mtcna

Presentación

Presentarse individualmente

• Nombre

• Compañía

• Conocimiento previo sobre RouterOS

• Conocimiento previo sobre networking

• ¿Qué espera de este curso?

Recuerde su número N de clase

Mi número es: _____

©MikroTik Xperts 2014 1

Cronograma

08:00 – 10:30 Sesión I

10:30 – 11:00 Receso

11:00 – 13:00 Sesión II

13:00 – 14:00 Hora de almuerzo

14:00 – 15:30 Sesión III

15:30 – 16:00 Receso

16:00 – 17:30+ Sesión IV


Objetivos del Curso • El sistema RouterOS y las capacidades del

hardware RouterBoard

• Prácticas sobre el router MikroTik, configuración, mantenimiento y resolución de problemas.

• Capacitar para dar servicios básicos a clientes


Durante el curso • Ubicación de salida de emergencia , sanitarios y refrigerios.

• Hidratación

• Material del curso

Equipo RB951-2n o RB751

2 Cables de red (uno corto y uno largo)

Guía de estudio con clip

• Por respeto al entrenador y a sus compañeros favor:

Colocar el teléfono celular en silencio

Tomar las llamadas fuera del salón

No está permitido tomar videos parcial o total de las clases. ©MikroTik Xperts 2014 4

Modulo 1

RouterOS y Routerboard


Acerca de MikroTik • Fabricante de Hardware y desarrollador de software

• Productos utilizados por ISP, WISP, compañías, etc.

• Hacer las tecnologías de Internet más rápidas, potentes y asequible para una gama más amplia de usuarios


• www.mikrotik.com

• www.routerboard.com

• wiki.mikrotik.com

• forum.mikrotik.com

• en.wikipedia.org/wiki/MikroTik

Industria Networking hardware

Año de fundación 1995

Sede Riga, Latvia

Directivos John Tully, CEO

Arnis Riekstins, CTO

Productos Routers, Firewalls

Ingresos 62.5 million Euros (2011)

Ingresos Netos 20.6 million Euros (2011)

Empleados 80 (2012)

¿Dónde está MikroTik ?


Riga, LATVIA,

Letonia

Noreste de Europa

La Historia de MikroTik • 1995: Fundación

• 1997: Software RouterOS para x86 (PC)

• 2002: Nacimiento de RouterBOARD

• 2006: Primer MUM


Evolución del RouterOS • v6 – Mayo 2013 • v5 - Mar 2010 • v4 - Oct 2009 • v3 - Jan 2008

¿ Qué es RouterOS ? • RouterOS es un sistema operativo que convierte a un dispositivo en:

• Un router dedicado

• Un clasificador de tráfico

• Filtro transparente de paquetes

• Un dispositivo inalámbrico compatible con 802.11a,b/g,n

• Firewall

• Enlaces inalámbricos

• VPN

• Portal Cautivo

• El sistema opertativo de los RouterBOARD

• Puede ser instalado en un PC


¿ Qué es RouterBOARD ? • Un hardware creado por Mikrotik

• Abarca un rango amplio desde routers caseros hasta routers de proveedores de servicio.

• Todos operan con el sistema RouterOS


Soluciones

Integradas • Son productos que se entregan completos con su caja

y adaptador de corriente

• Listos y preconfigurados con las funcionalidades más básicas, solo es necesario conectarlos a internet o a la red corporativa


Tarjetas • Son vendidas por separadas, es necesario la compra

de caja, adaptador e interfaces por separado

• Perfectas para ensamblar sistemas con la mayor personalización

Nota de interés • El nombre de los routers es seleccionado de

acuerdo a las características del mismo. Ejemplos:

o CCR : Cloud Core Router

o RB : RouterBoard

o 2, 5 : 2,4GHZ or 5GHz wifi radio

o H : High powered radio

o S : SFP

o U : USB

o i : Injector

o G : Gigabit ethernet


Primer acceso

Null Modem Cable

Ethernet cable


Formas de acceso


• Vía RS232 (Sólo para ciertos RouterBoard)

• Vía WEB

• Vía Winbox (IP o MAC)

• Vía Telnet Disponible en casi todos los sistemas operativos

Forma insegura

• Vía SSH

Dispone de muchas erramientas gratuitas para su conexión, tales como PuTTY

Vía segura de acceso

Equipo de fábrica Conectar la laptop al puerto 5 del router El equipo entregará una IP del segmento 192.168.88.0/24


Descarga de Winbox Ingresamos al servidor web interno del router con la IP del router 192.168.88.1 Al tener usuario/clave por defecto ingresará directamente al menú webfig de gestión Descargar el winbox y guardar en el escritorio


Descarga del Winbox


www.mikrotik.com

Winbox • Es la aplicación para la configuración del RouterOS

• Winbox es una herramienta que permite administrar un Mikrotik utilizando una rápida y simple interfaz gráfica.

• Es nativo de Windows, pero puede ser utilizado en Linux o Mac mediante Wine.

• Todas las funciones de Winbox son lo mas parecidos a configuralo por cónsola, razón por la cual no hay secciones específicas del Winbox en el manual.

• Algunas opciones avanzadas no son posibles vía Winbox, como el cambio de MAC de una interfaz.

• Puede ser descargado desde www.mikrotik.com/download.


Conectando Haz click en el botón [...] para ver el router


Conectando

Winbox

Ethernet Cable


Laboratorio de conexión

• Ingrese al Mikrotik mediante la Mac-Address

• El usuario por defecto es “admin” sin password.

• Tome unos minutos para ver la ubicación de los menus


Laboratorio de conexión • Borrar la configuración

por defecto

Caso 1: desde el menú Remove Configuration

o

Caso 2: desde el terminal

system reset-configuration no-defaults=yes

En este caso pedirá reinicio


v v

v

Comunicación

• El proceso de comunicación se divide en 7 capas.

• Abarca desde la más baja (capa física) hasta la más alta capa de aplicación.


7 Aplicación Especifica los métodos para llevar a cabo una tarea iniciada por el usuario. Los protocolos de la capa de aplicación tienden a ser concebidos y ejecutados por los desarrolladores de aplicaciones. Ejemplo: FTP, Skype, HTTP, etc. 6 Presentación Especifica los métodos para la expresión de los formatos de datos y normas de traducción para aplicaciones. La encriptación se asocia algunas veces con esta capa. Ejemplo: Conversión de EBCDIC a ASCII. Extensiones JPEG, Docx

5 Sesión Especifica métodos para múltiples conexiones que constituyen una sesión de comunicación. Esto puede incluir cerrar conexiones, reiniciar conexiones y puntos de control. Ejemplo: ISO X.25

4 Transporte Especifica los métodos para las conexiones entre múltiples programas que se ejecutan en el mismo PC. Esta capa puede implementar entregas seguras en caso de que no se apliquen en otros lados. Ejemplo: Internet TCP, ISO, TP4)

3 Red Para redes de paquetes, describe un formato de paquete abstracto y su estructura de direccionamiento estándar. Ejemplo: IP datagram, X.25 PLP, ISO CLNP

2 Enlace de datos Especifica los métodos para comuncarse a través de un enlace, incluyendo protocolos de “control de acceso al medio”. La detección de error se incluye comunmente en esta capa. Ejemplo: Ethernet, Wi-Fi, ISO 13239/HDLC.

1 Física Especifica los conectores, tasas de datos, y la forma en que los bits son codificados en algún medio. También describe detección y corrección de bajo nivel, más asignaciones de frecuencia. Ejemplo: V.92, Ethernet 1000BASE-T, SONET/SDH


MAC address

• Dirección única de capa de enlace

• Utilizada para comunicaciones dentro de la misma LAN

• Ejemplo: 00:0C:42:20:97:68


IP

• Es la dirección lógica para un dispositivo de red.

