Manual de Laboratorio MTCNA MikroTik: Configuración de Redes
advertisement
Academy xperts MIKROTIK CERTIFIED NETWORK ASSOCIATE MTCNA Argentina - Bolivia - Chile - Colombia - Costa Rica - Ecuador - Guatemala - Honduras - México - Nicaragua - Panamá - Perú - Venezuela cursos@academyxperts.com t n e tud s x abc ax abc xperts www.abcxperts.com nag-v6.28.0.02 www.academyxperts.com MANUAL DE LABORATORIO ESPAÑOL Academy Xperts MTCNA v6.28.0.02 Guía de Laboratorio ABC Xperts ® Network Xperts ® Academy Xperts ® Derechos de autor y marcas registradas Todos los derechos de autor y marcas registradas son propiedad del titular de los derechos de autor respectivo Derechos de autor © por Academy Xperts Todos los derechos reservados. Ninguna parte de este libro puede ser reproducido, almacenado, o transmitido por cualquier medio ya sea este un auditorio, medio gráfico, mecánico, o electrónico sin el permiso escrito del autor, excepto en los casos en que se utilicen breves extractos para usarlos en artículos o revisiones. La reproducción no autorizada de cualquier parte de este libro es ilegal y sujeta a sanciones legales. 1 Academy Xperts Tabla de Contenido Capítulo 1 ................................................................................................................................... 3 Laboratorio 1.1 – Configuración Inicial .................................................................................................. 3 Objetivo: .................................................................................................................................................... 3 Configuración del AP .................................................................................................................................. 3 Configuración del CPE ................................................................................................................................ 5 Laboratorio 1.2 – NTP ........................................................................................................................... 8 Objetivo: .................................................................................................................................................... 8 Configuración del CPE ................................................................................................................................ 8 Capítulo 2 ................................................................................................................................... 9 Laboratorio 2.1 – Enrutamiento Estático ............................................................................................... 9 Objetivo: .................................................................................................................................................... 9 Escenario: ................................................................................................................................................... 9 Configuració de E1 ..................................................................................................................................... 9 Configuración de E2 ................................................................................................................................. 10 Configuración de E3 ................................................................................................................................. 10 Configuración de E4 ................................................................................................................................. 10 Capítulo 3 ................................................................................................................................. 11 Bridge y Slave ...................................................................................................................................... 11 Objetivos: ................................................................................................................................................. 11 Escenario: ................................................................................................................................................. 11 Configuración SLAVE ................................................................................................................................ 11 CONFIGURACION BRIDGE ........................................................................................................................ 12 Capítulo 4 ................................................................................................................................. 13 Wireless ............................................................................................................................................... 13 Objetivos: ................................................................................................................................................. 13 Escenario: ................................................................................................................................................. 13 Configuración RP – E1 .............................................................................................................................. 13 Configuración E1 – E2 .............................................................................................................................. 14 Capítulo 5 ................................................................................................................................. 17 Administración de Red ......................................................................................................................... 17 Objetivos: ................................................................................................................................................. 