List of WLAN (Wireless Local Area Network) channels using IEEE 802.11 protocols.

802.11 b/g/n (2.4 GHz band)

• Channel Frequency (MHz)  -  (F - 10)  -  Center  - (F + 10)
• 
  
• 1 2402 2412 2422
• 2 2407 2417 2427
• 3 2412 2422 2432
• 4 2417 2427 2437
• 5 2422 2432 2442
• 6 2427 2437 2447
• 7 2432 2442 2452
• 8 2437 2447 2457
• 9 2442 2452 2462
• 10 2447 2457 2467
• 11 2452 2462 2472
• 12 2457 2467 2477
• 13 2462 2472 2482
• 14 2474 2484 2494 Japan

Transmission can be on a 22MHz (802.11b), 20MHz (802.11g/n), or 40MHz (802.11n) wide channel.

802.11 a/n (5 GHz band)

• Channel Frequency (MHz)  -  (F - 10)  -  Center  -  (F + 10)
• 
  
• 36 5170 5180 5190
• 40 5190 5200 5210
• 44 5210 5220 5230
• 48 5230 5240 5250
• 52 5250 5260 5270
• 56 5270 5280 5290
• 60 5290 5300 5310
• 64 5310 5320 5330
• 100 5490 5500 5510
• 104 5510 5520 5530
• 108 5530 5540 5550
• 112 5550 5560 5570
• 116 5570 5580 5590
• 120 5590 5600 5610
• 124 5610 5620 5630
• 128 5630 5640 5650
• 132 5650 5660 5670
• 136 5670 5680 5690
• 140 5690 5700 5710
• 144 5710 5720 5730
• 149 5735 5745 5755
• 153 5755 5765 5775
• 157 5775 5785 5795
• 161 5795 5805 5815
• 165 5815 5825 5835

Transmission can be on a 20 or 40MHz (802.11a/n), or 80 MHz (802.11ac) wide channel.

Graphics:

Firewall FILTER

En un firewall tenemos 3 chains o cadenas: Input (tráfico con destino el propio router), Forward (tráfico que atraviesa el router, como el que originan los dispostivos de tu LAN), Output (tráfico con origen el propio router). El firewall por defecto da de alta las siguientes reglas (cada una de las que ves con la palabra "add" delante).

Chain Input (destino el router)

Código:

add action=accept chain=input comment=\

    "defconf: accept established,related,untracked" connection-state=\

    established,related,untracked

Aceptas toda conexión previamente establecida, con destino el router.

Código:

add action=drop chain=input comment="defconf: drop invalid" connection-state=\

    invalid

Rechazas toda conexión con estado "inválido".

Código:

add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp

Aceptas que puedas hacerle un ping a tu IP pública. Si esta regla la quitas, verás que dejas de poder hacer ping a tu IP pública desde internet.

Código:

add action=accept chain=input comment=\

    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1

Aceptas peticiones del propio router para haciendo de CAPsMAN. Esta regla es solo necesaria cuando tienes un router+AP (router con wifi) y quieres montar CAPsMAN en ese mismo equipo, manejando su propia red inalámbrica vía esa herramienta. En ese caso particular, la petición de control de CAPsMAN vendrá de la IP de loopback, la 127.0.0.1. Si tu equipo no tiene wifi, esa regla la puedes eliminar directamente, no la necesitas.

Código:

add action=drop chain=input comment="defconf: drop all not coming from LAN" \

    in-interface-list=!LAN

La regla más importante del chain de input. Impide que nada que no sea un elemento de tu lista LAN (¿ves como usamos las listas, en lugar de las interfaces?) acceda al propio equipo. Esa regla impide, por ejemplo, que alguien desde internet pueda acceder a tu equipo si sabe tu IP pública y tiene winbox instalado.

