Implementacion de Mikrotics (RouterOs) en Azure

Montaje Imagen Mikrotics en Azure

1. Descargar la imagen VHD de RouterOS

1. Ve a https://mikrotik.com/download

2. En la sección Cloud Hosted Router, descarga la imagen VHDX o VHD (según versión).

3. Si obtienes VHDX, conviértela a VHD con PowerShell:

Convert-VHD -Path "C:\ruta\input.vhdx" -DestinationPath "C:\ruta\output.vhd" -VHDType Fixed

2. Subir el VHD a Azure

1. Crea un Storage Account en Azure con tipo de cuenta StorageV2.

2. Dentro del Storage Account, crea un container tipo Blob (no privado).

3. Sube el archivo .vhd al container usando:

• Azure Portal

• Azure CLI:

az storage blob upload \

  --account-name <StorageAccountName> \

  --container-name <ContainerName> \

  --name routeros.vhd \

  --file C:\ruta\output.vhd \

  --auth-mode login

3. Crear la imagen personalizada

1. Ir a Imágenes personalizadas en Azure Portal.

2. Clic en + Crear imagen.

3. Nombre, grupo de recursos, región, etc.

4. URI del blob VHD: Copia la URL del blob que subiste.

5. Selecciona el sistema operativo como Linux (aunque es RouterOS, se considera compatible a nivel de boot).

4. Crear la máquina virtual desde la imagen

1. Ir a Máquinas Virtuales > + Crear

2. Selecciona:

• Sistema operativo: Imagen personalizada

• Imagen: selecciona la que creaste anteriormente

• Tamaño: algo pequeño como Standard_B1ms (RouterOS es muy liviano)

• Disco: Disco administrado

Red:

• Crea una nueva VNet o usa una existente

• Asigna IP pública si deseas administrarlo por Winbox o SSH

5. Acceso inicial y configuración

• Conecta vía Winbox (puerto 8291) o SSH (puerto 22)

• Puedes usar la IP pública para acceder.

• Usuario por defecto: admin

• Sin contraseña al inicio, cámbiala apenas ingreses.

6. (Opcional) Configurar reglas NSG

Si usas Network Security Groups (NSG), asegúrate de permitir:

• TCP 22 (SSH)

• TCP 8291 (Winbox) Solo mientras se realiza la configuración inicial, después este puerto debe ser deshabilitado

• El acceso a el router debe ser siempre por VPN

• Apertura el puerto 8291 en Firewall / filter

Nota Importante:

• RouterOS (Cloud Hosted Router) requiere arranque BIOS (no UEFI).

• Las máquinas Gen 2 en Azure usan UEFI, lo cual no es compatible con el VHD de RouterOS (que espera BIOS).

• Si intentas usalisto r Gen 2, probablemente la VM no arranque o entre en modo de error.

Configuración redes Azure

 

1. Requisitos previos

1. Ambas VNets deben estar en la misma región o en regiones compatibles con peering.

2. Asegúrate de que las direcciones IP no se solapen (ejemplo: 10.0.0.0/16 y 10.1.0.0/16).

3. Necesitas permisos de Contributor o superior en ambos grupos de recursos.

4. Verifica que la política de red no esté bloqueando el tráfico entre VNets.

2. Paso a paso en el Portal de Azure

A. Crear el primer emparejamiento (desde VNet A hacia VNet B)

1. Inicia sesión en el Portal de Azure

2. Ve a Redes virtuales (Virtual Networks).

3. Selecciona la VNet A (ejemplo: VNet-GrupoA).

4. En el menú izquierdo, haz clic en Emparejamientos y luego en + Agregar.

5. Completa los campos:

• Nombre del emparejamiento: VNetA-to-VNetB

• Suscripción: Selecciona la suscripción correcta.

• Red virtual de destino:
  • Selecciona Otra red virtual.

  • Selecciona la Suscripción y Grupo de recursos donde está la VNet B.

  • Elige la VNet B.

• Configuración de tráfico:
  • Permitir tráfico a red virtual remota: Sí

  • Permitir tráfico reenviado: (Opcional), actívalo si tu router/firewall reenviará tráfico entre redes.

  • Permitir puerta de enlace de red virtual: Solo si compartirás VPN/ExpressRoute.

Haz clic en Aceptar.

Con este paso automáticamente se crea el emparejamiento en la VNet B, verificar que este se allá creado en la otra VNet, de lo contrario crearlo de manera manual con los mismos pasos anteriormente mencionados

C. Verificar el estado del emparejamiento

1. En ambas VNets, ve a Emparejamientos y verifica que el estado sea "Conectado".

2. Haz un ping o tracert entre máquinas de ambas VNets para validar la conectividad.

 

4. Consideraciones importantes

• No se requiere NSG adicional si ya permites tráfico entre subredes. Si no, debes modificar las reglas en NSG para permitir tráfico entre ambas VNets.

• El tráfico entre VNets se cobra como tráfico dentro de la misma región (bajo costo); si están en diferentes regiones, hay costo adicional.

• Si alguna de las VNets está asociada a una puerta de enlace VPN y quieres compartirla, activa la opción “Use remote gateways” en uno de los peerings.

