Conectar router con VPN

1. Dirigirse a Sistema > Router > Agregar router. 

2. Coloca el nombre que quieras en el RB. Para IP, USUARIO y CONTRASEÑA utiliza información ficticia para activar el script de conexión por VPN (pueder tomar los datos ficticios de la imagen). Después, al pegar en la terminal del RB, los datos correctos se llenarán automáticamente.

Una vez hecho esto, es  obligatorio rellenar la siguiente información. Asegúrate de completar todos los campos para que el sistema funcione correctamente.

3. Una vez llenado los campos dar click en GUARDAR Y CONTINUAR EDITANDO.

4. Te aparecerá una nueva pestaña con el nombre de SCRIPT DE CONEXIÓN 

Donde tendremos que dar click en ENTENDIDO y después en GENERAR SCRIPT. 

5. Nos arrojará el SCRIPT DE CONEXIÓN que tendremos que conectar a la terminal del RB. pegamos el script en la terminal de su router mikrotik, esperar que cargue y darle ENTER.

Posterior a ello dar click en VERIFICAR CONEXIÓN.

Y ya tendría conexión mediante la VPN. 

Conectar con IP pública

1. Ir a Sistema > Router > Agregar Router y llenamos los campos.

Nombre: Colocar nombre que haga referencia al RouterBoard o Zona

IP: Colocar IP Publica o algún subdominio. No colocar Ip privada (192.168.0.1) porque wisphub no tendrá conexión con su router.

Usuario Api: Usuario de nuestro RB.

Password del RB: Agregar el Password de nuestro RB.

WispHub recomienda crear un usuario y grupo exclusivamente para su uso.

Puerto Api: Agregar el puerto Api de nuestro RB. 

Puerto WWW: Agregar el puerto WWW de nuestro RB.

Ejemplo de donde encontrar el puerto Api y WWW en nuestro RB, ir a IP/Services

Interfaz LAN: Colocar el nombre de la interfaz lan de nuestros clientes.

Rangos de IP: Colocar los rangos de Ips con que administramos a nuestros clientes.

Forma de administrar a nuestros clientes:

• Control simple queues
• Control PCQ
• Control HotSpot
• Control PPPoE
• IP Bindings
• Amarre IP/Mac
• DHCP Leases

Seleccionar el control que más se adapte a nuestras necesidades, algunas opciones pueden combinarse para administrar a sus clientes.

Guardar y comprobar conexión: Por último damos click en Guardar y comprobar conexión para verificar que WispHub se a conectado con su RouterBoard de manera exitosa.

PREGUNTAS FRECUENTES

• ¿Por qué me da error de conexión?

1. En el administrador de su Router RB ir a IP/Firewall/Filter Rules y verificar que regla esta bloqueando el acceso, puede apagar todas y regresar a wisphub de nuevo y verificar de nuevo la conexión.

2. Puede que sea la ip publica que no este habilitada de su lado. Entonces puede conectarse de otra forma atravez de un script de conexión, para ello sigua los pasos a continuación de como conectar su Router RB a WispHub sin la necesidad de tener habilitada la ip publica.

Recomendaciones de Seguridad (IP pública)

Crear usuario y grupo exclusivamente para wisphub. No usar el usuario admin del RouterBoard en Wisphub.

1 Crear Grupo, copia y pega el script en la terminal de tu Router Board

          
/user group remove [find where name ~"wisphub"]; /user group add name=wisphub policy="local, ftp, reboot, read, write, policy, test, password, sniff, api, romon, sensitive"
        

2Crear usuario

3Usar el nuevo usuario en agregar o editar router Wisphub.

Desactivar servicios

Es recomendable desactivar ssh, ftp y telnet si no están siendo usuados.

Restringir el acceso al puerto API por IP service   opción 1

Para restringir el acceso colocar lo sig:

Usuarios que se conectan a WispHub con IP Pública (si ingresas con wisphub.net)

Agregar las siguientes IPs mendiante el script.

