Volver al blog
RUENZHESARPTDEFRJAKOITTRIDVIFAHI

Configuración de proxy en el router MikroTik: protección de la red corporativa y filtrado de tráfico paso a paso

Guía detallada para configurar un servidor proxy en MikroTik para proteger la red corporativa, filtrar el tráfico y controlar el acceso de los empleados.

📅26 de marzo de 2026
```html

Si en su empresa hay al menos un router MikroTik, ya tiene una herramienta integrada para controlar el tráfico, bloquear sitios no deseados y proteger la red corporativa. La mayoría de los administradores de sistemas no utilizan ni la mitad de sus capacidades. En esta guía, veremos cómo configurar un proxy directamente en MikroTik, sin servidores adicionales ni gastos innecesarios.

Qué es Web Proxy en MikroTik y por qué es necesario para los negocios

MikroTik RouterOS es un sistema operativo completo para equipos de red que incluye un servidor proxy HTTP/HTTPS integrado. Se llama Web Proxy y está disponible desde las licencias básicas. En esencia, es un nodo intermedio entre los usuarios de su red y el internet: todo el tráfico pasa a través de él, y usted obtiene un control total sobre lo que sucede en la red.

¿En qué se diferencia de un firewall normal? Un firewall opera a nivel de direcciones IP y puertos; no "entiende" el contenido de las solicitudes. Un proxy opera a nivel de aplicaciones: ve URLs específicas, dominios, tipos de contenido. Esto proporciona un nivel de control fundamentalmente diferente.

El Web Proxy integrado en MikroTik puede:

  • Almacenar en caché contenido web — reduce la carga en el ancho de banda de internet hasta un 30–40% en oficinas con navegación activa
  • Bloquear el acceso a sitios específicos, dominios, patrones de URL
  • Restringir el acceso por direcciones IP de usuarios o subredes
  • Registrar todas las solicitudes HTTP — quién, a dónde y cuándo accedió
  • Operar en modo transparente — los usuarios no notan su presencia
  • Redirigir el tráfico a un servidor proxy externo (parent proxy)

Es importante entender la limitación: el Web Proxy integrado en MikroTik solo funciona con tráfico HTTP en modo nativo. El tráfico HTTPS solo puede ser interceptado en modo transparente con ciertas limitaciones, o a través de la configuración de un proxy padre. Para una inspección completa de HTTPS se necesitan soluciones adicionales; sobre esto hablaremos en la sección sobre proxies externos.

💡 Útil saber

El Web Proxy en MikroTik funciona en RouterOS versión 2.9 y superior. Puede verificar la versión del firmware en el menú Sistema → RouterBoard o con el comando :put [/system routerboard get current-firmware] en la terminal.

Casos de uso: quién y por qué necesita esta configuración

Antes de entrar en detalles técnicos, analicemos tareas empresariales específicas que resuelve el proxy en MikroTik. Esto ayudará a entender qué configuraciones necesita.

Oficina con empleados contratados

El escenario más común. Tareas: bloquear redes sociales durante el horario laboral, prohibir la descarga de torrents, limitar el acceso a servicios de streaming que "consumen" el ancho de banda. Un proxy transparente en MikroTik resuelve todo esto sin instalar agentes en las computadoras de los empleados. Los empleados ni siquiera saben que su tráfico está siendo filtrado; todo funciona automáticamente.

Cafés de internet, coworkings, hoteles

Aquí el proxy es necesario para dos cosas: caché (el contenido popular se carga más rápido y no consume tráfico de nuevo) y filtrado básico de contenido ilegal. La caché es especialmente relevante en canales de internet limitados o costosos.

Agencias de marketing y equipos digitales

Un escenario específico: equipos que trabajan con múltiples cuentas publicitarias en Facebook Ads, TikTok Ads, Instagram, a menudo utilizan MikroTik corporativo como puerta de enlace para enrutar tráfico a través de proxies externos. Diferentes empleados o estaciones de trabajo acceden a internet a través de diferentes direcciones IP; esto es crítico para trabajar con múltiples cuentas en una misma plataforma.

Proveedores y ISP

Los pequeños proveedores utilizan el proxy de caché de MikroTik para reducir la carga en el canal troncal. Con un gran número de suscriptores que ven las mismas noticias o YouTube, la caché proporciona un ahorro significativo de tráfico.

