Saltearse al contenido
MKController Blog
InstagramYouTubeFacebook

Remote Access

Monitoreo SNMP para MikroTik

Habilita SNMP en MikroTik, prueba con snmpwalk, integra con Zabbix o LibreNMS y endurece el acceso — monitoreo práctico a escala.

MKController6 min read

Resumen SNMP es la baseline de facto para monitorizar routers MikroTik — uptime, contadores de interfaz, CPU, memoria, temperatura y estado de enlace, sondeados por un NMS como Zabbix, LibreNMS o PRTG. Esta guía cubre la configuración de SNMPv2c y SNMPv3 en RouterOS, las pruebas con snmpwalk, los patrones de integración con NMS y el checklist de endurecimiento que mantiene SNMP útil a escala sin convertirse en un pasivo de seguridad.

¿Cómo monitoriza SNMP los routers MikroTik?

SNMP (Simple Network Management Protocol) es el mecanismo estándar para monitorizar equipos de red. Un NMS interroga al dispositivo en el puerto UDP 161 buscando OIDs definidos en MIBs (Management Information Bases), y el dispositivo devuelve valores estandarizados de uptime, contadores de interfaz, carga de CPU, uso de memoria, temperaturas y estado de hardware. En MikroTik, habilitar SNMP requiere dos comandos y produce telemetría útil de inmediato — sysUpTimeInstance, ifInOctets, ifOutOctets y el resto de la tabla SNMP estándar quedan disponibles para cualquier NMS que pregunte.

SNMP es el lado de lectura de la telemetría de red; para gestión de configuración usa TR-069, TR-369 (USP) o APIs específicas del fabricante. Esa separación limpia entre observación y control es lo que hace seguro exponer SNMP a un NMS — solo lectura por diseño, estandarizado entre fabricantes y estable a lo largo de décadas de operación de redes. Para protocolos de gestión complementarios, consulta nuestra guía de TR-369 USP y la guía de monitoreo SNMP de Intelbras.

Elige la versión correcta de SNMP

VersiónAñoSeguridad
SNMPv11988Ninguna — solo compatibilidad legada
SNMPv2c1993Community string — débil
SNMPv32002Autenticación + cifrado (recomendado)

Prefiere siempre SNMPv3 cuando el NMS lo soporte. Si debes usar v1 o v2c (NMS legado, restricciones embebidas), restringe el acceso de forma estricta por IP de origen y trata la community string como un secreto público en lugar de una credencial real.

Habilita SNMP en MikroTik

Lo mínimo para tener SNMPv2c funcionando desde el terminal:

/snmp set enabled=yes
/snmp community add name=monitor-public addresses=192.0.2.10/32 security=none
/snmp print

Sustituye 192.0.2.10/32 por la IP de origen real de tu NMS. Nunca dejes 0.0.0.0/0 ni la community por defecto public en producción — SNMPv2c expuesto es una fuente recurrente de exfiltración no autorizada de datos en auditorías reales.

Ejemplo de SNMPv3 (recomendado)

Crea un usuario con autenticación y privacidad (cifrado):

/snmp user add name=snmpv3user security=authPriv \
    auth-protocol=SHA1 auth-passphrase="AuthPass" \
    priv-protocol=AES priv-passphrase="PrivPass"

Verifica:

/snmp print
/snmp user print

Prueba la recolección con snmpwalk

Desde un host Linux que alcance el router en UDP 161, valida que SNMP responde. SNMPv2c primero:

snmpwalk -v2c -c monitor-public 192.168.88.1

SNMPv3:

snmpwalk -v3 -u snmpv3user -a SHA -A AuthPass -x AES -X PrivPass 192.168.88.1

Salida esperada: una avalancha de OIDs incluyendo sysUpTimeInstance, contadores de interfaz como ifInOctets e ifOutOctets y el descriptor de sistema. Los timeouts casi siempre apuntan a una de tres cosas: las credenciales (community o v3) no coinciden, un firewall bloquea UDP 161, o la IP de origen no está en la lista de direcciones permitidas del MikroTik.

Integra con un NMS

Elige un NMS adecuado a tu escala y flujo operativo.

  • Zabbix — el más robusto para despliegues grandes y muy personalizables con árboles de alertas complejos.
  • LibreNMS — descubrimiento SNMP más sencillo y buenas plantillas listas para MikroTik.
  • PRTG Network Monitor — comercial, amigable, licenciamiento por sensor.

