Está en la página 1de 312

Presentacin

Presentarse individualmente
Nombre
Compaa
Conocimiento previo sobre RouterOS
Conocimiento previo sobre networking

Qu espera de este curso?


Recuerde su nmero N de clase
Mi nmero es: _____
MikroTik Xperts 2014

Cronograma
08:00 10:30 Sesin I
10:30 11:00 Receso

11:00 13:00 Sesin II


13:00 14:00 Hora de almuerzo

14:00 15:30 Sesin III


15:30 16:00 Receso

16:00 17:30+ Sesin IV


MikroTik Xperts 2014

Objetivos del Curso

El sistema RouterOS y las capacidades del


hardware RouterBoard

Prcticas sobre el router MikroTik,


configuracin, mantenimiento y resolucin
de problemas.

Capacitar para dar servicios bsicos a


clientes
MikroTik Xperts 2014

Durante el curso
Ubicacin de salida de emergencia , sanitarios y refrigerios.
Hidratacin
Material del curso

Equipo RB951-2n o RB751

2 Cables de red (uno corto y uno largo)

Gua de estudio con clip

Por respeto al entrenador y a sus compaeros favor:

Colocar el telfono celular en silencio

Tomar las llamadas fuera del saln

No est permitido tomar videos parcial o total de las clases.


MikroTik Xperts 2014

Modulo 1
RouterOS y Routerboard

MikroTik Xperts 2014

Acerca de MikroTik
Fabricante de Hardware y desarrollador de software
Productos utilizados por ISP, WISP, compaas, etc.
Hacer las tecnologas de Internet ms rpidas,
potentes y asequible para una gama ms amplia de
usuarios

www.mikrotik.com
www.routerboard.com
wiki.mikrotik.com
forum.mikrotik.com

en.wikipedia.org/wiki/MikroTik

Industria

Networking hardware

Ao de fundacin

1995

Sede

Riga, Latvia

Directivos

John Tully, CEO


Arnis Riekstins, CTO

Productos

Routers, Firewalls

Ingresos

62.5 million Euros (2011)

Ingresos Netos

20.6 million Euros (2011)

Empleados

80 (2012)

MikroTik Xperts 2014

Dnde est MikroTik ?


Riga, LATVIA,
Letonia
Noreste de Europa

MikroTik Xperts 2014

La Historia de MikroTik
1995: Fundacin
1997: Software RouterOS para x86 (PC)
2002: Nacimiento de RouterBOARD
2006: Primer MUM
Evolucin del RouterOS
v6 Mayo 2013
v5 - Mar 2010
v4 - Oct 2009
v3 - Jan 2008
MikroTik Xperts 2014

Qu es RouterOS ?

RouterOS es un sistema operativo que convierte a un dispositivo en:


Un router dedicado
Un clasificador de trfico
Filtro transparente de paquetes
Un dispositivo inalmbrico compatible con 802.11a,b/g,n
Firewall
Enlaces inalmbricos
VPN
Portal Cautivo
El sistema opertativo de los RouterBOARD
Puede ser instalado en un PC

MikroTik Xperts 2014

Qu es RouterBOARD ?

Un hardware creado por Mikrotik

Todos operan con el sistema RouterOS

Abarca un rango amplio desde routers caseros


hasta routers de proveedores de servicio.

MikroTik Xperts 2014

10

Soluciones
Integradas
Son productos que se entregan completos con su caja

y adaptador de corriente
Listos y preconfigurados con las funcionalidades ms
bsicas, solo es necesario conectarlos a internet o a la
red corporativa

Tarjetas
Son vendidas por separadas, es necesario la compra

de caja, adaptador e interfaces por separado


Perfectas para ensamblar sistemas con la mayor
personalizacin
MikroTik Xperts 2014

11

Nota de inters

El nombre de los routers es seleccionado de


acuerdo a las caractersticas del mismo. Ejemplos:
o

CCR : Cloud Core Router

RB : RouterBoard

2, 5 : 2,4GHZ or 5GHz wifi radio

H : High powered radio

S : SFP

U : USB

i : Injector

G : Gigabit ethernet
MikroTik Xperts 2014

12

Primer acceso

Null Modem
Cable

Ethernet
cable

MikroTik Xperts 2014

13

Formas de acceso

Va RS232 (Slo para ciertos RouterBoard)


Va WEB
Va Winbox (IP o MAC)
Va Telnet

Disponible en casi todos los sistemas operativos


Forma insegura

Va SSH
Dispone de muchas erramientas gratuitas para su conexin, tales como
PuTTY
Va segura de acceso
MikroTik Xperts 2014

14

Equipo de fbrica
Conectar la laptop al puerto 5 del router
El equipo entregar una IP del segmento 192.168.88.0/24

MikroTik Xperts 2014

15

Descarga de Winbox
Ingresamos al servidor web interno del router con la IP del router 192.168.88.1
Al tener usuario/clave por defecto ingresar directamente al men webfig de
gestin
Descargar el winbox y guardar en el escritorio

MikroTik Xperts 2014

16

Descarga del Winbox


www.mikrotik.com

MikroTik Xperts 2014

17

Winbox

Es la aplicacin para la configuracin del RouterOS


Winbox es una herramienta que permite administrar un
Mikrotik utilizando una rpida y simple interfaz grfica.
Es nativo de Windows, pero puede ser utilizado en Linux o Mac
mediante Wine.
Todas las funciones de Winbox son lo mas parecidos a
configuralo por cnsola, razn por la cual no hay secciones
especficas del Winbox en el manual.
Algunas opciones avanzadas no son posibles va Winbox, como
el cambio de MAC de una interfaz.
Puede ser descargado desde www.mikrotik.com/download.
MikroTik Xperts 2014

18

Conectando
Haz click en el botn [...] para ver el router

MikroTik Xperts 2014

19

Conectando

Ethernet
Cable

Winbox
MikroTik Xperts 2014

20

Laboratorio de conexin
Ingrese al Mikrotik mediante la Mac-Address
El usuario por defecto es admin sin
password.

Tome unos minutos para ver la ubicacin de


los menus

MikroTik Xperts 2014

21

Laboratorio de conexin

Borrar la configuracin
por defecto

Caso 1: desde el men


Remove Configuration
v

Caso 2: desde el terminal


system reset-configuration no-defaults=yes
v

En este caso pedir reinicio


MikroTik Xperts 2014

22

Comunicacin
El proceso de comunicacin se divide en 7
capas.

Abarca desde la ms baja (capa fsica) hasta


la ms alta capa de aplicacin.

MikroTik Xperts 2014

23

MikroTik Xperts 2014

24

7 Aplicacin
Especifica los mtodos para llevar a cabo una tarea iniciada por el usuario. Los protocolos de la capa de aplicacin
tienden a ser concebidos y ejecutados por los desarrolladores de aplicaciones. Ejemplo: FTP, Skype, HTTP, etc.
6 Presentacin
Especifica los mtodos para la expresin de los formatos de datos y normas de traduccin para aplicaciones. La
encriptacin se asocia algunas veces con esta capa. Ejemplo: Conversin de EBCDIC a ASCII. Extensiones JPEG,
Docx
5 Sesin
Especifica mtodos para mltiples conexiones que constituyen una sesin de comunicacin. Esto puede incluir
cerrar conexiones, reiniciar conexiones y puntos de control. Ejemplo: ISO X.25
4 Transporte
Especifica los mtodos para las conexiones entre mltiples programas que se ejecutan en el mismo PC. Esta capa
puede implementar entregas seguras en caso de que no se apliquen en otros lados. Ejemplo: Internet TCP, ISO,
TP4)
3 Red
Para redes de paquetes, describe un formato de paquete abstracto y su estructura de direccionamiento estndar.
Ejemplo: IP datagram, X.25 PLP, ISO CLNP
2 Enlace de datos
Especifica los mtodos para comuncarse a travs de un enlace, incluyendo protocolos de control de acceso al
medio. La deteccin de error se incluye comunmente en esta capa. Ejemplo: Ethernet, Wi-Fi, ISO 13239/HDLC.

1 Fsica
Especifica los conectores, tasas de datos, y la forma en que los bits son codificados en algn medio. Tambin
describe deteccin y correccin de bajo nivel, ms asignaciones de frecuencia. Ejemplo: V.92, Ethernet
1000BASE-T, SONET/SDH
MikroTik Xperts 2014

25

MAC address
Direccin nica de capa de enlace
Utilizada para comunicaciones dentro de la
misma LAN

Ejemplo: 00:0C:42:20:97:68
MikroTik Xperts 2014

26

IP
Es la direccin lgica para un dispositivo de
red.

Se utliza para comunicacin entre distintas


redes.

Ejemplo: 159.148.60.20
MikroTik Xperts 2014

27

Subredes
Rango de IP que divide la porcin de red en
varios segmentos

Ejemplo: 255.255.255.0 o /24


MikroTik Xperts 2014

28

Subredes

La direccin de red es la primera direccin de la subred.


