Router

Agregar router

Conectar router con VPN

1. Dirigirse a Sistema > Router > Agregar router. 

 

2. Coloca el nombre que quieras en el RB. Para IP, USUARIO y CONTRASEÑA utiliza información ficticia para activar el script de conexión por VPN (pueder tomar los datos ficticios de la imagen). Después, al pegar en la terminal del RB, los datos correctos se llenarán automáticamente.

Una vez hecho esto, es  obligatorio rellenar la siguiente información. Asegúrate de completar todos los campos para que el sistema funcione correctamente.

3. Una vez llenado los campos dar click en GUARDAR Y CONTINUAR EDITANDO.

4. Te aparecerá una nueva pestaña con el nombre de SCRIPT DE CONEXIÓN 

 

Donde tendremos que dar click en ENTENDIDO y después en GENERAR SCRIPT. 

5. Nos arrojará el SCRIPT DE CONEXIÓN que tendremos que conectar a la terminal del RB. pegamos el script en la terminal de su router mikrotik, esperar que cargue y darle ENTER.

Posterior a ello dar click en VERIFICAR CONEXIÓN.

Y ya tendría conexión mediante la VPN. 

Conectar con IP pública

1. Ir a Sistema > Router > Agregar Router y llenamos los campos.

Nombre: Colocar nombre que haga referencia al RouterBoard o Zona

IP: Colocar IP Publica o algún subdominio. No colocar Ip privada (192.168.0.1) porque wisphub no tendrá conexión con su router.

EJEMPLOS VÁLIDOS EJEMPLOS NO VÁLIDOS
  • 731505bfcd.sn.mynetname.net
  • 187.153.92.243
  •  192.168.0.1

 

Usuario Api: Usuario de nuestro RB.

Password del RB: Agregar el Password de nuestro RB.

WispHub recomienda crear un usuario y grupo exclusivamente para su uso.

Puerto Api: Agregar el puerto Api de nuestro RB. 

Puerto WWW: Agregar el puerto WWW de nuestro RB.

Ejemplo de donde encontrar el puerto Api y WWW en nuestro RB, ir a IP/Services

Interfaz LAN: Colocar el nombre de la interfaz lan de nuestros clientes.

 

Rangos de IP: Colocar los rangos de Ips con que administramos a nuestros clientes.

Forma de administrar a nuestros clientes:

  • Control simple queues
  • Control PCQ
  • Control HotSpot
  • Control PPPoE
  • IP Bindings
  • Amarre IP/Mac
  • DHCP Leases

Seleccionar el control que más se adapte a nuestras necesidades, algunas opciones pueden combinarse para administrar a sus clientes.

Guardar y comprobar conexión: Por último damos click en Guardar y comprobar conexión para verificar que WispHub se a conectado con su RouterBoard de manera exitosa.

 

PREGUNTAS FRECUENTES

  • ¿Por qué me da error de conexión?

1. En el administrador de su Router RB ir a IP/Firewall/Filter Rules y verificar que regla esta bloqueando el acceso, puede apagar todas y regresar a wisphub de nuevo y verificar de nuevo la conexión.

2. Puede que sea la ip publica que no este habilitada de su lado. Entonces puede conectarse de otra forma atravez de un script de conexión, para ello sigua los pasos a continuación de como conectar su Router RB a WispHub sin la necesidad de tener habilitada la ip publica.

Recomendaciones de Seguridad (IP pública)

Vulnerabilidad RouterOS Versiones menores a 6.42

Se recomienda siempre actualizar los RB a todos aquellos con  versiones menores a la V6.42, debido a una vulnerabilidad en Winbox esto para evitar atacantes (virus).
Mikrotik  soluciono este problema en versiones  V6.42.1 en adelante. Más detalles aqui: https://wisphub.net/documentacion/vulnerabilidad-routeros-versiones-menores-642-40/

Crear usuario y grupo exclusivamente para wisphub. No usar el usuario admin del RouterBoard en Wisphub.

1 Crear Grupo, copia y pega el script en la terminal de tu Router Board

          
/user group remove [find where name ~"wisphub"]; /user group add name=wisphub policy="local, ftp, reboot, read, write, policy, test, password, sniff, api, romon, sensitive"
        

 

2Crear usuario

Crear usuario wisphub routeros

3Usar el nuevo usuario en agregar o editar router Wisphub.

Usuario Creado

Desactivar servicios

Es recomendable desactivar ssh, ftp y telnet si no están siendo usuados.

Desactivar Servicios

Aplicar solamente una opción

Para permiti la conexión de WispHub por IP Pública solo usar cualquiera de las 2 opciones que se le mostrarán.

Restringir el acceso al puerto API por IP service   opción 1

Para restringir el acceso colocar lo sig:

Usuarios que se conectan a WispHub con IP Pública (si ingresas con wisphub.net)

Agregar las siguientes IPs mendiante el script.

          
/ip service set api port=8728 disabled=no address="192.241.222.19,192.241.207.177,198.199.95.86,107.170.255.167,107.170.193.237,192.241.233.47,192.241.211.226,192.241.211.37,198.199.101.139,192.241.197.180,198.199.100.231,198.199.119.149,104.26.13.125,104.26.12.125,104.26.12.125,172.67.72.161,192.241.192.207,192.241.205.12,107.170.225.6,198.199.109.38,192.241.198.13"; 

        

 

Restringir el acceso al puerto API por reglas de firewall opción 2

Obsoleto apartir del 15 de Enero del 2024

Estas reglas estarán obsoletas apartir del 15 de Enero del 2024, para cuentas nuevas ya no es necesario usar esta configuración.

Usuarios que se conectan a WispHub con IP Pública (si ingresas con wisphub.net)

1 Agregar mediante un script la regla para aceptar

          
/ip firewall filter
add action=accept chain=input comment="Aceptar WispHub" src-address-list=\
    AceptarWispHub;
        

2Subir la regla al principio

3Copiar y pegar las ip publicas

          
/ip firewall address-list add address=192.241.222.19 list=AceptarWispHub
/ip firewall address-list add address=192.241.207.177 list=AceptarWispHub
/ip firewall address-list add address=198.199.95.86 list=AceptarWispHub
/ip firewall address-list add address=107.170.255.167 list=AceptarWispHub
/ip firewall address-list add address=107.170.193.237 list=AceptarWispHub
/ip firewall address-list add address=192.241.233.47 list=AceptarWispHub
/ip firewall address-list add address=192.241.211.226 list=AceptarWispHub
/ip firewall address-list add address=192.241.211.37 list=AceptarWispHub
/ip firewall address-list add address=198.199.101.139 list=AceptarWispHub
/ip firewall address-list add address=192.241.197.180 list=AceptarWispHub
/ip firewall address-list add address=198.199.100.231 list=AceptarWispHub
/ip firewall address-list add address=198.199.119.149 list=AceptarWispHub
/ip firewall address-list add address=104.26.13.125 list=AceptarWispHub
/ip firewall address-list add address=104.26.12.125 list=AceptarWispHub
/ip firewall address-list add address=172.67.72.161 list=AceptarWispHub 
/ip firewall address-list add address=192.241.192.207 list=AceptarWispHub
/ip firewall address-list add address=192.241.205.12 list=AceptarWispHub
/ip firewall address-list add address=107.170.225.6 list=AceptarWispHub
/ip firewall address-list add address=198.199.109.38 list=AceptarWispHub
/ip firewall address-list add address=192.241.198.13 list=AceptarWispHub
/ip firewall address-list add address=servers-corte.wisphub.net list=AceptarWispHub

        

 

Actualización apartir del 01 de Diciembre 2023 si ingresas con wisphub.net

Para empresas que se quieran conectar por ip pública o usar el failover pueden realizar este proceso.

1Agrega la regla para aceptar servidores desde la terminal y subela al principio, esta regla la encontrarás en ip-firewall-filter rules

          
/ip firewall filter
add action=accept chain=input comment="servers_wisphub" src-address-list=\
    servers_wisphub;
        

2Copia y pega el script en la terminal

          
/ip firewall address-list add address=servers-corte.wisphub.net list=servers_wisphub
        

Usuarios que se conectan a WispHub con IP Pública (si ingresas con wisphub.io)

Obsoleto apartir del 15 de Enero del 2024

Estas reglas estarán obsoletas apartir del 15 de Enero del 2024, para cuentas nuevas ya no es necesario usar esta configuración.

Agregar las siguientes IPs.

          
/ip firewall address-list add address=134.209.169.68 list=AceptarWispHub
/ip firewall address-list add address=167.172.246.245 list=AceptarWispHub
/ip firewall address-list add address=201.159.23.40 list=AceptarWispHub
/ip firewall address-list add address=172.67.70.6 list=AceptarWispHub
/ip firewall address-list add address=104.26.1.232 list=AceptarWispHub
/ip firewall address-list add address=104.26.0.232 list=AceptarWispHub
/ip firewall address-list add address=134.122.10.252 list=AceptarWispHub
/ip firewall address-list add address=159.203.170.145 list=AceptarWispHub
/ip firewall address-list add address=167.172.226.89 list=AceptarWispHub
/ip firewall address-list add address=161.35.136.156 list=AceptarWispHub
/ip firewall address-list add address=165.227.113.62 list=AceptarWispHub

        

 

Actualización apartir del 01 de Diciembre 2023 si ingresas con wisphub.io

Para empresas que se quieran conectar por ip pública o usar el failover pueden realizar este proceso.

1Agrega la regla para aceptar servidores desde la terminal y subela al principio, esta regla la encontrarás en ip-firewall-filter rules

          
/ip firewall filter
add action=accept chain=input comment="servers_wisphub" src-address-list=\
    servers_wisphub;
        

2Copia y pega el script en la terminal

          
/ip firewall address-list add address=servers-corte.wisphub.io list=servers_wisphub
        

Usuarios que se conectan a WispHub con IP Pública (si ingresas con wisphub.app)

Obsoleto apartir del 15 de Enero del 2024

Estas reglas estarán obsoletas apartir del 15 de Enero del 2024, para cuentas nuevas ya no es necesario usar esta configuración.

Agregar las siguientes IPs.

          
/ip firewall address-list add address=206.189.232.53 list=AceptarWispHub
/ip firewall address-list add address=137.184.155.255 list=AceptarWispHub
/ip firewall address-list add address=172.67.72.205 list=AceptarWispHub
/ip firewall address-list add address=104.26.11.197 list=AceptarWispHub
/ip firewall address-list add address=104.26.10.197 list=AceptarWispHub

        

 

Actualización apartir del 01 de Diciembre 2023 si ingresas con wisphub.app

Para empresas que se quieran conectar por ip pública o usar el failover pueden realizar este proceso.

1Agrega la regla para aceptar servidores desde la terminal y subela al principio, esta regla la encontrarás en ip-firewall-filter rules

          
/ip firewall filter
add action=accept chain=input comment="servers_wisphub" src-address-list=\
    servers_wisphub;
        

2Copia y pega el script en la terminal

          
/ip firewall address-list add address=servers-corte.wisphub.app list=servers_wisphub
        

Failover

¿Qué es el failover en WispHub?

