Abrir Puertos Mikrotik

Facebook Twitter Email

Mikrotik logoCuando conectamos nuestra red a Internet es habitual querer hacer que algún servicio interno esté disponible desde el exterior. Si utilizamos un equipo Mikrotik vamos a ver cual es la forma genérica de publicar estos puertos.

A la hora de redireccionar un puerto en nuestro Mikrotik debemos acceder al apartado NAT dentro del Firewall el cual se encargará de trasladar el tráfico proveniente del exterior hacia la ip interna destino. A continuación vamos a ver algunos ejemplos sobre las diferentes posibilidades de que disponemos.

/ip firewall nat

add chain=dstnat dst-port=80 protocol=tcp in-interface=ether1-gateway action=dst-nat to-address=192.168.1.X to-ports=80

La regla anterior redireccionará todo el tráfico con puerto de destino 80 y protocolo TCP que llegue a nuestro equipo Mikrotik a través del interface ether1-gateway al puerto 80 de la ip privada 192.168.1.X.

Podríamos hacer esta regla un poco más específica si en lugar de especificar el interface de destino usamos la ip pública directamente:

/ip firewall nat

add chain=dstnat dst-port=80 protocol=tcp dst-address=(ip pública) action=dst-nat to-address=192.168.1.X to-ports=80

Finalmente podríamos ser más estrictos aún si abrimos el puerto sólo para una determinada ip:

/ip firewall nat

add chain=dstnat dst-port=80 protocol=tcp src-address=(ip orígen) dst-address=(ip pública) action=dst-nat to-address=192.168.1.X to-ports=80

A modo de resumen, a la hora de abrir un puerto en nuestro equipo Mikrotik hay dos aspectos a tener en cuenta: primeramente qué condiciones debe cumplir este tráfico y segundo qué hacemos cuando esas condiciones son cumplidas. Respecto a las condiciones todas están recogidas antes del comando action y contienen ip de orígen, puerto de destino, protocolo, etc. Una vez que el tráfico ha cumplido las condiciones es cuando entra en juego el segundo apartado, es decir, todo lo relacionado con el comando action.

¿Te ha gustado algún artículo? Apúntate a nuestra lista de correo y podrás recibirlos antes que nadie en tu email. Recibirás como máximo uno por día y podrás cancelar tu suscripción en cualquier momento

53 pensamientos en “Abrir Puertos Mikrotik

  1. Natallia

    hola mi nombre es guido tengo un serio promelba que no me deja dormir y ojala me puedas ayudarno puedo entrar al panel de thunderwiewtengo coenctado el mikrotik con 3 targetas: wan: 1.1.1.0/24: lan: 3.3.3.0/24: thunder: 2.2.2.0/24 y con una ip estatica para el server thunder 2.2.2.2 fijada desde el mikrotikconectandola con utp crosober entre el mikrotik y thunderel thunder resibe internet atraves del mikro ya lo comprobe todo el internet funciona bien pero no se cuando y como cachea ya que no puedo acceder a la pagina de thunderview y solo pude entrar a la pagina de thundercache ya me registrela cuestio es que no se como entrar a esa pagina segun el video ingresa una ip 192.168.0.238 por mi parte creo yo que debo ingrasar el del servidor thundercache 6.1 por cierto el linuz es debian 6.0.2ya lo enmascare segun el manual y al crar la regla nueva el internet se me cortaba pero segun un video te tienes que meter al panel del thunder no el de thunderview y solo tienens que poner en clientes 200 lo hice y despues me funciono el internernet pero la cuestion es que no me puedo meter al thunderviw porfabor ayudame y dime que me falta o que esta mal quizas el pool de ips que que estoy dando a las targetas esta mal o talves thunder tienes algunas reglas sobre ips validasbf?bf?? ayudame si porfa de ante mano te agradesco con solo responderme mi correo es

    Responder
    1. JMNogueira Autor

      Hola Guido,

      Me temo que mi experiencia con Thundercache es nula. Yo en tu caso descompondría el problema. Primeramente verifica que, desde la misma red, puedes acceder sin problemas al Thundercache eso descartaría cualquier problema en el servicio. Luego verifica que el tráfico cruza el equipo Mikrotik para ello debes de haber creado reglas de routing o de enmascaramiento entre las diferentes interfaces. Si puedes hacer ping entre las diferentes redes significará que todo está ok. Finalmente no creo que necesites un cable UTP Crossover para conectar tu servidor al Mikrotik.

