Autor Tema: Los 10 errores más comunes a la hora de configurar RouterOS de MikroTik  (Leído 511 veces)

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado marketingcw

  • Moderador
  • *
  • Mensajes: 4
Los expertos de MikroTik  nos presentan el top 10 de errores más frecuentes a la hora de configurar RouterOS en los equipos de la marca. Consulta cuáles son los fallos principales, evítalos y saca el máximo provecho de las funciones que te ofrece RouterOS de MikroTik.



Recuerda que si tienes cualquier duda durante la configuración o gestión de tus dispositivos MikroTik adquiridos en CiudadWireless, el  equipo de soporte puede ofrecerte ayuda técnica: info@ciudadwireless.com


10. Tener la misma dirección de IP asignada a distintos equipos
A no ser que tengas un único dispositivo, en cuyo caso no tendrás problema, lo recomendable es asignar distintas IP a las diferentes interfaces que vayas generando según los dispositivos que incluyas en la red. Este punto es especialmente sensible cuando tienes muchos equipos registrados en la lista de direcciones IP, por lo que los expertos recomiendan modificarlo al inicio de la configuración.



9. Falta de monitorización de los routers

¿Cómo es la salud de mi router?, ¿es accesible desde todos los sitios que necesito?, ¿está sobrecargado? Estas son las tres preguntas que hay que plantearse frecuentemente para valorar el estado de los equipos y evitar los cuellos de botella. Además de tener en cuenta las capacidades técnicas o recursos del mismo, se tiene que revisar con asiduidad cuáles son los resultados que arrojan sus pruebas desde fuera de la red local o incluso, desde otros entornos físicos (especialmente en el caso de gestión cloud).

Los routers de MikroTik disponen de una pestaña específica de 'salud' en su interfaz web en la que se detallan las informaciones recogidas por los sensores: temperaturas, actividad de los ventiladores, voltajes, capacidad de memoria, etc. Esta información se puede añadir a un SNMP (Simple Networking Management Protocol), un protocolo que intercambia información entre una solución de administración de red y cualquier dispositivo habilitado para SNMP; de esta forma, la información de todos los dispositivos recogidos en la SNMP estaría centralizada en un servidor de monitorización, en el cual se podrían programar el envío de notificaciones en caso de que las variables se salieran de lo normal.

En cualquier caso, se recomienda revisar esta sección para tener en cuenta cuál es el estado de los equipos, ya sea de forma individual, o a través de plataforma de gestión de dispositivos.


8. No disponer de firewall
No disponer de firewall puede habilitar a cualquier persona a usar los servicios DNS de nuestra red interna. Además de saturar los equipos al enfrentarse a una gran cantidad de consultas. Nuestra red puede estar siendo usada en actividades maliciosas o hackeos y convertirnos en responsables de esta actividad ilícita.

Desde MikroTik recomiendan usar filtros con protocolos UDP y TCP, ya que ambos se sitúan en la capa de transporte del modelo TCP/IP (la primera capa en la que origen y destino se comunican directamente).


7. Firewall ineficaz
Tan peligroso es no tener firewall, como disponer de uno ineficaz que dé la falsa sensación de protección. En MikroTik recomiendan usar Access Rules o políticas de acceso que definan las reglas para administrar el tráfico de paquetes de red y aseguren que el firewall permita o no su acceso.

Hay que tener en cuenta que un exceso de reglas individuales puede hacer que el servidor responda de forma más lenta que si aplicamos solo una que englobe a todas las demás. De igual forma, recomiendan el uso de herramientas de análisis, como las que ofrece Google entre otros, para revisar cuál es el tiempo de respuesta del servidor web.


6. Problemas de NAT
Los routers pueden encontrar problemas a la hora de detectar las IPs generadas por la NAT. Si la NAT no está bien configurada, automáticamente todos los paquetes serán enmascarados, incluso los que se quieran compartir por las subredes creadas en la red local, ocultado el tráfico privado; esto se traduciría en limitaciones en la conexión.

Sin embargo, el verdadero problema lo encontraríamos con los paquetes que llegaran desde una red externa. Al pasar por el router y enmascararlos, la dirección IP que figuraría en dichos envíos sería la misma que la de la red local, por lo que los firewalls no los bloquearían al entenderlos como seguros y nuestra red sería vulnerable.