El failover es la capacidad de un sistema para cambiar automáticamente a un componente de respaldo cuando el principal falla, garantizando la continuidad del servicio sin interrupciones notables dentro de WispHub.
Ejemplo:

Suponiendo que tenemos dos proveedores

Y uno falla

Escenario 1 Escenario 2
Sin Failover Con Failover
Como solo hay una manera de coonectarse, si esta conexión falla entones nos quedaremos sin comunicación En caso de que un proveedor falle se conecta automaticamente con el que este disponible

 

 

¿Qué necesito para implementarlo?

Solo se necesita tener una IP pública, dominio, VPN, etc al cual se encuentre direccionada a su router mikrotik

Manual Paso a Paso

1Ir a Sistema > Router

2Identifica tu router y da clic en Editar

 

3En el campo Failover agregue su IP pública

 

4Ahora damos clic en Guardar y continuar editando que se encuentra hasta abajo

5Aparecerá una ventana Agregar direcciones IP indicándonos que para el funcionamiento correcto necesitamos agregar las Ip´s de los servidores de WispHub. Debemos dar clic en Agregar

¿Cómo agregarlas si no me apareció la ventana?

Da clic en el botón verde que se encuentra al lado de Failover, con esto debe aparecer la ventana Agregar direcciones IP

6Nos debe de aparecer un mensaje de éxito confirmando que se agregaron correctamente estas direcciones

7Finalmente si comprobamos la conexión nos debe mostrar un aviso como este

¿Qué sucede cuando la IP principal no tiene conexión?

Aquí por ejemplo podemos ver que la Ip principal no esta funcionando, por lo tanto se conecta automaticamente por medio del failover

¿Problemas de conexión?

Paso 1: Copiar nuevamente el script de conexión al router

1Ir a https://wisphub.net/router/ seleccionar el router que reseteo y dar en editar.

2Ir a la seccion de generar Script, y dar generar script de conexión. En caso de no contar con la opcion habilitada escribir en el chat

3Copiar el script completo

4Pegar el script en la terminal de su router mikrotik, Esperar que cargue y darle ENTER   

5Dar en verificar conexión y debe salir exitosa

Video Tutorial

Verificar si la conexion hacia internet es estable

1Ingresamos al RB y enviamos ping hacia:

ping 8.8.8.8

ping 107.170.219.187

2Si durante las peticiones existen los mensajes timeout o packet rejected toca revisar las posibles fallas dentro de su red.

Verificar conexion a internet

 

Verificar si existe alguna regla en firewall que no permita la conexión

Firewall RB

Verificar si el CPU esta elevado, luego verificar que procesos consumen bastante cpu

 

Revisar que procesos saturan el RB para su posterior analisis y liberacion del mismo.

 

Reinicar RB

Para usar WispHub. Es Importante que cada Router Mikrotik que esté conectado a su cuenta se reinicie cada día.  Esto no solo hara que wisphub tenga conexión a su rb, si no que tambén ayudará que varios procesos no se atoren en su Mikrotik y este tenga un buen funcionamiento. Supongamos que su router lleva 10 dias sin reiniciarse. Los problemas de esto en el sistema de WispHub son:

1-No se conectará al sistema, le marcará error de conexión ya sea que usted este conectado por ip publica o por VPN de wisphub.

2-No podrá hacer cortes, activar, agregar y eliminar clientes desde el sistema.

A continuación, les dejamos un script que reinicia su Router cada día.

#Reinico automatico del RB todos los dias
#start-time = hora que el RB se renicia.
#Abrir la terminal del RB copiar y pegar el siguiente codigo.

  /system scheduler
add interval=1d name="Reinicio 5 AM" on-event="/system reboot" policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive start-date=oct/11/1970 start-time=05:00:00

Reiniciar RB

 

Salida a Internet

WispHub es un servicio en la nube por lo que es muy importante contar con conexión a internet y poder tener acceso desde su Rb a WispHub. Para esto mandamos ping a Google (8.8.8.8) lo que nos indicara si es que su Rb ya cuenta con salida a internet o no.En caso de no tener salida de internet su rb, WispHub no podra tener comunicacion con su RB.


 

Imagen paso a paso

DNS

Para poder tener conexión con wisphub es importante que su Rourterboard tenga asignado por lo menos un servidor DNS (en este ejemplo tenemos asignados los servidores de google 8.8.8.8 y 8.8.4.4) que logre acceder a nuestro dominio wisphub.net. Para comprobar esto debe mandar ping a wisphub.net

1Abrir las configuraciones de los servers DNS

2Asignar los DNS que vayamos a utilizar (se recomienda utilizar el 8.8.8.8 que es el servidor de Google)

 

3Mandar ping a wisphub.net

4Verifique conexión con WispHub

Puerto Api

WispHub trabaja por medio del puerto API por lo que es necesario que se tenga definido el mismo puerto tanto en su Rb como en WispHub.

1Ir a IP/Service en su Routerboard y verificar cual es el puerto API que tiene asignado su equipo.

2 Verificar que el puerta API se el mismo en los ajustes del router en WispHub.

Tengo mas de una zona para el mismo Routerboard y solo una zona se conecta

Si usted maneja mas de una zona para el mismo Routerboard y es mediante una conexión por VPN, es importante no haber pegado mas de un script de conexión en su Rb ya que esto borra los datos de conexión que ya estaban, lo que hará que se pierda la conexión con la otra zona ya que esta cuenta con diferentes datos de conexión. Lo que debemos hacer es colocar los mismos datos de IP, Usuario del Rb, Password del Rb de la zona principal a las zonas secundarias que tengamos.

 

Apagar y encender la VPN

En caso de que usted este trabajando con WispHub mediante una VPN que nosotros ofrecemos, apague y encienda la VPN y verifique conexión.

 

1Ingrese a su rb, en la sección Interface encontrara la VPN con el nombre de WispHub, apague la VPN y enciendela nuevamente.

2Verifique que la VPN diga conectado

3Verifique conexión con WispHub

 

Instalar reglas de bloqueo

Una vez configurado el router en WispHub, se debe activar las reglas de bloqueo para el bloqueo de servicio de los clientes por falta de pago.

1. Ir al listado de routers en sistema > routers.

2. Seleccionar Interfaz WAN (Entrada a Internet)

Aquí solo basta con seleccionar su interfaz WAN (Entrada a Internet). Si usas balanceo en el rb o tienes en uso más de una interfaz WAN favor de seleccionar todas. En este ejemplo cuento con balanceo en el RB, entonces selecciono mis 2 interfaces WAN's. 

Si no tienes balanceo solo colocar la interfaz WAN.

FORZAR AVISOS DE PANTALLA

Tomar en cuenta que pueden causar lentitud en clientes con su internet o intermitencias si no lo elimina correctamente. Leer el aviso antes de activar.

3. Verificar reglas. Con esto WispHub estaría creando las siguientes reglas en el RB.

1. Crea un Interface List.

2. Con el Interface List WispHub se ingresan todas las interfaces wans seleccionadas anteriormente.

3. En Filter Rules se crea una regla para evitar ataques al MikroTik via Webproxy. El cual es muy útil si cuentas con IP Pública asignada en su RB.

4. En NAT se crean las reglas de suspensión de servicio y avisos en pantalla por falta de pago para los clientes.

 

4. Verificar funcionamiento

Una prueba sencilla para verificar el funcionamiento es hacer lo siguiente:

1. Agregarse como si fuera un cliente desde el sistema 
2. En otra PC Laptop poner ip estática de la ip con la que se agregó como cliente.
3. En sistema suspenderse de forma manual siguiendo este manual:

Si suspende el servicio y sale el aviso de corte, todo esto aplicará para todos sus clientes ingresados en el sistema ya sea que los suspenda de forma manual o automatica por medio de fechas de pago.

Nota

Las reglas de bloqueo de servicio de WispHub funcionan para cualquier tipo de escenario mencionado a continuación.
1. Si usas solo una interfaz LAN.
2 .Si usas 2 o mas interfaces LAN's
3. Si usas con Balanceo
4. Si cuentas con clientes PPPoE
5. Si usas VLAN's 

 

Preguntas frecuentes (Reglas de bloqueo) 

  • ¿Por qué me marca el siguiente error al instalar las reglas? Si marca error por MikroTik es por que no se tiene ninguna regla NAT en su Rb por lo que es necesario que configure alguna regla NAT y volver a intentar. 

 

 

1. Pegamos el siguiente script lo que nos creará una regla genérica para poder instalar las nuestras.

  
    /ip firewall nat
add action=accept chain=srcnat

2. Una vez que se coloque el script volvemos a instalar las reglas de bloqueo. Una vez que se hayan creado las reglas podemos borrar la que hemos creado anteriormente.

 

 

Bajar velocidad morosos covid 19

Para poder ofrecer el minimo de velocidad internet y no aplicar el corte del servicio de internet  es necesario realizar los siguientes ajustes

1Apagar reglas NAT

Para poder aplicar esta función es necesario que apaguemos las siguientes reglas NAT las cuales son las encargadas de aplicar el corte al servicio de internet

2Pegar script

Debemos colocar el script uno de los siguientes scripts de acuerdo al modo de control de banda de sus clientes.

Script para clientes Simple Queue, HOTSPOt y PPPoE


/ip firewall mangle
add action=mark-connection chain=prerouting new-connection-mark=conn-Morosos passthrough=yes src-address-list=Moroso comment="Baja Velocidad Morosos - WispHub"
add action=mark-packet chain=prerouting connection-mark=conn-Morosos new-packet-mark=pack-Morosos passthrough=no comment="Baja Velocidad Morosos - WispHub"
/queue type
add kind=pcq name=pcq-down-morosos pcq-classifier=dst-address pcq-rate=512k
add kind=pcq name=pcq-up-morosos pcq-classifier=src-address pcq-rate=512k
/queue simple
add name=Morosos packet-marks=pack-Morosos queue=pcq-up-morosos/pcq-down-morosos \
    target="" comment="Baja Velocidad Morosos - WispHub"


Script para clientes Queue Tree

/ip firewall mangle
add action=mark-connection chain=prerouting new-connection-mark=conn-Morosos passthrough=yes src-address-list=Moroso comment="Baja Velocidad Morosos - WispHub"
add action=mark-packet chain=prerouting connection-mark=conn-Morosos new-packet-mark=pack-Morosos passthrough=no comment="Baja Velocidad Morosos - WispHub"
/queue type
add kind=pcq name=pcq-down-morosos pcq-classifier=dst-address pcq-rate=512k
add kind=pcq name=pcq-up-morosos pcq-classifier=src-address pcq-rate=512k
/queue tree
add name="Morosos-Up " packet-mark=pack-Morosos parent=ether1 queue=pcq-up-morosos comment="Baja Velocidad Morosos - WispHub"
add name=Morosos-Down packet-mark=pack-Morosos parent=global queue=pcq-down-morosos comment="Baja Velocidad Morosos - WispHub"

 

 

3Ajustamos las reglas mangle y plan queue

Una vez que colocamos el script nos creara dos marcas mangle y lo único que debemos hacer es colocar las hasta la parte superior de la lista.