      Un saludo.

      Responder
    1. JMNogueira Autor

      Buenas,

      Me temo que en este tipo de NAT vas a tener que hacer que los equipos externos se conecten a la ip pública mientras que los internos lo hagan contra la ip privada de tu servidor https. Es más sencillo de lo que piensas si haces que los equipos internos resuelvan la ip interna cuando pregunten por el nombre de tu url. Esto lo puedes conseguir añadiendo la entrada en tu servidor DNS interno.

      Un saludo.

      Responder
  2. eduardo

    hola consulta

    tengo el ruter adsl de telefónica en modo brigue el rb750 wan pppoe y lan ip xxxxxx redireccione

    para tener acceso a un nanostation atreves de la ip publica y solo me funcion si uso el puerto 80 si le pongo otro puerto en la nat (9010) no me funciona en que estoy fallando ?

    Responder
    1. JMNogueira Autor

      Buenas,

      Por lo que he entendido cuando haces NAT del puerto 80 al 80 te funciona pero cuando tratas de trasladar las peticiones del puerto 9010 al puerto 80 no. Tienes que tener en cuenta que cuando haces una traslación de puertos tienes que indicar que las peticiones recibidas por el puerto 9010 tienen que ser dirigidas al puerto 80 del equipo que está dentro de tu red.

      /ip firewall nat add chain=dstnat protocol=tcp dst-port=9010 \ action=dst-nat to-addresses=yyy.yyy.yyy.yyy to-ports=80

      Gracias por tu comentario!!

      Responder
  3. GABRIEL

    ME PASA LO SIGUIENTE, ESTOY INTENTANDO ACCEDER A CAMARAS QUE ESTAN DENTRO DE UNA RED CON IP PRIVADAS MIKROTIK, REDIRECCIONANDO PUERTOS HACIA UNA IP PUBLICA.
    YO DESDE UNA IP PRIVADA DENTRO DE LA LAN DE LAS CAMARAS CON MIKROTIK, NO PUEDO ACCEDER A LA IP PUBLICA CON LOS PUERTOS REDIRECCIONADOS, PERO SI A LA IP PRIVADA DE LAS CAMARAS.
    OCURRE LO CONTRARIO FUERA DE LA RED, DONDE SI PUEDO ACCEDER A LAS CAMARAS NORMALMENTE MENDIANTE IP PUBLICA. COMO PUEDO SOLUCIONARLO?

    Responder
    1. JMNogueira Autor

      Buenas Gabriel,

      Lo que comentas es bastante común. Cuando apuntas a la ip pública de tu equipo MKT alcanzas las cámaras pero desde dentro de la LAN tienes que apuntar a las ips internas. Esto es debido a la forma en la que MKT trata los paquetes que vienen de dentro hacia la ip pública y luego vuelven a entrar. Tu Pc dentro de la LAN establece una sesión contra la ip pública sin embargo quien le responde es la ip privada del MKT por lo que la sesión TCP no llega a establecerse.

      Generalmente soluciono este problema utilizando registros DNS. Internamente hago que el host camara.domino.com se resuelva con la ip interna mientras que cuando el equipo se encuentra fuera de la red la ip que se resuelve es la pública.

      Espero haberte ayudado.

      Un saludo.

      Responder
    2. Williams Nasser

      bueno eso es mas facil cuando quieres usar nombres de dominios internos ve a la opcion IP/DNS agregas el nombre del dominio con que quieres accesar la camara y el ip destino el cual es el de la camara, espero te sirva…

      Responder
  4. GABRIEL

    MIRA TENGO UN PROBLEMA CON EL DNS DE MIKROTIK, OCURRE QUE EL MIKROTIK NO SALE A INTERNET AL MOMENTO DE CONFIGURARLO, Y HACERLO ANDAR, PERO SI RESUELVE DNS ESTATICOS QUE LE ASIGNO. CUANDO HAGO UN PING DESDE EL TERMINAL, SALE UN ERROR EN INGLES “while resolving ip-address: could not get answer from dns server”, QUE PUEDE SER?

