En el siguiente artículo trataremos de crear un usuario administrador en un router Mikrotik restringiendo su acceso solo a la red local (LAN). Se puede realizar mediante Winbox o la línea de comandos (CLI), y limitaremos el acceso a servicios como Winbox y SSH solo desde IPs específicas de la LAN mediante configuraciones de firewall y restricciones en los servicios IP del Mikrotik.
Los pasos a seguir son los siguientes:
1. Accede al Router Mikrotik
- Conecta tu PC a la red local (LAN) donde está conectado el router Mikrotik.
- Abre Winbox o accede a la interfaz web del Mikrotik usando la dirección IP del router (por defecto es
192.168.88.1
).
2. Crear un Usuario
- En Winbox:
- Abre Winbox y conéctate al router.
- Ve a
System
>Users
.
- En la Interfaz Web:
- Inicia sesión en la interfaz web.
- Ve a
System
>Users
.
- Agregar un Nuevo Usuario:
- Haz clic en el botón
+
para agregar un nuevo usuario. - Rellena los campos:
- Name: El nombre del usuario, por ejemplo,
adminLAN
. - Group: Selecciona
full
para que tenga permisos de administrador. - Password: Establece una contraseña segura.
- Allowed Address: Introduce el rango de direcciones IP desde las cuales se permite el acceso, por ejemplo,
192.168.88.0/24
.
- Name: El nombre del usuario, por ejemplo,
- Haz clic en el botón
3. Configurar Restricciones en los Servicios IP
Para restringir el acceso a los servicios específicos como SSH y Winbox solo desde las IPs de la LAN:
- En Winbox:
- Ve a
IP
>Services
. - Selecciona el servicio correspondiente, por ejemplo,
winbox
ossh
.
- Ve a
- En la Interfaz Web:
- Ve a
IP
>Services
. - Selecciona el servicio correspondiente.
- Ve a
- Configurar las IPs Permitidas:
- Winbox:
- Haz doble clic en
winbox
. - En el campo Available From, introduce las direcciones IP permitidas, por ejemplo,
192.168.88.0/24
. - Haz clic en
OK
. - SSH:
- Haz doble clic en
ssh
. - En el campo Available From, introduce las direcciones IP permitidas, por ejemplo,
192.168.88.0/24
. - Haz clic en
OK
.
- Haz doble clic en
- Haz doble clic en
- Winbox:
4. Restringir el Acceso a la LAN mediante Firewall
Para asegurar que solo las IPs dentro de la LAN pueden acceder a los servicios de administración, configura las reglas del firewall:
- En Winbox:
- Ve a
IP
>Firewall
>Filter Rules
. - Haz clic en el botón
+
para agregar una nueva regla de firewall.
- Ve a
- En la Interfaz Web:
- Ve a
IP
>Firewall
>Filter Rules
. - Haz clic en
Add New
para agregar una nueva regla de firewall.
- Ve a
- Configurar la Regla de Firewall:
- General:
- Chain:
input
- Src. Address: Introduce el rango de direcciones IP de la LAN, por ejemplo,
192.168.88.0/24
. - Dst. Address: La dirección IP del router, por ejemplo,
192.168.88.1
. - Protocol:
tcp
- Chain:
- Advanced:
- Dst. Port: Introduce los puertos utilizados para la administración, por ejemplo,
8291
para Winbox,22
para SSH,80
para HTTP, y443
para HTTPS.
- Dst. Port: Introduce los puertos utilizados para la administración, por ejemplo,
- Action:
- Action:
accept
- Action:
- General:
- Agregar una Regla de Denegación Global:
- Añade otra regla de firewall que deniegue cualquier intento de conexión a los puertos de administración desde fuera de la LAN.
- General:
- Chain:
input
- Dst. Port: Los mismos puertos que mencionamos antes (
8291
,22
,80
,443
). - Protocol:
tcp
- Chain:
- Action:
- Action:
drop
- Action:
5. Verificación
- Desconéctate del Mikrotik.
- Intenta acceder a la interfaz de administración desde una dirección IP dentro de la LAN para asegurarte de que puedes iniciar sesión con el nuevo usuario.
- Intenta acceder desde una dirección IP fuera de la LAN para verificar que el acceso está restringido.
Ejemplo de Configuración CLI
Si prefieres usar la línea de comandos (CLI), aquí tienes los comandos equivalentes:
# Crear el usuario con IPs permitidas
/user add name=adminLAN group=full password=tu-password allowed-address=192.168.88.0/24
# Configurar servicios IP con IPs permitidas
/ip service set winbox address=192.168.88.0/24
/ip service set ssh address=192.168.88.0/24
# Regla para permitir acceso desde la LAN
/ip firewall filter add chain=input src-address=192.168.88.0/24 dst-address=192.168.88.1 protocol=tcp dst-port=8291,22,80,443 action=accept
# Regla para denegar acceso desde fuera de la LAN
/ip firewall filter add chain=input protocol=tcp dst-port=8291,22,80,443 action=drop