          
/ip service set api port=8728 disabled=no address="192.241.222.19,192.241.207.177,198.199.95.86,107.170.255.167,107.170.193.237,192.241.233.47,192.241.211.226,192.241.211.37,198.199.101.139,192.241.197.180,198.199.100.231,198.199.119.149,104.26.13.125,104.26.12.125,104.26.12.125,172.67.72.161,192.241.192.207,192.241.205.12,107.170.225.6,198.199.109.38,192.241.198.13"; 

        

Restringir el acceso al puerto API por reglas de firewall opción 2

Usuarios que se conectan a WispHub con IP Pública (si ingresas con wisphub.net)

1 Agregar mediante un script la regla para aceptar

          
/ip firewall filter
add action=accept chain=input comment="Aceptar WispHub" src-address-list=\
    AceptarWispHub;
        

2Subir la regla al principio

3Copiar y pegar las ip publicas

          
/ip firewall address-list add address=192.241.222.19 list=AceptarWispHub
/ip firewall address-list add address=192.241.207.177 list=AceptarWispHub
/ip firewall address-list add address=198.199.95.86 list=AceptarWispHub
/ip firewall address-list add address=107.170.255.167 list=AceptarWispHub
/ip firewall address-list add address=107.170.193.237 list=AceptarWispHub
/ip firewall address-list add address=192.241.233.47 list=AceptarWispHub
/ip firewall address-list add address=192.241.211.226 list=AceptarWispHub
/ip firewall address-list add address=192.241.211.37 list=AceptarWispHub
/ip firewall address-list add address=198.199.101.139 list=AceptarWispHub
/ip firewall address-list add address=192.241.197.180 list=AceptarWispHub
/ip firewall address-list add address=198.199.100.231 list=AceptarWispHub
/ip firewall address-list add address=198.199.119.149 list=AceptarWispHub
/ip firewall address-list add address=104.26.13.125 list=AceptarWispHub
/ip firewall address-list add address=104.26.12.125 list=AceptarWispHub
/ip firewall address-list add address=172.67.72.161 list=AceptarWispHub 
/ip firewall address-list add address=192.241.192.207 list=AceptarWispHub
/ip firewall address-list add address=192.241.205.12 list=AceptarWispHub
/ip firewall address-list add address=107.170.225.6 list=AceptarWispHub
/ip firewall address-list add address=198.199.109.38 list=AceptarWispHub
/ip firewall address-list add address=192.241.198.13 list=AceptarWispHub
/ip firewall address-list add address=servers-corte.wisphub.net list=AceptarWispHub

        

1Agrega la regla para aceptar servidores desde la terminal y subela al principio, esta regla la encontrarás en ip-firewall-filter rules

          
/ip firewall filter
add action=accept chain=input comment="servers_wisphub" src-address-list=\
    servers_wisphub;
        

2Copia y pega el script en la terminal

          
/ip firewall address-list add address=servers-corte.wisphub.net list=servers_wisphub
        

Usuarios que se conectan a WispHub con IP Pública (si ingresas con wisphub.io)

Agregar las siguientes IPs.

          
/ip firewall address-list add address=134.209.169.68 list=AceptarWispHub
/ip firewall address-list add address=167.172.246.245 list=AceptarWispHub
/ip firewall address-list add address=201.159.23.40 list=AceptarWispHub
/ip firewall address-list add address=172.67.70.6 list=AceptarWispHub
/ip firewall address-list add address=104.26.1.232 list=AceptarWispHub
/ip firewall address-list add address=104.26.0.232 list=AceptarWispHub
/ip firewall address-list add address=134.122.10.252 list=AceptarWispHub
/ip firewall address-list add address=159.203.170.145 list=AceptarWispHub
/ip firewall address-list add address=167.172.226.89 list=AceptarWispHub
/ip firewall address-list add address=161.35.136.156 list=AceptarWispHub
/ip firewall address-list add address=165.227.113.62 list=AceptarWispHub

        

1Agrega la regla para aceptar servidores desde la terminal y subela al principio, esta regla la encontrarás en ip-firewall-filter rules

          
/ip firewall filter
add action=accept chain=input comment="servers_wisphub" src-address-list=\
    servers_wisphub;
        

2Copia y pega el script en la terminal

          
/ip firewall address-list add address=servers-corte.wisphub.io list=servers_wisphub
        

Usuarios que se conectan a WispHub con IP Pública (si ingresas con wisphub.app)

Agregar las siguientes IPs.

          
/ip firewall address-list add address=206.189.232.53 list=AceptarWispHub
/ip firewall address-list add address=137.184.155.255 list=AceptarWispHub
/ip firewall address-list add address=172.67.72.205 list=AceptarWispHub
/ip firewall address-list add address=104.26.11.197 list=AceptarWispHub
/ip firewall address-list add address=104.26.10.197 list=AceptarWispHub

        

1Agrega la regla para aceptar servidores desde la terminal y subela al principio, esta regla la encontrarás en ip-firewall-filter rules

          
/ip firewall filter
add action=accept chain=input comment="servers_wisphub" src-address-list=\
    servers_wisphub;
        

2Copia y pega el script en la terminal

          
/ip firewall address-list add address=servers-corte.wisphub.app list=servers_wisphub
        

Paso 1: Copiar nuevamente el script de conexión al router

1Ir a https://wisphub.net/router/ seleccionar el router que reseteo y dar en editar.