    Responder
    1. JMNogueira Autor

      Buenas,

      Lo primero que debes verificar es si has configurado correctamente el servidor DNS. Recuerda que debes hacerlo en el apartado ip > dns. Prueba por ejemplo con los DNS de google (8.8.8.8), verifica también que eres capaz de hacer ping a la ip de tu servidor DNS. Si no pudieras revisa tu default gw y las reglas del firewall por si tuvieras que hacer NAT.

      Un saludo.

      Responder
  5. GABRIEL

    BUENAS NOCHES. NECESITO PERMITIR LOS PUERTOS NECESARIOS PARA ACCEDER DESDE WINBOX POR MEDIO DE LA IP PUBLICA QUE SE ENCUENTRA EN MI MIKROTIK, DESDE CUALQUIER PARTE.
    ES DECIR SI YO TENGO HABILITADO LOS PUERTOS PODRIA DESDE CUALQUIER CONEXION A INTERNET CONECTARME DIRECTAMENTE UTILIZANDO WINBOX. LLEVO INTENTANDO VARIAS COSAS PERO NO LOGRO PERMITIR QUE SE PUEDA CONECTAR. ME PODRIAS INDICAR QUE HACER?

    Responder
    1. GABRIEL

      BUENAS NOCHES. NECESITO PERMITIR LOS PUERTOS NECESARIOS PARA ACCEDER DESDE WINBOX POR MEDIO DE LA IP PUBLICA QUE SE ENCUENTRA EN MI MIKROTIK, DESDE CUALQUIER PARTE.
      ES DECIR SI YO TENGO HABILITADO LOS PUERTOS PODRIA DESDE CUALQUIER CONEXION A INTERNET CONECTARME DIRECTAMENTE UTILIZANDO WINBOX. LLEVO INTENTANDO VARIAS COSAS PERO NO LOGRO PERMITIR QUE SE PUEDA CONECTAR. ME PODRIAS INDICAR QUE HACER?

      Responder
    1. JMNogueira Autor

      /ip firewall filter
      add action=accept chain=input comment=”Aceptar Conexiones al Port 8291″ disabled=no dst-port=8291\
      protocol=tcp

      Espero que te sirva!!

      P.D. Perdona el retraso pero estuve de viaje.

      Responder
  6. Mario

    Hola, utilizo el router RB751G-2hnd y desde que he actualizado a la versión 6.x no he conseguido abrir los puertos para el emule. Con la 5.25 no tenía ningún problema pero con la 6.x ni con UPnP consigo abrirlos. ¿Tienes alguna idea que me pueda ayudar?, gracias.

    Responder
  7. Dani

    He abierto los puertos tal y como comentar para acceder a un ftp interno y cámaras de seguridad pero no redirecciona. ¿Puede q aunque tenga bien creado el dst-nat tengo alguna filter-rule mal?
    ¿qué diferencia hay entre una in/forward filter rules ? ¿con un dst-nat?

    Responder
  8. GABRIEL

    Hola!
    Me podras guiar con las reglas para hacer que una direccion ip puesta en una address list redireccione a una pagina web ubicada en la misma red, sobre aviso de deuda.
    por ejemplo, si yo agrego la 192.168.x.x a la address list “deuda”
    mikrotik redireccione a las http://192.168.x.x/atencion.htm
    espero me puedas ayudar. gracias!

    Responder
  9. Washo

    Hola tengo un problema espero me puedas ayudar, tengo bloqueado facebook desde el firewall, pero necesito que uno de mis computadores con ip fija si tenga facebook, la verdad no se como hacerlo, te agradeceria que me des una mano con esto.

