecciona “srcnat” como chain y “out-interface” como pppoe-out1 (o como hayas nombrado tu interfaz PPPoE).
    - En la pestaña “Action“, selecciona “masquerade“.
    - Guarda los cambios.

- Asegurar la Red:
  - Es aconsejable configurar reglas de firewall adicionales para proteger tu red, como bloquear el acceso no autorizado desde Internet de forma predeterminada y luego ir abriendo a necesidad. Esto lo podéis hacer desde “IP” > “Firewall” > “Filter Rules“. Os dejo una regla que rechaza todo desde Internet vía comando para el puerto que hace de WAN:

/ip firewall filter add chain=input in-interface=ether1 action=drop comment="Drop all input traffic"

1	/ip firewall filter add chain=input in-interface=ether1 action=drop comment="Drop all input traffic"

Paso 5: Configurar resolución DNS
- Para permitir que los dispositivos conectados a tu router MikroTik resuelvan nombres DNS en Internet, debes configurar el servidor DNS correctamente en el MikroTik. Esto incluye asegurarte de que el router esté configurado para utilizar los servidores DNS adecuados y que esté reenviando estas solicitudes para los clientes en tu red. Aquí te explico cómo hacerlo paso a paso utilizando WinBox:
  1. Configurar el Servidor DNS en el MikroTik
    - Abre WinBox y conéctate a tu router MikroTik.
    - Ir a IP -> DNS en el menú principal.
    - Configura los servidores DNS:
      - En el campo “Servers”, ingresa las direcciones IP de los servidores DNS que deseas utilizar. Puedes usar servidores DNS públicos como los de Google (8.8.8.8 y 8.8.4.4), Cloudflare (1.1.1.1 y 1.0.0.1), el propio router si vas a mantener nombres o los proporcionados por tu ISP.
      - Marca la casilla “Allow Remote Requests”. Esto permite que tu MikroTik actúe como un servidor DNS para los dispositivos en tu red, reenviando las solicitudes DNS a los servidores que configuraste.
  2. Asegurar la Configuración del Firewall
    - Para que los dispositivos en tu red puedan acceder al servidor DNS del MikroTik, debes asegurarte de que las reglas del firewall permitan el tráfico DNS:
    - Ir a IP -> Firewall y selecciona la pestaña “Filter Rules”.
    - Verifica o añade una regla para permitir DNS:
      - Asegúrate de que hay una regla que permita el tráfico en el puerto 53, que es el utilizado por el protocolo DNS. Debería permitir tanto TCP como UDP.
      - Si no existe tal regla, puedes crear una haciendo clic en el botón “+” y configurando la siguiente regla:
        
        Chain: input
        
        Protocol: udp y otra regla para tcp
        
        Dst. Port: 53
        
        Action: accept
      - Asegúrate de que estas reglas estén ubicadas antes de cualquier regla general que bloquee el tráfico entrante.
  3. Configurar los Clientes DHCP (Opcional):
    - Si estás utilizando el MikroTik como servidor DHCP para asignar direcciones IP automáticamente a los dispositivos en tu red, también debes asegurarte de que esté configurado para proporcionar la dirección IP del MikroTik como servidor DNS a los clientes DHCP:
      - Ir a IP -> DHCP Server y selecciona la pestaña “Networks”.
      - Editar la configuración de tu red DHCP:
        
        Asegúrate de que el campo “DNS Servers” tenga la dirección IP de tu router MikroTik o los servidores DNS que deseas que usen tus clientes.
      - Guardar y Aplicar Cambios
        
        Aplica todos los cambios y, si es necesario, reinicia tu router MikroTik para que los cambios surtan efecto.