2Ir a la seccion de generar Script, y dar generar script de conexión. En caso de no contar con la opcion habilitada escribir en el chat

3Copiar el script completo

4Pegar el script en la terminal de su router mikrotik, Esperar que cargue y darle ENTER   

5Dar en verificar conexión y debe salir exitosa

Video Tutorial

Verificar si la conexion hacia internet es estable

1Ingresamos al RB y enviamos ping hacia:

ping 8.8.8.8

ping 107.170.219.187

2Si durante las peticiones existen los mensajes timeout o packet rejected toca revisar las posibles fallas dentro de su red.

Verificar si existe alguna regla en firewall que no permita la conexión

Verificar si el CPU esta elevado, luego verificar que procesos consumen bastante cpu

Revisar que procesos saturan el RB para su posterior analisis y liberacion del mismo.

Reinicar RB

Para usar WispHub. Es Importante que cada Router Mikrotik que esté conectado a su cuenta se reinicie cada día.  Esto no solo hara que wisphub tenga conexión a su rb, si no que tambén ayudará que varios procesos no se atoren en su Mikrotik y este tenga un buen funcionamiento. Supongamos que su router lleva 10 dias sin reiniciarse. Los problemas de esto en el sistema de WispHub son:

1-No se conectará al sistema, le marcará error de conexión ya sea que usted este conectado por ip publica o por VPN de wisphub.

2-No podrá hacer cortes, activar, agregar y eliminar clientes desde el sistema.

A continuación, les dejamos un script que reinicia su Router cada día.

#Reinico automatico del RB todos los dias
#start-time = hora que el RB se renicia.
#Abrir la terminal del RB copiar y pegar el siguiente codigo.

  /system scheduler
add interval=1d name="Reinicio 5 AM" on-event="/system reboot" policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive start-date=oct/11/1970 start-time=05:00:00

Salida a Internet

WispHub es un servicio en la nube por lo que es muy importante contar con conexión a internet y poder tener acceso desde su Rb a WispHub. Para esto mandamos ping a Google (8.8.8.8) lo que nos indicara si es que su Rb ya cuenta con salida a internet o no.En caso de no tener salida de internet su rb, WispHub no podra tener comunicacion con su RB.

Imagen paso a paso

DNS

Para poder tener conexión con wisphub es importante que su Rourterboard tenga asignado por lo menos un servidor DNS (en este ejemplo tenemos asignados los servidores de google 8.8.8.8 y 8.8.4.4) que logre acceder a nuestro dominio wisphub.net. Para comprobar esto debe mandar ping a wisphub.net

1Abrir las configuraciones de los servers DNS

2Asignar los DNS que vayamos a utilizar (se recomienda utilizar el 8.8.8.8 que es el servidor de Google)

3Mandar ping a wisphub.net

4Verifique conexión con WispHub

Puerto Api

WispHub trabaja por medio del puerto API por lo que es necesario que se tenga definido el mismo puerto tanto en su Rb como en WispHub.

1Ir a IP/Service en su Routerboard y verificar cual es el puerto API que tiene asignado su equipo.

2 Verificar que el puerta API se el mismo en los ajustes del router en WispHub.

Tengo mas de una zona para el mismo Routerboard y solo una zona se conecta

Si usted maneja mas de una zona para el mismo Routerboard y es mediante una conexión por VPN, es importante no haber pegado mas de un script de conexión en su Rb ya que esto borra los datos de conexión que ya estaban, lo que hará que se pierda la conexión con la otra zona ya que esta cuenta con diferentes datos de conexión. Lo que debemos hacer es colocar los mismos datos de IP, Usuario del Rb, Password del Rb de la zona principal a las zonas secundarias que tengamos.

Apagar y encender la VPN

En caso de que usted este trabajando con WispHub mediante una VPN que nosotros ofrecemos, apague y encienda la VPN y verifique conexión.

1Ingrese a su rb, en la sección Interface encontrara la VPN con el nombre de WispHub, apague la VPN y enciendela nuevamente.

2Verifique que la VPN diga conectado

3Verifique conexión con WispHub

En ocasiones necesitaremos realizar enviar correo desde nuestro router, avisándonos de diferentes temas, por ejemplo monitoreo de dispositivos de red

1Paso 1

Ir a Sistema->Router->Herramientas->Servidor correo

https://wisphub.net/router/

2Paso 2

Agregar los datos servidor de correo los cuales seran ingresados en el router.

Para este ejemplo usare un correo gmail. 