    Gracias

    Responder
  10. Sebastian

    HOLA, TENGO UN INCONVENIENTE CON EL TEMA DE LOS PUERTOS… UN CLIENTE NECESITA INGRESAR DESDE AFUERA A UN SERVIDOR QUE TIENEN INSTALADO EN MI RED A TRAVÉS DEL ESCRITORIO REMOTO. EL PUERTO ES EL 3389. Y NO PUEDO LOGRAR ESO. YO TENGO DOS ADSL CONECTADO A UN BALANCEADOR RB750U Y UN RB750UP COMO ADMINISTRADOR. COMO LA IP ASIGNADA POR MI PROVEEDOR VARIA, POR ENDE NO LLEGO A HACER QUE FUNCIONE. MI CLIENTE EN MI RED TIENE LA IP 10.1.1.X, Y ACCEDIENDO POR ESCRITORIO REMOTO DENTRO DE MI RED LLEGO SIN PROBLEMAS, PERO DESDE AFUERA IMPOSIBLE. COMO PODRIA SOLUCIONAR ESE PROBLEMA? ESPERO SU AYUDA, GRACIAS

    Responder
    1. JMNogueira Autor

      Buenas Sebastián,

      El caso no es sencillo, por un lado tenemos que la ip pública cambia. Para solucionar esto tendrás que acudir a algún servicio de DNS dinámico de forma que, cada vez que cambie tu ip pública, se actualice un registro DNS y puedas seguir conectando a través de un nombre FQDN.

      Por otro lado, me indicas que tienes dos líneas balanceadas. Bien aquí lo importante es que los paquetes que entren por una WAN salgan por esa misma WAN. Me explico, es posible que el tráfico RDP esté entrando por la WAN1 pero el balanceador lo esté devolviendo por el WAN2 por lo que la sesión no se llega a establecer.

      Te adjunto un link donde podrás encontrar más información.

      Por otro lado, te recomiendo que simplifiques el problema, por ejemplo tirando una WAN y probando a ver si consigues conectar por escritorio remoto.

      Otra solución más segura es configurar tu RB750U como servidor de túneles VPN, de esta forma, además de tener acceso a más recursos de la empresa, ganarías en seguridad.

      Y finalmente tienes servicios como TeamViewer o logmein que te pueden resolver el tema.

      Un saludo.

      Responder
  11. Fernando Solo

    HOLA A TODOS TENGO LA SIGUIENTE CONSULTA, TENGO POCO EN MIKROTIK PERO TENGO MUCHA EXPERIENCIA EN OTRAS MARCAS DE ROUTERS, EN LA ACTUALIDAD TENGO UNA VPN DE 10 SITIOS FUNCIONANDO CON DRAYTEK VIGOR, LA VERDAD ES QUE FUNCIONAN PERFECTAMENTE AL MENOS EN LA VERSION PASADA DE FIRMWARE, EL BALANCEO DE CARGAS ERA MARAVILLOSO ASI COMO EL FAIL OVER Y NO SE DIGA VPN TANTO IPSEC COMO PPP, PERO AHORA EL NUEVO FIRMWARE SALIO TERRIBLE POR ESO ES QUE ESTOY BUSCANDO UN NUEVO DISPOSITIVO QUE PUEDA SER COMPATIBLE CON ESTOS Y QUE LA RED SIGA CRECIENDO HIBRIDAMENTE HABLANDO DE MARCAS DE ROUTERS, HE TENIDO PROBLEMAS CON EL PPP POR MAS QUE SIGO INSTRUCCIONES QUE HAY EN INUMERABLES TUTORIALES ME RECHAZA LA CONEXION YA ABRI LOS PUERTOS 1723 EN UDPY TCP Y GRE, TAMBIEN EL 500 PARA ESO DE LA ATUTENTICACION Y NADA, EN IPSEC YA HICE PRUEBAS CON LOS VIGOR Y LOGRO CONECTARME Y AUTENTICARME PERO ALGO ESTOY HACIENDO MAL O ME FALTA ALGO QUE NO HAGO PIN EN NINGUN MOMENTO ALGUIEN ME PUEDE AYUDAR CON SU EXPERIENCIA SALUDOS A TODO EL FORO

    Responder
  12. Josue

    Ayuda
    Tengo una ip publica a la cual quiero acceder a una PC y a un DVR, el acceso a la PC me funciona puedo hacer un remote desktop pero no puedo accesar al DVR con la IPpublica:puerto pero no me da comunicación el DVR usa el puerto 37777 y el 80, como podría hacer para que me redireccione la publica + el puerto.