La solución que dan desde MikroTik es ser más específicos en la configuración de la NAT, teniendo en cuenta que su función como tal no es proporcionar protección en la red, sino incluir una regla firewall para detectar los paquetes que lleguen de la red externa y monitorizar los posibles ataques que se reciban desde el exterior.

El protocolo IPsec para proteger las VPNs (Virtual Private Network) se aplica por defecto después de que los paquetes sean enmascarados por lo que, si no se hace nada, los paquetes ya no pasan por las políticas restrictivas de este protocolo. Para que sea efectivo, se tiene que crear una regla en el switch que evite que los paquetes que vengan por IPsec sean enmascarados


5. Suplantación de IPs a través de las redes

La aceptación de paquetes provenientes de IPs suplantadas viene determinada por la falta de ajustes o configuración en los routers, bien porque el router solo se fije en la dirección de destino, bien porque el paquete figure con la dirección IP de nuestra red local (y no tengamos aplicado ningún filtro ni en el firewall, ni en el propio router).

MikroTik dispone de una potente herramienta, Traffic Generator, que permite evaluar el desempeño DUT (Device Under Test) o SUT (System Under Test), a través de la generación y envío de paquetes RAW (ficticios) a través de puertos específicos. También recopila valores de latencia y jitter, tasas de tx / rx, cuenta los paquetes perdidos y detecta los paquetes fuera de servicio (OOO).


4. Problemas de switching.

Uno de los problemas más comunes es conectar erróneamente el cable WAN en puertos esclavos. Esto supone que una conexión externa tenga acceso directo a la red interna creada con el switch y los peligros de seguridad que este error entraña.

Otro aspecto a tener en cuenta es ubicar el servidor DHCP en un puerto individual y no en el puerto que hace de puente.


3. Problemas con el PoE
MikroTik dispone de dos adaptadores PoE, uno para redes gigabit (alimentación y datos) y otro para redes 10/100. Los adaptadores están diseñados para ofrecer datos y alimentación al router, pero no a los equipos conectados (user stations como portátiles, etc.); esto podría derivar en problemas de sobrecarga de los puertos del router, así como en daños en los equipos conectados. De igual forma, hay que tener en cuenta los rangos de voltaje que aceptan los equipos MikroTik, que van de 8 a 30 o 50 V (dependiendo del modelo).

En cualquier caso, la forma correcta de utilizar los dispositivos PoE es conectando el DC jack al ordenador portátil. De igual forma, podemos alimentar el router de manera redundante desde dos fuentes de alimentación: usando el jack al ordenador (o a una fuente de alimentación externa como puedan ser paneles solares) y simultáneamente el PoE; el router usará la fuente que mayor voltaje le proporcione.


2. No facilites el acceso a los hackers

A la hora de configurar un equipo MikroTik puedes hacerlo con Winbox, a donde accedes a través de la MAC en lugar de la dirección IP; o a través de MAC Telnet, para cuando se trabaja con redes wireless P2P o P2MP en las que no puedo usar Winbox, ni Webbox, cuyo acceso viene facilitado por otro equipo MikroTik que se encuentre en la misma red.

Si el acceso MAC se mantiene abierto, permite que los hackers ataquen los dispositivos accediendo a nombres de usuario y contraseñas. En ese momento, aparecerán mensajes en rojo en WINBox que indican la existencia de problemas en el equipo mostrando la dirección MAC de los atacantes.

La mejor práctica es desactivar Winbox y MAC Telnet en interfaces externas y solo poder acceder a ellas a través de VPN.


1. El error de los principiantes
El error más grande que se puede cometer y quizá, por desgracia, uno de los más habituales es usar 'admin' como nombre de usuario y prescindir de contraseña.

Por descontado, el primer paso que deberíamos dar a la hora de configurar cualquier equipo MikroTik es renombrarlo y seguidamente, actualizar la contraseña eligiendo una que sea de seguridad elevada. Los equipos que no han sido renombrados y que carezcan de contraseña se loguearán automáticamente.


Sobre MikroTik

Si necesitas ayuda con cualquiera de tus equipos MikroTik, o necesitas asesoramiento personalizado para tus instalaciones, ponte en contacto con nuestro equipo comercial: info@ciudadwireless.com


« Última modificación: 13-10-2022, 13:32 (Jueves) por marketingcw »