Para el caso de gmail.com
Ir a: https://myaccount.google.com/lesssecureapps
y activar lo siguiente:

Una vez activado los datos quedan de la siguiene manera:

Servidor: smtp.gmail.com
Puerto: 587
Start TLS: Yes
Usuario: [email protected]
Password: supassword

Por último seleccionamos: Agregar y enviar correo de prueba.

Ingresamos a nuestro correo al que estamos configurando como servidor de correo y nos saldra una alerta la cual debemos de volver a confirmar

Este paso de confirmación es solo por unica vez por servidor de correo.

3Volver a enviar correo de prueba

Volver a ir a Sistema->Router->Herramientas->Servidor correo

https://wisphub.net/router/

Ingresar de nuevo nuestros datos.

y listo se enviara un correo de prueba al correo que tengamos ingresado en nuestra cuenta de wisphub

WispHub te proporciona de manera fácil la herramienta Netwatch, para monitorear cualquier dispositivo que se le pueda asignar una dirección IP. Esto nos puede ser gran utilidad a la hora de saber si una IP se encuentra en linea o esta caído avisándonos por medio un correo electrónico el estado del dispositivo que necesitemos monitorear.

Video Informativo

Agregar Monitoreo

Forma 1: Monitorear AP

Desde la sección Sistema->AP

https://wisphub.net/monitoreo/

Forma 2: Monitorear cualquier dispositivo IP

En la sección Sistema->Router->Herramientas->Monitoreo->Agregar monitoreo.

https://wisphub.net/router/

1Datos monitoreo

Para este ejemplo, pretendo monitorear un AP con los siguientes datos.

Nombre dispositivo: AP Centro
IP a monitorear: 192.168.200.250
Monitorear cada: 1 minuto (tiempo en minutos recomendado)
SI el equipo no responde en: 20 segundos (tiempo en segundos recomendado)

2Notificación por email

Se avisara por email cuando el dispositivo este caido y vuelva a estar en linea.

Notificar Staff: Se les notificara a los staff seleccionados (Solo se muestran los staff que tengan correo asignado)
Emails CC: Notificar a correos adicionales. Separados por coma, ej. [email protected], [email protected], [email protected]

Asunto y Mensaje: Wisphub ya te proporciona la plantilla para asuntos y mensajes como se puede ver.
Puedes dejarlo así o puedes modificarla.
E incluso puedes usar las variables disponibles:
{nombre_dispositivo}
{ip_dispositivo}
Las cuales van a tomar los valores de los datos de monitoreo.

Para este ejemplo, usare la plantilla ya proporcionada.

Y listo, con eso estaremos monitoreando nuestros dispositivos de red.

Notificación cuando el dispositivo este "Caido" fuera de linea

Notificación cuando el dispositivo este "En linea"

Lista de monitoreo

En sistema->Router->Herramientas->Lista monitoreo

https://wisphub.net/router/

Aquí veremos todos los dispositivos que estemos monitoreando asi como las siguientes acciones.

1. Agregar nuevo monitoreo
2. Borrar script de monitoreo
3. Habilitar script de monitoreo
4. Deshabilitar script de monitoreo

Esta opción le permite sincronizar los clientes morosos en Wisphub con los de su Router Board. Esta opción le es util en caso de que por algun motivo alguno de sus clientes suspendidos en wisphub no se encuentre suspendido en el RB.

1Seleccione el Router Board

Lo primero que debe hacer es dirigirse a https://wisphub.net/router/ Seleccione un router y en el boton de Herramientas seleccione la opción Sincronizar Morosos.

Para poder utilizar esta función es importante tener habilitada la API en su Router Board, de lo contrario se mostrará el siguiente mensaje.

2Seleccione los clientes que desea sincronizar

En caso de que existan clientes por sincronizar se mostrará la siguiente vista, en la cual podra visualizar un mensaje indicando los clientes en Wisphub que no estan en el Router Board, asi mismo, seran mostrados en una tabla en la cuál podra selecionar los clientes que desee sincronizar.

3Sincronizar

Una vez haya seleccionado los clientes, estos seran desactivados y sera redirigido a la vista de clientes en la cual se mostrara un mensaje indicando que los clientes se han desactivado correctamente.

En caso de que no haya clientes por sincronizar se mostrará el siguiente mensaje.

Integración de Freeradius con WispHub

Ahora es posible integrar su servidor RADIUS, que debe ser el servicio FreeRADIUS. Si ya cuentan con un servidor RADIUS con FreeRADIUS, Wisphub puede implementar un webservice para la integración. Si no tienen un servidor existente, Wisphub puede proporcionar e instalar el servicio de FreeRADIUS junto con el webservice en un servidor externo por un costo adicional.