Chain de Forward (origen/destino la LAN, tráfico que atraviesa el router)

Código:

add action=accept chain=forward comment="defconf: accept in ipsec policy" \

    ipsec-policy=in,ipsec

add action=accept chain=forward comment="defconf: accept out ipsec policy" \

    ipsec-policy=out,ipsec

Dos reglas muy similares. Aceptan que los elementos LAN y el exterior se puedan comunicar con una policy de IPSec. Esto lo vas a usar cuando montes una VPN en el router, y quieras que el tráfico encriptado entre y salga del equipo, tal y como lo hace el tráfico LAN. Una regla acepta el tráfico encriptado en sentido de entrada (in,ipsec) y el otro en salida (out,ipsec). No las toques, son muy útiles, aunque no las necesitas si no montas una VPN.

Código:

add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \

    connection-state=established,related

Esa regla hace magia, y podríamos estar mucho tiempo hablando de ella. Básicamente lo que hace es saltarse el flujo de paquetes que seguiría cualquier paquete en el chain de forward, para toda conexión ya activa. Es decir, el primer paquete que pase por ahí no entrará en esa regla, y entrará en la siguiente, pasando por todo el flujo. Pero todos los demás relativos a esa conexión, irán por la vía rápida, saltándose del tirón ese flujo. Esta regla es incompatible con la gestión avanzada del tráfico (QoS, las famosas colas de prioridad y el mangle), y tendrías que desactivarla en caso de querer usar políticas de gestión de tráfico. Sin embargo, consiguen aumentar el rendimiento de un equipo una barbaridad. En tu caso no lo vas a notar, porque tienes una bestia parda de router, pero en el caso de un router de 50€ como puede ser un hEX, es la diferencia entre coger 400-500 Mbps y que el equipo se vaya a manejar 900 y pico megabits por segundo (a todo lo que dan los puertos gigabit). Trátala con mucho cariño y mantenla en tu configuración todo el tiempo que puedas. Yo la tengo quitada porque uso balanco de carga PCC y colas; y si quiero usar mangle para marcar el tráfico, no me queda otra que quitarla. El día que tengas que quitarla, simplemente desactívala con el aspa roja y reinicia el router. Verás que un par de reglas dinámicas que tenías tanto a nivel de filter como en mangle desparecen (descuida, que se vuelven a generar cuando la habilitas y reinicias).

Código:

add action=accept chain=forward comment=\

    "defconf: accept established,related, untracked" connection-state=\

    established,related,untracked

Igual que lo anterior, para el tráfico que aún no haya sido marcado como fasttrack (primeros paquetes de una conexión). Como ves no se acepta el estado "new", lo cual quiere decir que nadie desde fuera (internet) puede originar una conexión a un elemento de tu LAN. Las conexiones siempre se originan de dentro a fuera, salvo en un caso muy particular (última regla, ahora hablaremos de ella).

Código:

add action=drop chain=forward comment="defconf: drop invalid" \

    connection-state=invalid

Al igual que en input, paquetes marcados como inválidos, los rechazamos.

Código:

add action=drop chain=forward comment=\

    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \

    connection-state=new in-interface-list=WAN

Esta es la excepción que confirma la regla. Sólo vamos a aceptar nuevas conexiones que vienen del exterior a nuestra LAN, si dicho tráfico está explicitamente declarado en el NAT. ¿Cuando se da esto? Muy sencillo: cuando abrimos un puerto. En ese caso, esa regla se encargaría de aceptar dicha conexión, dejando pasar ese tráfico en particular, y ningun otro. La regla literalmente dice: toda nueva conexión que venga de internet y no esté explicitamente declarada en el NAT, la rechazas. Otra regla muy importante y que no debes borrar nunca.

Firewall NAT

Aquí es donde cambiamos IPs públicas por privadas y viceversa. Trabajas con dos chains, muy parecido al firewall: srcnat (tráfico con origen la red nateada) y dstnat (tráfico con destino la red nateada). Las reglas de nateo para cambiar tu ip privada por tu ip pública irían en el srcnat, y la apertura de puertos en el dstnat.