Escenario Tarea principal Funciones necesarias
Oficina Control de acceso Filtrado de URL, registros
Café / coworking Ahorro de tráfico Caché, filtrado básico
Agencia digital Diferentes IP para cuentas Proxy padre, enrutamiento
Proveedor Reducción de carga en el canal Caché, estadísticas

Qué se necesita antes de comenzar la configuración

Antes de comenzar la configuración, asegúrese de tener todo lo necesario. Omitir este paso es la causa del 80% de los problemas durante la configuración.

Acceso al router: Necesitará acceso a la interfaz web de MikroTik (Winbox o WebFig) con derechos de administrador. Winbox es la opción preferida, ya que proporciona acceso completo a todas las configuraciones. Puede descargarlo gratuitamente desde el sitio web oficial de MikroTik.

Versión de RouterOS: Para un funcionamiento estable del Web Proxy se recomienda RouterOS 6.x o 7.x. Verifique la versión a través de Sistema → Paquetes. Si la versión está desactualizada, actualícela a través de Sistema → Paquetes → Buscar actualizaciones.

Espacio libre en disco: La caché del proxy se almacena en el disco del router. Se necesita un mínimo de 50–100 MB de espacio libre para la caché. Verifique a través de Archivos en Winbox. En routers con poca memoria flash (8 MB o menos), es mejor desactivar la caché.

Esquema de red: Anote o dibuje qué subredes tiene, qué interfaz está conectada a internet (WAN) y cuál a la red interna (LAN). Sin esta comprensión, no podrá configurar las reglas NAT para el proxy transparente.

⚠️ Importante: ¡haga una copia de seguridad de la configuración!

Antes de realizar cualquier cambio, cree una copia de seguridad: Archivos → Copia de seguridad o a través de la terminal con el comando /system backup save name=backup-before-proxy. Esto le salvará de perder el acceso al router en caso de un error en las reglas del firewall.

Paso 1: Activar Web Proxy en MikroTik

Activar el Web Proxy es el paso más sencillo. Todo se hace a través de la interfaz gráfica de Winbox en unos minutos.

A través de Winbox (recomendado):

  1. Abra Winbox y conéctese al router
  2. En el menú de la izquierda, seleccione IP → Web Proxy
  3. En la ventana que se abre, marque la casilla Enabled
  4. Establezca el puerto — por defecto 8080, puede dejarlo o cambiarlo
  5. En el campo Max Cache Size, indique el tamaño de la caché (por ejemplo, 100 MB) o seleccione unlimited si el espacio lo permite
  6. Haga clic en Apply, luego en OK

A través de la terminal (para quienes prefieren la línea de comandos):

/ip proxy
set enabled=yes port=8080 max-cache-size=100000KiB

Después de activar, verifique que el proxy se haya iniciado. En la terminal, ejecute: 

/ip proxy print

En la salida debería aparecer enabled: yes. Si ve enabled: no, significa que algo salió mal, repita los pasos.

En este punto, el proxy está activado, pero aún no intercepta el tráfico automáticamente. Los usuarios deben configurarlo manualmente en la configuración del navegador (IP del router, puerto 8080). Para hacerlo automáticamente para toda la red, se necesita el modo transparente, del cual hablaremos en el siguiente paso.

También preste atención al parámetro Cache Path — indica dónde se guarda la caché. Por defecto, es la memoria integrada del router. Si tiene una unidad USB o una tarjeta de memoria, es mejor mover la caché allí; esto aumentará el volumen y reducirá el desgaste de la memoria integrada.

Paso 2: Configuración de proxy transparente a través de Firewall NAT

Un proxy transparente es un modo en el que todo el tráfico HTTP de la red local se redirige automáticamente a través del servidor proxy. Los usuarios no necesitan configurar nada en sus navegadores. Desde la perspectiva del empleado, todo funciona como de costumbre, pero en realidad cada solicitud pasa a través del proxy.

Esto se implementa a través de una regla NAT en el firewall de MikroTik. La regla intercepta todo el tráfico TCP saliente en el puerto 80 (HTTP) y lo redirige al puerto del proxy (8080).

A través de Winbox:

  1. Vaya a IP → Firewall → NAT
  2. Haga clic en el botón + (agregar regla)
  3. En la pestaña General, establezca:
    • Chain: dstnat
    • Protocol: tcp
    • Dst. Port: 80
    • In. Interface: su interfaz LAN (por ejemplo, ether2 o bridge-local)
  4. En la pestaña Action, establezca:
    • Action: redirect
    • To Ports: 8080
  5. Haga clic en OK

A través de la terminal:

/ip firewall nat
add chain=dstnat protocol=tcp dst-port=80 in-interface=ether2 \
    action=redirect to-ports=8080

Reemplace ether2 por el nombre de su interfaz LAN. Si tiene varias interfaces LAN unidas en un bridge, indique el nombre de la interfaz bridge.

