REDES Y TELEPROCESOS

TEMA:
INSTALACION Y CONFIGURACION DE MICROTICK Y
CONFIGURACION DE SERVICIOS.

NOMBRE: JORGE N. SISNIEGUES OBLITAS

CUI:20050420

Contenido
INTRODUCCIN.............................................................................................. 3
I PARTE........................................................................................................... 4
INSTALACIN DE MICROTICK..........................................................................4
CONFIGURACIN DE MICROTICK....................................................................7
II parte.......................................................................................................... 17
HotSpot........................................................................................................ 17
Unin de dos redes LAN............................................................................... 22
Configuracin PPPoE Server para su Red......................................................29
Conclusiones................................................................................................ 33
Recomendaciones antes de usar pppoe.......................................................34
Bibliografia................................................................................................... 35

INTRODUCCIN

Hoy por hoy la realidad nos dice que las redes informticas, se han vuelto
indispensables, tanto a las personas como organizaciones. Les da
oportunidad de interactuar con el resto del mundo, ya sea por motivos
comerciales, personales o emergencias. La optimizacin en el uso de los
sistemas informticos es uno de los elementos de interaccin y desarrollo
que rige los destinos de la ciencia informtica. La aparicin de las
plataformas de interconexin de equipos de computacin o redes
informticas. Las mismas resultan ser uno de los elementos tecnolgicos
ms importantes al momento de definir un sistema informtico en una
organizacin. Entre las principales las ventajas que le brinda a una empresa
el uso de redes informticas, podemos detallar algunas: compartir recursos
especialmente informacin (datos), proveer la confiabilidad, permite la
disponibilidad de programas y equipos para cualquier usuario de la red que
as lo solicite sin importar la localizacin fsica del recurso y del usuario.
Permite al usuario poder acceder a una misma informacin sin problemas
llevndolo de un equipo a otro. Tambin es una forma de reducir los costos
operativos, compartiendo recursos de hardware y/o de software entre las
diversas computadoras de su empresa.

I PARTE.
INSTALACIN DE MICROTICK
1. Bootear la PC para que haga boot desde el CD-ROM

2. Instalando
Despus que haya booteado seleccionaremos los paquetes que
queremos instalar, se puede ver los que estn marcados con una X
son los escogidos. Para esto nos ayudaremos con las teclas
direccionales y con la barra espaciadora los seleccionaremos. Los
paquetes que estn seleccionados en la imagen son los que suelo
instalar en los servidores.
3. Una vez que hayamos seleccionado vamos a proceder a instalar el
mikrotik, para ello presionamos la tecla "i" en ese proceso apareceran
preguntas
a
las
cuales
daremos
a
explicar

Do you want to keep old configuration? [y/n]:

Desea mantener la configuracin anterior?
Presionamos la tecla 'n'
Warning: all data in the disk will be erased! Continue? [y/n]:
Advertencia: todos los datos en el disco sern eliminados!
Continuar?
4. Presionamos la tecla "y" para que empiece a particionar y formatear
el disco o unidad de almacenamiento. Este proceso puede demorar
dependiendo de la capacidad del disco que se haya elegido para
hacer la instalacin.
Una vez que termine el proceso los paquetes seleccionados se

instalarn automticamente y al finalizar tedremos el mensaje:

5. Retiramos el CD de instalacion de la PC y presionamos la tecla 'enter'

para que el PC reinicie y el sistema cargue directamente del disco
duro.
Al prender la PC aparecer este mensaje:
It is recomended to check your disk drive for errors,
but it may take a while (~1min for 1Gb).
It can be done later with "/system check-disk".
Do you want to do it now? [y/N]
Es recomendable comprobar que su unidad de disco est libre de
errores,
pero puede tomar algn tiempo (~1min para 1Gb).
puede hacerse ms tarce con "/sistem check-disk".
Quiere hacerlo ahora?
6. Presionamos "N"
Saldr el siguiente pantallazo en la que te pregunta el password,
dejamos en blanco ya que por defecto el mikrotik no tiene password.