    Responder
    1. JMNogueira Autor

      Hola!

      Entiendo que tienes hecha una redirección del puerto 3389 del pc pero si redireccionas los puestos 80 y 37777 el DVR no te responde. Has comprobado que tienes correctamente configurada la puerta de enlace en el DVR?

      La regla es bastante sencilla:

      /ip firewall nat
      add chain=dstnat dst-address=ip pública dst-port=80 protocol=tcp action=dst-nat to-address=ip DVR to-ports=80
      add chain=dstnat dst-address=ip pública dst-port=37777 protocol=tcp action=dst-nat to-address=ip DVR to-ports=37777
      Un saludo!

      Responder
      1. Josue

        Intente hacer pero no me funciona ya no me responde tampoco la pc no se que paso estara mal

        /ip firewall nat
        add action=masquerade chain=srcnat comment=”Salida Internet ” disabled=no
        add action=dst-nat chain=dstnat comment=”Direccionamiento PC IT” disabled=no \
        dst-address=publica dst-port=80 protocol=tcp to-addresses=\
        192.168.1.108 to-ports=3389
        add action=dst-nat chain=dstnat disabled=no dst-address=publica \
        dst-port=81 protocol=tcp src-port=”” to-addresses=192.168.1.104 to-ports=\
        81
        add action=dst-nat chain=dstnat disabled=no dst-address=publica \
        dst-port=37777 protocol=tcp to-addresses=192.168.1.104 to-ports=37777

        cambie en el DVR el puerto 80 al 81 para probar y no me funciono no se cual sea lo malo ya que soy nuevo en mikrotik.

        Responder
          1. JMNogueira Autor

            Buenas,

            Dime una cosa… Tu conexión a Internet es a través de PPPoE?

            En ese caso prueba de esta forma:

            /ip firewall nat
            add chain=dstnat dst-port=3389 protocol=tcp in-interface=”interface pública pppoe” action=dst-nat to-address=192.168.1.108 to-ports=3389

            Si no es PPPoE usa el interface eth al que tienes conectada tu salida a internet.

            Un saludo.

  13. Josue

    Gracias brother me funciono ya me puedo conectar a la pc remotamente y al dvr desde el exterior, ahora me gustaria saber si hay algun tutorial para crear PPTP server con el rb750, lo intente pero con varios tutos que encontre en la web pero no me funciona esta ultima vez me sale error 619.

    saludos y gracias.

    Responder
  14. Omar

    Hola

    Tengo un problema a ver si me puede ayudar, una vez que instale el Mikrotik no podemos salir por terminal server hacia afuera solo con algunos, ip ejemplo de la cual podemos salir: xxx.xxx.xxx.xxx:1234 y de la cual no: xxx.xxx.xxx.xxx:9833 … desde ya muchas gracias

    Responder
    1. JMNogueira Autor

      Buenas,

      Perdona pero no entiendo bien tu pregunta. Me dices que puedes navegar pero que no te funciona el cliente de Terminal Server? Podrías poner la configuración de tu MKT para echarle un vistazo?

      Un saludo!

      Responder
  15. Omar

    gracias por responder tan rápido… disculpa, si, podemos navegar, lo que no podemos es salir por terminal server hacia afuera

    Responder
    1. JMNogueira Autor

      Bueno,

      En realidad eso no tiene mucho sentido a no ser que en el firewall estén configuradas algunas reglas que impidan la salida de determinados puertos. Eso puedes verlo en ip firewall filter print. No obstante, es posible que en el servidor de Terminal Server se limite la conexión a una determinada ip pública y que vuestra ip pública haya cambiado?

      Podéis además de navegar enviar correos, etc?