17 Escenario: ................................................................................................................................................. 17 Configuración RP ...................................................................................................................................... 17 CONFIGURACION E1 ................................................................................................................................ 18 CONFIGURACION E2 ................................................................................................................................ 18 Capítulo 6 ................................................................................................................................. 20 Firewall + NAT ..................................................................................................................................... 20 Reglas de Firewall .................................................................................................................................... 20 REGLAS DE NAT ........................................................................................................................................ 21 Capítulo 7 ................................................................................................................................. 23 QoS ...................................................................................................................................................... 23 Objetivo: .................................................................................................................................................. 23 Escenario: ................................................................................................................................................. 23 Mangle ..................................................................................................................................................... 23 2 Academy Xperts Capítulo 1 Laboratorio 1.1 – Configuración Inicial Objetivo: -­‐ -­‐ -­‐ PODER ADMINISTRAR LA CONFIGURACION VIA COMANDOS ARMAR PRIMER LABORATIO Y EL CUAL USAREMOS DURANTE LOS DIAS DE CAPACITACION DE ESTE CURSO. COMPRENDER LOS PARAMETROS BASICO DE CONFIGURACION PARA PODER SACAR A INTERNET A UN EQUIPO MIKROTIK Escenario: Configuración del AP Parte 1. Configuración de RP (Configuración realizado por el Instructor) a. Establecer la conexión WAN en la internet Ether1 por medio de una configuración de DHCP-CLIENT Clic en New Terminal: [admin@RP] > /ip dhcp-client [admin@RP] /ip dhcp-client > add default-route-distance=0 dhcp-options=hostname,clientid disabled=no interface=ether1 Comprobamos que nos dieron la IP. [admin@RP] /ip dhcp-client > print Flags: X - disabled, I - invalid # INTERFACE USE-PEER-DNS ADD-DEFAULT-ROUTE STATUS 0 ether1 yes yes bound 172.16.1.43/26 ADDRESS b. Comprobar que el DHCP-CLIENT nos haya dado el DNS y posteriormente activar el “Allow Remote Request” 3 Academy Xperts Comprobamos: [admin@RP] > ip dns [admin@RP] /ip dns> print servers: dynamic-servers: 172.16.1.1 allow-remote-requests: no max-udp-packet-size: 4096 query-server-timeout: 2s query-total-timeout: 10s cache-size: 2048KiB cache-max-ttl: 1w cache-used: 9KiB Activar “Allow Remote Request” [admin@RP] > ip dns [admin@RP] /ip dns> edit allow-remote-requests Editamos el archivo y ponemos que “yes” luego Crl+o para guardar la información c. Comprobar que el DHCP-CLIENT nos haya dado la ruta por defecto automáticamente: [admin@RP] /ip route> print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 ADS 0.0.0.0/0 172.16.1.1 1 ADC 172.16.1.0/26 172.16.1.43 ether1 0 0 Parte 2. Habilitar la interfaz Wireless para los estudiantes. (Por defecto viene deshabilitada la interfaz) a. Crearemos un security Profile para habilitar seguridad en nuestro escenario: [admin@RP] > interface wireless security-profiles [admin@RP] /interface wireless security-profiles> add authentication-types=wpa-psk,wpa2psk eap-methods="" management-protection=allowed mode=dynamic-keys name=NOMBRE supplicant-identity="" wpa-pre-shared-key=mikrotik wpa2-pre-shared-key=mikrotik b. Habilitar tarjeta wireless [admin@RP] > interface wireless [admin@RP] /interface wireless> set disabled=no numbers: wlan1 c. Configurar la Tarjeta Wireless para el RP que en este caso va actuar como AP [admin@RP] > interface wireless [admin@RP] /interface wireless> set [ find default-name=wlan1 ] disabled=no l2mtu=1600 mode=ap-bridge security-profile=NOMBRE ssid=MikroTik-MTCNA radioname=INSTRUCTOR 4 Academy Xperts Parte 3. Asignar direccionamiento WAN para los clientes y para la interfaz “WLAN1”, basados en la siguiente tabla: ESTUDIANTE DIRECCION DE RED #1 #2 #3 #4 #5 #6 #7 #8 #9 #10 #11 #12 Etc… 10.10.10.0/30 10.10.10.4/30 10.10.10.8/30 10.10.10.12/30 10.10.10.16/30 10.10.10.20/30 10.10.10.24/30 10.10.10.28/30 10.10.10.32/30 10.10.10.36/30 10.10.10.40/30 10.10.10.44/30 Etc… DIRECCION PARA RP: WLAN1 10.10.10.1/30 10.10.10.5/30 10.10.10.9/30 10.10.10.13/30 10.10.10.17/30 10.10.10.21/30 10.10.10.25/30 10.10.10.29/30 10.10.10.33/30 10.10.10.37/30 10.10.10.41/30 10.10.10.45/30 Etc… DIRECCION PARA CPE WLAN1 10.10.10.2/30 10.10.10.6/30 10.10.10.10/30 10.10.10.14/30 10.10.10.18/30 10.10.10.22/30 10.10.10.26/30 10.10.10.30/30 10.10.10.34/30 10.10.10.38/30 10.10.10.42/30 10.10.10.46/30 Etc… a. Asignamos la primera dirección para el estudiante 1 y el mismo paso se repite para las siguientes direcciones de los otros estudiante: [admin@RP] > ip address [admin@RP] /ip address> add address=10.10.10.1/30 comment=Estudiante_1 interface=wlan1 network=10.10.10.0 Comprobar con el comando “print” [admin@RP] /ip address> print Flags: X - disabled, I - invalid, D - dynamic # ADDRESS NETWORK INTERFACE 0 D 172.16.1.43/26 172.16.1.0 ether1 1 ;;; Estudiante_1 10.10.10.1/30 10.10.10.0 wlan1 Parte 4. Configurar la regla de NAT para que las redes privadas (Clientes) puedan salir a INTERNET. a. Donde la opción out-interface: es la interfaz por donde el Router RP recepta el internet, en este caso: “ether1” y la action será “masquerade” que es la que se encarga de enmarcaras las direcciones [admin@RP] > ip firewall nat [admin@RP] ip firewall nat > add action=masquerade chain=srcnat out-interface=ether1 b. Comprobamos que todo esté bien realizando un ping a uno de los DNS de google (E.J. ping 8.8.8.8) Configuración del CPE Parte 1. Habilitar la interfaz Wireless para conectarnos al AP. (Por defecto viene deshabilitada la interfaz) a. Crearemos un security Profile para habilitar seguridad en nuestro escenario: [admin@E1] > interface wireless security-profiles [admin@E1] /interface wireless security-profiles> add authentication-types=wpa-psk,wpa2psk eap-methods="" management-protection=allowed mode=dynamic-keys name=NOMBRE supplicant-identity="" wpa-pre-shared-key=mikrotik wpa2-pre-shared-key=mikrotik 5 Academy Xperts b. Habilitar tarjeta wireless [admin@E1] > interface wireless [admin@E1] /interface wireless> set disabled=no numbers: wlan1 c. Configurar la interfaz en modo estación para podernos conectar al AP (RP) [admin@E1] > /interface wireless [admin@E1] /interface wireless> set [ find default-name=wlan1 ] disabled=no l2mtu=2290 mode=station-bridge radio-name=ESTUDIANTE_1 securityprofile=NOMBRE ssid=MikroTik-MTCNA d. Comprobar que estamos conectados al AP [admin@E1] > interface wireless registration-table [admin@E1] /interface wireless registration-table> print # INTERFACE RADIO-NAME MAC-ADDRESS AP SIGNAL-STRENGTH TXRATE UPTIME 0 wlan1 INSTRUCTOR 4C:5E:0C:CC:C9:1F yes -56dBm@1Mbps 11.0... 15m50s Parte 2. Asignar direccionamiento WAN para establecer la conexión completa con el AP (Basados en la Tabla descrita anteriormente): a. Esta configuración estará basada en el estudiante #1 la configuración se repetirá para cada uno de los otros estudiantes: [admin@E1] > ip address [admin@E1] /ip address> add address=10.10.10.2/30 comment=WAN interface=wlan1 network=10.10.10.0 b. Comprobamos conectividad haciéndole ping a la IP principal en este caso para el estudiante debería ser (E.J. ping 10.10.10.1) Parte 3. Configurar la ruta por defecto para que nuestra LAN pueda saber el camino a seguir para llegar a internet: a. Para ello especificamos la ruta por defecto (0.0.0.0/0) y Gateway que para el caso del estudiante #1 seria (10.10.10.1). Para los demás estudiantes el Gateway varía por la IP que les haya tocado y la como es una ruta estática la distancia va ser de 1 [admin@E1] > ip route [admin@E1] /ip route> add distance=1 dst-address=0.0.0.0/0 gateway=10.10.10.1 Parte 4. Configurar el DNS-Server y activar el “Allow Remote Request” a. Donde debemos poner como IP la del RP (Según el estudiante) para que nos resuelva nuestras peticiones de DNS y activar el “Allow Remote Request” [admin@E1] > ip dns [admin@E1] ip dns > set allow-remote-requests=yes servers=10.10.10.1 Parte 5. Configurar la regla de NAT para que las redes privadas (LAN) puedan salir a INTERNET. a. Donde la opción out-interface: es la interfaz por donde el Router E1 recepta el internet, en este caso: “wlan1” y la action será “masquerade” que es la que se encarga de enmarcaras las direcciones 6 Academy Xperts [admin@E1] > ip firewall nat [admin@E1] ip firewall nat > add action=masquerade chain=srcnat out-interface=ether1 b. Comprobamos que todo esté bien realizando un ping a uno de los DNS de google (E.J. ping 8.8.8.8) Parte 6. Configurar IP para nuestra LAN por ejemplo (192.168.x.1/24) donde x va ser el último octeto que tenemos en nuestra IP de la WAN 10.10.10.2 a. La configuración será en el Ether2 tal cual como esta en el escenario principal [admin@E1] > ip address [admin@E1] /ip address> add address=192.168.2.1/24 comment=LAN interface=ether2 network=192.168.2.0 b. Por ultimo nos queda definir una IP para nuestra computadora la cual debe estar dentro del mismo rango de la IP anteriormente configurada. c. Dirección IP 192.168.2.254 Mascara de subred 255.255.255.0 Puerta de enlace predeterminada 192.168.2.1 Servidor DNS Preferido 192.168.2.1 Comprobar que tenemos Navegación. 7 Academy Xperts Laboratorio 1.2 – NTP Objetivo: -­‐ PODER CONFIGURAR PARA QUE NUESTRO ROUTER MIKROTIK TENGA ACTUALIZADA LA HORA Y FECHA SIEMPRE Configuración del CPE Parte 1. Si no tenemos un servidor NTP en nuestra red local, conectarnos a un servidor NTP externo en este caso usaremos los de google. a. Para ello las IP las conseguiremos haciendo ping a las siguientes direcciones. [admin@E1] > ping time1.google.com SEQ HOST 216.239.32.15 56 1 216.239.32.15 [admin@E1] > ping time2.google.com SEQ HOST 216.239.34.15 56 1 216.239.34.15 SIZE TTL TIME 209ms 56 41 199ms STATUS 41 SIZE TTL TIME 209ms 56 41 199ms STATUS 41 b. Configuraremos el Time Zone Name en la cual indicar la ubicación en la que nos encontramos. [admin@E1] > /system clock [admin@E1] /system clock> set time-zone-name=América/Guayaquil c. Configurar el SNTP-Client para nuestro ROUTER MIKOTIK [admin@E1] > system ntp client [admin@E1] system ntp client > set enabled=yes primary-ntp=216.239.32.15 secondary-ntp=216.239.34.15 d. Verificar que tenemos la hora y zona horario bien: [admin@E1] > system clock [admin@E1] /system clock> print time: 16:30:08 date: apr/30/2015 time-zone-autodetect: yes time-zone-name: América/Guayaquil gmt-offset: -05:00 8 Academy Xperts Capítulo 2 Laboratorio 2.1 – Enrutamiento Estático Objetivo: -­‐ -­‐ -­‐ -­‐ TRABAJAR EN EQUIPO (GRUPO DE 4) COMUNICAR VARIAS REDES EN UNA RED LAN BASADOS EN CON UN ENRUTAMIENTO ESTATICO COMPRENDER TERMINO DST-ADDRESS, GATEWAY Escenario: 1. LOS EQUIPOS DEBEN ESTAR SIN CONFIGURACION 2. BASADOS