Academy xperts ax MIKROTIK CERTIFIED NETWORK ASSOCIATE MTCNA Argentina - Bolivia - Chile - Colombia - Costa Rica - Ecuador - Guatemala - Honduras - México - Nicaragua - Panamá - Perú - Venezuela cursos@academyxperts.com t n ude st abc x abc xperts www.abcxperts.com nag-v6.28.0.02 www.academyxperts.com GUIA DE ESTUDIO ESPAÑOL Academy Xperts MTCNA v6.28.0.02 Guía de Autoestudio ABC Xperts ® Network Xperts ® Academy Xperts ® Derechos de autor y marcas registradas Todos los derechos de autor y marcas registradas son propiedad del titular de los derechos de autor respectivo Derechos de autor © por Academy Xperts Todos los derechos reservados. Ninguna parte de este libro puede ser reproducido, almacenado, o transmitido por cualquier medio ya sea este un auditorio, medio gráfico, mecánico, o electrónico sin el permiso escrito del autor, excepto en los casos en que se utilicen breves extractos para usarlos en artículos o revisiones. La reproducción no autorizada de cualquier parte de este libro es ilegal y sujeta a sanciones legales. 1 Academy Xperts Tabla de Contenido Prólogo .......................................................................................................................................................... 8 Resumen ................................................................................................................................................................. 9 Audiencia ................................................................................................................................................................ 9 Organización .......................................................................................................................................................... 9 Capítulo 1, MikroTik, RouterOS y RouterBOARD .................................................................................................................. 9 Capítulo 2, Ruteo Estático ................................................................................................................................................................ 9 Capítulo 3, Bridge ................................................................................................................................................................................ 9 Capítulo 4, Wireless .......................................................................................................................................................................... 10 Capítulo 5, Network Management ............................................................................................................................................. 10 Capítulo 6, Firewall ........................................................................................................................................................................... 10 Capítulo 7, Colas Simples y QoS .................................................................................................................................................. 10 Capítulo 8, Título del Capítulo, cubre o discute sobre… ................................................................................................... 10 Convenciones usadas en este libro .............................................................................................................. 10 Comentarios y preguntas ................................................................................................................................ 11 Capítulo 1 .................................................................................................................................................. 12 MikroTik, RouterOS y RouterBOARD .......................................................................................................... 12 Sobre MikroTik ................................................................................................................................................... 12 ¿Qué es RouterOS? ............................................................................................................................................. 12 Característica de RouterOS ............................................................................................................................. 13 Soporte de Hardware ...................................................................................................................................................................... 13 Instalación ............................................................................................................................................................................................ 13 Configuración ...................................................................................................................................................................................... 13 Respaldo y Restauración (Backup/Restore) ......................................................................................................................... 13 Firewall .................................................................................................................................................................................................. 13 Ruteo (Routing) ................................................................................................................................................................................. 14 MPLS ....................................................................................................................................................................................................... 14 VPN .......................................................................................................................................................................................................... 14 Wireless ................................................................................................................................................................................................. 15 DHCP ....................................................................................................................................................................................................... 15 HotSpot .................................................................................................................................................................................................. 15 QoS ........................................................................................................................................................................................................... 15 Proxy ....................................................................................................................................................................................................... 15 Herramientas ...................................................................................................................................................................................... 15 Características adicionales ............................................................................................................................................................ 16 Qué hay de nuevo en la Versión 6 ................................................................................................................. 16 Novedades Generales ...................................................................................................................................................................... 16 PPP ........................................................................................................................................................................................................... 17 Firewall .................................................................................................................................................................................................. 17 Wireless ................................................................................................................................................................................................. 17 DHCP ....................................................................................................................................................................................................... 17 IPsec ........................................................................................................................................................................................................ 18 2 Academy Xperts Certificados .......................................................................................................................................................................................... 18 Ruteo (Routing) ................................................................................................................................................................................. 18 Colas (Queues) .................................................................................................................................................................................... 18 Exportar una configuración compacta ..................................................................................................................................... 19 Herramientas ...................................................................................................................................................................................... 19 Qué es RouterBOARD? ...................................................................................................................................... 19 Arquitecturas Soportadas: ............................................................................................................................................................ 19 Soluciones Integradas ..................................................................................................................................................................... 19 RouterBOARD solamente ............................................................................................................................................................... 19 Enclosures ............................................................................................................................................................................................ 19 Interfaces .............................................................................................................................................................................................. 20 Accesorios ............................................................................................................................................................................................. 20 Programa Made For MikroTik (MFM) ......................................................................................................... 20 Accesorios Certificados MikroTik (MikroTik Certified Accesories) ............................................................................ 20 Integrador Certificado MikroTik (MikroTik Certified Integrator) ............................................................................... 20 Por qué trabajar con un router integrado? ............................................................................................... 20 Nomenclatura ..................................................................................................................................................................................... 20 Por qué construir su propio Router? .......................................................................................................... 20 Ingresando al Router por Primera vez ....................................................................................................... 21 Ingreso por Web Browser ............................................................................................................................................................. 21 Qué es WinBox? .................................................................................................................................................. 22 Utilizando Winbox ............................................................................................................................................................................ 22 Otras formas de acceso: SSH y Telnet .......................................................................................................... 22 Acceso por puerto serial (puerto de Consola) ...................................................................................................................... 22 Bootloader ............................................................................................................................................................................................ 23 Consola Serial / Terminal Serial ................................................................................................................................................. 23 Configuración Básica o Dejar el router en Blanco? ................................................................................ 24 Configuración Básica ....................................................................................................................................................................... 24 Configuración en Blanco ................................................................................................................................................................ 25 Actualizando el router ...................................................................................................................................... 25 Cuando realizar una Actualización ............................................................................................................................................ 25 Cómo hacer un Upgrade ................................................................................................................................................................. 26 Actualización automática ............................................................................................................................................................... 27 RouterBoot firmware Upgrade ................................................................................................................................................... 28 Administración de usuarios en un RouterOS ........................................................................................... 28 Cuentas de usuario ........................................................................................................................................................................... 29 Administración de servicios en un RouterOS ........................................................................................... 29 Servicios IP (IP Services) ............................................................................................................................................................... 29 Acceso a los Servicios IP ................................................................................................................................................................. 29 Administración de los respaldos (backups) de las configuraciones ................................................ 30 Backup Binario ................................................................................................................................................................................... 30 Comando export ................................................................................................................................................................................ 31 Guardar archivos de Backup ........................................................................................................................................................ 31 3 Academy Xperts Licencias RouterOS ............................................................................................................................................ 31 Niveles de Licencias ......................................................................................................................................................................... 31 Uso de Licencias ................................................................................................................................................................................. 32 Netinstall ............................................................................................................................................................... 32 Uso de Netinstall ................................................................................................................................................................................ 32 Procedimiento para usar Netinstall .......................................................................................................................................... 33 Recursos adicionales ........................................................................................................................................ 35 Wiki ......................................................................................................................................................................................................... 35 Tiktube ................................................................................................................................................................................................... 35 Foros de Discusión ............................................................................................................................................................................ 36 Soporte MikroTik .............................................................................................................................................................................. 36 Distribuidores/Soporte .................................................................................................................................................................. 36 Laboratorio – Módulo 1 .................................................................................................................................... 36 Módulo 2: Ruteo Estático ..................................................................................................................... 37 Conceptos de Ruteo ........................................................................................................................................... 37 Routing o enrutamiento ................................................................................................................................................................. 37 Etiquetas de Rutas ............................................................................................................................................................................ 38 Significado de las etiquetas de rutas más comunes: .......................................................................................................... 38 Rutas Estáticas .................................................................................................................................................... 39 Entendiendo los Campos: .............................................................................................................................................................. 40 Ventajas del Enrutamiento Estático .......................................................................................................................................... 40 Limitantes del Enrutamiento Estático ..................................................................................................................................... 40 Cómo crear rutas estáticas ............................................................................................................................................................ 40 Ejemplo de Enrutamiento Estático ............................................................................................................................................ 41 Configurando la Ruta por Defecto ................................................................................................................ 41 Gestión de Rutas Dinámicas ........................................................................................................................... 41 Ejercicio de Implementación de Enrutamiento Estático .................................................................................................. 41 Módulo 3 -­‐ Bridge ................................................................................................................................... 43 Conceptos de Bridging ...................................................................................................................................... 43 Ejemplo 1 .............................................................................................................................................................................................. 43 Ejemplo 2 .............................................................................................................................................................................................. 44 Usando Bridges ................................................................................................................................................... 44 Creando un Bridge ............................................................................................................................................. 45 Agregando puertos al bridge ........................................................................................................................................................ 45 Haciendo Bridge con redes Wireless ........................................................................................................................................ 45 Módulo 4 – IEEE 802.11 (Wireless) .................................................................................................. 46 Conexión Inalámbrica ...................................................................................................................................... 46 IEEE 802.11 .......................................................................................................................................................... 46 Frecuencias y bandas: ..................................................................................................................................................................... 46 802.11b/g ............................................................................................................................................................................................. 46 802.11a .................................................................................................................................................................................................. 47 Problema del Nodo Oculto ............................................................................................................................................................ 48 4 Academy Xperts Advanced Channels ........................................................................................................................................... 48 basic-­‐rates / supported-­‐rates ........................................................................................................................ 49 HT chains .............................................................................................................................................................. 49 802.11n -­‐ Data Rates ......................................................................................................................................... 50 Tipos de Modulación ......................................................................................................................................... 51 Modo de Frecuencia (frequency-­‐mode) ..................................................................................................... 51 Country .................................................................................................................................................................. 51 Rate Flapping ....................................................................................................................................................... 51 Frequency mode ................................................................................................................................................. 52 Configuración básica de un enlace – Access Point (AP) ........................................................................ 52 Perfil de Seguridad (Security profile) ......................................................................................................... 53 Configuración básica de un enlace – Estación (cliente) ........................................................................ 54 Filtrado por MAC address ............................................................................................................................... 54 Access-­‐list ............................................................................................................................................................................................. 55 Parámetros adicionales: ................................................................................................................................................................. 55 Connect-­‐list: ......................................................................................................................................................................................... 56 Default-­‐authentication .................................................................................................................................................................... 57 Default-­‐forwarding ........................................................................................................................................................................... 57 WPA, WPA2 .......................................................................................................................................................... 57 Protocolos Wireless propietarios de MikroTik ....................................................................................... 58 NV2 (Nstreme Version 2) .............................................................................................................................................................. 58 Enlace más largo del mundo sin usar amplificador ........................................................................................................... 59 Herramientas de monitoreo ........................................................................................................................... 59 Wireless scan ...................................................................................................................................................................................... 59 Snooper .................................................................................................................................................................................................. 59 Registration table .............................................................................................................................................................................. 60 Redes inalámbricas en Modo Bridge ........................................................................................................... 60 Ejercicio en Clases ............................................................................................................................................................................. 60 Módulo 5 -­‐ Network Management ..................................................................................................... 61 ARP (Address Resolution Protocol) ............................................................................................................. 61 Modos ARP ........................................................................................................................................................................................... 61 Ventajas de usar ARP ....................................................................................................................................................................... 62 Desventajas de usar ARP ................................................................................................................................................................ 62 Tabla de ARP ....................................................................................................................................................................................... 62 Sintaxis ARP ......................................................................................................................................................................................... 63 Servidor / Cliente DHCP ................................................................................................................................... 63 DHCP Server Setup ........................................................................................................................................................................... 64 Configuraciones por línea de comando ................................................................................................................................... 66 DHCP Client .......................................................................................................................................................................................... 66 Sintaxis DHCP Client ........................................................................................................................................................................ 67 Gestión de Asignaciones .................................................................................................................................. 67 Herramientas de RouterOS ............................................................................................................................. 68 5 Academy Xperts E-­‐mail ..................................................................................................................................................................................................... 68 Netwatch ............................................................................................................................................................................................... 68 Ping .......................................................................................................................................................................................................... 69 Traceroute ............................................................................................................................................................................................ 69 Profiler (Carga del CPU) ................................................................................................................................................................. 69 System identity ................................................................................................................................................................................... 70 IP Neighbors ........................................................................................................................................................................................ 70 Ponerse en contacto con Soporte Mikrotik ............................................................................................... 70 Supout.rif .............................................................................................................................................................................................. 70 Supout.rif Viewer .............................................................................................................................................................................. 71 Autosupout.rif ..................................................................................................................................................................................... 71 Registros (logging) del sistema y registros de depuración ................................................................. 72 Acciones ................................................................................................................................................................................................ 72 Reglas ..................................................................................................................................................................................................... 72 Sistema de Registro de logging (Sintaxis) .............................................................................................................................. 72 Diagramas de Red .............................................................................................................................................. 73 Módulo 6 -­‐ Firewall ................................................................................................................................ 75 Conceptos básicos de Firewall ....................................................................................................................... 75 ¿Cómo funciona un firewall? ........................................................................................................................................................ 75 Flujo de Paquetes ............................................................................................................................................... 77 Ejemplo de flujo de paquetes ....................................................................................................................................................... 78 Connection Tracking y sus Estados .............................................................................................................. 79 TCP-­‐States ............................................................................................................................................................................................ 80 Estados de las Conexiones (connection-­‐state) ..................................................................................................................... 80 Estructura: chains y acciones ......................................................................................................................... 81 Filtrado Firewall en acción ........................................................................................................................................................... 81 Consejos Básicos y trucos .............................................................................................................................................................. 81 Filtrado por Parámetros ................................................................................................................................................................. 82 Filter actions ........................................................................................................................................................ 82 Protegiendo tu router (input) ....................................................................................................................... 82 MikroTik da las siguientes sugerencias para el Input ....................................................................................................... 82 Protegiendo a todos los clientes (forward) .............................................................................................. 82 MikroTik da las siguientes sugerencias para el Forward ................................................................................................ 83 Address-­‐list conceptos básicos ...................................................................................................................... 83 Source NAT ........................................................................................................................................................... 84 Masquerade & src-­‐nat ..................................................................................................................................................................... 84 Destination NAT ................................................................................................................................................. 85 dst-­‐nat & redirect .............................................................................................................................................................................. 85 Sintaxis NAT ......................................................................................................................................................... 85 scripts .................................................................................................................................................................... 86 Ejemplo de scripts ............................................................................................................................................................................ 86 Módulo 7 -­‐ QoS ......................................................................................................................................... 87 6 Academy Xperts Simple Queue (Cola simple) ........................................................................................................................... 87 Definición: ............................................................................................................................................................................................ 87 Target ..................................................................................................................................................................................................... 88 Destinos ................................................................................................................................................................................................. 88 Max-­‐limit and limit-­‐at ...................................................................................................................................................................... 88 Burst ....................................................................................................................................................................... 89 Parámetros del Burst: ..................................................................................................................................................................... 89 Bursting -­‐ Como trabaja ................................................................................................................................................................. 89 Sintaxis ................................................................................................................................................................................................... 90 Limitación de Tráfico ........................................................................................................................................ 90 Tipos de Colas ..................................................................................................................................................................................... 91 PCQ .......................................................................................................................................................................... 91 Una cola simple para toda la red (PCQ) ................................................................................................................................... 91 Configuración PCQ-­‐rate .................................................................................................................................................................. 91 Configuración PCQ-­‐limit ................................................................................................................................................................. 92 PCQ, ejemplo ....................................................................................................................................................................................... 93 Monitoreo ............................................................................................................................................................. 93 Monitor de tráfico de interfaz ...................................................................................................................................................... 93 Gráficas .................................................................................................................................................................................................. 94 SNMP ...................................................................................................................................................................................................... 95 Módulo 8 -­‐ Túneles ................................................................................................................................. 96 Introducción ........................................................................................................................................................ 96 PPP profile ............................................................................................................................................................ 96 PPP secret ............................................................................................................................................................. 97 PPP status ............................................................................................................................................................. 97 Creación de un Pool ........................................................................................................................................... 97 PPPoE ..................................................................................................................................................................... 98 PPPoE service-­‐name ........................................................................................................................................................................ 98 Creando un PPPoE server .............................................................................................................................................................. 99 Direcciones Point-­‐to-­‐Point ............................................................................................................................................................ 99 Creando Clientes PPPoE en un RouterOS ............................................................................................................................... 99 PPTP .................................................................................................................................................................... 100 Clientes y servidores SSTP ........................................................................................................................... 101 Clientes y Servidores OpenVPN .................................................................................................................. 102 Configuración de Rutas entre redes ......................................................................................................... 102 Proceso final – Examen ....................................................................................................................... 104 7 Academy Xperts Prólogo MikroTik es una empresa que nace en Latvia (Letonia) en 1995 con el claro objetivo de proveer un sistema operativo de red altamente robusto y eficiente al cual llamó RouterOS en 1997. La evolución del mismo llevó a la creación y lanzamiento al mercado en el 2002 de un hardware que aprovechara al máximo sus grandes capacidades de multiprocesamiento simétrico y multi-núcleo, este hardware es el RouterBOARD. A lo largo de los años a partir del nacimiento del Internet, los administradores de red hemos visto desfilar varios fabricantes por nuestros racks, habiendo estado siempre Cisco como referente, sin embargo siempre había representado un costo más o menos importante a la hora de implementar una solución de red ruteada en especial si se trataba de un ISP/WISP. No es sino hasta hace una década aproximadamente en que MikroTik se empieza a hacer conocer en Latinoamérica y varios emprendedores y por sobre entusiastas, se vuelcan a la implementación de soluciones basadas en RouterOS y RouterBOARD. Claro ejemplo de ello son nuestro grandes amigos de Index México (Ezequiel García) y REICO Costa Rica (Miguel Solís) quienes se volcaron a confiar en los productos ofrecidos por MikroTik. Es muy interesante y gratificante conversar con ellos y escuchar los relatos sobre los primeros pasos del fabricante letón en tierras americanas. Estoy convencido de que MikroTik llegó no solo para quedarse sino para formar una parte muy importante en la historia del networking y de las telecomunicaciones. De hecho, cientos de miles (quizá millones a esta fecha, Mayo 2015) obtienen su internet de banda ancha a un bajo costo a través de una red ruteada gracias a que los proveedores de Internet, pequeños y medianos, pueden estructurar e implementar redes sumamente complejas y completas usando equipos MikroTik. Las soluciones en RouterOS y RouterBOARD no se han quedado estancadas en las empresas de Telecom pequeñas, sino que han ido escalando en credibilidad en las empresa medianas y grandes en Latinoamérica, rompiendo paradigmas de fabricantes y costos de implementación. Este libro nace como un aporte a la comunidad tecnológica de habla hispana y latinoamericana que ha decidido incursionar en MikroTik y desea obtener un conocimiento formal. De igual manera queremos que esta guía constituya una fuente importante de aprendizaje para quienes empiezan a realizar sus primeras configuraciones en RouterOS. Mauro Escalante CEO Academy Xperts CEO Network Xperts 8 Academy Xperts Resumen Este libro cubre todos los temas del primer curso MikroTik MTCNA, y hemos tenido un especial cuidado en ampliar la información de aquellos puntos que no se profundizan en los cursos de certificación, pero que resultan claves para el correcto entendimiento de la materia. La información aquí presentada se complementa con nuestros recursos en www.abcxperts.com y www.youtube.com/abcxperts Este libro no pretende reemplazar la interacción face-to-face con un instructor ya que su experiencia y conocimiento es invaluable y únicamente explotable a través del contacto interpersonal de un curso de certificación. Sin embargo, todo el material de apoyo junto con los videos tutoriales, webinars, tips, etc., representan un importante aporte para aquellos colegas que optan por leer un libro y estudiar a su propio ritmo. Esta edición de MTCNA es la segunda revisión dedicada a la versión 6.28. Las posteriores revisiones al material y a los nuevos releases de RouterOS serán agregadas a esta edición y estarán a disponibilidad de las personas que compren la suscripción. Tenemos una tarea inmensa por delante pero estamos muy claros en nuestro objetivo de hacer de este libro la mejor guía de autoestudio MikroTik. Audiencia Las personas que leen este libro deben estar familiarizados con: • • Operaciones de red en Capa 2 Conjunto de protocolos IP, incluyendo TCP. UDP e ICMP Este libro está dirigido a: • • • • Ingenieros y Técnicos en Redes, Telecomunicaciones y afines, que desea implementar y dar soporte a: § Redes Corporativas § Clientes WISP e ISP Personas que buscan obtener la certificación MTCNA Ingenieros de Redes involucrados en actividades de pre-venta y post-venta en soporte e instalación de redes corporativa y PYMES Ingenieros de Redes, Administradores de Red, Técnicos en Soporte de Redes, y Técnicos de Soporte a Usuario (Help Desk) Organización Este libro consta de 8 capítulos. Al final de cada capítulo existe una lista de que resume las ideas principales. El apéndice proporciona material de referencia de utilidad, Capítulo 1, MikroTik, RouterOS y RouterBOARD Una rápida revisión sobre quien es MikroTik, el desarrollo del hardware RouterBOARD, y la base de su sistema operativo RouterOS en el kernel de Linux. Se enumeran todas las nuevas características que hacen a la versión 6.x.El contenido de este capítulo se apoya en los videos tutoriales de nuestro canal de conocimiento ABCxperts (http://www.abcxperts.com) en la plataforma YouTube (http://www.youtube.com/abcxperts). Capítulo 2, Ruteo Estático Trabajar en ruteo estático es muy sencillo en el RouterOS, sin embargo es muy importante fortalecer los conceptos y comprender los diferentes parámetros asociados con esta tarea. Los instructores (MikroTik Trainer Partners) deben fortalecer este entendimiento con ejercicios de laboratorio y prácticas teóricas. En nuestro canal de YouTube (http://www.youtube.com/abcxperts) tenemos video basados en Webinars específicamente sobre Conceptos de Ruteo, Subnetting, y VLSM. Capítulo 3, Bridge Una revisión del concepto de bridge, ventajas y desventajas. 9 Academy Xperts Capítulo 4, Wireless El mundo de Wireless en RouterOS es sumamente extenso y versátil, sin embargo en este capítulo del curso MTCNA se sientan las bases para poder realizar enlaces básicos y de mediana envergadura para punto-punto y punto-multipunto. En este capítulo se revisan temas como la seguridad Wireless, filtrado por MAC (address-list y access-list), HT chains, rate flapping, etc. Capítulo 5, Network Management RouterOS es un sistema operativo que provee diferentes herramientas de administración y monitoreo. En este capítulo se revisarán temas como ARP, DHCP Server, DHCP Cliente, Herramientas de RouterOS (email, netwatch, ping, traceroute, profiler, IP neighbors) Capítulo 6, Firewall La función Firewall de RouterOS es sumamente poderosa y en esta sección se tratará de cubrir las opciones y acciones más importantes destinadas a proteger el router y la red, así como también las formas de proveer acceso a recursos de LAN a través de un dispositivo que da la cara a Internet o red externa. Existen decenas de parámetros y situaciones entre las que se revisarán: Flujo de paquetes, Connection Track, Chains, Actions, Filtros, NAT (src-nat, dst-nat), Mangle. Capítulo 7, Colas Simples y QoS Si bien es cierto las Colas Simples (simple-queues) son “simples”, sin embargo proporcionan una posibilidad casi ilimitada para realizar una verdadera implementación de calidad de servicio (QoS) de la mano con las reglas de Mangle. Colas simples tiene sus limitaciones sobre la eficiencia de la asignación de ancho de banda, pero en los ejercicios que se desarrollen se podrá emular una estructura jerárquica que podrá ser mejorada en el curso de Control de Tráfico Avanzado (MTCTCE). Capítulo 8, Título del Capítulo, cubre o discute sobre… Por qué son necesarios los túneles? Cómo entender las interfaces virtuales que se generan? Cómo interconectar dos o más redes remotas a través de internet? Viajan los datos en forma segura o están expuesto en la nube? Este capítulo enseña cómo crear los diferentes tipos de túneles PPP en RouterOS. Se revisarán los parámetros y esquema de configuración de túneles: PPPoE, PPTP, L2TP, SSTP y OVPN Convenciones usadas en este libro En este libro se utilizarán las siguientes convenciones tipográficas: Itálicas Indica comandos, direcciones de correo, claves, mensajes de error, nombres de archivos, énfasis, y el primer uso de términos técnicos Courier new Indica direcciones IP y ejemplos de línea de comando Courier new en itálica Indica texto que puede ser reemplazado Courier new en negrita Indica datos de entrada del usuario Este icono significa un consejo, sugerencia, o una nota general. Este icono indica una advertencia o precaución. 10 Academy Xperts Comentarios y preguntas Puede enviar sus comentarios y preguntas sobre este libro por correo tradicional a la siguiente dirección: Network Xperts S.A. Av. Juan T. Marengo y J. Orrantia Edificio Professional Center, Piso 5, Ofic. 507 Guayaquil, ECUADOR +593-4-600-8590 +593-9-9535-2132 A través del sitio web y por medio de su usuario y contraseña, tendrá acceso a las actualizaciones, ejemplos, e información adicional: http://cursos.abcxperts.com Puede enviarnos sus comentarios o preguntas técnicas sobre este libro enviándonos un email a: libro@abcxperts.com Para más información sobre libros, conferencias, centros de recursos, y la red educativa de Academy Xperts, visite nuestros Websites y canal de YouTube http://www.abcxperts.com http://www.academyxperts.com http://www.youtube.com/abcxperts 11 Academy Xperts Capítulo 1 MikroTik, RouterOS y RouterBOARD Sobre MikroTik MikroTik es una compañía fundada en 1995 en Riga, capital de Latvia, creada para desarrollar routers y sistemas inalámbricos para Proveedores de Servicios de Internet (ISP – Internet Service Provider) En 1997 MikroTik creó el sistema de software RouterOS que proporciona estabilidad, control y flexibilidad para todos los tipos de interfaces de datos y ruteo En el 2002 MikroTik decidió fabricar su propio hardware y de esta forma nace el RouterBOARD. MikroTik tiene distribuidores en muchas partes del mundo, y clientes probablemente en casi todos los países del planeta. Páginas de interés: www.mikrotik.com www.routerboard.com wiki.mikrotik.com tiktube.com mum.mikrotik.com forum.mikrotik.com Website oficial Página oficial de los productos RouterBOARD Portal de documentación Portal de videos Eventos y conferencias del MikroTik User Meeting Foro de soporte oficial ¿Qué es RouterOS? MikroTik RouterOS es el sistema operativo del hardware MikroTik RouterBOARD, que tiene las características necesarias para un ISP: Firewall, Router, MPLS, VPN, Wireless, HotSpot, Calidad de Servicio (QoS), etc. RouterOS es un sistema operativo independiente basado en el kernel de Linux v3.3.5 que proporciona todas las funciones en una instalación rápida y sencilla, con una interfaz fácil de usar. RouterOS puede instalarse en PCs y otros dispositivos de hardware compatibles con x86, como tarjetas embebidas y sistemas miniITX. RouterOS soporta computadores multi-core y multi CPU. Soporta tambien Multiprocesamiento Simétrico (SMP: Symmetric MultiProcessing). Se puede ejecutar en los motherboards Intel más recientes y aprovechar los nuevos CPUs multicore. Multiprocesamiento Simétrico Es una arquitectura de Software y Hardware donde dos o más procesadores idénticos son conectados a una simple memoria compartida, teniendo acceso a todos los dispositivos I/O (entrada y salida), y que son 12 Academy Xperts controlados por una simple instancia del OS (Sistema Operativo), en el cual todos los procesadores son tratados en forma igualitaria, sin que ninguno sea reservado para propósitos especiales. En el caso de los procesadores multi-core (multi-núcleo), la arquitectura SMP se aplica a los núcleos, tratándolos como procesadores separados. El RouterOS formateará la partición y se convertirá en el sistema operativo por default del dispositivo. Soporta una gran variedad de interfaces de red, incluyendo tarjetas Ethernet de 10 Gigabit, tarjetas wireless 802.11a/b/g/n/ac y módems 3G y 4G. Fechas de liberación de las versiones de RouterOS • • • • v6 - May 2013 v5 - Mar 2010 v4 - Oct 2009 v3 - Ene 2008 Característica de RouterOS Soporte de Hardware • • • • • • • Compatible con arquitectura i386 Compatible con SMP (multi-core y multi-CPU) Requiere un mínimo de 32MB de RAM (reconoce hasta máximo 2GB, excepto en los dispositivos Cloud Core, donde no existe un máximo) Soporta los medios de almacenamiento IDE, SATA, USB y flash, con un mínimo de 64MB de espacio. Incluye HDDs, tarjetas CF y SD, y discos SDD Tarjetas de red soportadas por el kernel de Linux v3.3.5 (PCI, PCI-X) Soporte de configuración de Chip de Switch: http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features Compatibilidad de diferentes tipos de interfaces y dispositivos. Existe una lista de compatibilidad que alimentada por los usuarios en el siguiente link: http://wiki.mikrotik.com/wiki/Supported_Hardware Instalación • • • Netinstall: Instalación basada en red desde una tarjeta de red habilitada con PXE o EtherBoot. http://wiki.mikrotik.com/wiki/Manual:Netinstall Netinstall: Instalación a un drive secundario montado en Windows Instalación basada en CD Configuración • • • • • Acceso basado en MAC para configuración inicial. http://wiki.mikrotik.com/wiki/Manual:First_time_startup WinBox: herramientas de configuración gráfica (GUI) independiente para Windows. http://wiki.mikrotik.com/wiki/Manual:Winbox WebFig: Interface de configuración avanzada basada en web Poderosa interface de configuración basada en Línea de Comandos (CLI: command line) con capacidades de scripting integrado, accesible a través de terminal local, consola serial, telnet y ssh. http://wiki.mikrotik.com/wiki/Manual:Scripting API: una forma de crear sus propias configuraciones y aplicaciones de monitoreo. http://wiki.mikrotik.com/wiki/Manual:API Respaldo y Restauración (Backup/Restore) • • Copia de seguridad se configuración binaria Exportar e Importar la Configuración en formato de texto legible Firewall • Filtrado basado en el estado del paquete (Statefull filtering) 13 Academy Xperts • • • • • • • • Source NAT y destination NAT. http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT NAT helpers (h323, pptp, quake3, sip, ftp, irc, tftp). http://wiki.mikrotik.com/wiki/Manual:IP/Services#Service_Ports Marcas internas: mark-connection, mark-routing y mark-packet Filtrado basado en dirección IP y rango de direcciones, puerto y rango de puertos, protocolo IP, DSCP y muchos más. http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter Listas de direcciones (Address lists). http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Address_list Filtros de Capa 7 personalizados. http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/L7 Soporte para IPv6. http://wiki.mikrotik.com/wiki/Manual:IPv6_Overview PCC: clasificador basado en conexión, utilizado en configuraciones de balanceo de carga. http://wiki.mikrotik.com/wiki/Manual:PCC Ruteo (Routing) • • • • • • • • Ruteo Estático Virtual Routing and Forwarding (VRF). http://wiki.mikrotik.com/wiki/Manual:Virtual_Routing_and_Forwarding Ruteo basado en políticas (Policy based routing) Interface de ruteo. http://wiki.mikrotik.com/wiki/Manual:IP/Route#Routes_with_interface_as_a_gateway Ruteo ECMP. http://wiki.mikrotik.com/wiki/Manual:IP/Route#Multipath_.28ECMP.29_routes Protocolos de ruteo dinámico IPv4: RIP v1/v2, OSPFv2, BGP v4 Protocolos de ruteo dinámico IPv6: RIPng, OSPFv3, BGP Bidirectional Forwarding Detection ( BFD). http://wiki.mikrotik.com/wiki/Manual:Routing/BFD MPLS • • • • • • Static Label bindings para IPv4 Label Distribution protocol para IPv4. http://wiki.mikrotik.com/wiki/Manual:MPLSVPLS Túneles de Ingeniería de Tráfico RSVP. http://wiki.mikrotik.com/wiki/Manual:MPLS/TE_Tunnels Autodescubrimiento y señalización basado en VPLS MP-BGP MP-BGP basado en MPLS IP VPN Es el siguiente link se puede revisar la lista completa de las características de MPLS VPN • • • • • • • Ipsec: túnel y modo de transporte, certificado o PSK, protocolos de seguridad AH y ESP. Soporte de encriptación por hardware en RouterBOARD 1000. http://wiki.mikrotik.com/wiki/Manual:IP/IPsec Point to point tunneling (OpenVPN, PPTP, PPPoE, L2TP, SSTP) Características avanzadas de PPP (MLPPP, BCP) Soporte para túneles simples ( IPIP, EoIP) IPv4 e IPv6 Soporte para túnel 6to4 (IPv6 sobre red IPv4) VLAN: soporte para IEEE802.1q Virtual LAN, Soporte de Q-in-Q. http://wiki.mikrotik.com/wiki/Manual:Interface/VLAN VPNs basadas en MPLS. http://wiki.mikrotik.com/wiki/Manual:RouterOS_features#MPLS 14 Academy Xperts Wireless • • • • • • • • • • • • Cliente y Access Point inalámbrico IEEE802.11a/b/g Soporte completo para IEEE802.11n Protocolos propietarios Nstreme y Nstreme2 Protocolo NV2. http://wiki.mikrotik.com/wiki/Manual:Nv2 Wireless Distribution System (WDS) Virtual AP WEP, WPA, WPA2 Control por Lista de Acceso (Access List) Roaming de cliente Wireless WMM. http://wiki.mikrotik.com/wiki/Manual:WMM Protocolo HWMP+ Wireless MESH. http://wiki.mikrotik.com/wiki/Manual:Interface/HWMPplus Protocolo de ruteo wireless MME. http://wiki.mikrotik.com/wiki/Manual:Routing/MME DHCP • • • • • • • DHCP server por interface DHCP client y relay Arrendamiento de direcciones IP (leases) DHCP estáticas y dinámicas Soporte RADIUS Opciones personalizadas de DHCP Delegación de prefijo DHCPv6 (DHCPv6-PD) Cliente DHCPv6 HotSpot • • • • Acceso Plug-n-Play a la red Autenticación de clientes de red locales Contabilización de usuarios (Users Accounting) Soporte RADIUS para Autenticación y Contabilización QoS • • • Sistema Hierarchical Token Bucket ( HTB) QoS con CIR, MIR, burst y soporte de prioridades. http://wiki.mikrotik.com/wiki/Manual:HTB Colas Simples (Simple Queues) para implementación de QoS básico para una solución rápida y simple Entrega equitativa de ancho de banda al cliente en forma dinámica ( PCQ). http://wiki.mikrotik.com/wiki/Manual:PCQ Proxy • • • • • • • • Servidor proxy para almacenamiento en caché de HTTP Proxy Transparente HTTP Soporte de protocolo SOCKS. http://wiki.mikrotik.com/wiki/Manual:IP/SOCKS Entradas estáticas DNS. http://wiki.mikrotik.com/wiki/Manual:IP/DNS Soporte para almacenamiento en caché en un drive separado Soporte para Proxy Padre (parent proxy) Lista de Control de Acceso (access control list) Lista de almacenamiento en caché (caching list) Herramientas • Ping, traceroute 15 Academy Xperts • • • • • • • • Test de ancho de banda (Bandwidth test), ping flood Packet sniffer, torch Telnet, ssh E-mail y herramientas de envío SMS Herramientas de ejecución de Scripts automatizados CALEA. http://wiki.mikrotik.com/wiki/CALEA Herramienta File Fetch. http://wiki.mikrotik.com/wiki/Manual:Tools/Fetch Generador avanzado de tráfico Características adicionales • • • • • • • • • • • • • • Soporte para Samba. http://wiki.mikrotik.com/wiki/Manual:IP/SMB Soporte para OpenFlow. http://wiki.mikrotik.com/wiki/Manual:OpenFlow Bridging: spanning tree protocol (STP, RSTP), bridge firewall y MAC natting. Herramienta de actualización de Dynamic DNS NTP client/server y sincronización con sistema GPS. http://wiki.mikrotik.com/wiki/Manual:System/Time#SNTP_client Soporte para VRRP v2 y v3. http://wiki.mikrotik.com/wiki/Manual:Interface/VRRP SNMP M3P: MikroTik Packet packer protocol para enlaces Wireless y Ethernet MNDP: MikroTik neighbor discovery protocol, soporta CDP (Cisco discovery protocol) Autenticación y Contabilización RADIUS TFTP server. http://wiki.mikrotik.com/wiki/Manual:IP/TFTP Soporte para interface Sincrónica (Farsync cards only) (Se removió en la versión v5.x) Asincrónico: serial PPP dial-in/dial-out, dial on demand ISDN: dial-in/dial-out, soporte para128K bundle, Cisco HDLC, x75i, x75ui, x75bui line protocols, dial on demand Qué hay de nuevo en la Versión 6 Novedades Generales • • • • • • • • • • • • Drivers y Kernel actualizados a linux-3.3.5 Soporte inicial para OpenFlow. http://wiki.mikrotik.com/wiki/Manual:OpenFlow Nuevas características para pantallas táctiles LCD. http://wiki.mikrotik.com/wiki/Manual:LCD_TouchScreen Método de login mac-cookie para el HotSpot (mayormente usado en teléfonos inteligentes). http://wiki.mikrotik.com/wiki/Manual:Hotspot_Introduction#MAC_Cookie Opciones configurables del kernel en el menú /ip settings y /ipv6 settings (ip forward, filtros rp etc) El timeout del ARP puede ser cambiado en /ip settings El Neighbor discovery puede ser deshabilitado por default en las interfaces dinámicas en el menú /ip neighbor discovery settings Para habilitar/deshabilitar el descubrimiento (discovery) en la interface se debe usar el comando /ip neighbor discovery set (interface number/name) discover=yes/no Muestra el last-logged-in en la lista de usuarios GRE soporta todos los protocolos de encapsulación, no solo IPv4 e IPv6 La etiqueta ‘Slave’ se muestra en las interfaces que están en bridge, bonding o grupo de switch El cliente SSH provee la nueva propiedad output-to-file, muy útil cuando se realiza scripting. 16 Academy Xperts • • • • • • • • • • • Soporte para API sobre TLS (SSL). http://wiki.mikrotik.com/wiki/Manual:API API se encuentra habilitado por default DNS reintenta las búsquedas con TCP si se reciben resultados truncados DNS rota los servidores únicamente en falla DNS cache guarda en bitácora los requerimientos de los tópicos "dns" y "packet"; WebFig ahora soporta autenticación RADIUS (vía MS-CHAPv2). http://wiki.mikrotik.com/wiki/Manual:Webfig Se agregó un nuevo parámetros en Web Proxy: max-cache-object-size Se incrementó el contador de conexiones Max client/server en el Web Proxy Si el cliente NTP está habilitado, el log muestra la hora y fecha correctas cuando el router ha realizado un reboot Trunking 802.1Q con el chip de switch Atheros. http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features OpenFlow: Es la primera interfaz de comunicaciones estándar definida entre las capas de control y forward de una arquitectura SDN. Permite el acceso directo y la manipulación del plano de forward de los dispositivos de red tales como switches y routers, tanto físicos como virtuales (basados en hypervisor) El OpenFlow basado en tecnologías SDN, permite direccionar el consumo de ancho de banda, adaptar la red a las necesidades cambiantes del negocio, y reducir las complejidad de las operaciones y de la administración. https://www.opennetworking.org/sdn-resources/openflow SDN = Software-Defined Networking. Es la separación del <plano de control> de la red del <plano de forwarding.> Un <plano de control> controla diferentes dispositivos. https://www.opennetworking.org/sdn-resources/sdn-definition Mac-Cookie: es una nueva función HotSpot, diseñado para mejorar la accesibilidad de los teléfonos inteligentes, computadoras portátiles y otros dispositivos móviles. Si tenemos activado esto podremos: • Primer inicio de sesión correcto. Mac cookie mantiene un registro de nombre de usuario y la contraseña de la dirección MAC si solo hay un HotSpot con tales MAC. Aparece un nuevo Host. HotSpot chequea si hay un registro de cookies mac para la dirección y los registros. PPP • • • • • SSTP puede forzar una encriptación AES en lugar del RC4 por default El profile de PPP provee ahora los parámetros bridge-path-cost y bridge-port-priority Secrets muestra la fecha y hora de last-logged-out HotSpot y PPP ahora soportan múltiples address-lists Únicamente se crean 2 reglas de mangle mss para todas las interfaces PPP Firewall • • • • Nuevos comparadores (matchers) de interfaces all-ether, all-wireless, all-vlan, allppp Comparador con prioridad Nuevas opciones en change-dscp: from-priority y from-priority-to-high-3-bits Nuevas acciones de mangle: snif-tzsp, snif-pc Wireless • Opciones de Canales Wireless: se puede crear una lista de canales personalizados. http://wiki.mikrotik.com/wiki/Manual:Wireless_Advanced_Channels DHCP • El cliente DHCP ahora soporta opciones personalizadas 17 Academy Xperts • • • • • • El cliente DHCP v4 ahora tiene la opción special-classless para el parámetro add-defaultroute Se puede agregar la opción (Option 82) de información del agente relay. http://wiki.mikrotik.com/wiki/Manual:IP/DHCP_Relay Soporte de la opción DHCPv6 DNS Soporte de DHCPv6 Relay Soporte de ruta enmarcada DHCP server RADIUS Opción de configuración por entrega de IP (lease) DHCP IPsec • • • • • • • • • • Se mejoró significativamente la configuración Road Warrior cuando se usa con el soporte Mode Configuration. Soporte Mode Conf (unity split include, address pools, DNS) IPsec peer puede ser configurado como pasivo: no iniciará una negociación ISAKMP SA Soporte Xauth ( xauth PSK e Hybrid RSA) Plantilla de políticas: permite generar una política solo si src/dst address, protocol y proposal coinciden con la plantilla Peer groups Se puede usar Multiple peers con la misma dirección IP. Para los peers con un sistema especificado de dirección IP completo se auto-iniciará una negociación ISAKMP SA. generate-policy puede ahora tener un valor port-strict que usará el puerto del peer's proposal La dirección origen (source address) de la fase 1 se puede ahora configurar Certificados • • • • • Las claves CA (CA keys) ya no son almacenados, cada operación CA ahora requiere un CA passphrase válido. Se usa el parámetro set-ca-passphrase para que el servidor SCEP almacene la clave CA (CA key) en forma encriptada Para los certificados marcados como trusted=yes, CRL se actualizará automáticamente una vez por hora desde las fuentes HTTP IPsec y SSTP respetan los CRLs Soporte para server/cliente SCEP El administrador de certificados puede ahora emitir certificados firmados por sí mismo. Ruteo (Routing) • • • Nuevo parámetro use-dn en OSPF. Obliga a ignorar el DN bit en los LSAs. Se cambió la lógica de propagación BGP MED. Ahora se descarta cuando se envía una ruta con non-empty AS_PATH a un par externo Las rutas conectadas se vuelven inactivas cuando la interface se cae. Esto significa que los protocolos de ruteo dinámico detendrán la distribución de las rutas conectadas que no tengan la etiqueta Active. Colas (Queues) • • • • • • Se mejoró el desempeño del uso de las colas simpes (simple queues) Se mejoró la administración de las colas (/queue simple y /queue tree), permitiendo el manejo de decenas de miles de colas Las entradas de /queue tree con parent=global se ejecutan en forma separada de las /queue simple y antes de las /queue simple Se crean por default los tipos de encolamiento (queue types): pcq-download-default y pcqupload-default Las colas simples (simple queues) tienen configuraciones de prioridad separados para download/upload/total Los padres global-in, global-out, global-total en /queue tree se reemplazan con global que es el equivalente a global-total en la versión 5 18 Academy Xperts • • • Las colas simples se ejecutan en un lugar diferente: al final de los chains postrouting y local-in Los parámetros target-addresses e interface en colas simples se unen en un solo parámetro destino, ahora soporta múltiples interfaces para una sola cola El parámetro dst-address en las colas simples se cambia a dst y ahora soporta una interface como destino Exportar una configuración compacta • • Ahora por default la configuración se exporta en modo compacto Para realizar un export completo de la configuración se debe usar el parámetro verbose /export verbose file=myConfig Herramientas • • • • • • Soporte FastPath. http://wiki.mikrotik.com/wiki/Manual:Fast_Path Se renombró en e-mail el tls a start-tls y se agregó como un parámetro configurable La herramienta Fetch ahora tiene soporte para HTTPS. http://wiki.mikrotik.com/wiki/Manual:Tools/Fetch Se agregó soporte de la cabecera IPv6 al generador de tráfico(traffic generator) Reproducción de archivos pcap dentro de la red usando el nuevo comando trafficgen injectpcap La NAND Flash puede ser particionada en los routerboards y se pueden instalar versiones separadas de RouterOS en cada una de las particiones. http://wiki.mikrotik.com/wiki/Manual:Partitions Qué es RouterBOARD? Es una familia de soluciones de hardware circuitos diseñados por MikroTik para responder a las necesidades de clientes a nivel mundial. Todos Operan bajo RouterOS. Esta división de hardware se caracteriza por incluir su sistema operativo RouterOS y actualizaciones de por vida. Estos dispositivos tienen la ventaja de tener una excelente relación costo/beneficio comparados con otras soluciones en el mercado. Arquitecturas Soportadas: Soluciones Integradas • • • Estos productos se proporcionan completos con carcasas y adaptadores de corriente. Listo para usar y pre configurados con la funcionalidad más básica. Todo lo que necesitas hacer es conectarlo y conectarse a Internet o a una red corporativa. RouterBOARD solamente Son pequeñas placas madres que se venden "tal cual". Usted debe elegir el modelo y solicitar adicionalmente, adaptador de corriente y las interfaces, todo esto por separado. Perfecto para el montaje de sus propios sistemas, con opción de personalización. Enclosures Son cubiertas para interiores y exteriores, sirven para albergar los dispositivos RouterBOARD. La Selección se realiza en base a: • • • localización prevista el modelo del RouterBOARD el tipo de conexiones necesarias (USB, antenas, etc). 19 Academy Xperts Interfaces • • Módulos Ethernet, fibra SFPs, o tarjetas de radio inalámbricas para ampliar la funcionalidad de los dispositivos RouterBOARD y PCs con RouterOS. Una vez más, la selección se basa según las necesidades. Accesorios Abarca toda la gama de dispositivos adicionales para los productos MikroTik, tales como: adaptadores de corriente, soportes, antenas e inyectores PoE. Programa Made For MikroTik (MFM) El programa Made for Mikrotik consta de dos partes: “Mikrotik Certified Integrators” y “Mikrotik Certified Accessories” http://www.mikrotik.com/mfm Accesorios Certificados MikroTik (MikroTik Certified Accesories) Son hechos por empresas homologadas de MikroTik, y que hacen los accesorios específicamente para productos MikroTik. Esto incluye productos compatibles con RouterBOARD, antenas externas y otros productos. Integrador Certificado MikroTik (MikroTik Certified Integrator) Son empresas que hacen soluciones basados en un RouterBOARD MikroTik y RouterOS. Estos productos incluyen en el ensamblado de dispositivos CPE/AP, preinstalación de antenas integradas y soluciones para montaje en rack con RouterOS. Por qué trabajar con un router integrado? • • • Con este tipo de solución se puede atender muchas necesidades. Los routers integrados proveen poca o ninguna expansión, ya que vienen conuna configuración de hardware fija (Wi-Fi, ethernets ports, memorias on-board, puertos usb) Esta es una solución simple, pero muy sólida para muchas necesidades. Nomenclatura Los nombres de los routers son elegidos según características, como por ejemplo: • • • • • • • • CCR : Cloud Core Router RB : RouterBoard 2, 5 : 2,4GHZ or 5GHz H : High powered radio S : SFP U : USB i : Injector G : Gigabit ethernet Por qué construir su propio Router? • • Puede ayudar a solucionar una gran variedad de necesidades especificas que desea cubrir. Dependiendo del board que use, puede tener muchas ranuras de Expansión muy útiles. 20 Academy Xperts • • Gran variedad de complementos. Configuración personalizable. Ingresando al Router por Primera vez Dentro de las formas que tenemos para ingresar al router están las siguientes: • • • Web browser Winbox Conexión serial o puerto de consola (RS-232) Ingreso por Web Browser Este método de ingreso puede ser usado cuando el router ya tiene algunos parámetros configurados previamente. Proporciona una manera intuitiva de conectarse a un router con RouterOS únicamente colocando en el navegador web la dirección IP asignada al router. Por defecto se utiliza 192.168.88.1 Pasos para ingresar por Web browser: • • • • Conecte al router con un cable Ethernet y posteriormente a su tarjeta de red. Abra un navegador (Mozilla, Chrome, Internet Explorer, etc.) Escriba la dirección IP por default: 192.168.88.1 Si se le solicita, inicie sesión. Nombre de usuario es "admin" y la contraseña está en blanco por defecto. Al momento de ingresar verá lo siguiente: 21 Academy Xperts Qué es WinBox? • • • • WinBox es la interfaz propietaria de MikroTik RouterOS para acceder a los routers con RouterOS Se puede descargar desde el sitio web de MikroTik o del router. http://www.mikrotik.com/download Se utiliza para acceder al router a través de IP (capa 3 OSI) o MAC (capa 2 OSI). Mientras está en el navegador, desplácese hacia abajo y haga clic en "cerrar sesión“. Entonces podrá ver: o Haga clic en "WinBox“ o Guardar "winbox.exe" Utilizando Winbox • • • • • Haga clic en el ícono de WinBox, para abrir la aplicación y darle click en refresh. Escrinba la dirección IP 192.168.88.1 Haga clic en "Conectar" Esperar a que se cargue la interfaz completa: Haga clic en "OK" Otras formas de acceso: SSH y Telnet Herramientas IP estándar para acceder al router: • • Telnet: La comunicación se realiza en texto plano, sin cifrar (puerto 23/TCP). o Disponible en la mayoría de sistemas operativos, por terminal, CMD, otros. o Demasiado inseguro!! SSH: Cifra la comunicación realizada entre el usuario y router (puerto 22/TCP). o Comunicación segura!! o Hay herramientas disponibles de código libre para el acceso por ssh, ejemplo: PuTTy. http://www.putty.org Acceso por puerto serial (puerto de Consola) Los puertos seriales (también llamados RS-232, por el nombre del estándar al que hacen referencia) fueron las primeras interfaces que permitieron que los equipos intercambien información con el "mundo exterior". El término serial se refiere a los datos enviados mediante un solo hilo: los bits se envían uno detrás del otro (consulte la sección sobre transmisión de datos para conocer los modos de transmisión). 22 Academy Xperts Para conectarse al router se requiere una conexión null-modem (puerto RS-232). Importante: La configuración por defecto es cuando se accede vía serial es: • • • • 115200 bps de velocidad 8 bits de data 1 bit de parada (stop) Sin paridad (no parity) Bootloader El bootloader o cargador de arranque, es un programa que se encarga de cargar y ejecutar el sistema operativo, este cargador de arranque va a configurar el dispositivo según las opciones que mostramos a continuación: What do you want to configure? d - Boot delay K - Boot key S - Serial console N - Silent boot O - Boot device U - Cpu mode F - Cpu Frequency R - Reset booter configuration E - Format nand G - Upgrade firmware I - Board info P - Boot protocol B - Booter Options T - Call debug code L - Erase license X - Exit setup Your choice: Consola Serial / Terminal Serial La interfaz de línea de comandos (CLI = Command Line Interface) es un método que permite a los usuarios dar instrucciones a algún programa informático por medio de una línea de texto simple. Este método se usa normalmente cuando se ingresa por PUTTY, Telnet, SSH, Terminal u otros. /system console y /system serial-terminal son herramientas para comunicarse con otros sistemas que están interconectados vía puerto serial. Terminal Serial Nos sirve para monitorear y configurar muchos dispositivos: • • • Módems Dispositivos de red (incluyendo routers MikroTik) Cualquier dispositivo que se pueda conectar a un puerto serial (asíncrono) Consola Serial 23 Academy Xperts • • • Configurar facilidades de acceso directo (monitor/teclado y puerto serial) que son mayormente usados para configuraciones de recuperación Si no se desea usar un puerto serial para acceder a otro dispositivo o para conexión de datos a través de un modem, se puede entonces configurarlo como una consola serial. Un puerto serial libre puede ser usado para acceder a otras consolas seriales de otros routers (u otros equipos como switches) desde un router MikroTik Special Login Puede ser usado para acceder a otro dispositivo (ejemplo: un switch) que está conectado a través de un cable serial abriendo una sesión telnet/ssh que lo llevará directamente a ese dispositivo sin tener que hacer login al primer RouterOS. http://wiki.mikrotik.com/wiki/Manual:Special_Login Configuración Básica o dejar el router en Blanco? • • • Usted puede o no tener una configuración básica cuando recién ha instalado el equipo, debido a que el equipo provee una configuración inicial, por defecto, para permitirle usar el equipo sin previa configuración definida por el usuario. Usted puede optar por no tomar la configuración básica por defecto, o dejar en blanco los equipos para poderlo configurar a gusto del cliente, usuario o administrador. Revise la siguiente página web para averiguar cómo su dispositivo se comportará: http://wiki.mikrotik.com/wiki/Manual:Default_Configurations Configuración Básica Dependiendo de su hardware, tendrá una configuración por defecto, que pueden incluir: • • • • • • Puertos WAN Puertos LAN DHCP client (WAN) y servidor (LAN) Reglas básicas de Firewall Reglas NAT Direccionamiento LAN IP por defecto Al momento de tener acceso por medio de WinBox, podrá revisar la configuración por defecto por medio de una ventana emergente inicial, que consta de opciones de visualización de configuración o de borrar configuraciones y dejar en blanco, adicional en cualquier momento usted puede observar la configuración por defecto, con el comando: /system default-configuration print • • Al conectar por primera vez con WinBox, haga clic en "OK“, mas adelante analizaremos la opción: “Remove Configuration” El router tiene la configuración básica por defecto que la muestra en una ventana 24 Academy Xperts Configuración en Blanco Puede ser utilizado en situaciones en las que no se requiere la configuración básica por defecto. • • No hay necesidad de Reglas de firewall por defecto. No hay necesidad de Reglas de NAT por defecto Los pasos mínimos para configurar un acceso básico a Internet (si el router no tiene una configuración básica por defecto) • • • • • Direcciones IP de LAN Puerta de enlace predeterminada y servidor DNS Dirección IP de la WAN Regla de NAT (enmascaramiento) Cliente SNTP y la zona horaria Actualizando el router Cuando realizar una Actualización Si el router mikrotik se encuentra desactualizado, podemos realizar en cualquier momento la actualización siempre y cuando intentemos mejorar o corregir lo siguiente: • • • Corregir un error conocido. Cuando se necesita una nueva característica. Mejora del rendimiento. NOTA: Por favor lea la lista de cambios, para obtener mayor información, antes de realizar un Upgrade, si tiene una versión inferior a la 6!! http://wiki.mikrotik.com/wiki/Manual:RouterOS6_news El Procedimiento • • Se requiere una planificación. o Los pasos pueden que tengan que hacerse en un orden preciso y con planificación previa. Se requiere pruebas ... 25 Academy Xperts o • Antes de que ponga en acción la nueva actualización, es necesario realizar pruebas en ambientes controlados, o sino realizar backup de la configuración anterior, como medida de contingencia en caso de que la nueva actualización no funcione como Ud. lo espera. Recomendaciones: Si el dispositivo funciona correctamente no se recomienda realizar un upgrade, de preferencia mantenerse con la configuración anterior. Antes de realizar una actualización Es importante saber la arquitectura soportada (mipsbe, ppc, x86, mipsle, tile), en la cual se va a realizar la actualización. Winbox indica la arquitectura del equipo. Debe conocer qué ficheros se necesitan: • • • • NPK: paquete de actualización de RouterOS (siempre que se realiza un upgrade) ZIP: Paquetes adicionales (sobre la base de las necesidades) Verificar los Cambios: proceso de verificación post-actualización que valida el cambio efectuado en su dispositivo y el correcto funcionamiento (siempre que se realiza un upgrade) ¿Cómo hacer un Upgrade? (Actualización de RouterOS) Cómo hacer un Upgrade Tenemos tres maneras 1. Descargar archivos y copiar en el router 2. Buscar actualizaciones (System -> Packages) 3. Actualizaciones automáticas (System -> Actualizaciones automáticas) Se sugiere mantener siempre actualizado su RouterOS para mejor funcionamiento ya que siempre los desarrolladores están añadiendo nuevas funciones y mejorando el rendimiento y la estabilidad mediante la liberación de actualizaciones. Requisitos y sugerencias Cuando se utiliza un dispositivo RouterBOARD, siempre se sugiere actualizar el RouterBoot bootloader, después ya se podrá actualizar el RouterOS. Para hacer esto, ejecutar el comando /system routerboard upgrade Descargando los archivos Copiar los archivos en el router por medio de la ventana “File”. Por ejemplo: • • • • routeros-mipsbe-6-28.npk ntp-6.28-mipsbe.npk Reiniciar el equipo /system reboot Comprobar que se realizó la actualización Para realizar este proceso lo principal que debemos hacer es tener descargado los paquetes de actualización que necesitamos. • • Primer paso es visitar la web: http://www.mikrotik.com y nos dirigiremos a la página de descarga (downloads). Una recomendación es descargar paquetes combinados en vez de solo la versión que desea, ya que en estos paquetes combinados, vendrán con todas las funciones incluidas, tales como, paquetes adicionales para la actualización requerida. 26 Academy Xperts Buscar actualizaciones • • • • A través del menú “System / Packages” Presionar el botón “Ckeck for Updates” a continuación “Download & Upgrade” Luego el equipo se reiniciara automáticamente Verificamos la instalación de los paquetes y el estado del router Desde el lanzamiento del RouterOS v5.21, se añadió la actualización automática. Para actualizar la versión de RouterOS, todo lo que se necesita hacer es hacer clic en un botón “Check For Updates”. Esta característica está disponible en la línea de comandos, Winbox GUI, Webfig GUI y QuickSet. La función de actualización automática se conecta a los servidores de descarga MikroTik, y comprueba si hay una nueva versión de RouterOS para su dispositivo. En caso afirmativo, se muestra una lista de cambios, y el botón de actualización se mostrará. Al hacer clic en el botón Actualizar, los paquetes de software se descargarán automáticamente, y el dispositivo se reiniciará. Incluso si usted tiene un sistema con paquetes personalizados instalados, solo los paquetes que usted desea tener en su equipo se descargarán. El proceso es fácil y rápido, con el uso de los servidores FTP. Actualización automática • • Copie los archivos requeridos por los demás router, en uno de ellos para que sirva como fuente del archivo de actualización. Configurar todos los router para que apunten hacia el router interno 27 Academy Xperts Objetivos Hacer un router como punto central de la red con las actualizaciones, que actualizará el RouterOS en otros routers. • Subir los paquetes RouterOS necesarios para este router. • Mostrar los paquetes disponibles • Seleccionamos y descargamos los paquetes deseados • Reiniciar y verificamos el estado del router • Comprobar la versión actual [admin@Mikrotik] > /system RouterBOARD print RouterBoard: yes Model: 951Ui-2HnD Serial-number: 458802555182 Current-firmware: 3.18 Upgrade-firmware: 3.18 • RouterBoot firmware Upgrade Es una de las opciones más rápidas y seguras para realizar una actualización por medio de línea de comando utilizando el software de Winbox. Actualizar si es necesario (esto es un ejemplo): [admin@Mikrotik] > /system RouterBoard Upgrade Do you really want to Upgrade firmware? [y/n]: Yes [admin@Mikrotik] > Echo: system, info, critical firmware Upgrade successfully, please reboot for changes to take effect! Reboot, yes? [y/N]: Administración de usuarios en un RouterOS 28 Academy Xperts La creación de diferentes usuarios para un sistema, o en este caso para el ingreso a un RouterBOARD es algo fundamental para mantener nuestro sistema seguro, ya que podremos crear usuarios con diferentes prioridades. No todos los usuarios necesariamente deben ingresar a todas las operaciones que se puedan realizar en un Router. Al momento de la creación de un usuario podremos darle los permisos necesarios como acceso total o que solo sea un usuario para solo lectura o si se desea ser más detallado se podrá configurar a qué tipo de servicios el usuario puede acceder. Cuentas de usuario • • Se crean cuentas para: o Administrar los privilegios o Definir acciones permitidas para cada usuario Se crean grupos para: o Tener una mayor flexibilidad cuando asignamos privilegios, ya que cuando tengamos una cierta cantidad de usuarios y que van a tener los mismos privilegios, podremos crear un grupo con los permisos que tienen y luego asignarle los usuarios pertenecientes a dicho grupo. Administración de servicios en un RouterOS En estas opciones encontraremos los protocolos y puertos usados por los RouterOS MikroTik. Te ayuda a determinar porque su router MikroTik escucha a ciertos puertos, y lo que necesita para bloquear/permitir en caso de que quiera evitar o permitir el acceso a los servicios determinados. Servicios IP (IP Services) • • • Administrar los servicios IP para: o Limitar el uso de recursos (CPU, Memoria) o Limitar las amenazas de seguridad (Puertos abiertos) o Cambiar el puertos TCP o Limitar las direcciones IP y subredes IP aceptadas Para controlar los servicios se debe ir al menú “IP -> Services” Desactivar o Activar los servicios requeridos Acceso a los Servicios IP • • • Hacer doble clic en un servicio Si es necesario, especificar que host o subredes pueden acceder a los servicios Es una muy buena práctica de seguridad el limitar ciertos servicios a los administradores de red. 29 Academy Xperts Administración de los respaldos (backup) de las configuraciones Los backup de configuración se pueden utilizar para realizar copias de seguridad de la configuración de un RouterOS MikroTik en un archivo binario, que puede ser almacenada en el router o descargado a través de FTP para su uso futuro. La opción de restauración se puede utilizar para restaurar la configuración del router, tal y como era en el momento de creación de copia de seguridad, a partir de un archivo de copia de seguridad. La opción export puede utilizarse para volcar la configuración Mikrotik RouterOS completa o parcial a la pantalla de la consola o en un archivo de texto, que se puede descargar desde el router mediante el protocolo FTP. Tipos de Backups • • Backup Binario Comando “export” Backup Binario • • • Realiza un Backup completo del sistema Incluye contraseñas y usuarios Los Backup serán guardados por defecto en el mismo router. Se recomienda que guarde en la pc o en una unidad externa ya que resultaría ilógico que se guarde en el mismo dispositivo, uno puede generar “n” archivos de backup, y se guarda por defecto, con nombre del host, año, fecha, hora. 30 Academy Xperts Comando export Configuración completa o parcial Usar el comando “compact” para mostrar la configuración no predeterminada Se confirma con la configuración cuando se desea respaldar alguna parte de la configuración con la sentencia PRINT y se realiza un backup por parte de alguna parte del código con el comando export, si se ingresa en la pagina principal solamente export, respalda toda la configuración del router… • export file = nombre del archivo. • No respalada los usuarios del router. [admin@Mikrotik] > ip firewall filter export # jan/01/2014 01:58:17 by RouterOS 5.24 # software id = PEVF-794H # /ip firewall filter Add action=Accept chain=input comment=”default configuration” disabled=no \ Protocol=icmp Add action=Accept chain=input comment=”default configuration” disabled=no \ Connection-state=established Add action=Accept chain=input comment=”default configuration” disabled=no \ Connection-state=related Add action=drop chain=input comment=”default configuration” disabled=no \ Protocol=ethernet-gateway • • • Guardar archivos de Backup • • Una vez generado, copiarlos en un servidor o SFTP (Garantizado) o FTP (Se lo habilita en el menú “IP Services” o Arrastrar y Soltar usando la ventana “Files” Dejar los archivos de Backup en el router no es una buena práctica o al menos no es algo recomendado. Los routers no hacen Backup en cintas o CD Licencias RouterOS Niveles de Licencias Tenemos 6 tipos de licencias: • • • • • • Nivel 0: Demo (24 Horas) Nivel 1: Free (Muy limitada) Nivel 3: WISP CPE (Clientes Wi-Fi) Nivel 4: WISP (Requeridos para un Access Point) Nivel 5: WISP (Mas Capacidades) Nivel 6: Controlador ( Capacidades ilimitadas) 31 Academy Xperts Las Licencias • • • Determinan las capacidades permitidas en un Router RouterBOARD viene con una licencia pre-instalada o Niveles Varían Para un sistema X86 deben adquirirse las licencias o Una licencia es validad solo para un equipo o http://wiki.mikrotik.com/wiki/Manual:License Usos Típicos: • • • • Nivel 3: CPE, Clientes Wireless Nivel 4: WISP Nivel 5: Amplio WISP Nivel 6: infraestructuras internas ISP (Cloud Core) Uso de Licencias • • • No se puede actualizar el nivel de licencia. Se puede comprar el dispositivo correcto y la licencia requerida según el equipo La licencia está ligada a la unidad de instalación por defecto. Tenga cuidado en no formatear la unidad sin utilizar herramientas que no sean Mikrotik Leer la página web sobre licencias para más detalles! Netinstall Es un programa que se ejecuta en el equipo de Windows que permite instalar RouterOS MikroTik en una PC o en un RouterBOARD a través de una red Ethernet. Su dispositivo debe ser compatible con el arranque desde Ethernet, y debe haber un enlace Ethernet directo desde el ordenador donde tenemos el Netinstall al dispositivo de destino. Uso de Netinstall • • • Reinstalación del RouterOS para recuperación del sistema Reinstalación del RouterOS tras perdida de contraseña Para descargar Netinstall: http://www.mikrotik.com/download 32 Academy Xperts Procedimiento para usar Netinstall Para RBs sin el puerto COM • • • • • • Nos conectamos a un computador por medio del puerto Ethernet 1 o Configurar una dirección IP y máscara de subred estática al computador Iniciar Netinstall o Presionar el botón “Net booting” y escribir una dirección IP al azar y que este en la misma subred que el computador En la sección “Packages”, click en “Browse” y seleccionar un directorio que contenga un archivo NPK valido. Presionar el botón “reset” por el router hasta que el LED de “ACT” se torne apagado o Router aparecerán en la sección “Routers/Drivers Seleccionamos la versión del RouterOS requerido desde la sección “Packages” o Presionar el botón “install” La barra de progreso se tornara azul mientras se transfiere los archivos NPK 33 Academy Xperts • Una vez completado, vuelva a conectar el cable de la computadora en uno de los puertos válidos y el cable de acceso a internet en el puerto 1 • Usar el MAC-Winbox para conectare al equipo con configuración en blanco. • Hacer una copia de seguridad de la configuración y reiniciar el sistema • Si el problema era de una contraseña perdida, vuelva a realizar la configuración desde cero. o o Importante para la gestión de un acceso adecuado de los archivos. Importante para la gestión de un acceso adecuado de los archivos. Para RBs con el puerto COM • Comienza al igual que antes o PC en la Ethernet port 1 con una direcciones estática o Conectar desde el puerto serial del PC al puerto COM del ROUTERBOARD o Iniciar Netinstall ( configurar parámetros de “Net Booting”) o Seleccionar directorio con archivos NPK validos o Reiniciar el router o Presionar “Enter”, cuando se le solicite para entrar en la configuración o Podemos presionar “o” para reiniciar el dispositivo o Podemos presionar “e” para Ethernet o Podemos Presionar “x” para salir de la instalación (Luego reiniciar el router) Router aparecerán en la sección “Routers/Drivers • Seleccionamos. Seleccionamos la versión del RouterOS requerido desde la sección “Packages” • • Clic en “Keep old configuration” Presionar el botón “install” 34 Academy Xperts La barra de progreso se tornara azul mientras se transfiere los archivos NPK • • • • • • • • Una vez completado, vuelva a conectar el cable de la computadora en uno de los puertos válidos y el cable de acceso a internet en el puerto 1 Ahora usted puede usar Winbox para conectarse o La opción “Keep old configuration” la encontraremos aquí. Reiniciar el router Presionar “Enter”, cuando se le solicite para entrar en la configuración Podemos presionar “o” para reiniciar el dispositivo Podemos presionar “e” para Ethernet Podemos presionar “n” para desconectar el puerto Ethernet o Si te olvidas de esto, siempre el router se iniciara desde la Ethernet Podemos Presionar “x” para salir de la instalación (Luego reiniciar el router) Recursos adicionales Wiki http://wiki.mikrotik.com/wiki/Manual:TOC • • • Información acerca del RouterOS la encontraremos en la página del Wiki. Todos los comandos del RouterOS o Explicación o Sintaxis o Ejemplos Consejos y trucos adicionales Tiktube http://www.tiktube.com/ 35 Academy Xperts • • • • Recursos en videos sobre varios temas Presentados por Trainers, Partners, IPSs, etc. Podremos encontrar diversas presentaciones La página la encontraremos en varios lenguajes Foros de Discusión http://forum.mikrotik.com/ • • • • Moderado por el personal de MikroTik Tablero de discusiones sobre diversos temas Una gran cantidad de información se puede encontrar aquí Podrá encontrar una solución a su problema Soporte MikroTik • • • Mail: support@mikrotik.com Instrucciones para solicitar soporte: http://www.mikrotik.com/support.html El apoyo de Mikrotik durante 15 días (nivel licencia 4) y 30 días (nivel 5 Licencia y el nivel 6) si el router fue comprado a ellos Distribuidores/Soporte • • • El distribuidor les dará soporte siempre y cuando el router haya sido comprado a ellos Consultores certificados pueden ser contratado para necesidades especiales http://www.mikrotik.com/consultants Laboratorio – Módulo 1 36 Academy Xperts Módulo 2: Ruteo Estático Conceptos de Ruteo • • • El ruteo (routing) es un proceso en la capa 3 del modelo OSI El ruteo define por donde va a ser enviado el trafico. Es necesario para que puedan comunicarse entre sí diferentes subredes. Routing o enrutamiento Es la función de buscar un camino entre todos los posibles en una red de paquetes cuyas topologías poseen una gran conectividad. Dado que se trata de encontrar la mejor ruta posible, lo primero será definir qué se entiende por mejor ruta y en consecuencia cuál es la métrica que se debe utilizar para medirla Los Parámetros Manejados Métrica de la red Puede ser, por ejemplo, el número de saltos necesarios para ir de un nodo a otro. Aunque ésta no es una métrica óptima ya que supone “1” para todos los enlaces, es sencilla y suele ofrecer buenos resultados. Otro tipo de métrica es la medición del retardo de tránsito entre nodos vecinos, en la que la métrica se expresa en unidades de tiempo y sus valores no son constantes sino que dependen del tráfico de la red. Mejor Ruta Entendemos por mejor ruta aquella que cumple las siguientes condiciones: • • • Consigue mantener acortado el retardo entre pares de nodos de la red. Consigue ofrecer altas cadencias efectivas independientemente del retardo medio de tránsito Permite ofrecer el menor costo. El criterio más sencillo es elegir el camino más corto, es decir la ruta que pasa por el menor número de nodos. Una generalización de este criterio es el de “coste mínimo”. En general, el concepto de distancia o coste de un canal es una medida de la calidad del enlace basado en la métrica que se haya definido. En la práctica se utilizan varias métricas simultáneamente. Pregunta: Cuales son los motivos por los cuales estos dispositivos no se pueden comunicar entre si? 37 Academy Xperts No se comunicarán, porque cada computador o dispositivo, se encuentra en un segmento de red distinto. Para que puedan verse entre sí, tienen estas opciones: • Tendrán que pertenecer a un mismo segmento de red todos • Colocar un router configurado con los parámetros adecuados para la comunicación entre subredes. Etiquetas de Rutas Las rutas tienen varios estados los cuales son identificados por letras. En este curso, nosotros tendremos que familiarizarnos con estos términos, por ejemplo: • X : Deshabilitada • A : Activa • D : Dinámica • C : Conectada • S : Static (estática) Significado de las etiquetas de rutas más comunes: • • • • • Disabled: Ruta deshabilitada y no tiene ningún efecto en el proceso de ruteo. Active: Ruta activa y es usada en el proceso de ruteo. Dynamic: Ruta dinámica, asigna dinámicamente la ruta por el cual va a ser enviada la información. Connected: Ruta conectada, se generará por cada IP de una subnet que tiene una sesión activa en la interfaz sobre la ruta usada. Static: Ruta creada por el usuario de manera fija en el router. Este método forzará el envío de paquetes a través de un determinado destino definido por el usuario o administrador. En la sección de Router Flags del wiki de mikrotik, podremos apreciar más etiquetas: http://wiki.mikrotik.com/wiki/Manual:IP/Route 38 Academy Xperts Rutas Estáticas • • • Las tablas de encaminamiento de los nodos se configuran de forma manual y permanecen inalterables hasta que no se vuelve a actuar sobre ellas. Por tanto, la adaptación en tiempo real a los cambios de las condiciones de la red es nula. Las rutas estáticas que existen sobre un router son creados y conocido por ese router. Pero, ¿qué pasará si usted necesita llegar a una subred que existe en otro router? Cabe recalcar que una ruta estática es una forma manual de reenviar el tráfico a subredes desconocidas Ejercicio 1: Cual es el gateway que seguirá el paquete cuando la estación 172.16.1.1 realiza un PING a la dirección 192.168.1.1 Ejercicio 2: Cual es el gateway que seguirá el paquete cuando la estación 172.16.1.1 realiza un PING a la dirección 192.168.1.254 39 Academy Xperts Entendiendo los Campos: • • • • • • Flags: El estado de cada ruta, como se explica en las diapositivas anteriores Dst. Address: Las direcciones de destino de esta la ruta. Gateway: Por lo general, la dirección IP del siguiente salto que recibirá los paquetes destinados a “Dst. Address”. Distance: Valor utilizado para la selección de rutas. En las configuraciones cuando se tiene varias opciones posible de ruta, todas tendrán marcado o definida la distancia usada, en la cual se tomara como preferencia la ruta con el valor más pequeño. Routing Mark: Se mostrará en la tabla de enrutamiento que contiene esta ruta, con un marcado específico. El valor predeterminado de esta opción es “Main”, routing-mark enviara la información marcada por la ruta definida. Pref. Source: La dirección IP de la interfaz local será la responsable de reenviar paquetes enviados por la sub red asignada en esta opción. Ventajas del Enrutamiento Estático • • • Hace más sencilla la configuración en redes pequeñas que lo más probable es que no crezca. Limita el uso de recursos del router (memoria, CPU) El administrador podrá entender fácilmente la configuración. Limitantes del Enrutamiento Estático • • • • • La configuración y el mantenimiento son prolongados.. Requiere configuraciones manuales para poder alcanzar nuevas sub redes. La configuración es propensa a errores, especialmente en redes extensas. No se adapta bien con las redes en crecimiento, el mantenimiento se torna cada vez más complicado, en lo que respecta al tema de escalabilidad. Requiere un conocimiento completo de toda la red para una correcta implementación. Cómo crear rutas estáticas Para agregar rutas estáticas: • • • • IP / Routes + (Add) Especificar subred y mascara de subred Especificar “Gateway” (el siguiente salto) 40 Academy Xperts Ejemplo de Enrutamiento Estático Cómo llego desde la Red A hasta la Red C? Solución Router 1 /ip route add distance=1 dst-address=172.31.4.0/24 gateway=10.1.1.2 Router 2 /ip route add distance=1 dst-address=172.31.4.0/24 gateway=10.2.2.6 Configurando la Ruta por Defecto La ruta 0.0.0.0/0 ss conocida como la ruta por defecto. Es el destino a donde se enviará todo el tráfico a subredes desconocidas.También es una ruta estática, y puede ser creada por el administrador o creada automáticamente por el router. /ip route add gateway=xx.xx.xx.xx Gestión de Rutas Dinámicas Como se mencionó antes, las rutas dinámicas son agregadas automáticamente por el proceso de enrutamiento, no por el administrador. No se puede gestionar las rutas dinámicas, debido a que es un proceso automatizado realizado por el router. En algunos casos la ruta puede llegar a ser " inalcanzable " si la interfaz física está apagada o caida (down). Esto puede ocurrir cuando la interfaz esta deshabilitada o la PC se encuentra desconectada de la red. Ejercicio de Implementación de Enrutamiento Estático En el siguiente caso de estudio se desea implementar una solución de enrutamiento estático en el cual. Se desea que la RED A:192.168.0.0/24, pueda llegar a la RED C: 192.168.2.0/24. Suponga que los enlaces inalámbricos ya están previamente configurados. 41 Academy Xperts Router 1 /ip route add distance=1 dst-address=192.168.2.0/24 distance=1 gateway=10.10.0.2 /ip route add distance=1 dst-address=192.168.2.0/24 distance=2 gateway=10.10.0.3 Router 2 /ip route add distance=1 dst-address=192.168.2.0/24 gateway=10.10.2.2 Router 3 /ip route add distance=1 dst-address=192.168.2.0/24 gateway=10.10.1.2 42 Academy Xperts Módulo 3 - Bridge Conceptos de Bridging Los bridge trabajan en la capa 2 del modelo OSI. Tradicionalmente, son utilizados para unir dos segmentos de tecnologías diferentes (o similar) El bridge trabaja bajo el protocolo CSMA/CD, el cual le permite sensar y escuchar la red antes de transmitir. Cuando algunos equipos al mismo tiempo transmiten, se generan colisiones que hacen que la red colapse. Un puente de red o bridge es un dispositivo de interconexión de redes de ordenadores que opera en la capa 2 (nivel de enlace de datos) del modelo OSI. Este interconecta segmentos de red (o divide una red en segmentos) haciendo la transferencia de datos de una red hacia otra con base en la dirección física de destino de cada paquete. El termino bridge, formalmente, esponde a un dispositivo que se comporta de acuerdo al estándar IEEE 802.1D En definitiva, un bridge conecta segmentos de red formando una sola subred (permitir conexión entre equipos sin necesidad de routers). Funciona a través de una tabla de direcciones MAC detectadas en cada segmento al que está conectado. Cuando detecta que un nodo de uno de los segmentos de uno de los segmentos está intentando transmitir datos a un nodo del otro, el bridge copia la trama para la otra subred, teniendo la capacidad de desechar la trama (filtrado) en caso de no tener dicha subred con destino. Para conocer por donde enviar cada trama que le llega (encaminamiento) incluye un mecanismo de aprendizaje automático (autoaprendizaje) por lo que no necesitan configuración manual. Los puentes de red usan una tabla de reenvió para enviar tramas a lo largo de los segmentos de la red. Se una dirección de destino no se encuentra en la tabla, la trama es enviada por medio de flooding a todos los puertos del bridge excepto por el que llego. Por medio de este envió “masivo” de tramas el dispositivo de destino recibirá el paquete y responderá, quedando así registrada la dirección destino recibirá el paquete y responderá, quedando así registrada la dirección destino como una entrada de la tabla. Dicha tabla incluye tres campos: dirección MAC, interfaz a la que está conectada y la hora a la que llego la trama (a partir de este campo y la hora actual se puede saber si la entrada está vigente en el tiempo). El bridge utilizara esta tabla para determinar qué hacer con las tramas que le llegan. Ejemplo 1 Todos los ordenadores pueden comunicarse entre sí. Todos tienen que esperar a que el resto de routers dejen de transmitir para así poder transmitir los datos. 43 Academy Xperts Ejemplo 2 • • • Todos los equipos todavía se comunican entre sí. Todos los equipos ahora solo comparten la mitad del cable Todavía tienen que esperar a que el resto de routers terminen de transmitir, pero el grupo es la mitad del tamaño ahora. Usando Bridges Por defecto, en los routers MikroTik, los puertos Ethernet están asociados (esclavos) a un puerto maestro. Ventajas: • • • Aísla dominios de colisión al segmento de red. No necesita configuración previa. Conmutación rápida (a través de chip switch, no en software) Desventajas: • • • • No hay visibilidad del tráfico de los puertos de esclavos. No conviene si se utiliza SNMP para monitorear el uso de puertos. No se limita el número de reenvíos mediante broadcast Difícilmente escalable para redes muy grandes El procesado y almacenamiento de datos introduce retardos Mediante la eliminación de configuración maestro (master) y esclavo (slave), se debe utilizar una interfaz bridge para vincular a los puertos requeridos en una sola LAN. Ventajas: • Completa visibilidad de todas las estadísticas de puerto de los puerto involucrados Desventajas: • La función de switch se hace a través de software, por lo que provee una velocidad de transferencia de paquetes menos óptima 44 Academy Xperts Creando un Bridge Agregando puertos al bridge • • La adición de puertos definirá cuales puertos van a pertenecer a la misma subred Diferentes tecnologías pueden ser agregadas, tales como una interfaz Wi-Fi Haciendo Bridge con redes Wireless • • Lo mismo se puede hacer con interfaces Wireless Veremos acerca de este tema en el siguiente módulo. Se paciente! 45 Academy Xperts Módulo 4 – IEEE 802.11 (Wireless) Conexión Inalámbrica La comunicación inalámbrica o sin cables es aquella en la que la comunicación (emisor/receptor) no se encuentra unida por un medio de propagación físico, sino que se utiliza la modulación de ondas electromagnéticas a través del espacio. En este sentido, los dispositivos físicos sólo están presentes en los emisores y receptores de la señal, entre los cuales encontramos: antenas, computadoras portátiles, PDA, teléfonos móviles, etc. IEEE 802.11 El estándar 'IEEE 802.11' define el uso de los dos niveles inferiores de la arquitectura OSI (capas física y de enlace de datos), especificando sus normas de funcionamiento en una WLAN. Los protocolos de la rama 802.x definen la tecnología de redes de área local y redes de área metropolitana. Recuerde: Mikrotik opera en 5GHz (802.11a/n/ac) y 2.4GHz (802.11b/g/n) Frecuencias y bandas: 802.11b/g • • 2.4GHz, Ancho de Banda 22MHz, 54Mbps Rango de Frecuencia en Canales 1, 6 y 11 no se sobreponen o no se produce el efecto de overlapping 46 Academy Xperts 802.11a El estándar 802.11a utiliza el mismo juego de protocolos de base que el estándar original, opera en la banda de 5 GHz y utiliza la multiplexacion por división de frecuencias (OFDM) con una velocidad máxima de 54 Mbit/s, lo que lo hace un estándar práctico para redes inalámbricas con velocidades reales de aproximadamente 20 Mbit/s. La velocidad de datos se reduce a 48, 36, 24, 18, 12, 9 o 6 Mbit/s en caso necesario. 802.11a tiene 12 canales sin solapar, 8 para red inalámbrica y 4 para conexiones punto a punto. No puede interoperar con equipos del estándar 802.11b, excepto si se dispone de equipos que implementen ambos estándares. 47 Academy Xperts Problema del Nodo Oculto Advanced Channels Es una de las características que permite extender las opciones de configuración de la interfaz inalámbrica: • • • scan-list: esta sección cubre múltiples bandas y ancho de canal non-standard cannel center: frecuencias centrales de canal no estandarizadas (se especifica en KHz) para hardware que puede soportarlo. non-standard cannel widths: ancho de del canal no estándar (especificados en KHz) para el hardware que lo permita. 48 Academy Xperts basic-rates / supported-rates • • • basic-rates: son las tasas de velocidad mínima que un cliente debería soportar al momento de conectarse a un AP. Para que haya comunicación entre el AP y el Cliente, ambos deberán tener el mismo Basic-rate. supported-rates: estas son las tasas de velocidad que un cliente puede llegar o soportar. Los data-rates son soportados según el estándar usado como tenemos a continuación: o 802.11b : 1 a 11Mbps o 802.11a/g : 6 a 54Mbps o 802.11n : 6 a 300Mbps, dependiendo de factores como el canal, ancho de banda (20 o 40 MHz), y el número de salidas o antenas (MikroTik las conoce como CHAINS) HT chains • • Hace referencia a 1 antena de radio Son usados para el protocolo 802.11n y es un factor de rendimiento configurable. 49 Academy Xperts 802.11n - Data Rates Protocolo en el cual la velocidad real de transmisión podría llegar a los 300 Mbps (lo que significa que las velocidades teóricas de transmisión serían aún mayores), y debería ser hasta 10 veces más rápida que una red bajo los estándares 802.11a y 802.11g, y unas 40 veces más rápida que una red bajo el estándar 802.11b 50 Academy Xperts Tipos de Modulación Modo de Frecuencia (frequency-mode) Esta opción nos permitirá elegir el modo en el cual nuestro router va a trabajar, respetando las siguientes limitaciones: • • • Regulatory-domain: Esta sección limita los canales usados y potencia TX, basado en las regulaciones de su País. o El parámetro “Country”: Se enfocara en las frecuencias y potencias de TX, limitados y regulados por cada país. Usando el parámetro “no_country_set”, Ud. podría configurar los parámetros de frecuencia y potencia según canales aprobados por la FCC. Manual-txpower: Igual que el anterior pero sin la restricción de potencia TX. Superchannel: Ignorará todas las restricciones. Country El parámetro “Country”: Se enfocara en las frecuencias y potencias de TX, limitados y regulados por cada país. Usando el parámetro no-country-set, Ud. puede configurar los parámetros de frecuencia y potencia según canales aprobados por la FCC. Rate Flapping Se produce con la variación muy notable o inestabilidad de los rates, con respecto al tiempo, se lo conoce como rate flapping. Se puede solventar este tipo de problemas disminuyendo la tasas soportadas en la configuraciones Wireless 51 Academy Xperts Frequency mode Esta opción nos permitirá elegir el modo en el cual nuestro router va a trabajar, respetando las siguientes limitaciones: • • • Regulatory-domain: Esta sección limita los canales usados y potencia TX, basado en las regulaciones de su País. o El parámetro “Country”: Se enfocara en las frecuencias y potencias de TX, limitados y regulados por cada país. Usando el parámetro “no_country_set”, Ud. podría configurar los parámetros de frecuencia y potencia según canales aprobados por la FCC. Manual-txpower: Igual que el anterior pero sin la restricción de potencia TX. Superchannel: Ignorará todas las restricciones. Configuración básica de un enlace – Access Point (AP) Para configura nuestro AP debemos conocer que parámetros necesitamos llenar para que todo funcione de manera adecuada • • • • • Modo: AP bridge Banda: Esta opción se seleccionara basadas en la capacidad soportada de los router y clientes. Si tu AP soporta múltiples bandas (ex. B/G/N) seleccionamos la que nos ofrece la mejores características. Frecuencia: Cualquiera que nos defina el instructor o habilitada para usarse (De este tema se hablara más adelante!) SSID: El nombre del identificador de la red inalámbrica generada. Wireless protocol: Basado en los equipos router y clientes usados, en este caso usaremos 802.11 52 Academy Xperts Perfil de Seguridad (Security profile) POR FAVOR no olvidar configurar el security profile. • • • • • • Ayudará a fomentar una mayor seguridad en nuestros equipos. No se recomienda usar por ningún motivo una conexión inalámbrica sin security profile ya que nos deja a propensos a un ataque o infiltración. Para adicionar un security-profile o Click en “Add” (+) o Name : nombre del profile o Mode : Tipo de autenticación usada. o Authentication types : Método de autenticación usada en la conexión o Ciphers : Métodos de cifrado. Ahora ya podemos usar nuestro security-profile creado, regresamos a la ventana de interfaces -> wireless y realizamos la elección del security-profile creado. NOTA: recuerde que se pueden crear también 128 AP Virtuales por interfaz inalambrica. Ahora vamos a revisar la red inalámbrica a la cual nos vamos a conectar, con herramientas que las encontraremos en la sección principal de Interface Wlan1> Wireless. Una de estas herramientas es Snooper: o Click en “Snooper” o Procederemos con la inspección. o ¡Ten cuidado! Esto desconectará la interfaz WLAN y clientes asociados, debido a que la interfaz se pondrá en modo “promiscuo” Al momento de ingresar en snooper lo que observaremos es lo siguiente o Click en “Snooper” start o Tenga cuidado, ya que todos los clientes asociados a su red se desconectarán de la red inalámbrica. o Usted tendrá una vista completa de frecuencias y otros parámetros para analizarlos. o Seleccionamos un canal de frecuencia libre para nuestra red inalámbrica 53 Academy Xperts Configuración básica de un enlace – Estación (cliente) • Configuración Station o Modo : station o Band : la misma usada en el AP. o Frequency : no es un parámetro importante para el cliente. • • • SSID : El SSID al cual el equipo STATION se va a conectar Wireless protocol: Se coloca el mismo usado en el AP, en este caso usamos 802.11 Crearemos un security profile igual al creado en el AP, para que al momento que se inicie la negociación de autenticación, el AP acepte al router en modo STATION. Filtrado por MAC address Es una vía adicional para limitar las conexiones inalámbricas de los clientes. Para agregar y poder realizar esta limitación, nos dirigimos a nuestro AP, y en “registration” que es la lista de los usuarios registrados, seleccionamos a los clientes deseados, abrimos los detalles con doble click al cliente y damos click en la sección de “copy to access list” 54 Academy Xperts • Ya podemos ver una nueva entrada en la sección «access-list» Access-list Las listas de acceso se usan en los AP para restringir las conexiones a clientes específicos y controlar sus parámetros de conexión. Hay que tener en cuenta lo siguiente: • • • Las Reglas serán comprobadas secuencialmente Sólo se aplicara la primera regla que coincida con todos los parámetros. Si la opción "Default Authentícate" (en la pestaña " Wireless " en "Interface - > WLAN" de pantalla) no se encuentra habilitado, los dispositivos que no corresponden a una regla de la lista de acceso serán rechazados. Parámetros adicionales: • • Authentication Option este ítem le dirá al router que compruebe el "security- profile " para determinar si la conexión se debe permitir. Si no coinciden la autenticación, siempre fallará el acceso. Forwarding u opción de reenvío le dirá al router permita a los clientes del AP llegar a la otra sin la ayuda de otros APs (evitando así las reglas del firewall que pueda tener). Para mayor seguridad , deje sin marcar 55 Academy Xperts • • AP Tx limitantes y restricción de data rate desde el AP hacia el cliente o Si se establece muy bajo, esto ocasionara problemas de conexión. Siempre se realizan pruebas antes de ponerlas en práctica. Client TX límites y restricciones de data rate desde el cliente hacia el AP o Extensión propietaria son soportadas únicamente por clientes RouterOS. o También siempre se realizan pruebas antes de ponerlas en práctica. Connect-list: Esta opción es para clientes. Asigna propiedades, basado en potencia de señal y configuraciones de seguridad, que cada AP tiene sobre los clientes. Tomar en cuenta que: • • • • • Las Reglas son revisadas secuencialmente. Se aplica solamente cuando se tiene coincidencia en los parámetros. Si la opción “Default Authentícate” (“Wireless” -> “Interface -> wlan”)si está habilitada en los connect-list, los clientes se conectaran o serán aceptados con respecto a parámetros basados en potencia de la señal o configuraciones de seguridad Nota de Interés: si en el campo SSID (en la sección station connect rule) está vacío, El cliente podría conectarse a cualquier SSID únicamente realizando un match. En la Interfaz wlan el campo SSID también deberá estar vacío! 56 Academy Xperts • • Nota de Interés: si en el campo SSID (en la sección station connect rule) esta vacío, El cliente podría conectarse a cualquier SSID únicamente realizando un match . En la Interfaz wlan el campo SSID también deberá estar vacío! Default-authentication • • Si el AP no tiene ninguna lista de acceso, y default-authenticate no está marcada, los clientes nunca se conectarán. Si la estación no tiene ninguna connect list , y default-authenticate no está marcada , nunca se conectará a un AP. Default-forwarding • Especifica el comportamiento del re-envio de paquetes de clientes que ya han sido verificados en la access-list. o Si esta opción esta habilitada, se permitirán comunicaciones en capa 2 entre clientes. o Si esta deshabilitada la comunicación se realizara en capa 3 y serán influenciados bajos las reglas del firewall. WPA, WPA2 Wi-Fi Protected Access, llamado también WPA (en español «Acceso Wi-Fi protegido») es un sistema para proteger las redes inalámbricas (Wi-Fi); creado para corregir las deficiencias del sistema previo, Wired Equivalent Privacy (WEP). Los investigadores han encontrado varias debilidades en el algoritmo WEP (tales como la reutilización del vector de inicialización (IV), del cual se derivan ataques estadísticos que permiten recuperar la clave WEP, entre otros). • • Wi-Fi Protected Access (1 y 2) Estos protocolos fueron creados después de la creación de WEP debido a que se encontraron debilidades en el mismo. 57 Academy Xperts Es apropiado configurar WPA, ya que es muy seguro, pero lo recomendable es WPA2 debido que ofrece mayor seguridad WPA adopta la autenticación de usuarios mediante el uso de un servidor, donde se almacenan las credenciales y contraseñas de los usuarios de la red. Para no obligar al uso de tal servidor para el despliegue de redes, WPA permite la autenticación mediante una clave compartida, que de un modo similar al WEP, requiere introducir la misma clave en todos los equipos de la red. • • • Se usa en remplazo de WEP ya que es muy inseguro. Usa TKIP como protocolo de cifrado o Este protocolo genera una nueva Key por cada paquete enviado. Actualmente ya se esta dejando de usar la versión 1 debido a que también se han encontrado debilidades. Un inconveniente encontrado en la característica agregada al Wi-Fi llamada Wi-Fi Protected Setup (también bajo el nombre de QSS) permite eludir la seguridad e infiltrarse en las redes que usan los protocolos WPA y WPA2. • • MikroTik no USA WPS porque lo considera demasiado inseguro. En la actualizad se han encontrado debilidades en WPS, como por ejemplo ataques de fuerza bruta. WPA2 • • • Usa CCMP para reemplazarlo como un protocolo de cifrado. o Basado en AES o Mas robusto que TKIP Es reglamentario que todos los dispositivos Wi-Fi sean certificados. Esta orden esta desde 2006 Se debe utilizar para lograr mayores tasas de bits, en redes que se circunscriben a 54Mbps. Protocolos Wireless propietarios de MikroTik NV2 (Nstreme Version 2) • • • • Protocolo propietario de Mikrotik Usados con chips inalámbricos Atheros 802.11. Este protocolo esta basado en TDMA (Time Division Multiple Access) por que les mas conveniente, para abarcar mas usuarios, en lugar de CSMA (Carrier Sense Multiple Access) Se utiliza para mejorar el rendimiento a través de largas distancias TDMA es un método de acceso al canal por medio compartido de redes. Permite que varios usuarios compartan la misma frecuencia del canal por dividir la señal en diferentes intervalos de tiempo. Los usuarios transmiten en una rápida sucesión, uno tras otro, cada uno con su propio espacio de tiempo. Este permite a varias estaciones compartir la misma transmisión media (por ejemplo canal de radio frecuencia), mientras que se utiliza sólo una parte de su capacidad del canal. Los beneficios más importantes de NV2 son los siguientes: • • • • • • • • • Aumento de la velocidad Baja latencia No hay limitaciones de distancia Más conexiones de los clientes en entornos de PTM. Acepta mas clientes en ambientes punto a multi-punto (soporta hasta 511 clientes) Mayor control en latencia, logrando parámetros muy bajos. Reduce el retardo en Propagación. Reduce el polling overhead. No hay penalización por largas distancias A partir de RouterOS v5.0beta5 puede configurar NV2 en el menú Wireless. 5/10/20/40 MHz soporte del canal Para realizar la conexión usando NV2 en el lado de AP que necesidad de seleccionar el wireless-protocol = NV2 y en el Lado de la estación, seleccione 'NV2' wireless protocolo o "ninguna". En la actualidad, con 58 Academy Xperts 802.11n y NV2 puede obtener aproximadamente 97Mbps de tráfico UDP y TCP 94Mbs tráfico a través de RB711 en una dirección usando una cadena. Enlace más largo del mundo sin usar amplificador El enlace más largo sin amplificar Wi-Fi es un enlace de 304 kilometros alcanzado por CISAR (Centro Italiano de Actividades de radio). • • • • • • • 2007-06-16, Monte Amiata (Toscana) a Monte Limbara (Cerdeña) Frecuencia: 5765 MHz IEEE 802.11a (Wi-Fi), ancho de canal 5 MHz Radio: Ubiquiti Networks XR5 Los routers inalámbricos: MikroTik RouterOS con RouterBOARD, optimizado con Nstreme Longitud: 304 kilómetros (189 millas). Antena de 120 cm. 35 dBi estimado Herramientas de monitoreo Hay varias herramientas que le ayudarán en el análisis de lo que está en el aire para que pueda elegir la frecuencia con la menor interferencia. Wireless scan Esta es una herramienta muy útil, ya que nos muestra de manera simple las redes inalámbricas vecinas: • • • Frecuencia usada, Banda, SSID, Señal y otros. Iniciamos Scan dándole clic en start. Esta herramienta detecta, conexiones inalámbricas vecinas, las conexiones clientes son descartadas. Snooper El uso del Snooper fue diseñado para ser una herramienta eficiente que le ayudará a supervisar con un detalle mejorado los router vecinos. Proporciona un detallado mejorado de los router vecinos 59 Academy Xperts Registration table Muestra inmediatamente todos los clientes que lograron registrar a nuestra red inalámbrica: • • • • Nos entrega información de los clientes conectados en modo Station. Usado en puntos de accesos (AP). Podemos ver el estado de conexiones realizadas. NOTA: Los comentarios que aparecen por encima de las estaciones son para dar mayor información de su función y son definidas por el usuario o administrador, por lo general se basan en información del “access-list”. Redes inalámbricas en Modo Bridge • • • • Station-bridge : RouterOS AP acepta a los routers Mikrotik en modo station-bridge para que trabaje en Capa 2 de manera segura. Se puede utilizar para ampliar una subred inalámbrica a muchos clientes. Este modo es MikroTik propietario y no se puede utilizar para conectar otros dispositivos de marca. Cabe recalcar que este modo es un método seguro para usar bridge de L2 y se deberá utilizarse siempre que existan razones suficientes para no utilizar el modo de estación-WDS Ejercicio en Clases Con toda la explicación realizada, ya se encuentra en capacidad de conectarse a una red inalámbrica. Trabajar en parejas, un estudiante en modo AP y el otro en modo STATION, con las configuraciones realizas en el diagrama, y realice las siguientes pruebas, (el valor de “x” será definían por el instructor): • • • Búsqueda de la red del AP mediante herramientas, SCAN y SNOOPER. Conectividad entre el AP y STATION, use la herramienta PING. Prueba de filtrado por MAC 60 Academy Xperts Módulo 5 - Network Management ARP (Address Resolution Protocol) Es un protocolo de la capa de enlace de datos responsable de encontrar la dirección hardware (Ethernet MAC) que corresponde a una determinada dirección IP. Para ellos se envía un paquete (ARP request) a la dirección de difusión de la red (broadcast (MAC = FF FF FF FF FF FF)) que contiene la dirección IP por la que se pregunta, y se espera a que esa máquina (u otra) responda (ARP reply) con la dirección Ethernet que le corresponde. Cada máquina mantiene una cache con las direcciones traducidas para reducir el retardo y la carga. ARP permite a la dirección de internet ser independiente de la dirección Ethernet, pero esto solo funciona si todas las maquinas lo soportan. • • • Conocido como “Protocolo de resolución de direcciones” Mecanismo que une las direcciones IP de Capa 3, con las direcciones MAC de (Capa 2) Se utiliza normalmente como un proceso dinámico, pero se puede configurar de forma estática en ciertas situaciones donde la seguridad lo requiere ARP se utiliza en 4 casos referentes a la comunicación entre 2 hosts: 1. Cuando 2 hosts están en la misma red y uno quiero enviar un paquete a otro. 2. Cuando 2 host están sobre redes diferentes y deben usar un Gateway/router para alcanzar otro host. 3. Cuando un router necesita enviar un paquete a un host a través de otro router. 4. Cuando un router necesita enviar un paquete a un host de la misma red. Modos ARP Es posible configurar varios modos de ARP en la configuración de la interfaz 1. Deshabilitado (disabled). Si la características de ARP esta desactivada en la interfaz, es decir, se utiliza “arp=disabled”, los ARP requests de los clientes no serán respondidas por el router. Por lo tanto, una entrada estática de ARP debe ser agregada a los clientes también. Por ejemplo, las direcciones IP y MAC del router, debe añadirse a las a los host de nuestro Workstations usando el comando. 2. Habilitado (enabled). Este modo se activa de forma predeterminada en todas las interfaces. ARP se descubrirá automáticamente y nuevas entradas dinámicas se añadirá a la tabla ARP. 3. Proxy ARP. Un router con una configuración adecuada con características ARP proxy actual igual que un ARP proxy transparente entre redes directamente conectadas. Este funcionamiento puede 61 Academy Xperts ser muy útil, por ejemplo, si desea asignar direcciones IP a un dial-in (PPP, PPPoE, PPTP) y que sean desde el mismo espacio de direcciones tal como se utiliza para conectarnos a una LAN. 4. Reply Only. Si la propiedad ARP se estable como reply-Only en la interfaz, entonces el router solo responderá a solicitudes ARP (ARP requests). Las direcciones MAC de los vecinos serán resueltas usando el comando: /ip arp statically pero no habrá ninguna necesidad de agregar las direcciones MAC de los routers a las tablas ARP de los otros hosts como en el caso de que si ARP estuviera deshabilitado. Una tabla ARP muestra todas las entradas ARP y las interfaces desde la cual se aprendió la dirección Ventajas de usar ARP La principal ventaja del uso de la técnica ARP Proxy es que se puede agregar a un solo enrutador en la red, esto permite que no se distorsione las tablas de encaminamiento de los otros enrutadores de la red. Es recomendable que el ARP Proxy sea utilizado en redes donde los hosts IP no se encuentran configurados con ninguna puerta de enlace predeterminada. Desventajas de usar ARP Los anfitriones no tienen ni idea de los detalles físicos de la red y suponen que es una red plana la cual llega a cualquier destino con tan solo hacer una solicitud ARP. Pero como todo le ARP tiene su desventaja las cuales son: • • • • Aumenta la cantidad de trafico ARP en su segmento Posee grandes tablas ARP para manejar la asignación de direcciones IP a MAC La seguridad puede ser expuesta. Un host puede simular ser otro host con el fin de interceptar los paquetes, eso es llamado “spoofing” No funciona para redes que no utilicen el protocolo ARP para la resolución de direcciones. Tabla de ARP • • • La tabla ARP muestra todas las entradas ARP y las interfaces desde la cual ellos lo aprendieron. La tabla ARP provee: o La dirección IP de los dispositivos conocidos o Las direcciones MAC asociadas a los dispositivos conocidos o Las interfaces de donde fueron aprendidas las direcciones Tu puedes agregar entradas estática en la tabla ARP para mayor seguridad en la RED o Se pueden evitar ataques de ARP poisoning / ARP spoofing o Requiere mucho trabajo y planificación 62 Academy Xperts Sintaxis ARP 1. Ver la tabla ARP [admin@Mikrotik] > /ip arp print Flags: X – disabled, I – invalid, H – DHCP, D – Dynamic, P – published # ADDRESS MAC-ADDRESS INTERFACE 0 172.16.2.222 11:22:33:44:55:66 LAN Etiquetas en la tabla ARP: X = Deshabilitado, R = Corriendo, S = Esclavo 2. Agregar una entrada estática [admin@Mikrotik] > /ip arp add address=172.16.2.222 mac-\ address=11:22:33:44:55:66 interface=LAN 3. Configuración de un modo ARP: [admin@Mikrotik] > /interface ethernet set ether4 arp=proxy-arp [admin@Mikrotik] > /interface ethernet print Flags: X – disabled. R – running, S – Slave # NAME MTU MAC-ADDRESS ARP MASTER-PORT 0 S ether1 1500 D4:CA:6D:5C:E2:F2 enabled 1 RS ether2 1500 D4:CA:6D:5C:E2:F3 enabled none 2 RS ether3 1500 D4:CA:6D:5C:E2:F4 enabled none 3 RS ether4 1500 D4:CA:6D:5C:E2:F5 proxy-arp none 4 S ether5 1500 D4:CA:6D:5C:E2:F6 enabled none SWITCH switch1 switch1 switch1 switch1 Servidor / Cliente DHCP El DHCP (Protocolo de configuración dinámica de host) se utiliza para la fácil distribución de direcciones IP en una red. El RouterOS Mikrotik incluye ambas partes Servidor / Cliente. El router soporta un servidor DHCP individual por cada interfaz Ethernet. El servidor Mikrotik cumple con las funciones principales que es la de brindar a un cliente asignaciones de una dirección IP con su respectiva mascara IP, como también dirección de la puerta de enlace y la del servidor DNS. La interfaz que aloja el servidor DHCP debe tener su propia dirección IP y que a la vez no debe estar incluida en el pool de direcciones que los clientes van a recibir cuando lo soliciten. El proceso para de asignaciones de una dirección IP para un cliente es el siguiente: 1. 2. 3. 4. El cliente DHCP envía un Broadcast “DHCPDISCOVER” El servidor DHCP envía un Broadcast “DHCPOFFER” El cliente DHCP enviar un Broadcast “DHCPREQUEST” El servidor enviar un Broadcast “DHCPACK” 63 Academy Xperts Cliente DHCP S erver DHCP DISCOVER DHCP OFFER DHCP REQUEST DHCP ACK ARP Gratuitous DHCP Server Setup La interfaz que va ser configurada como DHCP- Server debe tener su propia dirección y al mismo tiempo esa dirección no debe ser incluida en el pool de dirección. Un pool es un rango de direcciones que estarán disponibles para los clientes En la ventana de DHCP-Server, simplemente cliqueamos en el botón “DHCP Setup” y luego solo seguimos con los requisitos que nos pidan, tales como: 1. Interfaz a la que va ser asignado el servidor DHCP 2. Dirección de red: 3. Puerta de enlace: 64 Academy Xperts 4. Pool de direcciones para los clientes DHCP 5. DNS servers (Más de uno se pueden configurar) 6. Tiempo de asignaciones 7. Luego de a ver definido el tiempo de asignaciones presionamos siguiente y con ellos habremos terminado el proceso. En la ventana podremos ver el DHCP server Creado. 65 Academy Xperts En esta configuración automática (ejecutando el DHCP Setup) se generan los siguientes parámetros: • • • Se crea un pool de direcciones: un grupo de direcciones para asignar a los clientes Se crea el servidor DHCP: su nombre y parámetros (como la interfaz que aceptara solicitudes de los clientes) Se crea el espacio de direcciones: la dirección IP de red y varios parámetros DHCP puede ser usado para configurar opciones tales como: • • • 42: NTP Servers 70: POP3-Servers http://www.iana.org/assignments/bootp-dhcp-parameters/bootp-dhcp-parameters.xhtml Nota importante: si usted tiene un ambiente en bridge, el servidor DHCP debe estar configurado en la interfaz de bridge. Si se establece en un puerto en bridge, el servidor DHCP no funcionara. Configuraciones por línea de comando Configuración de un ambiente DHCP [admin@Mikrotik] > /ip dhcp-server setup Select interface to run DHCP server on Dhcp server interface: ether4 Select network for DHCP address Dhcp address space: 192.168.20.0/24 Select gateway for given network Gateway for dhcp network: 192.168.20.1 Select pool of ip addresses given out by DHCP server Addresses to give out: 192.168.20.2-192.168.20.254 Select DNS servers Dns server: 8.8.8.8 Select lease time Lease time: 3d [admin@Mikrotik] Para agregar configuraciones opcionales de DHCP [admin@Mikrotik] > /ip dhcp-server Option add name=46-node-type code=46\ value=0x0008 Para ver por línea de comandos los Servidores DHCP que hay en un router [admin@Mikrotik] > /ip dhcp-server print Flags: X – disabled, I – invalid # NAME INTERFACE RALAY ADDRESS-POOL LEASE-TIME ADD-ARP 0 dhcp1 ether3 0.0.0.1 dhcp_pool2 3d 1 dhcp2 ether4 dhcp_pool3 3d [admin@Mikrotik] > /ip dhcp-server network set dhcp-option=46-node-type\ numbers=1 Para asignar un servidor WINS para la red se haría de la siguiente manera [admin@Mikrotik] > /ip dhcp-server network set wins-server=172.16.2.100 numbers=1 Para ver las opciones anteriormente configuradas [admin@Mikrotik] > /ip dhcp-server network print # ADDRESS GATEWAY DNS-SERVER WIN-SERVER DOMAIN 0 192.168.10.0/24 192.168.10.1 8.8.8.8 8.8.4.4 1 192.168.20.0/24 192.168.20.1 8.8.8.8 172.16.2.100 [admin@Mikrotik] > /ip dhcp-server option print # NAME CODE VALUE RAW-VALUE 0 46-node-type 46 0x008 008 DHCP Client Permitir que una interfaz Ethernet pueda solicitar una dirección IP • Un DHCP server remoto nos suministrara 66 Academy Xperts • o Dirección IP o Mascara o Gateway o Direcciones de DNS server El DHCP client nos suministrara estas opciones o Hostname o ID de cliente (en este caso, la dirección MAC) Para configurar un DHCP client en un interfaz por línea de comando [admin@Mikrotik] > /ip dhcp-client add interface=ether2 dhcp-\ options=clientid, hostname Para configurar un DHCP client en un interfaz por medio de la venta DHCP Client Sintaxis DHCP Client Para configurar una interfaz como DHCP-Client /ip dhcp-client add interface=ether5 dhcp-options=clientid,hostname Para ver y activar un DHCP client /ip dhcp-client print /ip dhcp-client enable numbers=1 Para ver las direcciones IP asignadas /ip address print Gestión de Asignaciones El comando /ip dhcp-server lease provee información acerca de los DHCP Client y asignaciones. [admin@Mikrotik] > /ip dhcp-server lease print Flags: X – disabled, R – Radius, D – Dynamic, B – blocked # ADDRESS MAC-ADDRESS HO SER.. RA 0 D 192.168.3.254 78:84:3C:9E:BE:4ª Da dhcp1 • • • • Nos mostrará las gestiones estáticas y dinámicas Se puede convertir una IP asignada dinámicamente en estática o Puede ser muy útil para cuando un dispositivo necesita mantener la misma dirección IP o ¡Ten cuidado! Se cambia la tarjeta de red, se pondrá una nueva dirección Un servidor DHCP podría ser obligado a correr únicamente con direcciones estáticas Los clientes solo recibirán las direcciones IP pre configurados o Evalúe su situación y la necesidad de hacer esto. Requerirá mucho trabajo para grandes redes. Para ver asignaciones de DHCP 67 Academy Xperts [admin@Mikrotik] > /ip dhcp-server lease print Flags: X – disabled, R – Radius, D – Dynamic, B – blocked 0 address=192.168.3.254 mac-address=78:84:3C:9E:BE:4A client-id=”1:78:84:3C:9e:4A” server=dhcp1 dhcp-option”” status=bound expires-after=2d23h59m38s last-seen=22s active-address=192.168.3.254 active-mac-address=78:84:3C:9E:BE:4ª active-client-id=”1:78:84:3C:9e:4A” active-server=dhcp1 hostname=”Darwin” [admin@Mikrotik] > | Herramientas de RouterOS E-mail Es una herramienta que te permite enviar un mail desde el router. Puede ser usado, junto con otras herramientas, para enviar copias de seguridad de configuración regulares. Por medio de línea de comando lo podemos ver como: [admin@Mikrotik] > /tool e-mail print Address: 0.0.0.0 Port: 25 Start-tls: no From: <> User: Password: Configurar un SMTP Server: [admin@Mikrotik] /tool e-mail> set address=172.31.2.1 from=mymail@gmail.com\ Last-status=succeeded password=never123!\ Port=587 start-tls=yes user=my@gmail.com Para verificar que la configuración previa por medio del comando print [admin@Mikrotik] > /tool e-mail print Address: 172.31.2.1 Port: 587 Start-tls: yes From: mymail@gmail.com User: my@gmail.com Password: never123! Para enviar un archivo via E-mail, antes exportar un archivo con el nombre “export” [admin@Mikrotik] > /tool e-mail [admin@Mikrotik] /tool e-mail > send to=home@gmail.com subject=”$[/system\ identity get name] export”\\ body=”$[/system clock get date]\ configuration file” file=export.rsc Netwatch Netwatch monitorea el estado de los host de la red. Lo hace mediante él envió de pings a la lista de direcciones IP especificadas. La principal ventaja de Netwatch es su capacidad arbitraria sobre los cambios del estado anfitrión. Para cada entrada se puede especificar • • • Dirección IP Intervalo del Ping Scripts Up / Down Es muy útil para: • • • • Ser conscientes de los fallos de red Automatizar un cambio de puerta de enlace predeterminada, por ejemplo, si el router principal falla. Solo para tener una vista rápida de lo que está pasando Cualquier otra cosa que usted puede llegar a simplificar y acelerar es su trabajo 68 Academy Xperts Ping • • • Herramienta de conectividad básica que utiliza mensajes de ICMP Echo para determinar la accesibilidad a un host remoto y el retardo de ida y vuelta. Es una de las primeras herramientas para hacer resolución de problemas, si el ping funciona, el host funciona correctamente (desde el punto de vista de la Red) Se puede usar con otras herramientas de resolución de problemas. El ping no es la última herramienta, pero es un buen comienzo Como usar un Ping En la ventana de Terminal del winbox, lo podemos usar para realizar algún ping [admin@Mikrotik] > ping www.mikrotik.com HOST SIZE TTL TIME STATUS 159.148.147.196 56 50 163ms 159.148.147.196 56 50 156ms 159.148.147.196 56 50 156ms 159.148.147.196 56 50 160ms Sent=4 received=4 packet-loss=0% min-rtt=156ms avg-rtt=158ms Traceroute • Se utiliza para mostrar en camino que paso un ping para llegar a su destino • Indica la demora para llegar a cada router en el camino para llegar a su destino • Bueno para localizar algún fallo. • Al igual que el ping en la misma ventana podemos probar con el comando [admin@Mikrotik] > /tool traceroute www.mikrotik.com # ADDRESS LOSS SENT LAST AVG BEST WORST STD-DEV 100% 3 timeout 216.113.124.190 0% 3 13.9ms 12.2 11.1 13.9 1.2 STATUS Profiler (Carga del CPU) http://wiki.mikrotik.com/wiki/Manual:Tools/Profiler • Herramienta que muestra la carga del CPU • Muestra los procesos activos del CPU • Nota: “idle” no es un proceso. Significa exactamente eso; ese porcentaje de la CPU no se utiliza • Podemos ver el proceso por medio de la ventana de Terminal: [admin@Mikrotik] > /tool profile NAME CPU USAGE Wireless all 8% Ethernet all 1% Console all 0.5% Winbox all 0% Logging all 0% Management all 1% Idle all 89.5% Profiling all 0% telnet all 0% unclassified all 0% 69 Academy Xperts System identity A pesar de que no es una herramienta, es importante para establecer la identidad del sistema o No se puede establecer a 100 router y que todos tengan el mismo nombre “Mikrotik”. Esto hace casi imposible la resolución de problemas. o Una vez establecido, se hará la identificación del router con el cual se está trabajando y hará mucho más simple la identificación • Sintaxis [admin@Mikrotik] > /system identity print Name: Mikrotik [admin@Mikrotik] > /system identity set name=my-router [admin@Mikrotik] > /system identity print Name: my-router • IP Neighbors Este sub-menú enumera todos los vecinos descubiertos en capa 2 dominios de difusión. Muestra la interfaz del vecino a la que estemos conectados, muestra su ip, dirección mac y varios parámetros relacionados con Mikrotik. Las listas son solo de lectura. Como por ejemplo, se pueden ver varios RouterBoard y dos routers de cisco. [admin@Mikrotik] /ip Neighbor > print # INTERFACE ADDRESS MAC-ADDRESS IDENTITY VERSION 0 ether13 192.168.33.2 00:0C:42:00:38:9F Mikrotik 5.99 1 ether11 1.1.1.4 00:0C:42:40:94:25 test-host 5.8 2 local 10.0.11.203 00:02:B9:3E:AD:E0 c2611-r1 cisco 3 local 10.1.11.47 00:0C:42:84:25:BA 11.47-750 5.7 4 local 10.0.11.254 00:0C:42:70:04:83 tsys-sw1 5.8 5 local 10.0.11.202 00:17:5A:90:66:08 c7200 Cisco BOARD RB1100AHx RB1000 I... RB750 RB750G I... Ponerse en contacto con Soporte Mikrotik Supout.rif • • • El archivo de ayuda se utiliza para depurar RouterOS MikroTik y para resolver las preguntas de soporte más rápido. Toda la información Mikrotik Router se guarda en un archivo binario, que se almacena en el router y se puede descargar desde el router mediante ftp' Puede ver el contenido de este archivo en su cuenta de Mikrotik, simplemente a la sección Supout.rif y cargar el archivo. Este archivo contiene la configuración de todos los routers, los registros y algunos otros detalles que ayudarán al soporte Mikrotik para resolver su problema. Sintaxis Lo hacemos con el siguiente comando en “Terminal” [admin@Mikrotik] > /system sup-output Created: 14% --[Q quit|D dump|C-z pause] [admin@Mikrotik] > /system sup-output Created: 100% --[Q quit|D dump|C-z pause] Una vez que se complete la carga al 100% podremos ver el archivo en la ventana de “Files” 70 Academy Xperts Supout.rif Viewer Para acceder al “Supout.rif Viewer” solo tienes que acceder a tu cuenta Mikrotik. Usted debe tener una cuenta (es una buena idea tener una de todos modos) El primer paso es localizar y cargar el archivo que ha generado Autosupout.rif • • Un archivo se puede generar de forma automática en caso de fallo de software (ex Kernel Panic o el sistema deja de responder durante un minuto.) Hecho a través del organismo de control (sistema) 71 Academy Xperts Registros (logging) del sistema y registros de depuración • • • • El Logging es importante para asegurar un historial (permanente o no) de los eventos del router. Syslog corre sobre el puerto 514 La forma más fácil de ver los registros es a través de Menú en la ventana de "log" La CLI equivalente es: /log print Acciones • • • • Tareas que el router emprenderá con ciertos eventos Las reglas dicen que tipo de acción tomara el Router Hay cinco tipos de acciones, que se realizar para tener un sistema de registro muy flexible Sugerencias: Debe planificar y definir primero las acciones que se desean implementar antes de configurarlas en el router. Reglas • • • • Los RouterOS configurado con alguna “acción" nos puede llevar a algún evento determinado (lo cual es llamado un "topic") Usted puede tener más de una regla para un mismo topic, cada regla es realizada con una "acción" diferente. Usted puede tener una regla con dos o más topic. La adición de reglas es simple, elegir uno o varios topic, nombre la regla, elija una acción. (Por esta razón, se sugiere crear acciones en primer lugar) Sistema de Registro de logging (Sintaxis) Ver las reglas [admin@Mikrotik] > /system logging print Flags: X – disabled, I – invalid, * - default # TOPICS ACTION PREFIX 0 * info memory 1 * error memory 2 * warning memory 3 * critical echo Ver acciones [admin@Mikrotik] > /system logging action print Flags: * - default # NAME TARGET REMOTE 0 * memory memory 1 * disk disk 2 * echo echo 3 * remote remote Almacenar mensajes de firewall a un servidor syslog [admin@Mikrotik] > /system logging action [admin@Mikrotik] /system logging action > add bad-syslog=yes\ name=firewallJournal remote=172.16.1.105 src-address=10.5.5.5\ syslog-facility=local5 target=remote Crear una regla para topic de firewall que utilizará la acción anterior [admin@Mikrotik] > /system logging 72 Academy Xperts [admin@Mikrotik] > add action=firewall prefix=FW topics=firewall ¿Dónde se envían los registros? Como se indica en "acciones", los registros se pueden encontrar en cinco lugares • • • • • Disco: Un disco duro en el router Echo: La consola del router (si está presente) Email: Una cuenta de correo electrónico predefinido Memoria: La memoria interna del router (como se ve en la ventana de "log") Remota: Un servidor syslog Configuración legible • • • También conocido como "Dejar todo en claro" La oscuridad es su peor enemigo. Guarde sus configuraciones clara y legible a través de comentarios, los nombres y la uniformidad o Comentarios: Dar una descripción simple del tema o Nombres: hacerlas significativas o Uniformidad: hacer las cosas de la misma manera en todas partes ¿Por qué debería hacer todo esto? o Con el tiempo, esto simplificará su trabajo y lo hará más eficiente Diagramas de Red Un esquema bien elaborado es un deber… incluso si es nuevo en esto, siempre se tiene que tener presentes que nuestra red puede crecer, por tal motivo es importante saber: • • • Identificar todos los componentes clave Mantener el diagrama actualizado. Es una herramienta importante de solución de problemas. Los diagramas son muy útiles para identificar potenciales puntos problemáticos Utilizando las herramientas vistas en este módulo (ping, traceroute), se debe antotar las siferentes situaciones, por ejemplo: • • • Se deben anotar todos los puertos, incluso los que no están siendo ocupados Identificar claramente los dispositivos Es importante anotar el Núkero de Revisión de cada documento 73 Academy Xperts 74 Academy Xperts Módulo 6 - Firewall Conceptos básicos de Firewall • • • • • • • • • • • Un Firewall es un servicio en el cual nos permite bloquear o permitir paquetes que viajan a través del mismo, usando reglas definidas por el usuario. La principal función de un Firewall es actuar como una barrera entre 2 redes. Un ejemplo común es la relación entre su red LAN (“Segura”) y la red (“Insegura”) En la actualidad, un firewall es una herramienta indispensable para proteger nuestra conexión a Internet. El hecho de hacer uso de una conexión a Internet puede ser causa de múltiples ataques a nuestro equipo de cómputo desde el exterior, cuanto más tiempo estemos en línea, mayor es la probabilidad de que la seguridad de nuestro sistema se vea comprometida por un intruso desconocido. Por lo tanto, ya no solamente es necesario tener instalado y actualizado un software antivirus y un software antispyware sino también es totalmente recomendable mantener instalado y actualizado un software de firewall. Un firewall es un sistema diseñado para impedir el acceso no autorizado o el acceso desde una red privada. Pueden implementarse firewalls en hardware, software o en ambos. Los firewalls se utilizan con frecuencia para impedir que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet. El firewall Mikrotik protege al equipo frente a ataques de Internet, contenidos Web peligrosos, análisis de puertos y otros comportamientos de naturaleza sospechosa. El Firewall implementa filtrado de paquetes y de este modo provee funciones de seguridad, que son usadas para administrar los datos que fluyen hacia, desde, y a través del router: Por medio del NAT (Network Address Translation) se previene el acceso no-autorizado a las redes conectadas directamente y al router en sí mismo. Y también sirve como un filtro para el tráfico de salida. RouterOS funciona como un Stateful Firewall, lo cual significa que desarrolla una inspección del estado de los paquetes, y realiza el seguimiento del estado de las conexiones de red que viajan a través del router RouterOS también soporta: Source y Destination NAT o NAT o Helpers para las aplicaciones populares o UPnP El firewall provee marcado interno de conexiones, Routing y paquetes. ¿Cómo funciona un firewall? El Firewall opera usando reglas. Esta tiene 2 opciones: • The matcher : Todas las condiciones tienes que ser verificadas y deben coincidir, para poder aplicar. 75 Academy Xperts • The Action : Una vez que todos los parámetros coinciden y pasa la primera verificación, se procede con la acción. El matcher analiza y compara estos siguientes parámetros: • • • • • • • • Source MAC address IP addresses (network or list) and address types (broadcast, local, multicast, unicast) Port or port range Protocol Protocol options (ICMP type and code fields, TCP flags, IP options) Interface the packet arrives from or leaves through DSCP byte Y muchos mas… RouterOS puede filtrar por: • • • • Dirección IP, rango de direcciones, puerto, rango de puertos Protocolo IP, DSCP y otros parámetros Soporta Listas de Direcciones estáticas y Dinámicas Puede hacer match de paquetes por patrón en su contenido, especificado en Expresiones Regulares, conocido como Layer 7 matching El Firewall de RouterOS también soporta IPv6 Un firewall constituye una especie de barrera delante de nuestro equipo, esta barrera examina todos y cada uno de los paquetes de información que tratan de atravesarlo. En función de reglas previamente establecidas, el firewall decide qué paquetes deben pasar y cuáles deben ser bloqueados. Muchos tipos de firewalls son capaces de filtrar el tráfico de datos que intenta salir de nuestra red al exterior, evitando así que los diferentes tipos de código malicioso como caballos de Troya, virus y gusanos, entre otros, sean efectivos. El firewall actúa de intermediario entre nuestro equipo (o nuestra red local) e Internet, filtrando el tráfico que pasa por él. Un firewall, como ya se ha descrito, intercepta todos y cada uno de los paquetes destinados a nuestro equipo y los procedentes de él, realizando este trabajo antes de que algún otro servicio los pueda recibir. De lo anterior podemos concluir que un firewall puede controlar todas las comunicaciones de un sistema a través de Internet. Se dice que un puerto de comunicaciones está abierto si el sistema devuelve una respuesta al llegar un paquete de petición de establecimiento de conexión. En caso contrario el puerto se considera cerrado y nadie puede conectarse a él. El punto fuerte de un firewall reside en que al analizar cada paquete que fluye a través del mismo, puede decidir si lo deja pasar en uno u otro sentido, y puede decidir si las peticiones de conexión a determinados puertos deben responderse o no. Los firewalls también se caracterizan por su capacidad para mantener un registro detallado de todo el tráfico e intentos de conexión que se producen (lo que se conoce como un log). Estudiando los registros o logs es posible determinar los orígenes de posibles ataques y descubrir patrones de comunicación que identifican 76 Academy Xperts ciertos programas maliciosos. Sólo los usuarios con privilegios administrativos pueden acceder a estos registros, pero es una característica que se le puede exigir a estas aplicaciones. http://wiki.mikrotik.com/wiki/Firewall Flujo de Paquetes Todas las comunicaciones de Internet se realizan mediante el intercambio o flujo de paquetes o datos, que son la unidad mínima de datos transmitida por la red. Para que cada paquete pueda llegar a su destino, independientemente de donde se encuentren las máquinas que se comunican, debe llevar anexada la información referente a la dirección IP de cada máquina en comunicación, así como el puerto a través del que se comunican. La dirección IP de un dispositivo lo identifica de manera única dentro de una red. Los puertos de comunicación también son una parte muy importante de la que el Firewall deberá verificar y controlar también, debido a que la mayoría de comunicaciones se realizan bajo protocolos los cuales realizan el envió de paquetes mediante puertos tales como: TCP es el protocolo de comunicación que garantiza que los datos serán entregados en su destino sin errores y en el mismo orden en que se transmitieron. TCP usa el concepto de número de puerto para identificar a las aplicaciones emisoras y receptoras. Cada lado de la conexión TCP tiene asociado un número de puerto (de 16 bits sin signo, con lo que existen 65536 puertos posibles) asignado por la aplicación emisora o receptora. Los puertos son clasificados en tres categorías: bien conocidos, registrados y dinámicos/privados. Los puertos bien conocidos son asignados por la Internet Assigned Numbers Authority (IANA), van del 0 al 1023 y son usados normalmente por el sistema o por procesos con privilegios. Las aplicaciones que usan este tipo de puertos son ejecutadas como servidores y se quedan a la escucha de conexiones. Algunos ejemplos son: FTP (21), SSH (22), Telnet (23), SMTP (25) y HTTP (80). Los puertos registrados son normalmente empleados por las aplicaciones de usuario de forma temporal cuando conectan con los servidores, pero también pueden representar servicios que hayan sido registrados por un tercero (rango de puertos registrados: 1024 al 49151). Los puertos dinámicos/privados también pueden ser usados por las aplicaciones de usuario, pero este caso es menos común. Los puertos dinámicos/privados no tienen significado fuera de la conexión TCP en la que fueron usados (rango de puertos dinámicos/privados: 49152 al 65535, recordemos que el rango total de 2 elevado a la potencia 16, cubre 65536 números, del 0 al 65535) User Datagram Protocol (UDP) es un protocolo del nivel de transporte basado en el intercambio de datagramas (Encapsulado de capa 4 Modelo OSI), este protocolo no garantiza que los datos serán entregados en su destino sin errores y en el mismo orden en que se transmitieron. UDP utiliza puertos para permitir la comunicación entre aplicaciones. El campo de puerto tiene una longitud de 16 bits, por lo que el rango de valores válidos va de 0 a 65.535. El puerto 0 está reservado, pero es un valor permitido como puerto origen si el proceso emisor no espera recibir mensajes como respuesta. • • • Los puertos 1 a 1023 se llaman puertos "bien conocidos" y en sistemas operativos tipo Unix enlazar con uno de estos puertos requiere acceso como súper usuario. Los puertos 1024 a 49.151 son puertos registrados. Los puertos 49.152 a 65.535 son puertos efímeros y son utilizados como puertos temporales, sobre todo por los clientes al comunicarse con los servidores. http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers Para facilitarnos el entendimiento • • • Mikrotik ha creado diagramas para ayudarnos a la configuración avanzada en el flujo de paquetes. Es bueno estar familiarizado con ellos para saber qué está pasando con los paquetes y en qué orden irán. Para este curso, se analizara superficialmente y de manera simple los gráficos. http://wiki.mikrotik.com/wiki/Packet_Flow 77 Academy Xperts Ejemplo de flujo de paquetes • • Usted que piensa, Complicado? Bueno bienvenido al club! El siguiente ejemplo ayudara a ilustrar mejor el flujo de paquetes: Realice un Ping hacia (nodo no existente) sobre la interfaz de su router LAN a través de su WAN interface o IP no asignada a ningún equipo : 172.16.x.x o IP asignada a un cliente : 192.168.x.x o IP asignada para WAN (ether1 o wlan1) : 172.16.x.x Configuración previa al análisis de flujo de paquetes /ip firewall filter add action=log chain=input log-prefix=Filter-input protocol=icmp add action=log chain=output log-prefix=Filter-output protocol=icmp add action=log chain=forward log-prefix=Filter-forward protocol=icmp /ip add add add add add firewall mangle action=log chain=prerouting log-prefix=Mangle-prerouting protocol=icmp action=log chain=output log-prefix=Mangle-output protocol=icmp action=log chain=input log-prefix=Mangle-input protocol=icmp action=log chain=forward log-prefix=Mangle-forward protocol=icmp action=log chain=postrouting log-prefix=Mangle-postrouting protocol=icmp /ip firewall nat add action=log chain=srcnat log-prefix=srcnat protocol=icmp add action=log chain=dstnat log-prefix=dstnat protocol=icmp Ejecutar el PING Realizamos la ejecución del ping hacia las redes definidas al comienzo de la practica en clases: • Ejemplo: ping 192.168.3.2 De ahí procedemos con la revisión de los LOGs para verificar que información podemos obtener. Ping entrante. ===PREROUTING=== Mangle-prerouting prerouting: in:ether1 out:(none), src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0), 172.16.2.100->192.168.3.2, len 60 dstnat dstnat: in:ether1 out:(none), src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0), 172.16.2.100->192.168.3.2, len 60 ===FORWARD=== Mangle-forward forward: in:ether1 out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0), 172.16.2.100->192.168.3.2, len 60 Filter-forward forward: in:ether1 out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0), 172.16.2.100->192.168.3.2, len 60 ===POSTROUTING=== 78 Academy Xperts Mangle-postrouting postrouting: in:(none) out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0), 172.16.2.100->192.168.3.2, len 60 srcnat srcnat: in:(none) out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0), 172.16.2.100->192.168.3.2, len 60 Reply ===OUTPUT=== Mangle-output output: in:(none) out:ether1, proto ICMP (type 3, code 1), 192.168.0.3->172.16.2.100, len 88 Filter-output output: in:(none) out:ether1, proto ICMP (type 3, code 1), 192.168.0.3->172.16.2.100, len 88 ===POSTROUTING=== Mangle-postrouting postrouting: in:(none) out:ether1, proto ICMP (type 3, code 1), 192.168.0.3->172.16.2.100, len 88 Connection Tracking y sus Estados • • Connection tracking administra la información de las conexiones activas. Antes de crear filtros o reglas en el firewall, es bueno conocer qué tipo de tráfico está pasando a través del router. Connection tracking mostrara información como está a continuación. • El uso de conection-traking permite el seguimiento de las conexiones UDP, aunque UDP sea stateless. Como tal, el firewall de Mikrotik puede filtrar sobre los “estados” UDP. Y también si tenemos deshabilitada esta opción no podremos usar las funciones de firewall, Nat, Mangle. Más información: http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Connection_tracking • Recuerde: En caso de que se deshabilite el conection-traking por cualquier motivo, las siguientes funciones dejaran de funcionar: • • NAT Firewall o connection-bytes o connection-type o connection-limit o layer7-protocol connection-mark connection-state connection-rate p2p 79 Academy Xperts • o new-connection-mark tarpit p2p matching en cola simple Entonces podemos definir que sin el conection tracking el servidor de seguridad sólo utilizará criterios básicos, tales como (pero no limitados a): • • • Direcciones de origen y de destino Protocolos Los puertos de origen y de destino o Dentro y fuera de las interfaces TCP-States Los TCP-States son (asumiendo que hay una conexión desde un punto A hacia B): • • • • • Established: Se establece una sesión TCP con el host remoto, proporcionando una conexión abierta donde se pueden intercambiar datos Time-wait: Tiempo de espera para asegurar que el host remoto ha recibido un acuse de recibo (ACK) de su solicitud de finalización de conexión (después se "cierra") Close: Representa a la espera de una solicitud de finalización de conexión del host remoto. Syn-sent: Cuando un Client-A se encuentra en espera para un matching connection request, después de haber enviado la solicitud. Syn-received: Cuando un Client-B se encuentra en la espera de una confirmación de un connection request acknowledgement cuando ambos puntos ya recibieron un connection request. Estados de las Conexiones (connection-state) Primer paquete será "nuevo“en las conexión, el resto de paquetes se puede aceptar como establecido si no se alcanza el valor UDP-timeout. • • New – es el primer paquete UDP, TCP que pasa en la sincronización de paquetes. o Es el primer paquete que puede establecer una entrada en el conection tracking. o Es el primer paquete en sincronizar en TCP. o Es el primer paquete UDP. Established – Cuando pasa el resto de paquetes UDP o TCP o Los paquetes de conexiones ya conocidos 80 Academy Xperts o • • El resto de la comunicación UDP, si la tasa de paquetes puede mantenerse antes de un UDP timeout Related – Cuando se crea una conexión basada en una ya existente. o Conexión que se crea por otra conexión ya establecida. o Por ejemplo: la conexión de datos de la TFP que son creados por primera instancia por una conexión FTP. o Es esencial para una conexión relacionada primero ser establecida. Invalid – paquete TCP inválido o no relacionado con el conection-traking. o Cualquier paquete con estado desconocido o Es buena idea dejarlos o realizarle un DROP. Estructura: chains y acciones • • • • • Un chain: es una agrupación de reglas basado en los mismos criterios. Hay tres cadenas predeterminadas en función de criterios predefinidos. o input: El tráfico que va al router o forward: El tráfico que va a través del router o output: El tráfico procedente del router Por ejemplo, se puede implementar un chain pasado en: o Basado en el criterio: todo el tráfico del icmp. o Basado en tráficos provenientes de puertos Ethernet, por ejemplo: Ether2 hacia una red "LAN“remota o una red bridge. Los usuarios definen los chains, y estos mismos son creados dependiendo de los parámetros que se puedan comparar, y si desean pueden realizar un «jump» para una vez que el match ha sido confirmado, se realizara un salto hacia otra regla en el firewall, esto se los define en «jump target» Una acción dicta lo que va a realizar el filtro o regla cuando los paquetes aplican con todas las condiciones para ser filtrado. Los paquetes se comprueban secuencialmente contra de las reglas existentes en la cadena de firewall actual hasta que se produce una coincidencia. (Cuando se tenga el # significara que respetara un orden: primero uno si coinciden, se aplica la acción, y de ahí pasara a la siguiente si se encuentra habilitada esa opción, en caso contrario hasta ahí llegara el análisis) Filtrado Firewall en acción • • • • Nosotros podemos aprovechar la seguridad de un firewall de diferentes maneras tales como: Confiar en la seguridad de nuestra LAN, ya que lo proveniente de la WAN es lo inseguro. Bloqueamos todos y permitimos únicamente en lo que estamos de acuerdo. Permitiremos todo y bloquearemos únicamente lo que causa problemas. Consejos Básicos y trucos • • • • • Antes de realizar cambios en el firewall ingresemos en “modo seguro” Después de realizar configuraciones y cambios en las reglas firewall, se aconseja probar las debilidades: una herramienta recomendada: ShieldsUP Antes de comenzar se recomienda escribir en texto plano o en papel una descripción sencilla de las políticas que se quiere aplicar. o Una vez que las entiende y está de acuerdo con ellos, se procede con ingreso al router. o Añadir las siguientes reglas progresivamente, una vez que esté satisfecho con las reglas básicas ingresadas. o Si se es nuevo en el área de seguridad, lo recomendable es que no ingrese reglas que apunten en todas direcciones, suficiente con hacer lo básico, pero hay que hacerlo bien. Es una buena idea poner fin a sus cadenas con las reglas "catch-all" y ver lo que se puede haber perdido. Usted necesitará dos reglas "catch-all", uno de "log" y uno de "drop" para todo tráfico sin precedentes. Ambos deben basarse en los mismos parámetros comparados para que sea útil para usted. 81 Academy Xperts • Una vez que vea lo que llega a las reglas "catch-all", puede agregar nuevas reglas basadas en el comportamiento deseado por el firewall. Filtrado por Parámetros • • Antes de decidir en tomar una acción en el firewall, primero hay que identificarlo. Nosotros tenemos muchos parámetros por el cual podemos comparar. Filter actions Una vez realizada el match con todos los parámetros de una regla, y coinciden, entonces se realizara una acción. El firewall de MikroTik tiene las 10 siguientes acciones: 1. Accept: Acepte el paquete. El Paquete ya no pasaría a la siguiente regla de firewall. 2. Add-dst-to-address-list: dirección destino, después de hacer match el paquete pasa a la siguiente regla. 3. Add-src-to-address-list: dirección origen. Después de hacer match el paquete pasa a la siguiente regla. 4. Drop: el paquete es desechado. Después de hacer match el paquete pasa a la siguiente regla. 5. Jump: jump es definido por el usuario y sirve para saltar a una regla en específico, definido por el jump-target. Después de hacer match el paquete pasa a la siguiente regla definida en jump-target. 6. Log: añade un mensaje en los logs con la siguiente información: in-interface, out-interface, srcmac, protocol, src-ip:port->dst-ip:port y length of the packet. Después de hacer match el paquete pasa a la siguiente regla. 7. Passthrough: esta opción si está marcada, habilitara la opción de ignora resta regla y pasar a la siguiente (muy útil para estadísticas de red). 8. Reject desecha los paquetes icmp y envía un mensaje definido por el usuario el paquete no pasa a la siguiente regla. 9. Return pasa el control del filtro de nuevo, en donde se origino el filtro anterior. Después de hacer match el paquete pasa a la siguiente regla (únicamente si la regla anterior no ocasiona que se deseche el paquete y pare el match). 10. Tarpit captura y retiene los paquetes TCP (replicas con SYN/ACK para paquetes entrantes TCP SYN). Después de hacer match el paquete pasa a la siguiente regla. Protegiendo tu router (input) • • El input Chain mira todo el tráfico entrante al router. Al aplicar una regla input chain, controlara el ingreso de información al router, basado en parámetros definidos por el usuario. MikroTik da las siguientes sugerencias para el Input Asumiendo que la interfaz ETH1 esta conectada a una WAN insegura. • • • • • • Aceptar el trafico de icmp echo replies (si se desea tener replica de ping sobre internet, esto es útil cuando manejamos servidores) Desechar todo el trafico icmp echo requests (Cuando no deseamos que nos hagan ping otro dispositivo. Con esto evitamos estar en la mira de ataques como smurf attack u otros!) Aceptar todo el trafico entrante establecido y relacionado. Desechar todo el trafico invalido. Realizar un Log de todo el resto del trafico Desechar todo el resto de trafico. Protegiendo a todos los clientes (forward) • El trafico forward es el trafico que pasa a través del router. 82 Academy Xperts MikroTik da las siguientes sugerencias para el Forward Asumiendo que la interfaz ETH1 esta conectada a una WAN insegura. • • • • Aceptar todo el trafico entrante establecido y relacionado. Desechar todo el trafico invalido. Hacer Log de todo el resto del trafico (para verificar si es que algún paquete importante ha sido bloqueado) Desechar todo el resto de trafico. Address-list conceptos básicos Address lists Sirve para agrupar un grupo de direcciones IP, Ayuda a simplificar la cantidad de reglas creadas en el router. • ¿Qué es mejor? Aplicar 10 reglas aplicadas a 10 IPs o aplicar 1 sola regla a un solo grupo de IPs. Los grupos de Address-list pueden representar lo que sea: • • • Grupo de administradores, departamentos, Hackers Lo que sea que se quiere clasificar … Pueden ser usados por el firewall, Mangle, Nat. La creación puede realizarse de manera automática con la acción de firewall: add-src-to-address-list o add-dst-to-address-list con esto facilita para aplicar acciones en grupo en firewall filter, mangle o NAT. • • Esta puede ser una gran vía para poder facilitar el bloqueo de ip. Ejemplo: add action=add-src-to-address-list address-list=BLACKLIST chain=input comment=“nombre informativo de la lista” in-interface=“la interfaz de la WAN por ejemplo” Visualizar listas existentes: /ip firewall address-list print Crear listas permanetes /ip firewall address-list add address=1.2.3.4 list=hackers Crear listas a través de reglas firewall creadas: /ip firewall filter add action=add-dst-to-address-list address-list=temp-list address-list-timeout=3d1h1m1s chain=input protocol=tcp src-address=172.16.2.0/24 83 Academy Xperts /ip firewall nat add action=add-src-to-address-list address-list=NAT-AL chain=srcnat /ip firewall mangle add action=add-dst-to-address-list address-list=DST-AL address-list-timeout=10m chain=prerouting protocol=tcp Source NAT • • • • Network Address Translation (NAT) permite a los hosts de una red LAN, comunicarse con redes externas Source NAT traduce las direcciones IP (de una LAN) a direcciones IP públicas cuando se acceda al Internet. También realiza la traducción de IP pública a privada cuando el tráfico se genera desde la WAN hacia una LAN. Donde tenemos que tener en cuenta adicional con respecto a las direcciones IP: Direcciones IP no Ruteables, también llamados de "Espacio IP privado". Esas direcciones IP no pueden ser usados en Internet. Las direcciones IP privadas son 10.x.x.x, 172.16.x.x - 172.31.x.x y 192.168.x.x. Dirección IP ruteable, es decir una dirección pública, portable u homologada la cual se nos asignada cuando estamos conectados directamente a internet: 1.0.0.0 - 126.255.255.255 128.0.0.0 - 191.255.255.255 - 192.0.0.0 - 223.255.255.255 Masquerade & src-nat El primer chain para NATing es "srcnat". Es usado para aplicar acciones a los datos salientes del router. Al igual que los filtros de firewall, las reglas NAT rules tiene algunas propiedades y acciones (13 acciones). La primera y más básica regla de NAT, Es solo usar la acción "masquerade". Masquerade reemplaza la dirección IP origen en paquetes por otra determinada (ejemplo una privada a publica) para facilitar el enrutamiento. • Por lo general, la dirección IP de origen de los paquetes que van a la Internet será reemplazado por la dirección de la interfaz externa (WAN) La acción "src-nat“permite realizar cambios en dirección IP y puerto origen de los paquetes a unos especificados por el administrador de la red Ejemplo de uso: Dos empresas (alfa y beta) se han fusionado en la actualidad, pero hay un problema en sus redes locales, ambos utilizan el mismo espacio de direcciones (por ejemplo, 172.16.0.0/16.). Ellos no desean cambiar sus segmentos de red, ya que todos los dispositivos en la empresa(impresoras, proyectores, copiadoras, etc.) e implicaría pérdida de tiempo, Bueno orientándonos al concepto de nat, lo único que se requerirá aquí son reglas básicas de nat con Src-nat y posiblemente reglas de dst-nat, independientemente que las redes locales de cada una sean iguales. 84 Academy Xperts Destination NAT • • "Dst-nat" es una acción usada como "dstnat" chain para re direccionar el trafico entrante hacia una diferente IP o puerto. Ejemplo de aplicación: Tengo una granja de servidores (ejemplo Web, Mail y SSH) y tengo solo una dirección pública en mi router de borde. y deseo acceder independientemente desde del exterior hacia cada servidor independientemente. dst-nat & redirect • • • "Redirect" cambia el puerto destino del tráfico hacia un puerto del propio router. Ejemplo de aplicación: Todo trafico http (TCP, puerto 80) va a ser reenviado al web proxy del router por TCP puerto 8080. Este concepto en otros dispositivos se lo conoce como port-Forwarding Sintaxis NAT Source NAT (desde /ip firewall nat) Agregar regla masquerade 85 Academy Xperts add action=masquerade chain=srcnat Cambiar el source IP address add chain=srcnat src-address=192.168.0.109 action=src-nat toaddresses=10.5.8.200 Destination NAT Redirecciona todo el tráfico WEB (TCP, port 80) hacia el web proxy del router sobre el port 8080 add action=redirect chain=dstnat dst-port=80 protocol=tcp to-ports=8080 scripts • • • un script, archivo de órdenes, archivo de procesamiento por lotes o guion es un programa usualmente simple, que por lo regular se almacena en un archivo de texto plano. Usualmente es usado en MikroTik para automatizar tareas. Se puede realizar la automatización con scheduler. Ejemplo de scripts ------------ PORT SCAN ------------:global portscannerip; :if ([:len [/ip firewall address-list find list=port_scanners]]>0) do= { :log error "------IP's dectada como ATAQUE PORTSCANNER------"; :foreach i in [/ip firewall address-list find list=port_scanners] do={ :set portscannerip [/ip firewall address-list get $i address]; :log error $portscannerip }; } --------------- cpu LOAD ------------":if \(\[ /system resource get cpu-load \] \ >= 90 \) do={ /system reboot; }" 86 Academy Xperts Módulo 7 - QoS QoS o Calidad de Servicio (Quality of Service, en inglés) es el rendimiento promedio de una red de datos, telefonía o de computadoras, particularmente es el rendimiento visto por los usuarios de la red. La calidad de servicio se aplica para mejorar varios aspectos del servicio de red, tales como tasas de errores, ancho de banda, rendimiento, retraso en la transmisión, disponibilidad, jitter, etc. Problemas en redes de datos conmutados Muchas cosas le ocurren a los paquetes desde su origen al destino, resultando los siguientes problemas vistos desde el punto de vista del transmisor y receptor: • • • • • • • Bajo rendimiento Paquetes sueltos Retardos Latencia Jitter Entrega de paquetes fuera de orden Errores Simple Queue (Cola simple) QoS (Calidad de servicio) es el arte de la gestión de los recursos de ancho de banda y no sólo "a ciegas", limitando el ancho de banda para ciertos nodos. QoS puede priorizar el tráfico basado en las métricas. Útil para • • Las aplicaciones críticas Tráfico sensible como flujos de voz y vídeo Definición: • • • • • • • Las colas se utilizan para limitar y priorizar el tráfico: Límite la velocidad de datos para ciertas direcciones IP, subredes, protocolos, puertos y otros parámetros Límite tráfico punto a punto Priorizar algunos flujos de paquetes sobre los demás Configurar ráfagas de tráfico para la navegación web más rápida Aplicar diferentes límites en base al tiempo Dividir el tráfico entre los usuarios por igual, o dependiendo de la carga del canal La implementación de cola en MikroTik RouterOS se basa en Hierarchical Token Bucket (HTB). HTB permite crear la estructura jerárquica de colas y determinar las relaciones entre las colas. En RouterOS, estas estructuras jerárquicas pueden estar unidos en 4 lugares diferentes: • • • • Global-in: Representa todas las interfaces de entrada en general. Colas unidos a global-se aplican al tráfico en que es recibido por el router antes de que el filtrado de paquetes. Global-out: representa a todos los interfaces de salida en general. Global-total: representa todas las interfaces de entrada y salida junto. Se utiliza en caso de que los clientes tienen de límite único para ambos, cargar y descargar. <interface name>: representa una interfaz de salida particular. Sólo el tráfico que se designa a salir a través de esta interfaz pasará esta cola HTB. 87 Academy Xperts Hay dos maneras diferentes de cómo configurar colas en RouterOS: • • Queue simple menú - diseñado para facilitar la configuración de las tareas de gestión de colas simples y cotidianas (como las limitaciones upload/download de descarga, limitación del tráfico p2p, etc.) Queue tree menú - para la implementación de las tareas de gestión de colas avanzadas (como la política de priorización global, limitaciones de grupos de usuarios). Requiere paquete marcado fluye desde /ip firewall mangle. Target • • • Objetivo es la interfaz a la que se aplica la cola sencilla Se debe introducir un objetivo. Puede ser: o Una dirección IP o Una subred o Una interfaz El orden de la cola es importante. Cada paquete debe pasar por cada cola sencilla hasta que se produce una coincidencia. Destinos • • • • La dirección IP donde el tráfico del target está dirigido. Interfaz a través del cual el tráfico del target fluirá. No es obligatorio que el campo "target" Puede ser utilizado para limitar la restricción de la cola Max-limit and limit-at • • • • El parámetro "max-límit" es la velocidad de datos máxima que puede alcanzar un objetivo Se lo conoce como MIR (máxima velocidad de información) o En el mejor de los casos El "límit-at" el parámetro es una velocidad de datos mínima garantizada para el objetivo Se lo conoce como CIR (tasa de información comprometida) o Peor de los casos 88 Academy Xperts Burst • • • Burst es una característica que permite satisfacer el requisito de cola para ancho de banda adicional, incluso si la tasa requerida es más grande que la MIR (max-límit) durante un período de tiempo limitado. Bursting permite a los usuarios obtener, por un corto tiempo, más ancho de banda que permite el parámetro "max-limit". Útil para impulsar el tráfico que no utiliza el ancho de banda con demasiada frecuencia. Por ejemplo, HTTP. Obtener una página de descarga rápida, que leyó durante unos segundos. Parámetros del Burst: 1. 2. 3. 4. Burst Limit: Velocidad máxima de datos al tiempo que se permite la ráfaga. Burst-time: tiempo en segundos, durante el cual se hizo el muestreo. Burst-threshold: el valor que determinará si se le permitirá a un usuario el burst. average-rate: Un promedio de transmisión de datos calcula en 1/16 o partes de "tiempo de ráfaga". Cada 1/16 partes del burst-time, el router calcula la velocidad de datos promedio de cada clase en los últimos segundos de burst-time 5. actual-rate: actual tasa de transferencia de datos (real). Bursting - Como trabaja • • • Bursting está permitido mientras el average-rate este abajo el burst-threshold Bursting será limitado a la velocidad especificada por burst-limit Average-rate es calculado con un promedio de 16 muestras (actual-rate) sobre varios segundos del burst-time o Si burst-time está en 16 segundos. Continuación, se toma una muestra cada segundo o Si burst-time está en 8 segundos, continuación, se toma una muestra cada medio segundo. Cuando el burst-time está definido con 16 segundos 89 Academy Xperts Cuando el burst-time está definido con 8 segundos Sintaxis Agregar una simple Queue (cola simple) [admin@Mikrotik] > /queue simple [admin@Mikrotik] /queue simple > add max-limit=2M/2M name=queue1\ target=192.168.3.0/24 Agregar una simple Queue con Bursting [admin@Mikrotik] /queue simple > add burst-limit=4M/4M burst-\ threshold=1500k/1500k burst-time=8s/8s limit-at=1M/1M max-limit=2M/2M name=queue2 target=192.168.3.0/24 Tip Usted puede haber notado que los iconos de cola cambian de color de acuerdo al uso. El color tiene un significado. • • • Verde: 0 – 50% de ancho de banda disponible Amarillo: 51 – 75% de ancho de banda disponible Red: 76 – 100% de ancho de banda disponible Limitación de Tráfico • • • Los principios que usa mikrotik para la limitación, se basa en los siguientes métodos: Shapper: desecha los paquetes que sobrepasan el trafico. Schelduler: genera un delay para que los paquetes no sean desechados y lleguen pero con retardo. 