Es importante destacar que Wisphub se encarga únicamente de integrar la API del webservice que se instalará. Esto permite a Wisphub crear y gestionar usuarios en su servidor RADIUS externo, pero no controlará la autenticación.

FreeRADIUS es un servidor de código abierto utilizado en redes para autenticar, autorizar y contabilizar el acceso de usuarios y dispositivos. Ofrece flexibilidad en métodos de autenticación, roles y permisos, y puede gestionar grandes volúmenes de datos de acceso. Su versatilidad lo hace valioso en proveedores de servicios de Internet, redes inalámbricas y VPN. Como código abierto, es gratuito y cuenta con una comunidad activa de desarrollo.

Requsitos para la Integración :

• Servidor FreeRADIUS: Es necesario contar con un servidor externo donde esté instalado FreeRADIUS.
• Webservice de WispHub: Se requiere la implementación del webservice proporcionado por WispHub para habilitar la integración.

Para la instalación y configuración de estos requisitos, Wisphub puede proporcionar soporte, pero esto conlleva un costo adicional.

• Router MikroTik con IP Pública: El Router MikroTik debe tener una dirección IP pública para que el servidor RADIUS pueda comunicarse con él de manera efectiva.

Estos requisitos son fundamentales para garantizar la correcta implementación y funcionamiento de la integración en su plataforma WispHub.

En este paso ya debe de contar con el Webservice, Nos dirigimos a la seccion de API Keys y hacemos clic en agregar.

En la seccion de agregar

1. Le damos un nombre identificativo a la API Key
2. Definimos una fecha de expiracion, en este caso una fecha futura
3. Hacemos clic en guardar

Se mostrara la API Key generada, es necesario guardarla ya que será requerida mas adelante y no se podra ver de nuevo.

1Agregar un router con la opcion de PPPoE y Profile PPP (Queue Dinamico) o PCQ + Address List

En esta seccion unicamente se tocaran los puntos necesarios para integrar el router con freeradius, si necesita mas detalles sobre todas las configuraciones al agregar un router puede consultarlo en la documentacion de como agregar un router.

• 1) El router debe contar con IP publica
• 2) El router debe contar con la opcion PPPoE
• 3) El control de velocidad debe ser Profile PPP (Queues Dinamicos) o PCQ + Address list

2Agregar eventos API Personalizados para RADIUS

En la lista de routers hacer clic en editar el router al que queremos agregar RADIUS y dirigirse a la seccion de Eventos API Personalizados, seguido de ello hacemos clic en el boton Agregar datos de API

En la seccion de agregar datos de la API sera necesario agregar lo siguiente:

1. Activar la API Personalizada
2. Agregar la ip del webservice donde tambien se encuentra freeradius (Esta debe ser una ip publica)
3. Seleccionar RADIUS como plataforma externa
4. Agregar la API key que se genero en el webservice de freeradius
5. Si no se requieren ajustes adicionales los endpoints necesarios se deben llenar en automatico, unicamente se tendria que guardar las configuraciones.

3Agregar router a freeradius

En la lista de routers hacer clic en Herramientas > Radius > Configuracion

En la configuracion se llenaran los siguientes datos:

1. IP del servidor radius: Es la direccion del servidor radius y el webservice, esto se tomara de los eventos API Personalizados.
2. NAS IP: Es la ip publica del router que se agregará al freeradius
3. Radius Secret: Es la clave compartida que asegura la comunicacion, si no tienes alguna en especial puedes generarlo con el boton de generar contraseña.

Al hacer esto se agregara un registro en la seccion de radius con los datos anteriormente especificados y activará la opcion de radius en PPP

Con eso tendremos agregado el router al servidor de freeradius. Si se considera necesario se puede verificar la conexion del radius con el router en la seccion de Herramientas > Radius > Verificar conexion

Luego de agregar el router se puede continuar con el flujo normal de uso de Wisphub, podemos crear clientes y los clientes creados se agregaran automaticamente a freeradius como plataforma externa.

4Conectar un cliente

Las formas de configurar un cliente varian dependiendo de la plataforma, en windows creamos una nueva conexion:

Ingresamos los datos de acceso:

Al conectarse correctamente se crearan los datos de forma dinamica en el router:

Un problema de los WISP e ISP, es el hecho de que cualquier persona que conozca su segmento de red se puede agregar una IP y si está libre podrá navegar sin problemas.
Para llevar un control de que IPs puede tener acceso a internet WispHub proporciona la opción de Clientes Autorizados lo que significa que únicamente los clientes (IP) que estén registrados en el sistema son las que podrán navegar a Internet.