(no se puede utilizar) Ej: 192.168.1.0/24
La primera direccin disponible de host corresponde con
el consecutivo de la direccin de red. Ej: 192.168.1.1/24
La ltima direccin disponible de host corresponde con la
direccin anterior al broadcast. Ej: 192.168.1.254/24

La direccin de broadcast es la ltima IP de la subred (no


se puede utilizar). Ej: 192.168.1.255/24
MikroTik Xperts 2014

29

Estructura de direccionamiento IP

Cada PC conectado a una red TCP/IP debe tener al


menos una IP para comunicarse.(Capa 3)
IP: 32 bits = 4 octectos
1 octeto = 8 dgitos binarios = 1 Byte
Se representa con decimales por sencillez.

MikroTik Xperts 2014

30

CIDR

Subnet Mask

/32
/30
/29
/28
/27
/26
/25
/24

255.255.255.255
255.255.255.252
255.255.255.248
255.255.255.240
255.255.255.224
255.255.255.192
255.255.255.128
255.255.255.0

Hosts
Disponibles
42=2
82=6
16 2 = 14
32 2 = 30
64 2 = 62
128 2 = 126
256 2= 254

CIDR

Subnet Mask

Hosts Disponibles

/23
/22
/21
/20
/19
/18
/17
/16

255.255.254.0
255.255.252.0
255.255.248.0
255.255.240.0
255.255.224.0
255.255.192.0
255.255.128.0
255.255.0.0

512 2 = 510
1024 2= 1022
2048 2 = 2046
4096 2 = 4094
8192 2 = 8190
16384 2= 16382
32768 2= 32766
65536 2= 65534

El prefijo es expresado en notacin CIDR (Classless Inter-Domain


Routing). Primero se escribe la direccin de la red seguida por el
caracter (/), finalizando con la cantidad de bits del prefijo de red
y subred. Por ejemplo una 192.168.1.0/24 tiene 24 bits de red y
los restantes 8 bits son para host.
MikroTik Xperts 2014

31

Seleccionando la
direccin IP
Seleccione una direccin IP del mismo
segmento de su red local

Especialmente en redes grandes con


segmentos mltiples.

MikroTik Xperts 2014

32

Escogiendo una IP
RANNGO

Direccin de Red: 192.0.0.0/16


1 Host vlido: 192.0.0.1
....
ltimo host vlido: 192.0.255.254
Broadcast: 192.0.255.255

MikroTik Xperts 2014

33

Topologa de clase
ether1-wan

ether5-laptop

laptop

Router1

wan: 103.23.247.x (DHCP Cliente)

lan: 192.168.N.1/24

Mikrotik
Principal
lan: 192.168.N.1/24

laptop

Internet

103.23.247.1

Router
2

wan: 103.23.247.x (DHCP Cliente)

MikroTik Xperts 2014

34

Laptop - Router
1. Deshabilitar cualquier interfaz
inalmbrica de la laptop

2. Colocar la direccin IP
192.168.N.1

3. Colocar mscara 255.255.255.0


4. Colocar 192.168.N.254 como
puerta de enlace predeterminada
y DNS preferido
MikroTik Xperts 2014

35

Etiquetar interfaces (TIP)


1.Ingresar al router
2.Ir a interfaces
3.Hacer doble
click sobre una
interfaz

4.Cambiar el
nombre
MikroTik Xperts 2014

36

Laptop - Router
1.Conectar al router
con MAC-Winbox

2.Agregar la IP
192.168.N.254/24 al
puerto ether5

MikroTik Xperts 2014

37

Laptop - Router
Cerrar el Winbox y conectar de nuevo
utilizando la direccin IP.

El acceso va MAC debe ser slo usado


cuando el router no sea accesible va IP.
MikroTik Xperts 2014

38

Router - Internet
El Gateway a internet de la clase ser
accesible va cable UTP.

El router del instructor ser su proveedor de


internet.

MikroTik Xperts 2014

39

Router - Internet

MikroTik Xperts 2014

40

Router - Internet

Revisar la
conectividad hacia
internet.

MikroTik Xperts 2014

41

Router Internet
Class AP
Your Laptop

Your Router

DHCP-Client
Ether1-wan
MikroTik Xperts 2014

42

Laptop - Internet
Cambie el DNS de su laptop con la IP de su
router. (192.168.N.254)

MikroTik Xperts 2014

43

Laptop - Internet
La laptop puede acceder al router y el router
puede acceder a internet, para que su laptop
acceda a internet es necesario un paso
adicional.

Es necesario crear una regla de Masquerade


en el Firewall Filter para ocultar su red
privada detrs del router y que pueda ser
enrutable hacia internet.
MikroTik Xperts 2014

44

IPs privadas y pblicas

El Masquerade es utilizado para acceso a redes pblicas,


donde no son enrutables IP privadas.

Segn el RFC 1918 de la IETF las redes privadas son:


10.0.0.0 - 10.255.255.255 (10.0.0.0 /8)
172.16.0.0 - 172.31.255.255 (172.16.0.0 /12)
192.168.0.0 - 192.168.255.255 (192.168.0.0 /16)
MikroTik Xperts 2014

45

Laptop - Internet

MikroTik Xperts 2014

46

Laptop - Internet

Su router puede ser el servidor DNS de su red local (laptop)


MikroTik Xperts 2014

47

Probar conectividad
Ping www.mikrotik.com desde su laptop

MikroTik Xperts 2014

48

TroubleShooting

Su router puede hacer ping al AP?


Puede su router resolver nombres?
Puede llegar a redes ms alla de su router?
Su Laptop puede resolver nombres?
Coloc correctamente la regla de Masquerade?
Verificar que la laptop tenga puerta de enlace y
DNS configurados correctamente.
MikroTik Xperts 2014

49

Diagrama de red
Your Laptop

Your Router

Class AP

192.168.N.1 192.168.N.254
DHCP-Client
MikroTik Xperts 2014

50

Gestin de usuarios

Control de usuarios
Se pueden crear diferentes tipos de usuarios

MikroTik Xperts 2014

51

Laboratorio de gestin
de usuarios

Crear un nuevo usuarios con acceso de lectura


Recordar el nombre/contrasea de usuario
Logearse con el nuevo usuario y ver las
limitaciones de la nueva cuenta.

Ingresar como Admin y cambie la cuenta


creada a privilegios Full
MikroTik Xperts 2014

52

Antes de actualizar
El procedimiento requiere planificacin
Paso a paso en orden preciso

Requiere probar
Recomendable realizarlo en una ventana de
mantenimiento
Puede que ciertas caractersticas o sintaxis de la
configuracin anterior no coincidan con la nueva versin
Estar preparado para retornar a la versin previa si es
necesario
MikroTik Xperts 2014

53

Antes de actualizar

Revisar la arquitectura que corresponde con el sistema


operativo (mipsbe, pcc, X86, misple, tile)

Si dudas es posible revisar la arquitectura en la esquina


izquierda del Winbox

Conocer los archivos que requiero:


NPK : Sistema base RouterOS con los paquetes estndar.
ZIP: Contiene todos los paquetes (bsicos y adicionales)

Changelog: Indica los cambios y mejoras entre versiones


MikroTik Xperts 2014

54

Laboratorio de
actualizacin de RoS
Descargar los paquetes .zip desde http://103.23.247.7
Descomprimir el archivo .zip en una carpeta
Subir los archivos desde el winbox va IP
Reiniciar el router con el comando reboot.
Las actualizaciones siempre estn disponibles en
www.mikrotik.com
MikroTik Xperts 2014

55

Actualizando el router

Utilizar el combinado de paquetes de RouterOS


Arrastrar los archivos a files.
MikroTik Xperts 2014

56

Laboratorio de
actualizacin de RoS

En nuevas versiones de RoS se habilita la descarga


automtica.

MikroTik Xperts 2014

57

Downgrade
Si en el algn momento necesitamos bajar a una
versin anterior:

Subimos los archivos de la versin en el files

Y en el package List clickeamos Downgrade


Tambin es posible va terminal con el comando

system package downgrade

MikroTik Xperts 2014

58

Gestin de paquetes

Las funcionalidades del RouterOS son habilitadas


mediante paquetes
MikroTik Xperts 2014

59

Informacin de paquetes

MikroTik Xperts 2014

60

NTP
Network Time Protocol, para sincronizar hora
Son soportados el Servidor NTP y el cliente
NTP en RouterOS

MikroTik Xperts 2014

61

Por qu NTP?
Para obtener la hora correcta
En el caso de routers sin memoria interna
pueda preservar la informacin de la hora

Disponible en todos los RouterBOARDs


MikroTik Xperts 2014

62

Cliente NTP
El paquete NTP no es requerido

MikroTik Xperts 2014

63

Laboratorio de paquetes
Deshabilitar NTP (Pregunta de exmen)
Reiniciar con reboot
Revisar que NTP Client cambio a SNTP Client
MikroTik Xperts 2014

64

Actualizacin del
RouterBoot

Revisamos la versin actual


De ser necesario actualizar
MikroTik Xperts 2014

65

Router Identity
Opcin para colocarle nombre al router

MikroTik Xperts 2014

66

Router Identity Lab

Colocarle al nombre del router su su nmero N_nombre

MikroTik Xperts 2014

67

Router Identity
El nombre puede ser visto en diferentes sitios.

MikroTik Xperts 2014

68

Tipos de respaldo
Respaldo Binario (.backup)
Exportar la configuracin (.rsc)

MikroTik Xperts 2014

69

Respaldo Binario

Se pueden hacer respaldos y restaurar configuraciones en el men file de Winbox.

Se garantiza la restauracin en un router idntico en Software y Hardware

Son archivos encriptados por lo que no son editables


Tambin se pueden hacer y restaurar respaldos desde el terminal permitiendo
personalizacin del archivo. Ejemplos:

system backup save name=mirespaldo_RB750_5.26 (Creacin)


system backup load name=mirespaldo_RB750_5.26 (Restauracin)
MikroTik Xperts 2014

70

Respaldo con Export


Se pueden hacer respaldo parciales o totales de la configuracin

Estos archivos son editables


Las contraseas no son guardadas con el export
Se puede utilizar compact para que muestre slo la configuracin que no es
por defecto.
Para importar una configuracin tener en cuenta no sobreescribir comandos

/export file=conf_RB750_Dic-12 (Respaldo completo)


/export compact file=conf_RB750_Dic-12 ( Respaldo limpio)
/ ip firewall filter export file=firewall-aug-2012 (Respaldo parcial)
/import file-name=conf_RB750_Dic-12 (Restauracin)
MikroTik Xperts 2014

71

Laboratorio de Backup
Crear archivos de backup y export
Descargarlos a la laptop.
o Nota: tener los respaldos en el files unicamente no es
una buena estrategia

Abrir el archivo de export con un editor de texto


MikroTik Xperts 2014

72

Licencias
6 Niveles de Licencia
0 : Demo (24 horas)

1 : Free (muy limitada)


3 : WISP CPE (Cliente Wi-Fi)

4 : WISP (Requerida para colocar en modo AP el router)


5 : WISP (Mayor capacidad de usuarios, VPNs,etc)

6 : Controller (Capacidade ilimitadas)


MikroTik Xperts 2014

73

Licencias

MikroTik Xperts 2014

74

Obtener una licencia


Tips:
La licencia se puede utilizar
para un nico dispositivo

Login to
your account

Todos los RouterBoard vienen


con una licencia preinstalada

Se recomienda no formatear
la unidad con herramientas
que no sean de MikroTik

MikroTik Xperts 2014

75

Netinstall
Usar para instalar o reinstalar el RouterOS
Se utiliza cuando se pierde el password de
acceso o se corrompe el RouterOS

Corre en computadores Windows


La conexin directa con el router es
preferida o sobre un Switch

Disponible en www.mikrotik.com
MikroTik Xperts 2014

76

Procedimiento Netinstall
1. Descargar el Netinstall y el archivo .npk de la versin 5.26
2. Desactive firewall y antivirus del computador

3. Conectar el computador en el puerto 1


4. Colquele a su computador una IP esttica
5. Abra la aplicacin Netinstall
1. Haga click en Net-booting y coloque una IP en el
mismo segmento de su computador
2. En la seccin de Package, haga click en Browse y
ubique el directorio con el archivo NPK correcto
MikroTik Xperts 2014

77

Procedimiento Netinstall
5. Desconecte la alimentacin y presione el botn reset
6. Conecte el la alimentacin y libere el botn reset cuando el
led ACT se apague (unos 10 seg)

7. Seleccione el router luego que aparezca en Routers/Drive


Cuidado: no aplique este procedimiento a los disco duros de
su computador, podra formatear la unidad.
8. Seleccione el RouterOS requerido en Packages. 9. Presionar
el botton Install y esperar a que cargue

MikroTik Xperts 2014

78

Links tiles

www.mikrotik.com gestin de licencias, documentacin


forum.mikrotik.com compartir experiencias con otros
usuarios, foro moderado por el equipo de MikroTik
wiki.mikrotik.com toneladas de ejemplos
www.tiktube.com Videos de presentaciones de trainers,
partners, ISPs durante, etc durante los MUMs

MikroTik Xperts 2014

79

Mdulo 2
Enrutamiento

MikroTik Xperts 2014

80

Conceptos de
enrutamiento

Enrutamiento es un proceso de la capa 3 del


modelo OSI.

Define a donde ser reenviado el trfico


Es requerido para que diferentes redes se
comuniquen entre s.

Es necesario rutas bidireccionales para que


haya comunicacin entre 2 redes.
MikroTik Xperts 2014

81

Significado de flags

Las rutas tienen diferentes estatus. En este


curso conoceremos los siguientes:
X : Deshabilitado
A : Activo
D : Dinmico
C : Conectado
S : Esttico
MikroTik Xperts 2014

82

Rutas estticas
Las rutas a subredes que ya existen en el
router son creadas automticamente a
penas se agrega una IP a la interfaz (rutas
conectadas)

Para subredes que estn conectadas a otros


routers necesitaremos rutas estticas
MikroTik Xperts 2014

83

Rutas
Validar la configuracin
Pruebe hacer ping a su laptop
Pruebe hacer ping al laptop del vecino
192.168.N.1

Configuraremos rutas estticas para poder


llegar a su vecino.
MikroTik Xperts 2014

84

Entendiendo los campos


Flags: El estado de cada ruta como fue
explicado anteriormente.
Destination address: define las redes que
pueden ser alcanzables
Gateway : La IP del prximo salto (router para
poder alcanzar red destino)

Distancia: Valor utilizado para la seleccin de la


ruta. En las configuraciones que tenemos
varias distancias posibles, la ruta preferida
es la ruta con el menor valor.
Pref. Source : La direccin IP de la interfaz
local que es responsible de enviar los
paquetes de una red anunciada
MikroTik Xperts 2014

85

Gateway por defecto


Gateway por defecto:
El prximo salto
donde todos los
paquetes cuyas rutas
no se conozcan sern
enviados
MikroTik Xperts 2014

86

Laboratorio de gateway por


defecto
En estos momentos su router recibe el
gateway por DHCP

Deshabilite que se reciba va DHCP


Agregue la puerta de enlace predeterminada
manualmente.

MikroTik Xperts 2014

87

Enrutamiento

Revise las otras


rutas

Las rutas
marcadas con
DAC son
agregadas
automticamente

La ruta DAC viene


de las interfaces
activas con
direccin IP

MikroTik Xperts 2014

88

Enrutamiento esttico
El objetivo es hacerle ping a la laptop del
vecino

Lo conseguiremos mediante rutas estticas


MikroTik Xperts 2014

89

Enrutamiento esttico
Las rutas estticas definen como alcanzar
una red destino

El Default gateway tambin es una ruta


esttica hacia 0.0.0.0, enva todo el trfico
cuya ruta desconoce

MikroTik Xperts 2014

90

Enrutamiento esttico
Deshabilitaremos la regla de masquerade
que esconde nuestra red privada

Es necesaria una ruta esttica para alcanzar


la laptop del vecino dado que el gateway
(router del instructor) no tiene informacin
de las redes privadas de los estudiantes.
MikroTik Xperts 2014

91

Ruta hacia su vecino


Recuerda la topologa de red
La red de su vecino tiene el formato
192.168.N.0/24

Preguntele al vecino la direccin IP de su


interfaz wan.

MikroTik Xperts 2014

92

Rutas

Las reglas del


ip route
indica a
donde van a
ser enviados
los paquetes

Para ver las


rutas:

/ip route

/print
MikroTik Xperts 2014

93

Ruta al vecino
Agregue una ruta
Indique la red destino, la red local de su
vecino

Indique el gateway, la direccin que es usada


para alcanzar el destino, corresponde con la
IP de la interfaz wan del router vecino
MikroTik Xperts 2014

94

Ruta al vecino
Agregue ruta
Coloque el
gateway

Haga ping a la
laptop de su
vecino

Nota: Recuerde que debe


haber una ruta de regreso
MikroTik Xperts 2014

95

Enrutamiento dinmico
La misma configuracin es posible con
enrutamiento dinmico

Imagine que tiene que crear rutas estticas a


cada vecino de su red.

En lugar de crear cientos de rutas, los


protocolos dinmicos intercambian paquetes
y ejecutan algoritmos que les permite
encontrar y divulgar mejores rutas hacia
algn destino.
MikroTik Xperts 2014

96

Enrutamiento dinmico
Fcil de configurar, difcil de gestionar y
hacer troubleshooting

Utiliza mayores recursos de RAM y CPU del


router

MikroTik Xperts 2014

97

Enrutamiento dinmico
Veremos uno slo de los protocolos de
enrutamiento dinmicos: OSPF

OSPF es de rpida convergencia y obtiene


rutas ptimas.

