Una de las causas de que en una red no podamos ver páginas que sabemos que se encuentran operativas, es el exceso de tráfico, con lo que nuestras peticiones de conexion quedan sin ser aceptadas, es debido a esto que es frecuente el aumentar la prioridad por tipo de paquetes o puertos, es así como existen prioridades para trafico dns y web ( Puerto 53 y 80 respectivamente). En el siguiente caso no se realizará un sistema de prioridades, sino que se establecerá una Cola Dinámica, la que es capaz de administrar el ancho de banda tanto en la subida como en la descarga.
Lo primero es marcar los paquetes para nuestra red local: (por mi parte utilizo la 10.8.1.0/24, estos valores deben cambiarlos para su red)

/ip firewall mangle add chain=forward src-address=10.8.1.0/24 action=mark-connection new-connection-mark=users-con
/ip firewall mangle add connection-mark=users-con action=mark-packet new-packet-mark=users chain=forward

Ahora las PCQ que nos ayudaran a agrupar el marcado por interfaz (tanto para la bajada o conexion local, como para la subida o conexion a Internet)

/queue type add name=pcq-download kind=pcq pcq-classifier=dst-address
/queue type add name=pcq-upload kind=pcq pcq-classifier=src-address

Y ahora a crear la Queue Tree de Descarga, limitando a nuestro ancho de banda (4mbps o 4096000 bps en mi situación: D) respectivo y teniendo en cuenta el nombre de la interfaz local (en mi caso: Lan).

/queue tree add name=Download parent=Lan max-limit=4096000 priority=1
/queue tree add parent=Download queue=pcq-download packet-mark=users

Ahora repetimos los pasos pero con el ancho de subida (1024000 bps de upload para mi conexion) en la Interfaz correspondiente (Internet para mi router)

/queue tree add name=Upload parent=Internet max-limit=1024000 priority=1
/queue tree add parent=Upload queue=pcq-upload packet-mark=users

Con esto ya tenemos balanceadas nuestras conexiones, desde el punto de vista de la utilización.

Cada red es identificada por el nombre seleccionado por el dueño de la red.
El ver múltiples redes o puntos de acceso disponibles no quiere decir que todas están abiertas para que usted las use. Antes de seleccionar una red, pase el cursor del ratón sobre cada nombre. Al hacerlo obtendrá información sobre la red, incluyendo si está protegida mediante un protocolo WEP, WPA u otro sistema no podrá usarla, a menos que se conozca la contraseña.
Si hay una red no protegida, podrá usted usarla para conectarse a Internet. Aunque no es lo más recomendable. Pero en otros lugares tendrá que pagar por entrar en línea. Esto suele ocurrir en los aeropuertos, por ejemplo, en cuyos terminales los proveedores compiten por ofrecer acceso a Internet. Al intentar usar este servicio, será conducido a una página web en la que tendrá que abonar una tarifa adicional.
En lugares públicos, como universidades, bibliotecas u hoteles, busque una conexión inalámbrica gratuita y no asegurada o hable con la empresa que provee ese acceso para que le informe sobre la manera de entrar on line.
RENDIMIENTO
Hay actualmente varias normas de conectividad inalámbrica, desde la 802.11b y la 801.11g hasta la 802.11n. La más usada es la norma 802.11g, que ofrece velocidades de hasta 54 Megabits por segundo (Mbps). La más moderna, 802.11n, llega a los 300Mbps, rivalizando incluso con las redes de clave, que son menos frecuentes.
Puesto que a usted le incumbe elegir la conexión más rápida entre las que tenga disponibles, debería conocer qué tipo de adaptador tiene en su PC. Lo menos deseable es una conexión inalámbrica que no funcione porque su adaptador interno es 802.11g cuando está tratando de conectarse a una red que solo acepta la norma 802.11n.
Igualmente, si su laptop tiene un adaptador inalambrico interno relativamente lento – digamos un modelo 802.11b – necesita conformarse con bajas velocidades hasta comprarse un USB con antena externa para darle vida a su vieja laptop, con compatibilidad 802.11g o incluso 802.11n

Hacemos de cuenta que tenemos dos ISP (proveedor de servicios de internet) esta regla puede ser aplicada a la cantidad WAN que queramos poner ya que trabaja por lista.

Hagamos de cuenta que usamos para nuestros terminales de trabajo las direcciones de ip de la red 192.168.100.0/24. Las direcciones de IP son asignadas así:

• 192.168.100.1-127 Sera usado para Group A.
• 192.168.100.128-253 Sera usado para Group B.
• 192.168.100.254 is Usado por el router.

