Si alguna vez intentaste correr Pi-hole, Grafana o cualquier servicio en un container dentro de MikroTik, sabes lo que implica: crear interfaces veth, configurar bridges, escribir variables de entorno, definir puntos de montaje, reglas de firewall y NAT… todo a mano. Con RouterOS 7.21, MikroTik ha introducido el menú /app, un sistema que reduce todo ese proceso a un par de clics. En este artículo te explicamos cómo funciona, qué necesitas para usarlo y cómo desplegar tu primera aplicación paso a paso.
Qué es el menú /app y por qué cambia las reglas del juego
El menú /app es un catálogo de aplicaciones containerizadas mantenido por MikroTik. Cada aplicación viene preconfigurada: las imágenes se descargan automáticamente desde Docker Hub, GCR o Quay, y al activarla el sistema crea por ti las interfaces veth, los bridges, las reglas de NAT y el port forwarding necesarios.
La diferencia con el flujo tradicional de /container es significativa. Antes necesitabas ejecutar entre 10 y 15 comandos para poner en marcha un servicio como Pi-hole. Ahora, el menú /app lo automatiza todo con un wizard de configuración inicial y luego solo tienes que habilitar la aplicación que necesites.
Eso sí: los parámetros de cada app son editables antes de activarla, y siempre puedes consultar el YAML subyacente para entender qué está haciendo el sistema por debajo. No pierdes control, solo ganas velocidad.
Requisitos previos
Antes de lanzarte, asegúrate de cumplir con estos puntos:
- RouterOS 7.21 o superior instalado en tu equipo.
- Arquitectura arm64 o x86. Los dispositivos con CPU EN7562CT (como el hEX Refresh) no están soportados.
- Paquete container instalado. Puedes descargarlo desde
/system/packageo desde mikrotik.com/download en la sección «Extra packages». - Device-mode container habilitado. Esto requiere acceso físico al equipo para pulsar el botón de reset durante la activación. Es una medida de seguridad que impide habilitar containers de forma remota.
- Almacenamiento externo (USB, SATA o NVMe) formateado en ext4 o btrfs. MikroTik recomienda un mínimo de 100 MB/s en lectura/escritura secuencial y 10K IOPS aleatorios. Puedes verificar el rendimiento con
/disk/test.
Para habilitar el modo container, ejecuta:
/system/device-mode/update container=yes
El router te pedirá que pulses el botón de reset o hagas un reinicio en frío dentro de un plazo determinado.
Configuración inicial con el wizard
Una vez cumplidos los requisitos, el menú /app incluye un asistente que configura todo el entorno en tres pasos. Puedes lanzarlo desde WinBox (botón «Setup») o por terminal:
/app setup
Paso 1: Selección de almacenamiento
El wizard detecta automáticamente los discos disponibles (nvme1, usb1, disk1, etc.). Selecciona el que vas a dedicar a las aplicaciones. Si no aparece ninguno, asegúrate de que está formateado y montado:
/disk/format-drive usb1 file-system=ext4
Paso 2: Bridge de red
Selecciona la interfaz bridge de tu LAN. El wizard configurará automáticamente las interfaces veth, las añadirá al bridge y creará las reglas NAT para que los containers tengan salida a internet.
Paso 3: IP del router
El sistema detecta la IP principal de tu router, pero puedes modificarla si tienes una configuración de red más compleja. Esta IP se usará para generar las URLs de acceso a las aplicaciones y para las reglas de port forwarding.
Una vez completado el wizard, el sistema queda listo. No necesitas repetir este proceso para cada aplicación.
Desplegar una aplicación: ejemplo con Pi-hole
Veamos cómo queda el flujo con un ejemplo concreto. Para listar las aplicaciones disponibles:
/app print
Verás una lista con más de 70 aplicaciones organizadas por categorías: Networking, Monitoring, Productivity, Media, Automation, Home-Automation, y más.
Para activar Pi-hole:
/app enable pihole
Eso es todo. El sistema descarga la imagen, crea la configuración de red, aplica las reglas de firewall y arranca el container. Cuando termina, el campo UI-URL te mostrará la dirección para acceder al panel web de Pi-hole.
Si necesitas ver el estado y los recursos que consume:
/app print
La salida te muestra flags (X = deshabilitado, R = corriendo), la URL de acceso, memoria en uso, tamaño de la imagen y tamaño de los datos persistentes.