• Se utliza para comunicación entre distintas redes.

• Ejemplo: 159.148.60.20


Subredes

• Rango de IP que divide la porción de red en varios segmentos

• Ejemplo: 255.255.255.0 o /24


Subredes • La dirección de red es la primera dirección de la subred.

(no se puede utilizar) Ej: 192.168.1.0/24

• La primera dirección disponible de host corresponde con el consecutivo de la dirección de red. Ej: 192.168.1.1/24

• La última dirección disponible de host corresponde con la dirección anterior al broadcast. Ej: 192.168.1.254/24

• La dirección de broadcast es la última IP de la subred (no se puede utilizar). Ej: 192.168.1.255/24


Estructura de direccionamiento IP

• Cada PC conectado a una red TCP/IP debe tener al menos una IP para comunicarse.(Capa 3)

• IP: 32 bits = 4 octectos

•1 octeto = 8 dígitos binarios = 1 Byte

• Se representa con decimales por sencillez.

30 ©MikroTik Xperts 2014


CIDR Subnet Mask Hosts Disponibles

CIDR Subnet Mask Hosts Disponibles

/32 255.255.255.255 /23 255.255.254.0 512 – 2 = 510

/30 255.255.255.252 4 – 2 = 2 /22 255.255.252.0 1024 – 2= 1022

/29 255.255.255.248 8 – 2 = 6 /21 255.255.248.0 2048 – 2 = 2046

/28 255.255.255.240 16 – 2 = 14 /20 255.255.240.0 4096 – 2 = 4094

/27 255.255.255.224 32 – 2 = 30 /19 255.255.224.0 8192 – 2 = 8190

/26 255.255.255.192 64 – 2 = 62 /18 255.255.192.0 16384 – 2= 16382

/25 255.255.255.128 128 – 2 = 126 /17 255.255.128.0 32768 – 2= 32766

/24 255.255.255.0 256 – 2= 254 /16 255.255.0.0 65536 – 2= 65534

El prefijo es expresado en notación CIDR (Classless Inter-Domain Routing). Primero se escribe la dirección de la red seguida por el caracter (/), finalizando con la cantidad de bits del prefijo de red y subred. Por ejemplo una 192.168.1.0/24 tiene 24 bits de red y los restantes 8 bits son para host.

Seleccionando la dirección IP

• Seleccione una dirección IP del mismo segmento de su red local

• Especialmente en redes grandes con segmentos múltiples.


Escogiendo una IP

Dirección de Red: 192.0.0.0/16

1 Host válido: 192.0.0.1

....

Último host válido: 192.0.255.254

Broadcast: 192.0.255.255


RA

NN

GO

Topología de clase


Mikrotik

Principal

Router

2

Router1

laptop

laptop

Internet

103.23.247.1

wan: 103.23.247.x (DHCP Cliente)

lan: 192.168.N.1/24

lan: 192.168.N.1/24

wan: 103.23.247.x (DHCP Cliente)

ether1-wan ether5-laptop

Laptop - Router 1.Deshabilitar cualquier interfaz

inalámbrica de la laptop

2.Colocar la dirección IP 192.168.N.1

3.Colocar máscara 255.255.255.0

4.Colocar 192.168.N.254 como puerta de enlace predeterminada y DNS preferido


Etiquetar interfaces (TIP)

1.Ingresar al router


2.Ir a interfaces

3.Hacer doble click sobre una interfaz

4.Cambiar el nombre

Laptop - Router 1.Conectar al router

con MAC-Winbox


2.Agregar la IP 192.168.N.254/24 al puerto ether5

Laptop - Router

• Cerrar el Winbox y conectar de nuevo utilizando la dirección IP.

• El acceso vía MAC debe ser sólo usado cuando el router no sea accesible vía IP.


Router - Internet

• El Gateway a internet de la clase será accesible vía cable UTP.

• El router del instructor será su proveedor de internet.


Router - Internet


Router - Internet

Revisar la conectividad hacia

internet.


Router Internet

Your Router Your Laptop Class AP

DHCP-Client Ether1-wan


Laptop - Internet

• Cambie el DNS de su laptop con la IP de su router. (192.168.N.254)


Laptop - Internet

• La laptop puede acceder al router y el router puede acceder a internet, para que su laptop acceda a internet es necesario un paso adicional.

• Es necesario crear una regla de Masquerade en el Firewall Filter para ocultar su red privada detrás del router y que pueda ser enrutable hacia internet.


IPs privadas y públicas

• El Masquerade es utilizado para acceso a redes públicas, donde no son enrutables IP privadas.

• Según el RFC 1918 de la IETF las redes privadas son:

• 10.0.0.0 - 10.255.255.255 (10.0.0.0 /8)

• 172.16.0.0 - 172.31.255.255 (172.16.0.0 /12)

• 192.168.0.0 - 192.168.255.255 (192.168.0.0 /16) ©MikroTik Xperts 2014 45

Laptop - Internet


Laptop - Internet

Su router puede ser el servidor DNS de su red local (laptop)


Probar conectividad

Ping www.mikrotik.com desde su laptop


http://www.mikrotik.com

TroubleShooting • ¿Su router puede hacer ping al AP?

• ¿Puede su router resolver nombres?

• ¿Puede llegar a redes más alla de su router?

• ¿Su Laptop puede resolver nombres?

• ¿Colocó correctamente la regla de Masquerade?

• Verificar que la laptop tenga puerta de enlace y DNS configurados correctamente.


Diagrama de red

Your Router Your Laptop Class AP

192.168.N.1 192.168.N.254

DHCP-Client


Gestión de usuarios • Control de usuarios

• Se pueden crear diferentes tipos de usuarios


Laboratorio de gestión de usuarios

• Crear un nuevo usuarios con acceso de lectura

• Recordar el nombre/contraseña de usuario

• Logearse con el nuevo usuario y ver las limitaciones de la nueva cuenta.

• Ingresar como Admin y cambie la cuenta creada a privilegios Full


Antes de actualizar • El procedimiento requiere planificación

Paso a paso en orden preciso

• Requiere probar

Recomendable realizarlo en una ventana de mantenimiento

Puede que ciertas características o sintaxis de la configuración anterior no coincidan con la nueva versión

Estar preparado para retornar a la versión previa si es necesario


Antes de actualizar • Revisar la arquitectura que corresponde con el sistema

operativo (mipsbe, pcc, X86, misple, tile)

Si dudas es posible revisar la arquitectura en la esquina izquierda del Winbox

• Conocer los archivos que requiero:

NPK : Sistema base RouterOS con los paquetes estándar.

ZIP: Contiene todos los paquetes (básicos y adicionales)

Changelog: Indica los cambios y mejoras entre versiones


Laboratorio de actualización de RoS

• Descargar los paquetes .zip desde http://103.23.247.7

• Descomprimir el archivo .zip en una carpeta

• Subir los archivos desde el winbox vía IP

• Reiniciar el router con el comando reboot.

• Las actualizaciones siempre están disponibles en www.mikrotik.com


Actualizando el router

• Utilizar el combinado de paquetes de RouterOS

• Arrastrar los archivos a files. ©MikroTik Xperts 2014 56

Laboratorio de actualización de RoS

• En nuevas versiones de RoS se habilita la descarga automática.


