Lista de Scripts y Rutinas Utiles Para Mikrotik RouterOS

Tenemos una linea de 1 mega, si un usuario descarga solo algo logra

ocupar el 100% de la linea, luego si otro usuario empieza a descargar
algo los 2 logran la mitad osea cada uno 512, en el caso ke uno solo
use 256 el otro obtiene lo restante de este usuario osea
512+256=768, este ejemplo sirve para N usuarios
Primero marcamos los paquetes que vienen desde 192.168.0.0/24
(nuestra red local)
/ip firewall mangle add chain=forward src-address=192.168.0.0/24
action=mark-connection new-connection-mark=users-con
/ip firewall mangle add connection-mark=users-con action=markpacket new-packet-mark=users chain=forward
Luego creamos las 2 nuevas PCQ (per connection Queue). El primero,
llamado pcq-download agrupa a todo el trafico por direccion de
destino. esta cola se le asigna a la interfaz Local, esta debe cread una
cola dinamica para cada direccion de destino (usuario) que este
bajando desde la red local . La segunda, llamada pcq-upload agrupa
el trafico desde las direcciones de partida. Esta interfaz se debe
asignar a la interfaz Public (internet) esta debe generar una cola
dinamica por cada usuario que este subiendo algo a la internet desde
la red local.
/queue type add name=pcq-download kind=pcq pcq-classifier=dstaddress
/queue type add name=pcq-upload kind=pcq pcq-classifier=srcaddress
Finalmente hacemos el arbol de colas para el trafico de Download
/queue tree add name=Download parent=Local max-limit=1024000
priority=1
/queue tree add parent=Download queue=pcq-download packetmark=users
y tambien para el trafico de upload
/queue tree add name=Upload parent=Public max-limit=256000
priority=1
/queue tree add parent=Upload queue=pcq-upload packetmark=users

bueno y lo otro que tambien se puede hacer es marcar el trafico P2P

(kazza, bittorrent, emule, etc) para que tenga una menor prioridad y
tambien asignarle un ancho de banda menor, esto lo hacemos de la
siguiente manera
primero marcando el trafico de los p2p
/ip firewall mangle add chain=forward p2p=all-p2p action=markconnection new-connection-mark=p2p_conn
/ip firewall mangle add chain=forward connection-mark=p2p_conn
action=mark-packet new-packet-mark=p2p
luego asignandole un prioridad baja y ademas asigandole muy poco
ancho de banda (64kbps) de nuestro total de 1 mega
/queue tree add parent=Public packet-mark=p2p limit-at=3000 maxlimit=64000 priority=8
/queue tree add parent=Local packet-mark=p2p limit-at=3000 maxlimit=64000 priority=8
Bueno este ejemplo lo probe en el mikrotik de mi casa y funciona de
maravilla supongo ke se puede hacer de otra forma y mejor, si
alguien sabe como digamelo =) gracias

Lista de scripts y rutinas utiles para Mikrotik RouterOS

Todos los SCRIPTS deben ser insertados via "WINBOX" en el menu "SYSTEM"
submenu "SCRIPTS" o bien via "NEW TERMINAL" /system script

SCRIPT PARA REINICIAR AUTOMATICAMENTE

add name="reiniciar" source="/system reboot"

policy=ftp,reboot,read,write,policy,test,winbox,password

SCRIPT PARA DETENER LA WEB-CACHE

add name="detener_proxy" source="/ip web-proxy set enabled=no"

policy=ftp,reboot,read,write,policy,test,winbox,password

SCRIPT PARA LIMPIAR WEB-CACHE

add name="Limpiar_Proxy" source="/ip web-proxy clear-cache"

policy=ftp,reboot,read,write,policy,test,winbox,password

SCRIPT PARA REINICIALIZAR LA WEB-CACHE

add name="Crear_Proxy" source="/ip web-proxy set enabled=yes"

policy=ftp,reboot,read,write,policy,test,winbox,password

SCRIPT PARA BACKUP AUTOMTICO DEL MIKROTIK

add name="respaldo_diario" source="/sy ba sav name=mk_bkp.backup"

policy=ftp,reboot,read,write,policy,test,winbox,password

RUTINAS UTILES

Deben ser aplicadas via Winbox; Menu "SYSTEM", submenu

"SCHEDULER" o bien via "NEW TERMINAL" en /system scheduler

Programar reinicios de 15 en 15 dias

add name="reiniciar" on-event=reboot start-date=aug/15/2008 starttime=06:05:00 interval=2w1d comment="REINICIO CADA 15 DIAS"

disabled=no

Programar el mantenimiento automatico del WEB PROXY (Cada 5

dias)

add name="detener_proxy" on-event=detener_proxy startdate=Aug/15/2008 start-time=05:00:00 interval=5d comment="Detener

