Segmentacion de Trafico PBR - WANs DHCP
Вставка
- Опубліковано 25 жов 2024
- Aprenderá a configurar PBR - Policy Based Routing o Segmentacion de Trafico en tu red con tus WANs con IPs dinamicas via DHCP
Link Script:
drive.google.c...
Soporte Profesional A Tu Alcance
consultordered...
Quieres llevar tu carrera al proximo nivel?
www.aprendered...
#SegmentacionTraficoMikrotik #PBRMikrotik #WansDHCPMikrotik
![Segmentacion de Trafico Mikrotik [ PBR ] - Analisis, Configuracion y Recomendaciones](http://i.ytimg.com/vi/OkMYniZrKsY/mqdefault.jpg)
Saludos! Como te ha ido con la configuracion? Comentame abajo.
Hola, se puede configurar una ip dinamica y una estatica para cada wan?
Bien buena la implemente en mi mikrotik y funciona perfecto
@@eduardopereira6767 Yo implemente ese escenario y esta trabajando muy bien...
Hola que mas, me funciono super bien, pero Wilmer me quedo con un problemita, antes de hacer la segmentación de PBR yo podia perfectamente acceder a los routers de mis clientes pero despues de dicha configuracion no he podido acceder. le agradeceria una ayudita con eso.
saludos
no no he podigo que salga por la wan2
Cordial saludo. Excelente explicación.
Pronto lo probare, pero puedo indicarte que eres un excelente profesor, he aprendido mucho con tus videos y eso que no soy analista de Redes ni programador, solo una persona curiosa, felicitaciones desde venezuela
Muchas gracias Jose, un placer
Mis felicitaciones y reconocimiento, ya lo implementé en mi red y funciona muy bien, con esto eliminé muchas reglas de Mangle, tenía un caos en el firewall... Gracias.
Excelente video, llevo años trabajando en el área y me parece que tu explicación fue muy concreta para una situación que realmente requiere de mucho conocimiento en el área para saber resolver, yo particularmente tarde mucho en aprender a diseñar este tipo de soluciones.
Un material muy importante para los que lidian con otros tipos de prácticas.
lo pondre en un proyecto nuevo muy interesante inge lo haces tan facil que todo lo que enseñas uno lo quiere hacer enseguida saludos!!
Gracias Sergio, exitos!
Sensei!!! muchas gracias por el conocimiento compartido
gracias por compartir conocimientos wilmer saludos
Con mucho gusto, saludos
Gracias Wilmer, exelente, habia hecho el balanceo pero no conseguia comunicar entre las ips privadas, mil gracias.
Excelente
@@WilmerAlmazan El inconveniente que me queda por resolver es que tengo en el mismo equipo un server pppOe sobre una vlan para entregar IPS publicas a ciertos clientes, y no logro poder a estas IPS publicas desde el NAT, para poder acceder antes habia agregado en el mangle la opcion conection nat state ! scrnat en el chain prerouting y funciona pero tarda en conectar y funciona para las privadas y las publicas.
gracias maestro, esperaba esta mejora desde el ultimo video de PBR.
Excelente, saludos, exitos!
excelente como siempre!! muchas gracias, espero el v ideo sobre la conexion de los routers en este mismo escenario con OSPF
Muy pronto, mañana lo publico
Excelentísimo!!!!
Muchas gracias!
Muy buena explicación. Podras realizar un video explicando el diagrama de flujo de paquetes en L2 y L3. Es un concepto importante y que a veces trae muchos dolores de cabeza. Saludos
Gracias por la sugerencia. Creare algo al respecto proximamente, mientras tanto si por casualidad esta inscrito en mi plataforma, hay varias clases con detalle sobre eso en "QoS y Control de Trafico"
Pendientr
Eres el mejor.
Gracias por su comentario!
Saludos Ingeniero, excelente muy bien explicado, ¿Para el caso de la V7.1, como lo serìa el marcado para las rutas recursivas?
como siempre....excelente..
Gracias, saludos
Top! Thanks so much for the script.
Sure thanks
Saludos... Excelentes vídeos y su explicación. Muy buen aporte.. en el caso que tenga un proveedor con ip dinámico (wan con DHCP) y un proveedor que me asigna una ip fija.. debo combinar lo aprendido del los dos vídeos de PBR ???
hola , el script no me funciona , lo implemente en la version 7.14.2 , tendra que ver la version?
Hi. I beg your pardon. I understand Espanol, but i often loose something.
So, one question about WAN2 on Eth2. It has an IP address as part of RFC1918 [172.(16-32).x.y], so during mangle it could match the first rfc1918-to-rfc1918 mangle rule, bypassing the general scheme of the lab. Or it will allow to go straight, without problem, to gateway? Where am i wrong?