Downgrade Si en el algún momento necesitamos bajar a una versión anterior:

• Subimos los archivos de la versión en el files

• Y en el package List clickeamos Downgrade

• También es posible vía terminal con el comando

system package downgrade


Gestión de paquetes

Las funcionalidades del RouterOS son habilitadas mediante paquetes


Información de paquetes


NTP

• Network Time Protocol, para sincronizar hora

• Son soportados el Servidor NTP y el cliente NTP en RouterOS


¿Por qué NTP?

• Para obtener la hora correcta

• En el caso de routers sin memoria interna pueda preservar la información de la hora

• Disponible en todos los RouterBOARDs


Cliente NTP El paquete NTP no es requerido


Laboratorio de paquetes

• Deshabilitar NTP (Pregunta de exámen)

• Reiniciar con reboot

• Revisar que NTP Client cambio a SNTP Client


Actualización del RouterBoot

• Revisamos la versión actual

• De ser necesario actualizar


Router Identity

Opción para colocarle nombre al router


Router Identity Lab

Colocarle al nombre del router su su número N_nombre


Router Identity El nombre puede ser visto en diferentes sitios.


Tipos de respaldo

• Respaldo Binario (.backup)

• Exportar la configuración (.rsc)


Respaldo Binario • Se pueden hacer respaldos y restaurar configuraciones en el menú file de Winbox.

• Se garantiza la restauración en un router idéntico en Software y Hardware

• Son archivos encriptados por lo que no son editables

• También se pueden hacer y restaurar respaldos desde el terminal permitiendo personalización del archivo. Ejemplos:

system backup save name=mirespaldo_RB750_5.26 (Creación)

system backup load name=mirespaldo_RB750_5.26 (Restauración)


Respaldo con Export • Se pueden hacer respaldo parciales o totales de la configuración

• Estos archivos son editables

• Las contraseñas no son guardadas con el export

• Se puede utilizar “compact” para que muestre sólo la configuración que no es por defecto.

• Para importar una configuración tener en cuenta no sobreescribir comandos

/export file=conf_RB750_Dic-12 (Respaldo completo) /export compact file=conf_RB750_Dic-12 ( Respaldo limpio) / ip firewall filter export file=firewall-aug-2012 (Respaldo parcial) /import file-name=conf_RB750_Dic-12 (Restauración)


Laboratorio de Backup

• Crear archivos de backup y export

• Descargarlos a la laptop.

o Nota: tener los respaldos en el files unicamente no es una buena estrategia

• Abrir el archivo de export con un editor de texto


Licencias


6 Niveles de Licencia

0 : Demo (24 horas)

1 : Free (muy limitada)

3 : WISP CPE (Cliente Wi-Fi)

4 : WISP (Requerida para colocar en modo AP el router)

5 : WISP (Mayor capacidad de usuarios, VPNs,etc)

6 : Controller (Capacidade ilimitadas)

Licencias


Obtener una licencia

Login to your account


Tips:

La licencia se puede utilizar para un único dispositivo

Todos los RouterBoard vienen con una licencia preinstalada

Se recomienda no formatear la unidad con herramientas que no sean de MikroTik

Netinstall • Usar para instalar o reinstalar el RouterOS

• Se utiliza cuando se pierde el password de acceso o se corrompe el RouterOS

• Corre en computadores Windows

• La conexión directa con el router es preferida o sobre un Switch

• Disponible en www.mikrotik.com


Procedimiento Netinstall 1. Descargar el Netinstall y el archivo .npk de la versión 5.26

2. Desactive firewall y antivirus del computador

3. Conectar el computador en el puerto 1

4. Colóquele a su computador una IP estática

5. Abra la aplicación Netinstall

1. Haga click en Net-booting y coloque una IP en el mismo segmento de su computador

2. En la sección de Package, haga click en Browse y ubique el directorio con el archivo NPK correcto


Procedimiento Netinstall 5. Desconecte la alimentación y presione el botón reset

6. Conecte el la alimentación y libere el botón reset cuando el led ACT se apague (unos 10 seg)

7. Seleccione el router luego que aparezca en Routers/Drive Cuidado: no aplique este procedimiento a los disco duros de su computador, podría formatear la unidad.

8. Seleccione el RouterOS requerido en Packages. 9. Presionar el botton Install y esperar a que cargue


Links útiles • www.mikrotik.com – gestión de licencias, documentación

• forum.mikrotik.com – compartir experiencias con otros usuarios, foro moderado por el equipo de MikroTik

• wiki.mikrotik.com – toneladas de ejemplos

• www.tiktube.com – Videos de presentaciones de trainers, partners, ISPs durante, etc durante los MUMs



http://forum.mikrotik.com

http://wiki.mikrotik.com

http://www.tiktube.com/

Enrutamiento


Módulo 2

Conceptos de enrutamiento

• Enrutamiento es un proceso de la capa 3 del modelo OSI.

• Define a donde será reenviado el tráfico

• Es requerido para que diferentes redes se comuniquen entre sí.

• Es necesario rutas bidireccionales para que haya comunicación entre 2 redes.


Significado de flags • Las rutas tienen diferentes estatus. En este

curso conoceremos los siguientes:

⁻ X : Deshabilitado

⁻ A : Activo

⁻ D : Dinámico

⁻ C : Conectado

⁻ S : Estático


Rutas estáticas

• Las rutas a subredes que ya existen en el router son creadas automáticamente a penas se agrega una IP a la interfaz (rutas conectadas)

• Para subredes que están conectadas a otros routers necesitaremos rutas estáticas


Rutas

• Validar la configuración

• Pruebe hacer ping a su laptop

• Pruebe hacer ping al laptop del vecino 192.168.N.1

• Configuraremos rutas estáticas para poder llegar a su vecino.


Entendiendo los campos

Flags: El estado de cada ruta como fue explicado anteriormente.

Destination address: define las redes que pueden ser alcanzables

Gateway : La IP del próximo salto (router para poder alcanzar red destino)

Distancia: Valor utilizado para la selección de la ruta. En las configuraciones que tenemos varias distancias posibles, la ruta preferida es la ruta con el menor valor.

Pref. Source : La dirección IP de la interfaz local que es responsible de enviar los paquetes de una red anunciada


Gateway por defecto

Gateway por defecto:

El próximo salto donde todos los paquetes cuyas rutas no se conozcan serán enviados


Laboratorio de gateway por defecto

• En estos momentos su router recibe el gateway por DHCP

• Deshabilite que se reciba vía DHCP

• Agregue la puerta de enlace predeterminada manualmente.


Enrutamiento • Revise las otras

rutas

• Las rutas marcadas con DAC son agregadas automáticamente

• La ruta DAC viene de las interfaces activas con dirección IP ©MikroTik Xperts 2014 88

Enrutamiento estático

• El objetivo es hacerle ping a la laptop del vecino

• Lo conseguiremos mediante rutas estáticas



• Las rutas estáticas definen como alcanzar una red destino

• El Default gateway también es una ruta estática hacia 0.0.0.0, envía todo el tráfico cuya ruta desconoce



• Deshabilitaremos la regla de masquerade que “esconde” nuestra red privada

• Es necesaria una ruta estática para alcanzar la laptop del vecino dado que el gateway (router del instructor) no tiene información de las redes privadas de los estudiantes.


Ruta hacia su vecino

• Recuerda la topología de red

• La red de su vecino tiene el formato 192.168.N.0/24

• Preguntele al vecino la dirección IP de su interfaz wan.