Comparación: flujo manual vs /app
Para que se entienda el salto, esto es lo que antes necesitabas hacer manualmente para desplegar Pi-hole:
# 1. Crear interfaz veth
/interface/veth/add name=veth1 address=172.17.0.2/24 gateway=172.17.0.1
# 2. Crear bridge y añadir veth
/interface/bridge/add name=dockers
/interface/bridge/port add bridge=dockers interface=veth1
# 3. Asignar IP al bridge
/ip/address/add address=172.17.0.1/24 interface=dockers
# 4. Variables de entorno
/container/envs/add list=ENV_PIHOLE key=TZ value="Europe/Madrid"
/container/envs/add list=ENV_PIHOLE key=FTLCONF_webserver_api_password value="tupassword"
/container/envs/add list=ENV_PIHOLE key=DNSMASQ_USER value="root"
# 5. Puntos de montaje
/container/mounts/add list=MOUNT_PIHOLE src=disk1/volumes/pihole/pihole dst=/etc/pihole
/container/mounts/add list=MOUNT_PIHOLE src=disk1/volumes/pihole/dnsmasq.d dst=/etc/dnsmasq.d
# 6. Crear container
/container/add remote-image=pihole/pihole interface=veth1 root-dir=disk1/images/pihole \
mountlists=MOUNT_PIHOLE envlist=ENV_PIHOLE name=pihole
# 7. Reglas NAT y firewall
/ip/firewall/nat add action=masquerade chain=srcnat src-address=172.17.0.0/24
/ip/firewall/nat add action=dst-nat chain=dstnat dst-port=80 protocol=tcp to-addresses=172.17.0.2
# 8. Arrancar el container
/container/start 0
Con /app, todo lo anterior se reduce a:
/app setup
/app enable pihole
Catálogo de aplicaciones disponibles
El catálogo incluye más de 70 aplicaciones listas para usar. Algunas de las más interesantes para administradores de redes:
Networking: Pi-hole (bloqueo DNS de publicidad), Technitium (servidor DNS avanzado), Cloudflared (túneles Cloudflare), Caddy (proxy inverso), Firefox (navegador remoto).
Monitoring: Grafana, Zabbix, LibreNMS, Uptime Kuma, Smokeping, Victoria Metrics, InfluxDB — todo lo que necesitas para monitorizar tu infraestructura.
Automation: Node-RED y n8n para automatizar flujos de trabajo. Home Assistant para domótica.
Productivity: Nextcloud, WordPress, code-server (VS Code en el navegador), Gitea, GitLab.
Media: Plex, Jellyfin, y todo el stack de gestión multimedia con Sonarr, Radarr y Transmission.
Gestión y mantenimiento
Algunas operaciones útiles del día a día:
Para desactivar una aplicación sin perder datos:
/app disable pihole
Para eliminar completamente una aplicación y todos sus datos (operación irreversible):
/app cleanup pihole
El sistema te pedirá confirmación antes de proceder. Se eliminarán la imagen, los datos, la configuración de red y las reglas de firewall asociadas.
Para la configuración global de todas las apps:
/app/settings print
Desde aquí puedes cambiar el disco de almacenamiento, el bridge, la IP del router, configurar mirrors de registros alternativos, activar auto-update y decidir si mostrar los accesos a las apps directamente en WebFig.
Consideraciones de seguridad
Hay un punto importante que no debes pasar por alto: los containers en RouterOS no están exentos de riesgos. Una vez habilitado el modo container, cualquier persona con acceso remoto al router puede crear y gestionar containers. Si un atacante compromete tu equipo, podría usar containers para instalar software malicioso.
Por eso MikroTik exige acceso físico para la activación inicial. Pero después de ese paso, la responsabilidad recae en ti: mantén RouterOS actualizado, usa contraseñas seguras, restringe el acceso por IP al router y revisa periódicamente qué containers están corriendo.
Conclusión
El menú /app de RouterOS 7.21 convierte a MikroTik en algo más que un router: es una plataforma edge donde puedes centralizar servicios sin necesidad de hardware adicional. Para un ISP pequeño, un WISP o una empresa con varias sedes, poder correr Pi-hole, Grafana o Uptime Kuma directamente en el router reduce costes y complejidad.
Si quieres dominar containers en RouterOS y aprender a personalizar despliegues más allá del catálogo oficial, en LanPixel ofrecemos formaciones especializadas donde trabajamos con estos escenarios en entornos reales. Consulta el calendario de formaciones en nuestro calendario y da el siguiente paso en tu carrera de redes.