Si desea esta opción es importante seguir los pasos a continuación ya que de lo contrario dejará sin servicio a todos sus clientes.

• Pasos de Implementación.
• Funcionamiento.

Video Tutorial

Manual Paso a Paso

Pasos de Implementacion

Ir sección de Routers  https://wisphub.net/router/

1. Seleccionar Router
2. En botones de acción seleccionar “ Utilerías--> Clientes Autorizados”

1Paso 1: Agregar IPs de tipo no residencial.

Si del segmento de tus clientes usas un par de IPs que no sean de tipo residencial, de uso administrativo que no se encuentren WispHub, debe de ingresarlas ya que no tendrán servicio de internet las IPs que no estén dadas de alta en el sistema.

Ejemplo: IPs de técnicos, ventas, equipos administrativos, servicios de cortesía. Puede ingresar IP, por IP, o un segmento.

En este caso, para fines de esta documentación, cuento con las siguientes IPs.

Técnicos, ventas: 192.168.77.240, 192.168.77.241, 192.168.77.242

IPs de equipos antenas, sectoriales, Routers: 192.168.66.250, 192.168.66.251

Guardamos cambios.

Opcional. Se puede confirmar que se hayan creado las siguientes ips con el address list: ips_permitidas_wisphub en IP/FIrewall/Address List

2Paso 2. Autorizar todos los clientes existentes en el Router.

Será redirigido a una nueva vista, esto para seleccionar y autorizar todos los clientes existentes en el router.

Si todo fue exitoso, vemos la siguiente leyenda.

Opcional. Se puede confirmar que se hayan creado las siguientes ips con el address list: ips_permitidas_wisphub en IP/FIrewall/Address List 

3Paso 3. Autorizar Planes de Internet

será redirigido a la siguiente lista de planes de Internet.

4Paso 4. Instalar Reglas Clientes Autorizados en el Router.

Se mostrará una ventana de confirmación.

Aquí es muy importate haber realizado los pasos anteriores de lo contrario todo se quedará sin servicio a internet.

Si todo fue realiado solo basta con escribir la frase de confirmación.

Si todo fue exitoso, vemos la siguiente leyenda.

 Se puede confirmar que se hayan creado las reglas de clientes autorizados en IP/Firewall/Filter Rules

Funcionamiento

Una forma sencilla de probar el funcionamiento de clientes autorizados es tomar una ip de nuestro rango LAN de nuestro RB, la cual aún no se encuentre registrado en el sistema.

Ejemplo. Cuento con la IP: 192.168.66.188 si me asigno esa ip como estática no deberia tener servicio.

Si registro esta IP como cliente en el sistema tendrá acceso a internet.

Si el plan de Internet que se le esta asignando al cliente ya fue autorizado, lo cual se hizo en el paso 3  

el cliente se autorizará de forma automática. En mi caso confirmo que la ip del cliente se halla agreado con el adresslist: ips_autorizadas_wisphub

Verificamos que tengamos acceso a internet.

WispHub ahora proporciona una serie de reglas de firewall de seguridad básica para equipos Mikrotik.
Esta opción solo se recomienda para equipos nuevos que no contengan ningún tipo de regla en el apartado de Firewall/Filter Rules del RB.

Características principales:

• Permitir Acceso al RB por Winbox, web, ssh, telnet entre otros servicios, solo a los administradores de red.
• Bloquear puerto DNS desde WANs (Exterior).
• Bloquear puerto WebProxy desde WANs (Exterior) útil para proteger sus ips públicas por riesgo a hacer baneadas en lista negra (blacklists).
• Permitir acceso a internet solo a IPs autorizadas (Clientes registrados en el sistema).

Pasos de Implementación

Video tutorial

Por pasos

Nos dirigimos al apartado de Sistema->Routers:  https://wisphub.net/router/

Será redirigido a una serie de pasos a seguir:

1Paso 1 - Autorizar IPs / Agregar de Administracion de red.

1. Agregar IPs de tipo: Autorizar IP/Segmento LAN:

1.1.-Si del segmento LAN de tus clientes, hay IPs que no sean de tipo residencial es decir clientes (IPS) de cortesía que no se encuentren en WispHub, debe de ingresarlas ya que al instalar las reglas no tendrán servicio. 
Ejemplo: 
En mi caso doy servicio de cortesía a un familar con la IP: 192.168.66.99

1.2.-Ingresar todas las IPs o segmentos de todos los equipos de red administrativos ej: sectoriales, Routers, ONUs ect. de lo contrario perderá comunicación entre ellos (ping).

