Lista de Scripts y Rutinas Utiles Para Mikrotik RouterOS

Tenemos una linea de 1 mega, si un usuario descarga solo algo logra

ocupar el 100% de la linea, luego si otro usuario empieza a descargar
algo los 2 logran la mitad osea cada uno 512, en el caso ke uno solo
use 256 el otro obtiene lo restante de este usuario osea
512+256=768, este ejemplo sirve para N usuarios
Primero marcamos los paquetes que vienen desde 192.168.0.0/24
(nuestra red local)
/ip firewall mangle add chain=forward src-address=192.168.0.0/24
action=mark-connection new-connection-mark=users-con
/ip firewall mangle add connection-mark=users-con action=markpacket new-packet-
mark=users chain=forward
Luego creamos las 2 nuevas PCQ (per connection Queue). El primero,
llamado pcq-download agrupa a todo el trafico por direccion de
destino. esta cola se le asigna a la interfaz Local, esta debe cread una
cola dinamica para cada direccion de destino (usuario) que este
bajando desde la red local . La segunda, llamada pcq-upload agrupa
el trafico desde las direcciones de partida. Esta interfaz se debe
asignar a la interfaz Public (internet) esta debe generar una cola
dinamica por cada usuario que este subiendo algo a la internet desde
la red local.
/queue type add name=pcq-download kind=pcq pcq-classifier=dstaddress
/queue type add name=pcq-upload kind=pcq pcq-classifier=srcaddress
Finalmente hacemos el arbol de colas para el trafico de “Download”
/queue tree add name=Download parent=Local max-limit=1024000
priority=1
/queue tree add parent=Download queue=pcq-download packetmark=users
y tambien para el trafico de “upload”
/queue tree add name=Upload parent=Public max-limit=256000
priority=1
/queue tree add parent=Upload queue=pcq-upload packetmark=users
bueno y lo otro que tambien se puede hacer es marcar el trafico P2P
(kazza, bittorrent, emule, etc) para que tenga una menor prioridad y
tambien asignarle un ancho de banda menor, esto lo hacemos de la
siguiente manera
primero marcando el trafico de los p2p
/ip firewall mangle add chain=forward p2p=all-p2p action=markconnection new-
connection-mark=p2p_conn
/ip firewall mangle add chain=forward connection-mark=p2p_conn
action=mark-packet new-packet-mark=p2p
luego asignandole un prioridad baja y ademas asigandole muy poco
ancho de banda (64kbps) de nuestro total de 1 mega
/queue tree add parent=Public packet-mark=p2p limit-at=3000 maxlimit=64000
priority=8
/queue tree add parent=Local packet-mark=p2p limit-at=3000 maxlimit=64000
priority=8
Bueno este ejemplo lo probe en el mikrotik de mi casa y funciona de
maravilla … supongo ke se puede hacer de otra forma y mejor, si
alguien sabe como digamelo =) gracias

Lista de scripts y rutinas utiles para Mikrotik RouterOS

Todos los SCRIPTS deben ser insertados via "WINBOX" en el menu "SYSTEM"
submenu "SCRIPTS" o bien via "NEW TERMINAL" /system script

SCRIPT PARA REINICIAR AUTOMATICAMENTE



add name="reiniciar" source="/system reboot"

policy=ftp,reboot,read,write,policy,test,winbox,password

SCRIPT PARA DETENER LA WEB-CACHE



add name="detener_proxy" source="/ip web-proxy set enabled=no"

policy=ftp,reboot,read,write,policy,test,winbox,password

SCRIPT PARA LIMPIAR WEB-CACHE



add name="Limpiar_Proxy" source="/ip web-proxy clear-cache"

policy=ftp,reboot,read,write,policy,test,winbox,password

SCRIPT PARA REINICIALIZAR LA WEB-CACHE



add name="Crear_Proxy" source="/ip web-proxy set enabled=yes"

policy=ftp,reboot,read,write,policy,test,winbox,password

SCRIPT PARA BACKUP AUTOMÁTICO DEL MIKROTIK



add name="respaldo_diario" source="/sy ba sav name=mk_bkp.backup"

policy=ftp,reboot,read,write,policy,test,winbox,password

RUTINAS UTILES

Deben ser aplicadas via Winbox; Menu "SYSTEM", submenu

"SCHEDULER" o bien via "NEW TERMINAL" en /system scheduler

Programar reinicios de 15 en 15 dias



add name="reiniciar" on-event=reboot start-date=aug/15/2008 starttime=06:05:00

interval=2w1d comment="REINICIO CADA 15 DIAS"
disabled=no

Programar el mantenimiento automatico del WEB PROXY (Cada 5

dias)