Código:

/ip firewall nat

add action=masquerade chain=srcnat comment="defconf: masquerade" \

    ipsec-policy=out,none out-interface-list=WAN

Como tienes una IP pública dinámica, no puedes usar una regla de src-nat directamente para cambiar unas por otras (si la tuvieras y fuera estática, esa regla sería incuso más simple), así que tienes que tirar de un "truco" para salir a internet: usar un sub-grupo dentro del src-nat: el masquerade. Esta regla enmascara todo tráfico saliente no encriptado que acabe saliendo por cualquier interfaz dentro de tu lista WAN. De esa manera tan elegante, resuelves el problema de no tener una IP pública estática.

Si la tuvieras, tu regla sería algo así (siendo 1.2.3.4 tu IP pública)

Código:

add action=accept chain=srcnat comment="nateo-lan-to-wan" \

    ipsec-policy=out,none src-address=192.168.55.0/24 dst-address=1.2.3.4

Vamos a utilizar un router Mikrotik para enlazar con nuestro router principal Mikrotik desde el exterior.

Reseteamos el equipo para arrancar sin configuración (System -> Reset -> No default configuration), ya que esto va a ser un router tonto.

Nos tocará entrar por Winbox al equipo, puesto que necesitaremos acceder vía MAC address.

Le cambiamos la password al usuario de admin en System -> Users. O, mejor aún, creamos uno nuevo con permisos "full" y borramos el de admin.

Establecemos ether3 como puerto para conectarnos por IP mediante Winbox y administrarlo.

La conexión a internet la podremos hacer tanto por cable (ether1) como por wifi (wlan1).

/interface list add name=WAN

/interface list member add interface=ether1 list=WAN

/interface list member add interface=wlan1 list=WAN

/interface detect-internet set detect-interface-list=WAN

/interface bridge add name=bridge1

/ip address add address=192.168.99.1/24 interface=ether3 network=192.168.99.0

/ip pool add name=pool-mgmnt ranges=192.168.99.2-192.168.99.5

/ip dhcp-server network add address=192.168.99.0/24 dns-none=yes gateway=192.168.99.1

/ip dhcp-server add address-pool=pool-mgmnt interface=ether3 name=dhcp-mgmnt

/ip dns set servers=1.1.1.1,1.0.0.1

Y nos conectamos con la interfaz física wlan1 en modo station (cliente) a la red de marras.

Lo más sencillo para esto es usar el botón "Scan" que tenéis en la pestaña de WiFi Interfaces.

Escaneáis las redes, seleccionáis la que sea y le dais a conectar.

Podéis comprobar si hay conexión haciendo un ping mediante terminal a ping google.com.

Ahora levantamos el tunel EoIP y añadimos al bridge los puertos que queramos más el tunel EoIP.

Y añadimos el cliente dhcp sobre el bridge.

/ip cloud set ddns-enabled=yes

/interface eoip

add allow-fast-path=no disabled=yes ipsec-secret=MyPasswordIpsec !keepalive mtu=1500 name=eoip-tunnel-to-RouterA remote-address=serial.sn.mynetname.net tunnel-id=1

/interface bridge port add bridge=bridge1 interface=eoip-tunnel-to-RouterA

/interface bridge port add bridge=bridge1 interface=ether2

/ip dhcp-client add interface=bridge1 add-default-route=no

Os voy a mostrar como abrir puertos en nuestro router Mikrotik utilizando la terminal para introducir las órdenes.

Y que mejor que unos ejemplos prácticos.

Vamos a abrir el puerto 6655 (tcp) para nuestro pc con ip 192.168.1.60 que utilizaremos con el programa qBittorrrent.

También vamos a abrir los puertos 4662(tpc) y 4672(udp) para nuestro pc con ip 192.168.1.60 que utilizaremos con el programa eMule.

Cómo veis sólo tenéis que cambiar la ip de vuestra máquina, el número de puerto, el protocolo y un comentario si queréis.

