Sie sind auf Seite 1von 7

#...........(No Default Configuración......

# Comando de terminal para realizar el Reset


/system reset-configuration no-defaults=yes

#........BACKUP (Respaldar la configuración)


/system backup> save name=el_que_quieras
# Nota: este comando genera un fichero con el tipo de extensión backup

#...............BACKUPS EDITABLES..........
export file=aqui_pones_el_nombre_que_quieras
# Nota: este comando genera un fichero con el tipo de extensión rsc

#..........BACKUP (Restaurar la configuración)


/system backup> load name=el_que_quieras.backup

#:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
#.............ASIGNACIÓN DE NOMBRES A LAS INTERFASES......................
/interface ethernet
set [ find default-name=ether1 ] name=WAN_IMPRESION
set [ find default-name=ether2 ] name=WAN_OFICINA
set [ find default-name=ether3 ] name=WAN_NO_DISPONIBLE_AUN
set [ find default-name=ether4 ] name=LAN_INTERNET
set [ find default-name=ether5 ] name=LAN_IMPRESION

#=============FABRICANTE(EJEMPLO============
/interface ethernet
set 0 arp=enabled auto-negotiation=yes bandwidth=unlimited/unlimited \
disabled=no full-duplex=yes l2mtu=1598 master-port=none mtu=1500 \
name=WAN_IMPRESION speed=100Mbps
set 1 arp=enabled auto-negotiation=yes bandwidth=unlimited/unlimited \
disabled=no full-duplex=yes l2mtu=1598 master-port=none mtu=1500 \
name=WAN_OFICINA speed=100Mbps
set 2 arp=enabled auto-negotiation=yes bandwidth=unlimited/unlimited \
disabled=no full-duplex=yes l2mtu=1598 master-port=none mtu=1500 \
name=WAN_NO_DISPONIBLE_AUN speed=100Mbps
set 3 arp=enabled auto-negotiation=yes bandwidth=unlimited/unlimited \
disabled=no full-duplex=yes l2mtu=1598 master-port=none mtu=1500 \
name=LAN_INTERNET speed=100Mbps
set 4 arp=enabled auto-negotiation=yes bandwidth=unlimited/unlimited \
disabled=no full-duplex=yes l2mtu=1598 master-port=none mtu=1500 \
name=LAN_IMPRESION speed=100Mbps

#:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
#.........POOL DE IPs PARA SERVIDORES DHCP EN LANs PREDEFINIDAS...........
/ip pool
add name=dhcp_LAN_INTERNET ranges=192.168.10.10-192.168.10.100
add name=dhcp_LAN_IMPRESION ranges=192.168.10.110-192.168.10.254

#:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
#..SERVIDORES DHCP PARA DISTRIBUIR LAS IPs AUTOMATICAMENTE A LOS CLIENTES.
/ip dhcp-server
add address-pool=dhcp_LAN_INTERNET disabled=no interface=LAN_INTERNET
name=dhcp_SALA_INTERNET
add address-pool=dhcp_LAN_IMPRESION disabled=no interface=LAN_IMPRESION
name=dhcp_SALA_IMPRESION

#=============FABRICANTE(EJEMPLO============
/ip dhcp-server
add address-pool=dhcp_LAN_INTERNET authoritative=after-2sec-delay bootp-support=\
static disabled=no interface=LAN_INTERNET lease-time=3d name=\
dhcp_SALA_INTERNET
add address-pool=dhcp_LAN_IMPRESION authoritative=after-2sec-delay bootp-support=\
static disabled=no interface=LAN_IMPRESION lease-time=3d name=\
dhcp_SALA_IMPRESION

#:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
#...................NETWORKS O HOTS DE TRABAJO CONECTADOS A LA RED........
/ip dhcp-server network
add address=192.168.10.0/24 dns-server=185.228.168.168,185.228.168.169
gateway=192.168.10.1 netmask=24

#=============FABRICANTE(EJEMPLO============
/ip dhcp-server network
add address=192.168.10.0/24 comment="HOTS CONECTADOS A LA RED" dhcp-option="" \
dns-server=185.228.168.168,185.228.168.169 gateway=192.168.10.1 ntp-server=""
wins-server=""

#:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
#...................DNSs de OpenDNS PARA CONTRO PARENTAL..................
/ip dns
set servers=185.228.168.168,185.228.168.169