      Un saludo.

      Responder
  16. Omar

    si señor se poder navegar y enviar correos, antes podíamos salir con un router común, pero ahora con el rb no. le paso la configuración del firewall para que mire
    /ip firewall nat
    add chain=srcnat comment=”vpn 25″ dst-address=192.168.51.0/24 \
    src-address=192.168.50.0/24
    add chain=srcnat comment=”vpn os” dst-address=192.168.90.0/24 src-address=\
    192.168.50.0/24
    add action=masquerade chain=srcnat out-interface=”ether2 WAN VPN”
    add action=masquerade chain=srcnat out-interface=”ether3 WAN LIBRE”

    Responder
    1. JMNogueira Autor

      Buenas,

      El servidor al que estás tratando de acceder por Terminal server está detrás de una VPN o se accede a través de direccionamiento público? tenéis dos interfaces externos? porqué no hay ninguna regla para natear el tráfico que sale por el interface llamado WAN LIBRE?

      Me faltan datos para saber qué está pasando. De todas formas puedes utlizar la utilidad de tracert para ver dónde se están quedando los paquetes que tratan de alcanzar el destino del servidor de Terminal.

      Un saludo.

      Responder
  17. Omar

    a donde quiero acceder no esta detrás de una vpn y si tengo 2 interfaces wan y 2 lan.. wan vpn para lan vpn con su dhcp 192.168.50.xxx y wan libre para lan libre con su dhcp 192.168.1.xxx

    Responder
  18. Federico

    Buenas! Tengo un mikrotik 750 GL. Configuré dyndns y anda perfecto desde fuera el remoto y el sistema web. El tema es que localmente cuando pongo la dirección del dyndns, me resuelve la ip privada. Como hago para que vea la publica antes que la privada?
    Gracias

    Responder
    1. JMNogueira Autor

      Buenas,

      El hecho de que te resuelva una dirección u otra dependerá de a qué servidor DNS le estés preguntando. Pero lo interesante es que internamente te resuelva la ip privada y desde el exterior la ip pública. ¿Porqué necesitas que te resuelva la ip pública localmente?

      Responder
  19. Federico

    Como andas? Gracias por la respuesta! Es por un sistema que utilizamos los vendedores que vamos y venimos. Cuando nos conectamos por wifi en la oficina no funciona y desde afuera anda perfecto! Obvio que si en lugar de poner la ip publica ponemos la privada, funciona, pero es muy engorroso hacerlo.
    Aguardo comentarios 🙂
    Gracias

    Responder
    1. JMNogueira Autor

      Buenas,

      Si estas por DHCP cuando estás fuera y consultas el nombre de host éste responde a la ip pública. Cuando estás dentro, si le preguntas al servidor dns por un nombre público te dará una ip pública a no ser que, dentro de la oficina tengas un dhcp que te de de como opción un servidor dns que esté configurado para responder con la ip privada cuando le preguntes por ese host. Esta es la única manera que conozco de que puedas hacerlo de forma automática.

      Saludo!

      Responder
  20. SARAI

    Cordial saludo,

    Te felicito por tu blog, tienes información MUY interesante. Me encantan los MIKROTIK e inclusive pude certificarme en MTCNA y MTCWE.

    Les presento este caso, configuré un MIKROTIK RB750 con servicio de internet, IP fija, servicio de internet con IP dinamica, DHCP server, AP, DVR, Switch, impresoras de red, VPN

    La idea principal es que la VPN me permita acceso a:

    NAS (Network Attached Storage)
    DVR

    Al realizar la conexión la primera vez ambos servicios estaban disponibles, no obstante después ya no era posible aunque no hicimos NINGUN cambio en la configuración.

    Agradezco de antemano su colaboración al respecto y en lo posible pronta respuesta.

    Información adicional
    Mi proveedor de internet realizó un pass through a mi RB-750, el cual está conectado a un ARRIS.

