Consultoría de redes MikroTik para empresas e ISP
18 de junio de 2026
Si operas la red de una empresa mediana o un ISP, ya conociste el patrón: la red creció por parches. Un router se sumó para tapar un incendio, después una VLAN improvisada, luego un enlace de respaldo que nadie documentó, y hoy nadie del equipo puede dibujar la topología completa sin dudar. El resultado es congestión en hora peak, caídas que cuesta diagnosticar y cero visibilidad sobre lo que realmente pasa en el core. Ahí es donde una consultoría de redes MikroTik deja de ser un lujo y pasa a ser la diferencia entre apagar incendios cada semana y operar una infraestructura estable, documentada y preparada para crecer. En este artículo revisamos qué debería entregarte una consultoría seria sobre RouterOS y cómo se traduce eso en configuración real.
Qué resuelve una consultoría de redes MikroTik (y qué no)
RouterOS es un sistema operativo denso: enrutamiento dinámico, control de tráfico, gestión de abonados, seguridad y automatización conviven en la misma caja. Esa potencia es justamente el problema cuando la red se arma sin criterio. Una consultoría de redes MikroTik no vende horas para "revisar el router"; entrega decisiones de arquitectura que después puedes operar sin depender de quien las tomó.
En concreto, un trabajo de consultoría bien hecho ataca frentes muy distintos según la madurez de tu red:
- Diseño de core y distribución: separar funciones (borde, core, acceso) en lugar de un router que hace todo, con enrutamiento BGP/OSPF donde corresponda y no rutas estáticas apiladas.
- Alta disponibilidad: multi-WAN con failover real, redundancia de equipos y tablas de enrutamiento múltiples para que una caída de uplink no tumbe el servicio.
- Gestión de abonados y AAA: PPPoE, RADIUS y perfiles centralizados en vez de credenciales sueltas por equipo.
- Seguridad: firewall RouterOS con lógica de cadenas correcta, control de acceso por puerto con 802.1X y VPN site-to-site con IPsec o WireGuard.
- Observabilidad: SNMP, Traffic Flow y dashboards para dejar de operar a ciegas.
Lo que una consultoría honesta no te va a prometer es "cero caídas" ni "seguridad total". Te va a dar una red que se degrada de forma controlada y que puedes diagnosticar en minutos, no en horas. Si buscas el detalle del alcance, lo desglosamos en nuestra página de consultoría.
AAA y gestión de abonados: el corazón de una red ISP
RouterOS provee una funcionalidad de AAA (autenticación, autorización y accounting) escalable, y es el punto donde más se nota una buena consultoría de redes MikroTik. La autenticación local se compone a partir de la Base de Datos de Usuarios y la Base de Datos de Perfiles: el registro del usuario tiene la prioridad más alta y el perfil default la más baja. Para una red de un solo router puede bastar; para un ISP con cientos de abonados, no escala.
La respuesta es RADIUS. El cliente RADIUS de RouterOS puede autenticar sesiones PPP, PPPoE, PPTP, L2TP y OpenVPN contra un servidor central, lo que te permite gestionar acceso y accounting de toda la red desde un solo lugar. Un detalle clave que se documenta poco: los atributos que devuelve el servidor RADIUS sobrescriben los del perfil default, pero si algún parámetro no llega, se toma del perfil local. Diseñar bien esa jerarquía es lo que evita sorpresas cuando un abonado hereda una velocidad o una IP que no le corresponde.
# Cliente RADIUS para autenticar sesiones PPPoE (RouterOS 7)
/radius
add service=ppp address=10.0.0.10 secret=CLAVE_COMPARTIDA \
timeout=300ms
# Habilitar el uso de RADIUS en el AAA de PPP
/ppp aaa
set use-radius=yes accounting=yes interim-update=5m
# Perfil PPPoE base (lo que no venga de RADIUS se toma de aquí)
/ppp profile
add name=abonados local-address=10.20.0.1 \
remote-address=pool-abonados dns-server=1.1.1.1
Detalles como el interim-update para el accounting o el manejo correcto de local-address/remote-address —donde una IP específica tiene precedencia por sobre un pool— son exactamente el tipo de decisión que separa una red que factura bien de una que pierde sesiones. Si quieres profundizar en el diseño de gestión de abonados, revisa nuestro trabajo en PPPoE y BNG.
Seguridad de acceso: 802.1X y control por puerto
Muchas empresas invierten en firewall perimetral y dejan la LAN abierta: cualquiera que llegue a un puerto de switch entra a la red. RouterOS implementa el estándar IEEE 802.1X (Dot1X) para control de acceso basado en puerto usando EAP sobre LAN (EAPOL). Un puerto con servidor dot1x habilitado bloquea todo el tráfico excepto los paquetes EAPOL de autenticación; recién cuando el cliente se autentica correctamente, el puerto acepta el tráfico recibido.