Rutas • Las reglas del

ip route indica a donde van a ser enviados los paquetes

• Para ver las rutas:

/ip route

/print


Ruta al vecino

• Agregue una ruta

• Indique la red destino, la red local de su vecino

• Indique el gateway, la dirección que es usada para alcanzar el destino, corresponde con la IP de la interfaz wan del router vecino


• Agregue ruta

• Coloque el gateway

• Haga ping a la laptop de su vecino

• Nota: Recuerde que debe haber una ruta de regreso


Ruta al vecino

Enrutamiento dinámico • La misma configuración es posible con

enrutamiento dinámico

• Imagine que tiene que crear rutas estáticas a cada vecino de su red.

• En lugar de crear cientos de rutas, los protocolos dinámicos intercambian paquetes y ejecutan algoritmos que les permite encontrar y divulgar mejores rutas hacia algún destino.


Enrutamiento dinámico

• Fácil de configurar, difícil de gestionar y hacer troubleshooting

• Utiliza mayores recursos de RAM y CPU del router


Enrutamiento dinámico

• Veremos uno sólo de los protocolos de enrutamiento dinámicos: OSPF

• OSPF es de rápida convergencia y obtiene rutas óptimas.

• Fácil de configurar


Configuración OSPF • Agregue su red

LAN y su red WAN en la pestaña Networks de OSPF

• El protocolo se habilitará

Nota: Lo único necesario para activar OSPF es agregar una red Networks


OSPF LAB

• Revisar las rutas

• Hacer ping al PC de su vecino

• Recuerde, son necesarios conocimientos adicionales para administrar redes con OSPF


Bridging


Módulo 3

Bridge • Los puentes son dispositivos de la capa 2 del modelo OSI.

• Son utilizados para unir dos segmentos diferentes (o similares)

• Para crear un bridge se debe crear una interfaz de bridge

• Luego añadir las interfaces correspondientes a ese bridge.

• Son utilizados para crear dominios de colisión más pequeños.

• Los Switches son conocidos como puentes multi puertos.

Cada puerto es un dominio de colisión de un dispositivo.


Ejemplo 1

• Todas las computadoras se pueden comunicar entre si

• Todas tienen que esperar que todas esten calladas antes de empezar a transmitir


Ejemplo 2 • Todas las computadoras aún necesitan “escuchar” al otro

• Todas las computadoras ahora sólo comparten la mitad del “cable”

• Aún todas tienen que esperar que todas estén calladas, pero ahora el grupo es de la mitad del tamaño.


Utilizando bridge en Mikrotik • Está opción está por defecto en los routers MikroTik, los

puertos Ethernet están asociados (en modo esclavo) a un puerto master.

Ventaja: Conmutación cableada de alta velocidad (a través de chip de switch, conmutación de hardware)

Desventaja: El tráfico de los puertos esclavos no es visible. No es deseable si se utiliza SNMP para monitorear el uso de los puertos.


Utilizando bridge en Mikrotik • Removiendo la configuración maestro y esclavo, es necesario

utilizar interfaz de bridge para “unir” los puertos requeridos en una misma LAN

Ventaja: Visibilidad completa de todas las estadísticas de los puertos dentro del bridge

Desventaja: La conmutación es realizada a través del software lo que requiere mayor procesamiento de CPU. La velocidad de transmisión será inferior a la óptima velocidad de tranferencia


Creando el Bridge • El bridge se configura desde el menú

/interface bridge

• Por estabilidad utilizar rstp y una MAC Fija


Agregar puertos al Bridge • Las interfaces son agregadas una a una al Bridge


• Ahora es necesario colocarle la IP del puerto 5 al bridge_lan

Bridge

• Se pueden agregar interfaces Ethernet, wlan sin problemas

• Los clientes inalámbricos en (mode=station) no soportan bridge dada las limitaciones de 802.11

• La configuración de bridge en interfaces inalámbricas se verá en el próximo módulo.


Redes Inalámbricas


Módulo 4

Redes inalámbricas

• RouterOS soporta varios módulos de radio para comunicación inalámbrica en 2.4Ghz y 5Ghz

• MikroTik RouterOS brinda completo soporte a estándares 802.11a/b/g/n


Estándares inalámbricos

• IEEE 802.11b - 2.4GHz , 11Mbps

• IEEE 802.11g - 2.4GHz , 54Mbps

• IEEE 802.11a - 5GHz, 54Mbps

• IEEE 802.11n - 2.4GHz o 5GHz hasta 300 Mbps


Canales 802.11 b/g 1 2 3 4 5 6 7 8 9 10 11

2400

2483

• (11) Canales de 22 MHz (US)‏

• 3 canales que no se solapan

• 3 puntos de acceso pueden ocupar la misma área sin causarse interferencia (1,6,11)


Canales 802.11a 36 40

5150

44 48 52 56 60 64

5350 5180 5200 5220 5240 5260 5280 5300 5320

5210 5250 5290

149 153

5735

157 161

5745 5765 5785 5805 5815

5760 5800

58 50 42

152 160

• (12) canales de 20 MHz

• (5) canales de 40MHz (wide turbo channels) ©MikroTik Xperts 2014 114

Bandas soportadas

Todos los canales 5GHz (802.11a) y

2.4GHz (802.11b/g)


Frecuencias soportadas

• Dependiendo de las regulaciones por país las tarjetas inalámbricas funcionan en el rango:

o 2.4GHz: 2312 - 2499 MHz

o 5GHz: 4920 - 6100 MHz


Regulaciones del país


Nombre del radio

• Utilizaremos el nombre del radio para el mismo propósito que el router identity

• Colocar en el nombre del radio: Su número + nombre


Red inalámbrica


Configuración de estación

• Fijar mode=station

• Selecione la banda

• Indicar el SSID

• El canal se puede seleccionar haciendo un Scan


Connect List

• Indica los parámetros para que el cliente seleccione el punto de acceso donde se va a conectar


Connect List Lab

• Ahora su router está conectado al punto de acceso de la clase

• Cree una regla para no permitir la conexión al AP de la clase

• Utilice los parámetros del Connect-list


Configuración de AP

• Coloque el modo mode=ap-bridge

• Seleccione la Banda

• Indique el SSID

• Fije la frecuencia


Snooper monitor inalámbrico • Se utiliza para

obtener una vista global de las redes inalámbricas en la banda seleccionada

• La interfaz inalámbrica se desconecta para usar esta herramienta


Tabla de registros

• Ve todo los dispositivos conectados a las interfaces inalámbricas


Seguridad del punto de acceso • Access-list: para ver

clientes y en que condiciones se conectarán

• Deshabilitando el Default-Authentication se conectan solo los usuarios del Access-List


Default Authentication

• Habilitada, las reglas del Access-List el cliente se puede conectar a menos que haya una regla que lo niegue.

• Deshabilitada, sólo se revisan los usuarios en el Access-List


Laboratorio de Access-List

• Este laboratorio lo hará el instructor en el punto de acceso de la clase

• Deshabilitar conexión a un usuario específico

• Permitir conexión para sólo ciertos clientes


Seguridad

• Habilitemos la encriptación en nuestra red inalámbrica

• Utilizar encriptación WPA o WPA2

• Todos los dispositivos de la red deben tener las mismas opciones de seguridad


Seguridad

• Crear un nuevo perfil llamado profile1

• Habilitar las opciones WPA y WPA2 PSK

• La contraseña es mikrotikmtcna


Tip de configuración • Para ver la

contraseña deshabilitar la opción Hide Password

• Se pueden ver otras contraseñas excepto la de los usuarios del MikroTik


Aislar clientes inalámbricos

El Default-Forwarding se utiliza para deshabilitar tráfico entre clientes conectados al mismo punto de acceso


Default Forwarding

• Las reglas del Access-List tienen mayor prioridad

• Revisar si las reglas están funcionando para controlar los clientes


Nstreme • Protocólo propietario de MikroTik

• Mejora enlaces inalámbricos, especialmente los de largo alcance

• Para utilizarlo en la red es necesario habilitarlo en todos los dispositivos inalámbricos dentro de la red


NV2 (Nstreme Version 2)

• Protocólo propietario de MikroTik

• Para utilizar con chip Atheros 802.11

• Basado en TDMA (Time Division Multiple Access) en reemplazo de CSMA (Carrier Sense Multiple Access)

• Utilizado para mejorar el desempeño en largas distancias


NV2 (Nstreme Version 2)

• Beneficios de NV2

Incrementa la velocidad del enlace

Más clientes conectados en ambientes punto-multipunto (limitado a 511 clientes)

Menor latencia

No hay limitaciones de distancias


Redes inalámbricas en bridge


• El modo Station-Bridge: Es un modo propietario para crear bridge en capa 2 de forma segura entre routers MikroTik.

• Pueden ser utilizados para expandir subredes inalámbricas a más clientes.

Gestión de Red Local


Módulo 5

Planeación de la red local

• Planifique su red cuidadosamente

• Tome cuidado de los usuarios locales que tienen acceso a su red

• Implemete las características de RouterOS para asegurar los recursos dentro de su red


ARP

• Address Resolution Protocol

• ARP se encarga de encontrar la dirección MAC que le corresponde a una IP determinada

• ARP funciona de manera dinámica pero también puede ser manejado estáticamente


ARP Table

La tabla de ARP muestra la IP, MAC y puerto donde está conectado un dispositivo


Tabla estática de ARP

• Para mejorar la seguridad local, las entradas ARP pueden ser creadas manualmente

• De esta manera los clientes no podrían tener acceso a Internet si se cambia la dirección IP


Modos ARP • Los modos ARP le indican al RouterOS como el ARP va a funcionar

o Estos modos son configurados por interfaz

• Los modos son:

o Enabled: Modo por defecto. Las peticiones ARP son respondidas y la tabla ARP será llenada de forma automática

o Disabled: La interfaz no enviará o reposderá peticiones ARP de otros hosts. Será necesario indicarle al router las MAC

o Proxy ARP: El router responde las peticiones ARP provenientes de su red directamente conectada (sin importar el origen)

o Reply-only: El router sólo responderá peticiones ARP. La tabla ARP debe ser llenada de forma estática


Configuración de ARP estático

• Agregar una entrada estática en la tabla ARP

• Fije la interfaz arp=reply-only para deshabilitar creación dinámica vía ARP

• Dehabiltar y habilitar la interfaz o reinicie el router


Laboratorio de ARP estático

• Coloca la MAC de tu laptop como entrada estática

• En la configuración del puerto Ethernet coloca arp=reply-only

• Cambia la IP de tu PC (dentro del mismo segmento)

• Prueba la conectividad a Intenet


Servidor DHCP

• Dynamic Host Configuration Protocol

• Usado para entregar de forma automática direcciones en una red local

• Usar DHCP sólo en redes seguras


Servidor DHCP

• Para configurar el servidor DHCP es necesario tener una IP en la intefaz

• Utilice el comando setup para habilitar el servidor DHCP

• Serán preguntados los datos necesarios


Configurando el Servidor DHCP

Click on DHCP Setup to run Setup Wizard

Select interface for DHCP server

Set Network for DHCP, offered automatically

Set Gateway for DHCP clients

Set Addresses that will be given to clients

DNS server address that will be assigned to clients

Time that client may use IP address


Importante

• Para configurar el servidor DHCP en un bridge, fija el servidor en la intefaz de bridge

• Si se configura en uno de los puertos del bridge, el servidor aparecerá inválido


Servidor DHCP

• Configure el servidor DHCP en la interfaz ethernet donde está conectada la laptop

• Cambiar la configuración de la laptop para que tome dirección de forma dinámica

• Revise la conexión a internet


Información de DHCP

El “lease” muestra información de las direcciones entregadas .


Tip de winbox

Mostrar campos adicionales con nuevas columnas


Lease estático

• Podemos hacer un lease estático

• El cliente no podrá obtener otra dirección


Lease estático

• El servidor DHCP puede correr sin lease dinámico

• Los clientes recibirán las direcciones preconfiguradas


Lease estático

• Fijar el Address-Pool a sólo estático

• Crear el lease estático


Herramientas RouterOS


E-mail • Esta herramienta permite enviar correos

desde el router

• Puede ser utilizada en combinación de otras herramientas, como por ejemplo enviar respaldos períodicos al administrador de la red

• Para acceder

/tools e-mail ©MikroTik Xperts 2014 157

Ejemplo de E-mail • Configurar el servidor SMTP

/tool e-mail

set address=173.194.75.108 [email protected] password=CL4V3 port=587 starttls=no [email protected]

• Enviar el archivo de configuración vía mail

/export file=export

/tool e-mail send tls=yes to="[email protected]" subject=oficina body="$[/system clock get date] configuration file" file=export.rsc


Netwatch • Esta herramienta permite monitorear el

estado de dispositivos

• Para cada entrada se puede especificar:

Dirección IP

Intervalo de ping

Scripts de Up y Down

• Para acceder

/tools netwatch ©MikroTik Xperts 2014 159

Netwatch

• De gran utilidad para:

Notificaciones de caída en la red

Cambios automáticos en el caso de una avería, ejemplo: caida del router principal

Chequeo rápido de enlaces activos

Cualquier cosa que puedas arreglar para simplificar y hacer rápido tu trabajo (te hará ver mas eficente!)


Ping • Herramienta de conectividad básica, utiliza ICPM para

determinar la accesibilidad de host remotos y retardos

• Una de las herramientas de resolución de problemas básica. Si responde al ping el host está activo (al menos en capa de red)

• Es un buen comienzo para diagnosticar un problema, pero no es la última herramienta.

• Para detener será necesario CTRL-C


Traceroute

• Usada para mostrar todos los routers “saltados” para alcanzar el destino.

• Indica el retardo para alcanzar un router en el paso al destino

• Muy bueno para ubicar el nodo que pone lenta la transmisión.


Traceroute


Profiler (Carga de CPU)


• Herramienta que muestra la carga del CPU.

• Muestra los procesos y su carga en el CPU

• Nota: “idle” no es un proceso. Esto significa que el CPU no está siendo utilizado

Firewall


Módulo 6

Firewall

• Protege al router y sus clientes de acceso no autorizado

• Es una barrera entre 2 redes, ejemplo LAN (red confiable) e Internet (red no confiable)

• Puede hacerse mediante creacion de reglas en Firewall filter y NAT


Firewall Filter • Consiste en reglas definidas por el usuario

basadas en el principio de IF-Then. Tienen 2 partes

Condiciones marcadas: Las condiciones que deben chequearse.

Acción: Que se hará si se encontraron las coincidencias.

• Las reglas son ordenadas en cadenas

• Existen cadenas predefinidas y cadenas creadas por los usuarios.


Filter Chains

• Las reglas pueden ser colocadas en 3 cadenas:

• input (hacia el router)

• output (desde el router)

• forward (atravesando el router)


Firewall Chains

Input Winbox

Forward WWW E-Mail

Output Ping from Router


Firewall Chains


Input

• Esta cadena contiene las reglas del filter que protegen al mismo router

• Bloqueemos a todos excepto su laptop.