Nota

Si maneja plan Queues, PPPoE y clientes Hotspot es necesario que el plan Moroso se encuentre en la parte superior de la lista Queue.

 

4Verificamos conexión

Una vez que coloquemos el script y hayamos ajustado las reglas mangle podemos probar la velocidad la cual por default es de 256k.

 

 

¿Que pasa si desactivo las reglas NAT?

R:Las reglas sirven para aplicar los cortes al servicio de internet por lo que al desactivarlas lo que hara es que no lo suspendera sin no que permitira navergar con la velocidad minima a designar.

¿Puedo modificar la velocidad minima?

Claro, lo unico que debe hacer es modificar las velocidades de los Queue Types que se crearon,

 

Con apoyo de Sergio Acuña y Luis Cuadrado

Importar y exportar clientes

1. Desde la Lista de Routers

  • Seleccionar el Router a importar clientes.
  • Seleccionar el botón "Importar clientes".

Nos mandará a una lista de todos los clientes a importar.

 

Ya importado los clientes nos sadrá un mensaje, donde nos especifica el número de clientes importados de igual manera nos crea los planes que estaban ligados a ellos.

Y estando en la lista de clientes ya los visualizaremos.

 

1. Desde la lista de routers, selecciona el router y dar click en "exportar".

2. Seleccionar los clientes y dar en exportar. 3. Se empezaran a importar los clientes.

5. Cuando se terminen de importar saldra una leyenda asi:

Importar Mac Address a WispHub

Si ya tienes tu lista de clientes ingresados en tu cuenta, pero te hace falta agregarles a todos su Dirección MAC que están en la Tabla ARP del RB, se pueden importar de forma masiva.

Ejemplo.

Tengo la siguiente lista de clientes en mi cuenta.

Para importar las Mac Address de mis clientes que estan en la Tabla ARP del Router, hacia mi cuenta de WispHub. Seguir los pasos a continuación.

1Ir a https://wisphub.net/router/

1.-Seleccionar el Router

2.-Clcik en el botón "Herramientas" y seleccionas "Lista ARP"

2Seleccionar e Importar Mac Address e Interfaz a WispHub

3Confirmamos y seleccionamos en Sí, estoy seguro.

Al importar, nos saldrá la siguiente mensaje.

3Ir a la lista de clientes https://wisphub.net/clientes/ y verificamos los cambios.

Nota

Si no puedes visualizar la columna “Mac Antena/Cliente” en la lista de clientes. Ir a la sección Ajustes->Columnas Visibles: https://wisphub.net/ver-ocultar/

En la tabla: " Columnas Lista de Clientes" Busca y activa la columna " Mac Antena/Cliente"

 

Exportar Cliente a Lista ARP del RB

¿Puedo exportar mis clientes registrados en WispHub a la lista ARP del RB?

Si es posible exportar clientes de WispHub a la lista ARP del RB, es decir realizar el amarre IP/MAC en el RB desde WispHub

¿Qué necesito para exportar mis clientes a lista ARP del RB?

Para poder exportar mis clientes al RB es necesario cumplir con los siguientes requisitos:

Requisitos en el RB

Tener activada la opción Amarre IP/MAC en nuestro RB en WispHub

Requisitos de los clientes a exportar

Deberán tener como datos indispensables IP, MAC e Interfaz de red configurados en WispHub

Pasos para exportas mis clientes a la lista ARP del RB

1Activar el Amarre IP/MAC en el Router

Ingrese a https://wisphub.net/router/

De click en el botón Editar Router del RB que desea realizar el amarre IP/MAC

A continuación active la opción Amarre IP/MAC y guarde los cambios

2Seleccionar los clientes a exportar

Nuevamente ingrese a https://wisphub.net/router/

Seleccione el Router y en el menú de Herramientas, en la sección de Exportar a RB seleccione Clientes ARP

A continuación WispHub mostrará la lista de los clientes, los cuales no se encuentran el la lista ARP del RB

Nota Importante

WispHub filtra a los clientes por mac para mostrar la lista de los cliente que no se encuentran en el RB, por lo tanto si usted tiene en su Lista ARP del RB la relación 192.168.3.20-AA:BB:CC:01:02:03, y en wisphub la tiene con diferente IP 192.168.3.30-AA:BB:CC:01:02:03, esta no se mostrará en la lista ya que esa mac existe en el RB, sin embargo usted puede verificar si existe algún problema como este, para mas información ingrese a https://wisphub.net/documentacion/articulo/importar-mac-address-wisphub-158/

Solo será necesario seleccionar los clientes que desea exportar al RB y ahora dar click en Exportar clientes

El mensaje Existen 2 registros Estáticos en la lista ARP de el RB hace referencia a que actualmente usted tiene 2 relaciones ip/mac en WispHub que ya estan registradas en el RB

Finalmente, confirmaremos que se ha realizado la exportación con el siguiente aviso

Sincronizar Morosos

Esta opción le permite sincronizar los clientes morosos en Wisphub con los de su Router Board. Esta opción le es util en caso de que por algun motivo alguno de sus clientes suspendidos en wisphub no se encuentre suspendido en el RB.

1.Desde Lista de Routers, seleccione un router y en el botón de herramientas seleccione la opción Sincronizar Morosos.

Para poder utilizar esta función es importante tener habilitada la API en su Router Board, de lo contrario se mostrará el siguiente mensaje.

2. Seleccione los clientes que desea sincronizar

En caso de que existan clientes por sincronizar se mostrará la siguiente vista, en la cual podra visualizar un mensaje indicando los clientes en Wisphub que no estan en el Router Board, asi mismo, seran mostrados en una tabla en la cuál podra selecionar los clientes que desee sincronizar.

 

3. Una vez haya seleccionado los clientes, estos seran desactivados y sera redirigido a la vista de clientes en la cual se mostrara un mensaje indicando que los clientes se han desactivado correctamente.

 

En caso de que no haya clientes morosos por sincronizar se mostrará el siguiente mensaje.

 

PING A DISPOSITIVO

Esta opción lo llevará a una ventana en la cual usted podrá ingresar una dirección IP que pertenezca al rango de su router para poder realizar ping.

1. Dirigirse a Sistema > Router > Seleccionar Router > Ping a Dispositivo

2. Colocar la IP a dar ping y la interfac (esta es opcional).

Exportar Cliente a Lista IP Bindings del RB

¿Puedo exportar mis clientes registrados en WispHub a la lista IP Bindings?

Si es posible exportar clientes de WispHub a la lista IP Bindings del RB

¿Qué necesito para exportar mis clientes a lista IP Bindings del RB?

Para poder exportar mis clientes al RB es necesario cumplir con los siguientes requicitos:

Requicitos en el RB

Tener activada la opción IP Bindings en nuestro RB en WispHub

Requicitos de los clientes a exportar

Deberán tener como datos indispensables IP y MAC configurados en WispHub

Pasos para exportas mis clientes a la lista IP Bindings del RB

1Activar IP Bindings en el Router

Ingrese a https://wisphub.net/router/

De click en el botón Editar Router del RB que desea realizar la exportacion IP Bindings

A continuación active la opción IP Bindings y guarde los cambios

2Seleccionar los clientes a exportar

Nuevamente ingrese a https://wisphub.net/router/

Seleccione el Router y en el menú de Herramientas, en la sección de Exportar a RB seleccione Clientes IP Bindings

A continuación WispHub mostrará la lista de los clientes, los cuales no se encuentran el la lista de IP Bindings

Solo será necesario seleccionar los clientes que desea exportar al RB y ahora dar click en Exportar clientes

Finalmente, confirmaremos que se ha realizado la exportación con el siguiente aviso

Exportar Cliente a Lista DHCP Leases del RB

¿Qué necesito para exportar mis clientes a lista DHCP Leases del RB?

Para poder exportar mis clientes al RB es necesario cumplir con los siguientes requisitos:

Requisitos en el RB

Tener activada la opción DHCP Leases en nuestro RB en WispHub

Requisitos de los clientes a exportar

Deberán tener como datos indispensables IP y MAC configurados en WispHub

Pasos para exportas mis clientes a la lista DHCP Leases del RB

1Activar DHCP Leases en el Router

Ingrese a https://wisphub.net/router/

De click en el botón Editar Router del RB que desea realizar la exportacion DHCP Leases

A continuación active la opción DHCP Leases y guarde los cambios

2Seleccionar los clientes a exportar

Nuevamente ingrese a https://wisphub.net/router/

Seleccione el Router y en el menú de Herramientas, en la sección de Exportar a RB seleccione Clientes DHCP Leases

A continuación WispHub mostrará la lista de los clientes, los cuales no se encuentran el la lista de DHCP Leases

Nota Importante

WispHub filtra a los clientes por mac para mostrar la lista de los cliente que no se encuentran en el RB, por lo tanto si usted tiene en su Lista DHCP Leases del RB la relación 192.168.3.20-AA:BB:CC:01:02:03, y en wisphub la tiene con diferente IP 192.168.3.30-AA:BB:CC:01:02:03, esta no se mostrará en la lista ya que esa mac existe en el RB.

Solo será necesario seleccionar los clientes que desea exportar al RB y ahora dar click en Exportar clientes

El mensaje Existen 11 registros Estáticos en la lista DHCP Leases de el RB hace referencia a que actualmente usted tiene 11 relaciones ip/mac en WispHub que ya estan registradas en el RB

Finalmente, confirmaremos que se ha realizado la exportación con el siguiente aviso

Modificar interfaz lan de mis clientes

Video Tutorial

Manual paso a paso

Si anteriormente manejaba una interfaz lan en su mikrotik y por algun motivo realizo algun cambio en este y desea modificarlo tambien en WispHub tiene que realizar este proceso, ejemplo:

1En nuestra lista de clientes actualmente en WispHub estan sobre el bridgeClientes.,

2Iremos a https://wisphub.net/router/ seleccionaremos y editaremos el router.

3Lo que vamos a cambiar seria la interfaz lan por la nueva que tenemos en nuestro mikrotik esta tiene que estar igual escrita a como esta en el mikrotik y guardamos el cambio.

4Seleccionamos nuevamente nuestro router y seleccionamos en herramientas la opcion de lista de ARP.

 

5Aquí lo que haríamo es hacer un filtrado en la opcion de ¿Existe la ip en WispHub? colocaremos que si y en la interfaz colocaremos la interfaz nueva.

6Seleccionamos a los clientes y de ahi en accion seleccionamos la opcion de importar mac adress e interfaz en WispHub y ejecutamos.

7Saldrá una leyenda que se realizo correctamente el cambio de la interfaz en WispHub.