Para fines de este manual cuento con las siguientes Equipos: 192.168.100.254, 192.168.200.254

Estas ips se agregaran en al addresslist: ips_autorizadas_wisphub

2. Agregar IPs de tipo: Administrador de red:

2.2.- Ingresar todas las direcciones IPS o rangos de técnicos, administradores de red, ya que no podrán acceder al Router por medio de winbox, web u otros servicios.
Ejemplo: 
En mi caso las siguientes IPs de mis técnicos serian las siguientes:  192.168.66.101, 192.168.66.102. 

2.2.-Si su router cuenta con IP Pública asignada. Para que se pueda ingresar desde exterior.
Se tiene que agregar la IP Publica con la que esta saliendo a internet. 
Ejemplo.
Mi router cuenta con la siguiente IP Pública asignada: 187.155.59.111
Para que pueda acceder por medio de winbox o web desde afuera de mi red. 
Como primer paso tengo que conocer la IP pública con la estoy saliendo a internet,, si no sabe con que ip esta saliendo puede consultar:https://www.cualesmiip.com/
en mi caso estoy fuera de mi red pero salgo con otra IP: 198.155.98.115
dicha ip se agregaría como Administrador de red

Estas ips se agregaran en al addresslist: administrador_red_wisphub
 

Para fines de este manual así quedaría.

Guardar cambiar, y verificar en el Router que se hallan creado los siguientes address-list con las ips ingresadas.

2Paso 2. Autorizar todos los clientes existentes en el Router.

Será redirigido a una nueva vista, esto seleccionar y autorizar todos los clientes existentes en el router.

verificar en el router en IP/Firewall/AddressList que todos los clientes se hayan creado con el address-list: ips_autorizadas_wisphub

3Paso 3. Autorizar Planes de Internet

será redirigido a la siguiente lista de planes de Internet.

4Paso 4. Instalar reglas firewall de seguridad básica.

Será redirigido a la siguiente ventana.

1. Habilitar/Deshabilitar Servicios (Puertos):

Este formulario no es requierido, al instalar las reglas de seguridad básica, por default se crearán 2 reglas

• Permitir acceso al Router por Winbox solo a los administradores.
• Permitir acceso al Router por Web solo a los administradores.

Del mismo modo puede restringir, editar el acceso otros servicios del RB tales como, ssh, telenet, ftp, ect.

• Acceso a todas las IPs: Implica que  cualquier Privada/Pública, pueda ingresar al Router..
• Acceso a solo administradores de red: Solo las IPs que fueron agregadas como administradores de red en el paso 1 podrán acceder al Router

2. Instalar reglas seguridad básica.

Este formulario es requerido y se tiene que seleccionar su interface de conexión con el provedor (WAN) de su RB.

Al instalar las reglas se mostrará una ventana de confirmación, el cual indica que tuvo que haber realizado todos los pasos anteriores. ya que de lo contrario sus clientes no tendrán servicio e incluso no podrá acceder a su rb.

Verificar las siguientes reglas firewall en mikrotik

Funcionamiento

Clientes Autorizados

Una forma sencilla de probar el funcionamiento de clientes autorizados es tomar una ip de nuestro rango LAN la cual aún no se encuentre registrado en el sistema.

Ejemplo. Cuento con la IP: 192.168.66.188 si me asigno esa ip como estática no deberia tener servicio.

Si registro esta como cliente en el sistema tendrá acceso a internet.

Si el plan de Internet que se le esta asignando al cliente ya fue autorizado, lo cual se hizo en el paso 3 

el cliente se autorizará de forma automática. En mi caso confirmo que la ip del cliente se halla agreado con el adresslist: ips_autorizadas_wisphub

Verificamos que tengamos acceso a internet.

Acceso a servicios solo administradores

En el inicio de esta documentación en el paso 1, aprendimos como poder agregar todas las ips las cuales van a tener acceso al router por medio de winbox, web, ssh, telenet u otros servicios.

Lo cual en teoría ninguna ip del rango lan/ ip publica / vpn va a poder a conectarse por winbox o web u otros servicios del rb hasta que sean agregados como administradores de red.

Ejemplo: Si tengo la ip 192.168.66.188 la cual solo esta como cliente, no podrá acceder a servidor Mikrotik.

Cabe mencionar en el paso 1 se agrego la ip 192.168.66.101 como tipo Administrador de red.

Me asigno la ip 192.168.66.101 , como estática y estoy dentro de la red podrá acceder al router.
Verificamos si ahora podemos acceder al router.

¿Cómo acceder a mi RouterBoard si tiene IP Pública asignada?