add name="detener_proxy" on-event=detener_proxy startdate=Aug/15/2008 start-

time=05:00:00 interval=5d comment="Detener
Proxy para mantenimiento" disabled=no


add name="Limpiar_Proxy" on-event=Limpiar_Proxy startdate=Aug/15/2008 start-

time=05:03:00 interval=5d comment=""
disabled=no

add name="Crear_Proxy" on-event=Crear_Proxy startdate=Aug/15/2008 start-

time=05:10:00 interval=5d
comment="Mantenimiento automatico del Web-Proxy" disabled=no
Programar el respaldo automatico cada 6 horas

add name="respaldo_diario" on-event=respaldo_diario startdate=Aug/16/2008 start-

time=00:00:01 interval=6h comment="Crear
respaldos cada 6 horas" disabled=no

Publicado por Mikrotik Blogger en 20:41 2 comentarios

Etiquetas: Mikrotik rutinas, Reinicio automatico de Mikrotik, Respaldo
automatico Mikrotik, Web-Proxy Mikrotik

Dar prioridad a ICMP en RouterOS

Enviado por master_mikrotik el Jue, 2010-01-21 00:55.



Documentación

En varias ocasiones me han consultado sobre dar prioridad a tal o cual servicio o
protocolo con RouterOS MikroTik. El procedimiento, si bien es cierto parece un poco
largo, sin embargo su desarrollo obedece a una estructura HTB bien definida que
junto
con un pard e nuevas definiciones PCQ (para subida y para bajada) garantizan la
priorización de los paquetes deseados.
En este caso daremos prioridad a paquetes ICMP.
1) Creas un access list para especificar las IPs o las redes que vas a filtrar
/ip firewall address-list add address=192.168.1.0/24 list=lista
2) MANGLE - marcar conexión
/ip firewall mangle add chain=prerouting protocol=icmp action=mark-connection
newconnection-mark=conn_lista passthrough=yes src-address-list=lista
3) MANGLE - marcar paquetes
/ip firewall mangle add chain=prerouting action=mark-packet new-
packetmark=pack_lista passthrough=yes
connection-mark=conn_lista
*** recuerda que es muy importante marcar primero Conexiones y luego marcar
paquetes... esto garantiza el desempeño del router
4) QUEUE - Queue Types. Crear dos nuevos tipos de queue (uno para Upload y otro
para Download) basados en PCQ
/queue type add name="Pcq_Download" kind=pcq pcq-rate=0 pcq-limit=50
pcqclassifier=dst-address pcq-total-limit=2000
/queue type add name="Pcq_Upload" kind=pcq pcq-rate=0 pcq-limit=50
pcqclassifier=src-address pcq-total-limit=2000
5) QUEUE - Queue Tree. Previamente debes haber diseñado tu estructura HTB. En el
ejemplo a continuación se asume que las Q*_Download y Q*_Upload ya han sido
creadas previamente con sus respectivos hijos, límites y prioridades
/queue tree print (para mostrar las colas previamente creadas)
0 name="Q1_Download" parent=bridge1 limit-at=4M priority=8 max-limit=4M
burstlimit=0
burst-threshold=0 burst-time=0s
1 name="Q2_Download" parent=Q1_Download limit-at=2M priority=8 max-limit=4M
burst-limit=0
burst-threshold=0 burst-time=0s
2 name="Q3_Download" parent=Q2_Download limit-at=1M priority=8 max-limit=4M
burst-limit=0
burst-threshold=0 burst-time=0s
3 name="Q3.1_P2P" parent=Q3_Download packet-mark=packet_Red_P2P limitat=64k
queue=Pcq_Download
priority=8 max-limit=4M burst-limit=0 burst-threshold=0 burst-time=0s
4 name="Q3.2_Navegacion" parent=Q3_Download packet-mark=packet_lista_red
limit-at=928k
queue=Pcq_Download priority=1 max-limit=4M burst-limit=0 burst-threshold=0
bursttime=0s
*** En este momento creamos la cola hijo especifica para ICMP
/queue tree add name="Q3.3_ICMP" parent=Q3_Download packet-mark=packet_ICMP
limit-at=32k queue=Pcq_Download priority=1 max-limit=4M burst-limit=0
burstthreshold=0 burst-time=0s
*** Se asigna la prioridad 1. Tomar en cuenta que las sumas de los limit-at de
Q3.1,
Q3.2 y Q3.3 no excede el limit-at=1M (equivalente a 1024kbps) de su padre
Q3_Download
Con todas estas consideraciones de Marcado de conexiones/paquetes, PCQ (up y down)
y una correcta organizacion de estructura previa de HTB, se garantiza que la
prioridad
será asiganada en forma correcta a los paquetes ICMP. Recordar tambien que
Priority=1
es la más alta y Priority=8 es la más baja.
*** Algo muy importante que recordar... si trabajas conjuntamente Queue Tree con
Simple Queues, las definiciones en Simple Queue tienen prioridad sobre Queue Tree.
Es decir, si creas una regla en Simple Queues que involucra a las IPs o redes que
tambien estén definidas en Queue Tree, se ejecutará primero las reglas en Simple
Queues dejando sin efecto las reglas en Queue Tree.
Las colas simples son eso... SIMPLES, y muchas veces lejos de solucionar el
problema
entorpecen el desempeño de los Queue Tree.
Las colas simples debes usarlas solo para salir del paso y en configuraciones muy
elementales, ni siquiera para una configuración de QoS en casa... para eso debes
usar
Queue Tree con PCQ y HTB.