Todos los terminales de trabajo tienen la configuración IP con la dirección de IP del grupo relevante, todos de la red tienen sub-mascara 255.255.255.0, y 192.168.100.254 es la puerta de enlace.
Ahora, cuando tenemos terminales de trabajo divididos en grupos, podemos referirnos a ellos usando la dirección subnet:

• Group A es 192.168.100.0/25, p. ej., se dirige 192.168.100.0-127
• Group B es 192.168.100.128/25, p. ej., se dirige 192.168.100.128-255

Tenemos que añadir dos reglas de IP Firewall Mangle de marcar los paquetes originados por el Group A y para el Group B

Para el Group A, especificar:

• Chain prerouting y Src. Address 192.168.100.0/25
• Action mark routing y New Routing Mark GroupA.

Esto es una práctica buena para añadir un comentario también. Sus reglas de firewall podrían ser interesantes para alguien más y para usted también pasado algún tiempo.

Para el Group B especificar:

• Chain prerouting y Src. Address 192.168.100.128/25
• Action mark routing y New Routing Mark GroupB

Todo el tráfico IP que viene de terminales de trabajo es routing marks marcar GroupA o GroupB. Podemos usar estas mark en el routing table.

Después, nosotros deberíamos especificar dos rutas por defecto (la destinación 0.0.0.0/0) routing marks y gateways apropiados.

¡Esto no va a funcionar, a no ser que usted haga masquerading en LAN! El modo más simple de hacerlo es añadiendo una regla de NAT para Src. 192.168.100.0/24 y Action masquerade:

¡Pruebe el sistema haciendo un tracer a alguna dirección de IP sobre el Internet!

De un terminal de trabajo de Grupo A, esto debería ir como esto:
C:\>tracert -d 8.8.8.8

Tracing route to 8.8.8.8 over a maximum of 30 hops

1 2 ms 2 ms 2 ms 192.168.100.254
2 10 ms 4 ms 3 ms 10.1.0.1

De un terminal de trabajo de B de Grupo, esto debería ir como esto:
C:\>tracert -d 8.8.8.8

Tracing route to 8.8.8.8 over a maximum of 30 hops

1 2 ms 2 ms 2 ms 192.168.100.254
2 10 ms 4 ms 3 ms 10.5.8.1

Para quienes no quieren entender mucho de las reglas, hagan un copy-paste de lo siguiente, en la ventana de Terminal, dentro de ip firewall filter. Es decir les aparecerá esto:

Luego copien estos códigos:

add chain=input connection-state=established action=accept comment=”Aceptar \
conexiones establecidas” disabled=no
add chain=input connection-state=related action=accept comment=”Aceptar \
related conexiones” disabled=no
add chain=input connection-state=invalid action=drop comment=”Rechazar \
conexiones inválidas” disabled=no
add chain=input src-address=!10.8.1.0/24 src-address-list=”Intentos SSH” \
action=drop comment=”Bloquear Lista SSH” disabled=no
add chain=input src-address=!10.8.1.0/24 src-address-list=”Lista Telnet” \
action=drop comment=”Bloquea Lista Telnet” disabled=no
add chain=input src-address=!10.8.1.0/24 src-address-list=”Bloqueo de \
Invalidos router” action=drop comment=”Bloqueo Lista de Invalidos” \
disabled=no
add chain=input src-address=!10.8.1.0/24 src-address-list=”Entradas por FTP” \
action=drop comment=”Bloquear Lista FTP” disabled=no
add chain=input protocol=tcp dst-port=21 action=add-src-to-address-list \
address-list=”Entradas por FTP” address-list-timeout=0s comment=”Crea \
Lista de IPs que entran al FTP” disabled=no
add chain=input protocol=tcp dst-port=21 action=accept comment=”Aceptar \
Conexiones FTP” disabled=no
add chain=input protocol=tcp dst-port=80 action=add-src-to-address-list \
address-list=”Accesos Via Web” address-list-timeout=0s comment=”Crea Lista \
de IPs que ven WebBox” disabled=no
add chain=input protocol=tcp dst-port=80 action=accept comment=”Acepta WebBox” \
disabled=no
add chain=input protocol=udp action=accept comment=”UDP” disabled=no
add chain=input protocol=icmp limit=50/5s,2 action=accept comment=”Aceptar \
pings limitados” disabled=no
add chain=input protocol=icmp action=drop comment=”Rechazar pings execibos” \
disabled=no
add chain=input protocol=tcp dst-port=23 action=add-src-to-address-list \
address-list=”Lista Telnet” address-list-timeout=0s comment=”Lista Telnet” \
disabled=no
add chain=input protocol=tcp dst-port=23 action=accept comment=”Acepta Telnet” \
disabled=no
add chain=input protocol=tcp dst-port=22 action=add-src-to-address-list \
address-list=”Intentos SSH” address-list-timeout=0s comment=”Crea Lista de \
Entradas SSH” disabled=no
add chain=input protocol=tcp dst-port=22 action=accept comment=”SSH” \
disabled=no
add chain=input src-address=10.8.1.0/24 action=accept comment=”Conexiones \
desde la red Local” disabled=no
add chain=input protocol=tcp dst-port=8291 action=add-src-to-address-list \
address-list=Winbox address-list-timeout=0s comment=”Agrega IPs Que entran \
por Winbox” disabled=no
add chain=input protocol=tcp dst-port=8291 action=log log-prefix=”Entrada por \
Winbox” comment=”Log entradas por Winbox” disabled=no
add chain=input protocol=tcp dst-port=8291 action=accept comment=”Winbox” \
disabled=no
add chain=input protocol=tcp dst-port=23 action=accept comment=”Aceptar \
Conexiones Telnet” disabled=no
add chain=input action=add-src-to-address-list address-list=”Bloqueo de \
Invalidos router” address-list-timeout=0s comment=”Lista de IP por \
acciones fuera de reglas” disabled=no
add chain=input action=drop comment=”Rechazar todo lo demás” disabled=no