8podemos verificar con un cliente que su mac y su interfaz estan correctas.

Amarre IP/MAC

¿Qué es el amarre IP-Mac?

El amarre IP/MAC por ARP es una medida de seguridad que puede ofrecer el servidor, consiste en tener una relación de IP-MAC en el router, para que de esta manera si algún dispositivo con diferente relacion IP-MAC de la lista quisiera acceder al servicio, este no tendrá respuesta, pues no se encuentra en la lista de relaciones IP-MAC

¿Cómo activo esta opción en WispHub?

1Activar Amarre-IP-Mac en Router

Ingrese a https://wisphub.net/router/ y de click en el boton de Editar Router

Ahora debemos activar la opción Amarre IP/Mac y "Guardar", a partir de ahora podemos hacer amarres IP/MAC con nuestro usuarios

¿Cómo realizo un amarre IP/MAC?

Existen 4 maneras de realizar el amarre IP/Mac en WispHub

Pasos para realizar Amarre IP/MAC al agregar un usuario

1Seleccione una zona par agregar cliente

Para realizar un amarre ip/mac al agregar un cliente ingrese a https://wisphub.net/clientes/ y seleccione una zona para despues dar click en Agregar Cliente

2Agregue la MAC

Ahora debemos llenar los campos de acuerdo a las necesidades, sin embargo en el campo Mac Cpe tenemos 3 opciones

  • Dejarla vacia: Si no conocemos la MAC por ahora podemos dejarla vacia y realizar el amarre IP/MAC después
  • Buscar la Mac en el RB: Si la IP de este cliente ya se encuentra registrada en la lista ARP de nuestro RB, podemos buscarla mediante el boton con icono de "lupa" que aparece en "Mac Cpe"
  • Ingresar una nueva Mac: Si conocemos la Mac podemos ingresarla y al guardar el cliente, automáticamente se registrará en el lista ARP de nuestro RB

Si todo es correcto veras lo siguientes avisos

Pasos para realizar Amarre IP/MAC al agregar o editar un servicio

1Seleccione el cliente con el servicio

Para realizar un amarre ip/mac al agregar o editar un servicio ingrese a https://wisphub.net/clientes/ y selecciona a el cliente, y despúes dar click en Editar Cliente

2Seleccione el servicio o agregue uno

Ahora lo que debemos hacer el seleccionar un servicio para editar, para ello basta con dar click en el boton de "Editar servicio de internet", o en caso de agregar servicio tenemos que seleccionar una zona para despues dar click en Agregar Servicio

3Agregue la MAC

Ahora debemos llenar los campos de acuerdo a las necesidades, sin embargo en el campo Mac Cpe tenemos 3 opciones

  • Dejarla vacia: Si no conocemos la MAC por ahora podemos dejarla vacia y realizar el amarre IP/MAC después
  • Buscar la Mac en el RB: Si la IP de este cliente ya se encuentra registrada en la lista ARP de nuestro RB, podemos buscarla mediante el boton con icono de "lupa" que aparece en "Mac Cpe"
  • Ingresar una nueva Mac: Si conocemos la Mac podemos ingresarla y al guardar el cliente, automáticamente se registrará en el lista ARP de nuestro RB

Si todo es correcto veras lo siguientes avisos

Pasos para realizar Amarre IP/MAC desde la lista de clientes

1Seleccione el cliente con el servicio

Para realizar un amarre ip/mac desde la lista de clientes ingrese a https://wisphub.net/clientes/ y selecciona a el cliente, y despúes dar click en Herramientas y de la lista desplegable seleccione Hacer Amarre IP-MAC

Ahora en la siguiente tabla podemos observar si la mac del cliente seleccionado coincide con lo registrado en la lista ARP del RB.Sin embargo, para realizar un amarre IP/MAC del cliente, seleccione el registro y de la lista de acciones elija Importar Mac Address e interfaz a Wisphub y Hacer Make Static para después dar click en Ejecutar

Por último solo nos quedará confirmar dando click en Si, Estoy Seguro

Si todo es correcto veras lo siguientes avisos

Pasos para realizar Amarre IP/MAC de forma másiva

Para realizar un amarre IP/MAC masivamente, ingrese a https://wisphub.net/router/ y seleccione el Router en el cual se realizará el procedimiento, despues dar click en Heramientas y de la lista desplegable seleccionar Lista ARP

Ahora en la siguiente tabla podemos observar si la mac del cliente seleccionado coincide con lo registrado en la lista ARP del RB. Sin embargo, para realizar un amarre IP/MAC del cliente, seleccione el o los registros y de la lista de acciones elija Importar Mac Address e interfaz a Wisphub y Hacer Make Static para después dar click en Ejecutar

Por último solo nos quedará confirmar dando click en Si, Estoy Seguro

Si todo es correcto veras lo siguientes avisos

Herramientas

Esta opción monitorea el tráfico que pasa por una dirección IP que pertenezca al rango del router.

Esta opción conecta a Wisphub con su router y muestra el registro de los eventos del sistema e informacion de estado del mismo.

Nota

Se recomienda tener una versión de RouterOS mayor a 6.35 para trabajar por Address List.

1Ingrese a https://wisphub.net/router/ y seleccione el Router a utilizar. Despues elija la opción Bloqueo de Páginas en la lista de herramientas.

 

2De click en Agregar Página para acceder al siguiente formulario.

Agregar Address List Firewall

Despues de llenar el formulario, de click en Agregar para que Wisphub se conecte a su Router y lo agregue en Ip/ Firewall/ Address Lists

Nota

En el address list se puede ingregar Dominio, IP o rangos de Ips.

Acciones en Lote Address List

Estas opciones permiten elegir múltiples reglas y aplicarles acciones, como las siguientes:

  1. Activar o desactivar reglas en el RB
  2. Exporta reglas a otro RB conectado a Wisphub
  3. Eliminar reglas de Wisphub y Router

Simplemente seleccione las casillas de la primera columna de las reglas que desea accionar por las opciones anteriores. Después de click en Ejecutar

. Se llevara acabo una tarea en segundo plano debido a la conexión con el Router.

Acciones en Lote Address List

 

Prueba de warning

Este método es uno de los que ofrece WispHub para poder bloquear el contenido a cierto contenido web. Si este o alguno de nuestros otros métodos no le funciona puede optar por usar un servicio externo como FlashStart o Pi-hole.

Importante!

No se recomienda usar bloqueo de páginas por Layer 7 para una gran cantidad de reglas. Reduce drásticamente el Performance de su Router. Optativamente puede utilizar Address List ó Web Proxy .
¿Porqué no es recomendable?

Ingrese a https://wisphub.net/router/ y seleccione el Router a utilizar. Despues elija la opción Bloqueo de Páginas en la lista de herramientas.

1De click en la pestaña con nombre "Bloqueo por Layer 7" . Podrá visualizar el botón de Agregar Página el cual deberá hacer click.

Layer 7 firewall Agregar

2Ingrese la url que desea bloquear. Por ejemplo http://foroisp.com/threads/53-Crear-un-usuario-y-asignar-permisos, Wisphub automáticamente obtendrá el dominio para generar la expresión regular.

Si deshabilita la opción de Usar Regla, Wisphub guardará toda la url en su Router· Esto permitirá bloquear unicamente la url que ingrese en el formulario y no todo el dominio.

Podrá visualizar la acción de Wisphub en su Router desde Winbox. Ingresando a Ip/ Firewall /Layer7 Protocols

Acciones en Lote Layer 7

Estas opciones permiten elegir múltiples reglas y aplicarles acciones, como las siguientes:

  1. Activar o desctivar reglas en el RB,
  2. Exporta reglas a otro RB conectado a wisphub
  3. Exportar Reglas a Web Proxy
  4. Eliminar reglas de wisphub y mikrotik

Simplemente seleccione las casillas de la primera columna de las reglas que desea accionar por las opciones anteriores. Después de click en Ejecutar. Se llevará acabo una tarea en segundo plano debido a la conexión con el Router.

¿Cómo funciona la acción Exportar Reglas a Web Proxy ?

Elija las reglas a accionar, Wisphub se conectará a su Router y convertira estas reglas de Layer 7 al formato de Web Proxy Access. Podrá ver el resulado si accede desde su Winbox a Ip / Web Proxy /Access

Para mas información del uso de Web Proxy como Bloqueo de Páginas visite https://wisphub.net/documentacion/articulo/bloqueo-de-paginas-por-web-proxy-121/

¿Porque no es recomendable usar Layer 7 con muchas reglas?

El Layer 7 realiza el bloqueo de Páginas a partir de tener dos regitros, uno en Ip/ Firewall/ Layer7 Protocol y otro en Ip/ Firewall/ Filter Rules. El Performance del Router disminuye drasticamente debido a la existencia de multiples registros dentro de Filter Rules, que interceptan y verifican que no se esten realizando conexiones a estos dominios o direcciones Ip. Esto eleva el CPU de Router y dependiendo del equipo, puede colgarse y no brindar internet.

Para comprobar y demostrar este problema, Wisphub realizo la prueba con dos equipos con las siguientes caracteristicas.

Se instalaron las reglas de Coljuegos y Pornografía Infantil por medio del archivo .RSC y después de varias pruebas se obtuvo lo siguiente:

La X en las tablas representan problematicas en el equipo tales como:

  1. Reinicio del Equipo
  2. Impedir la Conexión por Winbox
  3. Impedir navegar por Internet
  4. Saturación del Equipo

El router que mas problemas tuvo fue el 2011, puesto que cuenta con menos capacidad.

Debido a esto, si desea emplear la Lista Negra, se sugiere usar Address List o Web Proxy

Prueba de warning

Este método es uno de los que ofrece WispHub para poder bloquear el contenido a cierto contenido web. Si este o alguno de nuestros otros métodos no le funciona puede optar por usar un servicio externo como FlashStart o Pi-hole.

Importante!

No se recomienda usar bloqueo de páginas por Layer 7 para una gran cantidad de reglas. Reduce drásticamente el Performance de su Router. Optativamente puede utilizar Address List ó Web Proxy .
¿Porqué no es recomendable?

La Lista Negra es un conjunto de páginas web y direcciones Ip que estan bloqueadas en algunos paises según sus Leyes. Si alguna de estas listas aplica para usted, puede importarlas directamente a su RB.

Nota

1.- Es necesario revisar que reglas está importando a su Router, para evitar conflictos con sus clientes.

2.- Se recomienda manejar Address List para el bloqueo de Páginas, debido a que no afecta al performance del Router.

3.- Si lo desea puede trabajar todo el contenido de Pornografía Infantil y Coljuegos por Addresslist ya que este trabaja con https, de esta forma el redireccionamiento se hará a la plantilla del firewall del sistema.

4.- Proximamente se dejará de dar soporte a Layer 7, unicamente podrá crear reglas de Web Proxy de esta sección.

5.-Las reglas de webproxy solo funcionan para páginas http, si hay páginas en la Lista Negra que son https, entonces se recomienda trabajar solo con addresslist.

