MikroTik + Keenetic: FAQ y diagnóstico paso a paso
Publicado el 21.09.2025
Este artículo está compilado como «chuleta» para redes SOHO/SMB: problemas frecuentes, sus síntomas, causas, soluciones rápidas y listas de verificación de diagnóstico. Sirve tanto para ingenieros como para administradores que mantienen el enlace MikroTik ↔ Keenetic.
📑 Navegación
- EoIP «se queda congelado» al transferir archivos grandes
- Site-to-Site VPN activo, pero el tráfico no circula
- NAT rompe VPN/EoIP
- MTU/MSS: cómo elegir correctamente
- Enrutamiento por políticas (RouterOS 7)
- SMB desde otra subred no funciona
- Lista de verificación de diagnóstico rápido
- Chuletas de comandos
- MTU típicos para túneles
- Matriz de excepciones NAT/Firewall
- Errores frecuentes
- Visualizaciones (PlantUML)
- Recursos y documentación
1) EoIP «se queda congelado» al transferir archivos grandes
Síntomas: SMB/FTP se queda colgado, la velocidad va a tirones, RDP se corta.
Causas: MTU/MSS incorrecto, fast-path con IPsec, errores de NAT/Firewall.
⚡ Solución rápida (MikroTik):
/interface eoip add name=eoip-tun remote-address=203.0.113.1 tunnel-id=10 mtu=1476 clamp-tcp-mss=yes
/ip firewall mangle add chain=forward action=change-mss new-mss=clamp-to-pmtu protocol=tcp tcp-flags=syn
/interface ethernet set [find] allow-fast-path=no
Keenetic (CLI):
interface Tunnel0
ip tcp adjust-mss 1360
En la interfaz web: Internet → Otras conexiones → Túnel → «Limitar MSS».
2) Site-to-Site VPN activo, pero el tráfico no circula
Síntomas: el túnel «UP», pero no hay ping/SMB entre subredes.
Causas: rutas, NAT, selectores IPsec, firewall.
Ejemplo (MikroTik, IPsec S2S):
/ip ipsec policy add src-address=192.168.1.0/24 dst-address=192.168.2.0/24 \
sa-dst-address=203.0.113.2 tunnel=yes action=encrypt
/ip route add dst-address=192.168.2.0/24 gateway=ipsec
/ip firewall nat add chain=srcnat action=accept src-address=192.168.1.0/24 dst-address=192.168.2.0/24
Ejemplo (Keenetic, servidor OpenVPN):
vpn-server openvpn
direct-access enable
pool 10.8.0.0/24
route 192.168.1.0/24
3) NAT rompe VPN/EoIP
Síntomas: el túnel se levanta, pero no hay conectividad entre redes.
Solución: excluir el tráfico entre subredes del masquerade.
/ip firewall nat add chain=srcnat action=accept src-address=192.168.1.0/24 dst-address=192.168.2.0/24 place-before=<id-masq>
4) MTU/MSS: cómo elegir correctamente
Algoritmo:
- Encontrar el Path MTU (ping df=yes).
- Establecer el MTU del túnel por debajo, restando el overhead.
- Activar el clamp de MSS.
/ping <peer-wan-ip> size=1472 df=yes
/ping <peer-lan-ip> interface=eoip-tun size=1450 df=yes
/ip firewall mangle add chain=forward action=change-mss new-mss=clamp-to-pmtu protocol=tcp tcp-flags=syn
5) Enrutamiento por políticas (RouterOS 7)
Síntomas: el tráfico ignora las reglas necesarias.
Ejemplo:
/routing table add name=to-vpn fib
/ip route add dst-address=0.0.0.0/0 gateway=10.8.0.1 routing-table=to-vpn
/routing rule add action=lookup-only-in-table table=to-vpn src-address=192.168.1.0/24
6) SMB desde otra subred no funciona
Causas: NAT/Firewall, broadcast NetBIOS no se enruta, DNS.
Solución: permita TCP/445, TCP/139, UDP/137-138, desactive NAT entre subredes.
/ip firewall filter add chain=forward action=accept protocol=tcp dst-port=445 src-address=192.168.1.0/24 dst-address=192.168.2.0/24
/ip firewall nat add chain=srcnat action=accept src-address=192.168.1.0/24 dst-address=192.168.2.0/24
✅ Lista de verificación de diagnóstico rápido
- Conectividad L3: ping WAN↔WAN, LAN↔LAN.
- MTU/MSS: ping df=yes, clamp de MSS.
- Rutas:
ip route print,traceroute. - NAT: excepciones antes del masquerade.
- Firewall: reglas de permitir (allow), contadores.
- Túnel: SA/peers (IPsec), cliente (OVPN).
- CPU/carga: torch, monitor-traffic.
- Servicios: telnet host 445.
- DNS/WINS: resolución de nombres.
- Logs/pcap: tool sniffer.
