Archivo de la categoría: Mikrotik

Priorizar voip

priorizar voipHace algún tiempo hablé sobre cómo detectar y priorizar voip en entornos Mikrotik. En aquella ocasión hablamos del TOS de los paquetes voip y de cómo valernos de este tipo de marcado para diferenciarlo del resto.

Sin embargo, las redes suelen ser más complejas y a menudo aparecen multitud de protocolos o excepciones que, si bien no deben tener la misma prioridad que la voip si que deben ser tenidos en cuenta para que todo funcione correctamente.

Por ello, una forma de priorizar voip y otros protocolos a la vez que “penalizamos” aquellos que son menos importantes, es utilizar las queues. Estas “colas” nos sirven para limitar la cantidad de tráfico que cedemos a otros protocolos, garantizar el tráfico que vamos a asignar a nuestra voip por ejemplo, así como establecer prioridades entre los diferentes tipos de tráfico.

De esta forma, si nuestra conexión es de 10/1 Mbits podemos decidir qué cantidad de tráfico reservamos para determinados protocolos así como la cantidad máxima de tráfico que podrán cursar otros.

Lo primero que debemos hacer antes de poder establecer límites, garantías y prioridades es marcar el tráfico a través de las siguientes reglas del mangle.

/ip firewall mangle
add action=mark-packet chain=prerouting comment=”SIP and RTP” disabled=no dscp=46 new-packet-mark=VOIP passthrough=no
add action=mark-packet chain=prerouting disabled=no dscp=26 new-packet-mark=VOIP passthrough=no
add action=mark-packet chain=prerouting comment=”Trafico entre sedes” disabled=no dst-address=192.168.0.0/24 new-packet-mark=SEDES passthrough=no src-address=192.168.10.0/24
add action=mark-packet chain=prerouting disabled=no dst-address=192.168.10.0/24 new-packet-mark=SEDES passthrough=no src-address=192.168.0.0/24
add action=mark-packet chain=prerouting disabled=no new-packet-mark=GENERAL passthrough=no

Acto seguido establecemos nuestra queue tree:

/queue tree
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=0 name=MAIN parent=global-out priority=1
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=160K max-limit=256K name=voip packet-mark=VOIP parent=MAIN priority=1 queue=ethernet-default
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=1M max-limit=5M name=TRAFICO_SEDES packet-mark=SEDES parent=MAIN priority=2 queue=ethernet-default
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=10M name=TRAFICO_GENERAL packet-mark=GENERAL parent=MAIN priority=8 queue=wireless-default

De esta forma establecemos una cola principal donde garantizamos el tráfico que sale de nuestro router Mikrotik. Hemos otorgado una prioridad de 1 y un ancho de banda garantizado de 160kbits hasta 256 kbits a la voip. Luego  hemos asignado una prioridad 2 y un mínimo de 1Mbit al tráfico entre las sedes. El resto del tráfico está marcado por una prioridad mínima de 8 y un límite máximo de 10 Mbits.

Todas estas medidas junto con unas correctas políticas de firewall pueden conseguir optimizar las comunicaciones entre sedes remotas. No obstante, hay que recordar que no es recomendable utilizar líneas domésticas para fines profesionales.
¿Te ha gustado algún artículo? Apúntate a nuestra lista de correo y podrás recibirlos antes que nadie en tu email. Recibirás como máximo uno por día y podrás cancelar tu suscripción en cualquier momento

 

Mikrotik filtrado capa 7

Mikrotik filtrado capa 7En anteriores entradas hemos comentado la manera de restringir el tráfico tanto de entrada como de salida así cómo el tráfico dirigido a nuestro equipo Mikrotik. La utilización de reglas de filtrado en capa 3 tiene una doble función, por un lado optimizar el uso del ancho de banda de nuestra conexión a Internet mientras que por el otro aumentamos la seguridad de nuestra red no permitiendo la entrada o salida de protocolos no autorizados.

Sin embargo, a la hora de filtrar el tráfico de salida muchas veces nos encontramos con que las reglas en capa 3 son muy sencillas pero quizás no son todo lo potentes que nosotros quisiéramos. Por ejemplo, si permitimos el tráfico desde nuestra LAN con una regla forward a cualquier destino con puerto 80 estamos permitiendo cualquier conexión con destino puerto 80. ¿Qué pasa entonces si queremos restringir el acceso a Youtube, Dropbox o webs de redes sociales? En ese caso debemos utilizar el filtrado en capa 7, es decir, filtrar en la capa de aplicación.

Nuestro Mikrotik tiene capacidad para aplicar filtrado capa 7. Esto significa que podemos ir más allá de un puerto y filtrar el acceso a determinadas webs.

Imaginemos que queremos restringir el acceso a Youtube.com. Para ello podríamos usar la siguiente configuración:

ip firewall layer7-protocol

add name=Youtube regexp=^.+(youtube).*$

ip firewall filter

add chain=forward action=drop src-address=192.168.88.0/24 layer7-protocol=Youtube

Si os parece una medida un poco drástica siempre podemos utilizar las queues para, si bien no filtrar, al menos limitar el ancho de banda consumido por este tipo de aplicaciones. En un próximo post hablaremos de ello.

¿Te ha gustado algún artículo? Apúntate a nuestra lista de correo y podrás recibirlos antes que nadie en tu email. Recibirás como máximo uno por día y podrás cancelar tu suscripción en cualquier momento

 

Mikrotik address list

Mikrotik priorizar tráficoUna forma de ahorrar tiempo a la hora de configurar reglas de filtrado en nuestro equipo mikrotik es usar las address list. Una address list no es más que un conjunto de direcciones ip que posteriormente vamos a utilizar en una regla de filtrado.

Un buen ejemplo para explicar la utilidad de las Mikrotik address list sería por ejemplo utilizarlas para restringir el acceso a servidores de correo. Imaginemos el caso de una empresa que tiene sus cuentas de correo con el proveedor ISP. Podríamos decir que el 100% del tráfico de correo, SMTP, POP3, IMAP, etc. debe de tener como dirección de destino los servidores MX que dicho ISP tenga asignados a nuestro dominio. Es posible por tanto crear una address list que contenga todas las direcciones ip de los servidores de correo de nuestro ISP.

¿Qué ganamos con esto? por un lado, evitamos que cualquier usuario pueda configurarse una cuenta de correo ajena a la empresa y por el otro, si uno de los equipos de la empresa se infectara con un malware podríamos estar seguros de que no podría seguir extendiéndose a través del correo electrónico fuera de la empresa.

A continuación tenéis un ejemplo de filtro usando una address list.

ip firewall address-list

add address=56.67.78.9 disable=no list=”Servidores Correo”

add address=56.67.78.10 disable=no list=”Servidores Correo”

ip firewall filter

add action=accept chain=forward disable=no dst-address-list=”Servidores Correo” dst-port=25 protocol=tcp

add action=accept chain=forward disable=no dst-address-list=”Servidores Correo” dst-port=110 protocol=tcp

¿Te ha gustado algún artículo? Apúntate a nuestra lista de correo y podrás recibirlos antes que nadie en tu email. Recibirás como máximo uno por día y podrás cancelar tu suscripción en cualquier momento