Actualmente existen 2 listas que funcionan para Colombia, estás fueron proporcionadas por http://unixxnet.com/ . Ambas funcionan con Address List y Layer 7. Las listas son: Pornografía Infantil y ColJuegos. Puede acceder de la siguiente forma.

1Ingrese a https://wisphub.net/router/ y seleccione el Router a utilizar. Después elija la opción Bloqueo de Páginas en la lista de herramientas.

2De click a la pestaña con nombre Usar Lista Negra Predeterminada y seleccione alguna de las opciones para Address List o Layer 7

Caja de Herramientas

Se han implementado nuevas opciones en el sistema, que permiten generar archivos .RSC que pueden ser importados de manera rápida en su Router. Entre estas opciones se encuentra el convertir las reglas de Layer 7 o Address List en el formato de Bloqueo de Páginas con Web Proxy , el cual redirecciona a la plantilla de Firewall de Wisphub. Simplemente de click en el Botón con icon de Llave Inglesa.

¿Para qué sirve descargar un archivo .rsc?

Los archivos con extensión .rsc son entendibles por su Router Mikrotik, en su contenido pueden encontrarse comandos que permiten crear diferentes registros. La Lista Negra esta compuesta por mas de 2 mil reglas, y en ocasiones, el importarlo desde Wisphub llega a tardar demasiado, por este motivo, el sistema le permite descargar un archivo que pueda agregar en el apartado Files de su Router y mandarlo a ejecutar desde la consola.

Puede crear un archivo con las reglas que usted elija seleccionando sus respectivas casillas y ejecutar la acción Generar Archivo .RSC de Reglas Seleccionadas.
También puede utilizar las opciones que se encuentran en la caja de herramientas con el icono de llave inglesa.

Descargar archivo .RSC de Todas las Reglas

Esta opción crea un archivo con todos los registros de la lista negra con respecto a su tipo (Address List o Layer 7) y categoría (ColJuegos o Pornografía Infantil) Después de descargar el archivo, apareceran las respectivas instrucciones.

Decargar archivo .RSC de Reglas Faltantes

Esta opción le permite al sistema conectarse a su Router, y leer los registros existentes de bloqueo de páginas a partir del tipo (Address List o Layer 7) y categoría (ColJuegos o Pornografía Infantil). De esta forma Wisphub sabra que reglas son las que no estan instaladas en su Router, y poder crear el archivo de importacion con las reglas faltantes. Todo esto en una tarea en segundo Plano.

Acciones en Lote - Lista Negra

Las acciones para las categorías (Address List o Layer 7) son las mismas. Estas opciones permiten elegir múltiples reglas y aplicarles acciones, como las siguientes:

  1. Exportar Reglas al RB
  2. Generar Archivo .RSC de Reglas Seleccionadas
  3. Eliminar Reglas

Simplemente seleccione las casillas de la primera columna de las reglas que desea accionar por las opciones anteriores. Después de click en Ejecutar. Se llevará acabo una tarea en segundo plano debido a la conexión con el Router.

Prueba de warning

Este método es uno de los que ofrece WispHub para poder bloquear el contenido a cierto contenido web. Si este o alguno de nuestros otros métodos no le funciona puede optar por usar un servicio externo como FlashStart o Pi-hole.

 

Warning

Es importante que al usar esta función cuente con un Routerboard que sirva como Router de borde el cual será el que se encargue de gestionar las reglas de bloqueo ya que si se instala en el Routerboard donde gestiona sus clientes puede genere problemas con los temas de corte.

Escenario

 

Instalar Regla de Bloqueo Proxy Transparente

Para que el Bloqueo de Páginas por Web Proxy funcione, necesita instalar las reglas de Wisphub en su Router de borde para un correcto funcionamiento por lo que tendrá primero que agregar el Rb a Wisphub.
Como agregar un router: https://wisphub.net/documentacion/articulo/agregar-router-91/

 

1Ingrese a https://wisphub.net/router/ y seleccione el Router a utilizar. Después elija la opción Bloqueo de Páginas en la lista de herramientas.

2Para que el Bloqueo de Páginas por Web Proxy funcione, necesita instalar en su Router las reglas de Wisphub que permitan su correcto funcionamiento. Simplemente ingrese al apartado de Instalar Reglas en la sección de Bloqueo de Páginas de su Router. La opción de Instalar Proxy Transparent deberá estar activada para instalar la regla que permita el funcionamiento de Web Proxy.

3Volvemos a ingresar a https://wisphub.net/router/ y seleccione el Router a utilizar. Después elija la opción Bloqueo por Layer7. Se cuentan con 2 listas diferentes (Coljuegos y Pornografia infantil Colombia) por lo que en ambos casos son los mismos pasos solo hay que seleccionar la lista que queremos trabajar.

4Una vez que selecciona la lista que desea implementar volverá a cargar la página pero esta vez nos mostrara la opcion de herramientas donde nos permitira descargarel archivo RSC para importar a su Rb (para este ejemplo estamos trabajando con Coljuegos).

5Dar en la opción de Descargar archivos RSC para que descargue el archivo el cual debe importar a su Routerboard (Sino sabe cómo realizar esto puede darle en el botón de “Ver ejemplo”) lo que cargara las listas en la parte de los accesos web proxy.

Verificar configuraciones en su Routerboard

Routerboard de Borde

1Verificar que las reglas estén instaladas en la parte de firewall y que se encuentren en el puerto correcto.

2Verificar que el servicio de web proxy este activo y con los puertos indicados. También es importante que se verifique la parte de Access para así validar que se importaran las listas de bloqueo.

Routerboard de Gestion

Aquí se muestra un breve ejemplo de como deben estar instaladas las reglas de bloqueo en el Rb donde se están gestionando a sus clientes. En caso no contar con estas reglas consultar https://wisphub.net/documentacion/articulo/instalar-reglas-de-bloqueo-95/

1Verificar que las reglas estén instaladas en la parte de firewall y que se encuentren en el puerto correcto.

 

NOTA

Es importante que en vez de hacer nateo para salida a internet haga una ruta por defecto hacia la interfaz de el Rb de Borde. Ejemplo: Si se toma como base el Escenario que se encuentra en la parte inicial la ruta debe quedar de la siguiente manera

 

Prueba de warning

Este método es uno de los que ofrece WispHub para poder bloquear el contenido a cierto contenido web. Si este o alguno de nuestros otros métodos no le funciona puede optar por usar un servicio externo como FlashStart o Pi-hole.

Estas reglas solo aplican para la seccion Address List para hacer el redirect, el bloqueo por Layer7 no hace redirect.

Nota

El aviso sale en paginas http

Instalar reglas de firewall

Instalar reglas de bloqueo firewall wisphub

 

Las nuevas reglas se ven asi en el RB:

 

Instalar reglas wisphub firewall

Reglas de firewall

 

Editar plantilla aviso de Firewall.

1Ingresamos a https://wisphub.net/plantillas/

2Seleccionamos Aviso Firewall

 

Plantilla aviso Firewall wisphub

 

Preguntas frecuentes

¿Cómo desactivar el firewall para algunos clientes?

R= Se puede hacer cuando se agrega un cliente o editando el servicio, desactivando la opcion Firewall

Desactivar Firewall clientes wisphub

¿Qué Address Lists agrega WispHub al Mikrotik Para Bloquear Páginas?

¿Qué Address Lists agrega WispHub al Mikrotik Para No Bloquear Páginas?

Prueba de warning

Este método es uno de los que ofrece WispHub para poder bloquear el contenido a cierto contenido web. Si este o alguno de nuestros otros métodos no le funciona puede optar por usar un servicio externo como FlashStart o Pi-hole.

Esta opción le permite reiniciar su router sin necesidad de entrar a su Mikrotik.

Si ya tienes tu lista de clientes ingresados en tu cuenta, pero te hace falta agregarles a todos su Dirección MAC que están en la Tabla ARP del RB, se pueden importar de forma masiva.

Ejemplo.

Tengo la siguiente lista de clientes en mi cuenta.

Para importar las Mac Address de mis clientes que estan en la Tabla ARP del Router, hacia mi cuenta de WispHub. Seguir los pasos a continuación.

1Ir a https://wisphub.net/router/

1.-Seleccionar el Router

2.-Clcik en el botón "Herramientas" y seleccionas "Lista ARP"

2Seleccionar e Importar Mac Address e Interfaz a WispHub

3Confirmamos y seleccionamos en Sí, estoy seguro.

Al importar, nos saldrá la siguiente mensaje.

3Ir a la lista de clientes https://wisphub.net/clientes/ y verificamos los cambios.

Nota

Si no puedes visualizar la columna “Mac Antena/Cliente” en la lista de clientes. Ir a la sección Ajustes->Columnas Visibles: https://wisphub.net/ver-ocultar/

En la tabla: " Columnas Lista de Clientes" Busca y activa la columna " Mac Antena/Cliente"

 

¿Puedo exportar mis clientes registrados en WispHub a la lista ARP del RB?

Si es posible exportar clientes de WispHub a la lista ARP del RB, es decir realizar el amarre IP/MAC en el RB desde WispHub

¿Qué necesito para exportar mis clientes a lista ARP del RB?

Para poder exportar mis clientes al RB es necesario cumplir con los siguientes requisitos:

Requisitos en el RB

Tener activada la opción Amarre IP/MAC en nuestro RB en WispHub

Requisitos de los clientes a exportar

Deberán tener como datos indispensables IP, MAC e Interfaz de red configurados en WispHub

Pasos para exportas mis clientes a la lista ARP del RB

1Activar el Amarre IP/MAC en el Router

Ingrese a https://wisphub.net/router/

De click en el botón Editar Router del RB que desea realizar el amarre IP/MAC

A continuación active la opción Amarre IP/MAC y guarde los cambios

2Seleccionar los clientes a exportar

Nuevamente ingrese a https://wisphub.net/router/

Seleccione el Router y en el menú de Herramientas, en la sección de Exportar a RB seleccione Clientes ARP

A continuación WispHub mostrará la lista de los clientes, los cuales no se encuentran el la lista ARP del RB

Nota Importante

WispHub filtra a los clientes por mac para mostrar la lista de los cliente que no se encuentran en el RB, por lo tanto si usted tiene en su Lista ARP del RB la relación 192.168.3.20-AA:BB:CC:01:02:03, y en wisphub la tiene con diferente IP 192.168.3.30-AA:BB:CC:01:02:03, esta no se mostrará en la lista ya que esa mac existe en el RB, sin embargo usted puede verificar si existe algún problema como este, para mas información ingrese a https://wisphub.net/documentacion/articulo/importar-mac-address-wisphub-158/

Solo será necesario seleccionar los clientes que desea exportar al RB y ahora dar click en Exportar clientes

El mensaje Existen 2 registros Estáticos en la lista ARP de el RB hace referencia a que actualmente usted tiene 2 relaciones ip/mac en WispHub que ya estan registradas en el RB

Finalmente, confirmaremos que se ha realizado la exportación con el siguiente aviso

Esta opción lo llevará a una ventana dónde podrá visualizar la tabla Active Connections (PPP/Active Connection) de su router.