interesante forma de bloquear masivamente la molestosa publicidad de msn. Esto

gracias a dos simples reglas de firewall aplicables no solo a mikrotik si no que
extrapolables a cualquier router.
Primero ingresamos a los filtros del firewall


/ ip firewall filter

y agregamos las 2 cadenas



add chain=forward src-address=0.0.0.0/0 protocol=tcp content=MsgrConfig

action=drop disabled=no


add chain=forward src-address=0.0.0.0/0 protocol=tcp content=RadUrl

action=drop disabled=no

Esta forma es masiva, y evita estar aplicando cuanto parche que pillemos al msn...
desde el punto de vista de la red... un muy ligero ahorro de carga y para los pc
viejos, un
alivio al momento de mostrar mas imágenes y por sobre todo cargar alguna publicidad
en flash.

Nooo los pings!!!

Escrito por Carlos Campano
lunes, 16 de julio de 2007
Hola a todos... hace tiempo que vengo pensando en como solucionar un problema de
una red "amiga" la cual sufre de pings altísimos y "escapes" de tráfico a través de
su
enlace a Internet... y como ya es costumbre, pensando en la solución bajo
situaciones de
lo más extrañas (comidas, caminando, en el baño, yendo a la U, en un certamen...
etc...
o incluso hasta en los sueños) se me ocurrió revisar el webproxy, sí!!! ese bien
ponderado plus de mikrotik tan facil de configurar y que nos ayuda a cachear como
locos los flash, jpg, png y por supuesto los archivos del maldito windows update
que se
hacen tan pesados de bajar y que consumen tanto tráfico cuando sale una
actualización
y existen 20 equipos con XP en red que lo quieren descargar.... El problema de este
bicharraco es que no es piola, es decir no tiene ninguna opción para el usuario
poco
entendido en el tema que indique que puede ser utilizado como cache externo...

He ahí el problema... cualquier tercero puede utilizarlo como parent proxy y con
ello
sobrecargar la bajada y subida de la conexión al punto de hacerla inoperante... con
lo
que los pings se disparan y ni google.cl se logra visualizar...
Una de las reglas simples y efectivas es habilitar los inputs en el webproxy del
router sólo para la red interna lo que quedaría así:

/add chain=input action=drop src-address=!10.8.1.0/24 dst-port=3128 protocol=tcp

Con ello bloqueamos el acceso al webproxy para todas las ips que no sean de la
red...
y vualá tenemos un webproxy sólo interno y de inmediato ( en el caso de la red
"amiga") vemos que bajan las conexiones en el firewall y los 4 megas de UP/DOWN
que teníamos inexplicablemente se van dando paso a pings de 13 o 14 a servidores
nacionales!! :D.

Lucha contra el spam

Hoooola a todos, hoy 24 de diciembre, día de fiestas navideñas me levanto tranquilo
a
eso de las 11 am, luego de acostarme aproximadamente a las 4:30, por causa de
algunos
experimentos en php y sql para la red, y me encuentro con la grata sorpresa que el
mikrotik que controla a WI-FI_Net, esta bajo el incesante envio de SPAM, por lo que
al
mirar en el manualcillo y siguiendo los consejos de Maximiliano (consultor de
mikrotik
Argentina) he establecido dos pequeñas reglas que limiran a los spammers, dejando
como máximo 10 entradas simultaneas (conexiones TCP) ya que al llegar a estas 10
conexiones la IP del spammer se adjunta en una lista de Spam, la cual es bloqueada
(denegada con un drop) por 2 horas, así evitando que un tryano, spyware, malware,
etc.,
etc. nos convierta a nuestro routercirijillo en un enjambre de correo basura.