Paso 6: Probar la Conexión
- Reinicia tu MikroTik para aplicar todas las configuraciones.
- Este paso final asegura que todas las configuraciones previas funcionen correctamente. Verificar la conexión te permite detectar y solucionar problemas inmediatamente, asegurando que tu red esté operativa y segura desde el inicio.
  - Verifica la conexión a Internet:
    - Conecta un dispositivo a uno de los puertos LAN y comprueba si puedes navegar por Internet.
    - Verifica que la conexión PPPoE está establecida correctamente en “Interfaces“.
    - Este proceso te permitirá utilizar tu MikroTik RB5009 con una ONT de Movistar en modo bridge, aprovechando al máximo la velocidad de tu conexión y manteniendo una red LAN separada y bien gestionada.

Cada uno de estos pasos es crucial para establecer y mantener una conexión a Internet segura y eficiente, al tiempo que permite una gestión de red local efectiva y segura con tu MikroTik RB5009.

Actualizar firmware router Mikrotik RB5009

Como paso final, es aconsejable actualizar a la última versión de firmware vuestro router.

Paso 1: Preparación

1. Hacer un backup de tu configuración actual: Es una buena práctica hacer un respaldo de tu configuración actual antes de proceder con cualquier actualización. Esto te permite restaurar el router a su estado anterior en caso de que algo salga mal durante la actualización.
  - En WinBox, ve a “System” > “Backup” y haz clic en “Backup”, luego guarda el archivo en un lugar seguro.

Paso 2: Descargar el último firmware

1. Verificar la versión actual del firmware:
  - En WinBox, ve a “System” > “Packages” para ver la versión actual del firmware.
2. Descargar el nuevo firmware:
  - Visita el sitio web oficial de MikroTik (https://mikrotik.com/download) y descarga el paquete de firmware más reciente que sea compatible con tu modelo específico, en este caso, el RB5009.

Paso 3: Subir y actualizar el firmware

1. Subir el archivo del firmware:
  - En WinBox, ve a “Files” y arrastra el archivo descargado (usualmente un archivo con extensión .npk) a la ventana de archivos de WinBox.
2. Revisar que el archivo esté subido:
  - Verifica que el archivo del nuevo firmware aparezca en la lista de archivos.

Paso 4: Actualizar el firmware

1. Aplicar la actualización:
  - En WinBox, ve a “System” > “Packages” y haz clic en “Reboot”.
  - El sistema te preguntará si deseas aplicar la actualización. Confirma la acción para que el sistema se reinicie y aplique la actualización del firmware.
2. Esperar a que el router se reinicie:
  - Este proceso puede tomar varios minutos. No apagues ni reinicies manualmente el router durante este tiempo.

Paso 5: Verificar la actualización

1. Comprobar la versión del firmware:
  - Una vez que el router haya reiniciado, vuelve a entrar a WinBox y verifica la versión del firmware en “System” > “Packages” para asegurarte de que la actualización se ha aplicado correctamente.

Espero poder hacer más entradas con el tunning que le haré al router…de momento las pruebas de velocidad:

SYNOLOGY RT2600AX:

MIKROTIK RB5009:

FastTrack Mikrotik RB5009

Para mejorar la velocidad, he agregado una regla para FastTrack, que acelera el tráfico de ciertos flujos comunes, como los de Internet, permitiendo que estos paquetes sean procesados más rápidamente al “saltarse” algunas de las características de manejo de paquetes de RouterOS que consumen más CPU, como firewall, accounting, y queuing.

/ip firewall filter add action=fasttrack-connection chain=forward connection-state=established,related comment="Enable FastTrack"

1	/ip firewall filter add action=fasttrack-connection chain=forward connection-state=established,related comment="Enable FastTrack"

Consideraciones Importantes

Compatibilidad: FastTrack no es compatible con algunas características avanzadas de RouterOS como IPsec, Queue Trees con parent global, entre otros.
Monitorización y depuración: El uso de FastTrack puede complicar la monitorización y depuración del tráfico en tu red, ya que los paquetes fasttracked evitan varias inspecciones en el firewall.
Uso de CPU: Aunque FastTrack reduce el uso de CPU para el tráfico que maneja, el tráfico que no se puede fasttrackear podría seguir consumiendo recursos significativos.

¿Te ha gustado la entrada SÍGUENOS EN TWITTER O INVITANOS A UN CAFE?

Follow @@elblogdenegu