MikroTik Certified Network Associate

(MTCNA)

“© MikroTik, www.mikrotik.com. All rights reserved. Reprinted with permission.”

Presentarse individualmente

• Nombre
• Compañía
• Conocimiento previo sobre RouterOS
• Conocimiento previo sobre Networking
• Qué espera de este curso?
 Acerca del Intructor

• Ing. Miguel Ojeda

• CEO / MikroTik Solutions International
• MikroTik Certified Trainer – TR-0151
• MikroTik Certified Consultant
• Certificaciones Obtenidas:
• MTCNA, MTCTCE, MTCWE,
MTCUME, MTCRE, MTCINE

3
 Agenda
• Horario diario (3 días)
 9:00am a 6:00pm
• Descansos 15-20mins.
 10:30am y 3:00pm
• Almuerzo
 12:00pm to 1:00pm
• Examen
 Último día, 1 hora

4
 Porque tomar el curso de
MTCNA?
• Introducción a RouterOS y productos
RouterBOARD
• Provee un mayor panorama de las
capacidades de RouterOS y lo que
puedes hacer con los productos
RouterBOARD.
• Te facilitará un fundamento sólido y
herramientas valiosas para hacer tu
trabajo.
5
 Objetivos del Curso

Al finalizar el curso el estudiante:

• Estará familiarizado con los productos
RouterOS y RouterBOARD.
• Podrá configurar, administrar y hacer
troubleshooting básico de routers
MikroTik.
• Proveer servicios básico a clientes o
empresas.
6
 Otros..

• Este curso está basado en RouterOS 6 y

RB951G-2HnD
 Módulo 1 está basado en ROS 5.26

7
 IMPORTANTE

En consideración hacia los demás

estudiantes e instructor:

• Teléfono u otro en modo silencioso

• Tomar llamadas fuera del salón

8
Introducción

Módulo 1

9
RouterOS y RouterBOARD

10
 Que es RouterOS?
• MikroTik RouterOS es el sistema
operativo del RouterBOARD.
• Tiene todo los features necesarios para
ISP o administrador de redes tales como
routing, firewall, bandwidth
management, wireless access point,
backhaul link, hotspot gateway, VPN
server y más.

11
 Que es RouterOS?

• RouterOS es un Sistema operativo

basado en el Kernel v3.3.5 de Linux y
provee toda las funcionalidades en una
simple y rápida instalación con una
interfaz o GUI fácil de utilizar.

12
 Que es RouterBOARD?

• Una gama de soluciones de hardware

creadas por MikroTik para poder
cumplir con necesidades de redes
alrededor del mundo
• Todos operan con RouterOS.

www.mikrotik.com
www.routerboard.com
13
 Soluciones Integradas

• Estas son provistas completas con cajas

y powersupplies.
• Listas para utilizar y preconfiguradas
con las configuraciones básicas.
• Lo único que tienes que hacer es
conectarlas al internet, oficina o casa.

14
 RouterBOARD
(boards solamente)
• Motherboard pequeños. Tu escoges caja,
powersupply e interfaces a utilizar.

• Perfectos para tu propio ensamblaje,

proveen la mayor personalización y
configuración física.

15
 Enclosures

• Cajas Indoor y Outdoor para

RouterBOARDs. Es seleccionado basado
en:
 La localización a ser instalada
 El modelo de RouterBOARD
 El tipo de conección necesitada (USB,
antennas, etc.).

16
 Interfaces

• Módulos ethernet, fiber SFPs o tarjetas

wireless para expandir la
funcionabilidad de un RouterBOARD o
PCs con sistema RouterOS.
• Nuevamente, la selección es basada en
tus necesidades

17
 Accesorios

• Estos son hechos para productos

MikroTik – power adapters, mounts,
antennas y PoE injectors.

18
 MFM

• Con el programa MFM (Made for

MikroTik) tienes aún mas opciones
adicionales para crear tu propia solución
o router.

19
 Porque obtener un router
integrado?
• Puedes trabajar con varias necesidades
• Opciones add-on adicionales
• Mínimo o Cero requerimiento de
expansión
• Configuración predefinida
• Simple solución a su vez eficiente

20
 Router integrados, ejemplos

RB951G-2HnD
• Excelente para
Casa o SoHo
• 5 puertos Gbps
• Wi-Fi 2.4Ghz
integrado
• Licencia Nivel 4

21
 Routers integrados, ejemplos
SXT Sixpack
(1 OmniTIK U-5HnD with 5 SXT-
5HPnD)

• Excelente para WISP

o empresa con
oficinas remotas
• 5 puertos 100Mbps
• (OmniTik)
• 5 radios 5Ghz
802.11a/n
• Puede cubrir hasta
5Km entre oficina
principal y remotas
22
 Routers integrados, ejemplos
CCR1036-12G-4S
Cloud Router
Modelo Elite

• Excelente para ISPs o

redes de compañías
• 1 Unidad rack
• 12 puertos Gbps
• Puerto Serial, USB y
touch screen
• 4GB RAM, puede utilizar
cualquier tamaño de
RAM SO-DIMM

23
 Nota de interés
• Los nombre de los routers son asignados
dependiendo su capacidad, ejemplos:
 CCR : Cloud Core Router
 RB : RouterBoard
 2, 5 : 2.4GHZ or 5GHz wifi radio
 H : High powered radio
 S : SFP
 U : USB
 i : Injector
 G : Gigabit ethernet
24
 Porque construir tu propio
router?
• Atacas una variedad de necesidades
propias
• Muchas opciones add-on y expansión
• Configuraciones customizables
• Puede ser integrado en equipos o
gabiente existente de clientes
• Solución mas completa para necesidades
particulares
25
 Routers customizados,
ejemplos
Flexible CPE
• RB411UAHR
 1 puerto 100Mbps
 1 radio 2.4GHz radio
(b/g)
 Licencia Nivel 4
• Añade Power supply
o módulo PoE
• Añade enclosure
3ero
• Añade modem 3G
PCI-E
26
 Routers customizados,
HotSpot potente ejemplos
• RB493G
 9 puertos giga
 Licencia nivel 4
• Añade power supply o
modulo PoE
• Añade R2SHPn (tarjeta
2.4GHz)
• Añade R5SHPn (tarjeta
5Ghz)
• Añade enclosure 3ero
• Añade tarjeta microSD
27
Primera vez accediendo el router

28
 Explorador de internet

• Forma intuitiva de conectarse a un

router con RouterOS.

29
 Explorador de Internet

• Conectas cable Ethernet al router

• Ejecutas explorador de internet
• Entras IP del router
• Si solicita login, usas “admin” sin
contraseña

30
 Internet browser

• Ejemplo:

31
 WinBox y MAC-Winbox

• WinBox es la interface propietaria de

MikroTik para acceder los routers
• Puede ser descargado desde la página de
MikroTik.com o del mismo router
• Es utilizado para acceder a través de IP
(OSI Layer 3) o MAC (OSI Layer 2)

32
 WinBox y MAC-Winbox

• En el navedor
de internet
buscas abajo
donde se
muestran los
distintos
iconos, “click y
save”.

33
 WinBox y MAC-WinBox

• Ejecutas WinBox.

• IP 192.168.88.1
luego “Connect”

• Pantalla default:
 “OK”

34
 WinBox’s menus

• Toma 5 minutos para navegar los menus

• Toma nota en especial de lo siguiente:
 IP  Addresses
 IP  Routes
 System  SNTP
 System  Packages
 System  Routerboard

35
 Console port
• Requiere que
conectes la
computadora al
router con un
cable serial
(RS-232 port).
 Default is
115200bps, 8
data bits, 1 stop
bit, no parity
36
 SSH y Telnet
• Herramientas IP estandar para acceder
• Comunicación con Telnet es “clear text”
 Disponible en la mayoría de sistemas
operativos
 Inseguro!!
• Comunicación con SSH es encriptado
 Seguro!!
 Múltiples herramientas tales como PuTTY
(http://www.putty.org/)
37
 CLI

• Command Line Interface

• Es la interface utilizada cuando conectas
con Telnet, SSH y Serial
• Necesario en especial si utilizarás
scripts!