/ip firewall filter add chain=forward protocol=tcp dst-port=25 src-address-

list=Spamm
action=drop
/ip firewall filter add chain=forward protocol=tcp dst-port=25 connection-
limit=10,32
limit=50,5 action=add-src-to-address-list address-list=Spamm address-list-
timeout=2h

Además como regalito de navidad, una regla aplicada a los intentos de login por ssh
y
telnet, usando el mismo principio de los múltiples intentos, pero más restringido:

/ip firewall filter add chain=forward protocol=tcp dst-port=22-23 src-

addresslist=AtaqueDicc action=drop
/ip firewall filter add chain=forward protocol=tcp dst-port=22-23 connection-
limit=2,32
limit=25,5 action=add-src-to-address-list address-list=AtaqueDicc address-
listtimeout=12h
Mikrotik se toma la red :D
lunes, 08 de mayo de 2006

Hola a todos como ya saben desde que se contó con la ceremonia de la red, hasta
excursión entre la jungla ( en donde se combatió contra los Dlink-cuentes) la red
ha
estado bajo la protección de un titán, es decir Mikrotikon Primero, quien desde hoy
maneja totalmente la red pues, esta todo listo para decirle adios a nuestro bien
ponderado y aperrador vasallo Sn. linksys WRT54G, quien desde hace tiempo se las
dió
de Top y se fue a los cielos a hacer el traspaso de red a Wireless, pero como todo
ciclo
que termina se le habré la puerta ancha para decirle: Adiós y gracias y dejar
directamente al nuevo todopoderoso y mítico router SO manejar todo desde su Atheros
AR5213 :D a 200 mw :) con lo que esperemos en Dios que todo ande mejor, las
transferencias suban y lleguemos a la estabilidad que la deseamos desde hace
tiempo...

Son buenas noticias sin duda, la inversión es grande, el tiempo, el peligro de

hacer
malabares con los fierros en el techo y por su puesto mis queridos usuarios su
pereza,
paja y mala dispocision para ayudar en una tarea tan chica como sujetar una escala
para
que no me mate !!!, pero bueno es lo que hay... volviendo al tema como novedad, el
mercader de Venecia ( o EEUU :P) Oscar me informo que la tarjeta de red de 1 giga
esta en nuestro querido país por lo que debería todo andar a las 1000 maravillas,
tanto el
wifi, como la red de cable.

Coming Soon...

como copucha tengo que decirles que lo mas probable es que dejemos 3 nodos pronto,
y
el nodo central con 2 antenas :D , claro que todo esta sujeto a factibilidad
técnica...
jojojo...
Server Conection Failed, DNS no resolve ?
martes, 29 de agosto de 2006
Una de las causas de que en una red no podamos ver páginas que sabemos que se
encuentran operativas, es el exceso de tráfico, con lo que nuestras peticiones de
conexión quedan sin ser aceptadas, es debido a esto que es frecuente el aumentar la
prioridad por tipo de paquetes o puertos, es así como existen prioridades para
trafico
dns y web ( Puerto 53 y 80 respectivamente). En el siguiente caso no se realizará
un
sistema de prioridades, sino que se establecerá una Cola Dinámica, la que es capaz
de
administrar el ancho de banda tanto en la subida como en la descarga.
Lo primero es marcar los paquetes para nuestra red local: (por mi parte utilizo la
10
.8.1.0/24, estos valores deben cambiarlos para su red)

/ip firewall mangle add chain=forward src-address=10.8.1.0/24 action=markconnection

new-connection-mark=users-con
/ip firewall mangle add connection-mark=users-con action=mark-packet new-
packetmark=users chain=forward

Ahora las PCQ que nos ayudaran a agrupar el marcado por interfaz (tanto para la
bajada o conexión local, como para la subida o conexión a Internet)

/queue type add name=pcq-download kind=pcq pcq-classifier=dst-address

/queue type add name=pcq-upload kind=pcq pcq-classifier=src-address

Y ahora a crear la Queue Tree de Descarga, limitando a nuestro ancho de banda

(4mbps o 4096000 bps en mi situación: D) respectivo y teniendo en cuenta el nombre
de la interfaz local (en mi caso: Lan)

/queue tree add name=Download parent=Lan max-limit=4096000 priority=1

/queue tree add parent=Download queue=pcq-download packet-mark=users

Ahora repetimos los pasos pero con el ancho de subida (1024000 bps de upload para
mi
conexión) en la Interfaz correspondiente (Internet para mi router)
/queue tree add name=Upload parent=Internet max-limit=1024000 priority=1
/queue tree add parent=Upload queue=pcq-upload packet-mark=users

Con esto ya tenemos balanceadas nuestras conexiones, desde el punto de vista de la

utilización.