90 Academy Xperts Tipos de Colas Tenemos los siguientes tipos de colas: • • • • BFIFO, PFIFO, MQ PFIFO RED SFQ PCQ FIFO: Los paquetes que esperan en una cola y van siendo atendidas en el orden en que llegaron, es decir, que ‘el primera paquete que entra es el primer paquete que sale’. PCQ PCQ se introdujo para optimizar los sistemas de calidad de servicio masivos, donde la mayoría de las colas son exactamente los mismos para los diferentes sub-corrientes. Por ejemplo, un sub-corriente se puede descargar o cargar para un cliente en particular (IP) o la conexión al servidor. PCQ algoritmo es muy simple - en un primer momento que utiliza clasificadores seleccionado para distinguir una sub-corriente de otro, a continuación, aplica tamaño de la cola FIFO individual y limitación en todos los sub-corriente, luego grupos de todos los sub-corrientes juntos y se aplica tamaño de la cola FIFO mundial y limitación. PCQ parámetros: • • • • pcq-classifier (dst-address | dst-port | src-address | scr-port; default: “”) pcq-rate (numero) pcq-limit (numero) pcq-total-limit (numero) Una cola simple para toda la red (PCQ) Porque tener un Queue para todo? • • Por la conexión de colas (PCQ) es una forma dinámica de conformación de tráfico para varios usuarios que utilizan una configuración más sencilla. Definir los parámetros (direcciones IP específicas, por ejemplo) tendrá las mismas limitaciones. Configuración PCQ-rate • • El parámetro pcq-rate limita el tipo de cola que será permitido Clasificador es como el router comprueba cómo se aplicará esta limitación. Puede ser en dirección de origen o de destino, o puerto de origen o destino. Entonces usted podría limitar el tráfico de usuarios o el tráfico de aplicaciones (HTTP, por ejemplo). 91 Academy Xperts Configuración PCQ-limit • • • • Este parámetro se mide en paquetes. Un valor PCQ-limit grande o Creará un buffer más grande, lo que reduce los paquetes caídos o Aumentará latencia Un valor PCQ-limit más pequeño o Aumentará paquetes gotas (desde buffer es menor) y obligará a la fuente para volver a enviar el paquete, lo que reduce la latencia o Supondrá un ajuste de tamaño de la ventana TCP, diciendo la fuente para reducir la velocidad de transmisión ¿Qué valor se debe utilizar? No hay una respuesta fácil. o Si a menudo salen "Trial & Error" por aplicación o Si los usuarios se quejan de latencia, reducir el valor de pcq- límit (longitud de la cola) o Si los paquetes tienen que pasar por un servidor de seguridad complejo, entonces usted puede tener que aumentar la longitud de la cola, ya que puede producir retrasos o Fast interfaces (como carruaje) requieren colas más pequeñas, ya que reducen los retrasos 92 Academy Xperts PCQ, ejemplo Vamos a suponer que tenemos usuarios que comparten un vínculo WAN limitado. Les daremos los siguientes tipos de datos: Descargar: 2Mbps Subir: 1Mbps WAN está en ether1 Subred LAN es 192.168.3.0/24 /ip firewall mangle Add action=mark-packet chain=forward new-packet-mark=client_upload outinterface=ether1 src-address=192.168.3.0/24 Add action=mark-packet chain=forward dst-address=192.168.3.0/24 ininterface=ether1 new-packet-mark=client_download • • • • /queue type Add kind=pcq name=PCQ_download pcq-classifier=dst-address pcq-rate=2M Add kind=pcq name=PCQ_upload pcq-classifier=src-address pcq-rate=1M /queue tree Add name=queue_upload packet-mark=client_upload parent=global queue=PCQ_upload Add name=queue_download packet-mark=client_download parent=global queue=PCQ_download Nuestro ejemplo, nos explica Mangle: Le estamos diciendo al router para marcar los paquetes con el "client_upload" o la marca "client_download", dependiendo de si: • • Los paquetes vienen de la LAN y están saliendo de ether1 (upload) o, Los paquetes que están entrando desde ether1 e ir a la LAN (descargar). Tipos de colas: Estamos definiendo los tipos de datos y los clasificadores a utilizar para diferenciar subcorrientes (origen o destino) Queue tree: Las combinaciones que se comprueban para ver si los paquetes califican para la modulación del tráfico y lo que debe aplicar. • Por ejemplo, en el caso del tráfico de subida, comprobamos entrada y salida de las interfaces (globales) para los paquetes con la marca "client_upload" y aplicamos el "PCQ_upload" tipo de cola. Monitoreo Monitor de tráfico de interfaz /tool traffic-monitor Add interface=ether1 name=trafficMon1 on-event=script1 threshold=1500000 traffic=received /system script Add name=script1 policy=ftp, read, test, winbox, api, Source=”/tool e-mail\ send to=”\YOU@DOMAIN.CA\” subjetc=([/system identity get name] . \” Log \ \” . [/system clock get date]) body=\”Hello world. You’re going too fast!\”” Torch • • El Torch es una herramienta de monitorización de tráfico en tiempo real que se puede utilizar para monitorear el tráfico a través de una interfaz. A pesar de CLI es muy flexible, la interfaz del Torch en Winbox es muy intuitivo. Torch Winbox 93 Academy Xperts Gráficas • • • Representación gráfica es una herramienta utilizada para monitorizar diversos parámetros del RouterOS al mismo tiempo y poner los datos recogidos en las gráficas. Los siguientes parámetros pueden ser capturados. o CPU, la memoria y el uso de disco o Interfaz de tráfico o Tráfico de cola Los gráficos pueden ser accedidos por http://<router-IP-address>/graphs Primer paso [admin@Mikrotik] /tool [admin@Mikrotik] /tool store-every: 5min page-refresh: 300 [admin@Mikrotik] /tool interface=all [admin@Mikrotik] /tool queue=test-queue1 [admin@Mikrotik] /tool graphing> set store-every=5min page-refresh=300 graphing> print graphing> interface add allow-address=0.0.0.0/0 graphing> queue add allow-address=0.0.0.0/0 simplegraphing> resource add allow-address=0.0.0.0/0 94 Academy Xperts SNMP • • SNMP, acrónimo de Simple Network Management Protocol, es un protocolo de Internet estándar que se utiliza para la gestión de dispositivos en las redes IP. Muchas de las herramientas, tanto de código abierto y comercial, están disponibles para gestionar sus redes y automatizar muchas tareas. Primer paso: [admin@Mikrotik] /snmp > set enabled=yes [admin@Mikrotik] /snmp > set contact=YOU [admin@Mikrotik] /snmp > set location=OFFICE [admin@Mikrotik] /snmp > print Enabled: yes Contact: YOU Location: OFFICE Engine-id: Trap-target: Trap-community: (unknown) Trap-version: 1 Trap-generators: [admin@Mikrotik] /snmp > • Se debe dar especial atención a las comunidades. • Se deben establecer privilegios. [admin@Mikrotik] /snmp community > print detail Flags: * - default 0 * name=”public” address=0.0.0.0/0 security=none read-access=yes write-\ access=no authentication-protocol=MD5 encryption-protocol=DES\ authenticationpassword=”” encryption-password=”” [admin@Mikrotik] /snmp community > 95 Academy Xperts Módulo 8 - Túneles Introducción • • • Los túneles son una forma de ampliar su red privada a través de una red pública, como Internet. También se les conoce como VPNs (redes privadas virtuales). El concepto de seguridad se asocia con VPNs. Es recomendable ya que no es deseable que el tráfico de los usuarios vaya a través de redes no seguras y no de propiedad privada (por el cliente). Se conoce como túnel o tunneling a la técnica que consiste en encapsular un protocolo de red sobre otro (protocolo de red encapsulador) creando un túnel de información dentro de una red de computadoras. El uso de esta técnica persigue diferentes objetivos, dependiendo del problema que se esté tratando, como por ejemplo la comunicación de islas en escenarios multicast, la redirección de tráfico, etc. La técnica de tunelizar se suele utilizar para trasportar un protocolo determinado a través de una red que, en condiciones normales, no lo aceptaría. Otro uso de la tunelización de protocolos es la creación de diversos tipos de redes privadas virtuales. El establecimiento de dicho túnel se implementa incluyendo una PDU (unidad de datos de protocolo) determinada dentro de otra PDU con el objetivo de transmitirla desde un extremo al otro del túnel sin que sea necesaria una interpretación intermedia de la PDU encapsulada. De esta manera se encaminan los paquetes de datos sobre nodos intermedios que son incapaces de ver en claro el contenido de dichos paquetes. El túnel queda definido por los puntos extremos y el protocolo de comunicación empleado, que entre otros, podría ser SSH. Así, el protocolo A es encapsulado dentro del protocolo B, de forma que el primero considera al segundo como si estuviera en el nivel de enlace de datos. Ejemplos de protocolos tunelizados • • • • • • • • L2TP (Layer 2 Tunneling Protocol) MPLS (Multiprotocol Label Switching) PPTP (Point-to-Point Tunneling Protocol) PPPoE (point-to-point protocol over Ethernet) PPPoA (point-to-point protocol over ATM) IPSec (Internet Protocol security) IEEE 802.1Q (Ethernet VLANs) 6to4 (IPv6 over IPv4 as protocol 41) PPP profile Los PPP profiles representan los parámetros de configuración para ser utilizado por los clientes PPP, tales como, pero no limitados a: • • • Dirección IP o Pool de direcciones (remotas o locales) Compresión Cifrado /ppp profile (example from a client) add change-tcp-mss=yes name=Profile-external use-compression=yes use-\ encryption=yes use-vj-compression=no /ppp profile (example from a server) add change-tcp-mss=yes local-address=192.168.222.1 name=Profile-\ external remote-address=192.168.222.2 use-compression=yes use-encryption=yes use-vjcompression=no add change-tcp-mss=no dns-server=192.168.5.1 local-address=192.168.5.1 name= Profile-internal remote-address=Pool-VPN use-compression=yes\ use-encryption=yes use-vj-compression=no 96 Academy Xperts PPP secret PPP secrets se encuentran en PPP servers y también podemos especificar los parámetros básicos y necesarios para autenticar a un cliente, tales como: • • • • Nombre: Identificación del usuario Contraseña: contraseña del usuario Servicio: el protocolo que está dando servicio (si de dejan en “any” el PPP secret autenticara al usuario a través de algunos de estos servicios (PPPoE, L2TP, PPTP, etc.)) Perfil: el subconjunto de configuración que utilizara este usuario. Los perfiles permiten parámetros a ser utilizados por muchos usuarios sin tener que volver a escribir todo cada vez. Los clientes no utilizan PPP secrets como credenciales de autenticación. Se especifican en la interfaz del cliente PPP bajo los parámetros de “Usuario” y “Contraseña” /ppp secret add name=Pod4-external password=pod4-123 profile=Profile-external routes=192.168.4.0/24 add name=alain password=alain!! profile=Profile-internal PPP status Representa el estado actual de las conexiones. Útil para depurar y verificar el funcionamiento correcto de sus túneles. [admin@Mikrotik] > /ppp active print detail Flags: R - radius 0 name=”alain” service=pppoe caller-id=”28:D2:44:2C:06:EE”\ address=192.168.5.100 uptime=3m56s encoding=”MPPE128 statefull” sessionid=0x81B00044\ limit-bytes-in=0 limit-bytes-out=0 1 name=”Pod4-external” service=pppoe caller-id=”D4:CA:6D:8E:1ª:97”\ address=192.168.222.2 uptime=37s encoding=”MPPE128 stateless” sessionid=0x81B00045\ limit-bytes-in=0 limit-bytes-out=0 [admin@Mikrotik] > /ppp active print Flags: R – radius # NAME SERVICE CALLER-ID ADDRESS UPTIME ENCODING 0 alainpppoe 28:D2:44:2C:06:EE 192.168.5.100 4m12s MPPE128 statefull 1 Pod4-exte... pppoe D4:CA:6D:8E:1ª:97 192.168.222.2 53s MPPE128 stateless Creación de un Pool Pool IP definen un rango de direcciones IP para los clientes. No sólo es utilizado para DHCP, como vimos anteriormente en este curso, se pueden utilizar para los clientes PPP y Hotspot. Útil cuando una interfaz puede dar servicio a muchos clientes. Las direcciones se asignan a partir del Pool de forma automática. Rangos de IPs son listas de direcciones IP que no se repiten entre si y que se pueden asignar a los clientes a través de servicios (DHCP, PPP, Hotspot). Vamos a demostrar con un ejemplo. Usted tiene 50 ordenadores de la LAN corporativa y 50 que vienen desde VPN. /ip pool add name=Pool-PC ranges=192.168.5.50-192.168.5.99 add name=Pool-VPN ranges=192.168.5.100-192.168.5.149 Supongamos ahora que usted necesita agregar 50 equipos en el Pool de la LAN /ip pool print # NAME RANGES 0 Pool-PC 192.168.5.50-192.168.5.99 1 Pool-VPN 192.168.5.100-192.168.5.149 97 Academy Xperts /ip pool set 0 ranges=192.168.5.50-192.168.5.99,192.168.5.150-192.168.5.199 /ip pool> print # NAME RANGES 0 Pool-PC 192.168.5.50-192.168.5.99 192.168.5.150-192.168.5.199 1 Pool-VPN 192.168.5.100-192.168.5.149 Asignaciones para un servicio • • Un Pool puede ser asignado para diferentes servicios tales como DHCP, PPP y Hotspot. Veremos la sintaxis más adelante Ejercicio: Cómo comunicamos las redes A y B? PPPoE • • • Point-to-Point sobre Ethernet es un protocolo de capa 2 Es usualmente usado por ISP’s para controlar el acceso a sus redes Se puede utilizar como un método de acceso en cualquier tecnología de capa 2, como 802.11 o Ethernet. PPPoE service-name • • El service-name puede ser visto como el SSID de 802.11, lo que significa que es el nombre de red que el cliente este buscando. A diferencia del SSID, si el cliente no especifica uno, el concentrador de acceso (servidor PPPoE) enviara todos los service-names que administre. El cliente responderá al primero que llegue. 98 Academy Xperts Creando un PPPoE server • • • • • Un PPPoE server es el dispositivo que ofrece el servicio de tunelización Permite a los clientes obtener un servicio de VPN seguro a la capa 3 a través de la infraestructura de la capa 2. Usted no puede llegar a un servidor PPPoE a través de routers. Ya que es un protocolo de capa 2, el servidor solo se puede llegar a través del mismo dominio de difusión Ethernet a la que los clientes pertenecen. Antes de crear el servidor, creamos los parámetros de configuración que usted requiere tales como: o IP Pool o PPP profiles PPP secrets Crear la interfaz de servidor de la interfaz física frente a los clientes Ejemplo: /ip pool Add name=Pool-PC ranges=192.168.5.50-192.168.5.99, 192.168.5.150- \ 192.168.5.199 add name=Pool-VPN ranges=192.168.5.100-192.168.5.149 /ppp profile add change-tcp-mss=yes local-address=192.168.222.1 name=Profile-external \ remote-address=192.168.222.2 use-compression=yes use-encryption=yes \ use-vj-compression=no add change-tcp-mss=no dns-server=192.168.5.1 local-address=192.168.5.1\ name=Profile-internal remote-address=Pool-VPN use-compression=yes use-\ encryption=yes use-vj-compression=no /ppp secret add name=Pod4-external password=pod4-123 profile=Profile-external\ routes=192.168.4.0/24 add name=alain password=alain!! profile=Profile-internal /interface pppoe-server server add authentication=mschap2 default-profile=Profile-external disabled=no \ interface=ether1 mrru=1600 service-name=PPPoE-external add authentication=mschap2 default-profile=Profile-internal disabled=no \ interface=ether5 mrru=1600 service-name=PPPoE-internal Tip: Usted puede dejar un puerto Ethernet sin un puerto maestro, un bridge o una dirección IP y el cliente que está conectado a este puerto pueden conseguir todavía el acceso a Internet si el servidor PPPoE (y el cliente PPPoE) está configurado correctamente. Direcciones Point-to-Point • • • Direcciones desde /ppp secret tienen prioridad sobre /ppp profile, y ellos tienen prioridad sobre /ip pool. Tanto las direcciones locales y remotas pueden ser únicas o de un Pool Direcciones estáticas o direcciones por medio de DHCP no se deben utilizar en interfaces de clientes PPPoE. Creando Clientes PPPoE en un RouterOS • • • Si desea utilizar un perfil diferente que el de por defecto, crearlo primero. Crear la interfaz de cliente en la interfaz de cara al ISP Ya está! Ejemplo /ppp profile add change-tcp-mss=yes name=Profile-external use-compression=yes \ use-encryption=yes use-vj-compression=no /interface pppoe-client add ac-name=" " add-default-route=yes allow=mschap2 default-route-distance=1 dial-on-demand=no disabled=no interface=ether1 keepalive-timeout=60 max-mru=1480 99 Academy Xperts max-mtu=1480 mrru=disabled name=Client-PPPoE password=pod4-123 profile=Profileexternal service-name=" " use-peer-dns=no user=Pod4-external Habilite la interfaz del cliente. Tip El router no tendría que ser configurado con un cliente DHCP en la interfaz WAN y esto aún funcionará si el servidor PPPoE está en la misma infraestructura de capa 2 como puerto WAN. PPTP • • • • PPTP es un protocolo de túnel de capa 3, que utiliza la informacion y direccionamiento del enrutamiento IP, para ligar a los clientes a los servidores PPTP. Definición del servidor PPTP es casi lo mismo que para PPPoE, excepto que ninguna interfaz tiene que ser especificada. El cliente se define casi de la misma manera como un cliente PPPoE, excepto que una dirección IP tiene que ser especificada para el servidor. Consejo: Se debe desbloquear el puerto 1723 en el firewall del router (el servidor PPTP) para que pueda llegar con su tunel. Es un túnel seguro para el transporte de trafico IP mediante PPP. La encapsulación de PPTP en líneas virtuales que corren sobre IP. PPTP incorpora PPP y MPPE (Microsoft Point-to-Point Encryption) para hacer enlaces cifrados. El objetivo de este protocolo es hacer conexiones seguras bien administradas entre los routers, así como entre los router clientes PPTP. Clientes están disponibles para y/o incluido en casi todos los sistemas operativos incluyendo Windows). Se crea una interfaz para cada túnel establecido con el servidor dado. Hay dos tipos de interfaces en la configuración de PPTP. • • Las interfaces estáticas se añaden administrativamente si hay una necesidad de hacer referencia al nombre de la interfaz en particular (en las reglas de firewall) creados por el usuario en particular. Las interfaces dinámicas se añaden a esta lista de forma automática cada vez que se conecta un usuario y su nombre de usuario no coincide con ninguna entrada estática existente. Interfaces dinámicas aparecen cuando un usuario se conecta y desaparecen una vez que el usuario se desconecta, por lo que es imposible hacer referencia al túnel creado con ese fin en la configuración del router (por ejemplo, en el servidor de seguridad), así que si necesitas reglas persistentes para ese usuario, crear una entrada estática para el usuario, de lo contrario es seguro usar configuración dinámica. El siguiente ejemplo muestra como conectar un ordenar a un red de oficina remota a través de una túnel PPTP encriptado, dando ese equipo una dirección IP de la misma red que la oficina remota tiene (sin necesidad de tender un bridge sobre túneles EoIP) 100 Academy Xperts El router de la oficina está conectado a internet a través de ether1. Las estaciones de trabajo están conectados a ether2. Las portátiles están conectadas a internet, y puede alcanzar IP publica del router de la oficina (en nuestro ejemplo es 192.168.80.1) Primer paso es crear un usuario /ppp secret add name=Laptop service=pptp password=123 local-\ address=10.1.101.1 remote-address=10.1.101.100 /ppp secret print detail Flags: X – disabled 0 name=”Laptop” service=pptp caller-id=” ” password=”123” profile=default local-address=10.1.101.1 remote-address=10.1.101.100 routes==” “ Observe que la dirección local PPTP es la misma que la dirección del router en la interfaz local y la dirección remota es del mismo rango que la red local (10.1.101.0/24). El siguiente paso es habilitar el servidor PPTP y el cliente PPTP en la computadora portátil. /interface pptp-server server set enabled=yes /interface pptp-server server print Enabled: yes max-mtu: 1460 max-mru: 1460 mrru: disabled authentication: mschap2 keepalive-timeout: 30 default-profiles: default El cliente PPTP de la computadora portátil debe conectarse a routers IP publica que en nuestro ejemplo es 192.168.80.1 (consulte el manual respectivo sobre como configurar un cliente PPTP con el software del sistema operativo que esté utilizando). En este punto (cuando el cliente PPTP está conectado con éxito) si intenta hacer ping a cualquier estación de trabajo que forma parte de la red del ordenador portátil, el ping será el tiempo de espera debido a que el ordenador portátil está en condiciones de obtener aplicaciones de estaciones de trabajo. La solución es la creación de proxy arp en la interfaz local. /interface ethernet set Office arp=proxy-arp /interface ethernet print Flags: X – disabled, R – running # Name MTU MAC-ADDRESS ARP 0 R ether1 1500 00:30:4F:0B:7B:C1 enabled 1 R ether2 1500 00:30:4F:06:62:12 proxy-arp Luego que el proxy-arp este activado, el cliente remoto puede alcanzar con éxito todas las estaciones de trabajo en la red local detrás del router. Clientes y servidores SSTP VPN SSTP es un tipo de VPN de acceso remoto que permite una conexión VPN por SSL de HTTPS, o lo que es lo mismo encapsula trafico PPP sobre un canal SSL. Esto le permite atravesar Firewalls donde las conexiones VPN por PPTP o L2TP estén prohibidas. SSTP utilizara el puerto 443 para atravesar los firewalls y a través de SSL tenemos cifrado, autenticación y negociación de claves. • • • Definición del servidor SSTP es casi lo mismo que para PPTP, salvo que se especifique un puerto TCP para conectarse (443 por defecto). Se usa con certificados digitales para crear Túneles sobre internet. El cliente se define casi la misma forma que un cliente PPTP, salvo que se especifique un puerto TCP a utilizar para establecer una conexión (443 por defecto). 101 Academy Xperts • Consejo: Debe permitir el puerto 443 para que su túnel pueda llegar sin problemas. Además, dejar el puerto en 443 para asegurarlo con SSL y poderlo utilizar para sus comunicaciones. Configuración en línea de comando: /interface sstp-server server set authentication=mschap2 enabled=yes /interface sstp-client add add-default-route=no authentication=mschap2 certificate=none connect-to=\ 192.168.0.5:443 dial-on-demand=no disabled=no http-proxy=0.0.0.0:443 \ keepalive-timeout=60 max-mru=1500 max-mtu=1500 mrru=1600 name=Client-SSTP \ password=pod4-123 profile=Profile-external user=Pod4-external \ verify-server-address-from-certificate=no verify-server-certificate=n Clientes y Servidores OpenVPN Es una solución de conectividad basada en software libre: SSL (Secure Sockets Layer) VPN Virtual Private Network (red virtual privada), OpenVPN ofrece conectividad punto-a-punto con validación jerárquica de usuarios y host conectados remotamente. • • • Sigue el mismo patrón de configuraciones anteriores, similar a SSTP. Con la única diferencia, que con esta herramienta (OPVN) nos permites crear nuestros propios certificados digitales públicos, para poder usarlos, sin tener que pagar por ellos. Una muy buena herramienta a la hora de pensar en el factor COSTO. Configuración de Rutas entre redes Es necesaria la configuración de rutas estáticas para que exista comunicación, tomar en cuenta: Una vez que el túnel está configurado y operativo, usted necesita rutas para mover los paquetes de un lado a otro. • La primera forma, es usar la ruta que se crea automáticamente en el router del cliente para ese túnel. /ip route print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 ADS 0.0.0.0/0 192.168.0.254 0 1 ADC 192.168.0.0/24 192.168.0.5 ether1 0 2 ADC 192.168.5.0/24 192.168.5.1 Bridge-PC 0 3 ADC 192.168.5.101/32 192.168.5.1 <pptp-ejemplo> 0 • • La segunda opción es especificar una o múltiples rutas con PPP secret para cada cliente: /ppp secret export add name=Pod4-external password=pod4-123 profile=Profile-external \ routes=192.168.4.0/24 add name=alain password=alain!! profile=Profile-internal 102 Academy Xperts /ppp secret print Flags: X - disabled # NAME REMOTE-ADDRESS 0 Pod4-external external 1 alain internal SERVICE CALLER-ID PASSWORD PROFILE any pod4-123 Profile- any alain!! Profile- /ppp secret set 0 routes=192.168.4.0/24,10.10.2.0/24 /ppp secret export add name=Pod4-external password=pod4-123 profile=Profile-external \ routes=192.168.4.0/24,10.10.2.0/24 add name=alain password=alain!! profile=Profile-internal • • La tercera forma es agregar rutas estáticas a una o varias redes a través de un túnel. Este método es útil si ambos routers tienen su propia ruta por defecto, pero implica más mantenimiento y parámetros. /ip route add comment="TO OFFICE LOOPBACKS" distance=1 dst-address=10.10.2.0/24 \ gateway=192.168.254.10 add comment="TO OFFICE NETWORKS" distance=1 dst-address=172.16.8.0/21 \ gateway=192.168.254.10 103 Academy Xperts Proceso final – Examen Una vez que hemos finalizado los módulos del curso con sus respectivos laboratorios, daremos paso a él examen para la certificación. Lo haremos desde nuestra cuenta de Mikrotik.com, el examen tendrá una duración de 1 hora (60 minutos) por lo que se recomienda tener muy en cuenta el tiempo que nos quede mientras vamos resolviendo el examen. Nos ubicaremos en la ventana principal (home) de Mikrotik.com y luego daremos clic en account para dar inicio de sesión con las credenciales con las cuales nos registramos a principio de curso. Una vez que estemos dentro daremos clic en la opción “my training sessions”, en este punto ya el Trainer a cargo les habrá activado el examen correspondiente. Y daremos clic en “Yes, start test” 104 Academy Xperts Ahora realizaremos una pequeña encuesta para dar calificación al Trainer a cargo del curso, donde la mayor cantidad de estrellas es el puntaje mejor. Ahora si pasaremos al examen que constara de 25 preguntas y con duración de 1 hora (60 minutos) Hay que tener en cuenta dos puntos importantes durante el examen: 1. El examen por defecto viene en inglés, pero que para su comodidad lo puede traducir en la misma página dando clic en la opción señala en la imagen. 2. Durante el examen se le mostrara el tiempo restante del examen, usted aquí puede grabar el proceso de su examen. Abajo del tiempo restante tendremos una barra o línea roja la cual nos indica el progreso de preguntas no respondidas aun, una vez que comencemos a responder las preguntas la barra o línea se ira tornando de color verde. 105