MikroTik + Keenetic: FAQ y diagnóstico paso a paso

Este artículo está compilado como «chuleta» para redes SOHO/SMB: problemas frecuentes, sus síntomas, causas, soluciones rápidas y listas de verificación de diagnóstico. Sirve tanto para ingenieros como para administradores que mantienen el enlace MikroTik ↔ Keenetic.

📑 Navegación

• EoIP «se queda congelado» al transferir archivos grandes
• Site-to-Site VPN activo, pero el tráfico no circula
• NAT rompe VPN/EoIP
• MTU/MSS: cómo elegir correctamente
• Enrutamiento por políticas (RouterOS 7)
• SMB desde otra subred no funciona
• Lista de verificación de diagnóstico rápido
• Chuletas de comandos
• MTU típicos para túneles
• Matriz de excepciones NAT/Firewall
• Errores frecuentes
• Visualizaciones (PlantUML)
• Recursos y documentación

1) EoIP «se queda congelado» al transferir archivos grandes

Síntomas: SMB/FTP se queda colgado, la velocidad va a tirones, RDP se corta.
Causas: MTU/MSS incorrecto, fast-path con IPsec, errores de NAT/Firewall.

⚡ Solución rápida (MikroTik):

/interface eoip add name=eoip-tun remote-address=203.0.113.1 tunnel-id=10 mtu=1476 clamp-tcp-mss=yes
/ip firewall mangle add chain=forward action=change-mss new-mss=clamp-to-pmtu protocol=tcp tcp-flags=syn
/interface ethernet set [find] allow-fast-path=no

Keenetic (CLI):

interface Tunnel0
 ip tcp adjust-mss 1360

En la interfaz web: Internet → Otras conexiones → Túnel → «Limitar MSS».

2) Site-to-Site VPN activo, pero el tráfico no circula

Síntomas: el túnel «UP», pero no hay ping/SMB entre subredes.
Causas: rutas, NAT, selectores IPsec, firewall.

Ejemplo (MikroTik, IPsec S2S):

/ip ipsec policy add src-address=192.168.1.0/24 dst-address=192.168.2.0/24 \
  sa-dst-address=203.0.113.2 tunnel=yes action=encrypt
/ip route add dst-address=192.168.2.0/24 gateway=ipsec
/ip firewall nat add chain=srcnat action=accept src-address=192.168.1.0/24 dst-address=192.168.2.0/24

Ejemplo (Keenetic, servidor OpenVPN):

vpn-server openvpn
 direct-access enable
 pool 10.8.0.0/24
 route 192.168.1.0/24

3) NAT rompe VPN/EoIP

Síntomas: el túnel se levanta, pero no hay conectividad entre redes.
Solución: excluir el tráfico entre subredes del masquerade.

/ip firewall nat add chain=srcnat action=accept src-address=192.168.1.0/24 dst-address=192.168.2.0/24 place-before=<id-masq>

4) MTU/MSS: cómo elegir correctamente

Algoritmo:

1. Encontrar el Path MTU (ping df=yes).
2. Establecer el MTU del túnel por debajo, restando el overhead.
3. Activar el clamp de MSS.

/ping <peer-wan-ip> size=1472 df=yes
/ping <peer-lan-ip> interface=eoip-tun size=1450 df=yes
/ip firewall mangle add chain=forward action=change-mss new-mss=clamp-to-pmtu protocol=tcp tcp-flags=syn

5) Enrutamiento por políticas (RouterOS 7)

Síntomas: el tráfico ignora las reglas necesarias.
Ejemplo:

/routing table add name=to-vpn fib
/ip route add dst-address=0.0.0.0/0 gateway=10.8.0.1 routing-table=to-vpn
/routing rule add action=lookup-only-in-table table=to-vpn src-address=192.168.1.0/24

6) SMB desde otra subred no funciona

Causas: NAT/Firewall, broadcast NetBIOS no se enruta, DNS.
Solución: permita TCP/445, TCP/139, UDP/137-138, desactive NAT entre subredes.

/ip firewall filter add chain=forward action=accept protocol=tcp dst-port=445 src-address=192.168.1.0/24 dst-address=192.168.2.0/24
/ip firewall nat add chain=srcnat action=accept src-address=192.168.1.0/24 dst-address=192.168.2.0/24

✅ Lista de verificación de diagnóstico rápido

1. Conectividad L3: ping WAN↔WAN, LAN↔LAN.
2. MTU/MSS: ping df=yes, clamp de MSS.
3. Rutas: ip route print, traceroute.
4. NAT: excepciones antes del masquerade.
5. Firewall: reglas de permitir (allow), contadores.
6. Túnel: SA/peers (IPsec), cliente (OVPN).
7. CPU/carga: torch, monitor-traffic.
8. Servicios: telnet host 445.
9. DNS/WINS: resolución de nombres.
10. Logs/pcap: tool sniffer.

📜 Chuletas de comandos

MikroTik:

/ping <ip> size=1472 df=yes
/ip firewall mangle add chain=forward action=change-mss new-mss=clamp-to-pmtu protocol=tcp tcp-flags=syn
/ip firewall nat add chain=srcnat action=accept src-address=<LAN-A>/24 dst-address=<LAN-B>/24 place-before=<id-masq>
/routing table add name=to-vpn fib
/ip ipsec active-peers print
/tool torch <iface>
/tool sniffer quick interface=<iface> file-name=trace.pcap

Keenetic:

show interface Tunnel0
show ip route
show ip nat translations
interface Tunnel0
 ip tcp adjust-mss 1360

📊 MTU típicos para túneles

🔀 Matriz de excepciones NAT/Firewall

⚠ Errores frecuentes

• MTU «1500 en todas partes» → fragmentación.
• Masquerade «se comió» el tráfico entre subredes → se necesitan excepciones.
• Enrutamiento por políticas sin tener en cuenta DNS.
• Confiar en el broadcast de NetBIOS.
• Probar solo con ping → comprueba TCP/SMB con archivos grandes.