Crear nuevo usuario admin en Mikrotik

En el siguiente artículo trataremos de crear un usuario administrador en un router Mikrotik restringiendo su acceso solo a la red local (LAN). Se puede realizar mediante Winbox o la línea de comandos (CLI), y limitaremos el acceso a servicios como Winbox y SSH solo desde IPs específicas de la LAN mediante configuraciones de firewall y restricciones en los servicios IP del Mikrotik.

Los pasos a seguir son los siguientes:

1. Accede al Router Mikrotik

  1. Conecta tu PC a la red local (LAN) donde está conectado el router Mikrotik.
  2. Abre Winbox o accede a la interfaz web del Mikrotik usando la dirección IP del router (por defecto es 192.168.88.1).

2. Crear un Usuario

  1. En Winbox:
    • Abre Winbox y conéctate al router.
    • Ve a System > Users.
  2. En la Interfaz Web:
    • Inicia sesión en la interfaz web.
    • Ve a System > Users.
  3. Agregar un Nuevo Usuario:
    • Haz clic en el botón + para agregar un nuevo usuario.
    • Rellena los campos:
      • Name: El nombre del usuario, por ejemplo, adminLAN.
      • Group: Selecciona full para que tenga permisos de administrador.
      • Password: Establece una contraseña segura.
      • Allowed Address: Introduce el rango de direcciones IP desde las cuales se permite el acceso, por ejemplo, 192.168.88.0/24.

3. Configurar Restricciones en los Servicios IP

Para restringir el acceso a los servicios específicos como SSH y Winbox solo desde las IPs de la LAN:

  1. En Winbox:
    • Ve a IP > Services.
    • Selecciona el servicio correspondiente, por ejemplo, winbox o ssh.
  2. En la Interfaz Web:
    • Ve a IP > Services.
    • Selecciona el servicio correspondiente.
  3. Configurar las IPs Permitidas:
    • Winbox:
      • Haz doble clic en winbox.
      • En el campo Available From, introduce las direcciones IP permitidas, por ejemplo, 192.168.88.0/24.
      • Haz clic en OK.
      • SSH:
        • Haz doble clic en ssh.
        • En el campo Available From, introduce las direcciones IP permitidas, por ejemplo, 192.168.88.0/24.
        • Haz clic en OK.

4. Restringir el Acceso a la LAN mediante Firewall

Para asegurar que solo las IPs dentro de la LAN pueden acceder a los servicios de administración, configura las reglas del firewall:

  1. En Winbox:
    • Ve a IP > Firewall > Filter Rules.
    • Haz clic en el botón + para agregar una nueva regla de firewall.
  2. En la Interfaz Web:
    • Ve a IP > Firewall > Filter Rules.
    • Haz clic en Add New para agregar una nueva regla de firewall.
  3. Configurar la Regla de Firewall:
    • General:
      • Chain: input
      • Src. Address: Introduce el rango de direcciones IP de la LAN, por ejemplo, 192.168.88.0/24.
      • Dst. Address: La dirección IP del router, por ejemplo, 192.168.88.1.
      • Protocol: tcp
    • Advanced:
      • Dst. Port: Introduce los puertos utilizados para la administración, por ejemplo, 8291 para Winbox, 22 para SSH, 80 para HTTP, y 443 para HTTPS.
    • Action:
      • Action: accept
  4. Agregar una Regla de Denegación Global:
    • Añade otra regla de firewall que deniegue cualquier intento de conexión a los puertos de administración desde fuera de la LAN.
    • General:
      • Chain: input
      • Dst. Port: Los mismos puertos que mencionamos antes (8291, 22, 80, 443).
      • Protocol: tcp
    • Action:
      • Action: drop

5. Verificación

  1. Desconéctate del Mikrotik.
  2. Intenta acceder a la interfaz de administración desde una dirección IP dentro de la LAN para asegurarte de que puedes iniciar sesión con el nuevo usuario.
  3. Intenta acceder desde una dirección IP fuera de la LAN para verificar que el acceso está restringido.

Ejemplo de Configuración CLI

Si prefieres usar la línea de comandos (CLI), aquí tienes los comandos equivalentes:

# Crear el usuario con IPs permitidas
/user add name=adminLAN group=full password=tu-password allowed-address=192.168.88.0/24

# Configurar servicios IP con IPs permitidas
/ip service set winbox address=192.168.88.0/24
/ip service set ssh address=192.168.88.0/24

# Regla para permitir acceso desde la LAN
/ip firewall filter add chain=input src-address=192.168.88.0/24 dst-address=192.168.88.1 protocol=tcp dst-port=8291,22,80,443 action=accept

# Regla para denegar acceso desde fuera de la LAN
/ip firewall filter add chain=input protocol=tcp dst-port=8291,22,80,443 action=drop
Scroll al inicio
WordPress Appliance - Powered by TurnKey Linux