REDES Y TELEPROCESOS

TEMA:

INSTALACION Y CONFIGURACION DE MICROTICK Y

CONFIGURACION DE SERVICIOS.

NOMBRE: JORGE N. SISNIEGUES OBLITAS

CUI:20050420

1
Contenido
INTRODUCCIN.............................................................................................. 3
I PARTE........................................................................................................... 4
INSTALACIN DE MICROTICK..........................................................................4
CONFIGURACIN DE MICROTICK....................................................................7
II parte.......................................................................................................... 17
HotSpot........................................................................................................ 17
Unin de dos redes LAN............................................................................... 22
Configuracin PPPoE Server para su Red......................................................29
Conclusiones................................................................................................ 33
Recomendaciones antes de usar pppoe.......................................................34
Bibliografia................................................................................................... 35

2
 INTRODUCCIN

Hoy por hoy la realidad nos dice que las redes informticas, se han vuelto
indispensables, tanto a las personas como organizaciones. Les da
oportunidad de interactuar con el resto del mundo, ya sea por motivos
comerciales, personales o emergencias. La optimizacin en el uso de los
sistemas informticos es uno de los elementos de interaccin y desarrollo
que rige los destinos de la ciencia informtica. La aparicin de las
plataformas de interconexin de equipos de computacin o redes
informticas. Las mismas resultan ser uno de los elementos tecnolgicos
ms importantes al momento de definir un sistema informtico en una
organizacin. Entre las principales las ventajas que le brinda a una empresa
el uso de redes informticas, podemos detallar algunas: compartir recursos
especialmente informacin (datos), proveer la confiabilidad, permite la
disponibilidad de programas y equipos para cualquier usuario de la red que
as lo solicite sin importar la localizacin fsica del recurso y del usuario.
Permite al usuario poder acceder a una misma informacin sin problemas
llevndolo de un equipo a otro. Tambin es una forma de reducir los costos
operativos, compartiendo recursos de hardware y/o de software entre las
diversas computadoras de su empresa.

3
I PARTE.

INSTALACIN DE MICROTICK
1. Bootear la PC para que haga boot desde el CD-ROM

2. Instalando
Despus que haya booteado seleccionaremos los paquetes que
queremos instalar, se puede ver los que estn marcados con una X
son los escogidos. Para esto nos ayudaremos con las teclas
direccionales y con la barra espaciadora los seleccionaremos. Los
paquetes que estn seleccionados en la imagen son los que suelo
instalar en los servidores.

3. Una vez que hayamos seleccionado vamos a proceder a instalar el

mikrotik, para ello presionamos la tecla "i" en ese proceso apareceran
preguntas a las cuales daremos a explicar

4
 Do you want to keep old configuration? [y/n]:

Desea mantener la configuracin anterior?

Presionamos la tecla 'n'

Warning: all data in the disk will be erased! Continue? [y/n]:

Advertencia: todos los datos en el disco sern eliminados!

Continuar?

4. Presionamos la tecla "y" para que empiece a particionar y formatear

el disco o unidad de almacenamiento. Este proceso puede demorar
dependiendo de la capacidad del disco que se haya elegido para
hacer la instalacin.
Una vez que termine el proceso los paquetes seleccionados se

5
 instalarn automticamente y al finalizar tedremos el mensaje:

5. Retiramos el CD de instalacion de la PC y presionamos la tecla 'enter'

para que el PC reinicie y el sistema cargue directamente del disco
duro.
Al prender la PC aparecer este mensaje:

It is recomended to check your disk drive for errors,

but it may take a while (~1min for 1Gb).
It can be done later with "/system check-disk".
Do you want to do it now? [y/N]

Es recomendable comprobar que su unidad de disco est libre de

errores,
pero puede tomar algn tiempo (~1min para 1Gb).
puede hacerse ms tarce con "/sistem check-disk".
Quiere hacerlo ahora?

6. Presionamos "N"
Saldr el siguiente pantallazo en la que te pregunta el password,
dejamos en blanco ya que por defecto el mikrotik no tiene password.

