Guía completa de configuración de MikroTik para la oficina y el hogar

Los enrutadores Mikrotik son muy valorados por los administradores de sistemas por su increíble flexibilidad.
Una característica única de este equipo es que desde un hAP lite doméstico y económico hasta un potente enrutador corporativo de miles de dólares funcionan con el mismo sistema operativo: RouterOS.

Esto significa que, al aprender a configurar un dispositivo, podrá gestionar cualquier equipo de la marca.
En este artículo desglosaremos las etapas fundamentales para configurar Mikrotik desde cero hasta un estado completamente funcional.

1. Conexión y actualización del sistema

El primer paso es obtener acceso al dispositivo y poner su software al día.

Herramienta de gestión

Para la configuración se recomienda encarecidamente usar la utilidad Winbox.
Descárguela desde el sitio oficial mikrotik.com.

Primera conexión

1. Conecte el ordenador con un cable a cualquier puerto del router (excepto el primero, si es la configuración por defecto).
2. Abra Winbox y vaya a la pestaña Neighbors.
3. Haga clic en la dirección MAC del dispositivo (esto es importante, ya que la IP puede ser 0.0.0.0).
4. Login: admin
   Contraseña: (vacía) o la que figure en la pegatina del dispositivo.

Actualización (proceso en dos pasos)

En Mikrotik es importante actualizar no solo el sistema, sino también el cargador (bootloader).

Actualización de RouterOS

1. Vaya a System → Packages.
2. Haga clic en Check for Updates.
3. Se recomienda elegir la rama:
   • Long-term — para estabilidad
   • Stable — para funciones nuevas
4. Descargue e instale la actualización.

Actualización del cargador (Routerboard)

1. Tras reiniciar, vaya a System → Routerboard.
2. Compare las versiones Current Firmware y Upgrade Firmware.
3. Si son diferentes — haga clic en Upgrade y reinicie el router de nuevo.

💡 Aclaraciones y notas

La mayoría de los dispositivos nuevos MikroTik (hAP lite, hAP ac, RB, etc.) vienen con una configuración predeterminada (defconf):

• ether1 — WAN con DHCP-client
• los demás puertos + Wi-Fi — en bridge
• IP 192.168.88.1/24
• servidor DHCP
• NAT (masquerade)
• firewall básico

Si el dispositivo es nuevo, muchos de los pasos siguientes ya están realizados — compruébelo con el comando:

/system default-configuration print

La versión stable actual en diciembre de 2025 — 7.20.x.
Actualice siempre a la última versión de la rama elegida para correcciones de seguridad.

2. Configuración de Internet (WAN)

Supongamos que está configurando una IP estática (si el proveedor entrega la configuración automáticamente por DHCP, este paso lo hace el DHCP Client en el primer puerto).

Necesitamos realizar tres acciones en el menú IP.

Dirección IP

1. Vaya a IP → Addresses.
2. Haga clic en + e introduzca la dirección proporcionada por el proveedor.
3. Indique obligatoriamente la máscara de subred (por ejemplo, /24), de lo contrario el router considerará esta dirección como un host único.
4. Especifique la interfaz (normalmente ether1).

Ruta por defecto (gateway)

1. Vaya a IP → Routes.

2. Cree una ruta:

   • Dst. Address: 0.0.0.0/0
   • Gateway: IP del gateway del proveedor

Servidores DNS

1. Vaya a IP → DNS.
2. En el campo Servers indique DNS públicos (por ejemplo, 8.8.8.8, 1.1.1.1).
3. La casilla Allow Remote Requests convierte el router en un servidor DNS con caché.
   Actívela solo si el firewall está configurado; de lo contrario el router podría ser usado en ataques DDoS.

3. Red local (LAN) y DHCP

Ahora configuraremos la red interna, uniendo puertos y asignando direcciones a los dispositivos.

Configuración del Bridge

El bridge permite unir puertos físicos en una sola red lógica (como en un switch).

1. Abra el menú Bridge y cree una nueva interfaz (normalmente bridge1).
2. Vaya a la pestaña Ports y añada allí las interfaces necesarias (por ejemplo, ether2, ether3, wlan1).

Configuración del servidor DHCP

La forma más sencilla es usar el asistente de configuración.

1. Vaya a IP → DHCP Server.
2. Haga clic en DHCP Setup.
3. Seleccione la interfaz del bridge (no un puerto individual).
4. Haga clic en Next hasta el final, aceptando las opciones propuestas.

💡 Aclaraciones y notas

En la configuración por defecto el bridge, la IP en el bridge y el DHCP ya están configurados.
Si realiza un reseteo conservando defconf:

/system reset-configuration keep-users=yes no-defaults=no

— todo se restaurará automáticamente.

4. NAT y Firewall (seguridad)

Sin estas configuraciones Internet en la red local no funcionará y el router quedará vulnerable.

NAT (Masquerade)

Para que los dispositivos de la red local puedan salir a Internet a través de una única IP externa:

• IP → Firewall → NAT

• regla:

  • Chain: srcnat
  • Out. Interface: ether1
  • Action: masquerade

Firewall Filter (protección)

La lógica de protección en Mikrotik se basa en cadenas (Chains).
Necesitamos Input (tráfico hacia el router) y Forward (tráfico a través del router).

Conjunto básico “gentleman”:

1. FastTrack — connection-state=established,related
2. Drop invalid
3. Drop Input desde WAN — in-interface=ether1

💡 Aclaraciones y notas

El firewall por defecto ya incluye FastTrack, accept established/related/untracked y bloqueo de input desde WAN.

Conjunto básico recomendado:

• interface-list: LAN, WAN
• Input: accept established → accept ICMP → accept LAN → drop todo lo demás
• Forward: FastTrack → accept established → drop invalid → drop WAN

Cambie siempre la contraseña del admin:

/user set admin password=strongpassword

Y desactive los servicios innecesarios.

5. Red inalámbrica (Wi-Fi)

1. Vaya a Wireless.

2. En la pestaña Security Profiles cree un perfil:

   • Mode: dynamic keys
   • WPA2-PSK
   • contraseña compleja

3. Abra wlan1:

   • Mode: ap bridge
   • SSID
   • Security Profile
   • Enable

💡 Aclaraciones y notas

En RouterOS v7+ se recomienda WPA3-PSK (si los clientes lo soportan).
El Wi-Fi debe añadirse al bridge.

6. Gestión de velocidad (QoS)

Si un usuario consume todo el ancho de banda:

• Queues → Simple Queues
• Target: IP o subred
• Max Limit: por ejemplo 10M/10M
• Usuarios VIP colóquelos más arriba en la lista

💡 Aclaraciones y notas

Para escenarios complejos utilice Queue Tree, PCQ o CAKE.

7. Copias de seguridad

En Mikrotik hay dos tipos de guardado de configuración (Files):

💡 Filosofía LEGO

Configurar Mikrotik es como un set de LEGO.
IP + Route + DNS + NAT — si falta un elemento, el sistema no funciona.

Entender esta lógica es la clave para trabajar con Mikrotik con confianza.

💡 Complemento final: seguridad

Después de la configuración básica, obligatoriamente:

• cambie la contraseña admin
• cree un usuario separado
• actualice RouterOS regularmente
• monitorice logs y tráfico (Tools → Torch, Netwatch)