📌 ¡El orden de las reglas es importante!

MikroTik aplica las reglas NAT en orden de arriba hacia abajo. Asegúrese de que la regla para el proxy transparente esté antes de la regla de masquerade (si existe). Puede cambiar el orden arrastrando en Winbox o con el comando /ip firewall nat move [find] destination=0.

Después de agregar la regla, verifique su funcionamiento: abra cualquier sitio HTTP desde una computadora en la red local. Si el proxy funciona correctamente, la página se abrirá y aparecerá un registro en los logs del proxy (IP → Web Proxy → Access). Si la página no se abre, verifique el nombre de la interfaz y el puerto del proxy.

Paso 3: Reglas de filtrado — bloqueando sitios y categorías

Esta es la sección clave para aquellos que desean controlar el acceso de los empleados a internet. El Web Proxy en MikroTik permite crear reglas flexibles: bloquear dominios específicos, patrones de URL, o por el contrario, permitir solo ciertos recursos.

Las reglas de acceso se configuran en IP → Web Proxy → Access. Cada regla tiene condiciones (qué verificar) y acción (qué hacer: allow o deny).

Bloqueo de un dominio específico (por ejemplo, vk.com):

/ip proxy access
add dst-host=vk.com action=deny comment="Bloquear VK"
add dst-host=*.vk.com action=deny comment="Bloquear subdominios de VK"

Bloqueo por máscara de URL (por ejemplo, todas las páginas de YouTube):

/ip proxy access
add dst-host=*.youtube.com action=deny comment="Bloquear YouTube"
add dst-host=youtube.com action=deny comment="Bloquear YouTube principal"

Permitir acceso solo a una subred específica (por ejemplo, solo el departamento de TI puede acceder a GitHub):

/ip proxy access
add src-address=192.168.1.10/32 dst-host=github.com action=allow
add dst-host=github.com action=deny

Bloqueo por extensión de archivos (prohibir la descarga de .exe, .torrent):

/ip proxy access
add path=*.exe action=deny comment="Bloquear descargas de EXE"
add path=*.torrent action=deny comment="Bloquear archivos Torrent"
add path=*.zip action=deny comment="Bloquear descargas de ZIP"

Preste atención al orden de las reglas: MikroTik las verifica de arriba hacia abajo y se detiene en la primera coincidencia. Las reglas allow para IP específicas deben estar por encima de las reglas deny para los mismos dominios.

A través de Winbox, las reglas se agregan en IP → Web Proxy → pestaña Access → botón +. La interfaz es intuitiva: elige la condición (Dirección de origen, Host de destino, Ruta, Método) y la acción (Allow/Deny).

⚠️ Limitación: HTTPS no se filtra directamente

Las reglas del Web Proxy solo funcionan con tráfico HTTP. Para bloquear sitios HTTPS (que ahora son la mayoría), utilice adicionalmente reglas en IP → Firewall → Protocolo de Capa 7 o bloquee por direcciones IP a través del firewall normal. La filtración completa de HTTPS requiere una solución separada, como un proxy externo con inspección SSL.

Paso 4: Caché de tráfico para ahorrar ancho de banda

La caché es una de las principales razones por las que se activa el proxy en MikroTik en pequeñas oficinas y centros educativos. El principio es simple: si 20 empleados abren la misma página de noticias, sin caché, el router la descarga 20 veces. Con caché, solo una vez, y los otros 19 obtienen los datos de la memoria local del router instantáneamente.

Las configuraciones de caché se encuentran en IP → Web Proxy. Los parámetros principales son:

Parámetro Descripción Recomendación
max-cache-size Tamaño máximo de la caché 50–500 MB dependiendo de la memoria
max-cache-object-size Tamaño máximo de un objeto en caché 2048–4096 KB
cache-path Ruta para almacenar la caché Unidad USB si está disponible
max-fresh-time Tiempo de almacenamiento de un objeto en caché 3 días (259200 seg)

Configuración a través de la terminal:

/ip proxy
set max-cache-size=102400KiB \
    max-cache-object-size=4096KiB \
    max-fresh-time=3d

Para verificar la efectividad de la caché, utilice el comando: 

/ip proxy monitor

Preste atención a los indicadores hits y misses. Un buen indicador es cuando los hits representan el 20–40% del total de solicitudes. Si los hits están cerca de cero, puede ser que la mayoría del tráfico sea HTTPS (que no se almacena en caché), o que la caché sea demasiado pequeña.