    *** CONFIGURACIÓN ***

    Interfaces

    ether1-WAN1 Servicio internet IP fija 190.X.X.X
    ether2-WAN2 Servicio internet IP dinamico (inactiva)
    ether3-WLAN1 AP para servicio wireles 192.168.X.X
    ether4-DVR1 DVR 192.168.X.X
    ether5-LAN1 Switch

    bridge1-LAN1

    STP :rstp
    Puertos : ether3-WLAN1, ether4-DVR1, ether5-LAN1

    DHCP Cliente

    ether2-WAN1 (inactivo)

    DHCP Server

    server1-LAN1
    Interface : bridge1-LAN1
    Lease time : 1d 00:00:00
    Address pool : pool1-WAN1

    Gateway : 192.168.X.1

    Impresoras

    RED : 192.168.X.XX1
    Wireless : 192.168.X.XX2

    NAS

    Disco duro 2 TB, RAID 1
    address : 192.168.X.X50

    DNS settings
    Allow Remote Request

    Servers : 8.8.8.8
    4.2.2.2

    Pool

    pool1-WAN1 : 192.168.X.XX0-192.168.X.X40
    pool2-VPN1 : 192.168.X.XX0-192.168.X.X10

    Address

    address : 190.X.X.X/24
    network : 190.X.X.0
    Interface : ether1-WAN1

    address : 192.168.X.1/24
    network : 192.168.X.0
    Interface : ether5-LAN1

    PPTP Server

    Enebled

    Secrets

    name : admin
    service : pptp
    profile : profile1-VPN1

    Profiles

    name : profile1-VPN1
    local address : 192.168.X.1
    remote address : pool2-VPN1

    ARP
    proxy-arp
    ether1-WAN1, ether4-DVR1, ether5-LAN1

    NAT

    masquerade srnat dst.address 192.168.X.0/24
    masquerade srnat out.interface ether1-WAN1
    masquerade srnat out.interface ether2-WAN2 (inactiva)

    Estuve revisando para abrir los puertos probé ambas opciones
    dst-nat 190.X.X.X protocol TCP dest.port 80 to address 192.168.X.2 to port 80
    dst-nat ether1-WAN1 protocol TCP dest.port 80 to address 192.168.X.2 to port 80

    Tambien trate ambos casos con el puerto 34567 (el del DVR para accesos por móvil)

    Responder
    1. JMNogueira Autor

      Buenas,

      Perdona el retraso en responder pero no vi la notificación de tu comentario 🙁

      La primera pregunta:

      1. Puedes seguir conectando a través de la VPN por PPTP?

      2. Entiendo que el direccionamiento del pool del VPN es diferente al resto, es decir, utilizar un direccionamiento distinto en cada pata (LAN, WAN, VPN)

      3. Si conectas por VPN, estás segura de que el tráfico con destino a los servicios de la interface LAN se están encaminando desde el cliente por el túnel? Esto lo puedes verificar con un tracert y la ip del VCR por ejemplo.

      Un saludo.

      Responder
  21. Edicson Pernia

    Hola tengo un problema no se en que posicion colocar mi antena para que odtenga la mejor señal tiene q ver algo con dbi- no se bien.. y para entrar a RouterOS v5.24 me piden calve y no tegno nada eso porfavor ayudame!!

    Responder
    1. JMNogueira Autor

      Buenas,

      Lo primero que necesitas es acceder a tu equipo. Por defecto el usuario es Admin y la contraseña en blanco. Si no puedes acceder tendrás que resetear la antena para volver a la configuración original.

      Por otro lado, respecto a la posición, si es un punto a punto lo ideal es que estén enfrentadas. Si es una antena omni va a depender de parámetros como la altura, el área que quieras cubrir, los obstáculos y los dBs de la antena que le acoples. Mikrotik tiene unos dipolos de 9 dBs que funcionan muy bien.

      Un saludo.

      Responder
  22. REINALDO SALAZAR

    Buenas tardes. tengo un Mikrotik routerboard 1100 x2 . dentro de la red tengo un equipo (192.168.1.201) que quiero utilizar como servidor proxi (para tratar de frenar ultrasurf). como creo ka regla para que todos lo nat del firewall vayan a ese proxi?