Proxy para mantenimiento" disabled=no

add name="Limpiar_Proxy" on-event=Limpiar_Proxy startdate=Aug/15/2008 start-time=05:03:00 interval=5d comment=""

disabled=no

add name="Crear_Proxy" on-event=Crear_Proxy startdate=Aug/15/2008 start-time=05:10:00 interval=5d

comment="Mantenimiento automatico del Web-Proxy" disabled=no
Programar el respaldo automatico cada 6 horas

add name="respaldo_diario" on-event=respaldo_diario startdate=Aug/16/2008 start-time=00:00:01 interval=6h comment="Crear

respaldos cada 6 horas" disabled=no

Publicado por Mikrotik Blogger en 20:41 2 comentarios

Etiquetas: Mikrotik rutinas, Reinicio automatico de Mikrotik, Respaldo
automatico Mikrotik, Web-Proxy Mikrotik

Dar prioridad a ICMP en RouterOS

Enviado por master_mikrotik el Jue, 2010-01-21 00:55.

Documentacin

En varias ocasiones me han consultado sobre dar prioridad a tal o cual servicio o
protocolo con RouterOS MikroTik. El procedimiento, si bien es cierto parece un poco
largo, sin embargo su desarrollo obedece a una estructura HTB bien definida que junto
con un pard e nuevas definiciones PCQ (para subida y para bajada) garantizan la
priorizacin de los paquetes deseados.

En este caso daremos prioridad a paquetes ICMP.

1) Creas un access list para especificar las IPs o las redes que vas a filtrar
/ip firewall address-list add address=192.168.1.0/24 list=lista
2) MANGLE - marcar conexin
/ip firewall mangle add chain=prerouting protocol=icmp action=mark-connection newconnection-mark=conn_lista passthrough=yes src-address-list=lista
3) MANGLE - marcar paquetes
/ip firewall mangle add chain=prerouting action=mark-packet new-packetmark=pack_lista passthrough=yes
connection-mark=conn_lista
*** recuerda que es muy importante marcar primero Conexiones y luego marcar
paquetes... esto garantiza el desempeo del router
4) QUEUE - Queue Types. Crear dos nuevos tipos de queue (uno para Upload y otro
para Download) basados en PCQ
/queue type add name="Pcq_Download" kind=pcq pcq-rate=0 pcq-limit=50 pcqclassifier=dst-address pcq-total-limit=2000
/queue type add name="Pcq_Upload" kind=pcq pcq-rate=0 pcq-limit=50 pcqclassifier=src-address pcq-total-limit=2000
5) QUEUE - Queue Tree. Previamente debes haber diseado tu estructura HTB. En el
ejemplo a continuacin se asume que las Q*_Download y Q*_Upload ya han sido
creadas previamente con sus respectivos hijos, lmites y prioridades
/queue tree print (para mostrar las colas previamente creadas)
0 name="Q1_Download" parent=bridge1 limit-at=4M priority=8 max-limit=4M burstlimit=0
burst-threshold=0 burst-time=0s
1 name="Q2_Download" parent=Q1_Download limit-at=2M priority=8 max-limit=4M
burst-limit=0
burst-threshold=0 burst-time=0s
2 name="Q3_Download" parent=Q2_Download limit-at=1M priority=8 max-limit=4M
burst-limit=0
burst-threshold=0 burst-time=0s
3 name="Q3.1_P2P" parent=Q3_Download packet-mark=packet_Red_P2P limitat=64k queue=Pcq_Download
priority=8 max-limit=4M burst-limit=0 burst-threshold=0 burst-time=0s