Just an other question. Could script be useful also if Wan iface are not dynamic, so i have not to change gateways and so on in routing. Where could i best apply the script in case?
Thanks so much, in advance.
Hi Nicola,
The traffic going to Internet is not going to match the first rule, since we're never going to have private IPs on Internet.
This script is useful for DHCP WANs only, for static configurations, you can create the routes manually (they'll never change). There's another video in the channel showing that process.
Excelente video, Gracias. Una pregunta : Voy a Instalar un CCR1016 para una escuela con 60 maestros, la necesidad es que todos los maestros estén conectados a Zoom con sus alumnos cada maestro, Despues del CCR1016 voy a instalar un Switch EDGE Router
Mi duda es ( Voy a crear Vlans en el ccr1016, Como las dirijo al Edge Router y de ahy mandarlas por UTP a los acces Point Ubiquiti UAP Outdoor
( Modem -- CCR 1016 --- Switch --- Ap )
Gracias
Hola Jorge,
SI el trafico sera menor a 1Gbps, puede usar el 1016 como ROAS (router-on-a-stick), eso significa que puede crear las interfaces vlans directamente sobre la interface que va al Switch. Luego en el switch ya arma su tabla de Vlans (puertos troncales y de acceso). Si por casualidad esta inscrito en mi plataforma (www.aprenderedes.online) alli hay varios ejemplos del manejo de Vlans en Mikrotik.
Exitos.
@@WilmerAlmazan Perfecto, Muchas gracias.
Hola mi estimado espero que me responda mi pregunta en esto tiempo que es más recomendado balanceo pcc o pbr.
genial, muchas gracias por compartir tus conocimientos,
una consulta
hace un tiempo te pregunte si se podía realizar una conexión transparente hacia un proxy externo
el proxy puede ser de un servidor interno o cualquier proxy publico que hay por internet
como podría realizar aquello con mikrotik, ya que me trabo en el port 443
Inge... en la plataforma en que curso aborda PBR aparte de QOS avanzado... que ya lo vi pero más a profundidad?
Hola Wilmer excelentes trabajos me gustan muchos tus materiales, me gustaria si te es posible que subas un video del balanceo NTH por lo menos de 3 o 4 wans con failover estaba tratando de dejarte este comentario en el video de balanceo PCC pero tiene los comentarios deshabilitados.
Gracias Arial, saludos. Gracias por la sugerencia
Hola buena noche, muchas gracias por compartir tus conocimientos de una manera muy clara y practica, quisiera preguntarte que video o que parte me recomiendas para que en mi microtik, cree una red de invitados en un puerto lan que lo voy a conectar a un AP Unifi sin controladora y por ello quiero crear en ese puerto un dhcp, pero que esa red no vea mi red administrativa. Gracias
Muy bueno Wilmer! consulta en v7 funciona ? tengo una Wan dinamica y una wan que conecta pppoe...Muchas gracias
Hola estimado, quería consultar si haces consultoría? somos un wisp y necesito ayuda con la seguridad de mi equipo Mikrotik, te lo agradecería mucho
Hola Oscar, un placer.
Puede contactarme desde consultorderedes.pro/contacto
funciona en mikrotik con v7?
Implemente una onfiguracion basica, con 4 WAN, ; Se me presentanron probelmas, , pues los 4 Proveedores, aunque otorgan Ip Publica/Dinamica, son del mismo proveedor y el Script no funciona correctamente al 100%.. Hay alguna manera de setear cada WAN Logica en el script del Fail Over ???
Hola Wilmer,
Este metodo aplica si el escenario es similar Al mostrado. Todo es posible en Networking, asi que debe haber una solución a su requerimiento especifico. Si desea que yo la implemente, puede contactarme en www.consultorderedes.pro
Buen día Wilmer, saludos desde Argentina, primero quiero felicitarte, sigo tu canal y publicas muy buen contenido... Puedo usar PBR con una ip Dinámica y de backup una ip publica fija como segunda WAN sin el scrip por supuesto?
Hola! Sin problema.
hola que programa utiliza ingresar comentarios cuando estas explicando el tema .. veo que sale un lapiz en el puntero del mouse
Hola, uso Annotator o Epic Pen
hola solo para comentar que en el script hay un bug en la parte de cuando ya existen las rutas se renuevan con el gateway y no con las rutas recursivas ...el comentario rmark y bmark deberian checar si el gateway es monitor y bmonitor como fueron creados originalmente y no sobreescribir el gateway actual, creo que esa parte del script es un remanente de un original en donde solo era una ruta y no habia recursivas... espero se entienda
Hola,
Se debe cambiar el gateway el valor del gateway por el nuevo. He ejecutado el script en un ambiente de prueba y funciona sin problemas.