Como nota tiene que fijarse que las reglas admiten la red interna 10.8.1.0/24, por lo que cambien su segmento de red correspondiente a través del mismo Winbox, o bien antes de pegar estas reglas.

Ahora si van gráficamente IP Firewall y a Adress List, podrán seleccionar las listas y ver las IP que se han conectado por los servicios, y las inválidas.

Para hacer menos restrictivo el firewall, pueden deshabilitar alguno de los bloqueos por lista, esto se hace presionando la X de Winbox, o por comandos editan la regla y el Disable=no lo cambian a Disable=yes.

Una fotito de como se ve el firewall y las listas de direcciones:

Espero que les guste el firewall, basado en elwiki de Mikrotik, editado y con las listas de las IP. Cualquier sugerencia, reclamo o algo por el estilo, posteen en este mismo informativo.

Una vez que estamos dentro. hay que nombres que podamos entender a las Iterfaces. Para hacer eso, nos dirigimos a “Interfaces”

Tercer Paso “Definición de IP’s para Interfaces”

Como hacemos esto?? Hay que ir a la opción IP – Addresses, luego agregar las interfaces, para eso hacemos “+” y aparecerá una ventana, en la cual hay q definir el Hades, network, y todo eso, además la interfaz a la cual se esta asignando los IP

Cuarto Paso “Crear Conexión PPPoE”

Este paso, es solo para quienes tienen por conexión pppoe, para eso vamos a la opción PPP, en la cual elegimos la opción PPPoE Client. En General, le damos el nombre a nuestro gusto, en Dial Out se introduce el nombre de usuario y la contraseña, y solo se deja desmarcado la opción “Dial on Demmand,” y en le profile se deja “Default”

Quinto Paso “Definir UPnP para las interfaces”

Bueno aca solo se define que tipo es la tarjeta, si es interna o externa, y hay que dejar el Seetings de la siguiente forma.

Sexto Paso “Primeros Pasos para Configurar DHCP Server”

Primero hay que definir el POOL, el cual contiene los numero IP correlativos de la red, la cuales pueden ser 10.10.0.2-10.10.0-254

Ahora se debe crear el DHCP Server, para eso nos dirigimos a IP – DHCP Server, luego de damos agregar “+” y ahí.. le damos el nombre que nosotros queramos… y la interface seria LAN (nombre de la interface que le puse asi), luego asiganamos el POOL que antes habiamos creado, y en Autoritative le ponemos “no”

Después de crear el DHCP Server, hay que crear la Network, para eso obviamente vamos a la pestaña Network. En la ventana que aparece, le ponemos todos nuestros IP.

Septimo Paso “Definir DNS para Mikrotik”

En esta paso, solo introducimos los IP de nuestro DNS, para eso vamos al siempre y bien ponderado IP – DNS y en la pestaña Static le damos a la opción Settings y ahí van los DNS.

Octavo Paso “Creando Masquerade”

Nos dirigimos a IP-Firewall-NAT y agregamos chain=srnat —-> Action=Masquerade

Eso es todo, cualquier cosa consultar a www.mikrotik.org.