6
 Login: admin
Password:

7. Una vez que hemos entrado observaremos una notificacin del

servidor que nos dice que nuestro sistema no tiene licencia, y que
tenemos menos de 24 horas para probarlo.

7
CONFIGURACIN DE MICROTICK
En esta etapa vamos a configurar las interfaces que se encuentran tanto en
nuestra PC como en el RouterBoard de Mikrotik. Para poder observar todas
las interfaces seleccionaremos del comando que se encuentra en la
izquierda la opcin "interfaces"

El esquema de la red ser la siguiente:

8
9
Confi gurando la WAN

Antes de configurar la WAN vamos a ver ms sobre las opciones que tiene
una interfaz en el Mikrotik: Como primer punto uno podr ver que por
defecto tiene un nombre de la interface llamado "ether1" "ether2" etc, en
este campo vamos a poder escribir el nombre de la interfaz a nuestro
antojo. Este paso es una gran ayuda debido a que vamos a poder reconocer
de forma rpida las interfaces. Adems existen otros datos, tales como,
saber si existe un cable de red conectado en ese puerto o saber si esta
habilitado

10
Ahora vamos a la interface llamada "ether1" y le cambiamos el nombre
a "WAN"

Ahora vamos a la interface llamada "ether2" y le cambiamos el nombre

a "LAN"

Listo ahora colocaremos las IPs a la WAN y a LAN, para ello entraremos a IP
y despus a Address para ello

11
Para la WAN colocaremos la siguiente IP 192.168.1.200/24

Para la LAN colocaremos la siguiente IP 192.168.10.1/24

12
El uso de /24 indica la mscara de red que tiene la direccin IP, por si no lo
sabas sirve para delimitar el mbito de una red. Te permite que todos los
grupos de direcciones IP que pertenecen a la misma mascara de red estn
en una misma red y por lo tanto son una misma unidad. En este caso la
mscara de red es 255.255.255.0.

13
Bueno hasta el momento tenemos las IPs seleccionadas y mencionadas
ahora nos falta "natearlas", para este caso la lnea que nos provee internet
es el equipo ADSL (puede ser Zyxel) cuyo IP es 192.168.1.1, pero nosotros
vamos a crear nuestra propia red cuyo IP del mikrotik es 192.168.10.1,
entonces nuestras IPs de nuestra nueva red sern de la
forma192.168.10.X donde X toma valores de [2 hasta el 254].

14
Chain, seleccionamos scrnat. Aunque siempre est as por defecto cuando
se crea una nueva regla. Out. Interface, seleccionaremos nuestra interfaz
WAN.

15
Ahora enmascaramos nuestra interfaz WAN

16
Ahora nos falta decirle al mikrotik que el internet viene del router
192.168.1.1, que para este caso es del router ADSL

En la ventana Route List, se observa que hay 2 reglas que nosotros no

agregamos (esto es normal) Vamos a prepararnos para agregar la puerta de
enlace que usar nuestro servidor Mikrotik, vamos a la pestaa Routes y
agregamos una nueva regla (+).

17
Gateway, aqu slo colocaremos la puerta de enlace del router ADSL
(192.168.1.1 para este caso), con esto le estamos diciendo al servidor de
dnde llega el internet para repartirlo.

Con esto la interfaz de red LAN debera de tener internet si conectamos los
cables correctamente. Ahora lo nico que nos falta es configurar las tarjetas
de red de los clientes. Teniendo en cuenta que nuestra nueva puerta de
enlace es 192.168.10.1, entonces el cliente debera de tener esta
configuracin de acuerdo a ese rango de red.

18
19
II parte

HotSpot.

Mikrotik User Manager Billing + Hotspot

Veamos sin esta instalado el paquete usermanager si no est instalado pues

procedemos a instalarla para comprobar que esta instalado podemos
ingresar al winbox .

SYSTEM / PACKAGES

20
Luego activamos el Radius Server del mikrotik en direccion le asignamos el
IP del servidor billing
en el caso que sea el mismo mikrotik entonces seria 127.0.0.1 osea
localhost
Luego elegimos el servicio que queremos activar en este caso hotspot luego
el password de conexion entre servidores.

21
El puerto escucha del servidor Radius activamos por defecto 1700

22
Vamos a HOTSPOT y seteamos en Server Profile , activamos la opcion Use
Radius y accounting para enlazar el Hotspot a nuestro servidor Radius.

Luego Para ingresar a configurar al Usermanager necesitamos tener una

clave de acceso para eso en new terminal creamos un usuario : admin y un
passwd : 1234

23
Luego entramos por web al user manager en nuestro caso es local seria la IP
del servidor mikrotik http://192.168.1.1/userman entramos con el user y
pass creado

Luego Ponemos las mismas credenciales creadas en el Radius Server

24
25
Luego Creamos Los perfiles para asignacion de ancho de banda y horarios

aqui asignamos el ancho de banda

26
en este ejemplo estamos creando planes de 1MB tanto para bajada como
subida

Bien como veras es sencillo la configuracin entonces ya podemos crear

usuarios en la pestaa USER para que ya se conecten.

Unin de dos redes LAN

Inicialmente configuramos bsicamente dos Mikrotik en los dos lugares y
armamos una VPN IPSEC para que cree un tnel seguro y como este
protocolo enruta de manera nativa, en pocos minutos teniamos conexin
entre las dos oficinas.

Este cliente en su sucursal tena una conexin a Internet muy inestable y

eso nos trajo problemas con IPSEC. Se desconectaba solo y a veces no
volva a conectarse hasta no reiniciar los dos routers. Luego de buscar una
solucin a este problema, dimos con que configurando una VPN PPTP
gateway-to-gateway, esta era menos proclive a desconectarse ante fallas de
la conexin a Internet y ademas soportaba reconexin automtica.

Las direcciones IP que muestro a continuacin son solo de ejemplo, si las

reemplazan por las que ustedes tengan funcionara de igual manera.
Pueden copiar los comandos, reemplazar los nombres de las interfaces y las
IP con el Bloc de notas, mediante Winbox abren "New Terminal", pegan ah
lo copiado y listo,

27
cabe aclarar que para que se establezca la comunicacin entre las dos
redes, estas tienen que tener diferentes rangos de IP.

Configurando la VPN PPTP gateway-to-gateway

Router1 (Casa central):

Configuramos las IP en las interfaces:

LAN:
/ip address
add address=10.0.0.254/24 broadcast=10.0.0.255 comment=""
disabled=no
interface=lan network=10.0.0.0

En este caso la conexin a Internet es por cablemodem as que la interfaz

de "WAN" obtiene IP mediante el "dhcp-client".

Muy importante en este es que queden las opciones "add-default-

route=yes" y "use-peer-dns=yes". La primera setea la ruta por defecto y la
segunda permite que se usen los DNS del ISP.

/ip dhcp-client
add add-default-route=yes comment="" default-route-distance=0
disabled=no
interface=wan use-peer-dns=yes use-peer-ntp=yes

Los DNS. Tiene que estar la opcin "allow-remote-requests=yes" para que el

router acte como DNS cache y los equipos de la red puedan resolver
nombres de dominio en IPs.

/ip dns
set allow-remote-requests=yes

Configuramos el "masquerade" para que haga NAT de las IP de la LAN por la

IP publica hacia Internet.

/ip firewall nat

add action=masquerade chain=srcnat comment="" disabled=no out-
interface=wan

Protegemos bsicamente el router.