    Responder
    1. JMNogueira Autor

      Perdona el retraso en la respuesta,

      Bien tendrás que crear una regla que reenvíe todo el tráfico que recibe el MKT por el puerto 80 a la ip del proxy.

      Entiendo que es esto lo que necesitas más o menos:

      ip firewall nat add action=dst-nat dst-port=80 protocol=tcp src-address=”subbed lan” to-addresses=”ultrasurf” to-ports=80 chain=dstnat

      Un saludo!

      Responder
  23. jorge

    hola quiziera saber si puede ayudarme ,tengo dos rb 750 gl en distintas zonas los dos reciben internet de un ap en comun en el rango 192.168.200.x y uno reparte internet en el rango 192.168.30.x (rb1) y el otro en el rango 192.168.30.x (rb2) la pregunta es ? cuando estoy en el rango 192.168.20.x (rb1) como ingreso a un equipo cliente que este en el rango 192.168.30.x (rb2) o viceversa , yo puedo entrar a los rb desde cada lugar y puedo ver los equipos conectados ,pero no puedo entrar a los equipos en este caso son ubiquiti nanostation loco m2 o m5 . le agradeceria si puede ayudarme gracias.

    Responder
    1. JMNogueira Autor

      Buenas,

      En un principio y con los datos que me facilitas lo único que haría falta es incluir rutas estáticas en cada Mikrotik que indiquen como alcanzar a la otra subred, por ejemplo, para ir a la subred 192.168.20.x tienes que usar la puerta de enlace 192.168.x.x y viceversa. Vigila también las reglas que tienes en el Firewall y si estás haciendo NAT sobre el interface “externo”

      Un saludo.

      Responder
      1. jorge

        quiero corregir lo que puse anteriormente y es que uno reparte en la 192.168.30.x y el otro en la 192.168.20.x , con respecto a asignar la ip fija le agradeceria me dijera donde pongo esa ip en que parte del winbox ,vera lo mio con respecto a mikrotik es limitado las reglas en el firewall son las que se pusieron cuando ize el hostpot automatico yo no agregue ninguna ,la ves que me aventure a poner alguna regla de las tantas que circulan en la web ize macanas, le pido disculpas jmnogueira y le agradezco su respuesta ,le paso mas datos:
        la ether 1 recibe internet x dhcp client 192.168.200.x
        la ether 2 hostpot ip 192.168.20.x
        los clientes reciben por hostpot pero yo los pongo ip fija y les hago un binding que los controlo por queue simple.
        lo mismo en el otro rb sino que con la ip 192.168.30.x equipos clientes que no puedo entrar cuando estoy en el otro extremo , le agradezco su atencion un abrazo

        Responder
  24. jonas

    hola entro dentro de mi mitkrotic por ssh , con mi ip ejemplo, es inventada 88.66.33.22, que tengo que hacer desde ssh para abrir el puerto 8291 para poder entrar por winbox? es que pongo en el winbox mi ip 88.66.33.22 y el nombre de usuario y pass mio y no entra, que comandos tendría que escribir por ssh para poder entrar por winbox?

    Responder
  25. Hernán

    Hola, tengo un pequeño inconveniente, tengo conectados 2 dvr en mi red, lo cuales salen por la misma ip publica pero con diferentes puertos, ahora los 2 si los puedo ver remotamente, pero al tratar de verlos internamente por medio de un browser(Internet explorer), uno de ellos si se puede ver, pero el otro no se puede ver. A que se deberia esto? Saludos y esperando tu pronta respuesta.

    Responder
  26. Danny Escalante

    buenas tardes espero me puedas responder.
    intento configurar mi mikrotik porque tengo un servicio en mi empresa el cual se conecta a travez de empresa.no-ip.org
    y utiliza el puerto 8086. anteriormente antes de comprar el mikrotik pasaba bien y se conectaba al servidor, ahora que conecto el microtek no me quiere dejar pasar las peticiones de entrada al servidor la pregunta es:
    deseo configurar la entrada a mi red. desde afuera con el ip publico y el puerto 8086
    me podrias ayudar Gracias

    Responder

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *