Academy xperts
ax
MIKROTIK CERTIFIED
NETWORK ASSOCIATE
MTCNA
Argentina - Bolivia - Chile - Colombia - Costa Rica - Ecuador - Guatemala - Honduras - México - Nicaragua - Panamá - Perú - Venezuela
cursos@academyxperts.com
t
n
ude
st
abc
x
abc xperts
www.abcxperts.com
nag-v6.28.0.02
www.academyxperts.com
GUIA DE ESTUDIO
ESPAÑOL
Academy Xperts
MTCNA
v6.28.0.02
Guía de Autoestudio
ABC Xperts ®
Network Xperts ®
Academy Xperts ®
Derechos de autor y marcas registradas
Todos los derechos de autor y marcas registradas son propiedad del titular de los derechos de autor
respectivo
Derechos de autor © por Academy Xperts
Todos los derechos reservados. Ninguna parte de este libro puede ser reproducido, almacenado, o
transmitido por cualquier medio ya sea este un auditorio, medio gráfico, mecánico, o electrónico sin el
permiso escrito del autor, excepto en los casos en que se utilicen breves extractos para usarlos en artículos
o revisiones. La reproducción no autorizada de cualquier parte de este libro es ilegal y sujeta a sanciones
legales.
1
Academy Xperts
Tabla de Contenido
Prólogo .......................................................................................................................................................... 8 Resumen ................................................................................................................................................................. 9 Audiencia ................................................................................................................................................................ 9 Organización .......................................................................................................................................................... 9 Capítulo 1, MikroTik, RouterOS y RouterBOARD .................................................................................................................. 9 Capítulo 2, Ruteo Estático ................................................................................................................................................................ 9 Capítulo 3, Bridge ................................................................................................................................................................................ 9 Capítulo 4, Wireless .......................................................................................................................................................................... 10 Capítulo 5, Network Management ............................................................................................................................................. 10 Capítulo 6, Firewall ........................................................................................................................................................................... 10 Capítulo 7, Colas Simples y QoS .................................................................................................................................................. 10 Capítulo 8, Título del Capítulo, cubre o discute sobre… ................................................................................................... 10 Convenciones usadas en este libro .............................................................................................................. 10 Comentarios y preguntas ................................................................................................................................ 11 Capítulo 1 .................................................................................................................................................. 12 MikroTik, RouterOS y RouterBOARD .......................................................................................................... 12 Sobre MikroTik ................................................................................................................................................... 12 ¿Qué es RouterOS? ............................................................................................................................................. 12 Característica de RouterOS ............................................................................................................................. 13 Soporte de Hardware ...................................................................................................................................................................... 13 Instalación ............................................................................................................................................................................................ 13 Configuración ...................................................................................................................................................................................... 13 Respaldo y Restauración (Backup/Restore) ......................................................................................................................... 13 Firewall .................................................................................................................................................................................................. 13 Ruteo (Routing) ................................................................................................................................................................................. 14 MPLS ....................................................................................................................................................................................................... 14 VPN .......................................................................................................................................................................................................... 14 Wireless ................................................................................................................................................................................................. 15 DHCP ....................................................................................................................................................................................................... 15 HotSpot .................................................................................................................................................................................................. 15 QoS ........................................................................................................................................................................................................... 15 Proxy ....................................................................................................................................................................................................... 15 Herramientas ...................................................................................................................................................................................... 15 Características adicionales ............................................................................................................................................................ 16 Qué hay de nuevo en la Versión 6 ................................................................................................................. 16 Novedades Generales ...................................................................................................................................................................... 16 PPP ........................................................................................................................................................................................................... 17 Firewall .................................................................................................................................................................................................. 17 Wireless ................................................................................................................................................................................................. 17 DHCP ....................................................................................................................................................................................................... 17 IPsec ........................................................................................................................................................................................................ 18 2
Academy Xperts
Certificados .......................................................................................................................................................................................... 18 Ruteo (Routing) ................................................................................................................................................................................. 18 Colas (Queues) .................................................................................................................................................................................... 18 Exportar una configuración compacta ..................................................................................................................................... 19 Herramientas ...................................................................................................................................................................................... 19 Qué es RouterBOARD? ...................................................................................................................................... 19 Arquitecturas Soportadas: ............................................................................................................................................................ 19 Soluciones Integradas ..................................................................................................................................................................... 19 RouterBOARD solamente ............................................................................................................................................................... 19 Enclosures ............................................................................................................................................................................................ 19 Interfaces .............................................................................................................................................................................................. 20 Accesorios ............................................................................................................................................................................................. 20 Programa Made For MikroTik (MFM) ......................................................................................................... 20 Accesorios Certificados MikroTik (MikroTik Certified Accesories) ............................................................................ 20 Integrador Certificado MikroTik (MikroTik Certified Integrator) ............................................................................... 20 Por qué trabajar con un router integrado? ............................................................................................... 20 Nomenclatura ..................................................................................................................................................................................... 20 Por qué construir su propio Router? .......................................................................................................... 20 Ingresando al Router por Primera vez ....................................................................................................... 21 Ingreso por Web Browser ............................................................................................................................................................. 21 Qué es WinBox? .................................................................................................................................................. 22 Utilizando Winbox ............................................................................................................................................................................ 22 Otras formas de acceso: SSH y Telnet .......................................................................................................... 22 Acceso por puerto serial (puerto de Consola) ...................................................................................................................... 22 Bootloader ............................................................................................................................................................................................ 23 Consola Serial / Terminal Serial ................................................................................................................................................. 23 Configuración Básica o Dejar el router en Blanco? ................................................................................ 24 Configuración Básica ....................................................................................................................................................................... 24 Configuración en Blanco ................................................................................................................................................................ 25 Actualizando el router ...................................................................................................................................... 25 Cuando realizar una Actualización ............................................................................................................................................ 25 Cómo hacer un Upgrade ................................................................................................................................................................. 26 Actualización automática ............................................................................................................................................................... 27 RouterBoot firmware Upgrade ................................................................................................................................................... 28 Administración de usuarios en un RouterOS ........................................................................................... 28 Cuentas de usuario ........................................................................................................................................................................... 29 Administración de servicios en un RouterOS ........................................................................................... 29 Servicios IP (IP Services) ............................................................................................................................................................... 29 Acceso a los Servicios IP ................................................................................................................................................................. 29 Administración de los respaldos (backups) de las configuraciones ................................................ 30 Backup Binario ................................................................................................................................................................................... 30 Comando export ................................................................................................................................................................................ 31 Guardar archivos de Backup ........................................................................................................................................................ 31 3
Academy Xperts
Licencias RouterOS ............................................................................................................................................ 31 Niveles de Licencias ......................................................................................................................................................................... 31 Uso de Licencias ................................................................................................................................................................................. 32 Netinstall ............................................................................................................................................................... 32 Uso de Netinstall ................................................................................................................................................................................ 32 Procedimiento para usar Netinstall .......................................................................................................................................... 33 Recursos adicionales ........................................................................................................................................ 35 Wiki ......................................................................................................................................................................................................... 35 Tiktube ................................................................................................................................................................................................... 35 Foros de Discusión ............................................................................................................................................................................ 36 Soporte MikroTik .............................................................................................................................................................................. 36 Distribuidores/Soporte .................................................................................................................................................................. 36 Laboratorio – Módulo 1 .................................................................................................................................... 36 Módulo 2: Ruteo Estático ..................................................................................................................... 37 Conceptos de Ruteo ........................................................................................................................................... 37 Routing o enrutamiento ................................................................................................................................................................. 37 Etiquetas de Rutas ............................................................................................................................................................................ 38 Significado de las etiquetas de rutas más comunes: .......................................................................................................... 38 Rutas Estáticas .................................................................................................................................................... 39 Entendiendo los Campos: .............................................................................................................................................................. 40 Ventajas del Enrutamiento Estático .......................................................................................................................................... 40 Limitantes del Enrutamiento Estático ..................................................................................................................................... 40 Cómo crear rutas estáticas ............................................................................................................................................................ 40 Ejemplo de Enrutamiento Estático ............................................................................................................................................ 41 Configurando la Ruta por Defecto ................................................................................................................ 41 Gestión de Rutas Dinámicas ........................................................................................................................... 41 Ejercicio de Implementación de Enrutamiento Estático .................................................................................................. 41 Módulo 3 -­‐ Bridge ................................................................................................................................... 43 Conceptos de Bridging ...................................................................................................................................... 43 Ejemplo 1 .............................................................................................................................................................................................. 43 Ejemplo 2 .............................................................................................................................................................................................. 44 Usando Bridges ................................................................................................................................................... 44 Creando un Bridge ............................................................................................................................................. 45 Agregando puertos al bridge ........................................................................................................................................................ 45 Haciendo Bridge con redes Wireless ........................................................................................................................................ 45 Módulo 4 – IEEE 802.11 (Wireless) .................................................................................................. 46 Conexión Inalámbrica ...................................................................................................................................... 46 IEEE 802.11 .......................................................................................................................................................... 46 Frecuencias y bandas: ..................................................................................................................................................................... 46 802.11b/g ............................................................................................................................................................................................. 46 802.11a .................................................................................................................................................................................................. 47 Problema del Nodo Oculto ............................................................................................................................................................ 48 4
Academy Xperts
Advanced Channels ........................................................................................................................................... 48 basic-­‐rates / supported-­‐rates ........................................................................................................................ 49 HT chains .............................................................................................................................................................. 49 802.11n -­‐ Data Rates ......................................................................................................................................... 50 Tipos de Modulación ......................................................................................................................................... 51 Modo de Frecuencia (frequency-­‐mode) ..................................................................................................... 51 Country .................................................................................................................................................................. 51 Rate Flapping ....................................................................................................................................................... 51 Frequency mode ................................................................................................................................................. 52 Configuración básica de un enlace – Access Point (AP) ........................................................................ 52 Perfil de Seguridad (Security profile) ......................................................................................................... 53 Configuración básica de un enlace – Estación (cliente) ........................................................................ 54 Filtrado por MAC address ............................................................................................................................... 54 Access-­‐list ............................................................................................................................................................................................. 55 Parámetros adicionales: ................................................................................................................................................................. 55 Connect-­‐list: ......................................................................................................................................................................................... 56 Default-­‐authentication .................................................................................................................................................................... 57 Default-­‐forwarding ........................................................................................................................................................................... 57 WPA, WPA2 .......................................................................................................................................................... 57 Protocolos Wireless propietarios de MikroTik ....................................................................................... 58 NV2 (Nstreme Version 2) .............................................................................................................................................................. 58 Enlace más largo del mundo sin usar amplificador ........................................................................................................... 59 Herramientas de monitoreo ........................................................................................................................... 59 Wireless scan ...................................................................................................................................................................................... 59 Snooper .................................................................................................................................................................................................. 59 Registration table .............................................................................................................................................................................. 60 Redes inalámbricas en Modo Bridge ........................................................................................................... 60 Ejercicio en Clases ............................................................................................................................................................................. 60 Módulo 5 -­‐ Network Management ..................................................................................................... 61 ARP (Address Resolution Protocol) ............................................................................................................. 61 Modos ARP ........................................................................................................................................................................................... 61 Ventajas de usar ARP ....................................................................................................................................................................... 62 Desventajas de usar ARP ................................................................................................................................................................ 62 Tabla de ARP ....................................................................................................................................................................................... 62 Sintaxis ARP ......................................................................................................................................................................................... 63 Servidor / Cliente DHCP ................................................................................................................................... 63 DHCP Server Setup ........................................................................................................................................................................... 64 Configuraciones por línea de comando ................................................................................................................................... 66 DHCP Client .......................................................................................................................................................................................... 66 Sintaxis DHCP Client ........................................................................................................................................................................ 67 Gestión de Asignaciones .................................................................................................................................. 67 Herramientas de RouterOS ............................................................................................................................. 68 5
Academy Xperts
E-­‐mail ..................................................................................................................................................................................................... 68 Netwatch ............................................................................................................................................................................................... 68 Ping .......................................................................................................................................................................................................... 69 Traceroute ............................................................................................................................................................................................ 69 Profiler (Carga del CPU) ................................................................................................................................................................. 69 System identity ................................................................................................................................................................................... 70 IP Neighbors ........................................................................................................................................................................................ 70 Ponerse en contacto con Soporte Mikrotik ............................................................................................... 70 Supout.rif .............................................................................................................................................................................................. 70 Supout.rif Viewer .............................................................................................................................................................................. 71 Autosupout.rif ..................................................................................................................................................................................... 71 Registros (logging) del sistema y registros de depuración ................................................................. 72 Acciones ................................................................................................................................................................................................ 72 Reglas ..................................................................................................................................................................................................... 72 Sistema de Registro de logging (Sintaxis) .............................................................................................................................. 72 Diagramas de Red .............................................................................................................................................. 73 Módulo 6 -­‐ Firewall ................................................................................................................................ 75 Conceptos básicos de Firewall ....................................................................................................................... 75 ¿Cómo funciona un firewall? ........................................................................................................................................................ 75 Flujo de Paquetes ............................................................................................................................................... 77 Ejemplo de flujo de paquetes ....................................................................................................................................................... 78 Connection Tracking y sus Estados .............................................................................................................. 79 TCP-­‐States ............................................................................................................................................................................................ 80 Estados de las Conexiones (connection-­‐state) ..................................................................................................................... 80 Estructura: chains y acciones ......................................................................................................................... 81 Filtrado Firewall en acción ........................................................................................................................................................... 81 Consejos Básicos y trucos .............................................................................................................................................................. 81 Filtrado por Parámetros ................................................................................................................................................................. 82 Filter actions ........................................................................................................................................................ 82 Protegiendo tu router (input) ....................................................................................................................... 82 MikroTik da las siguientes sugerencias para el Input ....................................................................................................... 82 Protegiendo a todos los clientes (forward) .............................................................................................. 82 MikroTik da las siguientes sugerencias para el Forward ................................................................................................ 83 Address-­‐list conceptos básicos ...................................................................................................................... 83 Source NAT ........................................................................................................................................................... 84 Masquerade & src-­‐nat ..................................................................................................................................................................... 84 Destination NAT ................................................................................................................................................. 85 dst-­‐nat & redirect .............................................................................................................................................................................. 85 Sintaxis NAT ......................................................................................................................................................... 85 scripts .................................................................................................................................................................... 86 Ejemplo de scripts ............................................................................................................................................................................ 86 Módulo 7 -­‐ QoS ......................................................................................................................................... 87 6
Academy Xperts
Simple Queue (Cola simple) ........................................................................................................................... 87 Definición: ............................................................................................................................................................................................ 87 Target ..................................................................................................................................................................................................... 88 Destinos ................................................................................................................................................................................................. 88 Max-­‐limit and limit-­‐at ...................................................................................................................................................................... 88 Burst ....................................................................................................................................................................... 89 Parámetros del Burst: ..................................................................................................................................................................... 89 Bursting -­‐ Como trabaja ................................................................................................................................................................. 89 Sintaxis ................................................................................................................................................................................................... 90 Limitación de Tráfico ........................................................................................................................................ 90 Tipos de Colas ..................................................................................................................................................................................... 91 PCQ .......................................................................................................................................................................... 91 Una cola simple para toda la red (PCQ) ................................................................................................................................... 91 Configuración PCQ-­‐rate .................................................................................................................................................................. 91 Configuración PCQ-­‐limit ................................................................................................................................................................. 92 PCQ, ejemplo ....................................................................................................................................................................................... 93 Monitoreo ............................................................................................................................................................. 93 Monitor de tráfico de interfaz ...................................................................................................................................................... 93 Gráficas .................................................................................................................................................................................................. 94 SNMP ...................................................................................................................................................................................................... 95 Módulo 8 -­‐ Túneles ................................................................................................................................. 96 Introducción ........................................................................................................................................................ 96 PPP profile ............................................................................................................................................................ 96 PPP secret ............................................................................................................................................................. 97 PPP status ............................................................................................................................................................. 97 Creación de un Pool ........................................................................................................................................... 97 PPPoE ..................................................................................................................................................................... 98 PPPoE service-­‐name ........................................................................................................................................................................ 98 Creando un PPPoE server .............................................................................................................................................................. 99 Direcciones Point-­‐to-­‐Point ............................................................................................................................................................ 99 Creando Clientes PPPoE en un RouterOS ............................................................................................................................... 99 PPTP .................................................................................................................................................................... 100 Clientes y servidores SSTP ........................................................................................................................... 101 Clientes y Servidores OpenVPN .................................................................................................................. 102 Configuración de Rutas entre redes ......................................................................................................... 102 Proceso final – Examen ....................................................................................................................... 104 7
Academy Xperts
Prólogo
MikroTik es una empresa que nace en Latvia (Letonia) en 1995 con el claro objetivo de proveer un sistema
operativo de red altamente robusto y eficiente al cual llamó RouterOS en 1997. La evolución del mismo llevó
a la creación y lanzamiento al mercado en el 2002 de un hardware que aprovechara al máximo sus grandes
capacidades de multiprocesamiento simétrico y multi-núcleo, este hardware es el RouterBOARD.
A lo largo de los años a partir del nacimiento del Internet, los administradores de red hemos visto desfilar
varios fabricantes por nuestros racks, habiendo estado siempre Cisco como referente, sin embargo siempre
había representado un costo más o menos importante a la hora de implementar una solución de red ruteada
en especial si se trataba de un ISP/WISP.
No es sino hasta hace una década aproximadamente en que MikroTik se empieza a hacer conocer en
Latinoamérica y varios emprendedores y por sobre entusiastas, se vuelcan a la implementación de
soluciones basadas en RouterOS y RouterBOARD. Claro ejemplo de ello son nuestro grandes amigos de
Index México (Ezequiel García) y REICO Costa Rica (Miguel Solís) quienes se volcaron a confiar en los
productos ofrecidos por MikroTik. Es muy interesante y gratificante conversar con ellos y escuchar los
relatos sobre los primeros pasos del fabricante letón en tierras americanas.
Estoy convencido de que MikroTik llegó no solo para quedarse sino para formar una parte muy importante
en la historia del networking y de las telecomunicaciones. De hecho, cientos de miles (quizá millones a esta
fecha, Mayo 2015) obtienen su internet de banda ancha a un bajo costo a través de una red ruteada gracias
a que los proveedores de Internet, pequeños y medianos, pueden estructurar e implementar redes
sumamente complejas y completas usando equipos MikroTik.
Las soluciones en RouterOS y RouterBOARD no se han quedado estancadas en las empresas de Telecom
pequeñas, sino que han ido escalando en credibilidad en las empresa medianas y grandes en
Latinoamérica, rompiendo paradigmas de fabricantes y costos de implementación.
Este libro nace como un aporte a la comunidad tecnológica de habla hispana y latinoamericana que ha
decidido incursionar en MikroTik y desea obtener un conocimiento formal. De igual manera queremos que
esta guía constituya una fuente importante de aprendizaje para quienes empiezan a realizar sus primeras
configuraciones en RouterOS.
Mauro Escalante
CEO Academy Xperts
CEO Network Xperts
8
Academy Xperts
Resumen
Este libro cubre todos los temas del primer curso MikroTik MTCNA, y hemos tenido un especial cuidado en
ampliar la información de aquellos puntos que no se profundizan en los cursos de certificación, pero que
resultan claves para el correcto entendimiento de la materia.
La información aquí presentada se complementa con nuestros recursos en www.abcxperts.com y
www.youtube.com/abcxperts
Este libro no pretende reemplazar la interacción face-to-face con un instructor ya que su experiencia y
conocimiento es invaluable y únicamente explotable a través del contacto interpersonal de un curso de
certificación. Sin embargo, todo el material de apoyo junto con los videos tutoriales, webinars, tips, etc.,
representan un importante aporte para aquellos colegas que optan por leer un libro y estudiar a su propio
ritmo.
Esta edición de MTCNA es la segunda revisión dedicada a la versión 6.28. Las posteriores revisiones al
material y a los nuevos releases de RouterOS serán agregadas a esta edición y estarán a disponibilidad de
las personas que compren la suscripción.
Tenemos una tarea inmensa por delante pero estamos muy claros en nuestro objetivo de hacer de este libro
la mejor guía de autoestudio MikroTik.
Audiencia
Las personas que leen este libro deben estar familiarizados con:
•
•
Operaciones de red en Capa 2
Conjunto de protocolos IP, incluyendo TCP. UDP e ICMP
Este libro está dirigido a:
•
•
•
•
Ingenieros y Técnicos en Redes, Telecomunicaciones y afines, que desea implementar y dar
soporte a:
§ Redes Corporativas
§ Clientes WISP e ISP
Personas que buscan obtener la certificación MTCNA
Ingenieros de Redes involucrados en actividades de pre-venta y post-venta en soporte e instalación
de redes corporativa y PYMES
Ingenieros de Redes, Administradores de Red, Técnicos en Soporte de Redes, y Técnicos de
Soporte a Usuario (Help Desk)
Organización
Este libro consta de 8 capítulos. Al final de cada capítulo existe una lista de que resume las ideas
principales. El apéndice proporciona material de referencia de utilidad,
Capítulo 1, MikroTik, RouterOS y RouterBOARD
Una rápida revisión sobre quien es MikroTik, el desarrollo del hardware RouterBOARD, y la base de su
sistema operativo RouterOS en el kernel de Linux. Se enumeran todas las nuevas características que
hacen a la versión 6.x.El contenido de este capítulo se apoya en los videos tutoriales de nuestro canal de
conocimiento ABCxperts (http://www.abcxperts.com) en la plataforma YouTube
(http://www.youtube.com/abcxperts).
Capítulo 2, Ruteo Estático
Trabajar en ruteo estático es muy sencillo en el RouterOS, sin embargo es muy importante fortalecer los
conceptos y comprender los diferentes parámetros asociados con esta tarea. Los instructores (MikroTik
Trainer Partners) deben fortalecer este entendimiento con ejercicios de laboratorio y prácticas teóricas. En
nuestro canal de YouTube (http://www.youtube.com/abcxperts) tenemos video basados en Webinars
específicamente sobre Conceptos de Ruteo, Subnetting, y VLSM.
Capítulo 3, Bridge
Una revisión del concepto de bridge, ventajas y desventajas.
9
Academy Xperts
Capítulo 4, Wireless
El mundo de Wireless en RouterOS es sumamente extenso y versátil, sin embargo en este capítulo del
curso MTCNA se sientan las bases para poder realizar enlaces básicos y de mediana envergadura para
punto-punto y punto-multipunto. En este capítulo se revisan temas como la seguridad Wireless, filtrado por
MAC (address-list y access-list), HT chains, rate flapping, etc.
Capítulo 5, Network Management
RouterOS es un sistema operativo que provee diferentes herramientas de administración y monitoreo. En
este capítulo se revisarán temas como ARP, DHCP Server, DHCP Cliente, Herramientas de RouterOS
(email, netwatch, ping, traceroute, profiler, IP neighbors)
Capítulo 6, Firewall
La función Firewall de RouterOS es sumamente poderosa y en esta sección se tratará de cubrir las
opciones y acciones más importantes destinadas a proteger el router y la red, así como también las formas
de proveer acceso a recursos de LAN a través de un dispositivo que da la cara a Internet o red externa.
Existen decenas de parámetros y situaciones entre las que se revisarán: Flujo de paquetes, Connection
Track, Chains, Actions, Filtros, NAT (src-nat, dst-nat), Mangle.
Capítulo 7, Colas Simples y QoS
Si bien es cierto las Colas Simples (simple-queues) son “simples”, sin embargo proporcionan una posibilidad
casi ilimitada para realizar una verdadera implementación de calidad de servicio (QoS) de la mano con las
reglas de Mangle. Colas simples tiene sus limitaciones sobre la eficiencia de la asignación de ancho de
banda, pero en los ejercicios que se desarrollen se podrá emular una estructura jerárquica que podrá ser
mejorada en el curso de Control de Tráfico Avanzado (MTCTCE).
Capítulo 8, Título del Capítulo, cubre o discute sobre…
Por qué son necesarios los túneles? Cómo entender las interfaces virtuales que se generan? Cómo
interconectar dos o más redes remotas a través de internet? Viajan los datos en forma segura o están
expuesto en la nube? Este capítulo enseña cómo crear los diferentes tipos de túneles PPP en RouterOS. Se
revisarán los parámetros y esquema de configuración de túneles: PPPoE, PPTP, L2TP, SSTP y OVPN
Convenciones usadas en este libro
En este libro se utilizarán las siguientes convenciones tipográficas:
Itálicas
Indica comandos, direcciones de correo, claves, mensajes de error, nombres de archivos, énfasis, y
el primer uso de términos técnicos
Courier new
Indica direcciones IP y ejemplos de línea de comando
Courier new en itálica
Indica texto que puede ser reemplazado
Courier new en negrita
Indica datos de entrada del usuario
Este icono significa un consejo, sugerencia, o una nota general.
Este icono indica una advertencia o precaución.
10
Academy Xperts
Comentarios y preguntas
Puede enviar sus comentarios y preguntas sobre este libro por correo tradicional a la siguiente dirección:
Network Xperts S.A.
Av. Juan T. Marengo y J. Orrantia
Edificio Professional Center, Piso 5, Ofic. 507
Guayaquil, ECUADOR
+593-4-600-8590
+593-9-9535-2132
A través del sitio web y por medio de su usuario y contraseña, tendrá acceso a las actualizaciones,
ejemplos, e información adicional:
http://cursos.abcxperts.com Puede enviarnos sus comentarios o preguntas técnicas sobre este libro enviándonos un email a:
libro@abcxperts.com
Para más información sobre libros, conferencias, centros de recursos, y la red educativa de Academy
Xperts, visite nuestros Websites y canal de YouTube
http://www.abcxperts.com
http://www.academyxperts.com
http://www.youtube.com/abcxperts
11
Academy Xperts
Capítulo 1
MikroTik, RouterOS y RouterBOARD
Sobre MikroTik
MikroTik es una compañía fundada en 1995 en Riga, capital de Latvia, creada para desarrollar routers y
sistemas inalámbricos para Proveedores de Servicios de Internet (ISP – Internet Service Provider)
En 1997 MikroTik creó el sistema de software RouterOS que proporciona estabilidad, control y flexibilidad
para todos los tipos de interfaces de datos y ruteo
En el 2002 MikroTik decidió fabricar su propio hardware y de esta forma nace el RouterBOARD. MikroTik
tiene distribuidores en muchas partes del mundo, y clientes probablemente en casi todos los países del
planeta.
Páginas de interés:
www.mikrotik.com
www.routerboard.com
wiki.mikrotik.com
tiktube.com
mum.mikrotik.com
forum.mikrotik.com
Website oficial
Página oficial de los productos RouterBOARD
Portal de documentación
Portal de videos
Eventos y conferencias del MikroTik User Meeting
Foro de soporte oficial
¿Qué es RouterOS?
MikroTik RouterOS es el sistema operativo del hardware MikroTik RouterBOARD, que tiene las
características necesarias para un ISP: Firewall, Router, MPLS, VPN, Wireless, HotSpot, Calidad de
Servicio (QoS), etc.
RouterOS es un sistema operativo independiente basado en el kernel de Linux v3.3.5 que proporciona todas
las funciones en una instalación rápida y sencilla, con una interfaz fácil de usar.
RouterOS puede instalarse en PCs y otros dispositivos de hardware compatibles con x86, como tarjetas
embebidas y sistemas miniITX. RouterOS soporta computadores multi-core y multi CPU. Soporta tambien
Multiprocesamiento Simétrico (SMP: Symmetric MultiProcessing). Se puede ejecutar en los motherboards
Intel más recientes y aprovechar los nuevos CPUs multicore.
Multiprocesamiento Simétrico
Es una arquitectura de Software y Hardware donde dos o más procesadores idénticos son conectados a
una simple memoria compartida, teniendo acceso a todos los dispositivos I/O (entrada y salida), y que son
12
Academy Xperts
controlados por una simple instancia del OS (Sistema Operativo), en el cual todos los procesadores son
tratados en forma igualitaria, sin que ninguno sea reservado para propósitos especiales.
En el caso de los procesadores multi-core (multi-núcleo), la arquitectura SMP se aplica a los núcleos,
tratándolos como procesadores separados.
El RouterOS formateará la partición y se convertirá en el sistema operativo por default del dispositivo.
Soporta una gran variedad de interfaces de red, incluyendo tarjetas Ethernet de 10 Gigabit, tarjetas wireless
802.11a/b/g/n/ac y módems 3G y 4G.
Fechas de liberación de las versiones de RouterOS
•
•
•
•
v6 - May 2013
v5 - Mar 2010
v4 - Oct 2009
v3 - Ene 2008
Característica de RouterOS
Soporte de Hardware
•
•
•
•
•
•
•
Compatible con arquitectura i386
Compatible con SMP (multi-core y multi-CPU)
Requiere un mínimo de 32MB de RAM (reconoce hasta máximo 2GB, excepto en los dispositivos
Cloud Core, donde no existe un máximo)
Soporta los medios de almacenamiento IDE, SATA, USB y flash, con un mínimo de 64MB de
espacio. Incluye HDDs, tarjetas CF y SD, y discos SDD
Tarjetas de red soportadas por el kernel de Linux v3.3.5 (PCI, PCI-X)
Soporte de configuración de Chip de Switch:
http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features
Compatibilidad de diferentes tipos de interfaces y dispositivos. Existe una lista de compatibilidad que
alimentada por los usuarios en el siguiente link:
http://wiki.mikrotik.com/wiki/Supported_Hardware
Instalación
•
•
•
Netinstall: Instalación basada en red desde una tarjeta de red habilitada con PXE o EtherBoot.
http://wiki.mikrotik.com/wiki/Manual:Netinstall
Netinstall: Instalación a un drive secundario montado en Windows
Instalación basada en CD
Configuración
•
•
•
•
•
Acceso basado en MAC para configuración inicial.
http://wiki.mikrotik.com/wiki/Manual:First_time_startup
WinBox: herramientas de configuración gráfica (GUI) independiente para Windows.
http://wiki.mikrotik.com/wiki/Manual:Winbox
WebFig: Interface de configuración avanzada basada en web
Poderosa interface de configuración basada en Línea de Comandos (CLI: command line) con
capacidades de scripting integrado, accesible a través de terminal local, consola serial, telnet y ssh.
http://wiki.mikrotik.com/wiki/Manual:Scripting
API: una forma de crear sus propias configuraciones y aplicaciones de monitoreo.
http://wiki.mikrotik.com/wiki/Manual:API
Respaldo y Restauración (Backup/Restore)
•
•
Copia de seguridad se configuración binaria
Exportar e Importar la Configuración en formato de texto legible
Firewall
•
Filtrado basado en el estado del paquete (Statefull filtering)
13
Academy Xperts
•
•
•
•
•
•
•
•
Source NAT y destination NAT.
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT
NAT helpers (h323, pptp, quake3, sip, ftp, irc, tftp).
http://wiki.mikrotik.com/wiki/Manual:IP/Services#Service_Ports
Marcas internas: mark-connection, mark-routing y mark-packet
Filtrado basado en dirección IP y rango de direcciones, puerto y rango de puertos, protocolo IP,
DSCP y muchos más.
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter
Listas de direcciones (Address lists).
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Address_list
Filtros de Capa 7 personalizados.
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/L7
Soporte para IPv6.
http://wiki.mikrotik.com/wiki/Manual:IPv6_Overview
PCC: clasificador basado en conexión, utilizado en configuraciones de balanceo de carga.
http://wiki.mikrotik.com/wiki/Manual:PCC
Ruteo (Routing)
•
•
•
•
•
•
•
•
Ruteo Estático
Virtual Routing and Forwarding (VRF).
http://wiki.mikrotik.com/wiki/Manual:Virtual_Routing_and_Forwarding
Ruteo basado en políticas (Policy based routing)
Interface de ruteo.
http://wiki.mikrotik.com/wiki/Manual:IP/Route#Routes_with_interface_as_a_gateway
Ruteo ECMP.
http://wiki.mikrotik.com/wiki/Manual:IP/Route#Multipath_.28ECMP.29_routes
Protocolos de ruteo dinámico IPv4: RIP v1/v2, OSPFv2, BGP v4
Protocolos de ruteo dinámico IPv6: RIPng, OSPFv3, BGP
Bidirectional Forwarding Detection ( BFD).
http://wiki.mikrotik.com/wiki/Manual:Routing/BFD
MPLS
•
•
•
•
•
•
Static Label bindings para IPv4
Label Distribution protocol para IPv4.
http://wiki.mikrotik.com/wiki/Manual:MPLSVPLS
Túneles de Ingeniería de Tráfico RSVP.
http://wiki.mikrotik.com/wiki/Manual:MPLS/TE_Tunnels
Autodescubrimiento y señalización basado en VPLS MP-BGP
MP-BGP basado en MPLS IP VPN
Es el siguiente link se puede revisar la lista completa de las características de MPLS
VPN
•
•
•
•
•
•
•
Ipsec: túnel y modo de transporte, certificado o PSK, protocolos de seguridad AH y ESP. Soporte de
encriptación por hardware en RouterBOARD 1000.
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec
Point to point tunneling (OpenVPN, PPTP, PPPoE, L2TP, SSTP)
Características avanzadas de PPP (MLPPP, BCP)
Soporte para túneles simples ( IPIP, EoIP) IPv4 e IPv6
Soporte para túnel 6to4 (IPv6 sobre red IPv4)
VLAN: soporte para IEEE802.1q Virtual LAN, Soporte de Q-in-Q.
http://wiki.mikrotik.com/wiki/Manual:Interface/VLAN
VPNs basadas en MPLS.
http://wiki.mikrotik.com/wiki/Manual:RouterOS_features#MPLS
14
Academy Xperts
Wireless
•
•
•
•
•
•
•
•
•
•
•
•
Cliente y Access Point inalámbrico IEEE802.11a/b/g
Soporte completo para IEEE802.11n
Protocolos propietarios Nstreme y Nstreme2
Protocolo NV2.
http://wiki.mikrotik.com/wiki/Manual:Nv2
Wireless Distribution System (WDS)
Virtual AP
WEP, WPA, WPA2
Control por Lista de Acceso (Access List)
Roaming de cliente Wireless
WMM. http://wiki.mikrotik.com/wiki/Manual:WMM
Protocolo HWMP+ Wireless MESH.
http://wiki.mikrotik.com/wiki/Manual:Interface/HWMPplus
Protocolo de ruteo wireless MME.
http://wiki.mikrotik.com/wiki/Manual:Routing/MME
DHCP
•
•
•
•
•
•
•
DHCP server por interface
DHCP client y relay
Arrendamiento de direcciones IP (leases) DHCP estáticas y dinámicas
Soporte RADIUS
Opciones personalizadas de DHCP
Delegación de prefijo DHCPv6 (DHCPv6-PD)
Cliente DHCPv6
HotSpot
•
•
•
•
Acceso Plug-n-Play a la red
Autenticación de clientes de red locales
Contabilización de usuarios (Users Accounting)
Soporte RADIUS para Autenticación y Contabilización
QoS
•
•
•
Sistema Hierarchical Token Bucket ( HTB) QoS con CIR, MIR, burst y soporte de prioridades.
http://wiki.mikrotik.com/wiki/Manual:HTB
Colas Simples (Simple Queues) para implementación de QoS básico para una solución rápida y
simple
Entrega equitativa de ancho de banda al cliente en forma dinámica ( PCQ).
http://wiki.mikrotik.com/wiki/Manual:PCQ
Proxy
•
•
•
•
•
•
•
•
Servidor proxy para almacenamiento en caché de HTTP
Proxy Transparente HTTP
Soporte de protocolo SOCKS.
http://wiki.mikrotik.com/wiki/Manual:IP/SOCKS
Entradas estáticas DNS.
http://wiki.mikrotik.com/wiki/Manual:IP/DNS
Soporte para almacenamiento en caché en un drive separado
Soporte para Proxy Padre (parent proxy)
Lista de Control de Acceso (access control list)
Lista de almacenamiento en caché (caching list)
Herramientas
•
Ping, traceroute
15
Academy Xperts
•
•
•
•
•
•
•
•
Test de ancho de banda (Bandwidth test), ping flood
Packet sniffer, torch
Telnet, ssh
E-mail y herramientas de envío SMS
Herramientas de ejecución de Scripts automatizados
CALEA.
http://wiki.mikrotik.com/wiki/CALEA
Herramienta File Fetch.
http://wiki.mikrotik.com/wiki/Manual:Tools/Fetch
Generador avanzado de tráfico
Características adicionales
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Soporte para Samba.
http://wiki.mikrotik.com/wiki/Manual:IP/SMB
Soporte para OpenFlow.
http://wiki.mikrotik.com/wiki/Manual:OpenFlow
Bridging: spanning tree protocol (STP, RSTP), bridge firewall y MAC natting.
Herramienta de actualización de Dynamic DNS
NTP client/server y sincronización con sistema GPS.
http://wiki.mikrotik.com/wiki/Manual:System/Time#SNTP_client
Soporte para VRRP v2 y v3.
http://wiki.mikrotik.com/wiki/Manual:Interface/VRRP
SNMP
M3P: MikroTik Packet packer protocol para enlaces Wireless y Ethernet
MNDP: MikroTik neighbor discovery protocol, soporta CDP (Cisco discovery protocol)
Autenticación y Contabilización RADIUS
TFTP server. http://wiki.mikrotik.com/wiki/Manual:IP/TFTP
Soporte para interface Sincrónica (Farsync cards only) (Se removió en la versión v5.x)
Asincrónico: serial PPP dial-in/dial-out, dial on demand
ISDN: dial-in/dial-out, soporte para128K bundle, Cisco HDLC, x75i, x75ui, x75bui line protocols, dial
on demand
Qué hay de nuevo en la Versión 6
Novedades Generales
•
•
•
•
•
•
•
•
•
•
•
•
Drivers y Kernel actualizados a linux-3.3.5
Soporte inicial para OpenFlow.
http://wiki.mikrotik.com/wiki/Manual:OpenFlow
Nuevas características para pantallas táctiles LCD.
http://wiki.mikrotik.com/wiki/Manual:LCD_TouchScreen
Método de login mac-cookie para el HotSpot (mayormente usado en teléfonos inteligentes).
http://wiki.mikrotik.com/wiki/Manual:Hotspot_Introduction#MAC_Cookie
Opciones configurables del kernel en el menú /ip settings y /ipv6 settings (ip forward,
filtros rp etc)
El timeout del ARP puede ser cambiado en /ip settings
El Neighbor discovery puede ser deshabilitado por default en las interfaces dinámicas en el menú
/ip neighbor discovery settings
Para habilitar/deshabilitar el descubrimiento (discovery) en la interface se debe usar el comando
/ip neighbor discovery set (interface number/name) discover=yes/no
Muestra el last-logged-in en la lista de usuarios
GRE soporta todos los protocolos de encapsulación, no solo IPv4 e IPv6
La etiqueta ‘Slave’ se muestra en las interfaces que están en bridge, bonding o grupo de switch
El cliente SSH provee la nueva propiedad output-to-file, muy útil cuando se realiza scripting.
16
Academy Xperts
•
•
•
•
•
•
•
•
•
•
•
Soporte para API sobre TLS (SSL).
http://wiki.mikrotik.com/wiki/Manual:API
API se encuentra habilitado por default
DNS reintenta las búsquedas con TCP si se reciben resultados truncados
DNS rota los servidores únicamente en falla
DNS cache guarda en bitácora los requerimientos de los tópicos "dns" y "packet";
WebFig ahora soporta autenticación RADIUS (vía MS-CHAPv2).
http://wiki.mikrotik.com/wiki/Manual:Webfig
Se agregó un nuevo parámetros en Web Proxy: max-cache-object-size
Se incrementó el contador de conexiones Max client/server en el Web Proxy
Si el cliente NTP está habilitado, el log muestra la hora y fecha correctas cuando el router ha
realizado un reboot
Trunking 802.1Q con el chip de switch Atheros.
http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features
OpenFlow: Es la primera interfaz de comunicaciones estándar definida entre las capas de control y forward
de una arquitectura SDN. Permite el acceso directo y la manipulación del plano de forward de los
dispositivos de red tales como switches y routers, tanto físicos como virtuales (basados en hypervisor)
El OpenFlow basado en tecnologías SDN, permite direccionar el consumo de ancho de banda, adaptar la
red a las necesidades cambiantes del negocio, y reducir las complejidad de las operaciones y de la
administración.
https://www.opennetworking.org/sdn-resources/openflow
SDN = Software-Defined Networking. Es la separación del <plano de control> de la red del <plano de
forwarding.> Un <plano de control> controla diferentes dispositivos.
https://www.opennetworking.org/sdn-resources/sdn-definition
Mac-Cookie: es una nueva función HotSpot, diseñado para mejorar la accesibilidad de los teléfonos
inteligentes, computadoras portátiles y otros dispositivos móviles. Si tenemos activado esto podremos:
•
Primer inicio de sesión correcto. Mac cookie mantiene un registro de nombre de usuario y la
contraseña de la dirección MAC si solo hay un HotSpot con tales MAC.
Aparece un nuevo Host. HotSpot chequea si hay un registro de cookies mac para la dirección y los registros.
PPP
•
•
•
•
•
SSTP puede forzar una encriptación AES en lugar del RC4 por default
El profile de PPP provee ahora los parámetros bridge-path-cost y bridge-port-priority
Secrets muestra la fecha y hora de last-logged-out
HotSpot y PPP ahora soportan múltiples address-lists
Únicamente se crean 2 reglas de mangle mss para todas las interfaces PPP
Firewall
•
•
•
•
Nuevos comparadores (matchers) de interfaces all-ether, all-wireless, all-vlan, allppp
Comparador con prioridad
Nuevas opciones en change-dscp: from-priority y from-priority-to-high-3-bits
Nuevas acciones de mangle: snif-tzsp, snif-pc
Wireless
•
Opciones de Canales Wireless: se puede crear una lista de canales personalizados.
http://wiki.mikrotik.com/wiki/Manual:Wireless_Advanced_Channels
DHCP
•
El cliente DHCP ahora soporta opciones personalizadas
17
Academy Xperts
•
•
•
•
•
•
El cliente DHCP v4 ahora tiene la opción special-classless para el parámetro add-defaultroute
Se puede agregar la opción (Option 82) de información del agente relay.
http://wiki.mikrotik.com/wiki/Manual:IP/DHCP_Relay
Soporte de la opción DHCPv6 DNS
Soporte de DHCPv6 Relay
Soporte de ruta enmarcada DHCP server RADIUS
Opción de configuración por entrega de IP (lease) DHCP
IPsec
•
•
•
•
•
•
•
•
•
•
Se mejoró significativamente la configuración Road Warrior cuando se usa con el soporte Mode
Configuration.
Soporte Mode Conf (unity split include, address pools, DNS)
IPsec peer puede ser configurado como pasivo: no iniciará una negociación ISAKMP SA
Soporte Xauth ( xauth PSK e Hybrid RSA)
Plantilla de políticas: permite generar una política solo si src/dst address, protocol y proposal
coinciden con la plantilla
Peer groups
Se puede usar Multiple peers con la misma dirección IP.
Para los peers con un sistema especificado de dirección IP completo se auto-iniciará una
negociación ISAKMP SA.
generate-policy puede ahora tener un valor port-strict que usará el puerto del peer's proposal
La dirección origen (source address) de la fase 1 se puede ahora configurar
Certificados
•
•
•
•
•
Las claves CA (CA keys) ya no son almacenados, cada operación CA ahora requiere un CA
passphrase válido. Se usa el parámetro set-ca-passphrase para que el servidor SCEP
almacene la clave CA (CA key) en forma encriptada
Para los certificados marcados como trusted=yes, CRL se actualizará automáticamente una vez
por hora desde las fuentes HTTP
IPsec y SSTP respetan los CRLs
Soporte para server/cliente SCEP
El administrador de certificados puede ahora emitir certificados firmados por sí mismo.
Ruteo (Routing)
•
•
•
Nuevo parámetro use-dn en OSPF. Obliga a ignorar el DN bit en los LSAs.
Se cambió la lógica de propagación BGP MED. Ahora se descarta cuando se envía una ruta con
non-empty AS_PATH a un par externo
Las rutas conectadas se vuelven inactivas cuando la interface se cae. Esto significa que los
protocolos de ruteo dinámico detendrán la distribución de las rutas conectadas que no tengan la
etiqueta Active.
Colas (Queues)
•
•
•
•
•
•
Se mejoró el desempeño del uso de las colas simpes (simple queues)
Se mejoró la administración de las colas (/queue simple y /queue tree), permitiendo el
manejo de decenas de miles de colas
Las entradas de /queue tree con parent=global se ejecutan en forma separada de las /queue
simple y antes de las /queue simple
Se crean por default los tipos de encolamiento (queue types): pcq-download-default y pcqupload-default
Las colas simples (simple queues) tienen configuraciones de prioridad separados para
download/upload/total
Los padres global-in, global-out, global-total en /queue tree se reemplazan con global que es el
equivalente a global-total en la versión 5
18
Academy Xperts
•
•
•
Las colas simples se ejecutan en un lugar diferente: al final de los chains postrouting y local-in
Los parámetros target-addresses e interface en colas simples se unen en un solo parámetro
destino, ahora soporta múltiples interfaces para una sola cola
El parámetro dst-address en las colas simples se cambia a dst y ahora soporta una interface
como destino
Exportar una configuración compacta
•
•
Ahora por default la configuración se exporta en modo compacto
Para realizar un export completo de la configuración se debe usar el parámetro verbose
/export verbose file=myConfig
Herramientas
•
•
•
•
•
•
Soporte FastPath.
http://wiki.mikrotik.com/wiki/Manual:Fast_Path
Se renombró en e-mail el tls a start-tls y se agregó como un parámetro configurable
La herramienta Fetch ahora tiene soporte para HTTPS.
http://wiki.mikrotik.com/wiki/Manual:Tools/Fetch
Se agregó soporte de la cabecera IPv6 al generador de tráfico(traffic generator)
Reproducción de archivos pcap dentro de la red usando el nuevo comando trafficgen injectpcap
La NAND Flash puede ser particionada en los routerboards y se pueden instalar versiones
separadas de RouterOS en cada una de las particiones.
http://wiki.mikrotik.com/wiki/Manual:Partitions
Qué es RouterBOARD?
Es una familia de soluciones de hardware circuitos diseñados por MikroTik para responder a las
necesidades de clientes a nivel mundial. Todos Operan bajo RouterOS.
Esta división de hardware se caracteriza por incluir su sistema operativo RouterOS y actualizaciones de por
vida. Estos dispositivos tienen la ventaja de tener una excelente relación costo/beneficio comparados con
otras soluciones en el mercado.
Arquitecturas Soportadas:
Soluciones Integradas
•
•
•
Estos productos se proporcionan completos con carcasas y adaptadores de corriente.
Listo para usar y pre configurados con la funcionalidad más básica.
Todo lo que necesitas hacer es conectarlo y conectarse a Internet o a una red corporativa.
RouterBOARD solamente
Son pequeñas placas madres que se venden "tal cual". Usted debe elegir el modelo y solicitar
adicionalmente, adaptador de corriente y las interfaces, todo esto por separado. Perfecto para el montaje de
sus propios sistemas, con opción de personalización.
Enclosures
Son cubiertas para interiores y exteriores, sirven para albergar los dispositivos RouterBOARD. La Selección
se realiza en base a:
•
•
•
localización prevista
el modelo del RouterBOARD
el tipo de conexiones necesarias (USB, antenas, etc).
19
Academy Xperts
Interfaces
•
•
Módulos Ethernet, fibra SFPs, o tarjetas de radio inalámbricas para ampliar la funcionalidad de los
dispositivos RouterBOARD y PCs con RouterOS.
Una vez más, la selección se basa según las necesidades.
Accesorios
Abarca toda la gama de dispositivos adicionales para los productos MikroTik, tales como: adaptadores de
corriente, soportes, antenas e inyectores PoE.
Programa Made For MikroTik (MFM)
El programa Made for Mikrotik consta de dos partes: “Mikrotik Certified Integrators” y “Mikrotik Certified
Accessories”
http://www.mikrotik.com/mfm
Accesorios Certificados MikroTik (MikroTik Certified Accesories)
Son hechos por empresas homologadas de MikroTik, y que hacen los accesorios específicamente para
productos MikroTik. Esto incluye productos compatibles con RouterBOARD, antenas externas y otros
productos.
Integrador Certificado MikroTik (MikroTik Certified Integrator)
Son empresas que hacen soluciones basados en un RouterBOARD MikroTik y RouterOS. Estos productos
incluyen en el ensamblado de dispositivos CPE/AP, preinstalación de antenas integradas y soluciones para
montaje en rack con RouterOS.
Por qué trabajar con un router integrado?
•
•
•
Con este tipo de solución se puede atender muchas necesidades.
Los routers integrados proveen poca o ninguna expansión, ya que vienen conuna configuración de
hardware fija (Wi-Fi, ethernets ports, memorias on-board, puertos usb)
Esta es una solución simple, pero muy sólida para muchas necesidades.
Nomenclatura
Los nombres de los routers son elegidos según características, como por ejemplo:
•
•
•
•
•
•
•
•
CCR : Cloud Core Router
RB : RouterBoard
2, 5 : 2,4GHZ or 5GHz
H : High powered radio
S : SFP
U : USB
i : Injector
G : Gigabit ethernet
Por qué construir su propio Router?
•
•
Puede ayudar a solucionar una gran variedad de necesidades especificas que desea cubrir.
Dependiendo del board que use, puede tener muchas ranuras de Expansión muy útiles.
20
Academy Xperts
•
•
Gran variedad de complementos.
Configuración personalizable.
Ingresando al Router por Primera vez
Dentro de las formas que tenemos para ingresar al router están las siguientes:
•
•
•
Web browser
Winbox
Conexión serial o puerto de consola (RS-232)
Ingreso por Web Browser
Este método de ingreso puede ser usado cuando el router ya tiene algunos parámetros configurados
previamente. Proporciona una manera intuitiva de conectarse a un router con RouterOS únicamente
colocando en el navegador web la dirección IP asignada al router. Por defecto se utiliza 192.168.88.1
Pasos para ingresar por Web browser:
•
•
•
•
Conecte al router con un cable Ethernet y posteriormente a su tarjeta de red.
Abra un navegador (Mozilla, Chrome, Internet Explorer, etc.)
Escriba la dirección IP por default: 192.168.88.1
Si se le solicita, inicie sesión. Nombre de usuario es "admin" y la contraseña está en blanco por
defecto.
Al momento de ingresar verá lo siguiente:
21
Academy Xperts
Qué es WinBox?
•
•
•
•
WinBox es la interfaz propietaria de MikroTik RouterOS para acceder a los routers con RouterOS
Se puede descargar desde el sitio web de MikroTik o del router.
http://www.mikrotik.com/download
Se utiliza para acceder al router a través de IP (capa 3 OSI) o MAC (capa 2 OSI).
Mientras está en el navegador, desplácese hacia abajo y haga clic en "cerrar sesión“. Entonces
podrá ver:
o Haga clic en "WinBox“
o Guardar "winbox.exe"
Utilizando Winbox
•
•
•
•
•
Haga clic en el ícono de WinBox, para abrir la aplicación y darle click en refresh.
Escrinba la dirección IP 192.168.88.1
Haga clic en "Conectar"
Esperar a que se cargue la interfaz completa:
Haga clic en "OK"
Otras formas de acceso: SSH y Telnet
Herramientas IP estándar para acceder al router:
•
•
Telnet: La comunicación se realiza en texto plano, sin cifrar (puerto 23/TCP).
o Disponible en la mayoría de sistemas operativos, por terminal, CMD, otros.
o Demasiado inseguro!!
SSH: Cifra la comunicación realizada entre el usuario y router (puerto 22/TCP).
o Comunicación segura!!
o Hay herramientas disponibles de código libre para el acceso por ssh, ejemplo: PuTTy.
http://www.putty.org
Acceso por puerto serial (puerto de Consola)
Los puertos seriales (también llamados RS-232, por el nombre del estándar al que hacen referencia) fueron
las primeras interfaces que permitieron que los equipos intercambien información con el "mundo exterior". El
término serial se refiere a los datos enviados mediante un solo hilo: los bits se envían uno detrás del otro
(consulte la sección sobre transmisión de datos para conocer los modos de transmisión).
22
Academy Xperts
Para conectarse al router se requiere una conexión null-modem (puerto RS-232).
Importante:
La configuración por defecto es cuando se accede vía serial es:
•
•
•
•
115200 bps de velocidad
8 bits de data
1 bit de parada (stop)
Sin paridad (no parity)
Bootloader
El bootloader o cargador de arranque, es un programa que se encarga de cargar y ejecutar el sistema
operativo, este cargador de arranque va a configurar el dispositivo según las opciones que mostramos a
continuación:
What do you want to configure?
d - Boot delay
K - Boot key
S - Serial console
N - Silent boot
O - Boot device
U - Cpu mode
F - Cpu Frequency
R - Reset booter configuration
E - Format nand
G - Upgrade firmware
I - Board info
P - Boot protocol
B - Booter Options
T - Call debug code
L - Erase license
X - Exit setup
Your choice:
Consola Serial / Terminal Serial
La interfaz de línea de comandos (CLI = Command Line Interface) es un método que permite a los usuarios
dar instrucciones a algún programa informático por medio de una línea de texto simple. Este método se usa
normalmente cuando se ingresa por PUTTY, Telnet, SSH, Terminal u otros.
/system console y /system serial-terminal son herramientas para comunicarse con otros
sistemas que están interconectados vía puerto serial.
Terminal Serial
Nos sirve para monitorear y configurar muchos dispositivos:
•
•
•
Módems
Dispositivos de red (incluyendo routers MikroTik)
Cualquier dispositivo que se pueda conectar a un puerto serial (asíncrono)
Consola Serial
23
Academy Xperts
•
•
•
Configurar facilidades de acceso directo (monitor/teclado y puerto serial) que son mayormente
usados para configuraciones de recuperación
Si no se desea usar un puerto serial para acceder a otro dispositivo o para conexión de datos a
través de un modem, se puede entonces configurarlo como una consola serial.
Un puerto serial libre puede ser usado para acceder a otras consolas seriales de otros routers (u
otros equipos como switches) desde un router MikroTik
Special Login
Puede ser usado para acceder a otro dispositivo (ejemplo: un switch) que está conectado a través de un
cable serial abriendo una sesión telnet/ssh que lo llevará directamente a ese dispositivo sin tener que hacer
login al primer RouterOS.
http://wiki.mikrotik.com/wiki/Manual:Special_Login
Configuración Básica o dejar el router en Blanco?
•
•
•
Usted puede o no tener una configuración básica cuando recién ha instalado el equipo, debido a
que el equipo provee una configuración inicial, por defecto, para permitirle usar el equipo sin previa
configuración definida por el usuario.
Usted puede optar por no tomar la configuración básica por defecto, o dejar en blanco los equipos
para poderlo configurar a gusto del cliente, usuario o administrador.
Revise la siguiente página web para averiguar cómo su dispositivo se comportará:
http://wiki.mikrotik.com/wiki/Manual:Default_Configurations
Configuración Básica
Dependiendo de su hardware, tendrá una configuración por defecto, que pueden incluir:
•
•
•
•
•
•
Puertos WAN
Puertos LAN
DHCP client (WAN) y servidor (LAN)
Reglas básicas de Firewall
Reglas NAT
Direccionamiento LAN IP por defecto
Al momento de tener acceso por medio de WinBox, podrá revisar la configuración por defecto por medio de
una ventana emergente inicial, que consta de opciones de visualización de configuración o de borrar
configuraciones y dejar en blanco, adicional en cualquier momento usted puede observar la configuración
por defecto, con el comando:
/system default-configuration print
•
•
Al conectar por primera vez con WinBox, haga clic en "OK“, mas adelante analizaremos la opción:
“Remove Configuration”
El router tiene la configuración básica por defecto que la muestra en una ventana
24
Academy Xperts
Configuración en Blanco
Puede ser utilizado en situaciones en las que no se requiere la configuración básica por defecto.
•
•
No hay necesidad de Reglas de firewall por defecto.
No hay necesidad de Reglas de NAT por defecto
Los pasos mínimos para configurar un acceso básico a Internet (si el router no tiene una configuración
básica por defecto)
•
•
•
•
•
Direcciones IP de LAN
Puerta de enlace predeterminada y servidor DNS
Dirección IP de la WAN
Regla de NAT (enmascaramiento)
Cliente SNTP y la zona horaria
Actualizando el router
Cuando realizar una Actualización
Si el router mikrotik se encuentra desactualizado, podemos realizar en cualquier momento la actualización
siempre y cuando intentemos mejorar o corregir lo siguiente:
•
•
•
Corregir un error conocido.
Cuando se necesita una nueva característica.
Mejora del rendimiento.
NOTA: Por favor lea la lista de cambios, para obtener mayor información, antes de realizar un Upgrade, si
tiene una versión inferior a la 6!!
http://wiki.mikrotik.com/wiki/Manual:RouterOS6_news
El Procedimiento
•
•
Se requiere una planificación.
o
Los pasos pueden que tengan que hacerse en un orden preciso y con planificación previa.
Se requiere pruebas ...
25
Academy Xperts
o
•
Antes de que ponga en acción la nueva actualización, es necesario realizar pruebas en
ambientes controlados, o sino realizar backup de la configuración anterior, como medida de
contingencia en caso de que la nueva actualización no funcione como Ud. lo espera.
Recomendaciones: Si el dispositivo funciona correctamente no se recomienda realizar un upgrade,
de preferencia mantenerse con la configuración anterior.
Antes de realizar una actualización
Es importante saber la arquitectura soportada (mipsbe, ppc, x86, mipsle, tile), en la cual se va a realizar la
actualización. Winbox indica la arquitectura del equipo.
Debe conocer qué ficheros se necesitan:
•
•
•
•
NPK: paquete de actualización de RouterOS (siempre que se realiza un upgrade)
ZIP: Paquetes adicionales (sobre la base de las necesidades)
Verificar los Cambios: proceso de verificación post-actualización que valida el cambio efectuado en
su dispositivo y el correcto funcionamiento (siempre que se realiza un upgrade)
¿Cómo hacer un Upgrade? (Actualización de RouterOS)
Cómo hacer un Upgrade
Tenemos tres maneras
1. Descargar archivos y copiar en el router
2. Buscar actualizaciones (System -> Packages)
3. Actualizaciones automáticas (System -> Actualizaciones automáticas)
Se sugiere mantener siempre actualizado su RouterOS para mejor funcionamiento ya que siempre los
desarrolladores están añadiendo nuevas funciones y mejorando el rendimiento y la estabilidad mediante la
liberación de actualizaciones.
Requisitos y sugerencias
Cuando se utiliza un dispositivo RouterBOARD, siempre se sugiere actualizar el RouterBoot bootloader,
después ya se podrá actualizar el RouterOS. Para hacer esto, ejecutar el comando
/system routerboard upgrade
Descargando los archivos
Copiar los archivos en el router por medio de la ventana “File”. Por ejemplo:
•
•
•
•
routeros-mipsbe-6-28.npk
ntp-6.28-mipsbe.npk
Reiniciar el equipo /system reboot
Comprobar que se realizó la actualización
Para realizar este proceso lo principal que debemos hacer es tener descargado los paquetes de
actualización que necesitamos.
•
•
Primer paso es visitar la web: http://www.mikrotik.com y nos dirigiremos a la página de descarga
(downloads).
Una recomendación es descargar paquetes combinados en vez de solo la versión que desea, ya
que en estos paquetes combinados, vendrán con todas las funciones incluidas, tales como,
paquetes adicionales para la actualización requerida.
26
Academy Xperts
Buscar actualizaciones
•
•
•
•
A través del menú “System / Packages”
Presionar el botón “Ckeck for Updates” a continuación “Download & Upgrade”
Luego el equipo se reiniciara automáticamente
Verificamos la instalación de los paquetes y el estado del router
Desde el lanzamiento del RouterOS v5.21, se añadió la actualización automática. Para actualizar la versión
de RouterOS, todo lo que se necesita hacer es hacer clic en un botón “Check For Updates”. Esta
característica está disponible en la línea de comandos, Winbox GUI, Webfig GUI y QuickSet.
La función de actualización automática se conecta a los servidores de descarga MikroTik, y comprueba si
hay una nueva versión de RouterOS para su dispositivo.
En caso afirmativo, se muestra una lista de cambios, y el botón de actualización se mostrará. Al hacer clic
en el botón Actualizar, los paquetes de software se descargarán automáticamente, y el dispositivo se
reiniciará. Incluso si usted tiene un sistema con paquetes personalizados instalados, solo los paquetes que
usted desea tener en su equipo se descargarán. El proceso es fácil y rápido, con el uso de los servidores
FTP.
Actualización automática
•
•
Copie los archivos requeridos por los demás router, en uno de ellos para que sirva como fuente del
archivo de actualización.
Configurar todos los router para que apunten hacia el router interno
27
Academy Xperts
Objetivos
Hacer un router como punto central de la red con las actualizaciones, que actualizará el RouterOS
en otros routers.
• Subir los paquetes RouterOS necesarios para este router.
• Mostrar los paquetes disponibles
• Seleccionamos y descargamos los paquetes deseados
• Reiniciar y verificamos el estado del router
• Comprobar la versión actual
[admin@Mikrotik] > /system RouterBOARD print
RouterBoard: yes
Model: 951Ui-2HnD
Serial-number: 458802555182
Current-firmware: 3.18
Upgrade-firmware: 3.18
•
RouterBoot firmware Upgrade
Es una de las opciones más rápidas y seguras para realizar una actualización por medio de línea de
comando utilizando el software de Winbox.
Actualizar si es necesario (esto es un ejemplo):
[admin@Mikrotik] > /system RouterBoard Upgrade
Do you really want to Upgrade firmware? [y/n]:
Yes
[admin@Mikrotik] >
Echo: system, info, critical firmware Upgrade successfully, please reboot for
changes to take effect!
Reboot, yes? [y/N]:
Administración de usuarios en un RouterOS
28
Academy Xperts
La creación de diferentes usuarios para un sistema, o en este caso para el ingreso a un RouterBOARD es
algo fundamental para mantener nuestro sistema seguro, ya que podremos crear usuarios con diferentes
prioridades.
No todos los usuarios necesariamente deben ingresar a todas las operaciones que se puedan realizar en un
Router. Al momento de la creación de un usuario podremos darle los permisos necesarios como acceso
total o que solo sea un usuario para solo lectura o si se desea ser más detallado se podrá configurar a qué
tipo de servicios el usuario puede acceder.
Cuentas de usuario
•
•
Se crean cuentas para:
o Administrar los privilegios
o Definir acciones permitidas para cada usuario
Se crean grupos para:
o Tener una mayor flexibilidad cuando asignamos privilegios, ya que cuando tengamos una
cierta cantidad de usuarios y que van a tener los mismos privilegios, podremos crear un
grupo con los permisos que tienen y luego asignarle los usuarios pertenecientes a dicho
grupo.
Administración de servicios en un RouterOS
En estas opciones encontraremos los protocolos y puertos usados por los RouterOS MikroTik. Te ayuda a
determinar porque su router MikroTik escucha a ciertos puertos, y lo que necesita para bloquear/permitir en
caso de que quiera evitar o permitir el acceso a los servicios determinados.
Servicios IP (IP Services)
•
•
•
Administrar los servicios IP para:
o Limitar el uso de recursos (CPU, Memoria)
o Limitar las amenazas de seguridad (Puertos abiertos)
o Cambiar el puertos TCP
o Limitar las direcciones IP y subredes IP aceptadas
Para controlar los servicios se debe ir al menú “IP -> Services”
Desactivar o Activar los servicios requeridos
Acceso a los Servicios IP
•
•
•
Hacer doble clic en un servicio
Si es necesario, especificar que host o subredes pueden acceder a los servicios
Es una muy buena práctica de seguridad el limitar ciertos servicios a los administradores de red.
29
Academy Xperts
Administración de los respaldos (backup) de las
configuraciones
Los backup de configuración se pueden utilizar para realizar copias de seguridad de la configuración de un
RouterOS MikroTik en un archivo binario, que puede ser almacenada en el router o descargado a través de
FTP para su uso futuro.
La opción de restauración se puede utilizar para restaurar la configuración del router, tal y como era en el
momento de creación de copia de seguridad, a partir de un archivo de copia de seguridad.
La opción export puede utilizarse para volcar la configuración Mikrotik RouterOS completa o parcial a la
pantalla de la consola o en un archivo de texto, que se puede descargar desde el router mediante el
protocolo FTP.
Tipos de Backups
•
•
Backup Binario
Comando “export”
Backup Binario
•
•
•
Realiza un Backup completo del sistema
Incluye contraseñas y usuarios
Los Backup serán guardados por defecto en el mismo router.
Se recomienda que guarde en la pc o en una unidad externa ya que resultaría ilógico que se guarde en el
mismo dispositivo, uno puede generar “n” archivos de backup, y se guarda por defecto, con nombre del
host, año, fecha, hora.
30
Academy Xperts
Comando export
Configuración completa o parcial
Usar el comando “compact” para mostrar la configuración no predeterminada
Se confirma con la configuración cuando se desea respaldar alguna parte de la configuración con la
sentencia PRINT y se realiza un backup por parte de alguna parte del código con el comando
export, si se ingresa en la pagina principal solamente export, respalda toda la configuración del
router…
• export file = nombre del archivo.
• No respalada los usuarios del router.
[admin@Mikrotik] > ip firewall filter export
# jan/01/2014 01:58:17 by RouterOS 5.24
# software id = PEVF-794H
#
/ip firewall filter
Add action=Accept chain=input comment=”default configuration” disabled=no \
Protocol=icmp
Add action=Accept chain=input comment=”default configuration” disabled=no \
Connection-state=established
Add action=Accept chain=input comment=”default configuration” disabled=no \
Connection-state=related
Add action=drop chain=input comment=”default configuration” disabled=no \
Protocol=ethernet-gateway
•
•
•
Guardar archivos de Backup
•
•
Una vez generado, copiarlos en un servidor
o SFTP (Garantizado)
o FTP (Se lo habilita en el menú “IP Services”
o Arrastrar y Soltar usando la ventana “Files”
Dejar los archivos de Backup en el router no es una buena práctica o al menos no es algo
recomendado. Los routers no hacen Backup en cintas o CD
Licencias RouterOS
Niveles de Licencias
Tenemos 6 tipos de licencias:
•
•
•
•
•
•
Nivel 0: Demo (24 Horas)
Nivel 1: Free (Muy limitada)
Nivel 3: WISP CPE (Clientes Wi-Fi)
Nivel 4: WISP (Requeridos para un Access Point)
Nivel 5: WISP (Mas Capacidades)
Nivel 6: Controlador ( Capacidades ilimitadas)
31
Academy Xperts
Las Licencias
•
•
•
Determinan las capacidades permitidas en un Router
RouterBOARD viene con una licencia pre-instalada
o Niveles Varían
Para un sistema X86 deben adquirirse las licencias
o Una licencia es validad solo para un equipo
o http://wiki.mikrotik.com/wiki/Manual:License
Usos Típicos:
•
•
•
•
Nivel 3: CPE, Clientes Wireless
Nivel 4: WISP
Nivel 5: Amplio WISP
Nivel 6: infraestructuras internas ISP (Cloud Core)
Uso de Licencias
•
•
•
No se puede actualizar el nivel de licencia. Se puede comprar el dispositivo correcto y la licencia
requerida según el equipo
La licencia está ligada a la unidad de instalación por defecto. Tenga cuidado en no formatear la
unidad sin utilizar herramientas que no sean Mikrotik
Leer la página web sobre licencias para más detalles!
Netinstall
Es un programa que se ejecuta en el equipo de Windows que permite instalar RouterOS MikroTik en una PC
o en un RouterBOARD a través de una red Ethernet.
Su dispositivo debe ser compatible con el arranque desde Ethernet, y debe haber un enlace Ethernet directo
desde el ordenador donde tenemos el Netinstall al dispositivo de destino.
Uso de Netinstall
•
•
•
Reinstalación del RouterOS para recuperación del sistema
Reinstalación del RouterOS tras perdida de contraseña
Para descargar Netinstall: http://www.mikrotik.com/download
32
Academy Xperts
Procedimiento para usar Netinstall
Para RBs sin el puerto COM
•
•
•
•
•
•
Nos conectamos a un computador por medio del puerto Ethernet 1
o Configurar una dirección IP y máscara de subred estática al computador
Iniciar Netinstall
o Presionar el botón “Net booting” y escribir una dirección IP al azar y que este en la misma
subred que el computador
En la sección “Packages”, click en “Browse” y seleccionar un directorio que contenga un archivo
NPK valido.
Presionar el botón “reset” por el router hasta que el LED de “ACT” se torne apagado
o Router aparecerán en la sección “Routers/Drivers
Seleccionamos la versión del RouterOS requerido desde la sección “Packages”
o Presionar el botón “install”
La barra de progreso se tornara azul mientras se transfiere los archivos NPK
33
Academy Xperts
•
Una vez completado, vuelva a conectar el cable de la computadora en uno de los puertos válidos y
el cable de acceso a internet en el puerto 1
•
Usar el MAC-Winbox para conectare al equipo con configuración en blanco.
•
Hacer una copia de seguridad de la configuración y reiniciar el sistema
•
Si el problema era de una contraseña perdida, vuelva a realizar la configuración desde cero.
o
o
Importante para la gestión de un acceso adecuado de los archivos.
Importante para la gestión de un acceso adecuado de los archivos.
Para RBs con el puerto COM
•
Comienza al igual que antes
o PC en la Ethernet port 1 con una direcciones estática
o Conectar desde el puerto serial del PC al puerto COM del ROUTERBOARD
o Iniciar Netinstall ( configurar parámetros de “Net Booting”)
o Seleccionar directorio con archivos NPK validos
o Reiniciar el router
o Presionar “Enter”, cuando se le solicite para entrar en la configuración
o Podemos presionar “o” para reiniciar el dispositivo
o Podemos presionar “e” para Ethernet
o Podemos Presionar “x” para salir de la instalación (Luego reiniciar el router)
Router aparecerán en la sección “Routers/Drivers
• Seleccionamos.
Seleccionamos la versión del RouterOS requerido desde la sección “Packages”
•
•
Clic en “Keep old configuration”
Presionar el botón “install”
34
Academy Xperts
La barra de progreso se tornara azul mientras se transfiere los archivos NPK
•
•
•
•
•
•
•
•
Una vez completado, vuelva a conectar el cable de la computadora en uno de los puertos válidos y
el cable de acceso a internet en el puerto 1
Ahora usted puede usar Winbox para conectarse
o La opción “Keep old configuration” la encontraremos aquí.
Reiniciar el router
Presionar “Enter”, cuando se le solicite para entrar en la configuración
Podemos presionar “o” para reiniciar el dispositivo
Podemos presionar “e” para Ethernet
Podemos presionar “n” para desconectar el puerto Ethernet
o Si te olvidas de esto, siempre el router se iniciara desde la Ethernet
Podemos Presionar “x” para salir de la instalación (Luego reiniciar el router)
Recursos adicionales
Wiki
http://wiki.mikrotik.com/wiki/Manual:TOC
•
•
•
Información acerca del RouterOS la encontraremos en la página del Wiki.
Todos los comandos del RouterOS
o Explicación
o Sintaxis
o Ejemplos
Consejos y trucos adicionales
Tiktube
http://www.tiktube.com/
35
Academy Xperts
•
•
•
•
Recursos en videos sobre varios temas
Presentados por Trainers, Partners, IPSs, etc.
Podremos encontrar diversas presentaciones
La página la encontraremos en varios lenguajes
Foros de Discusión
http://forum.mikrotik.com/
•
•
•
•
Moderado por el personal de MikroTik
Tablero de discusiones sobre diversos temas
Una gran cantidad de información se puede encontrar aquí
Podrá encontrar una solución a su problema
Soporte MikroTik
•
•
•
Mail: support@mikrotik.com
Instrucciones para solicitar soporte: http://www.mikrotik.com/support.html
El apoyo de Mikrotik durante 15 días (nivel licencia 4) y 30 días (nivel 5 Licencia y el nivel 6) si el
router fue comprado a ellos
Distribuidores/Soporte
•
•
•
El distribuidor les dará soporte siempre y cuando el router haya sido comprado a ellos
Consultores certificados pueden ser contratado para necesidades especiales
http://www.mikrotik.com/consultants
Laboratorio – Módulo 1
36
Academy Xperts
Módulo 2: Ruteo Estático
Conceptos de Ruteo
•
•
•
El ruteo (routing) es un proceso en la capa 3 del modelo OSI
El ruteo define por donde va a ser enviado el trafico.
Es necesario para que puedan comunicarse entre sí diferentes subredes.
Routing o enrutamiento
Es la función de buscar un camino entre todos los posibles en una red de paquetes cuyas topologías
poseen una gran conectividad. Dado que se trata de encontrar la mejor ruta posible, lo primero será definir
qué se entiende por mejor ruta y en consecuencia cuál es la métrica que se debe utilizar para medirla
Los Parámetros Manejados
Métrica de la red
Puede ser, por ejemplo, el número de saltos necesarios para ir de un nodo a otro. Aunque ésta no es una
métrica óptima ya que supone “1” para todos los enlaces, es sencilla y suele ofrecer buenos resultados. Otro
tipo de métrica es la medición del retardo de tránsito entre nodos vecinos, en la que la métrica se expresa
en unidades de tiempo y sus valores no son constantes sino que dependen del tráfico de la red.
Mejor Ruta
Entendemos por mejor ruta aquella que cumple las siguientes condiciones:
•
•
•
Consigue mantener acortado el retardo entre pares de nodos de la red.
Consigue ofrecer altas cadencias efectivas independientemente del retardo medio de tránsito
Permite ofrecer el menor costo.
El criterio más sencillo es elegir el camino más corto, es decir la ruta que pasa por el menor número de
nodos. Una generalización de este criterio es el de “coste mínimo”. En general, el concepto de distancia o
coste de un canal es una medida de la calidad del enlace basado en la métrica que se haya definido. En la
práctica se utilizan varias métricas simultáneamente.
Pregunta: Cuales son los motivos por los cuales estos dispositivos no se pueden comunicar entre si?
37
Academy Xperts
No se comunicarán, porque cada computador o dispositivo, se encuentra en un segmento de red distinto.
Para que puedan verse entre sí, tienen estas opciones:
• Tendrán que pertenecer a un mismo segmento de red todos
• Colocar un router configurado con los parámetros adecuados para la comunicación entre subredes.
Etiquetas de Rutas
Las rutas tienen varios estados los cuales son identificados por letras. En este curso, nosotros tendremos
que familiarizarnos con estos términos, por ejemplo:
• X : Deshabilitada
• A : Activa
• D : Dinámica
• C : Conectada
• S : Static (estática)
Significado de las etiquetas de rutas más comunes:
•
•
•
•
•
Disabled: Ruta deshabilitada y no tiene ningún efecto en el proceso de ruteo.
Active: Ruta activa y es usada en el proceso de ruteo.
Dynamic: Ruta dinámica, asigna dinámicamente la ruta por el cual va a ser enviada la información.
Connected: Ruta conectada, se generará por cada IP de una subnet que tiene una sesión activa en
la interfaz sobre la ruta usada.
Static: Ruta creada por el usuario de manera fija en el router. Este método forzará el envío de
paquetes a través de un determinado destino definido por el usuario o administrador.
En la sección de Router Flags del wiki de mikrotik, podremos apreciar más etiquetas:
http://wiki.mikrotik.com/wiki/Manual:IP/Route
38
Academy Xperts
Rutas Estáticas
•
•
•
Las tablas de encaminamiento de los nodos se configuran de forma manual y permanecen
inalterables hasta que no se vuelve a actuar sobre ellas. Por tanto, la adaptación en tiempo real a
los cambios de las condiciones de la red es nula.
Las rutas estáticas que existen sobre un router son creados y conocido por ese router. Pero, ¿qué
pasará si usted necesita llegar a una subred que existe en otro router?
Cabe recalcar que una ruta estática es una forma manual de reenviar el tráfico a subredes
desconocidas
Ejercicio 1: Cual es el gateway que seguirá el paquete cuando la estación 172.16.1.1 realiza un PING a la
dirección 192.168.1.1
Ejercicio 2: Cual es el gateway que seguirá el paquete cuando la estación 172.16.1.1 realiza un PING a la
dirección 192.168.1.254
39
Academy Xperts
Entendiendo los Campos:
•
•
•
•
•
•
Flags: El estado de cada ruta, como se explica en las diapositivas anteriores
Dst. Address: Las direcciones de destino de esta la ruta.
Gateway: Por lo general, la dirección IP del siguiente salto que recibirá los paquetes destinados a
“Dst. Address”.
Distance: Valor utilizado para la selección de rutas. En las configuraciones cuando se tiene varias
opciones posible de ruta, todas tendrán marcado o definida la distancia usada, en la cual se tomara
como preferencia la ruta con el valor más pequeño.
Routing Mark: Se mostrará en la tabla de enrutamiento que contiene esta ruta, con un marcado
específico. El valor predeterminado de esta opción es “Main”, routing-mark enviara la información
marcada por la ruta definida.
Pref. Source: La dirección IP de la interfaz local será la responsable de reenviar paquetes
enviados por la sub red asignada en esta opción.
Ventajas del Enrutamiento Estático
•
•
•
Hace más sencilla la configuración en redes pequeñas que lo más probable es que no crezca.
Limita el uso de recursos del router (memoria, CPU)
El administrador podrá entender fácilmente la configuración.
Limitantes del Enrutamiento Estático
•
•
•
•
•
La configuración y el mantenimiento son prolongados..
Requiere configuraciones manuales para poder alcanzar nuevas sub redes.
La configuración es propensa a errores, especialmente en redes extensas.
No se adapta bien con las redes en crecimiento, el mantenimiento se torna cada vez más
complicado, en lo que respecta al tema de escalabilidad.
Requiere un conocimiento completo de toda la red para una correcta implementación.
Cómo crear rutas estáticas
Para agregar rutas estáticas:
•
•
•
•
IP / Routes
+ (Add)
Especificar subred y mascara de subred
Especificar “Gateway” (el siguiente salto)
40
Academy Xperts
Ejemplo de Enrutamiento Estático
Cómo llego desde la Red A hasta la Red C?
Solución
Router 1
/ip route
add distance=1 dst-address=172.31.4.0/24 gateway=10.1.1.2
Router 2
/ip route
add distance=1 dst-address=172.31.4.0/24 gateway=10.2.2.6
Configurando la Ruta por Defecto
La ruta 0.0.0.0/0 ss conocida como la ruta por defecto. Es el destino a donde se enviará todo el tráfico a
subredes desconocidas.También es una ruta estática, y puede ser creada por el administrador o creada
automáticamente por el router.
/ip route add gateway=xx.xx.xx.xx
Gestión de Rutas Dinámicas
Como se mencionó antes, las rutas dinámicas son agregadas automáticamente por el proceso de
enrutamiento, no por el administrador. No se puede gestionar las rutas dinámicas, debido a que es un
proceso automatizado realizado por el router.
En algunos casos la ruta puede llegar a ser " inalcanzable " si la interfaz física está apagada o caida (down).
Esto puede ocurrir cuando la interfaz esta deshabilitada o la PC se encuentra desconectada de la red.
Ejercicio de Implementación de Enrutamiento Estático
En el siguiente caso de estudio se desea implementar una solución de enrutamiento estático en el cual. Se
desea que la RED A:192.168.0.0/24, pueda llegar a la RED C: 192.168.2.0/24. Suponga que los enlaces
inalámbricos ya están previamente configurados.
41
Academy Xperts
Router 1
/ip route add distance=1 dst-address=192.168.2.0/24 distance=1 gateway=10.10.0.2
/ip route add distance=1 dst-address=192.168.2.0/24 distance=2 gateway=10.10.0.3
Router 2
/ip route add distance=1 dst-address=192.168.2.0/24 gateway=10.10.2.2
Router 3
/ip route add distance=1 dst-address=192.168.2.0/24 gateway=10.10.1.2
42
Academy Xperts
Módulo 3 - Bridge
Conceptos de Bridging
Los bridge trabajan en la capa 2 del modelo OSI. Tradicionalmente, son utilizados para unir dos segmentos
de tecnologías diferentes (o similar)
El bridge trabaja bajo el protocolo CSMA/CD, el cual le permite sensar y escuchar la red antes de transmitir.
Cuando algunos equipos al mismo tiempo transmiten, se generan colisiones que hacen que la red colapse.
Un puente de red o bridge es un dispositivo de interconexión de redes de ordenadores que opera en la capa
2 (nivel de enlace de datos) del modelo OSI. Este interconecta segmentos de red (o divide una red en
segmentos) haciendo la transferencia de datos de una red hacia otra con base en la dirección física de
destino de cada paquete. El termino bridge, formalmente, esponde a un dispositivo que se comporta de
acuerdo al estándar IEEE 802.1D
En definitiva, un bridge conecta segmentos de red formando una sola subred (permitir conexión entre
equipos sin necesidad de routers). Funciona a través de una tabla de direcciones MAC detectadas en cada
segmento al que está conectado. Cuando detecta que un nodo de uno de los segmentos de uno de los
segmentos está intentando transmitir datos a un nodo del otro, el bridge copia la trama para la otra subred,
teniendo la capacidad de desechar la trama (filtrado) en caso de no tener dicha subred con destino. Para
conocer por donde enviar cada trama que le llega (encaminamiento) incluye un mecanismo de aprendizaje
automático (autoaprendizaje) por lo que no necesitan configuración manual.
Los puentes de red usan una tabla de reenvió para enviar tramas a lo largo de los segmentos de la red. Se
una dirección de destino no se encuentra en la tabla, la trama es enviada por medio de flooding a todos los
puertos del bridge excepto por el que llego. Por medio de este envió “masivo” de tramas el dispositivo de
destino recibirá el paquete y responderá, quedando así registrada la dirección destino recibirá el paquete y
responderá, quedando así registrada la dirección destino como una entrada de la tabla. Dicha tabla incluye
tres campos: dirección MAC, interfaz a la que está conectada y la hora a la que llego la trama (a partir de
este campo y la hora actual se puede saber si la entrada está vigente en el tiempo). El bridge utilizara esta
tabla para determinar qué hacer con las tramas que le llegan.
Ejemplo 1
Todos los ordenadores pueden comunicarse entre sí. Todos tienen que esperar a que el resto de routers
dejen de transmitir para así poder transmitir los datos.
43
Academy Xperts
Ejemplo 2
•
•
•
Todos los equipos todavía se comunican entre sí.
Todos los equipos ahora solo comparten la mitad del cable
Todavía tienen que esperar a que el resto de routers terminen de transmitir, pero el grupo es la
mitad del tamaño ahora.
Usando Bridges
Por defecto, en los routers MikroTik, los puertos Ethernet están asociados (esclavos) a un puerto maestro.
Ventajas:
•
•
•
Aísla dominios de colisión al segmento de red.
No necesita configuración previa.
Conmutación rápida (a través de chip switch, no en software)
Desventajas:
•
•
•
•
No hay visibilidad del tráfico de los puertos de esclavos. No conviene si se utiliza SNMP para
monitorear el uso de puertos.
No se limita el número de reenvíos mediante broadcast
Difícilmente escalable para redes muy grandes
El procesado y almacenamiento de datos introduce retardos
Mediante la eliminación de configuración maestro (master) y esclavo (slave), se debe utilizar una interfaz
bridge para vincular a los puertos requeridos en una sola LAN.
Ventajas:
•
Completa visibilidad de todas las estadísticas de puerto de los puerto involucrados
Desventajas:
•
La función de switch se hace a través de software, por lo que provee una velocidad de transferencia
de paquetes menos óptima
44
Academy Xperts
Creando un Bridge
Agregando puertos al bridge
•
•
La adición de puertos definirá cuales puertos van a pertenecer a la misma subred
Diferentes tecnologías pueden ser agregadas, tales como una interfaz Wi-Fi
Haciendo Bridge con redes Wireless
•
•
Lo mismo se puede hacer con interfaces Wireless
Veremos acerca de este tema en el siguiente módulo. Se paciente!
45
Academy Xperts
Módulo 4 – IEEE 802.11 (Wireless)
Conexión Inalámbrica
La comunicación inalámbrica o sin cables es aquella en la que la comunicación (emisor/receptor) no se
encuentra unida por un medio de propagación físico, sino que se utiliza la modulación de ondas
electromagnéticas a través del espacio. En este sentido, los dispositivos físicos sólo están presentes en los
emisores y receptores de la señal, entre los cuales encontramos: antenas, computadoras portátiles, PDA,
teléfonos móviles, etc.
IEEE 802.11
El estándar 'IEEE 802.11' define el uso de los dos niveles inferiores de la arquitectura OSI (capas física y de
enlace de datos), especificando sus normas de funcionamiento en una WLAN. Los protocolos de la rama
802.x definen la tecnología de redes de área local y redes de área metropolitana.
Recuerde: Mikrotik opera en 5GHz (802.11a/n/ac) y 2.4GHz (802.11b/g/n)
Frecuencias y bandas:
802.11b/g
•
•
2.4GHz, Ancho de Banda 22MHz, 54Mbps
Rango de Frecuencia en Canales 1, 6 y 11 no se sobreponen o no se produce el efecto de
overlapping
46
Academy Xperts
802.11a
El estándar 802.11a utiliza el mismo juego de protocolos de base que el estándar original, opera en la banda
de 5 GHz y utiliza la multiplexacion por división de frecuencias (OFDM) con una velocidad máxima de 54
Mbit/s, lo que lo hace un estándar práctico para redes inalámbricas con velocidades reales de
aproximadamente 20 Mbit/s. La velocidad de datos se reduce a 48, 36, 24, 18, 12, 9 o 6 Mbit/s en caso
necesario. 802.11a tiene 12 canales sin solapar, 8 para red inalámbrica y 4 para conexiones punto a punto.
No puede interoperar con equipos del estándar 802.11b, excepto si se dispone de equipos que implementen
ambos estándares.
47
Academy Xperts
Problema del Nodo Oculto
Advanced Channels
Es una de las características que permite extender las opciones de configuración de la interfaz inalámbrica:
•
•
•
scan-list: esta sección cubre múltiples bandas y ancho de canal
non-standard cannel center: frecuencias centrales de canal no estandarizadas (se especifica en
KHz) para hardware que puede soportarlo.
non-standard cannel widths: ancho de del canal no estándar (especificados en KHz) para el
hardware que lo permita.
48
Academy Xperts
basic-rates / supported-rates
•
•
•
basic-rates: son las tasas de velocidad mínima que un cliente debería soportar al momento de
conectarse a un AP. Para que haya comunicación entre el AP y el Cliente, ambos deberán tener el
mismo Basic-rate.
supported-rates: estas son las tasas de velocidad que un cliente puede llegar o soportar.
Los data-rates son soportados según el estándar usado como tenemos a continuación:
o 802.11b : 1 a 11Mbps
o 802.11a/g : 6 a 54Mbps
o 802.11n : 6 a 300Mbps, dependiendo de factores como el canal, ancho de banda (20 o 40
MHz), y el número de salidas o antenas (MikroTik las conoce como CHAINS)
HT chains
•
•
Hace referencia a 1 antena de radio
Son usados para el protocolo 802.11n y es un factor de rendimiento configurable.
49
Academy Xperts
802.11n - Data Rates
Protocolo en el cual la velocidad real de transmisión podría llegar a los 300 Mbps (lo que significa que las
velocidades teóricas de transmisión serían aún mayores), y debería ser hasta 10 veces más rápida que una
red bajo los estándares 802.11a y 802.11g, y unas 40 veces más rápida que una red bajo el estándar
802.11b
50
Academy Xperts
Tipos de Modulación
Modo de Frecuencia (frequency-mode)
Esta opción nos permitirá elegir el modo en el cual nuestro router va a trabajar, respetando las siguientes
limitaciones:
•
•
•
Regulatory-domain: Esta sección limita los canales usados y potencia TX, basado en las
regulaciones de su País.
o El parámetro “Country”: Se enfocara en las frecuencias y potencias de TX, limitados y
regulados por cada país. Usando el parámetro “no_country_set”, Ud. podría configurar los
parámetros de frecuencia y potencia según canales aprobados por la FCC.
Manual-txpower: Igual que el anterior pero sin la restricción de potencia TX.
Superchannel: Ignorará todas las restricciones.
Country
El parámetro “Country”: Se enfocara en las frecuencias y potencias de TX, limitados y regulados por cada
país. Usando el parámetro no-country-set, Ud. puede configurar los parámetros de frecuencia y
potencia según canales aprobados por la FCC.
Rate Flapping
Se produce con la variación muy notable o inestabilidad de los rates, con respecto al tiempo, se lo conoce
como rate flapping.
Se puede solventar este tipo de problemas disminuyendo la tasas soportadas en la configuraciones
Wireless
51
Academy Xperts
Frequency mode
Esta opción nos permitirá elegir el modo en el cual nuestro router va a trabajar, respetando las siguientes
limitaciones:
•
•
•
Regulatory-domain: Esta sección limita los canales usados y potencia TX, basado en las
regulaciones de su País.
o El parámetro “Country”: Se enfocara en las frecuencias y potencias de TX, limitados y
regulados por cada país. Usando el parámetro “no_country_set”, Ud. podría configurar los
parámetros de frecuencia y potencia según canales aprobados por la FCC.
Manual-txpower: Igual que el anterior pero sin la restricción de potencia TX.
Superchannel: Ignorará todas las restricciones.
Configuración básica de un enlace – Access Point (AP)
Para configura nuestro AP debemos conocer que parámetros necesitamos llenar para que todo funcione de
manera adecuada
•
•
•
•
•
Modo: AP bridge
Banda: Esta opción se seleccionara basadas en la capacidad soportada de los router y clientes. Si
tu AP soporta múltiples bandas (ex. B/G/N) seleccionamos la que nos ofrece la mejores
características.
Frecuencia: Cualquiera que nos defina el instructor o habilitada para usarse (De este tema se
hablara más adelante!)
SSID: El nombre del identificador de la red inalámbrica generada.
Wireless protocol: Basado en los equipos router y clientes usados, en este caso usaremos 802.11
52
Academy Xperts
Perfil de Seguridad (Security profile)
POR FAVOR no olvidar configurar el security profile.
•
•
•
•
•
•
Ayudará a fomentar una mayor seguridad en nuestros equipos. No se recomienda usar por ningún
motivo una conexión inalámbrica sin security profile ya que nos deja a propensos a un ataque o
infiltración.
Para adicionar un security-profile
o Click en “Add” (+)
o Name : nombre del profile
o Mode : Tipo de autenticación usada.
o Authentication types : Método de autenticación usada en la conexión
o Ciphers : Métodos de cifrado.
Ahora ya podemos usar nuestro security-profile creado, regresamos a la ventana de interfaces ->
wireless y realizamos la elección del security-profile creado.
NOTA: recuerde que se pueden crear también 128 AP Virtuales por interfaz inalambrica.
Ahora vamos a revisar la red inalámbrica a la cual nos vamos a conectar, con herramientas que las
encontraremos en la sección principal de Interface Wlan1> Wireless. Una de estas herramientas es
Snooper:
o Click en “Snooper”
o Procederemos con la inspección.
o ¡Ten cuidado! Esto desconectará la interfaz WLAN y clientes asociados, debido a que la
interfaz se pondrá en modo “promiscuo”
Al momento de ingresar en snooper lo que observaremos es lo siguiente
o Click en “Snooper” start
o Tenga cuidado, ya que todos los clientes asociados a su red se desconectarán de la red
inalámbrica.
o Usted tendrá una vista completa de frecuencias y otros parámetros para analizarlos.
o Seleccionamos un canal de frecuencia libre para nuestra red inalámbrica
53
Academy Xperts
Configuración básica de un enlace – Estación (cliente)
•
Configuración Station
o Modo : station
o Band : la misma usada en el AP.
o Frequency : no es un parámetro importante para el cliente.
•
•
•
SSID : El SSID al cual el equipo STATION se va a conectar
Wireless protocol: Se coloca el mismo usado en el AP, en este caso usamos 802.11
Crearemos un security profile igual al creado en el AP, para que al momento que se inicie la
negociación de autenticación, el AP acepte al router en modo STATION.
Filtrado por MAC address
Es una vía adicional para limitar las conexiones inalámbricas de los clientes.
Para agregar y poder realizar esta limitación, nos dirigimos a nuestro AP, y en “registration” que es la lista
de los usuarios registrados, seleccionamos a los clientes deseados, abrimos los detalles con doble click al
cliente y damos click en la sección de “copy to access list”
54
Academy Xperts
•
Ya podemos ver una nueva entrada en la sección «access-list»
Access-list
Las listas de acceso se usan en los AP para restringir las conexiones a clientes específicos y controlar sus
parámetros de conexión. Hay que tener en cuenta lo siguiente:
•
•
•
Las Reglas serán comprobadas secuencialmente
Sólo se aplicara la primera regla que coincida con todos los parámetros.
Si la opción "Default Authentícate" (en la pestaña " Wireless " en "Interface - > WLAN" de pantalla)
no se encuentra habilitado, los dispositivos que no corresponden a una regla de la lista de acceso
serán rechazados.
Parámetros adicionales:
•
•
Authentication Option este ítem le dirá al router que compruebe el "security- profile " para
determinar si la conexión se debe permitir. Si no coinciden la autenticación, siempre fallará el
acceso.
Forwarding u opción de reenvío le dirá al router permita a los clientes del AP llegar a la otra sin la
ayuda de otros APs (evitando así las reglas del firewall que pueda tener). Para mayor seguridad ,
deje sin marcar
55
Academy Xperts
•
•
AP Tx limitantes y restricción de data rate desde el AP hacia el cliente
o Si se establece muy bajo, esto ocasionara problemas de conexión. Siempre se realizan
pruebas antes de ponerlas en práctica.
Client TX límites y restricciones de data rate desde el cliente hacia el AP
o Extensión propietaria son soportadas únicamente por clientes RouterOS.
o También siempre se realizan pruebas antes de ponerlas en práctica.
Connect-list:
Esta opción es para clientes. Asigna propiedades, basado en potencia de señal y configuraciones de
seguridad, que cada AP tiene sobre los clientes. Tomar en cuenta que:
•
•
•
•
•
Las Reglas son revisadas secuencialmente.
Se aplica solamente cuando se tiene coincidencia en los parámetros.
Si la opción “Default Authentícate” (“Wireless” -> “Interface -> wlan”)si está habilitada en los
connect-list, los clientes se conectaran o serán aceptados con respecto a parámetros basados en
potencia de la señal o configuraciones de seguridad
Nota de Interés: si en el campo SSID (en la sección station connect rule) está vacío, El cliente
podría conectarse a cualquier SSID únicamente realizando un match.
En la Interfaz wlan el campo SSID también deberá estar vacío!
56
Academy Xperts
•
•
Nota de Interés: si en el campo SSID (en la sección station connect rule) esta vacío, El cliente
podría conectarse a cualquier SSID únicamente realizando un match .
En la Interfaz wlan el campo SSID también deberá estar vacío!
Default-authentication
•
•
Si el AP no tiene ninguna lista de acceso, y default-authenticate no está marcada, los clientes nunca
se conectarán.
Si la estación no tiene ninguna connect list , y default-authenticate no está marcada , nunca se
conectará a un AP.
Default-forwarding
•
Especifica el comportamiento del re-envio de paquetes de clientes que ya han sido verificados en la
access-list.
o Si esta opción esta habilitada, se permitirán comunicaciones en capa 2 entre clientes.
o Si esta deshabilitada la comunicación se realizara en capa 3 y serán influenciados bajos las
reglas del firewall.
WPA, WPA2
Wi-Fi Protected Access, llamado también WPA (en español «Acceso Wi-Fi protegido») es un sistema para
proteger las redes inalámbricas (Wi-Fi); creado para corregir las deficiencias del sistema previo, Wired
Equivalent Privacy (WEP). Los investigadores han encontrado varias debilidades en el algoritmo WEP (tales
como la reutilización del vector de inicialización (IV), del cual se derivan ataques estadísticos que permiten
recuperar la clave WEP, entre otros).
•
•
Wi-Fi Protected Access (1 y 2)
Estos protocolos fueron creados después de la creación de WEP debido a que se encontraron
debilidades en el mismo.
57
Academy Xperts
Es apropiado configurar WPA, ya que es muy seguro, pero lo recomendable es WPA2 debido que ofrece
mayor seguridad
WPA adopta la autenticación de usuarios mediante el uso de un servidor, donde se almacenan las
credenciales y contraseñas de los usuarios de la red. Para no obligar al uso de tal servidor para el
despliegue de redes, WPA permite la autenticación mediante una clave compartida, que de un modo similar
al WEP, requiere introducir la misma clave en todos los equipos de la red.
•
•
•
Se usa en remplazo de WEP ya que es muy inseguro.
Usa TKIP como protocolo de cifrado
o Este protocolo genera una nueva Key por cada paquete enviado.
Actualmente ya se esta dejando de usar la versión 1 debido a que también se han encontrado
debilidades.
Un inconveniente encontrado en la característica agregada al Wi-Fi llamada Wi-Fi Protected Setup (también
bajo el nombre de QSS) permite eludir la seguridad e infiltrarse en las redes que usan los protocolos WPA y
WPA2.
•
•
MikroTik no USA WPS porque lo considera demasiado inseguro.
En la actualizad se han encontrado debilidades en WPS, como por ejemplo ataques de fuerza bruta.
WPA2
•
•
•
Usa CCMP para reemplazarlo como un protocolo de cifrado.
o Basado en AES
o Mas robusto que TKIP
Es reglamentario que todos los dispositivos Wi-Fi sean certificados. Esta orden esta desde 2006
Se debe utilizar para lograr mayores tasas de bits, en redes que se circunscriben a 54Mbps.
Protocolos Wireless propietarios de MikroTik
NV2 (Nstreme Version 2)
•
•
•
•
Protocolo propietario de Mikrotik
Usados con chips inalámbricos Atheros 802.11.
Este protocolo esta basado en TDMA (Time Division Multiple Access) por que les mas conveniente,
para abarcar mas usuarios, en lugar de CSMA (Carrier Sense Multiple Access)
Se utiliza para mejorar el rendimiento a través de largas distancias
TDMA es un método de acceso al canal por medio compartido de redes. Permite que varios usuarios
compartan la misma frecuencia del canal por dividir la señal en diferentes intervalos de tiempo. Los usuarios
transmiten en una rápida sucesión, uno tras otro, cada uno con su propio espacio de tiempo. Este permite a
varias estaciones compartir la misma transmisión media (por ejemplo canal de radio frecuencia), mientras
que se utiliza sólo una parte de su capacidad del canal.
Los beneficios más importantes de NV2 son los siguientes:
•
•
•
•
•
•
•
•
•
Aumento de la velocidad
Baja latencia
No hay limitaciones de distancia
Más conexiones de los clientes en entornos de PTM. Acepta mas clientes en ambientes punto a
multi-punto (soporta hasta 511 clientes)
Mayor control en latencia, logrando parámetros muy bajos.
Reduce el retardo en Propagación.
Reduce el polling overhead.
No hay penalización por largas distancias A partir de RouterOS v5.0beta5 puede configurar NV2 en
el menú Wireless.
5/10/20/40 MHz soporte del canal
Para realizar la conexión usando NV2 en el lado de AP que necesidad de seleccionar el wireless-protocol =
NV2 y en el Lado de la estación, seleccione 'NV2' wireless protocolo o "ninguna". En la actualidad, con
58
Academy Xperts
802.11n y NV2 puede obtener aproximadamente 97Mbps de tráfico UDP y TCP 94Mbs tráfico a través de
RB711 en una dirección usando una cadena.
Enlace más largo del mundo sin usar amplificador
El enlace más largo sin amplificar Wi-Fi es un enlace de 304 kilometros alcanzado por CISAR (Centro
Italiano de Actividades de radio).
•
•
•
•
•
•
•
2007-06-16, Monte Amiata (Toscana) a Monte Limbara (Cerdeña)
Frecuencia: 5765 MHz
IEEE 802.11a (Wi-Fi), ancho de canal 5 MHz
Radio: Ubiquiti Networks XR5
Los routers inalámbricos: MikroTik RouterOS con RouterBOARD, optimizado con Nstreme
Longitud: 304 kilómetros (189 millas).
Antena de 120 cm. 35 dBi estimado
Herramientas de monitoreo
Hay varias herramientas que le ayudarán en el análisis de lo que está en el aire para que pueda elegir la
frecuencia con la menor interferencia.
Wireless scan
Esta es una herramienta muy útil, ya que nos muestra de manera simple las redes inalámbricas vecinas:
•
•
•
Frecuencia usada, Banda, SSID, Señal y otros.
Iniciamos Scan dándole clic en start.
Esta herramienta detecta, conexiones inalámbricas vecinas, las conexiones clientes son
descartadas.
Snooper
El uso del Snooper fue diseñado para ser una herramienta eficiente que le ayudará a supervisar con un
detalle mejorado los router vecinos. Proporciona un detallado mejorado de los router vecinos
59
Academy Xperts
Registration table
Muestra inmediatamente todos los clientes que lograron registrar a nuestra red inalámbrica:
•
•
•
•
Nos entrega información de los clientes conectados en modo Station.
Usado en puntos de accesos (AP).
Podemos ver el estado de conexiones realizadas.
NOTA: Los comentarios que aparecen por encima de las estaciones son para dar mayor
información de su función y son definidas por el usuario o administrador, por lo general se basan en
información del “access-list”.
Redes inalámbricas en Modo Bridge
•
•
•
•
Station-bridge : RouterOS AP acepta a los routers Mikrotik en modo station-bridge para que trabaje
en Capa 2 de manera segura.
Se puede utilizar para ampliar una subred inalámbrica a muchos clientes.
Este modo es MikroTik propietario y no se puede utilizar para conectar otros dispositivos de marca.
Cabe recalcar que este modo es un método seguro para usar bridge de L2 y se deberá utilizarse
siempre que existan razones suficientes para no utilizar el modo de estación-WDS
Ejercicio en Clases
Con toda la explicación realizada, ya se encuentra en capacidad de conectarse a una red inalámbrica.
Trabajar en parejas, un estudiante en modo AP y el otro en modo STATION, con las configuraciones
realizas en el diagrama, y realice las siguientes pruebas, (el valor de “x” será definían por el instructor):
•
•
•
Búsqueda de la red del AP mediante herramientas, SCAN y SNOOPER.
Conectividad entre el AP y STATION, use la herramienta PING.
Prueba de filtrado por MAC
60
Academy Xperts
Módulo 5 - Network Management
ARP (Address Resolution Protocol)
Es un protocolo de la capa de enlace de datos responsable de encontrar la dirección hardware (Ethernet
MAC) que corresponde a una determinada dirección IP. Para ellos se envía un paquete (ARP request) a la
dirección de difusión de la red (broadcast (MAC = FF FF FF FF FF FF)) que contiene la dirección IP por la
que se pregunta, y se espera a que esa máquina (u otra) responda (ARP reply) con la dirección Ethernet
que le corresponde.
Cada máquina mantiene una cache con las direcciones traducidas para reducir el retardo y la carga. ARP
permite a la dirección de internet ser independiente de la dirección Ethernet, pero esto solo funciona si todas
las maquinas lo soportan.
•
•
•
Conocido como “Protocolo de resolución de direcciones”
Mecanismo que une las direcciones IP de Capa 3, con las direcciones MAC de (Capa 2)
Se utiliza normalmente como un proceso dinámico, pero se puede configurar de forma estática en
ciertas situaciones donde la seguridad lo requiere
ARP se utiliza en 4 casos referentes a la comunicación entre 2 hosts:
1. Cuando 2 hosts están en la misma red y uno quiero enviar un paquete a otro.
2. Cuando 2 host están sobre redes diferentes y deben usar un Gateway/router para alcanzar otro
host.
3. Cuando un router necesita enviar un paquete a un host a través de otro router.
4. Cuando un router necesita enviar un paquete a un host de la misma red.
Modos ARP
Es posible configurar varios modos de ARP en la configuración de la interfaz
1. Deshabilitado (disabled). Si la características de ARP esta desactivada en la interfaz, es decir, se
utiliza “arp=disabled”, los ARP requests de los clientes no serán respondidas por el router. Por lo
tanto, una entrada estática de ARP debe ser agregada a los clientes también. Por ejemplo, las
direcciones IP y MAC del router, debe añadirse a las a los host de nuestro Workstations usando el
comando.
2. Habilitado (enabled). Este modo se activa de forma predeterminada en todas las interfaces. ARP
se descubrirá automáticamente y nuevas entradas dinámicas se añadirá a la tabla ARP.
3. Proxy ARP. Un router con una configuración adecuada con características ARP proxy actual igual
que un ARP proxy transparente entre redes directamente conectadas. Este funcionamiento puede
61
Academy Xperts
ser muy útil, por ejemplo, si desea asignar direcciones IP a un dial-in (PPP, PPPoE, PPTP) y que
sean desde el mismo espacio de direcciones tal como se utiliza para conectarnos a una LAN.
4. Reply Only. Si la propiedad ARP se estable como reply-Only en la interfaz, entonces el router solo
responderá a solicitudes ARP (ARP requests). Las direcciones MAC de los vecinos serán resueltas
usando el comando: /ip arp statically pero no habrá ninguna necesidad de agregar las direcciones
MAC de los routers a las tablas ARP de los otros hosts como en el caso de que si ARP estuviera
deshabilitado. Una tabla ARP muestra todas las entradas ARP y las interfaces desde la cual se
aprendió la dirección
Ventajas de usar ARP
La principal ventaja del uso de la técnica ARP Proxy es que se puede agregar a un solo enrutador en la red,
esto permite que no se distorsione las tablas de encaminamiento de los otros enrutadores de la red. Es
recomendable que el ARP Proxy sea utilizado en redes donde los hosts IP no se encuentran configurados
con ninguna puerta de enlace predeterminada.
Desventajas de usar ARP
Los anfitriones no tienen ni idea de los detalles físicos de la red y suponen que es una red plana la cual llega
a cualquier destino con tan solo hacer una solicitud ARP. Pero como todo le ARP tiene su desventaja las
cuales son:
•
•
•
•
Aumenta la cantidad de trafico ARP en su segmento
Posee grandes tablas ARP para manejar la asignación de direcciones IP a MAC
La seguridad puede ser expuesta. Un host puede simular ser otro host con el fin de interceptar los
paquetes, eso es llamado “spoofing”
No funciona para redes que no utilicen el protocolo ARP para la resolución de direcciones.
Tabla de ARP
•
•
•
La tabla ARP muestra todas las entradas ARP y las interfaces desde la cual ellos lo aprendieron.
La tabla ARP provee:
o La dirección IP de los dispositivos conocidos
o Las direcciones MAC asociadas a los dispositivos conocidos
o Las interfaces de donde fueron aprendidas las direcciones
Tu puedes agregar entradas estática en la tabla ARP para mayor seguridad en la RED
o Se pueden evitar ataques de ARP poisoning / ARP spoofing
o Requiere mucho trabajo y planificación
62
Academy Xperts
Sintaxis ARP
1. Ver la tabla ARP
[admin@Mikrotik] > /ip arp print
Flags: X – disabled, I – invalid, H – DHCP, D – Dynamic, P – published
# ADDRESS
MAC-ADDRESS
INTERFACE
0 172.16.2.222
11:22:33:44:55:66 LAN
Etiquetas en la tabla ARP: X = Deshabilitado, R = Corriendo, S = Esclavo
2. Agregar una entrada estática
[admin@Mikrotik] > /ip arp add address=172.16.2.222 mac-\
address=11:22:33:44:55:66 interface=LAN
3. Configuración de un modo ARP:
[admin@Mikrotik] > /interface ethernet set ether4 arp=proxy-arp
[admin@Mikrotik] > /interface ethernet print
Flags: X – disabled. R – running, S – Slave
#
NAME
MTU MAC-ADDRESS
ARP
MASTER-PORT
0 S ether1
1500 D4:CA:6D:5C:E2:F2 enabled
1 RS ether2
1500 D4:CA:6D:5C:E2:F3 enabled
none
2 RS ether3
1500 D4:CA:6D:5C:E2:F4 enabled
none
3 RS ether4
1500 D4:CA:6D:5C:E2:F5 proxy-arp none
4 S ether5
1500 D4:CA:6D:5C:E2:F6 enabled
none
SWITCH
switch1
switch1
switch1
switch1
Servidor / Cliente DHCP
El DHCP (Protocolo de configuración dinámica de host) se utiliza para la fácil distribución de direcciones IP
en una red. El RouterOS Mikrotik incluye ambas partes Servidor / Cliente.
El router soporta un servidor DHCP individual por cada interfaz Ethernet. El servidor Mikrotik cumple con las
funciones principales que es la de brindar a un cliente asignaciones de una dirección IP con su respectiva
mascara IP, como también dirección de la puerta de enlace y la del servidor DNS.
La interfaz que aloja el servidor DHCP debe tener su propia dirección IP y que a la vez no debe estar
incluida en el pool de direcciones que los clientes van a recibir cuando lo soliciten.
El proceso para de asignaciones de una dirección IP para un cliente es el siguiente:
1.
2.
3.
4.
El cliente DHCP envía un Broadcast “DHCPDISCOVER”
El servidor DHCP envía un Broadcast “DHCPOFFER”
El cliente DHCP enviar un Broadcast “DHCPREQUEST”
El servidor enviar un Broadcast “DHCPACK”
63
Academy Xperts
Cliente DHCP S erver
DHCP DISCOVER
DHCP OFFER
DHCP REQUEST
DHCP ACK
ARP Gratuitous
DHCP Server Setup
La interfaz que va ser configurada como DHCP- Server debe tener su propia dirección y al mismo tiempo
esa dirección no debe ser incluida en el pool de dirección. Un pool es un rango de direcciones que estarán
disponibles para los clientes
En la ventana de DHCP-Server, simplemente cliqueamos en el botón “DHCP Setup” y luego solo seguimos
con los requisitos que nos pidan, tales como:
1. Interfaz a la que va ser asignado el servidor DHCP
2. Dirección de red:
3. Puerta de enlace:
64
Academy Xperts
4. Pool de direcciones para los clientes DHCP
5. DNS servers (Más de uno se pueden configurar)
6. Tiempo de asignaciones
7. Luego de a ver definido el tiempo de asignaciones presionamos siguiente y con ellos habremos
terminado el proceso. En la ventana podremos ver el DHCP server Creado.
65
Academy Xperts
En esta configuración automática (ejecutando el DHCP Setup) se generan los siguientes parámetros:
•
•
•
Se crea un pool de direcciones: un grupo de direcciones para asignar a los clientes
Se crea el servidor DHCP: su nombre y parámetros (como la interfaz que aceptara solicitudes de los
clientes)
Se crea el espacio de direcciones: la dirección IP de red y varios parámetros
DHCP puede ser usado para configurar opciones tales como:
•
•
•
42: NTP Servers
70: POP3-Servers
http://www.iana.org/assignments/bootp-dhcp-parameters/bootp-dhcp-parameters.xhtml
Nota importante: si usted tiene un ambiente en bridge, el servidor DHCP debe estar configurado en la
interfaz de bridge. Si se establece en un puerto en bridge, el servidor DHCP no funcionara.
Configuraciones por línea de comando
Configuración de un ambiente DHCP
[admin@Mikrotik] > /ip dhcp-server setup
Select interface to run DHCP server on
Dhcp server interface: ether4
Select network for DHCP address
Dhcp address space: 192.168.20.0/24
Select gateway for given network
Gateway for dhcp network: 192.168.20.1
Select pool of ip addresses given out by DHCP server
Addresses to give out: 192.168.20.2-192.168.20.254
Select DNS servers
Dns server: 8.8.8.8
Select lease time
Lease time: 3d
[admin@Mikrotik]
Para agregar configuraciones opcionales de DHCP
[admin@Mikrotik] > /ip dhcp-server Option add name=46-node-type code=46\
value=0x0008
Para ver por línea de comandos los Servidores DHCP que hay en un router
[admin@Mikrotik] > /ip dhcp-server print
Flags: X – disabled, I – invalid
#
NAME
INTERFACE
RALAY
ADDRESS-POOL
LEASE-TIME ADD-ARP
0
dhcp1
ether3
0.0.0.1
dhcp_pool2
3d
1
dhcp2
ether4
dhcp_pool3
3d
[admin@Mikrotik] > /ip dhcp-server network set dhcp-option=46-node-type\
numbers=1
Para asignar un servidor WINS para la red se haría de la siguiente manera
[admin@Mikrotik] > /ip dhcp-server network set wins-server=172.16.2.100
numbers=1
Para ver las opciones anteriormente configuradas
[admin@Mikrotik] > /ip dhcp-server network print
# ADDRESS
GATEWAY
DNS-SERVER
WIN-SERVER
DOMAIN
0
192.168.10.0/24 192.168.10.1 8.8.8.8
8.8.4.4
1
192.168.20.0/24 192.168.20.1 8.8.8.8
172.16.2.100
[admin@Mikrotik] > /ip dhcp-server option print
#
NAME
CODE VALUE
RAW-VALUE
0
46-node-type
46
0x008
008
DHCP Client
Permitir que una interfaz Ethernet pueda solicitar una dirección IP
•
Un DHCP server remoto nos suministrara
66
Academy Xperts
•
o Dirección IP
o Mascara
o Gateway
o Direcciones de DNS server
El DHCP client nos suministrara estas opciones
o Hostname
o ID de cliente (en este caso, la dirección MAC)
Para configurar un DHCP client en un interfaz por línea de comando
[admin@Mikrotik] > /ip dhcp-client add interface=ether2 dhcp-\
options=clientid, hostname
Para configurar un DHCP client en un interfaz por medio de la venta DHCP Client
Sintaxis DHCP Client
Para configurar una interfaz como DHCP-Client
/ip dhcp-client add interface=ether5 dhcp-options=clientid,hostname
Para ver y activar un DHCP client
/ip dhcp-client print
/ip dhcp-client enable numbers=1
Para ver las direcciones IP asignadas
/ip address print
Gestión de Asignaciones
El comando /ip dhcp-server lease provee información acerca de los DHCP Client y asignaciones.
[admin@Mikrotik] > /ip dhcp-server lease print
Flags: X – disabled, R – Radius, D – Dynamic, B – blocked
#
ADDRESS
MAC-ADDRESS
HO SER.. RA
0 D 192.168.3.254
78:84:3C:9E:BE:4ª Da dhcp1
•
•
•
•
Nos mostrará las gestiones estáticas y dinámicas
Se puede convertir una IP asignada dinámicamente en estática
o Puede ser muy útil para cuando un dispositivo necesita mantener la misma dirección IP
o ¡Ten cuidado! Se cambia la tarjeta de red, se pondrá una nueva dirección
Un servidor DHCP podría ser obligado a correr únicamente con direcciones estáticas
Los clientes solo recibirán las direcciones IP pre configurados
o Evalúe su situación y la necesidad de hacer esto. Requerirá mucho trabajo para grandes
redes.
Para ver asignaciones de DHCP
67
Academy Xperts
[admin@Mikrotik] > /ip dhcp-server lease print
Flags: X – disabled, R – Radius, D – Dynamic, B – blocked
0 address=192.168.3.254 mac-address=78:84:3C:9E:BE:4A
client-id=”1:78:84:3C:9e:4A” server=dhcp1 dhcp-option”” status=bound
expires-after=2d23h59m38s last-seen=22s active-address=192.168.3.254
active-mac-address=78:84:3C:9E:BE:4ª
active-client-id=”1:78:84:3C:9e:4A” active-server=dhcp1
hostname=”Darwin”
[admin@Mikrotik] > |
Herramientas de RouterOS
E-mail
Es una herramienta que te permite enviar un mail desde el router. Puede ser usado, junto con otras
herramientas, para enviar copias de seguridad de configuración regulares.
Por medio de línea de comando lo podemos ver como:
[admin@Mikrotik] > /tool e-mail print
Address: 0.0.0.0
Port: 25
Start-tls: no
From: <>
User:
Password:
Configurar un SMTP Server:
[admin@Mikrotik] /tool e-mail> set address=172.31.2.1 from=mymail@gmail.com\
Last-status=succeeded password=never123!\
Port=587 start-tls=yes user=my@gmail.com
Para verificar que la configuración previa por medio del comando print
[admin@Mikrotik] > /tool e-mail print
Address: 172.31.2.1
Port: 587
Start-tls: yes
From: mymail@gmail.com
User: my@gmail.com
Password: never123!
Para enviar un archivo via E-mail, antes exportar un archivo con el nombre “export”
[admin@Mikrotik] > /tool e-mail
[admin@Mikrotik] /tool e-mail > send to=home@gmail.com subject=”$[/system\
identity get name] export”\\
body=”$[/system clock get date]\
configuration file” file=export.rsc
Netwatch
Netwatch monitorea el estado de los host de la red. Lo hace mediante él envió de pings a la lista de
direcciones IP especificadas.
La principal ventaja de Netwatch es su capacidad arbitraria sobre los cambios del estado anfitrión.
Para cada entrada se puede especificar
•
•
•
Dirección IP
Intervalo del Ping
Scripts Up / Down
Es muy útil para:
•
•
•
•
Ser conscientes de los fallos de red
Automatizar un cambio de puerta de enlace predeterminada, por ejemplo, si el router principal falla.
Solo para tener una vista rápida de lo que está pasando
Cualquier otra cosa que usted puede llegar a simplificar y acelerar es su trabajo
68
Academy Xperts
Ping
•
•
•
Herramienta de conectividad básica que utiliza mensajes de ICMP Echo para determinar la
accesibilidad a un host remoto y el retardo de ida y vuelta.
Es una de las primeras herramientas para hacer resolución de problemas, si el ping funciona, el
host funciona correctamente (desde el punto de vista de la Red)
Se puede usar con otras herramientas de resolución de problemas. El ping no es la última
herramienta, pero es un buen comienzo
Como usar un Ping
En la ventana de Terminal del winbox, lo podemos usar para realizar algún ping
[admin@Mikrotik] > ping www.mikrotik.com
HOST
SIZE TTL TIME STATUS
159.148.147.196
56 50
163ms
159.148.147.196
56 50
156ms
159.148.147.196
56 50
156ms
159.148.147.196
56 50
160ms
Sent=4 received=4 packet-loss=0% min-rtt=156ms avg-rtt=158ms
Traceroute
• Se utiliza para mostrar en camino que paso un ping para llegar a su destino
• Indica la demora para llegar a cada router en el camino para llegar a su destino
• Bueno para localizar algún fallo.
• Al igual que el ping en la misma ventana podemos probar con el comando
[admin@Mikrotik] > /tool traceroute www.mikrotik.com
# ADDRESS
LOSS SENT
LAST
AVG BEST WORST
STD-DEV
100%
3
timeout
216.113.124.190
0%
3
13.9ms 12.2 11.1 13.9
1.2
STATUS
Profiler (Carga del CPU)
http://wiki.mikrotik.com/wiki/Manual:Tools/Profiler
• Herramienta que muestra la carga del CPU
• Muestra los procesos activos del CPU
• Nota: “idle” no es un proceso. Significa exactamente eso; ese porcentaje de la CPU no se utiliza
• Podemos ver el proceso por medio de la ventana de Terminal:
[admin@Mikrotik] > /tool profile
NAME
CPU
USAGE
Wireless
all
8%
Ethernet
all
1%
Console
all
0.5%
Winbox
all
0%
Logging
all
0%
Management
all
1%
Idle
all
89.5%
Profiling
all
0%
telnet
all
0%
unclassified all
0%
69
Academy Xperts
System identity
A pesar de que no es una herramienta, es importante para establecer la identidad del sistema
o No se puede establecer a 100 router y que todos tengan el mismo nombre “Mikrotik”. Esto
hace casi imposible la resolución de problemas.
o Una vez establecido, se hará la identificación del router con el cual se está trabajando y
hará mucho más simple la identificación
• Sintaxis
[admin@Mikrotik] > /system identity print
Name: Mikrotik
[admin@Mikrotik] > /system identity set name=my-router
[admin@Mikrotik] > /system identity print
Name: my-router
•
IP Neighbors
Este sub-menú enumera todos los vecinos descubiertos en capa 2 dominios de difusión. Muestra la interfaz
del vecino a la que estemos conectados, muestra su ip, dirección mac y varios parámetros relacionados con
Mikrotik. Las listas son solo de lectura.
Como por ejemplo, se pueden ver varios RouterBoard y dos routers de cisco.
[admin@Mikrotik] /ip Neighbor > print
# INTERFACE ADDRESS
MAC-ADDRESS
IDENTITY
VERSION
0 ether13
192.168.33.2 00:0C:42:00:38:9F Mikrotik
5.99
1 ether11
1.1.1.4
00:0C:42:40:94:25 test-host 5.8
2 local
10.0.11.203
00:02:B9:3E:AD:E0 c2611-r1
cisco
3 local
10.1.11.47
00:0C:42:84:25:BA 11.47-750 5.7
4 local
10.0.11.254
00:0C:42:70:04:83 tsys-sw1
5.8
5 local
10.0.11.202
00:17:5A:90:66:08 c7200
Cisco
BOARD
RB1100AHx
RB1000
I...
RB750
RB750G
I...
Ponerse en contacto con Soporte Mikrotik
Supout.rif
•
•
•
El archivo de ayuda se utiliza para depurar RouterOS MikroTik y para resolver las preguntas de
soporte más rápido. Toda la información Mikrotik Router se guarda en un archivo binario, que se
almacena en el router y se puede descargar desde el router mediante ftp'
Puede ver el contenido de este archivo en su cuenta de Mikrotik, simplemente a la sección
Supout.rif y cargar el archivo.
Este archivo contiene la configuración de todos los routers, los registros y algunos otros detalles que
ayudarán al soporte Mikrotik para resolver su problema.
Sintaxis
Lo hacemos con el siguiente comando en “Terminal”
[admin@Mikrotik] > /system sup-output
Created: 14%
--[Q quit|D dump|C-z pause]
[admin@Mikrotik] > /system sup-output
Created: 100%
--[Q quit|D dump|C-z pause]
Una vez que se complete la carga al 100% podremos ver el archivo en la ventana de “Files”
70
Academy Xperts
Supout.rif Viewer
Para acceder al “Supout.rif Viewer” solo tienes que acceder a tu cuenta Mikrotik. Usted debe tener una
cuenta (es una buena idea tener una de todos modos)
El primer paso es localizar y cargar el archivo que ha generado
Autosupout.rif
•
•
Un archivo se puede generar de forma automática en caso de fallo de software (ex Kernel Panic o el
sistema deja de responder durante un minuto.)
Hecho a través del organismo de control (sistema)
71
Academy Xperts
Registros (logging) del sistema y registros de depuración
•
•
•
•
El Logging es importante para asegurar un historial (permanente o no) de los eventos del router.
Syslog corre sobre el puerto 514
La forma más fácil de ver los registros es a través de Menú en la ventana de "log"
La CLI equivalente es: /log print
Acciones
•
•
•
•
Tareas que el router emprenderá con ciertos eventos
Las reglas dicen que tipo de acción tomara el Router
Hay cinco tipos de acciones, que se realizar para tener un sistema de registro muy flexible
Sugerencias: Debe planificar y definir primero las acciones que se desean implementar antes de
configurarlas en el router.
Reglas
•
•
•
•
Los RouterOS configurado con alguna “acción" nos puede llevar a algún evento determinado (lo cual
es llamado un "topic")
Usted puede tener más de una regla para un mismo topic, cada regla es realizada con una "acción"
diferente.
Usted puede tener una regla con dos o más topic.
La adición de reglas es simple, elegir uno o varios topic, nombre la regla, elija una acción. (Por esta
razón, se sugiere crear acciones en primer lugar)
Sistema de Registro de logging (Sintaxis)
Ver las reglas
[admin@Mikrotik] > /system logging print
Flags: X – disabled, I – invalid, * - default
#
TOPICS
ACTION
PREFIX
0 * info
memory
1 * error
memory
2 * warning
memory
3 * critical
echo
Ver acciones
[admin@Mikrotik] > /system logging action print
Flags: * - default
#
NAME
TARGET REMOTE
0 * memory
memory
1 * disk
disk
2 * echo
echo
3 * remote
remote
Almacenar mensajes de firewall a un servidor syslog
[admin@Mikrotik] > /system logging action
[admin@Mikrotik] /system logging action > add bad-syslog=yes\
name=firewallJournal remote=172.16.1.105 src-address=10.5.5.5\
syslog-facility=local5 target=remote
Crear una regla para topic de firewall que utilizará la acción anterior
[admin@Mikrotik] > /system logging
72
Academy Xperts
[admin@Mikrotik] > add action=firewall
prefix=FW topics=firewall
¿Dónde se envían los registros?
Como se indica en "acciones", los registros se pueden encontrar en cinco lugares
•
•
•
•
•
Disco: Un disco duro en el router
Echo: La consola del router (si está presente)
Email: Una cuenta de correo electrónico predefinido
Memoria: La memoria interna del router (como se ve en la ventana de "log")
Remota: Un servidor syslog
Configuración legible
•
•
•
También conocido como "Dejar todo en claro"
La oscuridad es su peor enemigo. Guarde sus configuraciones clara y legible a través de
comentarios, los nombres y la uniformidad
o Comentarios: Dar una descripción simple del tema
o Nombres: hacerlas significativas
o Uniformidad: hacer las cosas de la misma manera en todas partes
¿Por qué debería hacer todo esto?
o Con el tiempo, esto simplificará su trabajo y lo hará más eficiente
Diagramas de Red
Un esquema bien elaborado es un deber… incluso si es nuevo en esto, siempre se tiene que tener
presentes que nuestra red puede crecer, por tal motivo es importante saber:
•
•
•
Identificar todos los componentes clave
Mantener el diagrama actualizado.
Es una herramienta importante de solución de problemas.
Los diagramas son muy útiles para identificar potenciales puntos problemáticos
Utilizando las herramientas vistas en este módulo (ping, traceroute), se debe antotar las siferentes
situaciones, por ejemplo:
•
•
•
Se deben anotar todos los puertos, incluso los que no están siendo ocupados
Identificar claramente los dispositivos
Es importante anotar el Núkero de Revisión de cada documento
73
Academy Xperts
74
Academy Xperts
Módulo 6 - Firewall
Conceptos básicos de Firewall
•
•
•
•
•
•
•
•
•
•
•
Un Firewall es un servicio en el cual nos permite bloquear o permitir paquetes que viajan a través
del mismo, usando reglas definidas por el usuario.
La principal función de un Firewall es actuar como una barrera entre 2 redes.
Un ejemplo común es la relación entre su red LAN (“Segura”) y la red (“Insegura”)
En la actualidad, un firewall es una herramienta indispensable para proteger nuestra conexión a
Internet. El hecho de hacer uso de una conexión a Internet puede ser causa de múltiples ataques a
nuestro equipo de cómputo desde el exterior, cuanto más tiempo estemos en línea, mayor es la
probabilidad de que la seguridad de nuestro sistema se vea comprometida por un intruso
desconocido. Por lo tanto, ya no solamente es necesario tener instalado y actualizado un software
antivirus y un software antispyware sino también es totalmente recomendable mantener instalado y
actualizado un software de firewall.
Un firewall es un sistema diseñado para impedir el acceso no autorizado o el acceso desde una red
privada. Pueden implementarse firewalls en hardware, software o en ambos. Los firewalls se utilizan
con frecuencia para impedir que los usuarios de Internet no autorizados tengan acceso a redes
privadas conectadas a Internet.
El firewall Mikrotik protege al equipo frente a ataques de Internet, contenidos Web peligrosos,
análisis de puertos y otros comportamientos de naturaleza sospechosa.
El Firewall implementa filtrado de paquetes y de este modo provee funciones de seguridad, que son
usadas para administrar los datos que fluyen hacia, desde, y a través del router:
Por medio del NAT (Network Address Translation) se previene el acceso no-autorizado a las redes
conectadas directamente y al router en sí mismo. Y también sirve como un filtro para el tráfico de
salida.
RouterOS funciona como un Stateful Firewall, lo cual significa que desarrolla una inspección del
estado de los paquetes, y realiza el seguimiento del estado de las conexiones de red que viajan a
través del router RouterOS también soporta:
Source y Destination NAT
o NAT
o Helpers para las aplicaciones populares
o UPnP
El firewall provee marcado interno de conexiones, Routing y paquetes.
¿Cómo funciona un firewall?
El Firewall opera usando reglas. Esta tiene 2 opciones:
•
The matcher : Todas las condiciones tienes que ser verificadas y deben coincidir, para poder
aplicar.
75
Academy Xperts
•
The Action : Una vez que todos los parámetros coinciden y pasa la primera verificación, se procede
con la acción.
El matcher analiza y compara estos siguientes parámetros:
•
•
•
•
•
•
•
•
Source MAC address
IP addresses (network or list) and address types (broadcast, local, multicast, unicast)
Port or port range
Protocol
Protocol options (ICMP type and code fields, TCP flags, IP options)
Interface the packet arrives from or leaves through
DSCP byte
Y muchos mas…
RouterOS puede filtrar por:
•
•
•
•
Dirección IP, rango de direcciones, puerto, rango de puertos
Protocolo IP, DSCP y otros parámetros
Soporta Listas de Direcciones estáticas y Dinámicas
Puede hacer match de paquetes por patrón en su contenido, especificado en Expresiones
Regulares, conocido como Layer 7 matching
El Firewall de RouterOS también soporta IPv6
Un firewall constituye una especie de barrera delante de nuestro equipo, esta barrera examina todos y cada
uno de los paquetes de información que tratan de atravesarlo. En función de reglas previamente
establecidas, el firewall decide qué paquetes deben pasar y cuáles deben ser bloqueados. Muchos tipos de
firewalls son capaces de filtrar el tráfico de datos que intenta salir de nuestra red al exterior, evitando así que
los diferentes tipos de código malicioso como caballos de Troya, virus y gusanos, entre otros, sean
efectivos. El firewall actúa de intermediario entre nuestro equipo (o nuestra red local) e Internet, filtrando el
tráfico que pasa por él.
Un firewall, como ya se ha descrito, intercepta todos y cada uno de los paquetes destinados a nuestro
equipo y los procedentes de él, realizando este trabajo antes de que algún otro servicio los pueda recibir. De
lo anterior podemos concluir que un firewall puede controlar todas las comunicaciones de un sistema a
través de Internet.
Se dice que un puerto de comunicaciones está abierto si el sistema devuelve una respuesta al llegar un
paquete de petición de establecimiento de conexión. En caso contrario el puerto se considera cerrado y
nadie puede conectarse a él. El punto fuerte de un firewall reside en que al analizar cada paquete que fluye
a través del mismo, puede decidir si lo deja pasar en uno u otro sentido, y puede decidir si las peticiones de
conexión a determinados puertos deben responderse o no.
Los firewalls también se caracterizan por su capacidad para mantener un registro detallado de todo el tráfico
e intentos de conexión que se producen (lo que se conoce como un log). Estudiando los registros o logs es
posible determinar los orígenes de posibles ataques y descubrir patrones de comunicación que identifican
76
Academy Xperts
ciertos programas maliciosos. Sólo los usuarios con privilegios administrativos pueden acceder a estos
registros, pero es una característica que se le puede exigir a estas aplicaciones.
http://wiki.mikrotik.com/wiki/Firewall
Flujo de Paquetes
Todas las comunicaciones de Internet se realizan mediante el intercambio o flujo de paquetes o datos, que
son la unidad mínima de datos transmitida por la red. Para que cada paquete pueda llegar a su destino,
independientemente de donde se encuentren las máquinas que se comunican, debe llevar anexada la
información referente a la dirección IP de cada máquina en comunicación, así como el puerto a través del
que se comunican. La dirección IP de un dispositivo lo identifica de manera única dentro de una red. Los
puertos de comunicación también son una parte muy importante de la que el Firewall deberá verificar y
controlar también, debido a que la mayoría de comunicaciones se realizan bajo protocolos los cuales
realizan el envió de paquetes mediante puertos tales como:
TCP es el protocolo de comunicación que garantiza que los datos serán entregados en su destino sin
errores y en el mismo orden en que se transmitieron.
TCP usa el concepto de número de puerto para identificar a las aplicaciones emisoras y receptoras. Cada
lado de la conexión TCP tiene asociado un número de puerto (de 16 bits sin signo, con lo que existen 65536
puertos posibles) asignado por la aplicación emisora o receptora. Los puertos son clasificados en tres
categorías: bien conocidos, registrados y dinámicos/privados. Los puertos bien conocidos son asignados
por la Internet Assigned Numbers Authority (IANA), van del 0 al 1023 y son usados normalmente por el
sistema o por procesos con privilegios. Las aplicaciones que usan este tipo de puertos son ejecutadas como
servidores y se quedan a la escucha de conexiones. Algunos ejemplos son: FTP (21), SSH (22), Telnet (23),
SMTP (25) y HTTP (80). Los puertos registrados son normalmente empleados por las aplicaciones de
usuario de forma temporal cuando conectan con los servidores, pero también pueden representar servicios
que hayan sido registrados por un tercero (rango de puertos registrados: 1024 al 49151). Los puertos
dinámicos/privados también pueden ser usados por las aplicaciones de usuario, pero este caso es menos
común. Los puertos dinámicos/privados no tienen significado fuera de la conexión TCP en la que fueron
usados (rango de puertos dinámicos/privados: 49152 al 65535, recordemos que el rango total de 2 elevado
a la potencia 16, cubre 65536 números, del 0 al 65535)
User Datagram Protocol (UDP) es un protocolo del nivel de transporte basado en el intercambio de
datagramas (Encapsulado de capa 4 Modelo OSI), este protocolo no garantiza que los datos serán
entregados en su destino sin errores y en el mismo orden en que se transmitieron.
UDP utiliza puertos para permitir la comunicación entre aplicaciones. El campo de puerto tiene una longitud
de 16 bits, por lo que el rango de valores válidos va de 0 a 65.535. El puerto 0 está reservado, pero es un
valor permitido como puerto origen si el proceso emisor no espera recibir mensajes como respuesta.
•
•
•
Los puertos 1 a 1023 se llaman puertos "bien conocidos" y en sistemas operativos tipo Unix enlazar
con uno de estos puertos requiere acceso como súper usuario.
Los puertos 1024 a 49.151 son puertos registrados.
Los puertos 49.152 a 65.535 son puertos efímeros y son utilizados como puertos temporales, sobre
todo por los clientes al comunicarse con los servidores.
http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers
Para facilitarnos el entendimiento
•
•
•
Mikrotik ha creado diagramas para ayudarnos a la configuración avanzada en el flujo de paquetes.
Es bueno estar familiarizado con ellos para saber qué está pasando con los paquetes y en qué
orden irán.
Para este curso, se analizara superficialmente y de manera simple los gráficos.
http://wiki.mikrotik.com/wiki/Packet_Flow
77
Academy Xperts
Ejemplo de flujo de paquetes
•
•
Usted que piensa, Complicado? Bueno bienvenido al club!
El siguiente ejemplo ayudara a ilustrar mejor el flujo de paquetes: Realice un Ping hacia (nodo no
existente) sobre la interfaz de su router LAN a través de su WAN interface
o IP no asignada a ningún equipo : 172.16.x.x
o IP asignada a un cliente : 192.168.x.x
o IP asignada para WAN (ether1 o wlan1) : 172.16.x.x
Configuración previa al análisis de flujo de paquetes
/ip firewall filter
add action=log chain=input log-prefix=Filter-input protocol=icmp
add action=log chain=output log-prefix=Filter-output protocol=icmp
add action=log chain=forward log-prefix=Filter-forward protocol=icmp
/ip
add
add
add
add
add
firewall mangle
action=log chain=prerouting log-prefix=Mangle-prerouting protocol=icmp
action=log chain=output log-prefix=Mangle-output protocol=icmp
action=log chain=input log-prefix=Mangle-input protocol=icmp
action=log chain=forward log-prefix=Mangle-forward protocol=icmp
action=log chain=postrouting log-prefix=Mangle-postrouting protocol=icmp
/ip firewall nat
add action=log chain=srcnat log-prefix=srcnat protocol=icmp
add action=log chain=dstnat log-prefix=dstnat protocol=icmp
Ejecutar el PING
Realizamos la ejecución del ping hacia las redes definidas al comienzo de la practica en clases:
•
Ejemplo: ping 192.168.3.2
De ahí procedemos con la revisión de los LOGs para verificar que información podemos obtener.
Ping entrante.
===PREROUTING===
Mangle-prerouting prerouting: in:ether1 out:(none), src-mac d4:ca:6d:33:b5:ef,
proto ICMP (type 8, code 0), 172.16.2.100->192.168.3.2, len 60
dstnat dstnat: in:ether1 out:(none), src-mac d4:ca:6d:33:b5:ef, proto ICMP (type
8, code 0), 172.16.2.100->192.168.3.2, len 60
===FORWARD===
Mangle-forward forward: in:ether1 out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef,
proto ICMP (type 8, code 0), 172.16.2.100->192.168.3.2, len 60
Filter-forward forward: in:ether1 out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef,
proto ICMP (type 8, code 0), 172.16.2.100->192.168.3.2, len 60
===POSTROUTING===
78
Academy Xperts
Mangle-postrouting postrouting: in:(none) out:Bridge-PC, src-mac
d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0), 172.16.2.100->192.168.3.2, len
60
srcnat srcnat: in:(none) out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP
(type 8, code 0), 172.16.2.100->192.168.3.2, len 60
Reply
===OUTPUT===
Mangle-output output: in:(none) out:ether1, proto ICMP (type 3, code 1),
192.168.0.3->172.16.2.100, len 88
Filter-output output: in:(none) out:ether1, proto ICMP (type 3, code 1),
192.168.0.3->172.16.2.100, len 88
===POSTROUTING===
Mangle-postrouting postrouting: in:(none) out:ether1, proto ICMP (type 3, code
1), 192.168.0.3->172.16.2.100, len 88
Connection Tracking y sus Estados
•
•
Connection tracking administra la información de las conexiones activas.
Antes de crear filtros o reglas en el firewall, es bueno conocer qué tipo de tráfico está pasando a
través del router. Connection tracking mostrara información como está a continuación.
•
El uso de conection-traking permite el seguimiento de las conexiones UDP, aunque UDP sea
stateless. Como tal, el firewall de Mikrotik puede filtrar sobre los “estados” UDP. Y también si
tenemos deshabilitada esta opción no podremos usar las funciones de firewall, Nat, Mangle.
Más información: http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Connection_tracking
•
Recuerde:
En caso de que se deshabilite el conection-traking por cualquier motivo, las siguientes funciones dejaran de
funcionar:
•
•
NAT
Firewall
o connection-bytes
o connection-type
o connection-limit
o layer7-protocol
connection-mark
connection-state
connection-rate
p2p
79
Academy Xperts
•
o new-connection-mark tarpit
p2p matching en cola simple
Entonces podemos definir que sin el conection tracking el servidor de seguridad sólo utilizará criterios
básicos, tales como (pero no limitados a):
•
•
•
Direcciones de origen y de destino
Protocolos
Los puertos de origen y de destino
o Dentro y fuera de las interfaces
TCP-States
Los TCP-States son (asumiendo que hay una conexión desde un punto A hacia B):
•
•
•
•
•
Established: Se establece una sesión TCP con el host remoto, proporcionando una conexión abierta
donde se pueden intercambiar datos
Time-wait: Tiempo de espera para asegurar que el host remoto ha recibido un acuse de recibo
(ACK) de su solicitud de finalización de conexión (después se "cierra")
Close: Representa a la espera de una solicitud de finalización de conexión del host remoto.
Syn-sent: Cuando un Client-A se encuentra en espera para un matching connection request,
después de haber enviado la solicitud.
Syn-received: Cuando un Client-B se encuentra en la espera de una confirmación de un connection
request acknowledgement cuando ambos puntos ya recibieron un connection request.
Estados de las Conexiones (connection-state)
Primer paquete será "nuevo“en las conexión, el resto de paquetes se puede aceptar como establecido si no
se alcanza el valor UDP-timeout.
•
•
New – es el primer paquete UDP, TCP que pasa en la sincronización de paquetes.
o Es el primer paquete que puede establecer una entrada en el conection tracking.
o Es el primer paquete en sincronizar en TCP.
o Es el primer paquete UDP.
Established – Cuando pasa el resto de paquetes UDP o TCP
o Los paquetes de conexiones ya conocidos
80
Academy Xperts
o
•
•
El resto de la comunicación UDP, si la tasa de paquetes puede mantenerse antes de un
UDP timeout
Related – Cuando se crea una conexión basada en una ya existente.
o Conexión que se crea por otra conexión ya establecida.
o Por ejemplo: la conexión de datos de la TFP que son creados por primera instancia por una
conexión FTP.
o Es esencial para una conexión relacionada primero ser establecida.
Invalid – paquete TCP inválido o no relacionado con el conection-traking.
o Cualquier paquete con estado desconocido
o Es buena idea dejarlos o realizarle un DROP.
Estructura: chains y acciones
•
•
•
•
•
Un chain: es una agrupación de reglas basado en los mismos criterios. Hay tres cadenas
predeterminadas en función de criterios predefinidos.
o input: El tráfico que va al router
o forward: El tráfico que va a través del router
o output: El tráfico procedente del router
Por ejemplo, se puede implementar un chain pasado en:
o Basado en el criterio: todo el tráfico del icmp.
o Basado en tráficos provenientes de puertos Ethernet, por ejemplo: Ether2 hacia una red
"LAN“remota o una red bridge.
Los usuarios definen los chains, y estos mismos son creados dependiendo de los parámetros que
se puedan comparar, y si desean pueden realizar un «jump» para una vez que el match ha sido
confirmado, se realizara un salto hacia otra regla en el firewall, esto se los define en «jump target»
Una acción dicta lo que va a realizar el filtro o regla cuando los paquetes aplican con todas las
condiciones para ser filtrado.
Los paquetes se comprueban secuencialmente contra de las reglas existentes en la cadena de
firewall actual hasta que se produce una coincidencia. (Cuando se tenga el # significara que
respetara un orden: primero uno si coinciden, se aplica la acción, y de ahí pasara a la siguiente si se
encuentra habilitada esa opción, en caso contrario hasta ahí llegara el análisis)
Filtrado Firewall en acción
•
•
•
•
Nosotros podemos aprovechar la seguridad de un firewall de diferentes maneras tales como:
Confiar en la seguridad de nuestra LAN, ya que lo proveniente de la WAN es lo inseguro.
Bloqueamos todos y permitimos únicamente en lo que estamos de acuerdo.
Permitiremos todo y bloquearemos únicamente lo que causa problemas.
Consejos Básicos y trucos
•
•
•
•
•
Antes de realizar cambios en el firewall ingresemos en “modo seguro”
Después de realizar configuraciones y cambios en las reglas firewall, se aconseja probar las
debilidades: una herramienta recomendada: ShieldsUP
Antes de comenzar se recomienda escribir en texto plano o en papel una descripción sencilla de las
políticas que se quiere aplicar.
o Una vez que las entiende y está de acuerdo con ellos, se procede con ingreso al router.
o Añadir las siguientes reglas progresivamente, una vez que esté satisfecho con las reglas
básicas ingresadas.
o Si se es nuevo en el área de seguridad, lo recomendable es que no ingrese reglas que
apunten en todas direcciones, suficiente con hacer lo básico, pero hay que hacerlo bien.
Es una buena idea poner fin a sus cadenas con las reglas "catch-all" y ver lo que se puede haber
perdido.
Usted necesitará dos reglas "catch-all", uno de "log" y uno de "drop" para todo tráfico sin
precedentes. Ambos deben basarse en los mismos parámetros comparados para que sea útil para
usted.
81
Academy Xperts
•
Una vez que vea lo que llega a las reglas "catch-all", puede agregar nuevas reglas basadas en el
comportamiento deseado por el firewall.
Filtrado por Parámetros
•
•
Antes de decidir en tomar una acción en el firewall, primero hay que identificarlo.
Nosotros tenemos muchos parámetros por el cual podemos comparar.
Filter actions
Una vez realizada el match con todos los parámetros de una regla, y coinciden, entonces se realizara una
acción. El firewall de MikroTik tiene las 10 siguientes acciones:
1. Accept: Acepte el paquete. El Paquete ya no pasaría a la siguiente regla de firewall.
2. Add-dst-to-address-list: dirección destino, después de hacer match el paquete pasa a la siguiente
regla.
3. Add-src-to-address-list: dirección origen. Después de hacer match el paquete pasa a la siguiente
regla.
4. Drop: el paquete es desechado. Después de hacer match el paquete pasa a la siguiente regla.
5. Jump: jump es definido por el usuario y sirve para saltar a una regla en específico, definido por el
jump-target. Después de hacer match el paquete pasa a la siguiente regla definida en jump-target.
6. Log: añade un mensaje en los logs con la siguiente información: in-interface, out-interface, srcmac, protocol, src-ip:port->dst-ip:port y length of the packet. Después de hacer match el
paquete pasa a la siguiente regla.
7. Passthrough: esta opción si está marcada, habilitara la opción de ignora resta regla y pasar a la
siguiente (muy útil para estadísticas de red).
8. Reject desecha los paquetes icmp y envía un mensaje definido por el usuario el paquete no pasa a
la siguiente regla.
9. Return pasa el control del filtro de nuevo, en donde se origino el filtro anterior. Después de hacer
match el paquete pasa a la siguiente regla (únicamente si la regla anterior no ocasiona que se
deseche el paquete y pare el match).
10. Tarpit captura y retiene los paquetes TCP (replicas con SYN/ACK para paquetes entrantes TCP
SYN). Después de hacer match el paquete pasa a la siguiente regla.
Protegiendo tu router (input)
•
•
El input Chain mira todo el tráfico entrante al router.
Al aplicar una regla input chain, controlara el ingreso de información al router, basado en
parámetros definidos por el usuario.
MikroTik da las siguientes sugerencias para el Input
Asumiendo que la interfaz ETH1 esta conectada a una WAN insegura.
•
•
•
•
•
•
Aceptar el trafico de icmp echo replies (si se desea tener replica de ping sobre internet, esto es útil
cuando manejamos servidores)
Desechar todo el trafico icmp echo requests (Cuando no deseamos que nos hagan ping otro
dispositivo. Con esto evitamos estar en la mira de ataques como smurf attack u otros!)
Aceptar todo el trafico entrante establecido y relacionado.
Desechar todo el trafico invalido.
Realizar un Log de todo el resto del trafico
Desechar todo el resto de trafico.
Protegiendo a todos los clientes (forward)
•
El trafico forward es el trafico que pasa a través del router.
82
Academy Xperts
MikroTik da las siguientes sugerencias para el Forward
Asumiendo que la interfaz ETH1 esta conectada a una WAN insegura.
•
•
•
•
Aceptar todo el trafico entrante establecido y relacionado.
Desechar todo el trafico invalido.
Hacer Log de todo el resto del trafico (para verificar si es que algún paquete importante ha sido
bloqueado)
Desechar todo el resto de trafico.
Address-list conceptos básicos
Address lists Sirve para agrupar un grupo de direcciones IP, Ayuda a simplificar la cantidad de reglas
creadas en el router.
•
¿Qué es mejor? Aplicar 10 reglas aplicadas a 10 IPs o aplicar 1 sola regla a un solo grupo de IPs.
Los grupos de Address-list pueden representar lo que sea:
•
•
•
Grupo de administradores, departamentos,
Hackers
Lo que sea que se quiere clasificar …
Pueden ser usados por el firewall, Mangle, Nat. La creación puede realizarse de manera automática con la
acción de firewall: add-src-to-address-list o add-dst-to-address-list con esto facilita para aplicar
acciones en grupo en firewall filter, mangle o NAT.
•
•
Esta puede ser una gran vía para poder facilitar el bloqueo de ip.
Ejemplo: add action=add-src-to-address-list address-list=BLACKLIST chain=input
comment=“nombre informativo de la lista” in-interface=“la interfaz de la WAN por ejemplo”
Visualizar listas existentes:
/ip firewall address-list print
Crear listas permanetes
/ip firewall address-list add address=1.2.3.4 list=hackers
Crear listas a través de reglas firewall creadas:
/ip firewall filter add action=add-dst-to-address-list address-list=temp-list
address-list-timeout=3d1h1m1s chain=input protocol=tcp src-address=172.16.2.0/24
83
Academy Xperts
/ip firewall nat add action=add-src-to-address-list address-list=NAT-AL
chain=srcnat
/ip firewall mangle add action=add-dst-to-address-list address-list=DST-AL
address-list-timeout=10m chain=prerouting protocol=tcp
Source NAT
•
•
•
•
Network Address Translation (NAT) permite a los hosts de una red LAN, comunicarse con redes
externas
Source NAT traduce las direcciones IP (de una LAN) a direcciones IP públicas cuando se acceda al
Internet. También realiza la traducción de IP pública a privada cuando el tráfico se genera desde la
WAN hacia una LAN. Donde tenemos que tener en cuenta adicional con respecto a las direcciones
IP:
Direcciones IP no Ruteables, también llamados de "Espacio IP privado". Esas direcciones IP no
pueden ser usados en Internet. Las direcciones IP privadas son 10.x.x.x, 172.16.x.x - 172.31.x.x y
192.168.x.x.
Dirección IP ruteable, es decir una dirección pública, portable u homologada la cual se nos
asignada cuando estamos conectados directamente a internet: 1.0.0.0 - 126.255.255.255 128.0.0.0 - 191.255.255.255 - 192.0.0.0 - 223.255.255.255
Masquerade & src-nat
El primer chain para NATing es "srcnat". Es usado para aplicar acciones a los datos salientes del router. Al
igual que los filtros de firewall, las reglas NAT rules tiene algunas propiedades y acciones (13 acciones). La
primera y más básica regla de NAT, Es solo usar la acción "masquerade".
Masquerade reemplaza la dirección IP origen en paquetes por otra determinada (ejemplo una privada a
publica) para facilitar el enrutamiento.
•
Por lo general, la dirección IP de origen de los paquetes que van a la Internet será reemplazado por
la dirección de la interfaz externa (WAN)
La acción "src-nat“permite realizar cambios en dirección IP y puerto origen de los paquetes a unos
especificados por el administrador de la red
Ejemplo de uso: Dos empresas (alfa y beta) se han fusionado en la actualidad, pero hay un problema en sus
redes locales, ambos utilizan el mismo espacio de direcciones (por ejemplo, 172.16.0.0/16.). Ellos no
desean cambiar sus segmentos de red, ya que todos los dispositivos en la empresa(impresoras,
proyectores, copiadoras, etc.) e implicaría pérdida de tiempo, Bueno orientándonos al concepto de nat, lo
único que se requerirá aquí son reglas básicas de nat con Src-nat y posiblemente reglas de dst-nat,
independientemente que las redes locales de cada una sean iguales.
84
Academy Xperts
Destination NAT
•
•
"Dst-nat" es una acción usada como "dstnat" chain para re direccionar el trafico entrante hacia una
diferente IP o puerto.
Ejemplo de aplicación: Tengo una granja de servidores (ejemplo Web, Mail y SSH) y tengo solo
una dirección pública en mi router de borde. y deseo acceder independientemente desde del
exterior hacia cada servidor independientemente.
dst-nat & redirect
•
•
•
"Redirect" cambia el puerto destino del tráfico hacia un puerto del propio router.
Ejemplo de aplicación: Todo trafico http (TCP, puerto 80) va a ser reenviado al web proxy del
router por TCP puerto 8080.
Este concepto en otros dispositivos se lo conoce como port-Forwarding
Sintaxis NAT
Source NAT (desde /ip firewall nat)
Agregar regla masquerade
85
Academy Xperts
add action=masquerade chain=srcnat
Cambiar el source IP address
add chain=srcnat src-address=192.168.0.109 action=src-nat toaddresses=10.5.8.200
Destination NAT
Redirecciona todo el tráfico WEB (TCP, port 80) hacia el web proxy del router sobre el port 8080
add action=redirect chain=dstnat dst-port=80 protocol=tcp to-ports=8080
scripts
•
•
•
un script, archivo de órdenes, archivo de procesamiento por lotes o guion es
un programa usualmente simple, que por lo regular se almacena en un archivo de texto plano.
Usualmente es usado en MikroTik para automatizar tareas.
Se puede realizar la automatización con scheduler.
Ejemplo de scripts
------------ PORT SCAN ------------:global portscannerip;
:if ([:len [/ip firewall address-list find list=port_scanners]]>0) do= {
:log error "------IP's dectada como ATAQUE PORTSCANNER------";
:foreach i in [/ip firewall address-list find list=port_scanners] do={ :set
portscannerip [/ip firewall address-list get $i address];
:log error $portscannerip };
}
--------------- cpu LOAD ------------":if \(\[ /system resource get cpu-load \] \
>= 90 \) do={ /system reboot; }"
86
Academy Xperts
Módulo 7 - QoS
QoS o Calidad de Servicio (Quality of Service, en inglés) es el rendimiento promedio de una red de datos,
telefonía o de computadoras, particularmente es el rendimiento visto por los usuarios de la red. La calidad
de servicio se aplica para mejorar varios aspectos del servicio de red, tales como tasas de errores, ancho de
banda, rendimiento, retraso en la transmisión, disponibilidad, jitter, etc.
Problemas en redes de datos conmutados
Muchas cosas le ocurren a los paquetes desde su origen al destino, resultando los siguientes problemas
vistos desde el punto de vista del transmisor y receptor:
•
•
•
•
•
•
•
Bajo rendimiento
Paquetes sueltos
Retardos
Latencia
Jitter
Entrega de paquetes fuera de orden
Errores
Simple Queue (Cola simple)
QoS (Calidad de servicio) es el arte de la gestión de los recursos de ancho de banda y no sólo "a ciegas",
limitando el ancho de banda para ciertos nodos.
QoS puede priorizar el tráfico basado en las métricas. Útil para
•
•
Las aplicaciones críticas
Tráfico sensible como flujos de voz y vídeo
Definición:
•
•
•
•
•
•
•
Las colas se utilizan para limitar y priorizar el tráfico:
Límite la velocidad de datos para ciertas direcciones IP, subredes, protocolos, puertos y otros
parámetros
Límite tráfico punto a punto
Priorizar algunos flujos de paquetes sobre los demás
Configurar ráfagas de tráfico para la navegación web más rápida
Aplicar diferentes límites en base al tiempo
Dividir el tráfico entre los usuarios por igual, o dependiendo de la carga del canal
La implementación de cola en MikroTik RouterOS se basa en Hierarchical Token Bucket (HTB). HTB
permite crear la estructura jerárquica de colas y determinar las relaciones entre las colas.
En RouterOS, estas estructuras jerárquicas pueden estar unidos en 4 lugares diferentes:
•
•
•
•
Global-in: Representa todas las interfaces de entrada en general. Colas unidos a global-se aplican
al tráfico en que es recibido por el router antes de que el filtrado de paquetes.
Global-out: representa a todos los interfaces de salida en general.
Global-total: representa todas las interfaces de entrada y salida junto. Se utiliza en caso de que los
clientes tienen de límite único para ambos, cargar y descargar.
<interface name>: representa una interfaz de salida particular. Sólo el tráfico que se designa a salir
a través de esta interfaz pasará esta cola HTB.
87
Academy Xperts
Hay dos maneras diferentes de cómo configurar colas en RouterOS:
•
•
Queue simple menú - diseñado para facilitar la configuración de las tareas de gestión de colas
simples y cotidianas (como las limitaciones upload/download de descarga, limitación del tráfico p2p,
etc.)
Queue tree menú - para la implementación de las tareas de gestión de colas avanzadas (como la
política de priorización global, limitaciones de grupos de usuarios). Requiere paquete marcado fluye
desde /ip firewall mangle.
Target
•
•
•
Objetivo es la interfaz a la que se aplica la cola sencilla
Se debe introducir un objetivo. Puede ser:
o Una dirección IP
o Una subred
o Una interfaz
El orden de la cola es importante. Cada paquete debe pasar por cada cola sencilla hasta que se
produce una coincidencia.
Destinos
•
•
•
•
La dirección IP donde el tráfico del target está dirigido.
Interfaz a través del cual el tráfico del target fluirá.
No es obligatorio que el campo "target"
Puede ser utilizado para limitar la restricción de la cola
Max-limit and limit-at
•
•
•
•
El parámetro "max-límit" es la velocidad de datos máxima que puede alcanzar un objetivo
Se lo conoce como MIR (máxima velocidad de información)
o En el mejor de los casos
El "límit-at" el parámetro es una velocidad de datos mínima garantizada para el objetivo
Se lo conoce como CIR (tasa de información comprometida)
o Peor de los casos
88
Academy Xperts
Burst
•
•
•
Burst es una característica que permite satisfacer el requisito de cola para ancho de banda
adicional, incluso si la tasa requerida es más grande que la MIR (max-límit) durante un período de
tiempo limitado.
Bursting permite a los usuarios obtener, por un corto tiempo, más ancho de banda que permite el
parámetro "max-limit".
Útil para impulsar el tráfico que no utiliza el ancho de banda con demasiada frecuencia. Por
ejemplo, HTTP. Obtener una página de descarga rápida, que leyó durante unos segundos.
Parámetros del Burst:
1.
2.
3.
4.
Burst Limit: Velocidad máxima de datos al tiempo que se permite la ráfaga.
Burst-time: tiempo en segundos, durante el cual se hizo el muestreo.
Burst-threshold: el valor que determinará si se le permitirá a un usuario el burst.
average-rate: Un promedio de transmisión de datos calcula en 1/16 o partes de "tiempo de ráfaga".
Cada 1/16 partes del burst-time, el router calcula la velocidad de datos promedio de cada clase en
los últimos segundos de burst-time
5. actual-rate: actual tasa de transferencia de datos (real).
Bursting - Como trabaja
•
•
•
Bursting está permitido mientras el average-rate este abajo el burst-threshold
Bursting será limitado a la velocidad especificada por burst-limit
Average-rate es calculado con un promedio de 16 muestras (actual-rate) sobre varios segundos del
burst-time
o Si burst-time está en 16 segundos. Continuación, se toma una muestra cada segundo
o Si burst-time está en 8 segundos, continuación, se toma una muestra cada medio segundo.
Cuando el burst-time está definido con 16 segundos
89
Academy Xperts
Cuando el burst-time está definido con 8 segundos
Sintaxis
Agregar una simple Queue (cola simple)
[admin@Mikrotik] > /queue simple
[admin@Mikrotik] /queue simple > add max-limit=2M/2M name=queue1\
target=192.168.3.0/24
Agregar una simple Queue con Bursting
[admin@Mikrotik] /queue simple > add burst-limit=4M/4M burst-\
threshold=1500k/1500k burst-time=8s/8s limit-at=1M/1M max-limit=2M/2M
name=queue2 target=192.168.3.0/24
Tip
Usted puede haber notado que los iconos de cola cambian de color de acuerdo al uso. El color tiene un
significado.
•
•
•
Verde: 0 – 50% de ancho de banda disponible
Amarillo: 51 – 75% de ancho de banda disponible
Red: 76 – 100% de ancho de banda disponible
Limitación de Tráfico
•
•
•
Los principios que usa mikrotik para la limitación, se basa en los siguientes métodos:
Shapper: desecha los paquetes que sobrepasan el trafico.
Schelduler: genera un delay para que los paquetes no sean desechados y lleguen pero con retardo.
90
Academy Xperts
Tipos de Colas
Tenemos los siguientes tipos de colas:
•
•
•
•
BFIFO, PFIFO, MQ PFIFO
RED
SFQ
PCQ
FIFO: Los paquetes que esperan en una cola y van siendo atendidas en el orden en que llegaron, es decir,
que ‘el primera paquete que entra es el primer paquete que sale’.
PCQ
PCQ se introdujo para optimizar los sistemas de calidad de servicio masivos, donde la mayoría de las colas
son exactamente los mismos para los diferentes sub-corrientes. Por ejemplo, un sub-corriente se puede
descargar o cargar para un cliente en particular (IP) o la conexión al servidor.
PCQ algoritmo es muy simple - en un primer momento que utiliza clasificadores seleccionado para distinguir
una sub-corriente de otro, a continuación, aplica tamaño de la cola FIFO individual y limitación en todos los
sub-corriente, luego grupos de todos los sub-corrientes juntos y se aplica tamaño de la cola FIFO mundial y
limitación.
PCQ parámetros:
•
•
•
•
pcq-classifier (dst-address | dst-port | src-address | scr-port; default: “”)
pcq-rate (numero)
pcq-limit (numero)
pcq-total-limit (numero)
Una cola simple para toda la red (PCQ)
Porque tener un Queue para todo?
•
•
Por la conexión de colas (PCQ) es una forma dinámica de conformación de tráfico para varios
usuarios que utilizan una configuración más sencilla.
Definir los parámetros (direcciones IP específicas, por ejemplo) tendrá las mismas limitaciones.
Configuración PCQ-rate
•
•
El parámetro pcq-rate limita el tipo de cola que será permitido
Clasificador es como el router comprueba cómo se aplicará esta limitación. Puede ser en dirección
de origen o de destino, o puerto de origen o destino. Entonces usted podría limitar el tráfico de
usuarios o el tráfico de aplicaciones (HTTP, por ejemplo).
91
Academy Xperts
Configuración PCQ-limit
•
•
•
•
Este parámetro se mide en paquetes.
Un valor PCQ-limit grande
o Creará un buffer más grande, lo que reduce los paquetes caídos
o Aumentará latencia
Un valor PCQ-limit más pequeño
o Aumentará paquetes gotas (desde buffer es menor) y obligará a la fuente para volver a
enviar el paquete, lo que reduce la latencia
o Supondrá un ajuste de tamaño de la ventana TCP, diciendo la fuente para reducir la
velocidad de transmisión
¿Qué valor se debe utilizar? No hay una respuesta fácil.
o Si a menudo salen "Trial & Error" por aplicación
o Si los usuarios se quejan de latencia, reducir el valor de pcq- límit (longitud de la cola)
o Si los paquetes tienen que pasar por un servidor de seguridad complejo, entonces usted
puede tener que aumentar la longitud de la cola, ya que puede producir retrasos
o Fast interfaces (como carruaje) requieren colas más pequeñas, ya que reducen los retrasos
92
Academy Xperts
PCQ, ejemplo
Vamos a suponer que tenemos usuarios que comparten un vínculo WAN limitado. Les daremos los
siguientes tipos de datos:
Descargar: 2Mbps
Subir: 1Mbps
WAN está en ether1
Subred LAN es 192.168.3.0/24
/ip firewall mangle
Add action=mark-packet chain=forward new-packet-mark=client_upload outinterface=ether1 src-address=192.168.3.0/24
Add action=mark-packet chain=forward dst-address=192.168.3.0/24 ininterface=ether1 new-packet-mark=client_download
•
•
•
•
/queue type
Add kind=pcq name=PCQ_download pcq-classifier=dst-address pcq-rate=2M
Add kind=pcq name=PCQ_upload pcq-classifier=src-address pcq-rate=1M
/queue tree
Add name=queue_upload packet-mark=client_upload parent=global queue=PCQ_upload
Add name=queue_download packet-mark=client_download parent=global
queue=PCQ_download
Nuestro ejemplo, nos explica
Mangle: Le estamos diciendo al router para marcar los paquetes con el "client_upload" o la marca
"client_download", dependiendo de si:
•
•
Los paquetes vienen de la LAN y están saliendo de ether1 (upload) o,
Los paquetes que están entrando desde ether1 e ir a la LAN (descargar).
Tipos de colas: Estamos definiendo los tipos de datos y los clasificadores a utilizar para diferenciar subcorrientes (origen o destino)
Queue tree: Las combinaciones que se comprueban para ver si los paquetes califican para la modulación
del tráfico y lo que debe aplicar.
•
Por ejemplo, en el caso del tráfico de subida, comprobamos entrada y salida de las interfaces
(globales) para los paquetes con la marca "client_upload" y aplicamos el "PCQ_upload" tipo de cola.
Monitoreo
Monitor de tráfico de interfaz
/tool traffic-monitor
Add interface=ether1 name=trafficMon1 on-event=script1 threshold=1500000
traffic=received
/system script
Add name=script1 policy=ftp, read, test, winbox, api, Source=”/tool e-mail\
send to=”\YOU@DOMAIN.CA\” subjetc=([/system identity get name] . \” Log \
\” . [/system clock get date]) body=\”Hello world. You’re going too fast!\”” Torch
•
•
El Torch es una herramienta de monitorización de tráfico en tiempo real que se puede utilizar para
monitorear el tráfico a través de una interfaz.
A pesar de CLI es muy flexible, la interfaz del Torch en Winbox es muy intuitivo.
Torch Winbox
93
Academy Xperts
Gráficas
•
•
•
Representación gráfica es una herramienta utilizada para monitorizar diversos parámetros del
RouterOS al mismo tiempo y poner los datos recogidos en las gráficas.
Los siguientes parámetros pueden ser capturados.
o CPU, la memoria y el uso de disco
o Interfaz de tráfico
o Tráfico de cola
Los gráficos pueden ser accedidos por http://<router-IP-address>/graphs
Primer paso
[admin@Mikrotik] /tool
[admin@Mikrotik] /tool
store-every: 5min
page-refresh: 300
[admin@Mikrotik] /tool
interface=all
[admin@Mikrotik] /tool
queue=test-queue1
[admin@Mikrotik] /tool
graphing> set store-every=5min page-refresh=300
graphing> print
graphing> interface add allow-address=0.0.0.0/0
graphing> queue add allow-address=0.0.0.0/0 simplegraphing> resource add allow-address=0.0.0.0/0
94
Academy Xperts
SNMP
•
•
SNMP, acrónimo de Simple Network Management Protocol, es un protocolo de Internet estándar
que se utiliza para la gestión de dispositivos en las redes IP.
Muchas de las herramientas, tanto de código abierto y comercial, están disponibles para gestionar
sus redes y automatizar muchas tareas.
Primer paso:
[admin@Mikrotik] /snmp > set enabled=yes
[admin@Mikrotik] /snmp > set contact=YOU
[admin@Mikrotik] /snmp > set location=OFFICE
[admin@Mikrotik] /snmp > print
Enabled: yes
Contact: YOU
Location: OFFICE
Engine-id:
Trap-target:
Trap-community: (unknown)
Trap-version: 1
Trap-generators:
[admin@Mikrotik] /snmp >
• Se debe dar especial atención a las comunidades.
• Se deben establecer privilegios.
[admin@Mikrotik] /snmp community > print detail
Flags: * - default
0 * name=”public” address=0.0.0.0/0 security=none read-access=yes write-\
access=no authentication-protocol=MD5 encryption-protocol=DES\ authenticationpassword=”” encryption-password=””
[admin@Mikrotik] /snmp community >
95
Academy Xperts
Módulo 8 - Túneles
Introducción
•
•
•
Los túneles son una forma de ampliar su red privada a través de una red pública, como Internet.
También se les conoce como VPNs (redes privadas virtuales).
El concepto de seguridad se asocia con VPNs. Es recomendable ya que no es deseable que el
tráfico de los usuarios vaya a través de redes no seguras y no de propiedad privada (por el cliente).
Se conoce como túnel o tunneling a la técnica que consiste en encapsular un protocolo de red sobre otro
(protocolo de red encapsulador) creando un túnel de información dentro de una red de computadoras. El uso
de esta técnica persigue diferentes objetivos, dependiendo del problema que se esté tratando, como por
ejemplo la comunicación de islas en escenarios multicast, la redirección de tráfico, etc. La técnica de
tunelizar se suele utilizar para trasportar un protocolo determinado a través de una red que, en condiciones
normales, no lo aceptaría. Otro uso de la tunelización de protocolos es la creación de diversos tipos de
redes privadas virtuales.
El establecimiento de dicho túnel se implementa incluyendo una PDU (unidad de datos de protocolo)
determinada dentro de otra PDU con el objetivo de transmitirla desde un extremo al otro del túnel sin que
sea necesaria una interpretación intermedia de la PDU encapsulada. De esta manera se encaminan los
paquetes de datos sobre nodos intermedios que son incapaces de ver en claro el contenido de dichos
paquetes. El túnel queda definido por los puntos extremos y el protocolo de comunicación empleado, que
entre otros, podría ser SSH. Así, el protocolo A es encapsulado dentro del protocolo B, de forma que el
primero considera al segundo como si estuviera en el nivel de enlace de datos.
Ejemplos de protocolos tunelizados
•
•
•
•
•
•
•
•
L2TP (Layer 2 Tunneling Protocol)
MPLS (Multiprotocol Label Switching)
PPTP (Point-to-Point Tunneling Protocol)
PPPoE (point-to-point protocol over Ethernet)
PPPoA (point-to-point protocol over ATM)
IPSec (Internet Protocol security)
IEEE 802.1Q (Ethernet VLANs)
6to4 (IPv6 over IPv4 as protocol 41)
PPP profile
Los PPP profiles representan los parámetros de configuración para ser utilizado por los clientes PPP, tales
como, pero no limitados a:
•
•
•
Dirección IP o Pool de direcciones (remotas o locales)
Compresión
Cifrado
/ppp profile (example from a client)
add change-tcp-mss=yes name=Profile-external use-compression=yes use-\
encryption=yes use-vj-compression=no
/ppp profile (example from a server)
add change-tcp-mss=yes local-address=192.168.222.1 name=Profile-\ external
remote-address=192.168.222.2 use-compression=yes use-encryption=yes use-vjcompression=no
add change-tcp-mss=no dns-server=192.168.5.1 local-address=192.168.5.1 name=
Profile-internal remote-address=Pool-VPN use-compression=yes\ use-encryption=yes
use-vj-compression=no
96
Academy Xperts
PPP secret
PPP secrets se encuentran en PPP servers y también podemos especificar los parámetros básicos y
necesarios para autenticar a un cliente, tales como:
•
•
•
•
Nombre: Identificación del usuario
Contraseña: contraseña del usuario
Servicio: el protocolo que está dando servicio (si de dejan en “any” el PPP secret autenticara al
usuario a través de algunos de estos servicios (PPPoE, L2TP, PPTP, etc.))
Perfil: el subconjunto de configuración que utilizara este usuario. Los perfiles permiten parámetros a
ser utilizados por muchos usuarios sin tener que volver a escribir todo cada vez.
Los clientes no utilizan PPP secrets como credenciales de autenticación. Se especifican en la interfaz del
cliente PPP bajo los parámetros de “Usuario” y “Contraseña”
/ppp secret
add name=Pod4-external password=pod4-123 profile=Profile-external
routes=192.168.4.0/24
add name=alain password=alain!! profile=Profile-internal
PPP status
Representa el estado actual de las conexiones. Útil para depurar y verificar el funcionamiento correcto de
sus túneles.
[admin@Mikrotik] > /ppp active print detail
Flags: R - radius
0
name=”alain” service=pppoe caller-id=”28:D2:44:2C:06:EE”\
address=192.168.5.100 uptime=3m56s encoding=”MPPE128 statefull” sessionid=0x81B00044\ limit-bytes-in=0 limit-bytes-out=0
1 name=”Pod4-external” service=pppoe caller-id=”D4:CA:6D:8E:1ª:97”\
address=192.168.222.2 uptime=37s encoding=”MPPE128 stateless” sessionid=0x81B00045\ limit-bytes-in=0 limit-bytes-out=0
[admin@Mikrotik] > /ppp active print
Flags: R – radius
# NAME
SERVICE CALLER-ID
ADDRESS
UPTIME
ENCODING
0 alainpppoe
28:D2:44:2C:06:EE
192.168.5.100
4m12s
MPPE128
statefull
1 Pod4-exte... pppoe
D4:CA:6D:8E:1ª:97
192.168.222.2
53s
MPPE128
stateless
Creación de un Pool
Pool IP definen un rango de direcciones IP para los clientes.
No sólo es utilizado para DHCP, como vimos anteriormente en este curso, se pueden utilizar para los
clientes PPP y Hotspot.
Útil cuando una interfaz puede dar servicio a muchos clientes. Las direcciones se asignan a partir del Pool
de forma automática.
Rangos de IPs son listas de direcciones IP que no se repiten entre si y que se pueden asignar a los clientes
a través de servicios (DHCP, PPP, Hotspot).
Vamos a demostrar con un ejemplo. Usted tiene 50 ordenadores de la LAN corporativa y 50 que vienen
desde VPN.
/ip pool
add name=Pool-PC ranges=192.168.5.50-192.168.5.99
add name=Pool-VPN ranges=192.168.5.100-192.168.5.149
Supongamos ahora que usted necesita agregar 50 equipos en el Pool de la LAN
/ip pool print
# NAME
RANGES
0 Pool-PC
192.168.5.50-192.168.5.99
1 Pool-VPN
192.168.5.100-192.168.5.149
97
Academy Xperts
/ip pool
set 0 ranges=192.168.5.50-192.168.5.99,192.168.5.150-192.168.5.199
/ip pool> print
# NAME
RANGES
0 Pool-PC
192.168.5.50-192.168.5.99
192.168.5.150-192.168.5.199
1 Pool-VPN
192.168.5.100-192.168.5.149
Asignaciones para un servicio
•
•
Un Pool puede ser asignado para diferentes servicios tales como DHCP, PPP y Hotspot.
Veremos la sintaxis más adelante
Ejercicio: Cómo comunicamos las redes A y B?
PPPoE
•
•
•
Point-to-Point sobre Ethernet es un protocolo de capa 2
Es usualmente usado por ISP’s para controlar el acceso a sus redes
Se puede utilizar como un método de acceso en cualquier tecnología de capa 2, como 802.11 o
Ethernet.
PPPoE service-name
•
•
El service-name puede ser visto como el SSID de 802.11, lo que significa que es el nombre de red
que el cliente este buscando.
A diferencia del SSID, si el cliente no especifica uno, el concentrador de acceso (servidor PPPoE)
enviara todos los service-names que administre. El cliente responderá al primero que llegue.
98
Academy Xperts
Creando un PPPoE server
•
•
•
•
•
Un PPPoE server es el dispositivo que ofrece el servicio de tunelización
Permite a los clientes obtener un servicio de VPN seguro a la capa 3 a través de la infraestructura
de la capa 2.
Usted no puede llegar a un servidor PPPoE a través de routers. Ya que es un protocolo de capa 2,
el servidor solo se puede llegar a través del mismo dominio de difusión Ethernet a la que los clientes
pertenecen.
Antes de crear el servidor, creamos los parámetros de configuración que usted requiere tales como:
o IP Pool
o PPP profiles
PPP secrets Crear la interfaz de servidor de la interfaz física frente a los clientes Ejemplo:
/ip pool
Add name=Pool-PC ranges=192.168.5.50-192.168.5.99, 192.168.5.150- \
192.168.5.199
add name=Pool-VPN ranges=192.168.5.100-192.168.5.149
/ppp profile
add change-tcp-mss=yes local-address=192.168.222.1 name=Profile-external \
remote-address=192.168.222.2 use-compression=yes use-encryption=yes \
use-vj-compression=no
add change-tcp-mss=no dns-server=192.168.5.1 local-address=192.168.5.1\
name=Profile-internal remote-address=Pool-VPN use-compression=yes use-\
encryption=yes use-vj-compression=no
/ppp secret
add name=Pod4-external password=pod4-123 profile=Profile-external\
routes=192.168.4.0/24
add name=alain password=alain!! profile=Profile-internal
/interface pppoe-server server
add authentication=mschap2 default-profile=Profile-external disabled=no \
interface=ether1 mrru=1600 service-name=PPPoE-external
add authentication=mschap2 default-profile=Profile-internal disabled=no \
interface=ether5 mrru=1600 service-name=PPPoE-internal
Tip: Usted puede dejar un puerto Ethernet sin un puerto maestro, un bridge o una dirección IP y el cliente
que está conectado a este puerto pueden conseguir todavía el acceso a Internet si el servidor PPPoE (y el
cliente PPPoE) está configurado correctamente.
Direcciones Point-to-Point
•
•
•
Direcciones desde /ppp secret tienen prioridad sobre /ppp profile, y ellos tienen prioridad sobre /ip
pool.
Tanto las direcciones locales y remotas pueden ser únicas o de un Pool
Direcciones estáticas o direcciones por medio de DHCP no se deben utilizar en interfaces de
clientes PPPoE.
Creando Clientes PPPoE en un RouterOS
•
•
•
Si desea utilizar un perfil diferente que el de por defecto, crearlo primero.
Crear la interfaz de cliente en la interfaz de cara al ISP
Ya está!
Ejemplo
/ppp profile
add change-tcp-mss=yes name=Profile-external use-compression=yes \
use-encryption=yes use-vj-compression=no
/interface pppoe-client
add ac-name=" " add-default-route=yes allow=mschap2 default-route-distance=1
dial-on-demand=no disabled=no interface=ether1 keepalive-timeout=60 max-mru=1480
99
Academy Xperts
max-mtu=1480 mrru=disabled name=Client-PPPoE password=pod4-123 profile=Profileexternal service-name=" " use-peer-dns=no user=Pod4-external
Habilite la interfaz del cliente.
Tip
El router no tendría que ser configurado con un cliente DHCP en la interfaz WAN y esto aún funcionará si el
servidor PPPoE está en la misma infraestructura de capa 2 como puerto WAN.
PPTP
•
•
•
•
PPTP es un protocolo de túnel de capa 3, que utiliza la informacion y direccionamiento del
enrutamiento IP, para ligar a los clientes a los servidores PPTP.
Definición del servidor PPTP es casi lo mismo que para PPPoE, excepto que ninguna interfaz tiene
que ser especificada.
El cliente se define casi de la misma manera como un cliente PPPoE, excepto que una dirección IP
tiene que ser especificada para el servidor.
Consejo: Se debe desbloquear el puerto 1723 en el firewall del router (el servidor PPTP) para que
pueda llegar con su tunel.
Es un túnel seguro para el transporte de trafico IP mediante PPP. La encapsulación de PPTP en líneas
virtuales que corren sobre IP. PPTP incorpora PPP y MPPE (Microsoft Point-to-Point Encryption) para hacer
enlaces cifrados.
El objetivo de este protocolo es hacer conexiones seguras bien administradas entre los routers, así como
entre los router clientes PPTP. Clientes están disponibles para y/o incluido en casi todos los sistemas
operativos incluyendo Windows).
Se crea una interfaz para cada túnel establecido con el servidor dado. Hay dos tipos de interfaces en la
configuración de PPTP.
•
•
Las interfaces estáticas se añaden administrativamente si hay una necesidad de hacer referencia al
nombre de la interfaz en particular (en las reglas de firewall) creados por el usuario en particular.
Las interfaces dinámicas se añaden a esta lista de forma automática cada vez que se conecta un
usuario y su nombre de usuario no coincide con ninguna entrada estática existente.
Interfaces dinámicas aparecen cuando un usuario se conecta y desaparecen una vez que el usuario se
desconecta, por lo que es imposible hacer referencia al túnel creado con ese fin en la configuración del
router (por ejemplo, en el servidor de seguridad), así que si necesitas reglas persistentes para ese usuario,
crear una entrada estática para el usuario, de lo contrario es seguro usar configuración dinámica.
El siguiente ejemplo muestra como conectar un ordenar a un red de oficina remota a través de una túnel
PPTP encriptado, dando ese equipo una dirección IP de la misma red que la oficina remota tiene (sin
necesidad de tender un bridge sobre túneles EoIP)
100
Academy Xperts
El router de la oficina está conectado a internet a través de ether1. Las estaciones de trabajo están
conectados a ether2. Las portátiles están conectadas a internet, y puede alcanzar IP publica del router de la
oficina (en nuestro ejemplo es 192.168.80.1)
Primer paso es crear un usuario
/ppp secret add name=Laptop service=pptp password=123 local-\ address=10.1.101.1
remote-address=10.1.101.100
/ppp secret print detail
Flags: X – disabled
0 name=”Laptop” service=pptp caller-id=” ” password=”123” profile=default
local-address=10.1.101.1 remote-address=10.1.101.100 routes==” “
Observe que la dirección local PPTP es la misma que la dirección del router en la interfaz local y la dirección
remota es del mismo rango que la red local (10.1.101.0/24). El siguiente paso es habilitar el servidor PPTP y
el cliente PPTP en la computadora portátil.
/interface pptp-server server set enabled=yes
/interface pptp-server server print
Enabled: yes
max-mtu: 1460
max-mru: 1460
mrru: disabled
authentication: mschap2
keepalive-timeout: 30
default-profiles: default
El cliente PPTP de la computadora portátil debe conectarse a routers IP publica que en nuestro ejemplo es
192.168.80.1 (consulte el manual respectivo sobre como configurar un cliente PPTP con el software del
sistema operativo que esté utilizando).
En este punto (cuando el cliente PPTP está conectado con éxito) si intenta hacer ping a cualquier estación
de trabajo que forma parte de la red del ordenador portátil, el ping será el tiempo de espera debido a que el
ordenador portátil está en condiciones de obtener aplicaciones de estaciones de trabajo. La solución es la
creación de proxy arp en la interfaz local.
/interface ethernet set Office arp=proxy-arp
/interface ethernet print
Flags: X – disabled, R – running
#
Name
MTU
MAC-ADDRESS
ARP
0 R ether1
1500
00:30:4F:0B:7B:C1
enabled
1 R ether2
1500
00:30:4F:06:62:12
proxy-arp
Luego que el proxy-arp este activado, el cliente remoto puede alcanzar con éxito todas las estaciones de
trabajo en la red local detrás del router.
Clientes y servidores SSTP
VPN SSTP es un tipo de VPN de acceso remoto que permite una conexión VPN por SSL de HTTPS, o lo
que es lo mismo encapsula trafico PPP sobre un canal SSL. Esto le permite atravesar Firewalls donde las
conexiones VPN por PPTP o L2TP estén prohibidas. SSTP utilizara el puerto 443 para atravesar los
firewalls y a través de SSL tenemos cifrado, autenticación y negociación de claves.
•
•
•
Definición del servidor SSTP es casi lo mismo que para PPTP, salvo que se especifique un puerto
TCP para conectarse (443 por defecto).
Se usa con certificados digitales para crear Túneles sobre internet.
El cliente se define casi la misma forma que un cliente PPTP, salvo que se especifique un puerto
TCP a utilizar para establecer una conexión (443 por defecto).
101
Academy Xperts
•
Consejo: Debe permitir el puerto 443 para que su túnel pueda llegar sin problemas. Además, dejar
el puerto en 443 para asegurarlo con SSL y poderlo utilizar para sus comunicaciones.
Configuración en línea de comando:
/interface sstp-server server
set authentication=mschap2 enabled=yes
/interface sstp-client
add add-default-route=no authentication=mschap2 certificate=none connect-to=\
192.168.0.5:443 dial-on-demand=no disabled=no http-proxy=0.0.0.0:443 \
keepalive-timeout=60 max-mru=1500 max-mtu=1500 mrru=1600 name=Client-SSTP \
password=pod4-123 profile=Profile-external user=Pod4-external \
verify-server-address-from-certificate=no verify-server-certificate=n
Clientes y Servidores OpenVPN
Es una solución de conectividad basada en software libre: SSL (Secure Sockets Layer) VPN Virtual Private
Network (red virtual privada), OpenVPN ofrece conectividad punto-a-punto con validación jerárquica de
usuarios y host conectados remotamente.
•
•
•
Sigue el mismo patrón de configuraciones anteriores, similar a SSTP.
Con la única diferencia, que con esta herramienta (OPVN) nos permites crear nuestros propios
certificados digitales públicos, para poder usarlos, sin tener que pagar por ellos.
Una muy buena herramienta a la hora de pensar en el factor COSTO.
Configuración de Rutas entre redes
Es necesaria la configuración de rutas estáticas para que exista comunicación, tomar en cuenta:
Una vez que el túnel está configurado y operativo, usted necesita rutas para mover los paquetes de
un lado a otro.
• La primera forma, es usar la ruta que se crea automáticamente en el router del cliente para ese
túnel.
/ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
#
DST-ADDRESS
PREF-SRC
GATEWAY
DISTANCE
0 ADS 0.0.0.0/0
192.168.0.254
0
1 ADC 192.168.0.0/24
192.168.0.5
ether1
0
2 ADC 192.168.5.0/24
192.168.5.1
Bridge-PC
0
3 ADC 192.168.5.101/32
192.168.5.1
<pptp-ejemplo>
0
•
• La segunda opción es especificar una o múltiples rutas con PPP secret para cada cliente:
/ppp secret export
add name=Pod4-external password=pod4-123 profile=Profile-external \
routes=192.168.4.0/24
add name=alain password=alain!! profile=Profile-internal
102
Academy Xperts
/ppp secret print
Flags: X - disabled
#
NAME
REMOTE-ADDRESS
0 Pod4-external
external
1 alain
internal
SERVICE CALLER-ID
PASSWORD
PROFILE
any
pod4-123
Profile-
any
alain!!
Profile-
/ppp secret
set 0 routes=192.168.4.0/24,10.10.2.0/24
/ppp secret export
add name=Pod4-external password=pod4-123 profile=Profile-external \
routes=192.168.4.0/24,10.10.2.0/24
add name=alain password=alain!! profile=Profile-internal
•
•
La tercera forma es agregar rutas estáticas a una o varias redes a través de un túnel.
Este método es útil si ambos routers tienen su propia ruta por defecto, pero implica más
mantenimiento y parámetros.
/ip route
add comment="TO OFFICE LOOPBACKS" distance=1 dst-address=10.10.2.0/24 \
gateway=192.168.254.10
add comment="TO OFFICE NETWORKS" distance=1 dst-address=172.16.8.0/21 \
gateway=192.168.254.10
103
Academy Xperts
Proceso final – Examen
Una vez que hemos finalizado los módulos del curso con sus respectivos laboratorios, daremos paso a él
examen para la certificación.
Lo haremos desde nuestra cuenta de Mikrotik.com, el examen tendrá una duración de 1 hora (60 minutos)
por lo que se recomienda tener muy en cuenta el tiempo que nos quede mientras vamos resolviendo el
examen.
Nos ubicaremos en la ventana principal (home) de Mikrotik.com y luego daremos clic en account para dar
inicio de sesión con las credenciales con las cuales nos registramos a principio de curso. Una vez que
estemos dentro daremos clic en la opción “my training sessions”, en este punto ya el Trainer a cargo les
habrá activado el examen correspondiente. Y daremos clic en “Yes, start test”
104
Academy Xperts
Ahora realizaremos una pequeña encuesta para dar calificación al Trainer a cargo del curso, donde la mayor
cantidad de estrellas es el puntaje mejor.
Ahora si pasaremos al examen que constara de 25 preguntas y con duración de 1 hora (60 minutos)
Hay que tener en cuenta dos puntos importantes durante el examen:
1. El examen por defecto viene en inglés, pero que para su comodidad lo puede traducir en la misma
página dando clic en la opción señala en la imagen.
2. Durante el examen se le mostrara el tiempo restante del examen, usted aquí puede grabar el
proceso de su examen. Abajo del tiempo restante tendremos una barra o línea roja la cual nos
indica el progreso de preguntas no respondidas aun, una vez que comencemos a responder las
preguntas la barra o línea se ira tornando de color verde.
105