EN EL DIAGRAMA, LUEGO QUE REALICEMOS TODAS LAS CONFIGURACIONES DE LAS DIRECIONES IP DE LAS INTERFACES CORRESPONDIENTES, LUEGO DEBEMOS REALIZAR EL RUTEO ESTATICO PARA ELLO TOMAR EN CUENTA QUE EL TRAFICO DEBE IR EN SENTIDO DERECHA A IZQUIERDA (SENTIDO HORARIO) Configuració de E1 Parte 1. Poner direcciones IP a. Basado en el diagrama poner las direcciones en las interfaces que corresponden al Router E1 [admin@E1] > ip address [admin@E1] /ip address> add address=10.10.10.1/30 comment=E1-E2 interface=ether3 network=10.10.10.0 [admin@E1] /ip address> add address=20.20.20.1/30 comment=E1-E3 interface=ether4 network=20.20.20.0 b. Realizar proceso de RUTEO para que el router E1 pueda alcanzar a las redes (30.30.30.0/30; 40.40.40.0/30). Para ellos debemos especificar un Gateway, el cual basados en el requisito de que la comunicación debe ir en sentido horario. El Gateway para el E1 será 20.20.20.2 [admin@E1] > ip route [admin@E1] /ip route > add distance=1 dst-address=30.30.30.0/30 gateway=20.20.20.2 [admin@E1] /ip route > add distance=1 dst-address=40.40.40.0/30 gateway=20.20.20.2 9 Academy Xperts Configuración de E2 Parte 1. Poner direcciones IP a. Basado en el diagrama poner las direcciones en las interfaces que corresponden al Router E2 [admin@E2] > ip address [admin@E2] /ip address> add address=10.10.10.2/30 comment=E2-E1 interface=ether3 network=10.10.10.0 [admin@E2] /ip address> add address=40.40.40.2/30 comment=E2-E4 interface=ether4 network=20.20.20.0 b. Realizar proceso de RUTEO para que el router E2 pueda alcanzar a las redes (30.30.30.0/30; 20.20.20.0/30). Para ellos debemos especificar un Gateway, el cual basados en el requisito de que la comunicación debe ir en sentido horario. El Gateway para el E2 será 10.10.10.1 [admin@E2] > ip route [admin@E2] /ip route > add distance=1 dst-address=30.30.30.0/30 gateway=10.10.10.1 [admin@E2] /ip route > add distance=1 dst-address=20.20.20.0/30 gateway=10.10.10.1 Configuración de E3 Parte 1. Poner direcciones IP a. Basado en el diagrama poner las direcciones en las interfaces que corresponden al Router E3 [admin@E3] > ip address [admin@E3] /ip address> add address=20.20.20.2/30 comment=E3-E1 interface=ether4 network=20.20.20.0 [admin@E3] /ip address> add address=30.30.30.2/30 comment=E3-E4 interface=ether3 network=30.30.30.0 b. Realizar proceso de RUTEO para que el router E3 pueda alcanzar a las redes (10.10.10.0/30; 40.40.40.0/30). Para ellos debemos especificar un Gateway, el cual basados en el requisito de que la comunicación debe ir en sentido horario. El Gateway para el E3 será 30.30.30.1 [admin@E3] > ip route [admin@E3] /ip route > add distance=1 dst-address=10.10.10.0/30 gateway=30.30.30.1 [admin@E3] /ip route > add distance=1 dst-address=40.40.40.0/30 gateway=30.30.30.1 Configuración de E4 Parte 1. Poner direcciones IP a. Basado en el diagrama poner las direcciones en las interfaces que corresponden al Router E4 [admin@E4] > ip address [admin@E4] /ip address> add address=40.40.40.1/30 comment=E4-E2 interface=ether3 network=40.40.40.0 [admin@E4] /ip address> add address=30.30.30.1/30 comment=E4-E3 interface=ether4 network=30.30.30.0 b. Realizar proceso de RUTEO para que el router E4 pueda alcanzar a las redes (10.10.10.0/30; 20.20.20.0/30). Para ellos debemos especificar un Gateway, el cual basados en el requisito de que la comunicación debe ir en sentido horario. El Gateway para el E4 será 40.40.40.2 [admin@E4] > ip route [admin@E4] /ip route > add distance=1 dst-address=10.10.10.0/30 gateway=40.40.40.2 [admin@E4] /ip route > add distance=1 dst-address=20.20.20.0/30 gateway=40.40.40.2 c. Probar conectividad entre todos. d. Adicionalmente hacer que entre las PC’s se puedan realizar ping entre ellas. 10 Academy Xperts Capítulo 3 Bridge y Slave Objetivos: -­‐ -­‐ Poner en práctica los conceptos vistos en este capítulo sobre bridge Poner en práctica los conceptos vistos en este capítulo sobre Puerto Master y Slave Escenario: Primero: poner el puerto numero 3 como Slave del puerto principal (numero 2) y poner una IP que este dentro del mismo rango en nuestra PC y verificar que tenemos salida a INTERNET Segundo: Crear un Bridge, poner los puertos 4y5 en el Bridge, poner un direccionamiento diferente en la interfaz bridge y por ultimo poner una IP que este dentro del mismo rango que el bridge en nuestra PC y verificar conectividad. Configuración SLAVE Parte 1. Configurar puerto ether3 a. Procedemos a ingresar al New Terminal [admin@E1] > interface ethernet [admin@E1] /interface ethernet> edit ether3 master-port b. Procedemos a editar el archivo y cambiaremos el texto “none” por “ether2” tal cual como lo dice la práctica, y presionaremos Ctr+o para guardar los cambios: c. Nos cambiamos al Puerto 3 en nuestro Router y Cambiaremos el ultimo octeto en la dirección IP que tenemos en nuestra PC, es decir, nosotros tenemos: Dirección IP Mascara de subred Puerta de enlace predeterminada Servidor DNS Preferido 192.168.2.254 por .100 255.255.255.0 192.168.2.1 192.168.2.1 d. Probar conectividad en el Computador 11 Academy Xperts CONFIGURACION BRIDGE Parte 1. Creación del Bridge y agregar puertos: a. Nos dirigimos al new Terminal y procedemos con la creación del Bridge que por nombre le pondremos “LAN2” [admin@E1] > interface bridge [admin@E1] /interface bridge> add name=LAN2 b. Ahora pondremos los puertos 4 y 5 dentro del Bridge que hemos creado: [admin@E1] > interface bridge port [admin@E1] /interface bridge port> add interface=ether4 bridge=LAN2 [admin@E1] /interface bridge port> add interface=ether5 bridge=LAN2 c. Luego pondremos una IP a la interfaz Bridge [admin@E1] > ip address [admin@E1] /ip address> add address=192.168.111.1/24 interface=LAN2 d. Poner IP en nuestro computador que pertenezca al mismo rango del direccionamiento que acabamos de poner en el bridge. Por ejemplo: Dirección IP Mascara de subred Puerta de enlace predeterminada Servidor DNS Preferido 192.168.111.2 255.255.255.0 192.168.111.1 192.168.111.1 e. Realizar pruebas de navegación en el computador 12 Academy Xperts Capítulo 4 Wireless Objetivos: -­‐ -­‐ -­‐ -­‐ Poner en práctica los conceptos básicos de wireless Aprender a configurar un enlace wireless entre (AP – CPE) Para el CPE practicar: Las tres formas de conectarse a un AP (connect-list, Scan, y SSID) Para el AP practicara: Accelist-list (Password, Time) Escenario: Datos: 1. Formar grupos de dos personas el E1 va ser AP y debe tener salida a internet por medio del nuevo direccionamiento que se crea en el RP y el cual es enviado atreves del Switch 2. El E2 va ser CPE el cual debe conectarse al AP usando los métodos de conexión al AP descritos en los objetivos. Configuración RP – E1 Parte 1. Configurar las nuevas redes para que se conecten los equipos que vayan a ser AP. ETHERNET GRUPO 1 GRUPO 2 GRUPO 3 GRUPO 4 GRUPO 5 GRUPO 6 Dirección de red 192.168.10.0/30 192.168.20.0/30 192.168.30.0/30 192.168.40.0/30 192.168.50.0/30 192.168.60.0/30 IP RP ETHER 4 192.168.10.1/30 192.168.20.1/30 192.168.30.1/30 192.168.40.1/30 192.168.50.1/30 192.168.60.1/30 IP E1 ETHER 4 192.168.10.2/30 192.168.20.2/30 192.168.30.2/30 192.168.40.2/30 192.168.50.2/30 192.168.60.2/30 a. Configurar IP en la interfaz ether4 del RP el cual pasaran por el Switch y posteriormente el E1 debe configurar la IP que le corresponda, según el grupo que le haya tocado: [admin@RP] [admin@RP] [admin@RP] [admin@RP] [admin@RP] [admin@RP] [admin@RP] > ip address /ip address> /ip address> /ip address> /ip address> /ip address> /ip address> add add add add add add address=192.168.10.1/24 address=192.168.20.1/24 address=192.168.30.1/24 address=192.168.40.1/24 address=192.168.50.1/24 address=192.168.60.1/24 13 interface=ether4 interface=ether4 interface=ether4 interface=ether4 interface=ether4 interface=ether4 Academy Xperts b. El E1 debe realizar el proceso básico de configuración inicial con la IP asignada por grupo, debe configurar la IP en la interfaz ETHER4, DNS, ENRUTAMIENTO ESTATICO, NAT etc. (Guiarse con el LAB 1.1) Configuración E1 – E2 Parte 1. E1 (AP) debe habilitar el enlace wireless para el E2 (CPE). a. Lo nombraremos MIKROTIK-GRUPO #X, donde “x” es el número de grupo al cual pertenecen. Entonces primero crearemos un security profile con la clave “grupoX” [admin@E1] > interface wireless security-profiles [admin@E1] /interface wireless security-profiles> add authentication-types=wpa-psk,wpa2psk eap-methods="" management-protection=allowed mode=dynamic-keys name=NOMBRE supplicant-identity="" wpa-pre-shared-key=grupoX wpa2-pre-shared-key=grupoX b. Habilitar tarjeta wireless [admin@E1] > interface wireless [admin@E1] /interface wireless> set disabled=no numbers: wlan1 c. Configurar la Tarjeta Wireless para el RP que en este caso va actuar como AP [admin@E1] > interface wireless [admin@E1] /interface wireless> set [ find default-name=wlan1 ] disabled=no l2mtu=1600 mode=ap-bridge security-profile=NOMBRE ssid=MikroTik-GRUPO #x radio-name=AP Parte 2. E2 (CPE) debe conectarse al AP (SCAN) a. Crear security profile y poner la clave que haya asignado el E1 (AP) [admin@E2] > interface wireless security-profiles [admin@E2] /interface wireless security-profiles> add authentication-types=wpa-psk,wpa2psk eap-methods="" management-protection=allowed mode=dynamic-keys name=NOMBRE supplicant-identity="" wpa-pre-shared-key=grupoX wpa2-pre-shared-key=grupoX b. Habilitar tarjeta wireless [admin@E1] > interface wireless [admin@E1] /interface wireless> set disabled=no numbers: wlan1 c. Configurar la tarjeta wireless y usar la opción SCAN para conectarnos al AP, es decir no vamos a poner el SSID por ahora. [admin@E1] > interface wireless [admin@E1] /interface wireless> set [ find default-name=wlan1 ] disabled=no l2mtu=1600 mode=station-bridge security-profile=NOMBRE radio-name=CPE SSID=” “ d. El botón Scan lo podemos ubicar en la ventaja “wireless” en la parte de interfaces de la misma ventana podemos encontrar la interfaz “WLAN” ya activada y con los datos que hemos ingresado anteriormente”. En la parte posterior de la ventana wireless podemos encontrar el botón “Scanner” el cual usaremos para buscar la RED creada por E1 (AP). e. Presionamos el botón Start y buscamos la RED la seleccionamos y le daremos conectar 14 Academy Xperts Parte 3. E2 (CPE) debe conectarse al AP (SSID) a. Primero resetear la Tarjeta wireless E2 (CEP) [admin@E2] > interface wireless reset-configuration wlan1 b. Activar interfaz wireless y posteriormente a configurarla [admin@E2] > interface wireless [admin@E2] /interface wireless> set disabled=no numbers: wlan1 [admin@E2] [admin@E2] l2mtu=1600 SSID=GRUPO c. > interface wireless /interface wireless> set [ find default-name=wlan1 ] disabled=no mode=station-bridge security-profile=NOMBRE radio-name=CPE #X Verificar que se haya conectado Parte 4. E2 (CPE) debe conectarse al AP (Connect-List) a. Primero resetear la Tarjeta wireless E2 (CEP) [admin@E2] > interface wireless reset-configuration wlan1 b. Habilitar la interfaz wireless y posteriormente solo configurarle el modo, que sería “station-bridge” [admin@E2] > interface wireless [admin@E2] /interface wireless> set disabled=no numbers: wlan1 [admin@E2] > interface wireless [admin@E2] /interface wireless> set [ find default-name=wlan1 ] disabled=no l2mtu=1600 mode=station-bridge ssid="" c. E2 (CPE) usando ahora la opción de Connect-List nos conectaremos al E1 (AP) para ello necesitamos saber cuál es la MAC de la interfaz wireless del E1 (AP) o simplemente saber el SSID del E1 (AP) [admin@E2] > /interface wireless connect-list [admin@E2] /interface wireless connect-list> add ssid=GRUPO#X securityprofile=NOMBRE interface=wlan1 O [admin@E2] > /interface wireless connect-list [admin@E2] /interface wireless connect-list> add macaddress=4C:5E:0C:CC:C9:1F security-profile=NOMBRE interface=wlan1 d. Comprobar que estemos conectados al E1 (AP) e. Poner IP tanto en la interfaz WLAN del E1 (AP) y del E2 (CPE) WLAN GRUPO 1 GRUPO 2 GRUPO 3 Dirección de red 192.200.10.0/30 192.200.20.0/30 192.200.30.0/30 IP E1 WLAN1 192.200.10.1/30 192.200.20.1/30 192.200.30.1/30 15 IP E2 WLAN1 192.200.10.2/30 192.200.20.2/30 192.200.30.2/30 Academy Xperts GRUPO 4 GRUPO 5 GRUPO 6 f. 192.200.40.0/30 192.200.50.0/30 192.200.60.0/30 192.200.40.1/30 192.200.50.1/30 192.200.60.1/30 192.200.40.2/30 192.200.50.2/30 192.200.60.2/30 E1 debe poner la IP en WLAN1 (Según sea el grupo) [admin@E1] > ip address [admin@E1] /ip address> add address=192.200.10.1/30 comment=E1-E2 interface=wlan1 network=192.200.10.0 g. E2 debe poner la IP en WLAN1 (Según sea el grupo) [admin@E2] > ip address [admin@E2] /ip address> add address=192.200.10.2/30 comment=E2-E1 interface=wlan1 network=192.200.10.0 h. El E2 debe realizar el proceso básico de configuración inicial con la IP asignada por grupo, debe configurar la IP en la interfaz WLAN (tal cual como se lo hizo anteriormente), DNS, ENRUTAMIENTO ESTATICO, NAT etc. (Guiarse con el LAB 1.1) i. Adicional crear una LAN para su laptop para poder realizar las pruebas finales (usar la LAN que se está usando durante el curso. j. Verificar navegación en la computadora. Parte 5. E1 (AP) configurar reglas de Access-List (Password) a. Verificamos que tengamos a E2 (CPE) registrado en nuestra tabla de registros [admin@E1] > interface wireless registration-table print # INTERFACE RADIO-NAME MAC-ADDRESS AP SIGNAL-STRENGTH TXRATE UPTIME 0 wlan1 E2 4C:5E:0C:CC:C9:55 no 37dBm@1Mbps 11Mbps 25s b. Luego ya con la MAC que vemos lo trabajaremos con una regla de Access-List y le cambiaremos la clave y luego verificaremos si E2 tiene navegación [admin@E1] > interface wireless access-list [admin@E1] /interface wireless access-list> add macaddress=4C:5E:0C:CC:C9:55 interface=wlan1 private-pre-shared-key=mikrotik123 c. Verificar que se tiene navegación en el computador, caso contrario revisar los pasos anteriores. Parte 6. E1 (AP) configurar reglas de Access-List (Time) a. Eliminar la regla anterior de Access-List [admin@E1] > interface wireless access-list [admin@E1] /interface wireless access-list> remove numbers=0 b. Y ahora crearemos una regla de Access-List la cual indique por ejemplo que E2 (CPE) solo se pueda conectar todos los días pero solo en horario de 12pm a 15pm. [admin@E1] > interface wireless access-list [admin@E1] /interface wireless access-list>add interface=wlan1 mac address=4C:5E:0C:CC:C9:55 time=12h-15h,sun,mon,tue,wed,thu,fri,sat 16 Academy Xperts Capítulo 5 Administración de Red Objetivos: -­‐ -­‐ -­‐ -­‐ Poner en práctica los conceptos vistos en este capitulo Comprender las bases y configuraciones de un DHCP Poder fusionar un bridge + un DHCP Server Y comprender las funciones de DHCP Client Escenario: Datos: 1. Formar Grupo de dos personas E1 y E2 2. E1 se va conectar con RP vía wireless, pero con un nuevo SSID y un nuevo direccionamiento 3. E1 debe darle un nuevo direccionamiento a E2 por medio de un DHCP Server y a su vez E2 debe configurar un DHCP Client para poder recibir ese direccionamiento. 4. Por último E2 debe crear un Bridge, poner puertos 4y5 en el bridge y crearle un nuevo direccionamiento y darle por medio de DHCP-Server IP al computador. Configuración RP Parte 1. Configurar las nuevas redes para que se conecten los equipos que vayan a ser AP. ETHERNET GRUPO 1 GRUPO 2 GRUPO 3 GRUPO 4 GRUPO 5 GRUPO 6 Dirección de red 20.20.20.0/30 20.20.20.4/30 20.20.20.8/30 20.20.20.12/30 20.20.20.16/30 20.20.20.20/30 IP E1 WLAN1 20.20.20.1/30 20.20.20.5/30 20.20.20.9/30 20.20.20.13/30 20.20.20.17/30 20.20.20.21/30 IP E2 WLAN1 20.20.20.2/30 20.20.20.6/30 20.20.20.10/30 20.20.20.14/30 20.20.20.18/30 20.20.20.22/30 a. Configurar IP en la interfaz wlan1 del RP el cual va tener como SSID: PRACTICADHCP y como contraseña: mikrotik [admin@RP] [admin@RP] [admin@RP] [admin@RP] [admin@RP] [admin@RP] [admin@RP] > ip address /ip address> /ip address> /ip address> /ip address> /ip address> /ip address> add add add add add add address=20.20.20.1/30 interface=wlan1 address=20.20.20.5/30 interface=wlan1 address=20.20.20.9/30 interface=wlan1 address=20.20.20.13/30 interface=wlan1 address=20.20.20.17/30 interface=wlan1 address=20.20.20.21/30 interface=wlan1 17 Academy Xperts b. El E1 debe realizar el proceso básico de configuración inicial con la IP asignada por grupo, debe configurar la IP en la interfaz WLAN1, DNS, ENRUTAMIENTO ESTATICO, NAT etc. (Guiarse con el LAB 1.1) CONFIGURACION E1 Parte 1. Una vez que vemos que ya tenemos salida a internet en el equipo E1 procederemos a crear un direccionamiento y a entregar por DHCP SERVER ese direccionamiento a E2 a. Primero pondremos una IP en la interfaz la cual va estar conectada con el E2. Por ejemplo 192.168.x.1/24 donde “x” va ser el número de grupo. [admin@E1] > ip address [admin@E1] /ip address> add address=192.168.1.1/24 interface=ether3 b. Luego crearemos un DHCP-SERVER SETUP para esa IP y verificar que los datos están correctos. [admin@E1] > ip dhcp-server setup Select interface to run DHCP server on dhcp server interface: ether3 Select network for DHCP addresses dhcp address space: 192.168.1.0/24 Select gateway for given network gateway for dhcp network: 192.168.1.1 Select pool of ip addresses given out by DHCP server addresses to give out: 192.168.1.2-192.168.1.254 Select DNS servers dns servers: 10.10.10.1 Select lease time lease time: 10m CONFIGURACION E2 Parte 1. Crear un DHCP-CLIENT en la interfaz ether3 para recibir el direccionamiento que nos va dar el DHCP-SSERVER a. Utilizaremos las siguientes líneas para poderlas configurar. [admin@E2] > ip dhcp-client [admin@E2] /ip dhcp-client> add interface=ether3 disabled=no b. Luego comprobamos que tengamos la IP asignada. [admin@E2] > ip dhcp-client [admin@E2] /ip dhcp-client> print Flags: X - disabled, I - invalid # INTERFACE USE-PEER-DNS ADD-DEFAULT-ROUTE STATUS 0 ether3 yes yes bound 192.168.1.254/24 ADDRESS c. Configurar datos adicionales para que el equipo pueda salir a internet correctamente. Por ejemplo NAT, DNS d. Activar “Allow Remote Request” [admin@E2] > ip dns [admin@E2] /ip dns> edit allow-remote-requests e. Configurar el NAT. [admin@E2] > ip firewall nat [admin@E2] ip firewall nat > add action=masquerade chain=srcnat out-interface=ether3 18 Academy Xperts Parte 2. Crearemos un Bridge para la LAN de la laptop y que la vez le crearemos un DHCP-SERVER a. Crearemos un bridge y pondremos los puertos 4y5 en dicho bridge [admin@E2] > interface bridge [admin@E2] /interface bridge> add name=LAN2 b. Ahora pondremos los puertos 4 y 5 dentro del Bridge que hemos creado: [admin@E2] > interface bridge port [admin@E2] /interface bridge port> add interface=ether4 bridge=LAN2 [admin@E2] /interface bridge port> add interface=ether5 bridge=LAN2 c. Le pondremos una IP al bridge. Por ejemplo 60.60.x.1/24 donde X es el número de grupo [admin@E2] > ip address [admin@E2] /ip address> add address=60.60.1.1/24 interface=LAN2 d. Y ahora crearemos un DHCP-SERVER en este puertos LAN2 [admin@E2] > ip dhcp-server setup Select interface to run DHCP server on dhcp server interface: LAN2 Select network for DHCP addresses dhcp address space: 60.60.1.0/24 Select gateway for given network gateway for dhcp network: 60.60.1.1 Select pool of ip addresses given out by DHCP server addresses to give out: 60.60.1.2-60.60.1.254 Select DNS servers dns servers: 192.16.1.1 Select lease time lease time: 10m e. Luego nos conectaremos a uso de los puertos que estén dentro del bridge y verificar si nos dio la IP y por ende revisar si tenemos navegación. 19 Academy Xperts Capítulo 6 Firewall + NAT Objetivos: -­‐ -­‐ -­‐ -­‐ Poner en práctica los conceptos vistos en este capítulo. Proteger a un equipo MIKROTIK con las reglas principales para protección. Configurar reglas NAT para ciertos tipos de redireccionamientos en una RED Poner en práctica las términos address-list y Layer7 protocol Escenario: Datos: 1. Deben tener la red activa, se recomienda restaurar la configuración Principal y trabajarla hay. 2. Todas las reglas afectaran solo a sus propias LAN Reglas de Firewall Parte 1. Tal cual como ha sido explicado en clase lo primero será crear las reglas de input. a. Primero tendremos que aceptar las reglas de input con estado “Established” [admin@E1] > ip firewall filter [admin@E1] /ip firewall filter> add chain=input comment=IN_CONN_ESTABLISHED connection-state=established b. Luego tendremos que aceptar las conexiones relacionadas [admin@E1] > ip firewall filter [admin@E1] /ip firewall filter> add chain=input comment=IN_CONN_RELATED connection-state=related c. Luego denegaremos las conexiones invalidas para serán filtradas por el firewall internet del equipo MIKROTIK [admin@E1] > ip firewall filter [admin@E1] /ip firewall filter> add action=drop chain=input comment=IN_CONN_INVALID connection-state=invalid d. En un firewall siempre es recomendado decirle que Direcciones IP son permitidas a ingresar a nuestra red por ende por practica pondremos nuestra LAN para que pueda ingresar a nuestra RED y pasar a través del firewall. Crearemos un address-list donde pondremos la IP de nuestra computadora para que él pueda entrar a administrar nuestro equipo y la misma ves pasar a internet. Recordar que podemos ingresar cuantas direcciones IP puedas en un solo Address-List [admin@E1] > /ip firewall address-list [admin@E1] /ip firewall address-list> add address=192.168.2.254 list=LAN 20 Academy Xperts e. Luego tenemos que ponerla en la lista de las reglas de Firewall para permitir que esas IP que están en el address-list sean permitidas. [admin@RP] > ip firewall filter [admin@RP] /ip firewall filter> add chain=input comment=IN_IP_PERMITIDAS src-address-list=LAN f. Y por último es recomendable poner una regla de catch all, denegando el resto de tráfico a nuestra red. [admin@RP] > ip firewall filter [admin@RP] /ip firewall filter> comment=IN_DENEGAR_RESTO add action=drop chain=input Parte 2. Ya tenemos las reglas de INPUT, luego debemos proceder con las reglas de forward las cueles contienen el misma restricción que se manejaba en las reglas de INPUT a. Procedemos a la creación de las reglas, son iguales que las reglas de INPUT pero con la modalidad del chain de forward. add add add add add chain=forward comment=FW_CONN_ESTABLISHED connection-state=established chain=forward comment=FW_CONN_RELATED connection-state=related action=drop chain=forward comment=FW_CONN_INVALID connection-state=invalid chain=forward comment=FW_IP_PERMITIDAS src-address-list=LAN action=drop chain=forward comment=FW_DENEGAR_RESTO b. Con esto tendremos un firewall principal para poder administrar mejor nuestras redes internas para poder definir qué no más sale e ingresa a la red. REGLAS DE NAT Parte1. Regla de NAT & (action: masquerade) a. La regla más usada por los administradores de Redes con equipos MIKROTIK [admin@RP] > ip firewall nat [admin@RP] ip firewall nat > add action=masquerade chain=srcnat out-interface=ether1 b. Cuando queremos enmascarar redes privadas con distintas IP públicas (action: dstnat y action: srcnat) [admin@RP] > ip firewall nat [admin@RP] ip firewall nat > add action=dst-nat chain=dstnat comment="Dstnat Scr-Nat" disabled=yes dst-address=201.230.102.4 toaddresses=192.168.10.0/24 [admin@RP] ip firewall nat > add action=src-nat chain=srcnat disabled=yes src-address=192.168.10.0/24 to-addresses=201.230.102.4 c. Regla para redireccionar un tráfico en específico a otro Servidor externo. Por