Fcil de configurar
MikroTik Xperts 2014

98

Configuracin OSPF

Agregue su red
LAN y su red WAN
en la pestaa
Networks de OSPF
El protocolo se
habilitar

Nota: Lo nico necesario para


activar OSPF es agregar una
red Networks
MikroTik Xperts 2014

99

OSPF LAB
Revisar las rutas
Hacer ping al PC de su vecino
Recuerde, son necesarios conocimientos
adicionales para administrar redes con OSPF

MikroTik Xperts 2014

100

Mdulo 3
Bridging

MikroTik Xperts 2014

101

Bridge

Los puentes son dispositivos de la capa 2 del modelo OSI.


Son utilizados para unir dos segmentos diferentes (o similares)
Para crear un bridge se debe crear una interfaz de bridge
Luego aadir las interfaces correspondientes a ese bridge.

Son utilizados para crear dominios de colisin ms pequeos.


Los Switches son conocidos como puentes multi puertos.

Cada puerto es un dominio de colisin de un dispositivo.

MikroTik Xperts 2014

102

Ejemplo 1

Todas las computadoras se pueden comunicar entre si


Todas tienen que esperar que todas esten calladas antes de
empezar a transmitir

MikroTik Xperts 2014

103

Ejemplo 2
Todas las computadoras an necesitan escuchar al otro
Todas las computadoras ahora slo comparten la mitad del
cable
An todas tienen que esperar que todas estn calladas, pero
ahora el grupo es de la mitad del tamao.

MikroTik Xperts 2014

104

Utilizando bridge en Mikrotik

Est opcin est por defecto en los routers MikroTik, los


puertos Ethernet estn asociados (en modo esclavo) a un
puerto master.

Ventaja: Conmutacin cableada de alta velocidad (a travs


de chip de switch, conmutacin de hardware)
Desventaja: El trfico de los puertos esclavos no es visible.
No es deseable si se utiliza SNMP para monitorear el uso de
los puertos.

MikroTik Xperts 2014

105

Utilizando bridge en Mikrotik

Removiendo la configuracin maestro y esclavo, es necesario


utilizar interfaz de bridge para unir los puertos requeridos
en una misma LAN
Ventaja: Visibilidad completa de todas las estadsticas de
los puertos dentro del bridge
Desventaja: La conmutacin es realizada a travs del
software lo que requiere mayor procesamiento de CPU. La
velocidad de transmisin ser inferior a la ptima velocidad
de tranferencia

MikroTik Xperts 2014

106

Creando el Bridge

El bridge se configura desde el men


/interface bridge

Por estabilidad utilizar rstp y una MAC Fija

MikroTik Xperts 2014

107

Agregar puertos al Bridge

Las interfaces son agregadas una a una al Bridge

Ahora es necesario colocarle la IP del puerto 5 al


bridge_lan
MikroTik Xperts 2014

108

Bridge
Se pueden agregar interfaces Ethernet, wlan
sin problemas

Los clientes inalmbricos en (mode=station)


no soportan bridge dada las limitaciones de
802.11

La configuracin de bridge en interfaces

inalmbricas se ver en el prximo mdulo.


MikroTik Xperts 2014

109

Mdulo 4
Redes
Inalmbricas

MikroTik Xperts 2014

110

Redes inalmbricas
RouterOS soporta varios mdulos de radio
para comunicacin inalmbrica en 2.4Ghz y
5Ghz

MikroTik RouterOS brinda completo soporte


a estndares 802.11a/b/g/n

MikroTik Xperts 2014

111

Estndares inalmbricos
IEEE 802.11b - 2.4GHz , 11Mbps
IEEE 802.11g - 2.4GHz , 54Mbps
IEEE 802.11a - 5GHz, 54Mbps
IEEE 802.11n - 2.4GHz o 5GHz hasta 300 Mbps
MikroTik Xperts 2014

112

Canales 802.11 b/g


1

10

11

2483

2400

(11) Canales de 22 MHz (US)


3 canales que no se solapan
3 puntos de acceso pueden ocupar la misma rea sin
causarse interferencia (1,6,11)
MikroTik Xperts 2014

113

Canales 802.11a
36

40

42

44

48

5210

5150

5180
149

5220

153

157

5760

5735

5745

5765

52

56

5250

5200
152

50

5240
160

58

60

64

5300

5320

5290

5260

5280

5350

161

5800

5785

5805

5815

(12) canales de 20 MHz


(5) canales de 40MHz (wide turbo channels)
MikroTik Xperts 2014

114

Bandas soportadas
Todos los canales 5GHz (802.11a) y

2.4GHz (802.11b/g)

MikroTik Xperts 2014

115

Frecuencias soportadas
Dependiendo de las regulaciones por pas las
tarjetas inalmbricas funcionan en el rango:
o 2.4GHz: 2312 - 2499 MHz
o 5GHz: 4920 - 6100 MHz

MikroTik Xperts 2014

116

Regulaciones del pas

MikroTik Xperts 2014

117

Nombre del radio


Utilizaremos el nombre del radio para el mismo
propsito que el router identity

Colocar en el nombre del radio: Su nmero + nombre

MikroTik Xperts 2014

118

Red inalmbrica

MikroTik Xperts 2014

119

Configuracin de estacin
Fijar mode=station
Selecione la banda
Indicar el SSID
El canal se puede
seleccionar haciendo
un Scan
MikroTik Xperts 2014

120

Connect List
Indica los
parmetros para
que el cliente
seleccione el
punto de acceso
donde se va a
conectar
MikroTik Xperts 2014

121

Connect List Lab


Ahora su router est conectado al punto de
acceso de la clase

Cree una regla para no permitir la conexin


al AP de la clase

Utilice los parmetros del Connect-list


MikroTik Xperts 2014

122

Configuracin de AP
Coloque el modo
mode=ap-bridge

Seleccione la Banda
Indique el SSID
Fije la frecuencia
MikroTik Xperts 2014

123

Snooper monitor inalmbrico


Se utiliza para
obtener una vista
global de las redes
inalmbricas en la
banda seleccionada

La interfaz

inalmbrica se
desconecta para
usar esta
herramienta
MikroTik Xperts 2014

124

Tabla de registros
Ve todo los
dispositivos
conectados a
las interfaces
inalmbricas

MikroTik Xperts 2014

125

Seguridad del punto de acceso


Access-list: para ver
clientes y en que
condiciones se
conectarn

Deshabilitando el
DefaultAuthentication se
conectan solo los
usuarios del AccessList

MikroTik Xperts 2014

126

Default Authentication
Habilitada, las reglas del Access-List el
cliente se puede conectar a menos que haya
una regla que lo niegue.

Deshabilitada, slo se revisan los usuarios


en el Access-List

MikroTik Xperts 2014

127

Laboratorio de
Access-List
Este laboratorio lo har el instructor en el
punto de acceso de la clase

Deshabilitar conexin a un usuario especfico


Permitir conexin para slo ciertos clientes
MikroTik Xperts 2014

128

Seguridad
Habilitemos la encriptacin en nuestra red
inalmbrica

Utilizar encriptacin WPA o WPA2


Todos los dispositivos de la red deben tener
las mismas opciones de seguridad

MikroTik Xperts 2014

129

Seguridad

Crear un nuevo perfil


llamado profile1

Habilitar las opciones


WPA y WPA2 PSK

La contrasea es
mikrotikmtcna

MikroTik Xperts 2014

130

Tip de configuracin
Para ver la
contrasea
deshabilitar la opcin
Hide Password

Se pueden ver otras

contraseas excepto
la de los usuarios del
MikroTik
MikroTik Xperts 2014

131

Aislar clientes inalmbricos


El Default-Forwarding se
utiliza para deshabilitar
trfico entre clientes
conectados al mismo punto
de acceso

MikroTik Xperts 2014

132

Default Forwarding
Las reglas del Access-List tienen mayor
prioridad

Revisar si las reglas estn funcionando para


controlar los clientes

MikroTik Xperts 2014

133

Nstreme
Protoclo propietario de MikroTik
Mejora enlaces inalmbricos, especialmente
los de largo alcance

Para utilizarlo en la red es necesario


habilitarlo en todos los dispositivos
inalmbricos dentro de la red

MikroTik Xperts 2014

134

NV2 (Nstreme Version 2)


Protoclo propietario de MikroTik
Para utilizar con chip Atheros 802.11
Basado en TDMA (Time Division Multiple
Access) en reemplazo de CSMA (Carrier
Sense Multiple Access)

Utilizado para mejorar el desempeo en


largas distancias
MikroTik Xperts 2014

135

NV2 (Nstreme Version 2)


Beneficios de NV2
Incrementa la velocidad del enlace
Ms clientes conectados en ambientes
punto-multipunto (limitado a 511 clientes)
Menor latencia
No hay limitaciones de distancias
MikroTik Xperts 2014

136

Redes inalmbricas en
bridge
El modo Station-Bridge: Es un modo
propietario para crear bridge en capa 2 de
forma segura entre routers MikroTik.

Pueden ser utilizados para expandir subredes


inalmbricas a ms clientes.