4 name="Q3.2_Navegacion" parent=Q3_Download packet-mark=packet_lista_red

limit-at=928k
queue=Pcq_Download priority=1 max-limit=4M burst-limit=0 burst-threshold=0 bursttime=0s
*** En este momento creamos la cola hijo especifica para ICMP
/queue tree add name="Q3.3_ICMP" parent=Q3_Download packet-mark=packet_ICMP
limit-at=32k queue=Pcq_Download priority=1 max-limit=4M burst-limit=0 burstthreshold=0 burst-time=0s
*** Se asigna la prioridad 1. Tomar en cuenta que las sumas de los limit-at de Q3.1,
Q3.2 y Q3.3 no excede el limit-at=1M (equivalente a 1024kbps) de su padre
Q3_Download
Con todas estas consideraciones de Marcado de conexiones/paquetes, PCQ (up y down)
y una correcta organizacion de estructura previa de HTB, se garantiza que la prioridad
ser asiganada en forma correcta a los paquetes ICMP. Recordar tambien que Priority=1
es la ms alta y Priority=8 es la ms baja.
*** Algo muy importante que recordar... si trabajas conjuntamente Queue Tree con
Simple Queues, las definiciones en Simple Queue tienen prioridad sobre Queue Tree.
Es decir, si creas una regla en Simple Queues que involucra a las IPs o redes que
tambien estn definidas en Queue Tree, se ejecutar primero las reglas en Simple
Queues dejando sin efecto las reglas en Queue Tree.
Las colas simples son eso... SIMPLES, y muchas veces lejos de solucionar el problema
entorpecen el desempeo de los Queue Tree.
Las colas simples debes usarlas solo para salir del paso y en configuraciones muy
elementales, ni siquiera para una configuracin de QoS en casa... para eso debes usar
Queue Tree con PCQ y HTB.

interesante forma de bloquear masivamente la molestosa publicidad de msn. Esto

gracias a dos simples reglas de firewall aplicables no solo a mikrotik si no que
extrapolables a cualquier router.
Primero ingresamos a los filtros del firewall

/ ip firewall filter

y agregamos las 2 cadenas

add chain=forward src-address=0.0.0.0/0 protocol=tcp content=MsgrConfig

action=drop disabled=no

add chain=forward src-address=0.0.0.0/0 protocol=tcp content=RadUrl

action=drop disabled=no

Esta forma es masiva, y evita estar aplicando cuanto parche que pillemos al msn...
desde el punto de vista de la red... un muy ligero ahorro de carga y para los pc viejos, un
alivio al momento de mostrar mas imgenes y por sobre todo cargar alguna publicidad
en flash.

Nooo los pings!!!

Escrito por Carlos Campano
lunes, 16 de julio de 2007
Hola a todos... hace tiempo que vengo pensando en como solucionar un problema de
una red "amiga" la cual sufre de pings altsimos y "escapes" de trfico a travs de su
enlace a Internet... y como ya es costumbre, pensando en la solucin bajo situaciones de
lo ms extraas (comidas, caminando, en el bao, yendo a la U, en un certamen... etc...
o incluso hasta en los sueos) se me ocurri revisar el webproxy, s!!! ese bien
ponderado plus de mikrotik tan facil de configurar y que nos ayuda a cachear como
locos los flash, jpg, png y por supuesto los archivos del maldito windows update que se
hacen tan pesados de bajar y que consumen tanto trfico cuando sale una actualizacin
y existen 20 equipos con XP en red que lo quieren descargar.... El problema de este
bicharraco es que no es piola, es decir no tiene ninguna opcin para el usuario poco
entendido en el tema que indique que puede ser utilizado como cache externo...

He ah el problema... cualquier tercero puede utilizarlo como parent proxy y con ello
sobrecargar la bajada y subida de la conexin al punto de hacerla inoperante... con lo
que los pings se disparan y ni google.cl se logra visualizar...
Una de las reglas simples y efectivas es habilitar los inputs en el webproxy del
router slo para la red interna lo que quedara as:

/add chain=input action=drop src-address=!10.8.1.0/24 dst-port=3128 protocol=tcp

Con ello bloqueamos el acceso al webproxy para todas las ips que no sean de la red...
y vual tenemos un webproxy slo interno y de inmediato ( en el caso de la red
"amiga") vemos que bajan las conexiones en el firewall y los 4 megas de UP/DOWN
que tenamos inexplicablemente se van dando paso a pings de 13 o 14 a servidores

nacionales!! :D.

Lucha contra el spam

Hoooola a todos, hoy 24 de diciembre, da de fiestas navideas me levanto tranquilo a
eso de las 11 am, luego de acostarme aproximadamente a las 4:30, por causa de algunos
experimentos en php y sql para la red, y me encuentro con la grata sorpresa que el
mikrotik que controla a WI-FI_Net, esta bajo el incesante envio de SPAM, por lo que al
mirar en el manualcillo y siguiendo los consejos de Maximiliano (consultor de mikrotik
Argentina) he establecido dos pequeas reglas que limiran a los spammers, dejando
como mximo 10 entradas simultaneas (conexiones TCP) ya que al llegar a estas 10
conexiones la IP del spammer se adjunta en una lista de Spam, la cual es bloqueada
(denegada con un drop) por 2 horas, as evitando que un tryano, spyware, malware, etc.,
etc. nos convierta a nuestro routercirijillo en un enjambre de correo basura.

