INSTALACION Y CONFIGURACION DE MICROTICK Y

CONFIGURACION DE SERVICIOS.

Contenido
INTRODUCCIN ............................................................................................. Error! Bookmark not defined.
I PARTE. .........................................................................................................................................................2
INSTALACIN DE MICROTICK........................................................................................................................2
CONFIGURACIN DE MICROTICK..................................................................................................................4
II parte ..........................................................................................................................................................9
HotSpot. ........................................................................................................................................................9
Unin de dos redes LAN .............................................................................................................................12
Configuracin PPPoE Server para su Red....................................................................................................17
Conclusiones .................................................................................................. Error! Bookmark not defined.
Recomendaciones antes de usar pppoe ........................................................ Error! Bookmark not defined.
Bibliografia ..................................................................................................... Error! Bookmark not defined.
I PARTE.

INSTALACIN DE MICROTICK
1. Bootear la PC para que haga boot desde el CD-ROM

2. Instalando
Despus que haya booteado seleccionaremos los paquetes que queremos instalar, se puede ver los que estn
marcados con una X son los escogidos. Para esto nos ayudaremos con las teclas direccionales y con la barra
espaciadora los seleccionaremos. Los paquetes que estn seleccionados en la imagen son los que suelo instalar en
los servidores.

3. Una vez que hayamos seleccionado vamos a proceder a instalar el mikrotik, para ello presionamos la tecla "i" en
ese proceso apareceran preguntas a las cuales daremos a explicar

Do you want to keep old configuration? [y/n]:

Desea mantener la configuracin anterior?

Presionamos la tecla 'n'

Warning: all data in the disk will be erased! Continue? [y/n]:

Advertencia: todos los datos en el disco sern eliminados! Continuar?

4. Presionamos la tecla "y" para que empiece a particionar y formatear el disco o unidad de almacenamiento. Este
proceso puede demorar dependiendo de la capacidad del disco que se haya elegido para hacer la instalacin.
Una vez que termine el proceso los paquetes seleccionados se instalarn automticamente y al finalizar
tedremos el mensaje:
5. Retiramos el CD de instalacion de la PC y presionamos la tecla 'enter' para que el PC reinicie y el sistema cargue
directamente del disco duro.
Al prender la PC aparecer este mensaje:

It is recomended to check your disk drive for errors,

but it may take a while (~1min for 1Gb).
It can be done later with "/system check-disk".
Do you want to do it now? [y/N]

Es recomendable comprobar que su unidad de disco est libre de errores,

pero puede tomar algn tiempo (~1min para 1Gb).
puede hacerse ms tarce con "/sistem check-disk".
Quiere hacerlo ahora?

6. Presionamos "N"
Saldr el siguiente pantallazo en la que te pregunta el password, dejamos en blanco ya que por defecto el
mikrotik no tiene password.

Login: admin
Password:

7. Una vez que hemos entrado observaremos una notificacin del servidor que nos dice que nuestro sistema no
tiene licencia, y que tenemos menos de 24 horas para probarlo.
CONFIGURACIN DE MICROTICK

En esta etapa vamos a configurar las interfaces que se encuentran tanto en nuestra PC como en el RouterBoard de
Mikrotik. Para poder observar todas las interfaces seleccionaremos del comando que se encuentra en la izquierda la
opcin "interfaces"

El esquema de la red ser la siguiente:

Configurando la WAN

Antes de configurar la WAN vamos a ver ms sobre las opciones que tiene una interfaz en el Mikrotik: Como primer punto
uno podr ver que por defecto tiene un nombre de la interface llamado "ether1" "ether2" etc, en este campo vamos a
poder escribir el nombre de la interfaz a nuestro antojo. Este paso es una gran ayuda debido a que vamos a poder reconocer
de forma rpida las interfaces. Adems existen otros datos, tales como, saber si existe un cable de red conectado en ese
puerto o saber si est habilitado
Ahora vamos a la interface llamada "ether1" y le cambiamos el nombre a "WAN"