📜 Chuletas de comandos
MikroTik:
/ping <ip> size=1472 df=yes
/ip firewall mangle add chain=forward action=change-mss new-mss=clamp-to-pmtu protocol=tcp tcp-flags=syn
/ip firewall nat add chain=srcnat action=accept src-address=<LAN-A>/24 dst-address=<LAN-B>/24 place-before=<id-masq>
/routing table add name=to-vpn fib
/ip ipsec active-peers print
/tool torch <iface>
/tool sniffer quick interface=<iface> file-name=trace.pcap
Keenetic:
show interface Tunnel0
show ip route
show ip nat translations
interface Tunnel0
ip tcp adjust-mss 1360
📊 MTU típicos para túneles
| Tipo de túnel | MTU | MSS | Overhead |
|---|---|---|---|
| EoIP | 1476 | 1436 | ~42 |
| IPsec | 1400 | 1360 | ~50–60 |
| OpenVPN | 1410 | 1370 | ~40–50 |
| L2TP | 1400 | 1360 | ~40 |
🔀 Matriz de excepciones NAT/Firewall
| Subred origen | Subred destino | Acción NAT | Puertos Firewall | Nota |
|---|---|---|---|---|
| 192.168.1.0/24 | 192.168.2.0/24 | accept | TCP 445, 139; UDP 137-138 | SMB/VPN |
| 192.168.1.0/24 | 10.8.0.0/24 | accept | TCP 443, UDP 1194 | OpenVPN |
| 192.168.2.0/24 | 1.1.1.1/32 | accept | UDP 53 | DNS a través de VPN |
⚠ Errores frecuentes
- MTU «1500 en todas partes» → fragmentación.
- Masquerade «se comió» el tráfico entre subredes → se necesitan excepciones.
- Enrutamiento por políticas sin tener en cuenta DNS.
- Confiar en el broadcast de NetBIOS.
- Probar solo con ping → comprueba TCP/SMB con archivos grandes.
Reseñas relacionadas
Muchísimas gracias a Mijaíl por su trabajo, estoy muy satisfecho con el resultado. Agradezco especialmente las recomendaciones durante la configuración: a partir de un pliego de requisitos bastante confuso por mi parte (y yo entiendo poco de servidores), Mijaíl, con preguntas aclaratorias y propuestas, formuló una comprensión clara de qué tareas resolvería la configuración final y cómo organizarlo todo de la mejor manera. ¡Lo recomiendo!
ladohinpy · Configuración de Mikrotik hAP. Configuraré su router Wi‑Fi Mikrotik.
21.07.2025 · ⭐ 5/5
Muchísimas gracias a Mijaíl por el trabajo, estoy muy satisfecho con el resultado. Agradezco especialmente las recomendaciones durante el proceso de configuración; a partir de mi especificación bastante confusa (y yo sé poco de servidores), Mijaíl, con preguntas aclaratorias y propuestas de su parte, formuló una comprensión clara de qué tareas resolverá la configuración final y cómo organizar todo de la mejor manera. ¡Lo recomiendo!
Excelente profesional, experto y persona maravillosa. En una hora nos arregló lo que llevábamos días intentando solucionar. Estoy seguro de que no será la primera vez que recurramos a su excepcional profesionalismo.
Ravenor · MikroTik hAP: configuración del router. Configuraré su router MikroTik Wi‑Fi.
28.05.2025 · ⭐ 5/5
Excelente especialista, un experto con mucha experiencia y una persona maravillosa. En una hora nos arregló aquello por lo que llevábamos días rompiéndonos la cabeza! Estoy seguro de que no será la primera vez que recurramos a su inmenso profesionalismo
¡Un enfoque profesional!
ErlikZ · Configuración del router Mikrotik hAP. Configuraré su router Mikrotik Wi-Fi.
31.03.2025 · ⭐ 5/5
¡Enfoque profesional al asunto!
Sabe, puede, hace. Todo rápido y al grano; quedé satisfecho con la colaboración.
Soveni4 · Configuración de Mikrotik hAP. Configuraré el router Wi-Fi Mikrotik para usted.
Cliente acostumbrado14.03.2025 · ⭐ 5/5
Sabe, puede, hace. Todo de forma rápida y al grano, quedé satisfecho con la colaboración.
¡Gracias! Configuraron el router según mi especificación técnica, con una explicación completa de lo que estamos haciendo.
GFSoft · Configuración del router MikroTik hAP. Configuraré un router MikroTik Wi‑Fi para usted.
Comprador experimentado09.03.2025 · ⭐ 5/5
¡Gracias! Configuraron el router según mi especificación técnica, con una explicación completa de lo que hacemos
¡Todo genial! ¡Gracias! Lo recomiendo
NekMiha · Ayuda con el router Mikrotik
Gran comprador16.11.2024 · ⭐ 5/5
¡Todo genial! ¡Gracias! Lo recomiendo