Instalar MikroTik CHR en EVE-NG Community
En redes, casi todo lo que aprendemos de verdad viene de "romper cosas". El problema es que en producción no hay margen para experimentar, y en muchos entornos ni siquiera existe un laboratorio decente donde probar con calma. Ahí es donde empiezan los atajos, documentación leída a medias, configuraciones copiadas de otros proyectos, cambios aplicados “porque deberían funcionar”. Y cuando algo falla, el margen de reacción suele ser mínimo.
Durante años, montar un laboratorio de redes realista implicaba hardware, espacio, presupuesto y bastante paciencia. Hoy eso ha cambiado. Los emuladores de red han permitido trasladar escenarios complejos a entornos virtuales, pero no todos ofrecen el mismo nivel de realismo. Simular conceptos está bien para empezar, pero cuando trabajas con routing dinámico, NAT, fallos de enlace o integraciones entre fabricantes, necesitas algo más cercano a lo que luego vas a tocar en producción.
EVE-NG Community encaja muy bien en ese punto intermedio entre accesibilidad y realismo. No es una herramienta “de juguete”, pero tampoco te obliga a entrar en licencias enterprise para empezar a trabajar. Y cuando lo combinas con MikroTik CHR, el resultado es un entorno extremadamente legítimo, RouterOS se comporta exactamente igual que en un router real, con los mismos aciertos y las mismas trampas.
Esta guía parte de esa idea. No se trata solo de instalar una imagen y ver si arranca, sino de entender qué estás montando, por qué se hace de una forma concreta y qué problemas puedes encontrarte por el camino. El objetivo es que el laboratorio no sea un fin en sí mismo, sino una extensión natural de tu trabajo diario como profesional IT.
Requerimientos técnicos EVE-NG
Asegúrate de que tu instalación de EVE-NG cumple estos requisitos:
- Virtualización anidada habilitada (en VMware Workstation, parámetro Virtualize VT-x/EPT or AMD-V/RVI)
- KVM operativo:
- Utiliza el comando "kvm-ok"
- Si tu sistema no va a soportar la virtualización anidada, te lo mostrará de la siguiente forma:
- Utiliza el comando "kvm-ok"
- RAM y CPU suficientes:
- RAM: ≥ 8 GB
- CPUs: ≥ 4 vCPU
- VMware Workstation con Hyper-V desactivado en el host.
Esto es indispensable, sin KVM operativo, CHR no arrancará correctamente.
Preparar entorno EVE-NG para imagen Mikrotik
Lo primero que tenemos que hacer para poder simular routers Mikrotik en EVE-NG, es descargar la imagen IMG.
Descarga imagen IMG Mikrotik
Podéis descargarla desde el siguiente enlace:
- ENLACE MIKROTIK (RAW Disk, no la ARM64): https://mikrotik.com/download/chr
¿Por qué usaremos IMG en vez de ISO? La versión de Cloud Hosted Router (CHR) está pensada para entornos virtualizados y es justamente lo que necesitamos para EVE-NG. Es importante que elijas la opción “Raw disk image” y no otros formatos como VMDK o VDI, porque:
- El .img es lo que luego vas a convertir a qcow2 para usarlo en EVE-NG.
- Los otros formatos están pensados para otros hypervisores (VMware, VirtualBox, etc.), y tendrías que extraerlos primero.
Subir y convertir la imagen dentro de EVE-NG
Crea una carpeta donde EVE-NG buscará la imagen qemu:
mkdir -p /opt/unetlab/addons/qemu/mikrotik-7.20.6
cd /opt/unetlab/addons/qemu/mikrotik-7.20.6Este nombre de carpeta (mikrotik) será el que EVE-NG reconozca como tipo de nodo. Coloco la versión de la imagen que he descargado.
Copiamos la imagen a dicho directorio, vía comando o con alguna herramienta tipo Filezilla:
scp chr-7.XX.img root@IP-EVE-NG:/opt/unetlab/addons/qemu/mikrotik-7.20.6/
Ahora tenemos que convertir la imagen a formato qcow2, que es con el tipo de discos con los que trabaja EVE-NG.
qemu-img convert -f raw chr-7.XX.img -O qcow2 virtioa.qcow2Verifica que la conversión sea exitosa:
qemu-img info virtioa.qcow2Asegúrate de que el disco resultante se llame exactamente:
virtioa.qcow2
Si el nombre es distinto, EVE-NG no lo encontrará.