Esta opción lo llevará a una ventana dónde podra visualizar la tabla Neighbors (IP/Neighbors) de su router.

Esta opción le permite visualizar las tablas Active, Host y Cookies del apartado Hotspot de su router (IP/Hotspot). Tambien podrá eliminar los datos que aparecen en cada tabla, o eliminar un usuario de todas las tablas.

Aquí aparece el listado de CONNECTIONS y del ADRESS LIST que se encuentran en el mikrotik.

 
Con esta opción podrá pasar sus clientes de WispHub al RouterBoard.

¿Puedo exportar mis clientes registrados en WispHub a la lista ARP del RB?

Si es posible exportar clientes de WispHub a la lista ARP del RB, es decir realizar el amarre IP/MAC en el RB desde WispHub

¿Qué necesito para exportar mis clientes a lista ARP del RB?

Para poder exportar mis clientes al RB es necesario cumplir con los siguientes requisitos:

Requisitos en el RB

Tener activada la opción Amarre IP/MAC en nuestro RB en WispHub

Requisitos de los clientes a exportar

Deberán tener como datos indispensables IP, MAC e Interfaz de red configurados en WispHub

Pasos para exportas mis clientes a la lista ARP del RB

1Activar el Amarre IP/MAC en el Router

Ingrese a https://wisphub.net/router/

De click en el botón Editar Router del RB que desea realizar el amarre IP/MAC

A continuación active la opción Amarre IP/MAC y guarde los cambios

2Seleccionar los clientes a exportar

Nuevamente ingrese a https://wisphub.net/router/

Seleccione el Router y en el menú de Herramientas, en la sección de Exportar a RB seleccione Clientes ARP

A continuación WispHub mostrará la lista de los clientes, los cuales no se encuentran el la lista ARP del RB

Nota Importante

WispHub filtra a los clientes por mac para mostrar la lista de los cliente que no se encuentran en el RB, por lo tanto si usted tiene en su Lista ARP del RB la relación 192.168.3.20-AA:BB:CC:01:02:03, y en wisphub la tiene con diferente IP 192.168.3.30-AA:BB:CC:01:02:03, esta no se mostrará en la lista ya que esa mac existe en el RB, sin embargo usted puede verificar si existe algún problema como este, para mas información ingrese a https://wisphub.net/documentacion/articulo/importar-mac-address-wisphub-158/

Solo será necesario seleccionar los clientes que desea exportar al RB y ahora dar click en Exportar clientes

El mensaje Existen 2 registros Estáticos en la lista ARP de el RB hace referencia a que actualmente usted tiene 2 relaciones ip/mac en WispHub que ya estan registradas en el RB

Finalmente, confirmaremos que se ha realizado la exportación con el siguiente aviso

¿Puedo exportar mis clientes registrados en WispHub a la lista IP Bindings?

Si es posible exportar clientes de WispHub a la lista IP Bindings del RB

¿Qué necesito para exportar mis clientes a lista IP Bindings del RB?

Para poder exportar mis clientes al RB es necesario cumplir con los siguientes requicitos:

Requicitos en el RB

Tener activada la opción IP Bindings en nuestro RB en WispHub

Requicitos de los clientes a exportar

Deberán tener como datos indispensables IP y MAC configurados en WispHub

Pasos para exportas mis clientes a la lista IP Bindings del RB

1Activar IP Bindings en el Router

Ingrese a https://wisphub.net/router/

De click en el botón Editar Router del RB que desea realizar la exportacion IP Bindings

A continuación active la opción IP Bindings y guarde los cambios

2Seleccionar los clientes a exportar

Nuevamente ingrese a https://wisphub.net/router/

Seleccione el Router y en el menú de Herramientas, en la sección de Exportar a RB seleccione Clientes IP Bindings

A continuación WispHub mostrará la lista de los clientes, los cuales no se encuentran el la lista de IP Bindings

Solo será necesario seleccionar los clientes que desea exportar al RB y ahora dar click en Exportar clientes

Finalmente, confirmaremos que se ha realizado la exportación con el siguiente aviso

¿Qué necesito para exportar mis clientes a lista DHCP Leases del RB?

Para poder exportar mis clientes al RB es necesario cumplir con los siguientes requisitos:

Requisitos en el RB

Tener activada la opción DHCP Leases en nuestro RB en WispHub

Requisitos de los clientes a exportar

Deberán tener como datos indispensables IP y MAC configurados en WispHub

Pasos para exportas mis clientes a la lista DHCP Leases del RB

1Activar DHCP Leases en el Router

Ingrese a https://wisphub.net/router/

De click en el botón Editar Router del RB que desea realizar la exportacion DHCP Leases

A continuación active la opción DHCP Leases y guarde los cambios

2Seleccionar los clientes a exportar

Nuevamente ingrese a https://wisphub.net/router/

Seleccione el Router y en el menú de Herramientas, en la sección de Exportar a RB seleccione Clientes DHCP Leases

A continuación WispHub mostrará la lista de los clientes, los cuales no se encuentran el la lista de DHCP Leases

Nota Importante

WispHub filtra a los clientes por mac para mostrar la lista de los cliente que no se encuentran en el RB, por lo tanto si usted tiene en su Lista DHCP Leases del RB la relación 192.168.3.20-AA:BB:CC:01:02:03, y en wisphub la tiene con diferente IP 192.168.3.30-AA:BB:CC:01:02:03, esta no se mostrará en la lista ya que esa mac existe en el RB.

Solo será necesario seleccionar los clientes que desea exportar al RB y ahora dar click en Exportar clientes

El mensaje Existen 11 registros Estáticos en la lista DHCP Leases de el RB hace referencia a que actualmente usted tiene 11 relaciones ip/mac en WispHub que ya estan registradas en el RB

Finalmente, confirmaremos que se ha realizado la exportación con el siguiente aviso

Elimina de Wisphub toda la información del router.

Con esta opción usted puede adjuntar archivos al Router, sin embargo no se agregarán al router, sólo a la base de datos del Sistema. Desde ahí se pueden enviar esos archivos, descargarlos o editarlos.

Este apartado solo funciona si se tiene activado en el router desde el sistema IPV6. Se pueden agregar pool o ver los pool que ya tenemos en el mikrotik.

Este apartado funciona para activar el servidor de correo en el RouterBoard siendo muy útil para Monitoreo de Dispositivos.

En ocasiones necesitaremos realizar enviar correo desde nuestro router, avisándonos de diferentes temas, por ejemplo monitoreo de dispositivos de red

1Paso 1

Ir a Sistema->Router->Herramientas->Servidor correo

https://wisphub.net/router/

 

2Paso 2

Agregar los datos servidor de correo los cuales seran ingresados en el router.

Para este ejemplo usare un correo gmail. 

Nota

Cualquier servidor de correo nos pedirá antes verificar las aplicaciones externas.

Para el caso de gmail.com
Ir a: https://myaccount.google.com/lesssecureapps
y activar lo siguiente:

Una vez activado los datos quedan de la siguiene manera:

Servidor: smtp.gmail.com
Puerto: 587
Start TLS: Yes
Usuario: [email protected]
Password: supassword

Por último seleccionamos: Agregar y enviar correo de prueba.

Ingresamos a nuestro correo al que estamos configurando como servidor de correo y nos saldra una alerta la cual debemos de volver a confirmar

Este paso de confirmación es solo por unica vez por servidor de correo.

3Volver a enviar correo de prueba

Volver a ir a Sistema->Router->Herramientas->Servidor correo

https://wisphub.net/router/

Ingresar de nuevo nuestros datos.

 

y listo se enviara un correo de prueba al correo que tengamos ingresado en nuestra cuenta de wisphub

 

Con esto ya configurado podemos realizar enviar correo, avisándonos de diferentes temas, por ejemplo:

WispHub te proporciona de manera fácil la herramienta Netwatch, para monitorear cualquier dispositivo que se le pueda asignar una dirección IP. Esto nos puede ser gran utilidad a la hora de saber si una IP se encuentra en linea o esta caído avisándonos por medio un correo electrónico el estado del dispositivo que necesitemos monitorear.

Nota

Para esto necesitaremos configurado el servidor de correo en el Router, si no lo tienes aún o desconoces como hacerlo. Click aquí para configurarlo 
Si ya cuentas con uno funcionando, puede omitir ese paso y continuar.

Recomendación.

Se recomienda monitorear unicamente dispositivos de importancia en la red. Por ejemplo: Un servidor, Access Point (AP), un ruteador, Switch, Conmutador 

Video Informativo

Agregar Monitoreo

Forma 1: Monitorear AP

Desde la sección Sistema->AP

https://wisphub.net/monitoreo/

Forma 2: Monitorear cualquier dispositivo IP

En la sección Sistema->Router->Herramientas->Monitoreo->Agregar monitoreo.

https://wisphub.net/router/

1Datos monitoreo

Para este ejemplo, pretendo monitorear un AP con los siguientes datos.

Nombre dispositivo: AP Centro
IP a monitorear: 192.168.200.250
Monitorear cada: 1 minuto (tiempo en minutos recomendado)
SI el equipo no responde en: 20 segundos (tiempo en segundos recomendado)

2Notificación por email

Se avisara por email cuando el dispositivo este caido y vuelva a estar en linea.

Notificar Staff: Se les notificara a los staff seleccionados (Solo se muestran los staff que tengan correo asignado)
Emails CC: Notificar a correos adicionales. Separados por coma, ej. [email protected], [email protected], [email protected]

Asunto y Mensaje: Wisphub ya te proporciona la plantilla para asuntos y mensajes como se puede ver.
Puedes dejarlo así o puedes modificarla.
E incluso puedes usar las variables disponibles:
{nombre_dispositivo}
{ip_dispositivo}
Las cuales van a tomar los valores de los datos de monitoreo.

Para este ejemplo, usare la plantilla ya proporcionada.

Y listo, con eso estaremos monitoreando nuestros dispositivos de red.

Notificación cuando el dispositivo este "Caido" fuera de linea

Notificación cuando el dispositivo este "En linea"

NOTA

Si el último Status es “En linea (up)”, y cada minuto que ejecuta, verifica que sigue en en linea, entonces no envía el correo. Lo mismo pasa cuando el equipo esta “Caido (down). 

Lista de monitoreo

En sistema->Router->Herramientas->Lista monitoreo

https://wisphub.net/router/

Aquí veremos todos los dispositivos que estemos monitoreando asi como las siguientes acciones.

1. Agregar nuevo monitoreo
2. Borrar script de monitoreo
3. Habilitar script de monitoreo
4. Deshabilitar script de monitoreo

 

 

Esta opción le permite sincronizar los clientes morosos en Wisphub con los de su Router Board. Esta opción le es util en caso de que por algun motivo alguno de sus clientes suspendidos en wisphub no se encuentre suspendido en el RB.