El onboarding básico es el mismo en todas las plataformas:

  1. Añade el host con la IP de gestión del router.
  2. Aplica una plantilla SNMP (o define ítems para los OIDs que te interesen).
  3. Configura intervalos de polling (60 s para tráfico, 5 min para métricas más lentas).
  4. Crea triggers y alertas para condiciones como enlace caído, alta tasa de errores o CPU por encima del umbral.

Empieza con un conjunto pequeño de métricas esenciales — uptime, throughput de interfaz, errores, CPU — antes de añadir más. La inflación de la base de datos por polling indiscriminado es un coste operativo real.

Monitoriza equipos detrás del MikroTik

El MikroTik puede actuar como colector SNMP local para equipos aguas abajo:

/tool snmp-walk address=192.168.88.10 community=public

Úsalo para descubrir cámaras, switches, SAIs o equipos PoE en la LAN y reenviar métricas al NMS central a través del router. Es especialmente útil cuando los equipos aguas abajo están detrás de una capa de firewall que el NMS no puede alcanzar directamente.

Escala: proxies, descubrimiento, automatización

A escala de flota, el onboarding manual deja de ser viable. Usa Zabbix Proxy (o equivalente) para recolectar métricas desde regiones remotas, reduciendo latencia y centralizando la agregación. Habilita el descubrimiento SNMP para que los nuevos equipos se autoincorporen al NMS en lugar de exigir alta manual. Automatiza el aprovisionamiento con scripts o gestión de configuración — cuando un MikroTik nuevo se conecte, debe estar sondeado en minutos, no en días.

Buenas prácticas de seguridad

  • Usa SNMPv3 siempre que el NMS lo soporte.
  • Limita el acceso por IP de origen — solo el NMS y los proxies deberían consultar a los dispositivos.
  • Nunca uses community strings por defecto (public, private).
  • Recolecta solo las métricas que realmente necesitas. Menos datos sondeados significa menos carga y menos exposición.
  • Audita los logs de uso de SNMP y rota las credenciales v3 al mismo ritmo que el resto de credenciales.

Exponer SNMP (especialmente v1/v2c) a internet pública sin restricciones de origen es un riesgo de seguridad importante. Para un contexto más amplio de seguridad del plano de gestión, consulta nuestro artículo buenas prácticas de seguridad en Winbox.

Caso de uso a escala de ISP

Con 500 routers MikroTik desplegados en sitios de clientes, SNMP te da histórico de uptime y CPU por equipo, detección de tragabanda por cliente vía contadores de interfaz, detección de interfaces que fallan a través de errores y descartes crecientes, y alertas automáticas a Slack, Telegram o correo cuando los equipos caen. Las alertas automáticas en los umbrales correctos ahorran horas de operación reactiva y evitan el tipo de escalado que ocurre cuando los problemas solo se descubren por queja del cliente.

SNMP frente a la telemetría moderna

SNMP es estable, maduro y compatible en todas partes. Métodos más nuevos — telemetría streaming gRPC, NetFlow/IPFIX, OpenConfig — añaden datos más ricos con menor sobrecarga de polling, pero SNMP sigue siendo la base de interoperabilidad que todo NMS y todo fabricante habla. La respuesta correcta para la mayoría de operaciones es combinar SNMP para un polling estable e independiente de fabricante con telemetría más nueva donde necesites analítica de alta resolución o detección de eventos sub-segundo.

Da el siguiente paso

SNMP mantiene las redes observables y a los operadores cuerdos. Habilítalo con cuidado, prefiere SNMPv3, prueba con snmpwalk y enchúfalo a un NMS ajustado a tu escala. Empieza pequeño, itera y automatiza el flujo de onboarding.

Si prefieres saltarte por completo el despliegue del NMS, MKController combina monitoreo basado en SNMP con acceso remoto seguro mediante los túneles salientes de NATCloud — visibilidad centralizada, onboarding más simple y sesiones remotas a flotas MikroTik sin necesidad de IPs públicas o puertos abiertos. Para patrones complementarios de gestión remota, consulta nuestra guía de gestión basada en VPS y la guía de gestión remota con WireGuard.

Comienza tu prueba gratis de MKController