/ip firewall filter

add action=accept chain=input comment="" connection-state=established
disabled=no
add action=accept chain=input comment="" connection-state=related
disabled=no
add action=accept chain=input comment="" disabled=no protocol=udp

28
add action=drop chain=input comment="" connection-state=invalid
disabled=no

Router2 (Sucursal)

/ip address
add address=10.0.1.254/24 broadcast=10.0.1.255 comment=""
disabled=no
interface=lan network=10.0.1.0

/ip dhcp-client
add add-default-route=yes comment="" default-route-distance=0
disabled=no
interface=wan use-peer-dns=yes use-peer-ntp=yes

/ip dns
set allow-remote-requests=yes

/ip firewall nat

add action=masquerade chain=srcnat comment="" disabled=no out-
interface=wan

/ip firewall filter

add action=accept chain=input comment="" connection-state=established
disabled=no
add action=accept chain=input comment="" connection-state=related
disabled=no
add action=accept chain=input comment="" disabled=no protocol=udp
add action=drop chain=input comment="" connection-state=invalid
disabled=no

OK, hasta ac tendramos las dos oficinas con conexin a Internet pero nada
mas. Para configurar la VPN, en Router1:

En Winbox vamos al men PPP > Secrets. Mediante el boton "+" agregamos
una cuenta. En Name ponemos "sucursal", en Password, por ej. 123456, en
la lista desplegable Profile elegimos "default-encryption", en Local Address
la IP de LAN del router (10.0.0.254), en Remote Address 10.0.0.200 y damos
Apply.

29
En la solapa Interface en la lista desplegable del botn "+" elegimos PPTP
Server. En la ventana que se abre en User pondremos "sucursal" que era el
usuario que anteriormente creamos. Damos Apply.

Finalmente cliqueamos el botn "PPTP Server", marcamos "Enable" y nos

aseguramos que en Default Profile este seleccionado "default-encryption".

30
En el Router2 mediante Winbox vamos al men PPP, desde el botn "+",
elegimos PPTP Client, en la ventana seleccionamos la solapa "Dial Out". En
"Connect To" ingresamos la IP publica del Router1, en este caso por ejemplo
sera 192.168.10.164, en User ponemos "sucursal" y en Password "123456".
Nuevamente nos aseguramos que en Profile figure "default-encryption" y
damos Apply.

31
Si est todo bien, automticamente cuando den Apply en la lista de
Interface el "PPTP Client" va figurar como "Connected". Eso significa que ya
est conectado al otro router mediante la VPN. Lo podemos comprobar
fcilmente si desde el menu Tools le hacemos un ping a la IP de la LAN del
router de Casa central (10.0.0.254) y este responde.

Ahora tenemos respuesta del Router1 hacia el Router2, pero si prueban al

revs no va a funcionar. Lo que sucede en ese caso es que los paquetes IP
no conocen "el camino de vuelta" por decirlo de alguna manera, entonces
nosotros se lo vamos a ensear.

En el Router1 vamos a IP > Routes, con el "+" aadimos una ruta esttica.
En Destination ponemos la red remota (10.0.1.0/24) y en Gateway
ingresamos la IP que le otorga el PPTP Server al "usuario" "sucursal"
(10.0.0.200).

32
De la misma manera en el Router2 agregamos una ruta esttica. En
Destination ponemos la red remota 10.0.0.0/24 y en Gateway la IP de LAN
del Router1 (10.0.0.254). Aplicamos.

33
Ahora, si hacemos ping entre los routers a sus IP de LAN van a responder los
dos, igualmente si lo hacemos entre dos equipos de las 2 redes.

Configuracin PPPoE Server para su Red

34
 Hoy en da sabemos que tan importante es
administrar a nuestros clientes optando como trabajo
un servidor que nos ofrezca mayor seguridad. Si
hablamos de tener una red ms segura y bien
encriptado, ya estara por dems hablar de
administracin de usuarios usando Hotspot o amarre
por ARP.

Desafortunadamente hoy en da hay programas hackers que burla la

seguridad por Hotspot, siendo vctimas de la clonacin de Mac. Sobre todo
hay ISP que por razones de Publicidad o Marketing dejan su red Libre a la
espera del portal cautivo. Esto sera presa fcil para nuestro atacante.

La autenticacin por PPPOE (protocolo Punto a Punto sobre Ethernet) es un

protocolo de red para la encapsulacin PPP sobre una capa de Ethernet.

La de poder este sistema es que primero el usuario tiene que identificarse y

luego el servidor le brinda una IP dentro del POOL de IP pre configurado en
el Mikrotik.