Ahora vamos a la interface llamada "ether2" y le cambiamos el nombre a "LAN"

Listo ahora colocaremos las IPs a la WAN y a LAN, para ello entraremos a IP y despus a Address para ello

Para la WAN colocaremos la siguiente IP 192.168.1.200/24

Para la LAN colocaremos la siguiente IP 192.168.10.1/24

El uso de /24 indica la mscara de red que tiene la direccin IP, por si no lo sabas sirve para delimitar el mbito de una red.
Te permite que todos los grupos de direcciones IP que pertenecen a la misma mascara de red estn en una misma red y
por lo tanto son una misma unidad. En este caso la mscara de red es 255.255.255.0.

Bueno hasta el momento tenemos las IPs seleccionadas y mencionadas ahora nos falta "natearlas", para este caso la lnea
que nos provee internet es el equipo ADSL (puede ser Zyxel) cuyo IP es 192.168.1.1, pero nosotros vamos a crear nuestra
propia red cuyo IP del mikrotik es 192.168.10.1, entonces nuestras IPs de nuestra nueva red sern de la
forma192.168.10.X donde X toma valores de [2 hasta el 254].
Chain, seleccionamos scrnat. Aunque siempre est as por defecto cuando se crea una nueva regla. Out. Interface,
seleccionaremos nuestra interfaz WAN.

Ahora enmascaramos nuestra interfaz WAN

Ahora nos falta decirle al mikrotik que el internet viene del router 192.168.1.1, que para este caso es del router ADSL
En la ventana Route List, se observa que hay 2 reglas que nosotros no agregamos (esto es normal) Vamos a prepararnos
para agregar la puerta de enlace que usar nuestro servidor Mikrotik, vamos a la pestaa Routes y agregamos una nueva
regla (+).

Gateway, aqu slo colocaremos la puerta de enlace del router ADSL (192.168.1.1 para este caso), con esto le estamos
diciendo al servidor de dnde llega el internet para repartirlo.

Con esto la interfaz de red LAN debera de tener internet si conectamos los cables correctamente. Ahora lo nico que nos
falta es configurar las tarjetas de red de los clientes. Teniendo en cuenta que nuestra nueva puerta de enlace es
192.168.10.1, entonces el cliente debera de tener esta configuracin de acuerdo a ese rango de red.
II parte

HotSpot.
Mikrotik User Manager Billing + Hotspot

Veamos sin esta instalado el paquete usermanager si no est instalado pues procedemos a instalarla para comprobar que
est instalado podemos ingresar al winbox .

SYSTEM / PACKAGES

Luego activamos el Radius Server del mikrotik en direccin le asignamos el IP del servidor billing en el caso que sea el mismo
mikrotik entonces seria 127.0.0.1 osea localhost Luego elegimos el servicio que queremos activar en este caso hotspot
luego el password de conexion entre servidores.

El puerto escucha del servidor Radius activamos por defecto 1700

Vamos a HOTSPOT y seteamos en Server Profile , activamos la opcion Use Radius y accounting para enlazar el Hotspot a
nuestro servidor Radius.

Luego Para ingresar a configurar al Usermanager necesitamos tener una clave de acceso para eso en new terminal creamos
un usuario : admin y un passwd : 1234

Luego entramos por web al user manager en nuestro caso es local seria la IP del servidor mikrotik
http://192.168.1.1/userman entramos con el user y pass creado
Luego Ponemos las mismas credenciales creadas en el Radius Server

Luego Creamos Los perfiles para asignacion de ancho de banda y horarios

aqui asignamos el ancho de banda

en este ejemplo estamos creando planes de 1MB tanto para bajada como subida

Bien como veras es sencillo la configuracin entonces ya podemos crear usuarios en la pestaa USER para que ya se
conecten.

Unin de dos redes LAN

Inicialmente configuramos bsicamente dos Mikrotik en los dos lugares y armamos una VPN IPSEC para que cree un tnel
seguro y como este protocolo enruta de manera nativa, en pocos minutos teniamos conexin entre las dos oficinas.