Un matiz importante: los sitios modernos utilizan cada vez más encabezados Cache-Control: no-store o no-cache, que prohíben el almacenamiento en caché. Por lo tanto, en la práctica, la efectividad de la caché en 2024 es menor que hace 5–10 años. Sin embargo, para recursos estáticos (imágenes, archivos CSS, JS) la caché sigue funcionando bien.

Paso 5: Conexión a un servidor proxy externo a través de MikroTik

Este es el escenario más interesante para aquellos que no solo quieren filtrar tráfico, sino controlar completamente la dirección IP desde la cual la red corporativa o dispositivos individuales acceden a internet. MikroTik soporta la función de Proxy Padre — cuando todas las solicitudes del proxy local se envían a un servidor proxy externo superior.

¿Por qué es necesario en la práctica?

  • Cambio de IP para toda la red — todo el tráfico de la oficina sale a través de la IP del proxy externo, no a través de su IP real del proveedor
  • Eludir restricciones regionales — acceso a recursos bloqueados en su región
  • Diferentes IP para diferentes dispositivos — a través de enrutamiento, diferentes estaciones de trabajo utilizan diferentes proxies externos
  • Protección de la IP real de la empresa — los servicios externos ven la IP del proxy, no su dirección corporativa

Configuración del Proxy Padre a través de Winbox:

  1. Vaya a IP → Web Proxy
  2. Encuentre la sección Parent Proxy
  3. Ingrese Parent Proxy Address — la dirección IP del servidor proxy externo
  4. Indique Parent Proxy Port — el puerto del proxy (generalmente 8080, 3128 u otro)
  5. Haga clic en Apply

A través de la terminal:

/ip proxy
set parent-proxy=203.0.113.10 parent-proxy-port=8080

Reemplace 203.0.113.10 y 8080 con los datos reales de su servidor proxy.

Para tareas corporativas donde la estabilidad y el anonimato son importantes, se utilizan proxies residenciales como proxy padre — tienen direcciones IP de usuarios domésticos reales, lo que hace que el tráfico sea indistinguible del tráfico de un usuario normal. Esto es especialmente importante al trabajar con plataformas que analizan el comportamiento y el tipo de conexión.

Si su equipo necesita simular tráfico móvil — por ejemplo, para probar campañas publicitarias en Facebook Ads o Instagram desde dispositivos móviles — se pueden utilizar proxies móviles como proxy padre. Funcionan a través de SIM reales de operadores de telecomunicaciones y proporcionan IP de redes móviles 3G/4G/5G.

📌 Importante: El Proxy Padre solo funciona para HTTP

El Web Proxy integrado de MikroTik solo envía tráfico HTTP a través del proxy padre. Para enrutar todo el tráfico (incluyendo HTTPS) a través de un proxy externo, se necesita un enfoque diferente: configuración de Policy Based Routing o un proxy SOCKS en combinación con reglas iptables en un servidor Linux separado en la red.

Monitoreo y registro de solicitudes

Uno de los principales argumentos a favor del proxy en un entorno corporativo es la posibilidad de ver lo que hacen los usuarios en internet. El Web Proxy de MikroTik puede registrar todas las solicitudes HTTP: quién (dirección IP), a dónde (URL), cuándo, qué método de solicitud y el estado de la respuesta.

Activar el registro:

/ip proxy
set log-connect=yes

Después de activarlo, los registros aparecerán en Log (menú en Winbox). Para una visualización conveniente, filtre por el tema web-proxy.

Para el almacenamiento a largo plazo de los registros y un análisis conveniente, configure el envío a un servidor Syslog externo: 

/system logging action
add name=remote-syslog target=remote remote=192.168.1.100 remote-port=514

/system logging
add action=remote-syslog topics=web-proxy

Reemplace 192.168.1.100 con la IP de su servidor syslog. Puede utilizar Graylog, Splunk o un simple rsyslog en Linux como servidor syslog.

También es útil el comando para ver estadísticas del proxy en tiempo real: 

/ip proxy monitor

Aquí verá: el número de conexiones activas, el total de solicitudes, los hits en caché, y el volumen de datos transferidos. Estos datos ayudan a evaluar la carga en el router y la efectividad de la caché.