 

1Seleccione el Router Board

Lo primero que debe hacer es dirigirse a https://wisphub.net/router/ Seleccione un router y en el boton de Herramientas seleccione la opción Sincronizar Morosos.

Para poder utilizar esta función es importante tener habilitada la API en su Router Board, de lo contrario se mostrará el siguiente mensaje.

 

2Seleccione los clientes que desea sincronizar

En caso de que existan clientes por sincronizar se mostrará la siguiente vista, en la cual podra visualizar un mensaje indicando los clientes en Wisphub que no estan en el Router Board, asi mismo, seran mostrados en una tabla en la cuál podra selecionar los clientes que desee sincronizar.

 

3Sincronizar

Una vez haya seleccionado los clientes, estos seran desactivados y sera redirigido a la vista de clientes en la cual se mostrara un mensaje indicando que los clientes se han desactivado correctamente.

 

En caso de que no haya clientes por sincronizar se mostrará el siguiente mensaje.

En este apartado puede encontrar el tráfico recolectado del mes actual y del mes anterior del RouterBoard, junto con las IP's visitadas de sus clientes (si las tiene activadas).

Integración de Freeradius con WispHub

Ahora es posible integrar su servidor RADIUS, que debe ser el servicio FreeRADIUS. Si ya cuentan con un servidor RADIUS con FreeRADIUS, Wisphub puede implementar un webservice para la integración. Si no tienen un servidor existente, Wisphub puede proporcionar e instalar el servicio de FreeRADIUS junto con el webservice en un servidor externo por un costo adicional.

Es importante destacar que Wisphub se encarga únicamente de integrar la API del webservice que se instalará. Esto permite a Wisphub crear y gestionar usuarios en su servidor RADIUS externo, pero no controlará la autenticación.

FreeRADIUS es un servidor de código abierto utilizado en redes para autenticar, autorizar y contabilizar el acceso de usuarios y dispositivos. Ofrece flexibilidad en métodos de autenticación, roles y permisos, y puede gestionar grandes volúmenes de datos de acceso. Su versatilidad lo hace valioso en proveedores de servicios de Internet, redes inalámbricas y VPN. Como código abierto, es gratuito y cuenta con una comunidad activa de desarrollo.

Nota

Antes de iniciar es necesario tener instalado freeradius y un webservice intermediario para poder comunicar freeradius con WispHub. La instalacion de freeradius se hace en un servidor dedicado por empresa y tiene un costo adicional, puedes solicitar la instalacion de freeradius contactando a soporte.

La funcionalidad de radius solamente esta disponible con:

Control: PPPoE + Control de velocidad: Profile PPP (Queue Dinamicos)

Control: PPPoE + Control de velocidad: PCQ + Address List

Requsitos para la Integración :

 

  • Servidor FreeRADIUS: Es necesario contar con un servidor externo donde esté instalado FreeRADIUS.
  • Webservice de WispHub: Se requiere la implementación del webservice proporcionado por WispHub para habilitar la integración.

Para la instalación y configuración de estos requisitos, Wisphub puede proporcionar soporte, pero esto conlleva un costo adicional.

  • Router MikroTik con IP Pública: El Router MikroTik debe tener una dirección IP pública para que el servidor RADIUS pueda comunicarse con él de manera efectiva.

Estos requisitos son fundamentales para garantizar la correcta implementación y funcionamiento de la integración en su plataforma WispHub.

 

En este paso ya debe de contar con el Webservice, Nos dirigimos a la seccion de API Keys y hacemos clic en agregar.

 

En la seccion de agregar

  1. Le damos un nombre identificativo a la API Key
  2. Definimos una fecha de expiracion, en este caso una fecha futura
  3. Hacemos clic en guardar

Se mostrara la API Key generada, es necesario guardarla ya que será requerida mas adelante y no se podra ver de nuevo.

 

1Agregar un router con la opcion de PPPoE y Profile PPP (Queue Dinamico) o PCQ + Address List

En esta seccion unicamente se tocaran los puntos necesarios para integrar el router con freeradius, si necesita mas detalles sobre todas las configuraciones al agregar un router puede consultarlo en la documentacion de como agregar un router.

  • 1) El router debe contar con IP publica
  • 2) El router debe contar con la opcion PPPoE
  • 3) El control de velocidad debe ser Profile PPP (Queues Dinamicos) o PCQ + Address list

 

 

2Agregar eventos API Personalizados para RADIUS

En la lista de routers hacer clic en editar el router al que queremos agregar RADIUS y dirigirse a la seccion de Eventos API Personalizados, seguido de ello hacemos clic en el boton Agregar datos de API

En la seccion de agregar datos de la API sera necesario agregar lo siguiente:

  1. Activar la API Personalizada
  2. Agregar la ip del webservice donde tambien se encuentra freeradius (Esta debe ser una ip publica)
  3. Seleccionar RADIUS como plataforma externa
  4. Agregar la API key que se genero en el webservice de freeradius
  5. Si no se requieren ajustes adicionales los endpoints necesarios se deben llenar en automatico, unicamente se tendria que guardar las configuraciones.

 

 

3Agregar router a freeradius

En la lista de routers hacer clic en Herramientas > Radius > Configuracion

En la configuracion se llenaran los siguientes datos:

  1. IP del servidor radius: Es la direccion del servidor radius y el webservice, esto se tomara de los eventos API Personalizados.
  2. NAS IP: Es la ip publica del router que se agregará al freeradius
  3. Radius Secret: Es la clave compartida que asegura la comunicacion, si no tienes alguna en especial puedes generarlo con el boton de generar contraseña.

Al hacer esto se agregara un registro en la seccion de radius con los datos anteriormente especificados y activará la opcion de radius en PPP

 

Con eso tendremos agregado el router al servidor de freeradius. Si se considera necesario se puede verificar la conexion del radius con el router en la seccion de Herramientas > Radius > Verificar conexion

Luego de agregar el router se puede continuar con el flujo normal de uso de Wisphub, podemos crear clientes y los clientes creados se agregaran automaticamente a freeradius como plataforma externa.

 

4Conectar un cliente

Las formas de configurar un cliente varian dependiendo de la plataforma, en windows creamos una nueva conexion:

Ingresamos los datos de acceso:

Al conectarse correctamente se crearan los datos de forma dinamica en el router:

Utilerias

Un problema de los WISP e ISP, es el hecho de que cualquier persona que conozca su segmento de red se puede agregar una IP y si está libre podrá navegar sin problemas.
Para llevar un control de que IPs puede tener acceso a internet WispHub proporciona la opción de Clientes Autorizados lo que significa que únicamente los clientes (IP) que estén registrados en el sistema son las que podrán navegar a Internet.

Si desea esta opción es importante seguir los pasos a continuación ya que de lo contrario dejará sin servicio a todos sus clientes.

Video Tutorial

Manual Paso a Paso

Pasos de Implementacion

 

Ir sección de Routers  https://wisphub.net/router/

  1. Seleccionar Router
  2. En botones de acción seleccionar “ Utilerías--> Clientes Autorizados

1Paso 1: Agregar IPs de tipo no residencial.

Si del segmento de tus clientes usas un par de IPs que no sean de tipo residencial, de uso administrativo que no se encuentren WispHub, debe de ingresarlas ya que no tendrán servicio de internet las IPs que no estén dadas de alta en el sistema.

Ejemplo: IPs de técnicos, ventas, equipos administrativos, servicios de cortesía. Puede ingresar IP, por IP, o un segmento.

En este caso, para fines de esta documentación, cuento con las siguientes IPs.

Técnicos, ventas: 192.168.77.240, 192.168.77.241, 192.168.77.242

IPs de equipos antenas, sectoriales, Routers: 192.168.66.250, 192.168.66.251

Guardamos cambios.

Opcional. Se puede confirmar que se hayan creado las siguientes ips con el address list: ips_permitidas_wisphub en IP/FIrewall/Address List

2Paso 2. Autorizar todos los clientes existentes en el Router.

Será redirigido a una nueva vista, esto para seleccionar y autorizar todos los clientes existentes en el router.

Si todo fue exitoso, vemos la siguiente leyenda.

Opcional. Se puede confirmar que se hayan creado las siguientes ips con el address list: ips_permitidas_wisphub en IP/FIrewall/Address List 

 

3Paso 3. Autorizar Planes de Internet

será redirigido a la siguiente lista de planes de Internet.

4Paso 4. Instalar Reglas Clientes Autorizados en el Router.

Se mostrará una ventana de confirmación.

Aquí es muy importate haber realizado los pasos anteriores de lo contrario todo se quedará sin servicio a internet.

Si todo fue realiado solo basta con escribir la frase de confirmación.

Si todo fue exitoso, vemos la siguiente leyenda.

 Se puede confirmar que se hayan creado las reglas de clientes autorizados en IP/Firewall/Filter Rules

Funcionamiento

Una forma sencilla de probar el funcionamiento de clientes autorizados es tomar una ip de nuestro rango LAN de nuestro RB, la cual aún no se encuentre registrado en el sistema.

Ejemplo. Cuento con la IP: 192.168.66.188 si me asigno esa ip como estática no deberia tener servicio.

Si registro esta IP como cliente en el sistema tendrá acceso a internet.

Si el plan de Internet que se le esta asignando al cliente ya fue autorizado, lo cual se hizo en el paso 3  

el cliente se autorizará de forma automática. En mi caso confirmo que la ip del cliente se halla agreado con el adresslist: ips_autorizadas_wisphub

Verificamos que tengamos acceso a internet.

 

WispHub ahora proporciona una serie de reglas de firewall de seguridad básica para equipos Mikrotik.
Esta opción solo se recomienda para equipos nuevos que no contengan ningún tipo de regla en el apartado de Firewall/Filter Rules del RB.

Características principales:

  • Permitir Acceso al RB por Winbox, web, ssh, telnet entre otros servicios, solo a los administradores de red.
  • Bloquear puerto DNS desde WANs (Exterior).
  • Bloquear puerto WebProxy desde WANs (Exterior) útil para proteger sus ips públicas por riesgo a hacer baneadas en lista negra (blacklists).
  • Permitir acceso a internet solo a IPs autorizadas (Clientes registrados en el sistema).

Nota:

Si ya cuenta con reglas de firewall para seguridad y solo necesita la opción de clientes autorizados haga click aquí.

Importante leer.

Esta implementación no requiere soporte técnico y por ahora no tiene ningún costo para su completa configuración, basta con seguir todos los pasos mencionados a continuación. Las reglas han sido probadas y no causará un mal funcionamiento en tu red. Favor de usarlas de manera responsable. Se recomienda usar estas reglas en un router con pocos clientes, una vez ha comprendido su funcionamiento puede aplicarlo en todos sus routers en producción para evitar algún inconveniente.

