Instalación de MikroTik RouterOS CHR en VPS

Lo que necesita

VPS con Ubuntu 20.04 (preferiblemente) y acceso root/sudo.
Datos de red del proveedor: IP/prefijo y puerta de enlace predeterminada; anótelos con antelación.
Acceso a la consola de emergencia (VNC/serie) en el panel del proveedor, si la red aún no está disponible después del registro.

**Compruebe y anote la configuración de red antes de reescribir el disco duro (obligatorio).**

Este paso se realiza antes de reescribir el disco duro e instalar MikroTik CHR. Después de escribir la imagen RAW, el Ubuntu actual se elimina por completo, el acceso SSH desaparece y solo se puede configurar la red en CHR manualmente a través de la consola de emergencia con los parámetros registrados anteriormente. Por lo tanto, es esencial anotar los parámetros de red proporcionados por el proveedor antes de continuar.

¿Qué datos deben registrarse?

Dirección IP y máscara (prefijo)

Ejemplo: 203.0.113.10/24

Este valor se utiliza al añadir una dirección IP a CHR.

Puerta de enlace predeterminada

Ejemplo: 203.0.113.1

Esta dirección es necesaria para configurar la ruta predeterminada.

Tipo de red: normal o /32

Si la dirección IP se asigna con una máscara /32 (frecuente en los proveedores de VPS), se requiere una configuración especial por parte de CHR.

Ejemplo de una red con /32:

IP: 85.85.85.85/32
Puerta de enlace: 10.0.0.1

En este tipo de red, la puerta de enlace se especifica manualmente al añadir una dirección IP.

				
					sudo -i
ip -c a
ip -c r

Preparar Ubuntu y corregir los parámetros de red

				
					sudo -i
apt update && apt -y install unzip
ip -c a   # record your IP/prefix, for example 203.0.113.10/24
ip -c r   # write down the default gateway, for example 203.0.113.1

Esto resulta útil si configura CHR a través de la consola después de reiniciar.

Descargue la imagen RAW del router alojado en la nube.

				
					cd /tmp
wget https://download.mikrotik.com/routeros/<VER>/chr-<VER>.img.zip
unzip chr-<VER>.img.zip   # we will receive chr-<VER>.img

Donde <VER> corresponde a la versión estable. Si la última versión no se carga, utilice la versión 6.49.10 y, a continuación, realice una actualización a través de CHR.

Defina el disco duro de destino.

				
					fdisk -l
# For example, the target disk /dev/sda

Atención: asegúrese de que el dispositivo sea el correcto, ya que la escritura es destructiva.

Convertir los sistemas de archivos en solo lectura

				
					echo u > /proc/sysrq-trigger
sync

Esto reduce el riesgo de que la imagen se «dañe» al utilizar dd (ha habido casos en los que los datos comprimidos con xz se han dañado).

Grabe la imagen en el disco duro (dd).

				
					dd if=chr-<VER>.img of=/dev/sda bs=4M oflag=sync status=progress

Espere a que el proceso finalice sin errores. Esto borrará completamente su Ubuntu actual.

Reinicio forzado en CHR

				
					echo 1 > /proc/sys/kernel/sysrq
echo b > /proc/sysrq-trigger

La conexión SSH se interrumpe. El VPS se inicia en CHR en su estado predeterminado: aún no hay ninguna red disponible.

Primera conexión a la consola de emergencia

Abra la consola de emergencia en el panel del proveedor.
Conexión de administrador, contraseña vacía → confirmar la visualización de la licencia → establecer inmediatamente una nueva contraseña.
Los modelos/versiones más recientes pueden tener otros parámetros predeterminados, pero para CHR, el escenario típico es administrador sin contraseña en la primera conexión.

Configuración de la dirección IP en RouterOS (CLI)

En la consola RouterOS (CLI orientada a menús):

				
					ip
address
add
address=203.0.113.10/24
interface=ether1

RouterOS calcula la red/transmisión en función del prefijo; la dirección también se puede añadir a una sola línea:

				
					/ip address add address=203.0.113.10/24 interface=ether1

Caso con /32 (frecuente en las nubes)

Si el proveedor asigna una dirección IP pública con una máscara /32 y una puerta de enlace «externa» (por ejemplo, 10.0.0.1), configure la red manualmente:

				
					/ip address add address=85.85.85.85/32 interface=ether1 network=10.0.0.1

A continuación, la ruta estándar:

				
					/ip route add gateway=10.0.0.1

Se trata de una receta de trabajo estándar para /32 que ha demostrado su eficacia en la práctica.