Este cliente en su sucursal tena una conexin a Internet muy inestable y eso nos trajo problemas con IPSEC. Se
desconectaba solo y a veces no volva a conectarse hasta no reiniciar los dos routers. Luego de buscar una solucin a este
problema, dimos con que configurando una VPN PPTP gateway-to-gateway, esta era menos proclive a desconectarse ante
fallas de la conexin a Internet y ademas soportaba reconexin automtica.

Las direcciones IP que muestro a continuacin son solo de ejemplo, si las reemplazan por las que ustedes tengan funcionara
de igual manera. Pueden copiar los comandos, reemplazar los nombres de las interfaces y las IP con el Bloc de notas,
mediante Winbox abren "New Terminal", pegan ah lo copiado y listo,
cabe aclarar que para que se establezca la comunicacin entre las dos redes, estas tienen que tener diferentes rangos de
IP.

Configurando la VPN PPTP gateway-to-gateway

Router1 (Casa central):

Configuramos las IP en las interfaces:

LAN:
/ip address
add address=10.0.0.254/24 broadcast=10.0.0.255 comment="" disabled=no
interface=lan network=10.0.0.0
En este caso la conexin a Internet es por cablemodem as que la interfaz de "WAN" obtiene IP mediante el "dhcp-client".

Muy importante en este es que queden las opciones "add-default-route=yes" y "use-peer-dns=yes". La primera setea la
ruta por defecto y la segunda permite que se usen los DNS del ISP.

/ip dhcp-client
add add-default-route=yes comment="" default-route-distance=0 disabled=no
interface=wan use-peer-dns=yes use-peer-ntp=yes

Los DNS. Tiene que estar la opcin "allow-remote-requests=yes" para que el router acte como DNS cache y los equipos
de la red puedan resolver nombres de dominio en IPs.

/ip dns
set allow-remote-requests=yes

Configuramos el "masquerade" para que haga NAT de las IP de la LAN por la IP publica hacia Internet.

/ip firewall nat

add action=masquerade chain=srcnat comment="" disabled=no out-interface=wan

Protegemos bsicamente el router.

/ip firewall filter

add action=accept chain=input comment="" connection-state=established
disabled=no
add action=accept chain=input comment="" connection-state=related disabled=no
add action=accept chain=input comment="" disabled=no protocol=udp
add action=drop chain=input comment="" connection-state=invalid disabled=no

Router2 (Sucursal)

/ip address
add address=10.0.1.254/24 broadcast=10.0.1.255 comment="" disabled=no
interface=lan network=10.0.1.0

/ip dhcp-client
add add-default-route=yes comment="" default-route-distance=0 disabled=no
interface=wan use-peer-dns=yes use-peer-ntp=yes

/ip dns
set allow-remote-requests=yes

/ip firewall nat

add action=masquerade chain=srcnat comment="" disabled=no out-interface=wan

/ip firewall filter

add action=accept chain=input comment="" connection-state=established
disabled=no
add action=accept chain=input comment="" connection-state=related disabled=no
add action=accept chain=input comment="" disabled=no protocol=udp
add action=drop chain=input comment="" connection-state=invalid disabled=no

OK, hasta ac tendramos las dos oficinas con conexin a Internet pero nada mas. Para configurar la VPN, en Router1:
En Winbox vamos al men PPP > Secrets. Mediante el boton "+" agregamos una cuenta. En Name ponemos "sucursal", en
Password, por ej. 123456, en la lista desplegable Profile elegimos "default-encryption", en Local Address la IP de LAN del
router (10.0.0.254), en Remote Address 10.0.0.200 y damos Apply.

En la
solapa Interface en la lista desplegable del botn "+" elegimos PPTP Server. En la ventana que se abre en User pondremos
"sucursal" que era el usuario que anteriormente creamos. Damos Apply.