Pasos de Implementación

Video tutorial

Por pasos

Nos dirigimos al apartado de Sistema->Routers:  https://wisphub.net/router/

Será redirigido a una serie de pasos a seguir:

1Paso 1 - Autorizar IPs / Agregar de Administracion de red.

Importante Leer las siguientes instrucciones del paso 1.

1. Agregar IPs de tipo: Autorizar IP/Segmento LAN:

1.1.-Si del segmento LAN de tus clientes, hay IPs que no sean de tipo residencial es decir clientes (IPS) de cortesía que no se encuentren en WispHub, debe de ingresarlas ya que al instalar las reglas no tendrán servicio. 
Ejemplo: 
En mi caso doy servicio de cortesía a un familar con la IP: 192.168.66.99

1.2.-Ingresar todas las IPs o segmentos de todos los equipos de red administrativos ej: sectoriales, Routers, ONUs ect. de lo contrario perderá comunicación entre ellos (ping).

Para fines de este manual cuento con las siguientes Equipos: 192.168.100.254, 192.168.200.254

Estas ips se agregaran en al addresslist: ips_autorizadas_wisphub

2. Agregar IPs de tipo: Administrador de red:


2.2.- Ingresar todas las direcciones IPS o rangos de técnicos, administradores de red, ya que no podrán acceder al Router por medio de winbox, web u otros servicios.
Ejemplo: 
En mi caso las siguientes IPs de mis técnicos serian las siguientes:  192.168.66.101, 192.168.66.102. 

2.2.-Si su router cuenta con IP Pública asignada. Para que se pueda ingresar desde exterior.
Se tiene que agregar la IP Publica con la que esta saliendo a internet. 
Ejemplo.
Mi router cuenta con la siguiente IP Pública asignada: 187.155.59.111
Para que pueda acceder por medio de winbox o web desde afuera de mi red. 
Como primer paso tengo que conocer la IP pública con la estoy saliendo a internet,, si no sabe con que ip esta saliendo puede consultar:https://www.cualesmiip.com/
en mi caso estoy fuera de mi red pero salgo con otra IP: 198.155.98.115
dicha ip se agregaría como Administrador de red

Estas ips se agregaran en al addresslist: administrador_red_wisphub
 

Para fines de este manual así quedaría.

Guardar cambiar, y verificar en el Router que se hallan creado los siguientes address-list con las ips ingresadas.

2Paso 2. Autorizar todos los clientes existentes en el Router.

Será redirigido a una nueva vista, esto seleccionar y autorizar todos los clientes existentes en el router.

verificar en el router en IP/Firewall/AddressList que todos los clientes se hayan creado con el address-list: ips_autorizadas_wisphub

3Paso 3. Autorizar Planes de Internet

será redirigido a la siguiente lista de planes de Internet.

4Paso 4. Instalar reglas firewall de seguridad básica.

Será redirigido a la siguiente ventana.

1. Habilitar/Deshabilitar Servicios (Puertos):

Este formulario no es requierido, al instalar las reglas de seguridad básica, por default se crearán 2 reglas

  • Permitir acceso al Router por Winbox solo a los administradores.
  • Permitir acceso al Router por Web solo a los administradores.

Del mismo modo puede restringir, editar el acceso otros servicios del RB tales como, ssh, telenet, ftp, ect.

  • Acceso a todas las IPs: Implica que  cualquier Privada/Pública, pueda ingresar al Router..
  • Acceso a solo administradores de red: Solo las IPs que fueron agregadas como administradores de red en el paso 1 podrán acceder al Router

2. Instalar reglas seguridad básica.

Este formulario es requerido y se tiene que seleccionar su interface de conexión con el provedor (WAN) de su RB.

Al instalar las reglas se mostrará una ventana de confirmación, el cual indica que tuvo que haber realizado todos los pasos anteriores. ya que de lo contrario sus clientes no tendrán servicio e incluso no podrá acceder a su rb.

Verificar las siguientes reglas firewall en mikrotik

Funcionamiento

Clientes Autorizados

Una forma sencilla de probar el funcionamiento de clientes autorizados es tomar una ip de nuestro rango LAN la cual aún no se encuentre registrado en el sistema.

Ejemplo. Cuento con la IP: 192.168.66.188 si me asigno esa ip como estática no deberia tener servicio.

Si registro esta como cliente en el sistema tendrá acceso a internet.

Si el plan de Internet que se le esta asignando al cliente ya fue autorizado, lo cual se hizo en el paso 3 

el cliente se autorizará de forma automática. En mi caso confirmo que la ip del cliente se halla agreado con el adresslist: ips_autorizadas_wisphub

Verificamos que tengamos acceso a internet.

Acceso a servicios solo administradores

En el inicio de esta documentación en el paso 1, aprendimos como poder agregar todas las ips las cuales van a tener acceso al router por medio de winbox, web, ssh, telenet u otros servicios.

Lo cual en teoría ninguna ip del rango lan/ ip publica / vpn va a poder a conectarse por winbox o web u otros servicios del rb hasta que sean agregados como administradores de red.

Ejemplo: Si tengo la ip 192.168.66.188 la cual solo esta como cliente, no podrá acceder a servidor Mikrotik.

 

Cabe mencionar en el paso 1 se agrego la ip 192.168.66.101 como tipo Administrador de red.

Me asigno la ip 192.168.66.101 , como estática y estoy dentro de la red podrá acceder al router.
Verificamos si ahora podemos acceder al router.

¿Cómo acceder a mi RouterBoard si tiene IP Pública asignada?

Ejemplo, mi routerboard cuenta con la siguiente IP Pública: 187.155.XX.XX

Para poder acceder por medio de winbox desde otra red. 

Como primer paso tenemos que conocer la ip publica de la otra red con la que estamos saliendo a internet, puede usar  https://www.cualesmiip.com/ 

en mi caso estoy saliendo con la IP:201.163.XX.XX

Entonces el escenario seria el siguiente:

Router (HOST): 187..155.XX.XX

IP que hará la petición para conectarse al Router: 201.163.XX.XX

Para poder conectarme al router por medio de winbox o web, tenemos que agregar la ip con la que estamos saliendo, en mi caso: 201.163.XX.XX

Nos regresamos de nuevo al paso 1 y agregamos la ip como tipo administrador de red

Verificamos que ahora tengamos acceso al rb.

Nota:

Recordar que en el paso 4 que puede bloquear/desbloquear el acceso a otros servicios del router, ej: ssh, telnet, ftp, api, ect.

Protección de IP Pública evitar que este en lista negra (blacklists).

Cuando contamos con IP pública y utilizamos la función de Web Proxy de nuestro equipo Routerboard es muy importante tener una regla que no permita hacer uso de nuestra IP publica vía Proxy ya que podemos recibir ataques por medio este medio. 

Al instalar las reglas de seguridad básica de wisphub del paso 4 se crea una regla para prevenir ataques vía Proxy con esto evitamos que nuestra ips publicas que esten asignadas al router, no corran el riesgo de ser baneadas en lista negra (blacklists).

Puede hacer un test de ello, siguiendo los pasos del siguiente post:  http://foroisp.com/threads/1600-Seguridad-Web-Proxy-en-MikroTik

Acceso otros puertos

Al momento de instalar las reglas de seguridad básica de wisphub se bloquean el acceso a todos los puertos, a excepción de winbox, web el cual solo está permitido solo a las ips que se agreguen como administrador de red.

En el paso 4. se tiene la opción de permitir otros servicios como:
winbox, web, ssh. telenet, api, ftp.
Ya sea a:
Todas las IPs: Acceso a todo el mundo
Administradores de red: Acceso solo las ips que están en el adress-list: administrador_red_wisphub

¿Cómo abrir un nuevo puerto?

En el RB en Firewall/Filter rules, buscamos la regla: Permitir acceso WINBOX para administradores - WispHub

Hacemos doble click, seleccionamos Copy

Action: Input
Chain: Especificar la cadena input u otra personalizada
Protocol: seleccionamos el protocolo por donde viaja el puerto
Port: Puerto el cual queremos que tenga acceso.
Src. AddressList: 

  • Si queremos que todo el mundo tenga acceso a ese puerto lo dejamos vacío
  • Si queremos que solo tengan acceso los administradores seleccionamos el addresslist; administrador_red_wisphub.

Ejemplo. 

Quiero abrir el puerto para que todas las VPNs de mi red puedan acceder a mi Router.

Resultado.

Wisphub te proporciona una manera fácil de agregar un script que reinicie tu router de forma automática cada cierto tiempo con unos cuantos clics.

Importancia del reinicio

Es Importante que cada Router Mikrotik que esté conectado a su cuenta se reinicie cada día. Esto no solo hará que wisphub tenga conexión a su rb, si no que también ayudará que varios procesos no se atoren en su Mikrotik y este tenga un buen funcionamiento.

Video Tutorial

Ubicacion de la herramienta

Desde la sección de Sistema > Router

Luego de seleccionar un router podrás encontrar la opción “Script de Reinicio Automático” en el apartado de utilerias.

Ubicacion reinicio automatico

 

Agregar script de reinicio automático

Para el siguiente ejemplo se agregara un script de reinicio automático que se ejecutara cada día a las 4 AM

1 Agrega un nombre que identificara el script, o puedes dejar el que viene por defecto

2 Agrega la hora en la que se ejecutara el reinicio en formato 24Hrs

3 Agrega cada cuantos días se ejecutara el reinicio

Agregar Script de reinicio automatico

Y listo con eso tendremos nuestro script programado para ejecutarse según tus preferencias.

Wisphub te permite agregar fácilmente un script que realizara un backup automático a tu router, con esto se te enviara un correo con  los archivos .backup y .rsc adjuntos cada vez que se ejecute según tus preferencias.

Nota

Para esto necesitaremos configurado el servidor de correo en el Router, si no lo tienes aún o desconoces como hacerlo. Click aquí para configurarlo
Si ya cuentas con uno funcionando, puede omitir ese paso y continuar.

Permisos

Es importante que el usuario con el que se realiza la conexión cuente con las siguientes politicas: ftp, reboot, read, write, policy, test, password, sniff, sensitive, romon.
De no contar con los permisos el script no podrá crearse

Video Tutorial

Ubicación de la herramienta

Desde la sección de Sistema > Router

Luego de seleccionar un router podrás encontrar la opción “Script de Backup Automático” en el apartado de utilerias.

 

Agregar un script de backup automático

Para el siguiente ejemplo se agrega un script de reinicio automático que se ejecutara todos los días a las 4 AM

1 Agrega el nombre que identificara el script, o puedes dejar el que viene por defecto

2 Agrega la dirección de correo electrónico a la que llegara tu backup

3 Agrega la hora en que comenzara a realizarse el backup en formato 24Hrs

4 Agrega cada cuantos días se ejecutara el backup

Con eso tendrás tu script de backup listo para ejecutarse de forma automática según tus preferencias.

En cuanto se ejecute recibirás el correo con los archivos adjuntos.


13 de Noviembre de 2023 a las 17:39 - Visitas: 7406