Importar rutas en MikroTik mediante script .rsc

MikroTik puede importar scripts .rsc que contienen comandos de enrutamiento. NetRoute Pro genera exactamente ese formato — solo tienes que descargar, subir e importar.

Requisitos previos

• Router MikroTik con RouterOS 6.x o 7.x
• Túnel VPN configurado (WireGuard, OpenVPN, IKEv2, etc.)
• Extensión NetRoute Pro instalada en Chrome
• Acceso al router vía WinBox, WebFig o SSH

Paso 1. Genera .rsc en NetRoute Pro

1. Abre el sitio objetivo en Chrome
2. Lanza la extensión NetRoute Pro
3. Selecciona la plataforma MikroTik
4. En el campo gateway, indica la IP de tu interfaz VPN (aquí sí se usa, a diferencia de Keenetic)
5. Elige máscara de agregación /24 (recomendado)
6. Haz clic en Analyze Website
7. Descarga el archivo .rsc generado

Paso 2. Sube el archivo a MikroTik

Tienes dos formas principales:

• WinBox / WebFig: abre la sección Files y arrastra el archivo .rsc directamente a la lista de archivos
• SCP desde tu máquina local:

  scp routes.rsc admin@192.168.88.1:/

Paso 3. Importa en terminal

Abre una terminal (WinBox → New Terminal, WebFig → Terminal, o vía SSH) y ejecuta:

/import file-name=routes.rsc

RouterOS procesa el archivo línea a línea y añade cada ruta al sistema.

Ejemplo del contenido de un .rsc generado:

/ip route add dst-address=104.21.32.0/24 gateway=10.0.0.1
/ip route add dst-address=172.67.182.0/24 gateway=10.0.0.1

Alternativa: Address Lists + reglas de enrutamiento

Si prefieres políticas de enrutamiento en vez de rutas estáticas directas, puedes adaptar el script para rellenar una address list y enrutar mediante reglas:

1. Edita el .rsc y cambia las líneas /ip route add por:

   /ip firewall address-list add list=vpn-routes address=104.21.32.0/24

2. Añade una regla que envíe el tráfico hacia una tabla de enrutamiento dedicada:

   /ip route rule add src-address-list=vpn-routes action=lookup table=vpn

3. Asegúrate de tener una ruta por defecto en la tabla vpn que apunte a tu interfaz VPN

Alternativa para WireGuard: AllowedIPs

Si tu VPN es WireGuard, puedes omitir las rutas estáticas y configurar las subredes directamente en el peer:

1. En NetRoute Pro selecciona la plataforma WireGuard
2. Copia el valor de AllowedIPs
3. En MikroTik aplica:

   /interface/wireguard/peers/set [find] allowed-address=104.21.32.0/24,172.67.182.0/24

Verificar

Comprueba que las rutas están activas:

/ip route print where dst-address~"104.21"

Desde un cliente en la LAN verifica que el tráfico va por la VPN:

tracert example.com     # Windows
traceroute example.com  # Linux/macOS

Los primeros saltos deben salir por la IP de tu gateway VPN.

Problemas comunes

Error de sintaxis al importar

Verifica que el .rsc se descargó completo y no contiene HTML al inicio (a veces ocurre si el navegador abre el archivo en lugar de descargarlo). Abre el archivo en un editor de texto plano y comprueba que empieza con /ip route add.

Rutas añadidas pero el tráfico no va por VPN

• Comprueba que la interfaz VPN está activa
• Revisa que NAT/masquerade está configurado en la interfaz VPN
• Confirma que el gateway del .rsc coincide con la IP real del extremo remoto del túnel

Las IPs del sitio cambian constantemente

CDNs rotan IPs con frecuencia. Regenera el .rsc con optimización RIPE BGP activada — usa prefijos anunciados en BGP que cubren todo el rango del proveedor.

Demasiadas rutas

MikroTik maneja miles de rutas estáticas sin problemas. Si llegas a decenas de miles, considera el enfoque WireGuard AllowedIPs o reduce la lista con agregación BGP.

Para usuarios avanzados: BGP

A gran escala, en lugar de importar listas estáticas, puedes configurar BGP peering con un servidor de rutas y recibir prefijos dinámicamente. Queda fuera del alcance de esta guía, pero es el siguiente paso natural cuando las listas estáticas dejan de escalar.

Documentación oficial

• RouterOS: IP Routing (en)
• RouterOS: Address Lists (en)
• RouterOS: Scripting / import (en)