38
Configuración Inicial
(Acceso al Internet)

39
Con o sin configuración básica?

• Puede que tengas o no una configuración

básica cuando instalas desde inicio
• Puedes escoger no iniciar con
configuración básica por default
• Verifica esta página para ver como se
comportaría tu router con configuración
básica incluida:
http://wiki.mikrotik.com/wiki/Manual:Default_Configurations

40
 Configuración básica
• Dependiendo de tu hardware obtendrás
configuración básica, el cual puede
incluir
 WAN port
 LAN port(s)
 DHCP client (WAN) and server (LAN)
 Basic firewall rules
 NAT rule
 Default LAN IP address

41
 Configuració básica
• Cuando te
conectas por
primera vez con
WinBox escojes
OK”
• Ahora el router
inicia con la
configuración
básica
predefinida.
42
 Sin configuración

• Puede ser utilizado en ocasiones donde

la configuración básica no es necesaria,
ejemplo:
 No hay necesidad de reglas de firewall
 No hay necesidad de NAT

43
 Sin configuración
• Los pasos mínimos para configurar
acceso hacia el internet si tu router no
tiene la configuración básica:
 LAN IP addresses, Default gateway and
DNS server
 WAN IP address
 NAT rule (masquerade)
 SNTP client and time zone

44
Actualizando el router

45
 Cuando actualizar?

• Corrección de un bug.
• Se requiere un nuevo Feature.
• Funcionamiento Mejorado.
NOTA: Siempre leer el changelog!!

46
 Procedimiento

• Requiere planificación.
 Pasos pueden requerir un orden preciso.
• Requiere validación…
 y validar…
 y seguir validando!!

47
 Antes de actualizar
• Conoce la arquitectura (mipsbe, ppc,
x86, mipsle, tile) que vas a actualizar.
 Duda? Winbox indica la arquitectura en la
extrema izquierda
• Conoce que archivos son requeridos:
 NPK : Imagen base de RouterOS image con
los paquetes standard (Siempre)
 ZIP : Paquetes adicionales (Depende la
necesidad)
 Changelog : Indica los cambios (Siempre)

48
 Como actualizar

• Obtienes los archivos de Mikrotik.com

 Downloads

49
 Como actualizar

• 3 Maneras
 Descargas el archivo y lo copias directo al
router.
 “Check for updates” (System -> Packages)
 Auto Upgrade (System -> Auto Upgrade)

50
 Descargando los archivos

• Lo copias al router a través del menu en

“Files”.
Ejemplo de archivo:
 routeros-mipsbe-5.25.npk
 ntp-5.25-mipsbe.npk
• Reinicio
• Valida el estado del router

51
 Verificando actualizaciones
(con /system packages)
• En el menú
“System -> Packages”
• Click en “Check for
Updates” luego
“Download &
Upgrade”
• Reinicia
automáticamente
• Valida paquetes y
estado del router
52
 Actualización Automática

• Copia todo los paquetes para todo los

routers a un router interno del network
• Configuras los routers para que apunten
al que contendrá los paquetes
• Presenta paquetes disponibles
• Selecciona y descarga los paquetes
• Reinicia y valida el estado del router

53
Actualización Automática

54
 Actualización firmware
RouterBOOT
• Verificar version actual
[admin@MikroTik] > /system routerboard
print
routerboard: yes
model: 951-2n
serial-number: 35F60246052A
current-firmware: 3.02
upgrade-firmware: 3.05
[admin@MikroTik] >

55
 Actualización firmware
RouterBoot
• Actualiza si es requerido (requerido en el
ejemplo)
[admin@MikroTik] > /system routerboard upgrade
Do you really want to upgrade firmware? [y/n]
y
firmware upgraded successfully, please reboot for
changes to take effect!
[admin@MikroTik] > /system reboot
Reboot, yes? [y/N]:

56
Manejar logins de RouterOS

57
 Cuenta de usuarios
• Crea cuentas de usuarios para:
 Manejar privilegios
 Verificar actividades por usuarios
• Crea grupos para
 Mayor flexibilidad cuando asignes
Privilegios.

58
Manejar Servicios de
RouterOS

59
 IP Services

• Administra IP Services para:

 Limitar uso de recursos (CPU, memory)
 Limitar vulnerabilidades (Puertos
Abiertos)
 Cambiar puertos TCP
 Limitar IPs aceptadas o subnets

60
 IP Services

• Para manejar ve a “IP -> Services”

• Habilita o deshabilita lo requerido.