Finalmente cliqueamos el botn "PPTP Server", marcamos "Enable" y nos aseguramos que en Default Profile este
seleccionado "default-encryption".
En el Router2 mediante Winbox vamos al men PPP, desde el botn "+", elegimos PPTP Client, en la ventana seleccionamos
la solapa "Dial Out". En "Connect To" ingresamos la IP publica del Router1, en este caso por ejemplo sera 192.168.10.164,
en User ponemos "sucursal" y en Password "123456". Nuevamente nos aseguramos que en Profile figure "default-
encryption" y damos Apply.

Si est todo bien, automticamente cuando den Apply en la lista de Interface el "PPTP Client" va figurar como "Connected".
Eso significa que ya est conectado al otro router mediante la VPN. Lo podemos comprobar fcilmente si desde el menu
Tools le hacemos un ping a la IP de la LAN del router de Casa central (10.0.0.254) y este responde.

Ahora tenemos respuesta del Router1 hacia el Router2, pero si prueban al revs no va a funcionar. Lo que sucede en ese
caso es que los paquetes IP no conocen "el camino de vuelta" por decirlo de alguna manera, entonces nosotros se lo vamos
a ensear.

En el Router1 vamos a IP > Routes, con el "+" aadimos una ruta esttica. En Destination ponemos la red remota
(10.0.1.0/24) y en Gateway ingresamos la IP que le otorga el PPTP Server al "usuario" "sucursal" (10.0.0.200).
De la misma manera en el Router2 agregamos una ruta esttica. En Destination ponemos la red remota 10.0.0.0/24 y en
Gateway la IP de LAN del Router1 (10.0.0.254). Aplicamos.

Ahora, si hacemos ping entre los routers a sus IP de LAN van a responder los dos, igualmente si lo hacemos entre dos
equipos de las 2 redes.
Configuracin PPPoE Server para su Red

Hoy en da sabemos que tan importante es administrar a nuestros clientes optando como
trabajo un servidor que nos ofrezca mayor seguridad. Si hablamos de tener una red ms
segura y bien encriptado, ya estara por dems hablar de administracin de usuarios usando
Hotspot o amarre por ARP.

Desafortunadamente hoy en da hay programas hackers que burla la seguridad por Hotspot,
siendo vctimas de la clonacin de Mac. Sobre todo hay ISP que por razones de Publicidad o
Marketing dejan su red Libre a la espera del portal cautivo. Esto sera presa fcil para
nuestro atacante.

La autenticacin por PPPOE (protocolo Punto a Punto sobre Ethernet) es un protocolo de red para la encapsulacin PPP
sobre una capa de Ethernet.

La de poder este sistema es que primero el usuario tiene que identificarse y luego el servidor le brinda una IP dentro del
POOL de IP pre configurado en el Mikrotik.

Lo que es diferente con el Hotspot. Puesto que la identificacin del cliente funciona asi.

Primero le da la IP, dejando al descubierto nuestro POOL de IP(RANGO DE IPS) de nuestro server, como tambin dejando
al descubierto las Mac registradas, listo para ser atacado.

1.- seleccionamos y renombramos la interface para nuestro concentrador pppoe.

2.- crearemos un pool de ip locales para nuestro servicio pppoe

3.- creando un perfil para cada servicio pppoe

name : ponemos un nombre cualquiera

Local address : seleccionamos una ip de nuestra red local

Remote address : elegimos nuestro pool de ips creado anteriormente de nuestra red local

Dns server : elegimos nuestros dns, preferentemente de nuestro proveedor de servicio

4.- agregamos el concentrador pppoe sobre una ethernet

name : elegimos un nombre cualquiera
Interface : seleccionamos la interface para nuestro servicio pppoe
Default profile : seleccionamos el perfil creado para nuestros clientes

5.- creando usuarios para pppoe server

Name : asignamos un usuario al cliente

Password : asignamos una contrasea al cliente
Servicio : elegimos solo el servicio pppoe
Profile : elegimos el perfil creado anteriormente

Local address : elegimos nuestra ip local