/ip firewall filter add chain=forward protocol=tcp dst-port=25 src-address-list=Spamm

action=drop
/ip firewall filter add chain=forward protocol=tcp dst-port=25 connection-limit=10,32
limit=50,5 action=add-src-to-address-list address-list=Spamm address-list-timeout=2h

Adems como regalito de navidad, una regla aplicada a los intentos de login por ssh y
telnet, usando el mismo principio de los mltiples intentos, pero ms restringido:

/ip firewall filter add chain=forward protocol=tcp dst-port=22-23 src-addresslist=AtaqueDicc action=drop

/ip firewall filter add chain=forward protocol=tcp dst-port=22-23 connection-limit=2,32
limit=25,5 action=add-src-to-address-list address-list=AtaqueDicc address-listtimeout=12h

Mikrotik se toma la red :D

lunes, 08 de mayo de 2006

Hola a todos como ya saben desde que se cont con la ceremonia de la red, hasta
excursin entre la jungla ( en donde se combati contra los Dlink-cuentes) la red ha
estado bajo la proteccin de un titn, es decir Mikrotikon Primero, quien desde hoy
maneja totalmente la red pues, esta todo listo para decirle adios a nuestro bien
ponderado y aperrador vasallo Sn. linksys WRT54G, quien desde hace tiempo se las di
de Top y se fue a los cielos a hacer el traspaso de red a Wireless, pero como todo ciclo
que termina se le habr la puerta ancha para decirle: Adis y gracias y dejar
directamente al nuevo todopoderoso y mtico router SO manejar todo desde su Atheros
AR5213 :D a 200 mw :) con lo que esperemos en Dios que todo ande mejor, las
transferencias suban y lleguemos a la estabilidad que la deseamos desde hace tiempo...

Son buenas noticias sin duda, la inversin es grande, el tiempo, el peligro de hacer
malabares con los fierros en el techo y por su puesto mis queridos usuarios su pereza,
paja y mala dispocision para ayudar en una tarea tan chica como sujetar una escala para
que no me mate !!!, pero bueno es lo que hay... volviendo al tema como novedad, el
mercader de Venecia ( o EEUU :P) Oscar me informo que la tarjeta de red de 1 giga
esta en nuestro querido pas por lo que debera todo andar a las 1000 maravillas, tanto el
wifi, como la red de cable.

Coming Soon...

como copucha tengo que decirles que lo mas probable es que dejemos 3 nodos pronto, y
el nodo central con 2 antenas :D , claro que todo esta sujeto a factibilidad tcnica...
jojojo...

Server Conection Failed, DNS no resolve ?

martes, 29 de agosto de 2006
Una de las causas de que en una red no podamos ver pginas que sabemos que se
encuentran operativas, es el exceso de trfico, con lo que nuestras peticiones de
conexin quedan sin ser aceptadas, es debido a esto que es frecuente el aumentar la
prioridad por tipo de paquetes o puertos, es as como existen prioridades para trafico
dns y web ( Puerto 53 y 80 respectivamente). En el siguiente caso no se realizar un
sistema de prioridades, sino que se establecer una Cola Dinmica, la que es capaz de
administrar el ancho de banda tanto en la subida como en la descarga.
Lo primero es marcar los paquetes para nuestra red local: (por mi parte utilizo la 10
.8.1.0/24, estos valores deben cambiarlos para su red)

/ip firewall mangle add chain=forward src-address=10.8.1.0/24 action=markconnection new-connection-mark=users-con

/ip firewall mangle add connection-mark=users-con action=mark-packet new-packetmark=users chain=forward

Ahora las PCQ que nos ayudaran a agrupar el marcado por interfaz (tanto para la
bajada o conexin local, como para la subida o conexin a Internet)

/queue type add name=pcq-download kind=pcq pcq-classifier=dst-address

/queue type add name=pcq-upload kind=pcq pcq-classifier=src-address

Y ahora a crear la Queue Tree de Descarga, limitando a nuestro ancho de banda

(4mbps o 4096000 bps en mi situacin: D) respectivo y teniendo en cuenta el nombre
de la interfaz local (en mi caso: Lan)

/queue tree add name=Download parent=Lan max-limit=4096000 priority=1

/queue tree add parent=Download queue=pcq-download packet-mark=users

Ahora repetimos los pasos pero con el ancho de subida (1024000 bps de upload para mi
conexin) en la Interfaz correspondiente (Internet para mi router)

/queue tree add name=Upload parent=Internet max-limit=1024000 priority=1

/queue tree add parent=Upload queue=pcq-upload packet-mark=users

Con esto ya tenemos balanceadas nuestras conexiones, desde el punto de vista de la

utilizacin.