Ruta estándar

Forma abreviada:

				
					/ip route add gateway=203.0.113.1

Una vez configuradas la dirección y la puerta de enlace, se puede acceder a CHR a través de la red.

Acceso a WebFig/Winbox

Abra http://<IP> para WebFig (o https://<IP> si HTTPS está activado).

También puede conectarse a Winbox (TCP estándar 8291).

Identificador de administrador + su nueva contraseña.

¿Qué hay que hacer inmediatamente después de configurar la red?

Mini-seguridad (desactivar los servicios innecesarios, modificar los puertos de servicio)

				
					/ip service print
/ip service set telnet disabled=yes
/ip service set ftp disabled=yes
/ip service set www disabled=yes         # enable www-ssl instead of plain-HTTP
/ip service set api disabled=yes
/ip service set api-ssl disabled=yes
/ip service set ssh address=0.0.0.0/0    # narrow if necessary
/ip service set winbox port=8291         # change the port if desired

WebFig y Winbox son gestores similares en cuanto a funcionalidades. Por defecto, WebFig utiliza HTTP en el puerto 80 (es preferible activar HTTPS), mientras que Winbox utiliza TCP 8291.
Active HTTPS para WebFig:

				
					/user add name=ops group=full password="ComplexPassword123!"
/user disable admin

Nombre de usuario y contraseña

				
					/ip service set www disabled=yes
/ip service set www-ssl disabled=no certificate=<yours-cert>

(o salir de Admin, pero definir una contraseña compleja y limitar el acceso por dirección)

Hora y NTP

				
					/system clock set time-zone-name=Etc/UTC
/system ntp client set enabled=yes servers=pool.ntp.org

NAT básico (si es su «router de Internet»)

				
					/ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade

Mini cortafuegos para la administración

				
					/ip firewall filter
add chain=input connection-state=established,related action=accept
add chain=input connection-state=invalid action=drop
add chain=input protocol=tcp dst-port=22,8291,443,80 src-address-list=mgmt action=accept
add chain=input in-interface=ether1 action=drop comment="drop rest from WAN"

/ip firewall address-list
add list=mgmt address=203.0.113.0/24

Actualizaciones y licencia CHR

Comprobar y actualizar RouterOS:

				
					/system package update check-for-updates
/system package update install

Verificar la licencia CHR:

				
					/system license print

(Para cargas de producción, seleccione p1/p10/p-unlimited; consulte la sección CHR oficial).

Depuración: problemas comunes

«Los datos comprimidos xz están dañados / Sistema detenido» después de dd
Una causa frecuente es escribir en un sistema de archivos «activo». Es útil convertir el sistema de archivos a solo lectura antes de dd. Si tiene problemas, utilice 6.49.10, inicie el sistema y luego actualice a 7.x.
No hay ping después del reinicio
Compruebe que ha definido la dirección y la puerta de enlace en CHR (pasos 8-9). Para /32, especifique network=<gateway> al añadir la dirección y defina la ruta gateway=<gateway>.
+WebFig/Winbox se abre
Conéctese a través de la consola de emergencia, compruebe /ip service print, el cortafuegos y si ve el puerto correcto (Winbox 8291/TCP).

Además: tabla de configuración rápida

Conexión a través de DHCP (si la nube asigna la dirección de forma dinámica)

				
					/ip dhcp-client add interface=ether1 use-peer-dns=yes use-peer-ntp=yes

(Para entornos de servidor, es preferible una dirección estática).

Puente (si hay varias interfaces en CHR)

				
					/interface bridge add name=br0
/interface bridge port add bridge=br0 interface=ether1
/ip address add address=192.0.2.10/24 interface=br0

VLAN en la interfaz

				
					/interface vlan add name=wan.100 vlan-id=100 interface=ether1
/ip address add address=203.0.113.10/24 interface=wan.100
/ip route add gateway=203.0.113.1