@@WilmerAlmazan hola , cuando las rutas se establecen en el primer bond y no hay cambios las recursivas estan sin problemas, la parte de script en algun reinicio donde ya estan la rutas y se hace bond alli las recursivas desaparecen porque se sobrescriben los gateways sobre los que originalmente eran monitor como gateway, espero se entienda, sin mas... es decir se pierde la parte de la recursion y el failover
Gracias por el reporte. Haré las pruebas y publicación de una nueva versión
Hola Wilmer, saludos, a mi personalmente me mejoro mi red muchisimo despues de que implemente el uso del PCQ, pero no se si es posible realizar este tipo de configuracion para agregar otra linea a mi red
Saludos tengo configurado la segmentación con dos líneas WAN (1 de ip fijo y otra dhcp). Mi pregunta es si tienes algún video, para configurar WebProxy cuando los clientes están MOROSOS, ya q he e intentado activarlo, con el procedimiento tradicional pero no me funciona y creo q es por la segmentación configurada por el mangle. Agradezco su ayuda de antemano.
Funcionara con la V7 de Mikrotik
Hola profesor si tengo clientes en un addres-list que salen por un gateway en especifico, si ese gateway se cae como hacer que los clientes no se queden sin navegación.
Buenas tardes desde España, sabes de algun software o hardware que me me permita medir con graficas el consumo del ancho de banda al momento entre diferentes routers? Tengo un router prinpicipal y varias sedes que se conectan a este. Muchas gracias
Buenas tardes amigo Wilmer saludos desde Venezuela... Espero que logres ver este mensaje y me puedas ayudar, estoy implementando está configuración pero tengo una problema cuando mando a un grupo de usuarios por isp1 se corta el servicio pero cuando mando por isp2 si permite el tráfico hacia Internet, pero si desmarcó en dhcp-client la opción use peer dns y use peer NTP aquí si me deja navegar... Pero se me presentan intermitencia en algunos usuarios que no le da salidas a ciertas páginas solo a las redes sociales. Tengo 2 proveedores entregando dhcp con diferentes dns
Hola hermano, excelente material, que pasa si un único proveedor me entrega 2 ip? Una pública que alcanzo a través de una IP nat, y una ip genérica que alcanza el resto del pool fuera de esa nat? Como puedo hacer esto en un caso como ese?
Hola Eliese,
La segmentacion (o PBR) es independiente de eso. Puede seguir haciendo el NAt como lo hace. El proceso de PBR se encarga de mandar trafico fuera de una u otra WAN.
La accion del Source-NAT viene despues, se aplica al trafico saliendo de la interface (es decir, ya ha ocurrido el proceso de PBR)
@@WilmerAlmazan Gracias por tu respuesta, vendría bien un video tuyo sobre Vlan pero trabajarlas sin Swich, directamente en el Mikrotik como único dispositivo, Saludos
Hola que tal, se pueden sumar el internet de tres anchos de banda distinto, por ejemplo uno es de 60mb, otro de 30, y otro de 8 mb,? Que aparato de mikrotik necesito? Es para consumo personal, la idea es sumarlo y mandar esa señal a un solo router.
Hola Federico,
El concepto de suma como tal no existe para la WAN. Pero el balanceo de trafico como PCC o PBR (mostrado en este video) le simulan eso. Con ese ancho de banda y un ambiente casero, le recomendaria un 750GR3 o RB3011.
@@WilmerAlmazan muchas Gracias por contestar, muy amable.
saludos wilmer una pregunta como implemento PBR en un balanceador si ese balanceador es un MK de borde como aplico esas reglas si el de administración esta después del balanceo y alli estan todas mis redes privadas? me serviria esta misma config?
Hola Darwin,
LA clave estaria en que no haga NAT en el administrador, asi todas las Ips seran visibles en el borde. Puede usar rutas estaticas u OSPF entre el balanceador y el administrador
@@WilmerAlmazan gracias wilmer entendi perfectamente, voy a aplicarlo...
En el caso q los proveedores tengan limitado el NRO de conexiones, este método balancea las conexiones?
Hola Jose,
Si, todo el trafico (conexiones) se distribuyen basado en las address-lists generadas.
Necesito un Mikrotik solo para la segmentación y otro para la administración de clientes, o puedo hacer la segmentación en el mismo Mikrotik dónde administro los clientes (rb4011)
Solo en mismo Mikrotik, solo necesita un solo Mikrotik
saludos
hice todo al pie de la letra, pero no me sale nada por la ISP2
Hola,
Si el tráfico se marca correctamente y las rutas están activas, debe funcionar.
hola, es posible que las conexiones que nacen del router dirigirlas a uno u otro provedor tambien ?
