Un poco de historia

Allá por Diciembre de 2021, y luego de varias postergaciones, MikroTik lanzó la primer versión estable de RouterOS v7. Esta actualización trajo mejoras significativas sobre la versión 6, que se vieron materializadas en mayor rendimiento de modelos existentes, nuevas funcionalidades, soporte de nuevos estándares, entre otras. A pesar de todo eso, y voy a ser muy sincero: durante 2022 intente llevar a producción la v7.1, v7.2 o v.7.6 y los resultados por una razón u otra (BGP, VPNs, estabilidad) no fueron los esperados y tuve que hacer el proceso de downgrade a v6.

Recién en febrero de 2023 lleve exitosamente la v7.8 a producción y desde ahí he realizado cientos de actualizaciones satisfactorias en routers y switches de ISPs y empresas de todo tipo.

Hoy, ya entrados en 2025, llega la versión 7.20, que tiene incontables mejoras si comparamos con v6, pero también muchísimas ventajas incluso comparando con versiones anteriores como la 7.15.3.

A continuación te cuento 7 razones (aunque hay muchas más!) para actualizar a RouterOS v7, destacando mejoras aplicables a prácticamente todos los modelos de routers, switches y access points de MikroTik.

Motor de ruteo más moderno y potente

En v7 se rescribió por completo el stack de routing, resolviendo limitaciones históricas de v6 (relacionadas con el kernel Linux antiguo) y mejora drásticamente la eficiencia al procesar tablas de rutas de gran tamaño.

• Reescritura de BGP, OSPF y RIP: Todos los principales protocolos de ruteo dinámico han sido reimplementados. BGP cuenta con un diseño de configuración totalmente nuevo (menús de template, connection y session), OSPFv2 y OSPFv3 se unificaron en un solo menú, y RIP también fue modernizado. En entornos con BGP la diferencia es notable: v7 puede manejar más rutas BGP con menos consumo de CPU y memoria, acelerando la convergencia de la red. En redes con OSPF el cambio de costos en las interfaces no interrumpe la instancia. En v6 al cambiar los costos, se volvía a calcular el mejor camino, pero se perdía conectividad mientras se completaba el proceso.

• Soporte de estándares modernos: La nueva arquitectura sienta las bases para funcionalidades de última generación. Por ejemplo, el soporte para RPKI (Resource Public Key Infrastructure) para validación de rutas BGP y comunidades extendidas. Además las rutas estáticas o dinámicas pueden delegarse al hardware (hardware offload) en algunos modelos de RouterBOARD permitiendo rutear paquetes tasas cercanas a 100Gb/s! (modelo CCR2216-1G-12XS-2XQ).

Nueva generación de túneles y VPNs

Los túneles y VPNs son una necesidad fundamental en cualquier tipo de empresa que requiera acceder remotamente a su infraestructura o que quiera interconectar sitios a través de Internet. Esta funcionalidad esta muy desarrollada en RouterOS, pero en v7 se agregan nuevos protocolos y se mejoran los existentes.

• WireGuard: Se incluye soporte nativo para WireGuard, que es un protocolo VPN moderno enfocado en simplicidad y alto rendimiento, y que además es soportado en múltiples sistemas operativos. WireGuard ofrece cifrado robusto y velocidades superiores a las de IPsec en muchos casos, con configuración sencilla.
  
• ZeroTier: Ahora es posible usar redes definidas por software como ZeroTier directamente en el router (es un paquete extra que esta disponible en dispositivos ARM y ARM64). Esto habilita conectividad tipo VPN en malla entre múltiples nodos sin configuraciones complejas, algo inexistente en v6.
  
• OpenVPN multi instancia y UDP: Se incorpora OpenVPN sobre UDP, lo que mejora la experiencia de usuario (latencia y tasa de transferencia). Además OpenVPN ahora es multi instancia, es decir que puedo tener dos o más servidores corriendo en el mismo router. Por ejemplo puedo tener un servidor con soporte TCP y otro con soporte UDP corriendo en simultaneo.
  
• L2TPv3: Actualización del conocido L2TP que permite, entre otras cosas, levantar túneles Ethernet (pseudowire) punto a punto.

QoS más avanzado con colas CAKE y FQ-CoDel

En esta nueva rama de RouterOS, también se agregan mejoras en QoS, incorporando dos nuevos algoritmos de encolado.

• CAKE: Es un algoritmo moderno de manejo de colas desarrollado para abordar problemas comunes de redes domésticas y de última milla, combinando control de congestión y equidad entre flujos. Su enfoque es mantener la equidad entre distintos flujos, minimizar el bufferbloat (latencia no deseada) y gestionar diferentes tipos de tráfico con una configuración mínima. CAKE es Ideal para routers que reparten enlaces de Internet limitados, asegurando una experiencia más fluida en streaming, gaming, VoIP, etc.

• FQ-CoDel: Fue pensado para combatir la variación impredecible de latencia, típica de sistemas con encolado tipo FIFO (First In First Out). Este algoritmo trabaja con encolado equitativo (Fair Queuing o FQ) con latencia controlada (Controlled Delay o CoDel). Es menos sofisticado que CAKE pero igualmente útil en muchas situaciones para mantener bajas latencias. En RouterOS 7 puedes optar por FQ-CoDel como tipo de cola en lugar de PCQ o SFQ para mejorar la respuesta de la red bajo saturación.