#=============FABRICANTE(EJEMPLO============
/ip dns
set allow-remote-requests=yes cache-max-ttl=1w cache-size=2048KiB \
max-udp-packet-size=4096 servers=185.228.168.168,185.228.168.169

#:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
#...................IPs EMPLEADAS EN LA RED LOCAN (LAN)...................
#Agregamos la dirección del balanceador, el gateway 24 (255.255.255.0).
/ip address
add address=192.168.10.10/24 comment="Configuración de IP estática sala de
internet" disabled=no \
interface= LAN_INTERNET network=192.168.10.0
add address=192.168.10.110/24 comment="Configuración de IP estática sala de
impresión" disabled=no \
interface= LAN_IMPRESION network=192.168.10.0

#:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
#....MIS WAN SERAN DHCP: Obtención de la configuración automáticamente....
/ip dhcp-client
add add-default-route=no dhcp-options=hostname,clientid disabled=no
interface=WAN_IMPRESION use-peer-dns=no
add add-default-route=no dhcp-options=hostname,clientid disabled=no
interface=WAN_OFICINA use-peer-dns=no
add add-default-route=no dhcp-options=hostname,clientid disabled=no
interface=WAN_NO_DISPONIBLE_AUN use-peer-dns=no

#=============FABRICANTE(EJEMPLO============
/ip dhcp-client
add add-default-route=yes comment="Internet CANTV Impresión" \
default-route-distance=1 disabled=no interface= WAN_IMPRESION \
use-peer-dns=yes use-peer-ntp=yes

add add-default-route=yes comment="Internet CANTV Oficina" \


default-route-distance=1 disabled=no interface= WAN_OFICINA \
use-peer-dns=yes use-peer-ntp=yes
add add-default-route=yes comment="En caso de adquirir otra línea CANTV conectar
acá" \
default-route-distance=1 disabled=no interface= WAN_NO_DISPONIBLE_AUN \
use-peer-dns=yes use-peer-ntp=yes

#:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
#...............MANGLE / BALANCEO PROPIAMENTE DICHO.......................
#Lo importante aquí es marcar las conexiones que pasen a través del router. De no
configurar esto, el
#router no sabría diferenciar entre una conexión que entra por WAN_IMPRESION y una
que entra por WAN_OFICINA,
#causandonos muchos dolores de cabeza cuando los paquetes empiecen a mezclarse
#
#MANGLE: Analiza ciertas características del paquete y lo marca en función de su
naturaleza, para que reciba
#cierto tratamiento específico (ej: diferenciar tráfico en función de los
servicios, etc.). Mangle permite la
#reescritura completa de paquetes (o tramas completas). En definitiva la tabla
mangle controla los procesos de
#modificación del contenido y las opciones del paquete. Las cadenas que se agrupan
en esta tabla son: INPUT,
#OUTPUT, FORWARD, PREROUTING y POSTROUTING.
#..........................................................................
#..Creamos las mangles o reglas para el control del balanceo, aquí esta en si la
función de control del balanceo
#o la repartición de la salida.
#--------------------------------------------------------------------------
/ip firewall mangle
add action=mark-connection chain=input comment="" disabled=no in-
interface=WAN_IMPRESION \
new-connection-mark=conex_WAN_IMPRESION passthrough=yes
add action=mark-connection chain=input comment="" disabled=no in-
interface=WAN_OFICINA \
new-connection-mark=conex_WAN_OFICINA passthrough=yes
add action=mark-connection chain=input comment="" disabled=no in-
interface=WAN_NO_DISPONIBLE_AUN \
new-connection-mark=conex_WAN_NO_DISPONIBLE_AUN passthrough=yes
#------------000000000000000000000
add action=mark-routing chain=output comment="" connection-mark=conex_WAN_IMPRESION
disabled=no \
new-routing-mark=R_WAN_IMPRESION passthrough=no
add action=mark-routing chain=output comment="" connection-mark=conex_WAN_OFICINA
disabled=no \
new-routing-mark=R_WAN_OFICINA passthrough=no
add action=mark-routing chain=output comment="" connection-
mark=conex_WAN_NO_DISPONIBLE_AUN disabled=no \
new-routing-mark=R_WAN_NO_DISPONIBLE_AUN passthrough=no
#------------000000000000000000000
add action=mark-connection chain=prerouting comment="" disabled=no dst-address-
type=!local in-interface=LAN_INTERNET \
new-connection-mark=conex_WAN_IMPRESION passthrough=yes per-connection-
classifier=both-addresses:4/0
add action=mark-connection chain=prerouting comment="" disabled=no dst-address-
type=!local in-interface=LAN_INTERNET \
new-connection-mark=conex_WAN_OFICINA passthrough=yes per-connection-
classifier=both-addresses:4/1
add action=mark-connection chain=prerouting comment="" disabled=no dst-address-
type=!local in-interface=LAN_INTERNET \
new-connection-mark=conex_WAN_NO_DISPONIBLE_AUN passthrough=yes per-connection-
classifier=both-addresses:4/2