RouterOS soporta tanto el rol de autenticador como de suplicante, y con el paquete User Manager puede actuar incluso como servidor de autenticación. Los métodos EAP soportados en el suplicante son EAP-TLS, EAP-TTLS, EAP-MSCHAPv2 y PEAPv0/EAP-MSCHAPv2. Hay comportamientos finos que solo una consultoría con experiencia en producción anticipa:
- Si creas el servidor dot1x sobre un puerto de bridge, el bridge debe correr (R/M)STP o los paquetes EAP del cliente no se aceptan correctamente.
- Puedes asignar una
guest-vlan-idpara dispositivos que no soportan 802.1X, y unareject-vlan-idcuando el RADIUS responde con Access-Reject (ambas convlan-filteringhabilitado en el bridge). - Ojo: si el RADIUS no responde en absoluto, la autenticación simplemente expira y el servicio queda indisponible; la reject-vlan solo aplica ante un rechazo explícito.
Este tipo de matices —cuándo cae a guest VLAN, cuándo a reject, qué pasa si el RADIUS está caído— es lo que define si tu control de acceso protege de verdad o solo te da una falsa sensación de seguridad.
Multi-WAN, tablas de enrutamiento y por qué pasan las cosas "raras"
Uno de los errores más caros que corregimos en consultoría es asumir que RouterOS enruta "de forma obvia". No lo hace: el orden de decisión importa. En un escenario multi-uplink —por ejemplo balanceo con PCC (Per Connection Classifier)— el enrutamiento por default suele fallar porque el router prioriza las reglas de mangle por sobre la verificación de destino local. La documentación oficial es explícita: en un Hotspot multi-WAN hay que asegurar que el tráfico destinado al servidor se enrute por la tabla local antes de evaluar la cadena mangle, ajustando /routing/settings o agregando entradas en /routing/rule.
# Forzar que el tráfico del servidor Hotspot use la tabla main primero
/routing/rule
add dst-address=10.5.50.1/32 action=lookup-only-in-table table=main
# Verificar reglas y tablas activas
/routing/rule/print
/routing/table/print
La lección de fondo: en RouterOS, síntomas como "el balanceo se cae solo" o "el portal cautivo no responde por una WAN" casi nunca son bugs. Son el resultado predecible de un orden de procesamiento (routing rules, mangle, connection tracking) que hay que entender antes de configurar. Diagnosticar eso en producción, sin tirar abajo el servicio, es parte de lo que ofrecemos en soporte y operación continua.
Cómo estructuramos un proyecto de consultoría
Una consultoría de redes MikroTik no debería ser una caja negra. Trabajamos por fases con entregables verificables en cada una, para que tu equipo pueda operar la red después sin quedar atado a nosotros:
| Fase | Qué hacemos | Entregable |
|---|---|---|
| Diagnóstico | Auditoría de topología, configs, firewall, enrutamiento y puntos de falla | Informe técnico con hallazgos priorizados |
| Diseño | Arquitectura de core/distribución/acceso, direccionamiento, HA y AAA | Documento de diseño y diagrama de red |
| Implementación | Configuración RouterOS, migración por ventanas y pruebas de failover | Red en producción + respaldos versionados |
| Operación | Monitoreo con SNMP/Traffic Flow, dashboards y ajuste fino | Visibilidad continua y reportes |
| Transferencia | Documentación y capacitación al equipo interno | Runbooks + equipo autónomo |
Esa última fase es la que más valoran los responsables de TI: la red queda documentada y tu equipo entiende por qué está configurada así. Cuando el objetivo es formar capacidad interna de fondo —del MTCNA a los tracks de especialización— lo canalizamos a través de nuestros cursos oficiales MikroTik, dictados por un Entrenador y Consultor Oficial.
Conversemos sobre tu red
Una consultoría de redes MikroTik bien ejecutada se paga sola: menos caídas en hora peak, diagnósticos en minutos y una red que crece sin volver a colapsar. Pero cada red tiene su propia historia de parches, y el diseño correcto depende de tu core, tus abonados y tus puntos de falla reales. En MikroTik Chile diseñamos, implementamos y operamos redes de misión crítica sobre RouterOS, con equipo certificado y casos reales en producción. Si estás lidiando con congestión, falta de redundancia o una topología que ya nadie controla, cuéntanos tu caso y conversemos con un ingeniero. Sin promesas mágicas: una conversación técnica, de ingeniero a ingeniero, sobre cómo dejar tu red estable y lista para crecer.