Ajustar permisos
Ejecuta este comando obligatorio:
/opt/unetlab/wrappers/unl_wrapper -a fixpermissionsSi te saltas esto:
- El nodo puede aparecer en la GUI
- Pero no arrancará o se quedará congelado
Crear el laboratorio en EVE-NG Community
Con todo preparado, vamos directamente a la gestión web de EVE-NG. Accedemos a URL. Generamos una carpeta para nuestro laboratorio:
Pulsamos sobre "Add new Lab -> Name: MikroTik-Lab -> Save". Podemos darle una descripción e incluso el autor:
Introducimos los datos:
Ahora añadimos un nodo desde "Add an object":
Haz clic en Node:
Si todo está bien configurado veremos que la Template de Mikrotik es seleccionable (en color azul y no gris):
- Template: MikroTik RouterOS
- Image: mikrotik-7.20.6
- Number of nodes to add: 2 en un principio, para el ejemplo
- RAM: 512 MB (mínimo)
- CPU: 1 vCPU (2 si tu host lo permite)
- Interfaces: 2–4 según topología
No hay límite de licencias en Community.
Pulsamos "Save" y los veremos creados:
Para validar si están correctas las imágenes, podéis arrancar los routers y ver si accedéis pulsando doble clic sobre ellos.
Se abre una pestaña nueva (usuario "admin" sin contraseña):
Configuración Infraestructura RouterOS bajo EVE-NG
Una vez arrancados los nodos tenemos que hacer una simulación de conexión entre equipos, Internet o lo que necesitemos.
En este ejemplo vamos a simular un HA (Alta Disponibilidad) entre nodos Mikrotik, con el siguiente esquema de conexión:
Esquema de Conexión (Topología EVE-NG)
- Internet (Cloud0): Red real 192.168.2.0/24.
- ISP_Router (Nodo adicional): Actúa como firewall.
- eth1: Conectado a Cloud0.
- IP: 192.168.2.x
- eth2: Conectado a un Switch_WAN.
- IP: 10.0.0.1
- eth1: Conectado a Cloud0.
- Mikrotik 1 & 2 (WAN):
- Sus eth1 van al Switch_WAN.
- Red de tránsito: 10.0.0.0/24.
- IP-Mikrotik1: 10.0.0.2
- IP-Mikrotik2: 10.0.0.3
- Mikrotik 1 & 2 (LAN):
- Sus eth2 van al Switch_LAN.
- Red de laboratorio: 172.16.1.0/24.
- IP-Mikrotik1: 172.16.1.2
- IP-Mikrotik2: 172.16.1.3
- IP-HA (común en ambos equipos): 172.16.1.1
- Cliente (VPCS/Ubuntu): Conectado al Switch_LAN.
- IP-Cliente: 172.16.1.10/24 y Gateway 172.16.1.1
Crear los objetos en el lienzo de EVE-NG
Para montar este escenario, necesitas añadir los siguientes elementos haciendo clic derecho en el área de trabajo:
- Internet (Cloud Real):
- Add an object -> Network -> Type: Management Cloud0.
- Función: Es el puente a la red real 192.168.2.0.
- ISP_Router (Aislamiento):
- Add an object -> Node -> Mikrotik RouterOS.
- Función: Proteger tu LAN de los experimentos del laboratorio. En el ejemplo, le cambio el icono a un Firewall, aunque sea el mismo objeto que los Mikrotik´s (se puede sustituir por un pfSense, por ejemplo).
- Redes de Interconexión (Bridges):
- Add an object -> Network -> Type: Bridge. Crea dos:
- Switch_WAN: Para unir el ISP con los Mikrotik.
- Switch_LAN: Para unir los Mikrotik con los clientes.
- Add an object -> Network -> Type: Bridge. Crea dos:
- Mikrotik 1 y Mikrotik 2 (Ya creados en punto anterior):
- Add an object -> Node -> Mikrotik RouterOS
- Cliente de prueba:
- Add an object -> Node -> Virtual PC (VPCS).
- No esperéis una máquina virtual completa, es un contenedor liviano con los comandos justos para las pruebas.
Una vez creados los objetos, los ordenas. Para unir los objetos, simplemente arrastrar el icono "enchufe" de cada figura:
Debería quedar el esquema de la siguiente forma:
Arrancamos todos los objetos, con el botón derecho, "Start":
Configuración del Aislamiento y Red de Tránsito
Una vez arracandos los nodos, iremos uno a uno realizando la configuración. Para acceder a sus consolas, pulsamos doble clic sobre ellos y se abrirá una ventana. Usuario "admin" por defecto en Mikrotik, sin contraseña y nos pedirá cambiar la contraseña al arrancar.
La primera configuración es preparar el terreno para que los routers no toquen tu red real.