add action=mark-connection chain=prerouting comment="" disabled=no dst-address-


type=!local in-interface=LAN_IMPRESION \
new-connection-mark=conex_WAN_IMPRESION passthrough=yes per-connection-
classifier=both-addresses:4/0
add action=mark-connection chain=prerouting comment="" disabled=no dst-address-
type=!local in-interface=LAN_IMPRESION \
new-connection-mark=conex_WAN_OFICINA passthrough=yes per-connection-
classifier=both-addresses:4/1
add action=mark-connection chain=prerouting comment="" disabled=no dst-address-
type=!local in-interface=LAN_IMPRESION \
new-connection-mark=conex_WAN_NO_DISPONIBLE_AUN passthrough=yes per-connection-
classifier=both-addresses:4/2
#------------000000000000000000000
add action=mark-routing chain=prerouting comment="" connection-
mark=conex_WAN_IMPRESION disabled=no in-interface=LAN_INTERNET \
new-routing-mark=R_WAN_IMPRESION passthrough=no
add action=mark-routing chain=prerouting comment="" connection-
mark=conex_WAN_OFICINA disabled=no in-interface=LAN_INTERNET\
new-routing-mark=R_WAN_OFICINA passthrough=no
add action=mark-routing chain=prerouting comment="" connection-
mark=conex_WAN_NO_DISPONIBLE_AUN disabled=no in-interface=LAN_INTERNET \
new-routing-mark=R_WAN_NO_DISPONIBLE_AUN passthrough=no

add action=mark-routing chain=prerouting comment="" connection-


mark=conex_WAN_IMPRESION disabled=no in-interface=LAN_IMPRESION \
new-routing-mark=R_WAN_IMPRESION passthrough=no
add action=mark-routing chain=prerouting comment="" connection-
mark=conex_WAN_OFICINA disabled=no in-interface=LAN_IMPRESION \
new-routing-mark=R_WAN_OFICINA passthrough=no
add action=mark-routing chain=prerouting comment="" connection-
mark=conex_WAN_NO_DISPONIBLE_AUN disabled=no in-interface=LAN_IMPRESION \
new-routing-mark=R_WAN_NO_DISPONIBLE_AUN passthrough=no