Mejoras en Wi-Fi: soporte Wi-Fi 6 y seguridad WPA3

• Compatibilidad con Wi-Fi 6: v7 es requisito para todos los modelos 802.11ax de MikroTik (hAP ax2/ax3, etc). Gracias al nuevo driver, estos equipos soportan Wi-Fi 6 con velocidades mucho mayores (hasta 9.6 Gbps teóricos en 5 GHz) y mejor eficiencia espectral que Wi-Fi 5.
  
• Paquete wifi-qcom / wifi-qcom-ac: Se introduce el paquete alternativo wifi-qcom y wifi-qcom-ac, basados en drivers modernos de Qualcomm, que soportan 802.11ac Wave 2 y posteriores. Esto habilita funciones como MU-MIMO y trae mejoras de performance en Access Points.
  
• Seguridad WPA3 y MFP: La seguridad inalámbrica se refuerza con la compatibilidad de WPA3 (el nuevo estándar de autenticación más robusto que WPA2) y 802.11w PMF (Protected Management Frames).

Administración y seguridad más robustas

• Monitorización de servicios y control de sesiones: Dentro del menú /ip/service se muestran todos los servicios de administración, los clásicos y estáticos, como winbox, api, www y los dinámicos que estaban ocultos, como el BTest server, VPNs, MNDP, BFD, etc. Todo servicio operativo ahora va aparecer listado con sus respectivas sesiones activas. Para los servicios estáticos, se agregó un parámetro de configuración de sesiones activas (max-sessions). Si se excede el límite, el router rechaza nuevas conexiones y registra un error en el log, ayudando a mitigar ataques de fuerza bruta o DoS a los puertos de administración.

• API RESTful y nuevo CLI: Además del API tradicional, se incorpora un API REST que responde en JSON.

• Unificación de paquetes: A nivel administración del sistema, se simplificó el manejo de paquetes: muchas funciones antes separadas (como PPP, MPLS, Routing) ahora vienen en el paquete principal llamado routeros.

Rendimiento optimizado y mejor uso del hardware

• FastTrack y NAT por hardware: Se introdujo la capacidad de combinar el FastTrack (aceleración de flujos) con delegación a hardware (hardware offload) en algunos modelos seleccionados. Esto significa que routers de gama media pueden manejar tráfico gigabit con NAT/FastTrack sin saturar CPU, algo muy notorio al actualizar desde v6.
  
• Offloading de VLAN y routing en switches: En la misma línea del punto anterior, se agrega filtrado de VLAN por hardware en muchísimos modelos con “switch-chip“. Esto descarga al switch-chip la tarea de etiquetado VLAN, liberando la CPU cuando tenemos bridges con VLAN filtering. Asimismo, todos los switches de la serie CRS3xx ahora soportan aceleración de routing L3 (IP switching) directamente en hardware, permitiendo que dispositivos como CRS317/CRS328 hagan routing inter-VLAN routing a alta velocidad.

Funcionalidades nuevas: contenedores Docker y almacenamiento (ROSE)

Por último, RouterOS v7 amplía el horizonte de lo que un router MikroTik puede hacer, incorporando funciones totalmente nuevas que no estaban en la versión 6. Dos de las más destacadas son el soporte de contenedores Docker y la introducción del paquete ROSE (RouterOS Enterprise) para almacenamiento. Estas características convierten al router en una plataforma más versátil, capaz de desempeñar roles adicionales en la red:

• Soporte de contenedores (Docker): A partir de la v7.5, Mikrotik habilitó la posibilidad de correr contenedores Docker en el router. Esto significa que en dispositivos con suficiente recurso (CPU ARM, almacenamiento y RAM) se puede desplegar micro-servicios directamente en el router, aislados en contenedores. Por ejemplo, es posible correr un servidor Pi-Hole, un broker MQTT, un micrositio web o herramientas de monitoreo livianas sin requerir otro equipo.

• ROSE: El paquete rose-storage, esta orientado a funciones de NAS y centro de datos. Se agrega capacidades de almacenamiento avanzadas como soporte de RAID, monitoreo de discos con SMART, mejor formateo de sistemas de archivos, servidor iSCSI integrado, exportar volúmenes vía NFS, e incluso NVMe sobre TCP.

En resumen, RouterOS v7 representa un salto generacional para los routers, switches y access point MikroTik. Las siete razones descritas, demuestran que este sistema operativo está diseñado para los retos de las redes actuales y futuras. Si bien toda actualización mayor requiere planificación (backups, verificar compatibilidad de configuraciones, no actualizar un viernes, etc.), la ganancia en rendimiento, funcionalidades y seguridad al migrar desde v6.x a v7 vale la pena!

Nota: en las últimas horas han salido algunas vulnerabilidades del API REST en v7.20, pero aplican si tenes expuesto el servicio a Internet o en una red no confiable. Según MikroTik, esto se resuelve en la v7.20.1 y v7.21. De todos modos lo que digo siempre: implementa un buen firewall de protección del router y vas a estar más protegido de las vulnerabilidades (que siempre existirán en RouterOS y en todas las marcas de routers del Mundo!).

Espero este articulo te haya resultado útil. ¡Hasta al próxima!