Login: admin
Password:
7. Una vez que hemos entrado observaremos una notificacin del
servidor que nos dice que nuestro sistema no tiene licencia, y que
tenemos menos de 24 horas para probarlo.

CONFIGURACIN DE MICROTICK
En esta etapa vamos a configurar las interfaces que se encuentran tanto en
nuestra PC como en el RouterBoard de Mikrotik. Para poder observar todas
las interfaces seleccionaremos del comando que se encuentra en la
izquierda la opcin "interfaces"

El esquema de la red ser la siguiente:

Confi gurando la WAN

Antes de configurar la WAN vamos a ver ms sobre las opciones que tiene
una interfaz en el Mikrotik: Como primer punto uno podr ver que por
defecto tiene un nombre de la interface llamado "ether1" "ether2" etc, en
este campo vamos a poder escribir el nombre de la interfaz a nuestro
antojo. Este paso es una gran ayuda debido a que vamos a poder reconocer
de forma rpida las interfaces. Adems existen otros datos, tales como,
saber si existe un cable de red conectado en ese puerto o saber si esta
habilitado

10

Ahora vamos a la interface llamada "ether1" y le cambiamos el nombre

a "WAN"

Ahora vamos a la interface llamada "ether2" y le cambiamos el nombre

a "LAN"

Listo ahora colocaremos las IPs a la WAN y a LAN, para ello entraremos a IP
y despus a Address para ello

11

Para la WAN colocaremos la siguiente IP 192.168.1.200/24

Para la LAN colocaremos la siguiente IP 192.168.10.1/24

12

El uso de /24 indica la mscara de red que tiene la direccin IP, por si no lo
sabas sirve para delimitar el mbito de una red. Te permite que todos los
grupos de direcciones IP que pertenecen a la misma mascara de red estn
en una misma red y por lo tanto son una misma unidad. En este caso la
mscara
de
red
es 255.255.255.0.

13

Bueno hasta el momento tenemos las IPs seleccionadas y mencionadas

ahora nos falta "natearlas", para este caso la lnea que nos provee internet
es el equipo ADSL (puede ser Zyxel) cuyo IP es 192.168.1.1, pero nosotros
vamos a crear nuestra propia red cuyo IP del mikrotik es 192.168.10.1,
entonces
nuestras
IPs
de
nuestra
nueva
red
sern
de
la
forma192.168.10.X donde X toma valores de [2 hasta el 254].

14

Chain, seleccionamos scrnat. Aunque siempre est as por defecto cuando

se crea una nueva regla. Out. Interface, seleccionaremos nuestra interfaz
WAN.

15

Ahora enmascaramos nuestra interfaz WAN

16

Ahora nos falta decirle al mikrotik que el internet viene del router
192.168.1.1,
que
para
este
caso
es
del
router
ADSL

En la ventana Route List, se observa que hay 2 reglas que nosotros no

agregamos (esto es normal) Vamos a prepararnos para agregar la puerta de
enlace que usar nuestro servidor Mikrotik, vamos a la pestaa Routes y
agregamos una nueva regla (+).

17

Gateway, aqu slo colocaremos la puerta de enlace del router ADSL

(192.168.1.1 para este caso), con esto le estamos diciendo al servidor de
dnde
llega
el
internet
para
repartirlo.

Con esto la interfaz de red LAN debera de tener internet si conectamos los
cables correctamente. Ahora lo nico que nos falta es configurar las tarjetas
de red de los clientes. Teniendo en cuenta que nuestra nueva puerta de
enlace es 192.168.10.1, entonces el cliente debera de tener esta
configuracin de acuerdo a ese rango de red.

18

19

II parte

HotSpot.
Mikrotik User Manager Billing + Hotspot
Veamos sin esta instalado el paquete usermanager si no est instalado pues
procedemos a instalarla para comprobar que esta instalado podemos
ingresar al winbox .

SYSTEM

20

PACKAGES

Luego activamos el Radius Server del mikrotik en direccion le asignamos el

IP
del
servidor
billing
en el caso que sea el mismo mikrotik entonces seria 127.0.0.1 osea
localhost
Luego elegimos el servicio que queremos activar en este caso hotspot luego
el password de conexion entre servidores.

21

El puerto escucha del servidor Radius activamos por defecto 1700

22

Vamos a HOTSPOT y seteamos en Server Profile , activamos la opcion Use

Radius y accounting para enlazar el Hotspot a nuestro servidor Radius.

Luego Para ingresar a configurar al Usermanager necesitamos tener una

clave de acceso para eso en new terminal creamos un usuario : admin y un
passwd : 1234

23

Luego entramos por web al user manager en nuestro caso es local seria la IP
del servidor mikrotik http://192.168.1.1/userman entramos con el user y
pass
creado

Luego Ponemos las mismas credenciales creadas en el Radius Server

24

25

Luego Creamos Los perfiles para asignacion de ancho de banda y horarios

aqui asignamos el ancho de banda

26

en este ejemplo estamos creando planes de 1MB tanto para bajada como
subida

Bien como veras es sencillo la configuracin entonces ya podemos crear

usuarios en la pestaa USER para que ya se conecten.

Unin de dos redes LAN

Inicialmente configuramos bsicamente dos Mikrotik en los dos lugares y
armamos una VPN IPSEC para que cree un tnel seguro y como este
protocolo enruta de manera nativa, en pocos minutos teniamos conexin
entre las dos oficinas.
Este cliente en su sucursal tena una conexin a Internet muy inestable y
eso nos trajo problemas con IPSEC. Se desconectaba solo y a veces no
volva a conectarse hasta no reiniciar los dos routers. Luego de buscar una
solucin a este problema, dimos con que configurando una VPN PPTP
gateway-to-gateway, esta era menos proclive a desconectarse ante fallas de
la conexin a Internet y ademas soportaba reconexin automtica.
Las direcciones IP que muestro a continuacin son solo de ejemplo, si las
reemplazan por las que ustedes tengan funcionara de igual manera.
Pueden copiar los comandos, reemplazar los nombres de las interfaces y las
IP con el Bloc de notas, mediante Winbox abren "New Terminal", pegan ah
lo
copiado
y
listo,

27

cabe aclarar que para que se establezca la comunicacin entre las dos
redes, estas tienen que tener diferentes rangos de IP.
Configurando la VPN PPTP gateway-to-gateway
Router1 (Casa central):
Configuramos las IP en las interfaces:
LAN:
/ip address
add address=10.0.0.254/24 broadcast=10.0.0.255 comment=""
disabled=no
interface=lan network=10.0.0.0
En este caso la conexin a Internet es por cablemodem as que la interfaz
de "WAN" obtiene IP mediante el "dhcp-client".
Muy importante en este es que queden las opciones "add-defaultroute=yes" y "use-peer-dns=yes". La primera setea la ruta por defecto y la
segunda permite que se usen los DNS del ISP.
/ip dhcp-client
add add-default-route=yes comment="" default-route-distance=0
disabled=no
interface=wan use-peer-dns=yes use-peer-ntp=yes
Los DNS. Tiene que estar la opcin "allow-remote-requests=yes" para que el
router acte como DNS cache y los equipos de la red puedan resolver
nombres de dominio en IPs.
/ip dns
set allow-remote-requests=yes
Configuramos el "masquerade" para que haga NAT de las IP de la LAN por la
IP publica hacia Internet.
/ip firewall nat
add action=masquerade chain=srcnat comment="" disabled=no outinterface=wan
Protegemos bsicamente el router.
/ip firewall filter
add action=accept chain=input comment="" connection-state=established
disabled=no
add action=accept chain=input comment="" connection-state=related
disabled=no
add action=accept chain=input comment="" disabled=no protocol=udp
28