MikroTik Xperts 2014

137

Mdulo 5
Gestin de Red Local

MikroTik Xperts 2014

138

Planeacin de la red local


Planifique su red cuidadosamente
Tome cuidado de los usuarios locales que
tienen acceso a su red

Implemete las caractersticas de RouterOS


para asegurar los recursos dentro de su red

MikroTik Xperts 2014

139

ARP
Address Resolution Protocol
ARP se encarga de encontrar la direccin MAC
que le corresponde a una IP determinada

ARP funciona de manera dinmica pero

tambin puede ser manejado estticamente

MikroTik Xperts 2014

140

ARP Table
La tabla de ARP
muestra la IP,
MAC y puerto
donde est
conectado un
dispositivo
MikroTik Xperts 2014

141

Tabla esttica de ARP


Para mejorar la seguridad local, las entradas
ARP pueden ser creadas manualmente

De esta manera los clientes no podran tener


acceso a Internet si se cambia la direccin IP

MikroTik Xperts 2014

142

Modos ARP
Los modos ARP le indican al RouterOS como el ARP va a funcionar
o

Estos modos son configurados por interfaz

Los modos son:


o

Enabled: Modo por defecto. Las peticiones ARP son respondidas y la


tabla ARP ser llenada de forma automtica

Disabled: La interfaz no enviar o reposder peticiones ARP de otros


hosts. Ser necesario indicarle al router las MAC

Proxy ARP: El router responde las peticiones ARP provenientes de su


red directamente conectada (sin importar el origen)

Reply-only: El router slo responder peticiones ARP. La tabla ARP


debe ser llenada de forma esttica
MikroTik Xperts 2014

143

Configuracin de ARP esttico


Agregar una entrada
esttica en la tabla ARP

Fije la interfaz arp=replyonly para deshabilitar


creacin dinmica va
ARP

Dehabiltar y habilitar la
interfaz o reinicie el
router

MikroTik Xperts 2014

144

Laboratorio de ARP esttico


Coloca la MAC de tu laptop como entrada
esttica

En la configuracin del puerto Ethernet


coloca arp=reply-only

Cambia la IP de tu PC (dentro del mismo


segmento)

Prueba la conectividad a Intenet


MikroTik Xperts 2014

145

Servidor DHCP
Dynamic Host Configuration Protocol
Usado para entregar de forma automtica
direcciones en una red local

Usar DHCP slo en redes seguras


MikroTik Xperts 2014

146

Servidor DHCP
Para configurar el servidor DHCP es necesario
tener una IP en la intefaz

Utilice el comando setup para habilitar el


servidor DHCP

Sern preguntados los datos necesarios


MikroTik Xperts 2014

147

Configurando el Servidor
DHCP

Click
on
DHCP
Setup
Time
DNS
Set
that
Addresses
server
client
address
may
that
use
SetSet
Network
Gateway
for for
DHCP,
to run
Setup
Wizard
that
will
will
be
be
IP
given
assigned
address
to
to clients
offered
DHCP
automatically
clients
Select
interface
forclients
DHCP server
MikroTik Xperts 2014

148

Importante
Para configurar el servidor DHCP en un
bridge, fija el servidor en la intefaz de bridge

Si se configura en uno de los puertos del


bridge, el servidor aparecer invlido

MikroTik Xperts 2014

149

Servidor DHCP
Configure el servidor DHCP en la interfaz
ethernet donde est conectada la laptop

Cambiar la configuracin de la laptop para


que tome direccin de forma dinmica

Revise la conexin a internet


MikroTik Xperts 2014

150

Informacin de DHCP
El lease muestra
informacin de las
direcciones
entregadas .

MikroTik Xperts 2014

151

Tip de winbox
Mostrar
campos
adicionales
con nuevas
columnas

MikroTik Xperts 2014

152

Lease esttico
Podemos hacer un
lease esttico

El cliente no podr
obtener otra
direccin

MikroTik Xperts 2014

153

Lease esttico
El servidor DHCP puede correr sin lease
dinmico

Los clientes recibirn las direcciones


preconfiguradas

MikroTik Xperts 2014

154

Lease esttico
Fijar el Address-Pool a
slo esttico

Crear el lease esttico


MikroTik Xperts 2014

155

Herramientas RouterOS

MikroTik Xperts 2014

156

E-mail
Esta herramienta permite enviar correos
desde el router

Puede ser utilizada en combinacin de otras


herramientas, como por ejemplo enviar
respaldos perodicos al administrador de la
red

Para acceder

/tools e-mail
MikroTik Xperts 2014

157

Ejemplo de E-mail

Configurar el servidor SMTP


/tool e-mail

set address=173.194.75.108 from=mail@academyxperts.com.ve password=CL4V3 port=587 starttls=no


user=mail@academyxperts.com.ve

Enviar el archivo de configuracin va mail


/export file=export
/tool e-mail send tls=yes to="gangulo@academyxperts.com.ve" subject=oficina body="$[/system clock get date]
configuration file" file=export.rsc
MikroTik Xperts 2014

158

Netwatch

Esta herramienta permite monitorear el


estado de dispositivos

Para cada entrada se puede especificar:


Direccin IP
Intervalo de ping
Scripts de Up y Down

Para acceder

/tools netwatch
MikroTik Xperts 2014

159

Netwatch
De gran utilidad para:
Notificaciones de cada en la red
Cambios automticos en el caso de
una avera, ejemplo: caida del router
principal
Chequeo rpido de enlaces activos
Cualquier cosa que puedas arreglar
para simplificar y hacer rpido tu
trabajo (te har ver mas eficente!)
MikroTik Xperts 2014

160

Ping

Herramienta de conectividad bsica, utiliza ICPM para


determinar la accesibilidad de host remotos y retardos
Una de las herramientas de resolucin de problemas bsica. Si
responde al ping el host est activo (al menos en capa de red)
Es un buen comienzo para diagnosticar un problema, pero no
es la ltima herramienta.
Para detener ser necesario CTRL-C

MikroTik Xperts 2014

161

Traceroute

Usada para mostrar todos los routers saltados para alcanzar


el destino.

Indica el retardo para alcanzar un router en el paso al destino


Muy bueno para ubicar el nodo que pone lenta la transmisin.

MikroTik Xperts 2014

162

Traceroute

MikroTik Xperts 2014

163

Profiler (Carga de CPU)


Herramienta que muestra la carga del CPU.

Muestra los procesos y su carga en el CPU


Nota: idle no es un proceso. Esto significa que el CPU no est
siendo utilizado

MikroTik Xperts 2014

164

Mdulo 6
Firewall

MikroTik Xperts 2014

165

Firewall
Protege al router y sus clientes de acceso no
autorizado

Es una barrera entre 2 redes, ejemplo LAN


(red confiable) e Internet (red no confiable)

Puede hacerse mediante creacion de reglas


en Firewall filter y NAT

MikroTik Xperts 2014

166

Firewall Filter

Consiste en reglas definidas por el usuario


basadas en el principio de IF-Then. Tienen 2
partes
Condiciones marcadas: Las condiciones que deben
chequearse.
Accin: Que se har si se encontraron las coincidencias.

Las reglas son ordenadas en cadenas


Existen cadenas predefinidas y cadenas
creadas por los usuarios.
MikroTik Xperts 2014

167

Filter Chains
Las reglas pueden ser colocadas en 3 cadenas:
input (hacia el router)
output (desde el router)
forward (atravesando el router)
MikroTik Xperts 2014

168

Firewall Chains
Input
Winbox

Output
Ping from Router

Forward
WWW E-Mail
MikroTik Xperts 2014

169

Firewall Chains

MikroTik Xperts 2014

170

Input
Esta cadena contiene las reglas del filter que
protegen al mismo router

Bloqueemos a todos excepto su laptop.


MikroTik Xperts 2014

171

Input
Agregar una regla de accept para la IP de su laptop

MikroTik Xperts 2014

172

Input
Agregar un regla
drop de la
cadena input
para
descarcartar a
los dems
MikroTik Xperts 2014

173

Input Lab
Cambie la direccin IP de su laptop a
192.168.x.y

Trate de conectarse. El firewall est


funcionado!!!

An se puede establecer conexin va


direcciones MAC dado que el Firewall Filter
funciona slo en capa 3
MikroTik Xperts 2014

174

Input
El acceso a su router es bloqueado
No tiene internet
Se estn bloqueando las peticiones DNS tambin
Cambia la configuracin para retomar la
conexin a internet
MikroTik Xperts 2014

175

Input
Se puede
deshabilitar el
acceso va MAC
en Tools/MAC
Server

Cambiar la IP de
la laptop a la IP
anterior
192.168.N.1
MikroTik Xperts 2014

176

Address-List
Address-list permite filtrar un grupo de
direcciones con una sola regla

Tambin se pueden agregar direcciones de


forma automtica y luego bloquearlas.

MikroTik Xperts 2014

177

Address-List

Crear varias address-list


Se pueden agregar: Subredes, rangos
separados, un slo host.

MikroTik Xperts 2014

178

Address-List
Agregar un host
especfico al
address-list

Indicar un

timeout para un
servicio temporal
MikroTik Xperts 2014

179

Address-List in Firewall
Se pueden hacer
bloqueos por
listas de acceso
tanto en origen
como en destino

MikroTik Xperts 2014

180

Address-List Lab
Crear address-list con direcciones IP permitidas
Aadir una regla para aceptar estas direcciones
permitidas.

MikroTik Xperts 2014

181

Forward
Esta cadena contiene reglas para controlar
paquetes que van atravesar el router

Se controla trfico hacia y desde los clientes.


MikroTik Xperts 2014

182

Forward
Crear una regla
para bloquear el
puerto TCP 80
(Navegador Web)

Es necesario

seleccionar el
protocolo al hacer
bloqueo por
puertos.
MikroTik Xperts 2014

183

Forward
Probar abriendo www.mikrotik.com
Probar abriendo http://192.168.N.254
Se puede mostrar la pgina web del router ya
que el bloqueo es aplicado en la cadena de
Forward

MikroTik Xperts 2014

184

Lista de puertos bien conocidos

MikroTik Xperts 2014

185

Firewall Log

Veamos los pings

que el cliente enva


al router

Esta regla debe ser

agregada antes de
las dems acciones.

MikroTik Xperts 2014

186

Firewall Log

MikroTik Xperts 2014

187

Firewall chains
Se pueden crear cadenas personalizadas a excepcin
de las ya creadas (input, forward, output)

Permite crear la estructura de firewall ms simple


Disminuye la carga de procesamiento del router

MikroTik Xperts 2014

188

Cadenas de Firewall en
accin

Secuencia de las
cadenas
personalizadas

Las cadenas

personalizadas
pueden
utilizarse para
virus,protocolos
TCP, UDP, etc.
MikroTik Xperts 2014

189

Laboratorio de Firewall
Descargar el archivo viruses.rsc desde el servidor
WEB y subirlo al files.
Carga la configuracin con el comando import

New terminal
Import viruses.rsc

Revisar que se hayan cargado las sentencias en el


firewall.
Ahora aplique para las setencias input y forward un
jump hacia la cadena personalizada.
MikroTik Xperts 2014

190

Conexiones

MikroTik Xperts 2014

191

Estado de la conexin
Consejo: hacer drop a conexiones invlidas
El firewall solo procesar nuevos paquetes,
es recomendable excluir otro tipo de
estados.

Las reglas de Filter tienen connection state


que revisan el propsito de la conexin.
MikroTik Xperts 2014

192

Estado de la conexin

Agregue una regla para descartar conexiones


invlidas

Agregue una regla para aceptar conexiones


establecidas

Agregue una regla para aceptar conexiones


relacionadas.

De esta manera el Firewall slo trabajara con


paquetes nuevos.
MikroTik Xperts 2014

193

Limitaciones de SRC-NAT
Conectarse a servidores internos desde
afuera no es posible (se requiere DST-NAT)

Algunos protocolos requieren NAT helpers


para funcionar correctamente.

MikroTik Xperts 2014

194

NAT Helpers

MikroTik Xperts 2014

195

Connection Tracking
Connection tracking muestra la informacin
de todas las conexiones activas.

Debe ser habilitado para que funcione el


Filter y el NAT.

MikroTik Xperts 2014

196

Connection Tracking

197
MikroTik Xperts 2014

Network Address
Translation

MikroTik Xperts 2014

198

NAT
El router es capaz de cambiar direccin
Origen o Destino en el flujo de paquetes a
travs del mismo.

Este proceso es llamado src-nat o dst-nat

MikroTik Xperts 2014

199

SRC-NAT
SRC-Address

Laptop

New
SRC-Address

Servidor Remoto

MikroTik Xperts 2014

200

DST-NAT
Servidor con IP
privada

Host con IP
pblica

New DST-Address

DST-Address
MikroTik Xperts 2014

201

NAT Chains
Para conseguir estos escenarios es necesario
colocar las cadenas adecuadas: dstnat o
srcnat

Las reglas de nat funcionan con el principio


IF-THEN

MikroTik Xperts 2014

202

DST-NAT
DST-NAT cambia la direccin destino y
puerto del paquete.

Se utiliza para que usuarios de internet


puedan acceder a servicios en servidores de
una red privada.

MikroTik Xperts 2014

203

DST-NAT Example
Servidor WEB
192.168.1.1

Algn PC

New DST-Address
192.168.1.1:80
MikroTik Xperts 2014

DST-Address
207.141.27.45:80
204

Ejemplo DST-NAT
Crear una regla para enviar todo el trfico web de la
red privada hacia el MikroTik.

MikroTik Xperts 2014

205

Redirect
Tipo especial de DST-NAT
Esta accin redirecciona paquetes al mismo
router.

Puede ser utilizado para servicios de proxy


(DNS, HTTP)

til para bloqueos con OpenDNS


MikroTik Xperts 2014

206

Ejemplo de Redirect
DST-Address
Configured_DNS_Server:53

New DST-Address
Router:53

DNS Cache
MikroTik Xperts 2014

207

Ejemplo de Redirect
Hagamos que los
usuarios locales
utilicen el DNS
cache del router

La regla se hace

en protocolo UDP

MikroTik Xperts 2014

208

SRC-NAT
SRC-NAT cambia la direccin origen del
paquete

Se puede utilizar para que toda una red


privada salga con la misma direccin pblica

Masquerade es un tipo de SRC-NAT


MikroTik Xperts 2014

209

Masquerade
Src Address
192.168.X.1

Src Address
router address

192.168.X.1

Public Server

MikroTik Xperts 2014

210

Firewall Tips
Se recomienda agregar comentarios para
recordar el objeto de cada regla

Utilizar tracking connection y torch


MikroTik Xperts 2014

211

Torch

Detallar el reporte de trfico actual de una interfaz


MikroTik Xperts 2014

212

Acciones en Firewall
Accept

Acepta el paquete. El paquete no pasar a la prxima regla de firewall

Add-dst-to-address-list: Agrega la IP destino al address-list especificado. El paquete pasa a la prxima regla


Add-src-to-address-list : Agrega la IP origen al address-list especificado. El paquete pasa a la prxima regla
Drop: Descarta el paquete de forma silenciosa. El paquete no pasar a la prxima regla de firewall
Jump: Salta a la cadena especificada en jump-target. El paquete pasa a la prxima regla ( en la cadena
definida por el usuario)
Log Agrega el mensaje al system log conteniendo la data: in-interface, out-interface, src-mac, protocol, srcip:port->dst-ip:port and length of the packet. El paquete pasa a la prxima regla
Passthrough: Esta regla es ignorada y pasa a la prxma regla (til para estadsticas)
Reject: Descarta el paquete enviando el mensaje de rechazo ICMP. El paquete no pasar a la prxima regla
de firewall

Return: Pasa de vuelta a la cadena donde el salto tuvo lugar. El paquete pasa a la prxima regla (en la cadena
original, si no hubo una coincidencia previa que detuviera el anlisis del paquete)
Tarpit: Captura y deja en espera las conexiones TCP (responde con syn/ack a las conexiones entrantes TCP
SYN). El paquete no pasar a la prxima regla de firewall
MikroTik Xperts 2014

213

NAT Actions

accept
add-dst-to-address-list
add-src-to-address-list
dst-nat

jump
log

masquerade
netmap

passthrough
redirect

return
same
src-nat

MikroTik Xperts 2014

214

Mangle
El mangle es usado para marcar paquetes
Separa el trfico en diferentes tipos
Las marcas son slo utlizadas dentro del router
Se utilizan en las colas para diferenciar tipos de
limitaciones y prioridades

El mangle no cambia la estructura del paquete


(a excepcin de DSCP y TTL)
MikroTik Xperts 2014

215

Acciones del Mangle


Mark-connection usa el connection tracking
La informacin acerca de las nuevas
conexiones es aadida a la tabla de conection
tracking

El router sigue cada paquete para aplicar el


mark-packet

MikroTik Xperts 2014

216

Mangle
Las colas solo tienen marca de paquetes

MikroTik Xperts 2014

217

Mdulo 7
Calidad de Servicio
(QoS)

MikroTik Xperts 2014

218

Calidad de servicio
QoS: Comprende el arte de administrar los
recursos de ancho de banda de forma eficiente

QoS puede priorizar el trafico basado en ciertas


mtricas:

Aplicaciones crticas
Trfico sensible como voz o video en streams.
MikroTik Xperts 2014

219

Colas Simples
Es la forma ms simple de limitar ancho de
banda:

Descarga del cliente (Download)


Carga del cliente (Upload)
Agregado de cliente, download+upload
MikroTik Xperts 2014

220

Colas Simples
Es necesario utilizar Target-Address. Puede ser:
Una direccin IP
Una subred
Una interfaz

El orden de las colas es tomado en cuenta. Cada


paquete debe ir por cada cola simple hasta que
coincida con alguna
MikroTik Xperts 2014

221

Colas Simples
Creamos
una
limitacin
a su
laptop.