#=============FABRICANTE(EJEMPLO============
#..............ENTRADAS MANGLE..............
/ip firewall mangle
add action=mark-connection chain=input comment= \
" controla los procesos de modificación del contenido y las opciones del
paquete para input de la interface: WAN_IMPRESION" \
disabled=no in-interface=WAN_IMPRESION new-connection-mark=conex_WAN_IMPRESION
passthrough=yes
add action=mark-connection chain=input comment= \
"controla los procesos de modificación del contenido y las opciones del paquete
para input de la interface: WAN_OFICINA" \
disabled=no in-interface=WAN_OFICINA new-connection-mark=conex_WAN_OFICINA
passthrough=yes
add action=mark-connection chain=input comment= \
"controla los procesos de modificación del contenido y las opciones del paquete
para input de la interface: WAN_NO_DISPONIBLE_AUN" \
disabled=no in-interface=WAN_NO_DISPONIBLE_AUN new-connection-
mark=conex_WAN_NO_DISPONIBLE_AUN passthrough=yes
#------------000000000000000000000
#..............SALIDAS MANGLE................
add action=mark-routing chain=output comment= \
"controla los procesos de modificación del contenido y las opciones del paquete
para output de la interface: WAN_IMPRESION" \
connection-mark=conex_WAN_IMPRESION disabled=no new-routing-
mark=R_WAN_IMPRESION passthrough=no
add action=mark-routing chain=output comment= \
"controla los procesos de modificación del contenido y las opciones del paquete
para output de la interface: WAN_OFICINA" \
connection-mark=conex_WAN_OFICINA disabled=no new-routing-mark=R_WAN_OFICINA
passthrough=no
add action=mark-routing chain=output comment= \
"controla los procesos de modificación del contenido y las opciones del paquete
para output de la interface: WAN_NO_DISPONIBLE_AUN" \
connection-mark=conex_ WAN_NO_DISPONIBLE_AUN disabled=no new-routing-
mark=R_WAN_NO_DISPONIBLE_AUN passthrough=no
#------------000000000000000000000
#------------------------------------------------------------
#Una vez configuradas las primeras reglas, vamos al balanceo
#................................
#PREROUTING: Es el primer estadio en el sistema Netfilter. Determina la primera
acción a realizar antes de que el paquete entre en el sistema.
#------------------------------------------------------------
add action=mark-connection chain=prerouting comment= \
"Prerouting determina la primera acción a realizar antes de que el paquete
entre en el sistema,en este caso mediante las interfaces LAN" \
disabled=no dst-address-type=!local in-interface=LAN_INTERNET new-connection-
mark=conex_WAN_IMPRESION \
passthrough=yes per-connection-classifier=both-addresses:3/0
add action=mark-connection chain=prerouting comment= \
"Prerouting determina la primera acción a realizar antes de que el paquete
entre en el sistema, en este caso mediante las interfaces LAN" \
disabled=no dst-address-type=!local in-interface=LAN_INTERNET new-connection-
mark=conex_WAN_OFICINA \
passthrough=yes per-connection-classifier=both-addresses:3/1
add action=mark-connection chain=prerouting comment= \
"Prerouting determina la primera acción a realizar antes de que el paquete
entre en el sistema, en este caso mediante las interfaces LAN" \
disabled=no dst-address-type=!local in-interface= LAN_INTERNET new-connection-
mark=conex_ WAN_NO_DISPONIBLE_AUN \
passthrough=yes per-connection-classifier=both-addresses:3/2

add action=mark-connection chain=prerouting comment= \


"Prerouting determina la primera acción a realizar antes de que el paquete
entre en el sistema, en este caso mediante las interfaces LAN" \
disabled=no dst-address-type=!local in-interface=LAN_IMPRESION new-connection-
mark=conex_WAN_IMPRESION \
passthrough=yes per-connection-classifier=both-addresses:3/0
add action=mark-connection chain=prerouting comment= \
"Prerouting determina la primera acción a realizar antes de que el paquete
entre en el sistema, en este caso mediante las interfaces LAN" \
disabled=no dst-address-type=!local in-interface=LAN_IMPRESION new-connection-
mark=conex_WAN_OFICINA \
passthrough=yes per-connection-classifier=both-addresses:3/1
add action=mark-connection chain=prerouting comment= \
"Prerouting determina la primera acción a realizar antes de que el paquete
entre en el sistema,en este caso mediante las interfaces LAN" \
disabled=no dst-address-type=!local in-interface=LAN_IMPRESION new-connection-
mark=conex_WAN_NO_DISPONIBLE_AUN \
passthrough=yes per-connection-classifier=both-addresses:3/2
#------------000000000000000000000
#................ROUTING...........
#El routing es el proceso que se realiza para determinar las tablas de
encaminamiento.
#Los routers o enrutadores usan algoritmos de routing para encontrar el mejor
camino a un destino.
#Cuando decimos “la mejor ruta”, se consideran parámetros como el número de saltos
#(los equipos por donde pasa el paquete de un punto a otro de la red), el tiempo de
retardo,
#y el coste de comunicación de un paquete transmitido. Basándonos en como los
routers recopilan
#información sobre la estructura de red y su análisis para especificar la ruta
ideal, tenemos dos
#algoritmos principales: Algoritmos de routing globales y algoritmos de routing
descentralizados.
#-----------------------------------------------------------

add action=mark-routing chain=prerouting comment= \


"TRABAJANDO EL BALANCEO EN LA RED LOCAL" \
connection-mark=conex_WAN_IMPRESION disabled=no in-interface=LAN_INTERNET new-
routing-mark= \
R_WAN_IMPRESION passthrough=no
add action=mark-routing chain=prerouting comment= \
"TRABAJANDO EL BALANCEO EN LA RED LOCAL" \
connection-mark=conex_WAN_OFICINA disabled=no in-interface= LAN_INTERNET new-
routing-mark= \
R__WAN_OFICINA passthrough=no
add action=mark-routing chain=prerouting comment= \
"TRABAJANDO EL BALANCEO EN LA RED LOCAL" \
connection-mark= conex_WAN_NO_DISPONIBLE_AUN disabled=no in-interface=
LAN_INTERNET new-routing-mark= \
R_ WAN_NO_DISPONIBLE_AUN passthrough=no