add action=drop chain=input comment="" connection-state=invalid

disabled=no
Router2 (Sucursal)
/ip address
add address=10.0.1.254/24 broadcast=10.0.1.255 comment=""
disabled=no
interface=lan network=10.0.1.0
/ip dhcp-client
add add-default-route=yes comment="" default-route-distance=0
disabled=no
interface=wan use-peer-dns=yes use-peer-ntp=yes
/ip dns
set allow-remote-requests=yes
/ip firewall nat
add action=masquerade chain=srcnat comment="" disabled=no outinterface=wan
/ip firewall filter
add action=accept chain=input comment="" connection-state=established
disabled=no
add action=accept chain=input comment="" connection-state=related
disabled=no
add action=accept chain=input comment="" disabled=no protocol=udp
add action=drop chain=input comment="" connection-state=invalid
disabled=no
OK, hasta ac tendramos las dos oficinas con conexin a Internet pero nada
mas. Para configurar la VPN, en Router1:
En Winbox vamos al men PPP > Secrets. Mediante el boton "+" agregamos
una cuenta. En Name ponemos "sucursal", en Password, por ej. 123456, en
la lista desplegable Profile elegimos "default-encryption", en Local Address
la IP de LAN del router (10.0.0.254), en Remote Address 10.0.0.200 y damos
Apply.

29

En la solapa Interface en la lista desplegable del botn "+" elegimos PPTP

Server. En la ventana que se abre en User pondremos "sucursal" que era el
usuario que anteriormente creamos. Damos Apply.

Finalmente cliqueamos el botn "PPTP Server", marcamos "Enable" y nos

aseguramos que en Default Profile este seleccionado "default-encryption".

30

En el Router2 mediante Winbox vamos al men PPP, desde el botn "+",

elegimos PPTP Client, en la ventana seleccionamos la solapa "Dial Out". En
"Connect To" ingresamos la IP publica del Router1, en este caso por ejemplo
sera 192.168.10.164, en User ponemos "sucursal" y en Password "123456".
Nuevamente nos aseguramos que en Profile figure "default-encryption" y
damos Apply.

31

Si est todo bien, automticamente cuando den Apply en la lista de

Interface el "PPTP Client" va figurar como "Connected". Eso significa que ya
est conectado al otro router mediante la VPN. Lo podemos comprobar
fcilmente si desde el menu Tools le hacemos un ping a la IP de la LAN del
router de Casa central (10.0.0.254) y este responde.

Ahora tenemos respuesta del Router1 hacia el Router2, pero si prueban al

revs no va a funcionar. Lo que sucede en ese caso es que los paquetes IP
no conocen "el camino de vuelta" por decirlo de alguna manera, entonces
nosotros se lo vamos a ensear.
En el Router1 vamos a IP > Routes, con el "+" aadimos una ruta esttica.
En Destination ponemos la red remota (10.0.1.0/24) y en Gateway
ingresamos la IP que le otorga el PPTP Server al "usuario" "sucursal"
(10.0.0.200).

32

De la misma manera en el Router2 agregamos una ruta esttica. En

Destination ponemos la red remota 10.0.0.0/24 y en Gateway la IP de LAN
del
Router1
(10.0.0.254).
Aplicamos.

33

Ahora, si hacemos ping entre los routers a sus IP de LAN van a responder los
dos, igualmente si lo hacemos entre dos equipos de las 2 redes.

Configuracin PPPoE Server para su Red

34

Hoy en da sabemos que tan importante es

administrar a nuestros clientes optando como trabajo
un servidor que nos ofrezca mayor seguridad. Si
hablamos de tener una red ms segura y bien
encriptado, ya estara por dems hablar de
administracin de usuarios usando Hotspot o amarre
por ARP.
Desafortunadamente hoy en da hay programas hackers que burla la
seguridad por Hotspot, siendo vctimas de la clonacin de Mac. Sobre todo
hay ISP que por razones de Publicidad o Marketing dejan su red Libre a la
espera del portal cautivo. Esto sera presa fcil para nuestro atacante.

La autenticacin por PPPOE (protocolo Punto a Punto sobre Ethernet) es un

protocolo de red para la encapsulacin PPP sobre una capa de Ethernet.
La de poder este sistema es que primero el usuario tiene que identificarse y
luego el servidor le brinda una IP dentro del POOL de IP pre configurado en
el Mikrotik.
Lo que es diferente con el Hotspot. Puesto que la identificacin del cliente
funciona asi.
Primero le da la IP, dejando al descubierto nuestro POOL de IP(RANGO DE
IPS) de nuestro server, como tambin dejando al descubierto las Mac
registradas, listo para ser atacado.