- Aislamiento del ISP: En el ISP_Router, configura el NAT para que tus Mikrotik salgan por tu IP de casa sin que tu router doméstico sepa que existen (con esto el ISP_Router filtra el tráfico del resto de nodos, pero necesitaremos reglas adicionales de Mikrotik para bloquear todo el tráfico):
# En ISP_Router/ip address add address=10.0.0.1/24 interface=ether2 /ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade
Validar la configuración con "/ip address print":
Podéis probar si hay conexión con Internet y con la LAN a través de este router que actúa de ISP:
Cambiar también el nombre del nodo, de la siguiente forma "/system identity set name=ISP_Router":
Configuración de Alta Disponibilidad (VRRP)
Ahora configuramos los nodos Mikrotik 1 y Mikrotik 2 para que funcionen como un solo router lógico frente al cliente.
Configuración de IP en la WAN (Tránsito)
Ambos deben llegar al ISP_Router (10.0.0.1).
- Mikrotik 1: /ip address add address=10.0.0.2/24 interface=ether1
- Mikrotik 2: /ip address add address=10.0.0.3/24 interface=ether1
- Ruta por defecto (Ambos): /ip route add gateway=10.0.0.1
Implementación de VRRP en la LAN
Esta es la parte del HA. Crearemos una IP virtual (172.16.1.1) que será el Gateway del cliente.
En Mikrotik1 (Master):
/interface vrrp add interface=ether2 name=vrrp-ha priority=254 vrid=1
/ip address add address=172.16.1.2/24 interface=ether2
/ip address add address=172.16.1.1 interface=vrrp-ha
En Mikrotik2 (Backup):
/interface vrrp add interface=ether2 name=vrrp-ha priority=100 vrid=1
/ip address add address=172.16.1.3/24 interface=ether2
/ip address add address=172.16.1.1 interface=vrrp-ha
Comprobamos que el interfaz "vrrp-ha" responde:
Configuración de NAT para el cliente
Para que el cliente tenga Internet independientemente de qué router esté activo:
# Ejecutar en AMBOS (Mikrotik 1 y 2)
/ip firewall nat add chain=srcnat out-interface=ether1 action=masqueradeVerificación del Laboratorio
Haremos las pruebas desde el cliente que hemos generado.
- Configuramos el VPCS (Cliente) con la IP 172.16.1.10 y Gateway 172.16.1.1. Accedemos haciendo doble clic sobre el icono del PC:
Se abrirá una ventana y lanzamos estos comandos:
ip 172.16.1.10/24 172.16.1.1
- Haz ping a la puerta de enlace 172.16.1.1:
- Haz un ping infinito: ping 8.8.8.8.
- Prueba de fuego: Haz clic derecho sobre Mikrotik 1 en EVE-NG y selecciona Stop.
- Observa cómo el ping se recupera casi instantáneamente porque Mikrotik 2 ha tomado la IP 172.16.1.1.
Virtualización de Telecomunicaciones
Cuando terminas de montar un entorno MikroTik sobre EVE-NG Community y empiezas a usarlo con regularidad, cambia bastante tu forma de trabajar. Dejas de ver el laboratorio como algo puntual para “probar cosas” y empieza a convertirse en un espacio donde validar ideas, anticipar errores y ganar criterio técnico antes de tocar nada crítico.
EVE-NG Community demuestra que no hace falta una plataforma de pago para aprender o practicar a un nivel serio. Las limitaciones que tiene no afectan al núcleo de lo importante, emulación real, routing dinámico, interacción entre nodos y capacidad de romper y reconstruir escenarios tantas veces como haga falta. En ese sentido, es una base más que sólida para crecer.
MikroTik, por su parte, encaja especialmente bien en este tipo de laboratorios. RouterOS no te oculta la complejidad ni te simplifica decisiones importantes. Si algo no funciona, suele haber un motivo claro detrás, y eso te obliga a entender de verdad lo que estás configurando. Esa fricción inicial es precisamente lo que convierte el aprendizaje en experiencia útil.
Al final, el valor real de montar este tipo de entorno no está en seguir una guía paso a paso, sino en lo que haces después, modificar topologías, introducir fallos, comparar comportamientos y sacar conclusiones propias. Cuando llegas a producción habiendo pasado por ese proceso, la diferencia se nota. No porque todo vaya a salir perfecto, sino porque sabes exactamente dónde mirar cuando algo no lo hace.
Si el laboratorio te ayuda a cometer errores aquí y no fuera, ya ha cumplido su función. Y eso, en redes, es mucho decir.
Fin del Artículo. ¡Cuéntanos algo en los Comentarios!