Input Agregar una regla de accept para la IP de su laptop


Input

Agregar un regla drop de la cadena input para descarcartar a los demás


Input Lab

• Cambie la dirección IP de su laptop a 192.168.x.y

• Trate de conectarse. ¡El firewall está funcionado!!!

• Aún se puede establecer conexión vía direcciones MAC dado que el Firewall Filter funciona sólo en capa 3


Input

• El acceso a su router es bloqueado

• No tiene internet

• Se están bloqueando las peticiones DNS también

• Cambia la configuración para retomar la conexión a internet


Input • Se puede

deshabilitar el acceso vía MAC en Tools/MAC Server

• Cambiar la IP de la laptop a la IP anterior 192.168.N.1


Address-List

• Address-list permite filtrar un grupo de direcciones con una sola regla

• También se pueden agregar direcciones de forma automática y luego bloquearlas.


Address-List • Crear varias address-list

• Se pueden agregar: Subredes, rangos separados, un sólo host.


Address-List

• Agregar un host específico al address-list

• Indicar un timeout para un servicio temporal


Address-List in Firewall

• Se pueden hacer bloqueos por listas de acceso tanto en origen como en destino


Address-List Lab

• Crear address-list con direcciones IP permitidas

• Añadir una regla para aceptar estas direcciones permitidas.


Forward

• Esta cadena contiene reglas para controlar paquetes que van atravesar el router

• Se controla tráfico hacia y desde los clientes.


Forward

• Crear una regla para bloquear el puerto TCP 80 (Navegador Web)

• Es necesario seleccionar el protocolo al hacer bloqueo por puertos.


Forward

• Probar abriendo www.mikrotik.com

• Probar abriendo http://192.168.N.254

• Se puede mostrar la página web del router ya que el bloqueo es aplicado en la cadena de Forward


http://192.168.X.1

Lista de puertos bien conocidos


Firewall Log • Veamos los pings

que el cliente envía al router

• Esta regla debe ser agregada antes de las demás acciones.


Firewall Log


Firewall chains

• Se pueden crear cadenas personalizadas a excepción de las ya creadas (input, forward, output)

• Permite crear la estructura de firewall más simple

• Disminuye la carga de procesamiento del router


Cadenas de Firewall en acción

• Secuencia de las cadenas personalizadas

• Las cadenas personalizadas pueden utilizarse para virus,protocolos TCP, UDP, etc.


Laboratorio de Firewall • Descargar el archivo viruses.rsc desde el servidor

WEB y subirlo al files.

• Carga la configuración con el comando import

• New terminal

• Import viruses.rsc

• Revisar que se hayan cargado las sentencias en el firewall.

• Ahora aplique para las setencias input y forward un jump hacia la cadena personalizada.


Conexiones


Estado de la conexión

• Consejo: hacer drop a conexiones inválidas

• El firewall solo procesará nuevos paquetes, es recomendable excluir otro tipo de estados.

• Las reglas de Filter tienen “connection state” que revisan el propósito de la conexión.


Estado de la conexión • Agregue una regla para descartar conexiones

inválidas

• Agregue una regla para aceptar conexiones establecidas

• Agregue una regla para aceptar conexiones relacionadas.

• De esta manera el Firewall sólo trabajara con paquetes nuevos.


Limitaciones de SRC-NAT

• Conectarse a servidores internos desde afuera no es posible (se requiere DST-NAT)

• Algunos protocolos requieren NAT helpers para funcionar correctamente.


NAT Helpers


Connection Tracking

• Connection tracking muestra la información de todas las conexiones activas.

• Debe ser habilitado para que funcione el Filter y el NAT.


Connection Tracking


Network Address Translation


NAT

• El router es capaz de cambiar dirección Origen o Destino en el flujo de paquetes a través del mismo.

• Este proceso es llamado src-nat o dst-nat


SRC-NAT

SRC-Address New

SRC-Address

Laptop Servidor Remoto


DST-NAT

DST-Address New DST-Address

Servidor con IP privada

Host con IP pública


NAT Chains

• Para conseguir estos escenarios es necesario colocar las cadenas adecuadas: dstnat o srcnat

• Las reglas de nat funcionan con el principio IF-THEN


DST-NAT

• DST-NAT cambia la dirección destino y puerto del paquete.

• Se utiliza para que usuarios de internet puedan acceder a servicios en servidores de una red privada.


DST-NAT Example

DST-Address 207.141.27.45:80

New DST-Address 192.168.1.1:80

Servidor WEB 192.168.1.1

Algún PC


Ejemplo DST-NAT Crear una regla para enviar todo el tráfico web de la

red privada hacia el MikroTik.


Redirect

• Tipo especial de DST-NAT

• Esta acción redirecciona paquetes al mismo router.

• Puede ser utilizado para servicios de proxy (DNS, HTTP)

• Útil para bloqueos con OpenDNS


Ejemplo de Redirect

DST-Address Configured_DNS_Server:53

New DST-Address Router:53

DNS Cache


Ejemplo de Redirect

• Hagamos que los usuarios locales utilicen el DNS cache del router

• La regla se hace en protocolo UDP


SRC-NAT

• SRC-NAT cambia la dirección origen del paquete

• Se puede utilizar para que toda una red privada salga con la misma dirección pública

• Masquerade es un tipo de SRC-NAT


Masquerade

Src Address 192.168.X.1

Src Address router address

192.168.X.1 Public Server


Firewall Tips

• Se recomienda agregar comentarios para recordar el objeto de cada regla

• Utilizar tracking connection y torch


Torch

Detallar el reporte de tráfico actual de una interfaz


Acciones en Firewall Accept Acepta el paquete. El paquete no pasará a la próxima regla de firewall

Add-dst-to-address-list: Agrega la IP destino al address-list especificado. El paquete pasa a la próxima regla

Add-src-to-address-list : Agrega la IP origen al address-list especificado. El paquete pasa a la próxima regla

Drop: Descarta el paquete de forma silenciosa. El paquete no pasará a la próxima regla de firewall

Jump: Salta a la cadena especificada en jump-target. El paquete pasa a la próxima regla ( en la cadena definida por el usuario)

Log Agrega el mensaje al system log conteniendo la data: in-interface, out-interface, src-mac, protocol, src-ip:port->dst-ip:port and length of the packet. El paquete pasa a la próxima regla

Passthrough: Esta regla es ignorada y pasa a la próxma regla (útil para estadísticas)

Reject: Descarta el paquete enviando el mensaje de rechazo ICMP. El paquete no pasará a la próxima regla de firewall

Return: Pasa de vuelta a la cadena donde el salto tuvo lugar. El paquete pasa a la próxima regla (en la cadena original, si no hubo una coincidencia previa que detuviera el análisis del paquete)

Tarpit: Captura y deja en espera las conexiones TCP (responde con syn/ack a las conexiones entrantes TCP SYN). El paquete no pasará a la próxima regla de firewall


NAT Actions

• accept

• add-dst-to-address-list

• add-src-to-address-list

• dst-nat

• jump

• log


• masquerade

• netmap

• passthrough

• redirect

• return

• same

• src-nat

Mangle

• El mangle es usado para marcar paquetes

• Separa el tráfico en diferentes tipos

• Las marcas son sólo utlizadas dentro del router

• Se utilizan en las colas para diferenciar tipos de limitaciones y prioridades

• El mangle no cambia la estructura del paquete (a excepción de DSCP y TTL)


Acciones del Mangle

• Mark-connection usa el connection tracking

• La información acerca de las nuevas conexiones es añadida a la tabla de conection tracking

• El router sigue cada paquete para aplicar el mark-packet


Mangle

• Las colas solo tienen marca de paquetes


Calidad de Servicio (QoS)


Módulo 7

Calidad de servicio

• QoS: Comprende el arte de administrar los recursos de ancho de banda de forma eficiente

• QoS puede priorizar el trafico basado en ciertas métricas:

• Aplicaciones críticas

• Tráfico sensible como voz o video en streams.


Colas Simples

• Es la forma más simple de limitar ancho de banda:

• Descarga del cliente (Download)

• Carga del cliente (Upload)

• Agregado de cliente, download+upload


Colas Simples

• Es necesario utilizar Target-Address. Puede ser:

Una dirección IP

Una subred

Una interfaz

• El orden de las colas es tomado en cuenta. Cada paquete debe ir por cada cola simple hasta que coincida con alguna


Colas Simples

• Creamos una limitación a su laptop.

• 64k Upload, 128k Download

Client’s address

Limits to configure


Colas Simples


• Revisar los limítes de carga y descarga

• Activar Rx Av. Rate y Tx Avg Rate

• El torch mostrará la rata de trasmisión y recepción.

Limitar basado en destino

• Ip address: El filtrado es basado en la IP destino a la cual el tráfico será enviado

• Interface: A través de cual interfaz pasará el tráfico

• Útil para limitar tráfico hacia recursos internos de la red: Ejemplo: un servidor.


Limitar al server

• Ping a www.mikrotik.com

• Poner la dirección de MikroTik en DST-address MikroTik.com

Address




Bandwidth Test Utility

• La prueba del ancho de banda puede ser utilizada para monitorear el rendimiento hacia un dispositivo remoto.

• La prueba de ancho de banda funciona entre dos routers MikroTik

• Existe una aplicación para windows, descargable en www.MikroTik.com


Bandwidth Test on Router • Menú tools Bandwidth Test

• Fijar Test To como dirección para la prueba

• Seleccionar el protocolo

• TCP soporta multiples conexiones

• Hay que autenticarse con el router remoto


Bandwidth Test

• El servidor debe ser habilitado

• Es recomendable dejar habilitada la autenticación


Priorización de tráfico

• Prioridad 1 es más alta que 8

• La prioridad debe estar al menos en 2

Select Queue Priority is in Advanced Tab

Set Higher Priority


PCQ

• Per Connection Queue PCQ es una forma dinámica de ecualizar tráfico para múltiples usuarios utilizando una configuración simple.

• El parámetro pcq-rate limita la máxima rata de datos para cada sub-stream


PCQ-Limit • Este parámetro es medido en paquetes.

• Un PCQ-Limit bajo

Incrementará los paquetes descartados (desde que es reducido el el buffer) y forzará al origen reenviar los paquetes reduciendo la latencia

Provocará un ajuste en la ventana TCP, indicando al origen que se ha reducido la tasa de transmisión

• Un PCQ-Limit alto:

Creará un buffer grande, reduciendo paquetes descartados

Incrementará la latencia


PCQ • PCQ es un tipo de cola

avanzada

• PCQ se utiliza para clasificar tráfico (desde el punto de vista del cliente)

• Los clasificadores dividen el tráfico (desde el punto de vista del cliente src-address es carga y dst-addres es descarga)


PCQ, uno limita a todos

• PCQ permite fijar un límite a todos los usuarios con una misma cola


PCQ, uno limita a todos

• Múltiples colas reemplazadas por una sola


PCQ, ecualiza el ancho de banda

• Distribuye equitativamente entre los usuarios


Ecualiza ancho de banda

• 1M de carga y 2M de descarga son compartidos entre varios usuarios del segmento 192.168.0.0/24


PCQ Lab

• El instructor hará una cola PCQ en el router principal.

• Los estudiantes probarán su velocidad de transferencia hacia internet.


Monitor de colas simples

• Se puede ver el gráfico de cada cola simple.

• Las gráficas muestran que tan bueno es el desempeño de cada cola.


Monitor de colas

Habilitemos los gráficos de las colas


Simple Queue Monitor

• Las gráficas están disponibles en el servidor web del mikrotik


Colas avanzadas • Reemplaza cientos de cola

en sólo pocas

• Fija el mismo límite a cualquier usuario

• Ecualiza el ancho de banda disponible entre los usuarios activos


Túneles


Módulo 8

Túneles • Los túneles son una forma de expandir la red privada a

través de la red pública como internet

• También está referido a VPNs (Virtual private networks)

• Existen 2 tipos de redes VPN:

• Remote Access: utilizado para conectar a empleados desde internet a la red corporativa (teletrabajo)

• Site-to-site: conecta dos redes privadas separadas por una red pública (son necesarios al menos 2 routers)


PPPoE

• Point to Point Protocol over Ethernet es amenudo utilizado para controlar conexiones DSL, cable modems y redes Ethernet

• MikroTik RouterOS soporta PPPoE cliente y PPPoE servidor


Configuración de Cliente PPPoE • Añadir un

cliente PPoE

• Es necesario crear la interfaz

• Colocar login y contraseña


Laboratorio Cliente PPPoE

• El instructor creará un servidor PPPoE en el router

• Deshabilitar el cliente DHCP en la interfaz de salida del router

• Configurar el cliente PPPoE en la interfaz de salida

• Colocar usuario class y contraseña class


• Revisar la conexión PPP

• Deshabilitar el cliente PPPoE

• Disable PPPoE client

• Habilitar el cliente DHCP y volver a la configuración anterior


Configuración de Cliente PPPoE

Configuración del servidor PPPoE

• Seleccione la interfaz

• Seleccionar el perfil


PPP Secret • Base de datos de

usuarios

• Colocar usuario y contraseña

• Seleccionar el servicio

• La configuración se toma desde el perfil


Perfiles PPP

• Colocar las reglas de los clientes usados para PPP

• La mejor manera es tener las mismas configuraciones para clientes diferentes


Perfil PPP

• Local address – Dirección del servidor

• Remote Address – Dirección del cliente


PPPoE

• Importante, el servidor PPPoE corre en la interfaz

• La interfaz PPPoE puede ser utilizada sin asignarle una IP

• Por seguridad, es recomendable dejar las interfaces PPPoE sin dirección IP


Pools

• El Pool define el rango de direcciones para PPP, DHCP, y clientes de portal cautivo

• Se utilizará un pool, puesto que se tendrá más de un cliente

• Las direcciones son tomadas del pool automaticamente


Pool


Estado de PPP


PPTP • Túnel punto a punto para encriptar tuneles

sobre IP

• MikroTik RouterOS incluye soporte para cliente y servidor PPTP

• Utilizado para resguardar enlaces entre redes locales sobre Internet

• También para acceso a clientes o trabajadores remotos a los recursos de una red local


PPTP


Configuración PPTP

• La configuración PPTP es muy similar a la de PPPoE

• L2TP también se configura de forma similar


Cliente PPTP • Cree una

interfaz PPTP

• Indicar la dirección del servidor PPTP

• Indique el usuario y la contraseña


Cliente PPTP

• Use una ruta por defecto para enrutar todo el tráfico hacia el túnel PPTP

• Use enrutamiento estático para enviar tráfico específico al túnel PPTP


PPTP Server

• Habilitar el servidor PPTP

• El servidor PPTP puede soportar múltiples clientes


PPTP

• Las configuraciones del cliente PPTP están almacenadas en PPP secret

• El PPP secret es utilizado para los clientes PPTP, L2TP, PPoE

• La base de datos de PPP es configurada en el servidor


Perfil PPP

• El mismo perfil es usado indistintamente para clientes PPTP, PPPoE, L2TP y clientes PPP


Laboratorio PPTP

• El instructor creará un servidor PPTP en el router de la clase

• Crear un cliente en una interfaz de salida

• Usar usuario class contraseña class

• Deshabilitar el servicio PPTP


Tópicos especiales


Módulo 9

HotSpot

• Herramienta para conexión rápida a internet

• El Portal cautivo permite autenticación de los clientes antes del ingreso a la red pública

• El servidor de portal cautivo provee manejo de cuentas de usuarios


Uso de portal cautivo

• Puntos de acceso abiertos, Internet Cafes, Aeropuertos, campus universitarios, centros comerciales, etc.