 

 

Creación de Rutas en Azure

 

1. Requisitos previos

• RouterOS (MikroTik) ya desplegado en Azure, funcionando como firewall o router.

• Saber la IP privada del MikroTik en la interfaz que comunica con las subnets internas (por ejemplo: 10.255.0.4).

• Identificar las subnets/VNet que deben enviar tráfico a través del MikroTik.

 

 

 

 

2. Crear la Route Table en Azure

1. Ir al portal de Azure → "Crear un recurso" → Buscar "Route Table".

2. Configurar la Route Table:

• Nombre: RT-Mikrotik-Firewall (puedes personalizarlo).

• Suscripción: la misma donde está tu infraestructura.

• Grupo de recursos: el que usas para las VMs o VNets.

• Región: igual a la de la VNet.

• Propagar rutas de puerta de enlace (propagate gateway routes): ❌ NO (a menos que estés usando VPN Gateway y quieras esa propagación).

3. Crear las rutas dentro de la Route Table

Una vez creada:

1. Abre la Route Table → Configuración → Rutas → Agregar.

2. Configura cada ruta necesaria:

                                               

• Ejemplo 1: Tráfico hacia otra VNet o red emparejada

Nombre: Route-to-10-10

Prefijo de dirección: 10.10.0.0/16

Próximo salto: Virtual Appliance

Dirección IP del Virtual Appliance: 10.255.0.4 (IP del MikroTik)

• Ejemplo 2: Todo el tráfico de salida a internet (opcional)

Nombre: Default-Internet

Prefijo de dirección: 0.0.0.0/0

Próximo salto: Virtual Appliance

Dirección IP del Virtual Appliance: 10.255.0.4

• Ejemplo 3: Ruta hacia otra subnet interna (si es necesario)

Nombre: Internal-Subnet

Prefijo de dirección: 10.255.1.0/24

Próximo salto: Virtual Appliance

Dirección IP del Virtual Appliance: 10.255.0.4

🔹 "Virtual Appliance" es el tipo correcto porque el MikroTik funciona como un dispositivo de red.

4. Asociar la Route Table a las Subnets

1. Dentro de la misma Route Table → Subnets → Asociar.

2. Selecciona:

• Red virtual: la VNet donde están tus VMs.

• Subred: la(s) subnet(s) que deben enrutar el tráfico por el MikroTik.

Guardar.

5. Configurar reglas en el MikroTik

• Asegúrate de que el MikroTik tenga configuradas:
  • Rutas estáticas o NAT, según sea necesario.

  • Firewall permitiendo el tráfico entre las subnets y/o hacia internet.

 

6. Verificar

• Desde una VM de la subnet asociada, ejecuta:

tracert 8.8.8.8   (Windows)

traceroute 8.8.8.8  (Linux)

• El primer salto después de la IP de la VM debería ser el MikroTik (10.255.0.4 en este ejemplo).

 

Configuración Rutas/Nat/Firewall RouterOs

 

1. Arquitectura Básica

• VNet Router: 10.255.0.0/16

• VNet Servidores: 10.0.0.0/16

• Emparejamiento entre ambas VNets:

2. Requisitos Previos

• Acceso administrador a la VM de RouterOS.

• IP pública asignada a RouterOS (para gestión y/o túneles VPN).

• Regla NSG (Grupo de Seguridad de Red) abierta para permitir tráfico necesario (SSH, Winbox, VPN, etc.).

 

3. Configurar el RouterOS para ruteo

A. Activar IP forwarding

Esto viene habilitado por defecto en MikroTik, pero asegúrate con:

 

/ip settings set rp-filter=loose

/ip firewall connection tracking set enabled=yes

 

B. Añadir rutas estáticas (si es necesario)

El emparejamiento permite que las redes se vean entre sí, pero si usarás MikroTik como router de borde (salida a internet), asegúrate de enrutar correctamente desde la red de servidores a MikroTik.

 

Ejemplo:

 

/ip route add dst-address=0.0.0.0/0 gateway=INTERFAZ-SALIDA

/ip route add dst-address=10.0.0.0/16 gateway=ip_local_en_10.255.x.x

 

 

4. Configurar NAT para salida a Internet

Permite que las máquinas en la red 10.0.0.0/16 salgan a Internet a través del MikroTik.

 

/ip firewall nat add chain=srcnat src-address=10.0.0.0/16 action=masquerade out-interface=ether1

 

5. Rutas en la red de los servidores

Para que los servidores salgan por el MikroTik, debes:

• Agregar una ruta en la tabla de rutas de la VNet de los servidores (10.0.0.0/16) indicando que la ruta por defecto (0.0.0.0/0) se haga a través del MikroTik. Como se muestra en el pago de creación de rutas

6. Ajustar NSG en MikroTik

• Asegúrate de permitir tráfico entrante en la interfaz WAN (para acceso remoto, VPNs, etc.)

• Permite tráfico desde la red 10.0.0.0/16 hacia el MikroTik si quieres administrarlo desde los servidores.

7. Pruebas

• Haz ping desde un servidor en la red 10.0.0.0/16 hacia Internet. ¿Responde?

• Haz traceroute y verifica que pasa por MikroTik.

• Prueba accesos VPN si vas a montar alguno en MikroTik.