Ejemplo, mi routerboard cuenta con la siguiente IP Pública: 187.155.XX.XX

Para poder acceder por medio de winbox desde otra red. 

Como primer paso tenemos que conocer la ip publica de la otra red con la que estamos saliendo a internet, puede usar  https://www.cualesmiip.com/ 

en mi caso estoy saliendo con la IP:201.163.XX.XX

Entonces el escenario seria el siguiente:

Router (HOST): 187..155.XX.XX

IP que hará la petición para conectarse al Router: 201.163.XX.XX

Para poder conectarme al router por medio de winbox o web, tenemos que agregar la ip con la que estamos saliendo, en mi caso: 201.163.XX.XX

Nos regresamos de nuevo al paso 1 y agregamos la ip como tipo administrador de red

Verificamos que ahora tengamos acceso al rb.

Protección de IP Pública evitar que este en lista negra (blacklists).

Cuando contamos con IP pública y utilizamos la función de Web Proxy de nuestro equipo Routerboard es muy importante tener una regla que no permita hacer uso de nuestra IP publica vía Proxy ya que podemos recibir ataques por medio este medio. 

Al instalar las reglas de seguridad básica de wisphub del paso 4 se crea una regla para prevenir ataques vía Proxy con esto evitamos que nuestra ips publicas que esten asignadas al router, no corran el riesgo de ser baneadas en lista negra (blacklists).

Puede hacer un test de ello, siguiendo los pasos del siguiente post:  http://foroisp.com/threads/1600-Seguridad-Web-Proxy-en-MikroTik

Acceso otros puertos

Al momento de instalar las reglas de seguridad básica de wisphub se bloquean el acceso a todos los puertos, a excepción de winbox, web el cual solo está permitido solo a las ips que se agreguen como administrador de red.

En el paso 4. se tiene la opción de permitir otros servicios como:
winbox, web, ssh. telenet, api, ftp.
Ya sea a:
Todas las IPs: Acceso a todo el mundo
Administradores de red: Acceso solo las ips que están en el adress-list: administrador_red_wisphub

¿Cómo abrir un nuevo puerto?

En el RB en Firewall/Filter rules, buscamos la regla: Permitir acceso WINBOX para administradores - WispHub

Hacemos doble click, seleccionamos Copy

Action: Input
Chain: Especificar la cadena input u otra personalizada
Protocol: seleccionamos el protocolo por donde viaja el puerto
Port: Puerto el cual queremos que tenga acceso.
Src. AddressList: 

• Si queremos que todo el mundo tenga acceso a ese puerto lo dejamos vacío
• Si queremos que solo tengan acceso los administradores seleccionamos el addresslist; administrador_red_wisphub.

Ejemplo. 

Quiero abrir el puerto para que todas las VPNs de mi red puedan acceder a mi Router.

Resultado.

Wisphub te proporciona una manera fácil de agregar un script que reinicie tu router de forma automática cada cierto tiempo con unos cuantos clics.

Video Tutorial

Ubicacion de la herramienta

Desde la sección de Sistema > Router

Luego de seleccionar un router podrás encontrar la opción “Script de Reinicio Automático” en el apartado de utilerias.

Agregar script de reinicio automático

Para el siguiente ejemplo se agregara un script de reinicio automático que se ejecutara cada día a las 4 AM

1 Agrega un nombre que identificara el script, o puedes dejar el que viene por defecto

2 Agrega la hora en la que se ejecutara el reinicio en formato 24Hrs

3 Agrega cada cuantos días se ejecutara el reinicio

Y listo con eso tendremos nuestro script programado para ejecutarse según tus preferencias.

Wisphub te permite agregar fácilmente un script que realizara un backup automático a tu router, con esto se te enviara un correo con  los archivos .backup y .rsc adjuntos cada vez que se ejecute según tus preferencias.

Video Tutorial

Ubicación de la herramienta

Desde la sección de Sistema > Router

Luego de seleccionar un router podrás encontrar la opción “Script de Backup Automático” en el apartado de utilerias.

Agregar un script de backup automático

Para el siguiente ejemplo se agrega un script de reinicio automático que se ejecutara todos los días a las 4 AM

1 Agrega el nombre que identificara el script, o puedes dejar el que viene por defecto

2 Agrega la dirección de correo electrónico a la que llegara tu backup

3 Agrega la hora en que comenzara a realizarse el backup en formato 24Hrs

4 Agrega cada cuantos días se ejecutara el backup

Con eso tendrás tu script de backup listo para ejecutarse de forma automática según tus preferencias.

En cuanto se ejecute recibirás el correo con los archivos adjuntos.