• Diferentes maneras de autorización

• Gestión de usuarios sencilla


Requerimientos de portal cautivo

• Dirección IP válida en internet y dirección IP local

• Servidores DNS

• Al menos un usuario del portal


Configuración de portal cautivo

• La configuración del portal es sencilla

• La configuración es similar al servidor DHCP


• Correr Hotspot Setup

• Seleccionar la interfaz

• Proceder a responder las preguntas

Select Interface to run HotSpot on

HotSpot address will be selected automatically Masquerade HotSpot network

automatically Addresses that will be assigned

to HotSpot clients Whether to use certificate

together with HotSpot or not IP address to redirect SMTP

(e-mails) to your SMTP server DNS servers address for HotSpot clients

DNS name for HotSpot server Añadir un usuario del portal cautivo


Configuración de portal cautivo

Notas importantes

• Usuarios conectados al portal cautivo serán desconectados de internet hasta autenticarse

• Los clientes tienen que ser autorizados por el portal para ingresar a Internet.


Notas importantes

• La configuración básica del portal cautivo crea:

• Un servidor DHCP en la interfaz del portal

• Un pool de direcciones para los clientes

• Reglas dinámicas de firewall (Filter y NAT)


Ayuda del portal cautivo

• El login del portal se muestra cuando el usuario intenta de ingresar a cualquier página web

• Para salir del portal cautivo es necesario ir a la IP o DNS del router para hacer logout


Laboratorio de Hotspot

• Crea un un HotSpot en la intefaz local

• No olvides el usuario y contraseña, de otra forma no se podrá ingresar a Internet


Tabla de host activos

Muestra información de los dispositivos que se logearon satisfactoriamente


Gestión de usuarios

Para añadir, editar o eliminar usuarios


HotSpot Walled-Garden

• Permite acceso a determinados recursos sin necesidad de autenticarse en el portal

• Sirve para HTTP y HTTPS

• También funciona para otros recursos (Telnet, SSH, Winbox, etc)


HotSpot Walled-Garden

Permita acceso sólo a www.mikrotik.com


Bypass HotSpot

• Menú IP binding

• Permite clientes puntuales sobre el portal cautivo

• Teléfonos IP, impresoras, superusuarios


Control de ancho de banda en portal cautivo

• Es posible asignar de forma dinámica cada usuario del portal

• Una cola simple es creada por cada usuario


Perfil del portal cautivo

Se crean opciones personalizadas del portal cautivo


Laboratorio avanzado de portal cautivo

A cada cliente se le entregará 64kb para la subida y 128kb para la bajada


Laboratorio de portal cautivo

• Añadir un segundo usuario

• Permitir acceso a www.mikrotik.com sin que sea necesario autenticarse en el portal

• Coloque la tasa de transferencia a 1M/1M a la laptop


Proxy


¿Qué es el Proxy?

• Mejora la velocidad de navegación web almacenando datos.

• Firewall HTTP


Enable Proxy

El check de Enable tiene que estar marcado, las otros Campos son opcionales


Proxy

• Proxy forzado: El usuario debe configurar su navegador para poder navegar por el proxy

• Proxy transparente: las conexiones HTTP son redireccionadas al proxy del MikroTik automáticamente


Proxy transparente

• Es necesaria una regla DST-NAT para el proxy transparente

• El tráfico HTTP será redirecionado hacia el router


Firewall HTTP

• Las listas de acceso del proxy permiten una opción para filtrar nombres de dominio

• Se pueden hacer redirecciones a páginas específicas


Firewall HTTP

• Dst-Host, una página web (http://test.com)

• Path, un subdirectorio de esa página http://test.com/PATH


http://test.com/

http://test.com/PATH




Firewall HTTP

• Crear una regla para bloquear acceso a una página web específica

• Crear una regla que rediriga el tráfico de la página no deseada a la página de su compañía


Web-proxy

• El proxy lleva el registro de las páginas web visitadas por los usuarios

• Es necesario revisar que se dispone de suficientes recursos para almacenar los logs (es mejor enviarlos a un syslog remoto)


Web-Proxy

• Añadir el log para el Web-Proxy

• Revisar logs


Cacheando en dispositivos externos

• El cache puede ser almacenado en dispositivos de almacenamiento externos

• Store gestiona todos los discos externos.

• Soporte para IDE, SATA, USB, CF, MicroSD


Almacenamiento • Gestión de las unidades externas

• Las unidades deben ser formateadas


Añadir almacenamiento • Se agrega un dispositivo de almacenamiento para

guardar los datos del proxy en una memoria externa

• El almacenamiento puede ser utilzado para proxy, user-manager y dude


Dude


Dude

• Programa de monitoreo de red

• Descubre automáticamente dispositivos

• Dibuja y documenta mapas de la red

• Servicio de monitoreo y alertas

• El software es gratuito

• Disponible en varios idiomas en www.mikrotik.com


Dude

• El dude consiste en dos partes:

1. Servidor Dude: no tiene interfaz gráfica. Se puede correr el dude inclusive en un RouterOS (ya no disponible para descargar)

2. Cliente Dude: se conecta al servidor y muestra toda la información que recibe


Instalación de Dude

• Disponible en www.mikrotik.com

• Instalación sencilla

Instalar Dude Server en el PC ©MikroTik Xperts 2014 301



Dude

• La opción de Discover se muestra al inicio

• Se puede descubrir la red local


Dude Lab

• Descargar el Dude de http:// 103.23.247.7

• Instalar Dude

• Descubrir la red

• Añadir la laptop y el Router

• Desconectar la laptop del router


Dude


Troubleshooting


Perdida de contraseña

• La única solución es resetear el router


Licencia RouterBOARD

• Todas las ordenes para compra de licencia son posibles desde la cuenta de MikroTik.

• Si el router pierde el Key por alguna razón, se puede obtener nuevamente de la lista logeandose en mikrotik.com

• Si el Key no está en la lista, se puede solicitar


Mala señal inalámbrica • Revisar que el conector de la antena esté

conectado correctamente

• Chequear que no haya agua u obstrucciones en el cable.

• Revisar si se utilizaron los valores por defecto del radio

• En último caso utilizar el botón de reseteo de la configuración inalámbrica


No hay conexión

• Probar un puerto Ethernet diferente

• Usar el jumper de reset en el RouterBoard

• Ver cualquier mensaje en la cónsola.

• Utilizar netinstall si es posible

• Contacte soporte ([email protected])


Antes del exámen de certificación

• Resetear el router

• Restaurar el backup.

• Revisar conexión a internet

• Recomendaciones:

Responder todas las preguntas del examen.

En las preguntas de selección múltiple no se indica la cantidad de respuestas, colocar sólo las que este bien seguro


Examen de Certificación

• Ir a http://www.mikrotik.com

• Logearse en su cuenta

o Ir a my training sessions

o Ubicar el curso MTCNA

o Tomar el examen de certificación MTCNA


mtcna

Documents