Lo que es diferente con el Hotspot. Puesto que la identificacin del cliente

funciona asi.

Primero le da la IP, dejando al descubierto nuestro POOL de IP(RANGO DE

IPS) de nuestro server, como tambin dejando al descubierto las Mac
registradas, listo para ser atacado.

35
1.- seleccionamos y renombramos la interface para nuestro concentrador
pppoe.

2.- crearemos un pool de ip locales para nuestro servicio pppoe

36
3.- creando un perfil para cada servicio pppoe

name : ponemos un nombre cualquiera

Local address : seleccionamos una ip de nuestra red local

Remote address : elegimos nuestro pool de ips creado anteriormente de

nuestra red local

Dns server : elegimos nuestros dns, preferentemente de nuestro proveedor

de servicio

37
4.- agregamos el concentrador pppoe sobre una ethernet

name : elegimos un nombre cualquiera

Interface : seleccionamos la interface para nuestro servicio pppoe
Default profile : seleccionamos el perfil creado para nuestros clientes

5.- creando usuarios para pppoe server

Name : asignamos un usuario al cliente

Password : asignamos una contrasea al cliente
Servicio : elegimos solo el servicio pppoe
Profile : elegimos el perfil creado anteriormente

Local address : elegimos nuestra ip local

38
 Conclusiones
En conclusin no es recomendable usar la administracin por hotspot si es
que no se tiene otro sistema de seguridad de por medio.

Si hablamos de mayor seguridad, optaramos por administrar a nuestros

usuarios usando concentrados pppoe.

Se defini la configuracin de las interfaces. Asignando nombres,

direcciones de IP a las mismas y definicin de las Vlan.

Se configur el servidor de DHCP para cada una de las sub redes. En el cual
se definieron los pools de ip para cada una. Tambin la asignacin
direcciones del IP fijas a partir de direcciones MAC de los servidores.

Se configuro un servidor PPPoE para autenticar usuarios que se deseen

loguear al rea de produccin. El cliente de PPPoE se configur para que la
red tenga un tercer acceso a Internet mediante Adsl de backup.

Se configur un servidor de Web Proxy para optimizar la utilizacin de los

recursos hacia Internet. En el mismo se configuro polticas de bloqueo de
trfico hacia ciertas pginas al igual que el bloqueo de descarga de ciertos
archivos.

39
Recomendaciones antes de usar pppoe

Usar equipos en la serie Ubiquiti.

Tener habilitado el Protocolo Airmax para Mayor potencial y seguridad.

Tener buenos enlaces de emisor a cliente.

Usar preferiblemente un rb1100 ahx2 como Administracin.

Pasos para configurar pppoe sobre una ethernet o interface

40
 Bibliografia

Chris Hurley, Russ Rogers, Frank Thornton, and Daniel Connelly.

(2006).Wardriving & Wireless Penetration Testing. 1ra Edidcion.
EstadosUnidos: Syngress (431 Pag.)

Freeraduis 2008. Wiki site

<http://wiki.freeradius.org/Main_Page>[04/2008]

Mallery, John; Zann, Jason; Kelly, Patrick. Blindaje de Redes. 1ra

Edicion.Espaa. Anaya Multimedia. (720 pag)

Mikrotik. (2006) MikroTik RouterOS v2.9 Reference Manual, 1ra

Edicion,Estados unidos: Mikrotik SIA. (695 pag)

Mikrotik 2007. Manual de referencia.

<http://www.mikrotik.com/testdocs/ros/2.9/>[04/2008]

Mikrotik 2008. Mikrotik Forum.<http://forum.mikrotik.com>[04/2008]

Mikrotik. 2008. Wiki Site.<http://wiki.mikrotik.com>. [04/2008]

Mrtg 2008. Documentation

Site<http://oss.oetiker.ch/mrtg/doc/index.en.html>[04/2008]

Scrimger, Rob (Wiley John + Sons).Tcp/Ip Bible.2da Edicin.

EstadosUnidos: Hungry Minds. (626 pag)

41