64k

Upload,
128k
Download

Clients
Limits
address to configure
MikroTik Xperts 2014

222

Colas Simples
Revisar los limtes de carga y
descarga

Activar Rx Av. Rate y Tx Avg Rate


El torch mostrar la rata de
trasmisin y recepcin.
MikroTik Xperts 2014

223

Limitar basado en destino


Ip address: El filtrado es basado en la IP destino a la
cual el trfico ser enviado

Interface: A travs de cual interfaz pasar el trfico


til para limitar trfico hacia recursos internos de
la red: Ejemplo: un servidor.

MikroTik Xperts 2014

224

Limitar al server
Ping a
www.mikrotik.com

Poner la direccin
de MikroTik en
DST-address

MikroTik.com
Address
MikroTik Xperts 2014

225

Bandwidth Test Utility


La prueba del ancho de banda puede ser
utilizada para monitorear el rendimiento hacia
un dispositivo remoto.

La prueba de ancho de banda funciona entre


dos routers MikroTik

Existe una aplicacin para windows,


descargable en www.MikroTik.com
MikroTik Xperts 2014

226

Bandwidth Test on Router


Men tools Bandwidth Test
Fijar Test To como direccin para
la prueba

Seleccionar el protocolo
TCP soporta multiples conexiones
Hay que autenticarse con el
router remoto
MikroTik Xperts 2014

227

Bandwidth Test
El servidor debe ser habilitado
Es recomendable dejar
habilitada la autenticacin

MikroTik Xperts 2014

228

Priorizacin de trfico
Prioridad 1 es ms
alta que 8

La prioridad debe
estar al menos en 2

Priority
is in
Select
Queue
Advanced Tab
Set Higher Priority
MikroTik Xperts 2014

229

PCQ
Per Connection Queue PCQ es una forma dinmica
de ecualizar trfico para mltiples usuarios utilizando
una configuracin simple.

El parmetro pcq-rate limita la mxima rata de datos


para cada sub-stream

MikroTik Xperts 2014

230

PCQ-Limit

Este parmetro es medido en paquetes.


Un PCQ-Limit bajo
Incrementar los paquetes descartados (desde que es reducido el
el buffer) y forzar al origen reenviar los paquetes reduciendo la
latencia
Provocar un ajuste en la ventana TCP, indicando al origen que se
ha reducido la tasa de transmisin

Un PCQ-Limit alto:
Crear un buffer grande, reduciendo paquetes descartados
Incrementar la latencia
MikroTik Xperts 2014

231

PCQ es un tipo de cola

PCQ

avanzada

PCQ se utiliza para clasificar


trfico (desde el punto de
vista del cliente)

Los clasificadores dividen el


trfico (desde el punto de
vista del cliente src-address
es carga y dst-addres es
descarga)
MikroTik Xperts 2014

232

PCQ, uno limita a todos


PCQ permite fijar un lmite a todos los usuarios
con una misma cola

MikroTik Xperts 2014

233

PCQ, uno limita a todos


Mltiples colas reemplazadas por una sola

MikroTik Xperts 2014

234

PCQ, ecualiza el ancho de


banda
Distribuye equitativamente entre los usuarios

MikroTik Xperts 2014

235

Ecualiza ancho de banda


1M de carga y 2M de descarga son compartidos
entre varios usuarios del segmento 192.168.0.0/24

MikroTik Xperts 2014

236

PCQ Lab
El instructor har una cola PCQ en el router
principal.

Los estudiantes probarn su velocidad de


transferencia hacia internet.

MikroTik Xperts 2014

237

Monitor de colas simples


Se puede ver el grfico de cada cola simple.
Las grficas muestran que tan bueno es el
desempeo de cada cola.

MikroTik Xperts 2014

238

Monitor de colas

Habilitemos los grficos


de las colas

MikroTik Xperts 2014

239

Simple Queue Monitor


Las grficas
estn
disponibles en el
servidor web del
mikrotik

MikroTik Xperts 2014

240

Colas avanzadas
Reemplaza cientos de cola
en slo pocas

Fija el mismo lmite a


cualquier usuario

Ecualiza el ancho de banda


disponible entre los
usuarios activos
MikroTik Xperts 2014

241

Mdulo 8
Tneles

MikroTik Xperts 2014

242

Tneles

Los tneles son una forma de expandir la red privada a


travs de la red pblica como internet

Tambin est referido a VPNs (Virtual private networks)


Existen 2 tipos de redes VPN:

Remote Access: utilizado para conectar a empleados


desde internet a la red corporativa (teletrabajo)
Site-to-site: conecta dos redes privadas separadas por una
red pblica (son necesarios al menos 2 routers)
MikroTik Xperts 2014

243

PPPoE
Point to Point Protocol over Ethernet es
amenudo utilizado para controlar conexiones
DSL, cable modems y redes Ethernet

MikroTik RouterOS soporta PPPoE cliente y


PPPoE servidor

MikroTik Xperts 2014

244

Configuracin de Cliente PPPoE


Aadir un
cliente PPoE

Es necesario
crear la
interfaz

Colocar

login y
contrasea
MikroTik Xperts 2014

245

Laboratorio Cliente PPPoE


El instructor crear un servidor PPPoE en el
router

Deshabilitar el cliente DHCP en la interfaz de


salida del router

Configurar el cliente PPPoE en la interfaz de


salida

Colocar usuario class y contrasea class


MikroTik Xperts 2014

246

Configuracin de Cliente
PPPoE
Revisar la conexin PPP
Deshabilitar el cliente PPPoE
Disable PPPoE client
Habilitar el cliente DHCP y volver a la
configuracin anterior
MikroTik Xperts 2014

247

Configuracin del
servidor PPPoE
Seleccione la
interfaz

Seleccionar el
perfil

MikroTik Xperts 2014

248

PPP Secret

Base de datos de
usuarios

Colocar usuario y
contrasea

Seleccionar el
servicio

La configuracin
se toma desde el
perfil
MikroTik Xperts 2014

249

Perfiles PPP
Colocar las reglas de los clientes usados para PPP
La mejor manera es tener las mismas
configuraciones para clientes diferentes

MikroTik Xperts 2014

250

Perfil PPP
Local address
Direccin del servidor

Remote Address

Direccin del cliente

MikroTik Xperts 2014

251

PPPoE
Importante, el servidor PPPoE corre en la
interfaz

La interfaz PPPoE puede ser utilizada sin


asignarle una IP

Por seguridad, es recomendable dejar las


interfaces PPPoE sin direccin IP
MikroTik Xperts 2014

252

Pools
El Pool define el rango de direcciones para PPP,
DHCP, y clientes de portal cautivo

Se utilizar un pool, puesto que se tendr ms


de un cliente

Las direcciones son tomadas del pool


automaticamente
MikroTik Xperts 2014

253

Pool

MikroTik Xperts 2014

254

Estado de PPP

MikroTik Xperts 2014

255

PPTP
Tnel punto a punto para encriptar tuneles
sobre IP

MikroTik RouterOS incluye soporte para


cliente y servidor PPTP

Utilizado para resguardar enlaces entre redes


locales sobre Internet

Tambin para acceso a clientes o trabajadores


remotos a los recursos de una red local
MikroTik Xperts 2014

256

PPTP

MikroTik Xperts 2014

257

Configuracin PPTP
La configuracin PPTP es muy similar a la de
PPPoE

L2TP tambin se configura de forma similar


MikroTik Xperts 2014

258

Cliente PPTP

Cree una

interfaz PPTP

Indicar la

direccin del
servidor PPTP

Indique el

usuario y la
contrasea
MikroTik Xperts 2014

259

Cliente PPTP
Use una ruta por defecto para enrutar todo
el trfico hacia el tnel PPTP

Use enrutamiento esttico para enviar


trfico especfico al tnel PPTP

MikroTik Xperts 2014

260

PPTP Server
Habilitar el
servidor
PPTP

El servidor
PPTP puede
soportar
mltiples
clientes
MikroTik Xperts 2014

261

PPTP
Las configuraciones del cliente PPTP estn
almacenadas en PPP secret

El PPP secret es utilizado para los clientes


PPTP, L2TP, PPoE

La base de datos de PPP es configurada en el


servidor
MikroTik Xperts 2014

262

Perfil PPP
El mismo perfil es usado indistintamente
para clientes PPTP, PPPoE, L2TP y clientes
PPP

MikroTik Xperts 2014

263

Laboratorio PPTP
El instructor crear un servidor PPTP en el
router de la clase

Crear un cliente en una interfaz de salida


Usar usuario class contrasea class
Deshabilitar el servicio PPTP
MikroTik Xperts 2014

264

Mdulo 9
Tpicos especiales

MikroTik Xperts 2014

265

HotSpot
Herramienta para conexin rpida a internet
El Portal cautivo permite autenticacin de
los clientes antes del ingreso a la red pblica

El servidor de portal cautivo provee manejo


de cuentas de usuarios

MikroTik Xperts 2014

266

Uso de portal cautivo


Puntos de acceso abiertos, Internet Cafes,
Aeropuertos, campus universitarios, centros
comerciales, etc.