Nota importante sobre GDPR y legislación laboral: si está registrando el tráfico de los empleados, asegúrese de que esto esté previsto en el contrato laboral o en la política de seguridad corporativa. En varios países, monitorear la actividad en internet de los empleados sin su notificación es una violación de la legislación.

Errores comunes y cómo solucionarlos

Hemos recopilado los problemas más comunes que se encuentran al configurar el Web Proxy en MikroTik y las formas de resolverlos.

Error 1: Internet dejó de funcionar después de configurar el proxy transparente

Causa: La interfaz LAN está incorrectamente especificada en la regla NAT, o la regla está en una posición incorrecta.

Solución: Verifique el nombre de la interfaz con el comando /interface print. Asegúrese de que está especificando la interfaz a la que están conectados los usuarios. Si utilizó un bridge, indique el bridge y no el puerto físico.

Error 2: Los sitios HTTPS no se bloquean con las reglas del Web Proxy

Causa: El Web Proxy en MikroTik no intercepta tráfico HTTPS. Las reglas en IP → Web Proxy → Access solo funcionan para HTTP.

Solución: Para bloquear sitios HTTPS, utilice Protocolos de Capa 7 o Listas de Direcciones en el firewall. Por ejemplo, agregue las direcciones IP del sitio deseado a la lista y bloquéelo a través de IP → Firewall → Reglas de Filtrado.

Error 3: El proxy funciona, pero la caché no se llena

Causa: La mayoría de los sitios modernos utilizan HTTPS y encabezados que prohíben el almacenamiento en caché. La caché solo funciona para HTTP.

Solución: Este es un comportamiento normal para la web moderna. La caché se llenará con recursos estáticos (imágenes, archivos) de sitios HTTP. Si la caché es crítica, considere soluciones especializadas como Squid en un servidor separado con SSL-bump.

Error 4: El router se volvió lento después de activar el proxy

Causa: El procesador débil del router no puede manejar la carga del proxy con un gran número de usuarios.

Solución: Verifique la carga de la CPU con el comando /system resource print. Si la CPU está constantemente por encima del 80%, reduzca el tamaño de la caché o transfiera el proxy a un servidor separado (Squid en Ubuntu/Debian). En este caso, MikroTik se utiliza solo como puerta de enlace, redirigiendo el tráfico al proxy externo.

Error 5: El Proxy Padre no funciona — los sitios se abren a través de la IP real

Causa: El Proxy Padre en MikroTik solo se aplica al tráfico que realmente pasa a través del Web Proxy. Las solicitudes HTTPS y el tráfico no interceptado por la regla NAT van directamente.

Solución: Asegúrese de que la regla del proxy transparente (redirección al puerto 8080) esté activa y en la posición correcta. Para redirigir completamente todo el tráfico a través de un proxy externo, se requerirá una configuración más compleja utilizando Policy Based Routing.

Problema Diagnóstico rápido Solución
No hay internet /interface print Verificar el nombre de la interfaz LAN
HTTPS no se bloquea Verificar el protocolo del sitio Utilizar Capa 7 o bloqueo IP
El router se ralentiza /system resource print Reducir la caché o mover el proxy
El proxy padre no funciona Verificar la regla NAT de redirección Asegurarse de que el tráfico pase a través del proxy

Conclusión

Configurar el Web Proxy en MikroTik es una solución práctica para controlar el tráfico corporativo sin servidores y licencias adicionales. En unos pocos pasos, obtiene: filtrado de sitios no deseados, caché para ahorrar ancho de banda, registro de la actividad de los usuarios y la posibilidad de enrutar el tráfico a través de servidores proxy externos.

Lo principal que debe recordar: el proxy integrado de MikroTik maneja bien el tráfico HTTP, pero para una protección completa de la red corporativa moderna, donde el 95% del tráfico es HTTPS, sus capacidades son insuficientes. En tales casos, MikroTik se utiliza como puerta de enlace y enrutador, y las funciones de filtrado e inspección de tráfico se transfieren a soluciones especializadas.

Si su tarea es dirigir el tráfico de toda la red corporativa a través de un proxy externo confiable con una IP fija o un grupo de direcciones, considere proxies de centros de datos — ofrecen alta velocidad y conexión estable, lo que es crítico al usarlos como proxy padre para toda una oficina. Para tareas donde la máxima anonimidad es importante y el tráfico no debe diferenciarse...

```