ejemplo tenemos el ambiente de una red ISP la cual tiene un servidor cache y quiere que sus clientes sean redireccionados al servidor cache. Para ello tenemos la IP publica 201.230.102.4 y la ip de nuestro servidor de cache 192.168.0.3 (action: dst-nat) [admin@RP] > ip firewall nat [admin@RP] ip firewall nat > add action=dst-nat chain=dstnat comment=DSTNAT dst-address=201.230.102.4 dst-port=80 protocol=tcp to-addresses=192.168.0.3 to-ports=80 Parte 2. Action: redirect + web proxy a. Primero activaremos el web-proxy y definimos el puerto que vamos a usar, por defecto viene el 8080 [admin@RP] > /ip proxy [admin@RP] /ip proxy> set enabled=yes port=8081 b. Segundo configuraremos el web proxy para redireccionar una página (www.hi5.com) al otra página (www.academyxperts.com), esto será aplicado a nuestra LAN. [admin@RP] > /ip proxy access [admin@RP] /ip proxy access > add action=deny dst-host=*hi5* redirectto=www.academyxperts.com src-address=200.200.200.0/24 21 Academy Xperts c. Luego de a ver creado la regla de web-proxy lo que haremos ahora será redireccionarlo por medio del chain: dstnat y la acción: redirect [admin@RP] > /ip firewall nat [admin@RP] /ip firewall nat > add action=redirect chain=dstnat dst-port=80 protocol=tcp to-ports=8081 Parte 3. Action: redirect + DNS a. Escenario: cuando se cambian los DNS en nuestros clientes (Para este caso simular cambiando los DNS de nuestra PC por cualquier DNS) b. Redireccionar: Que todo el tráfico DNS (53) de nuestra LAN sea redireccionado a los DNS del mismo Router RP. La regla tiene que ser aplicada tanto como TCP como UDP de DNS. [admin@RP] > /ip firewall nat [admin@RP] /ip firewall nat > add action=redirect chain=dstnat dst-port=53 protocol=tcp to-ports=53 [admin@RP] /ip firewall nat > add action=redirect chain=dstnat dst-port=53 protocol=udp to-ports=53 Parte 4. Address-List + Layer7 + Firewall Filter (Redes sociales) a. Bloquearemos un conjunto de redes sociales con la opción de Layer7, luego con la opción addressList agregaremos a quien bloquearle ese contenido de Layer7. Y por último crear la regla de Filter para bloquear y poner en marcha la regla. [admin@RP] > ip firewall layer7-protocol [admin@RP] /ip firewall layer7-protocol> add name="redes sociales" regexp="^.+(facebook|youtube|twitter|instagram).+\$" [admin@RP] > /ip firewall address-list [admin@RP] /ip firewall address-list > add address=192.168.10.0/24 list=LAN [admin@RP] > /ip firewall filter [admin@RP] /ip firewall filter> add action=drop chain=forward layer7protocol="redes sociales" src-address-list=LAN 22 Academy Xperts Capítulo 7 QoS Objetivo: -­‐ -­‐ -­‐ Poner en práctica los conocimientos adquiridos en este capitulo Poner crear una buena calidad de servicio para una LAN Comprender el uso de las reglas de Mangle Escenario: Mangle Parte 1. Crearemos las reglas de Mangle para poder marcar las conexiones a la cuales les vamos a asignar la calidad de servicio. a. En este caso analizaremos los tráfico que son sensibles en la Red tales como: HTTP, VOZ, P2P, EMAIL, Otros. Para ello necesitamos los puertos que manejen cada uno de ellos. [admin@RP] > /ip firewall mangle [admin@RP] /ip firewall mangle > add action=mark-connection chain=prerouting comment=conn_HTTP/S dst-port=80,443 new-connection-mark=conn_HTTP/S protocol=tcp [admin@RP] /ip firewall mangle > add action=mark-packet chain=prerouting connection-mark=conn_HTTP/S new-packet-mark=conn_HTTP/S.PKT passthrough=no [admin@RP] /ip firewall mangle > add action=mark-connection chain=prerouting comment=conn_VOZ dst-port=10000-20000 new-connection-mark=conn_VOZ protocol=udp [admin@RP] /ip firewall mangle > add action=mark-packet chain=prerouting connection-mark=conn_VOZ new-packet-mark=conn_VOZ.PKT passthrough=no [admin@RP] /ip firewall mangle > add action=mark-connection chain=prerouting comment=conn_P2P new-connection-mark=conn_P2P p2p=all-p2p [admin@RP] /ip firewall mangle > add action=mark-packet chain=prerouting connection-mark=conn_P2P new-packet-mark=conn_P2P.pkt passthrough=no [admin@RP] /ip firewall mangle > add action=mark-connection chain=prerouting comment=conn_Email dst-port=25,110,587,994 new-connection-mark=conn_Email protocol=tcp [admin@RP] /ip firewall mangle > add action=mark-packet chain=prerouting connection-mark=conn_Email new-packet-mark=conn_Email.PKT passthrough=no [admin@RP] /ip firewall mangle > add action=mark-connection chain=prerouting comment=conn_Resto new-connection-mark=conn_Resto [admin@RP] /ip firewall mangle > add action=mark-packet chain=prerouting connection-mark=conn_Resto new-packet-mark=conn_Resto.pkt passthrough=no Parte 2. Configurar la calidad de servicio para las siguientes conexiones que acabamos de marcar anteriormente por medio de las reglas de Mangle. 23 Academy Xperts [admin@RP] > /queue simple [admin@RP] /queue simple > add max-limit=2M/2M name=INTERNET target=192.168.100.254/32 [admin@RP] /queue simple > add limit-at=768k/768k max-limit=2M/2M name=HTTP/S packet-marks=conn_HTTP/S.PKT parent=INTERNET queue=pcq-uploaddefault/pcq-download-default target=192.168.100.254/32 [admin@RP] /queue simple > add limit-at=256k/256k max-limit=2M/2M name=EMAIL packet-marks=conn_Email.PKT parent=INTERNET queue=pcq-upload-default/pcqdownload-default target=192.168.100.254/32 [admin@RP] /queue simple > add limit-at=64k/64k max-limit=2M/2M name=RESTO packet-marks=conn_Resto.pkt parent=INTERNET queue=pcq-upload-default/pcqdownload-default target=192.168.100.254/32 [admin@RP] /queue simple > add limit-at=256k/256k max-limit=2M/2M name=P2P packet-marks=conn_P2P.pkt parent=INTERNET queue=pcq-upload-default/pcqdownload-default target=192.168.100.254/32 [admin@RP] /queue simple > add limit-at=512k/512k max-limit=2M/2M name=VOZ packet-marks=conn_VOZ.PKT parent=INTERNET queue=pcq-upload-default/pcqdownload-default target=192.168.100.254/32 24