Hola Juan Carlos,
Si es posible. Genere una regla similar en el mangle pero usando el chain output. Debe crear otra adicional (siempre en output) usando como destino RFC1918 para no perder gestion del equipo.
De tener 3 ISP que cambiaria en el Script?
que tal ing muy buen video pero me surgio un problema, cuando ingreso la configuracion mediante vpn no tengo acceso a mis clentes remotamente, pero localmente si hay conexion que podria estar pasando??
Hola, me está pasando el mismo problema, pudiste solucionarlo?
Excelente video, ing una pregunta si tengo una lista de addres -list saliendo por un proveedor y se cae este proveedor como hago para que los usuarios de esta lista sigan navegando ..
Hola, ya esta explicado en el video. Quizá no lo vió completo.
Excelente video, me sirvió mucho, tengo una duda espero pueda apoyarme, tengo un ISP con 400Mb de bajada, si hago un test directo al Modem siempre me da más de 300 mbps, sin embargo al conectarlo al Mikrotik (a través del puerto gigabit) no pasa de los 150 mbs. Se requiere alguna configuración especial para que me llegue los 400 megas.
Es un RB 2011?
Genial, me funciono ok, pero me encuentro con un problema, no me funciona el hairping nat, por ejemplo en unos de los segmentos tengo un xvr la cual entro con ip publica desde afuera, pero dentro de la red no me funciona, antes de haber el pbr, me andaba el hairping nat que tenia configurado. .
Hola,
Agregué una regla arriba del PBR aceptando el tráfico con destino a sus redes internas.
Hola amigo, como puedo contratar 1 hr de soporte ? saludos
hola. que papel juegan las vlan´s que estan despues del switch ?
Hola Braulio,
Segmentacion del broadcast, genere un puerto de acceso para cada una. Eso se viene en el proximo video el dia de mañana. Pendiente.
Saludos cordiales, buenos videos, he estudiado mucho, he seguido los pasos al pie de la letra, cuando envio el trafico por la WAN 1 funciona perfecto, pero si envio el trafico por la WAN 2 es demasiado lento y da errores, he rectificado cada una de las reglas, he provado con diferentes proveedores, si deshabilito uno de los DHCP Client el otro funciona perfecto, me gustaria conseguir el detalle que falta....
Amigo logre que funcionara solo si le indico a las DHCP Client que no creen la ruta por defecto...
De igual forma paso en la otra clase, con IP WAN fijas, no funciono hasta que elimine la ruta creada por defecto
@@jonhattan55 amigo me puedes explicar ??
Saludos, implemente el script y funciona bien. Mi duda es como lograr que por ejemplo tengo dos wans, y el segmento debe trabajar por wan 1, se cae wan 1 y comienza a salir por wan2. Una vez reestablecido wan1 como lograr que el segmento vuelva a salir por wan1? gracias.
Hola, saludos! En ese Caso necesita agregar a la configuracion actual failover recursivo. Hay un video sobre aqui en el canal. Exitos
y en caso de que 2 de 6 wans que tengo quiero asignarla a un rango de ip /24 se puede
es decir tengo 6 lineas de 100mb y 3 sectores quiero poner 2 lineas por cada sector se puede??
Totalmente factible. Puede agregar redes completas, rangos o IPs individuales.
para v7 como seria
Es mejor el PBR o el PCC ?
Hola Angel, como todo en este fabuloso mundo de IT y Redes, no hay una solucion magica a todos los problemas. Todo depende de sus requerimientos. Tanto PBR como PCC tienen su utilidad y funcionan muy bien si se configuran correctamente. Saludos.
Excelente video, y como seria si me entregan IP por PPPOE, busque la forma y no encontré la opción script
Encontré una opción en PPP - Profile - On up, podría funcionar ?
Hola Santos,
Puede usar ese campo. En lugar de la IP puede usar el tunel pppoe como gateway. Aunque con pppoe no necesita hacerlo via script. Puede usar el metodo manual que explico en el video sugerido.
buenas Sr. wilmer si tuviera en el r1 vpn con ipsec y pptp tendre algun problema
Hola Jhon, no habria ningun problema. LAs reglas mostradas solo se aplican al trafico que viene de los clientes, no al trafico generado por el router.
Mi proveedor me brinda IP pública dinámica, podré con esta configuracion.
Hola Carlos, exactamente es para WANs dinamicas via DHCP.
Buenas tardes. Tengo una inquitud, implemente este proceso con exito, pero ahora como puedo hacer para que todos los usuarios de la red lan cuando cosulten paginas definidas, (youtube, whatsapp, instagram, etc) lo hagan a travez de un isp2, y lo demas a travez del ISP1?