add action=mark-routing chain=prerouting comment= \


"TRABAJANDO EL BALANCEO EN LA RED LOCAL" \
connection-mark=conex_WAN_IMPRESION disabled=no in-interface=LAN_IMPRESION
new-routing-mark= \
R_WAN_IMPRESION passthrough=no
add action=mark-routing chain=prerouting comment= \
"TRABAJANDO EL BALANCEO EN LA RED LOCAL" \
connection-mark=conex_WAN_OFICINA disabled=no in-interface=LAN_IMPRESION new-
routing-mark= \
R__WAN_OFICINA passthrough=no
add action=mark-routing chain=prerouting comment= \
"TRABAJANDO EL BALANCEO EN LA RED LOCAL" \
connection-mark= conex_WAN_NO_DISPONIBLE_AUN disabled=no in-
interface=LAN_IMPRESION new-routing-mark= \
R_ WAN_NO_DISPONIBLE_AUN passthrough=no

#:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
#.NAT:ENMASCARAMIENTO(Trafico LAN sale con la dirección IP del puerto WAN)
# Nateamos para que podeamos salir por cada uno de los modems.
#-------------------------------------------------------------------------
/ip firewall nat
add action=masquerade chain=srcnat out-interface=WAN_IMPRESION
add action=masquerade chain=srcnat out-interface=WAN_OFICINA
add action=masquerade chain=srcnat out-interface=WAN_NO_DISPONIBLE_AUN

#=============FABRICANTE(EJEMPLO============
/ip firewall nat
add action=masquerade chain=srcnat comment="ENMASCARAMIENTO DE RED PARA
WAN_IMPRESION" disabled=\
no out-interface=WAN_IMPRESION
add action=masquerade chain=srcnat comment="ENMASCARAMIENTO DE RED PARA
WAN_OFICINA" disabled=\
no out-interface=WAN_OFICINA
add action=masquerade chain=srcnat comment="ENMASCARAMIENTO DE RED PARA
WAN_NO_DISPONIBLE_AUN" disabled=\
no out-interface=WAN_NO_DISPONIBLE_AUN

#:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
#.................Trabajaremos failover con OPENDNS.......................
#Cantidad de pruebas ping que se lanzaran a la IP externa para determinar si
#el ISP está caido
#
#Creamos las rutas, tomar en cuenta que el proveedor cambia las ip cada cierto
tiempo,
#por lo que los gateway cambian, por eso los default route son configurados por el
puerto y no por un gateway fijo.
#-------------------------------------------------------------------------
/ip route
add dst-address=185.228.168.168 gateway=WAN_IMPRESION disabled=no comment=""
scope=10 check-gateway=ping
add dst-address=185.228.168.169 gateway=WAN_OFICINA disabled=no comment="" scope=10
check-gateway=ping
add dst-address=8.8.8.8 gateway=WAN_NO_DISPONIBLE_AUN disabled=no comment=""
scope=10 check-gateway=ping

add distance=1 gateway=185.228.168.168 routing-mark=R_WAN_IMPRESION scope=30


target-scope=30 check-gateway=ping
add distance=1 gateway=185.228.168.169 routing-mark=R__WAN_OFICINA scope=30 target-
scope=30 check-gateway=ping
add distance=1 gateway=185.228.168.169 routing-mark=R_WAN_NO_DISPONIBLE_AUN
scope=30 target-scope=30 check-gateway=ping

add distance=1 gateway=185.228.168.168 check-gateway=ping


add distance=2 gateway=185.228.168.169 check-gateway=ping
add distance=2 gateway=8.8.8.8 check-gateway=ping

#:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
# Ahora configuramos la hora, si su equipo soporta esta opción, mantendrá
#la hora actualizada de manera automática.
#-------------------------------------------------------------------------

/system ntp client


set enabled=yes mode=unicast primary-ntp=129.6.15.28 secondary-ntp=129.6.15.29

/system clock
set time-zone-name=America/Caracas