Diferentes maneras de autorizacin


Gestin de usuarios sencilla
MikroTik Xperts 2014

267

Requerimientos de portal
cautivo
Direccin IP vlida en internet y direccin IP
local

Servidores DNS
Al menos un usuario del portal
MikroTik Xperts 2014

268

Configuracin de portal
cautivo
La configuracin del portal es sencilla
La configuracin es similar al servidor DHCP

MikroTik Xperts 2014

269

Configuracin de portal
cautivo

Correr Hotspot
Setup

Seleccionar la
interfaz

Proceder a
responder las
preguntas

IP
address
toHotSpot
redirect
SMTP
Addresses
Masquerade
HotSpot
DNS
Whether
servers
address
that
to
use
address
will
certificate
will
be network
assigned
Aadir
un
usuario
del
portal
cautivo
Selectfor
Interface
DNS name
HotSpottoserver
to
your
SMTP
server
be(e-mails)
together
selected
for HotSpot
toautomatically
HotSpot
with
automatically
HotSpot
clients
clientsor
not
run HotSpot on
MikroTik Xperts 2014

270

Notas importantes
Usuarios conectados al portal cautivo sern
desconectados de internet hasta autenticarse

Los clientes tienen que ser autorizados por el


portal para ingresar a Internet.

MikroTik Xperts 2014

271

Notas importantes
La configuracin bsica del portal cautivo crea:
Un servidor DHCP en la interfaz del portal
Un pool de direcciones para los clientes
Reglas dinmicas de firewall (Filter y NAT)
MikroTik Xperts 2014

272

Ayuda del portal cautivo


El login del portal se muestra cuando el
usuario intenta de ingresar a cualquier
pgina web

Para salir del portal cautivo es necesario ir a


la IP o DNS del router para hacer logout

MikroTik Xperts 2014

273

Laboratorio de Hotspot
Crea un un HotSpot en la intefaz local
No olvides el usuario y contrasea, de otra
forma no se podr ingresar a Internet

MikroTik Xperts 2014

274

Usuarios del portal cautivo

Muestra informacin de los equipos en la red del hotspot


MikroTik Xperts 2014

275

Tabla de host activos

Muestra informacin de los dispositivos que se logearon


satisfactoriamente
MikroTik Xperts 2014

276

Gestin de usuarios

Para aadir, editar


o eliminar usuarios

MikroTik Xperts 2014

277

HotSpot Walled-Garden
Permite acceso a determinados recursos sin
necesidad de autenticarse en el portal

Sirve para HTTP y HTTPS


Tambin funciona para otros recursos
(Telnet, SSH, Winbox, etc)

MikroTik Xperts 2014

278

HotSpot Walled-Garden
Permita acceso
slo a
www.mikrotik.com

MikroTik Xperts 2014

279

Bypass HotSpot
Men IP binding
Permite clientes
puntuales sobre el
portal cautivo

Telfonos IP,

impresoras,
superusuarios
MikroTik Xperts 2014

280

Control de ancho de banda en


portal cautivo
Es posible asignar de forma dinmica cada
usuario del portal

Una cola simple es creada por cada usuario


MikroTik Xperts 2014

281

Perfil del portal cautivo


Se crean
opciones
personalizadas
del portal cautivo

MikroTik Xperts 2014

282

Laboratorio avanzado de portal


cautivo

A cada cliente se le
entregar 64kb para
la subida y 128kb
para la bajada

MikroTik Xperts 2014

283

Laboratorio de
portal cautivo
Aadir un segundo usuario
Permitir acceso a www.mikrotik.com sin que
sea necesario autenticarse en el portal

Coloque la tasa de transferencia a 1M/1M a


la laptop

MikroTik Xperts 2014

284

Proxy

MikroTik Xperts 2014

285

Qu es el Proxy?
Mejora la velocidad de navegacin web
almacenando datos.

Firewall HTTP

MikroTik Xperts 2014

286

Enable Proxy

El check de Enable tiene que estar marcado, las otros


Campos son opcionales
MikroTik Xperts 2014

287

Proxy
Proxy forzado: El usuario debe configurar su
navegador para poder navegar por el proxy

Proxy transparente: las conexiones HTTP son


redireccionadas al proxy del MikroTik
automticamente

MikroTik Xperts 2014

288

Proxy transparente
Es necesaria una
regla DST-NAT
para el proxy
transparente

El trfico HTTP
ser
redirecionado
hacia el router
MikroTik Xperts 2014

289

Firewall HTTP
Las listas de acceso del proxy permiten una
opcin para filtrar nombres de dominio

Se pueden hacer redirecciones a pginas


especficas

MikroTik Xperts 2014

290

Firewall HTTP

Dst-Host, una pgina


web (http://test.com)
Path, un subdirectorio
de esa pgina
http://test.com/PATH

MikroTik Xperts 2014

291

Firewall HTTP
Crear una regla para bloquear acceso a
una pgina web especfica

Crear una regla que rediriga el trfico de


la pgina no deseada a la pgina de su
compaa

MikroTik Xperts 2014

292

Web-proxy
El proxy lleva el registro de las pginas web
visitadas por los usuarios

Es necesario revisar que se dispone de


suficientes recursos para almacenar los logs
(es mejor enviarlos a un syslog remoto)

MikroTik Xperts 2014

293

Web-Proxy
Aadir el log para
el Web-Proxy

Revisar logs

MikroTik Xperts 2014

294

Cacheando en dispositivos
externos
El cache puede ser almacenado en
dispositivos de almacenamiento externos

Store gestiona todos los discos externos.


Soporte para IDE, SATA, USB, CF, MicroSD
MikroTik Xperts 2014

295

Almacenamiento
Gestin de las unidades externas
Las unidades deben ser formateadas

MikroTik Xperts 2014

296

Aadir almacenamiento

Se agrega un dispositivo de almacenamiento para

guardar los datos del proxy en una memoria externa

El almacenamiento puede ser utilzado para proxy, usermanager y dude

MikroTik Xperts 2014

297

Dude

MikroTik Xperts 2014

298

Dude
Programa de monitoreo de red
Descubre automticamente dispositivos
Dibuja y documenta mapas de la red
Servicio de monitoreo y alertas
El software es gratuito
Disponible en varios idiomas en www.mikrotik.com
MikroTik Xperts 2014

299

Dude
El dude consiste en dos partes:
1. Servidor Dude: no tiene interfaz grfica. Se
puede correr el dude inclusive en un
RouterOS (ya no disponible para
descargar)
2. Cliente Dude: se conecta al servidor y
muestra toda la informacin que recibe
MikroTik Xperts 2014

300

Instalacin de Dude
Disponible en
www.mikrotik.com

Instalacin sencilla

Instalar Dude Server en el PC


MikroTik Xperts 2014

301

Dude
La opcin de
Discover se
muestra al
inicio

Se puede

descubrir la
red local
MikroTik Xperts 2014

302

Dude Lab
Descargar el Dude de http:// 103.23.247.7
Instalar Dude
Descubrir la red
Aadir la laptop y el Router
Desconectar la laptop del router
MikroTik Xperts 2014

303

Dude

MikroTik Xperts 2014

304

Dude

MikroTik Xperts 2014

305

Troubleshooting

MikroTik Xperts 2014

306

Perdida de contrasea
La nica solucin es resetear el router

MikroTik Xperts 2014

307

Licencia RouterBOARD
Todas las ordenes para compra de licencia
son posibles desde la cuenta de MikroTik.

Si el router pierde el Key por alguna razn, se


puede obtener nuevamente de la lista
logeandose en mikrotik.com

Si el Key no est en la lista, se puede solicitar


MikroTik Xperts 2014

308

Mala seal inalmbrica

Revisar que el conector de la antena est


conectado correctamente

Chequear que no haya agua u obstrucciones


en el cable.

Revisar si se utilizaron los valores por


defecto del radio

En ltimo caso utilizar el botn de reseteo de


la configuracin inalmbrica
MikroTik Xperts 2014

309

No hay conexin
Probar un puerto Ethernet diferente
Usar el jumper de reset en el RouterBoard
Ver cualquier mensaje en la cnsola.
Utilizar netinstall si es posible
Contacte soporte (support@mikrotik.com)
MikroTik Xperts 2014

310

Antes del exmen de


certificacin
Resetear el router

Restaurar el backup.
Revisar conexin a internet
Recomendaciones:
Responder todas las preguntas del examen.
En las preguntas de seleccin mltiple no se indica la cantidad
de respuestas, colocar slo las que este bien seguro
MikroTik Xperts 2014

311

Examen de Certificacin
Ir a http://www.mikrotik.com
Logearse en su cuenta
o Ir a my training sessions
o Ubicar el curso MTCNA

o Tomar el examen de certificacin MTCNA


MikroTik Xperts 2014

312