35

1.- seleccionamos y renombramos la interface para nuestro concentrador

pppoe.

2.- crearemos un pool de ip locales para nuestro servicio pppoe

36

3.- creando un perfil para cada servicio pppoe

name : ponemos un nombre cualquiera
Local address : seleccionamos una ip de nuestra red local
Remote address : elegimos nuestro pool de ips creado anteriormente de
nuestra red local
Dns server : elegimos nuestros dns, preferentemente de nuestro proveedor
de servicio

37

4.- agregamos el concentrador pppoe sobre una ethernet

name : elegimos un nombre cualquiera

Interface : seleccionamos la interface para nuestro servicio pppoe
Default profile : seleccionamos el perfil creado para nuestros clientes
5.- creando usuarios para pppoe server

Name : asignamos un usuario al cliente

Password : asignamos una contrasea al cliente
Servicio : elegimos solo el servicio pppoe
Profile : elegimos el perfil creado anteriormente
Local address : elegimos nuestra ip local

38

Conclusiones
En conclusin no es recomendable usar la administracin por hotspot si es
que no se tiene otro sistema de seguridad de por medio.
Si hablamos de mayor seguridad, optaramos por administrar a nuestros
usuarios usando concentrados pppoe.
Se defini la configuracin de las interfaces. Asignando
direcciones de IP a las mismas y definicin de las Vlan.

nombres,

Se configur el servidor de DHCP para cada una de las sub redes. En el cual
se definieron los pools de ip para cada una. Tambin la asignacin
direcciones del IP fijas a partir de direcciones MAC de los servidores.
Se configuro un servidor PPPoE para autenticar usuarios que se deseen
loguear al rea de produccin. El cliente de PPPoE se configur para que la
red tenga un tercer acceso a Internet mediante Adsl de backup.
Se configur un servidor de Web Proxy para optimizar la utilizacin de los
recursos hacia Internet. En el mismo se configuro polticas de bloqueo de
trfico hacia ciertas pginas al igual que el bloqueo de descarga de ciertos
archivos.

39

Recomendaciones antes de usar pppoe

Usar equipos en la serie Ubiquiti.
Tener habilitado el Protocolo Airmax para Mayor potencial y seguridad.
Tener buenos enlaces de emisor a cliente.
Usar preferiblemente un rb1100 ahx2 como Administracin.
Pasos para configurar pppoe sobre una ethernet o interface

40

Bibliografia
Chris Hurley, Russ Rogers, Frank Thornton, and Daniel
(2006).Wardriving & Wireless Penetration Testing. 1ra
EstadosUnidos: Syngress (431 Pag.)

Connelly.
Edidcion.

Freeraduis
2008.
Wiki
<http://wiki.freeradius.org/Main_Page>[04/2008]

site

Mallery, John; Zann, Jason; Kelly, Patrick. Blindaje de Redes.

Edicion.Espaa. Anaya Multimedia. (720 pag)

1ra

Mikrotik. (2006) MikroTik RouterOS v2.9

Edicion,Estados unidos: Mikrotik SIA. (695 pag)

1ra

Reference

Manual,

Mikrotik
2007.
Manual
de
<http://www.mikrotik.com/testdocs/ros/2.9/>[04/2008]

referencia.

Mikrotik 2008. Mikrotik Forum.<http://forum.mikrotik.com>[04/2008]

Mikrotik. 2008. Wiki Site.<http://wiki.mikrotik.com>. [04/2008]
Mrtg
2008.
Documentation
Site<http://oss.oetiker.ch/mrtg/doc/index.en.html>[04/2008]
Scrimger, Rob (Wiley John + Sons).Tcp/Ip
EstadosUnidos: Hungry Minds. (626 pag)

41

Bible.2da

Edicin.