/ip firewall nat

add action=dst-nat chain=dstnat comment=Qbittorrent dst-port=6655 protocol=\

    tcp to-addresses=192.168.1.60 to-ports=6655

add action=dst-nat chain=dstnat comment=Emule_TCP dst-port=4662 protocol=tcp \

    to-addresses=192.168.1.60 to-ports=4662

add action=dst-nat chain=dstnat comment=Emule_UDP dst-port=4672 protocol=udp \

    to-addresses=192.168.1.60 to-ports=4672

/tool bandwidth-test address=23.162.144.120 user=btest password=btest duration=25s direction=both

 

Resultado:

 

 

 

/tool bandwidth-test address=23.162.144.120 user=btest password=btest duration=25s direction=both

status: done testing

duration: 25s

tx-current: 322.1Mbps

tx-10-second-average: 321.9Mbps

tx-total-average: 301.2Mbps

rx-current: 317.1Mbps

rx-10-second-average: 317.0Mbps

rx-total-average: 315.8Mbps

lost-packets: 2750

random-data: no

direction: both

tx-size: 1492

rx-size: 1492

connection-count: 20

local-cpu-load: 56%

remote-cpu-load: 34%

Filtrar web maliciosas a parte de tus equipos usando filtrado DNS

Para cuando tenemos peques en la casa o simplemente queremos que se filtren las peticiones DNS a parte de nuestra red, podemos redirigir las peticiones DNS a un servidor público con filtrado, evitando así que los más peques de la casa accedan a contenido indeseado.

Código:

# Creamos una lista de IP's a las que se les va a aplicar el bloqueo

/ip firewall address-list

add address=192.168.1.151-192.168.1.254 list="Bloquear XXX"

#Redirigimos las peticiones DNS al DNS de Norton ConnectSafe

/ip firewall nat

add action=dst-nat chain=dstnat comment=\

"Redireccionar DNS a Norton Connectsafe" dst-port=53 protocol=udp \

src-address-list="Bloquear XXX" to-addresses=199.85.126.30 to-ports=53

Si queremos aplicarlo a toda la red, lo más sencillo es utilizar como servidor uptream de DNS uno que ya vaya filtrado. Por ejemplo:

Family shield, de OpenDNS: 208.67.222.123 / 208.67.220.123

Cloudflare family:

Anti malware: 1.1.1.2 / 1.0.0.2

Anti malware + anti pornografía: 1.1.1.3 / 1.0.0.3

Código:

# Configurarmos nuestro servidor dns upstream apuntando al family de cloudflare anti malware

/ip dns set servers=1.1.1.2,1.0.0.2

Y si queremos personalizarlo, sólo hay que sacarse una cuenta en OpenDNS Home y configurar a nuestro gusto los filtros que queramos. Nos proveerán otros servidores DNS donde podremos personalizar qué tipo de filtrado queremos aplicar, los cuales, al igual que lo anterior, podremos usar para filtrar parte o todo el tráfico del mikrotik.

Usar el servidor DNS como servidor local para un dominio de intranet.

Con la opción de IP -> DNS -> Allow remote requests, estamos convirtiendo nuestro equipo en un servidor DNS, el cual podrá hacer las funciones de DNS caché y de servidor local. Para esto último podemos crear entradas estáticas a las IP's locales de nuestros dispositivos, resolviendolos luego vía nombre.dominio.

Por defecto, el router habrá creado una entrada que apunta a la IP del propio equipo, la cual podemos resolver con un ping a router.lan. Siguiendo con ese dominio .lan, podemos seguir añadiendo dispositivos para luego resolverlos por nombre. Ejemplo:

Código:

/ip dns static add address=192.168.88.2 name=miequipo.lan

/ip dns static add address=192.168.88.3 name=miotroequipo.lan

...

etc

Bonus: una vez tengamos nuestros equipos, todos bajo un mismo dominio (puede ser el .lan o cualquier otro que nos guste más), podemos añadir este dominio a la lista de dominios de búsqueda en el DHCP, de tal manera que nos lo entregue como parte de los datos que facilita el router cuando un cliente le solicita una IP.

Código:

/ip dhcp-server network set number=[find where gateway=192.168.88.1] domain=lan

De esta forma, una vez el servidor DHCP nos entregue una dirección, también nos entregará su dominio de búsqueda, tal que ahora podremos invocarlo con un ping simplemente al nombre del equipo: ping router deberia responder de la misma manera ahora que un ping router.lan