61
 Acceso a IP Services
• Doble-click a service
• Si es necesario
especifica que hosts
o subnets pueden
accesar el servicio,
- Muy Buena práctica el
limitar ciertos servicios a
administradores
solamente.

62
Manejar configuraciones de
respaldo (Backup)

63
 Tipos de respaldos
(backups)
• Binary
• Configuration export

64
 Binary backup

• Backup completo del sistema

• Incluye contraseñas
• Asume que la restauración será en el
mismo router

65
 Export files
• Configuración
complete o parcial
• Genera un script file
o lo muestra en
terminal
• Utiliza “compact”
para mostrar no
configuraciones
default (default en ROS6)
• Utiliza “verbose”
para mostrar
configuraciones
default 66
 Archivando backup files

• Luego de generrado, cópialos a un

servidor u otro.
 Con SFTP (modo seguro)
 Con FTP (si habilitado en IP Services)
 Utiliza drag and drop desde “Files”
• Dejar backups en el mismo router NO es
una estrategia correcta de respaldo
 No existen tape o CD backups para routers

67
Licencias RouterOS

68
 Niveles de licencias

• 6 niveles de licencias
 0 : Demo (24 hours)
 1 : Free (very limited)
 3 : WISP CPE (Wi-Fi client)
 4 : WISP (required to run an access point)
 5 : WISP (more capacities)
 6 : Controller (unlimited capacities)

69
 Licencias
• Determina las capacidades permitidas
en tu router.
• RouterBOARD ya viene con licencia pre-
instalada.
 Niveles varian
• Licencias para sistemas x86 tienen que
ser compradas.
 Licencia solo es válida para un solo
sistema.
70
 Actualizando licencias
• Niveles son mostrados en
http://wiki.mikrotik.com/wiki/Manual:License

• Usos típicos
 Level 3: CPE, wireless client
 Level 4: WISP
 Level 5: Larger WISP
 Level 6: ISP internal infrastructure (Cloud
Core)

71
 Uso de licencias

• NO se puede actualizar nivel de licencia.

Compra el correcto requerido desde
inicio.
• La licencia es atada al disco el cual es
instalado. Cuidado con formatear el
disco con herramientas que no sean de
Mikrotik.
• Lee la página de licencias para mas info!
72
Netinstall

73
 Usos de Netinstall

• Reinstala RouterOS si el original es

corrompido o afectado
• Reinstala RouterOS si la contraseña de
“admin” es perdida
• Se encuentra en la página de MikroTik
en el área de “Download”

74
 Procedimiento: no serial
Para RBs sin puerto serial COM.
• Conecta computadora al puerto
Ethernet 1
 Asigna una ip y máscara estática
• Ejecuta Netinstall
 Cliquea “Net booting” y asigna un IP en el
mismo segmento de la computadora
• En “Packages”, cliquea “Browse” y
selecciona el directorio que contiene el
paquete NPK.
75
 Procedimiento: no serial

• Presiona el botón de “reset” hasta que el

Led “ACT” se apague
 El router aparecerá en la sección
“Routers/Drives”, luego selecciónalo!
• Escoge la version de RouterOS en la
sección “Packages”
 El botón de “Install” ahora se encuentra
disponible, click!

76
 Procedimiento: no serial
• La barra de progreso se tornará azul
mientras el archive NPK es transferido
• Al finalizar, reconecta la computadora
en un puerto y acceso al internet en el
Puerto 1
• Utiliza MAC-Winbox para conectarse ya
que configuración estará en blanco
 Aún si “Keep old configuration” esteaba
seleccionado!!
77
 Procedimiento: no serial
• Sube configuración de backup y reinicia
(La importancia del manejo correcto de
archivos de backup!)
• Si el problema fue por pérdida de
contraseña, rehacer la configuración
desde inicio, ya que contraseña utilizará
la misma contraseña olvidada.
 (La importancia del manejo correcto de
accesos!)

78
 Procedimiento: con Serial

Para RBs con puerto serial COM

• Simimilar
 PC en Puerto ether 1 con ip estático
 Conecta Puerto serial de PC a Puerto COM
del RouterBOARD’s
 Ejecuta Netinstall (configura el parámetro
“NET Booting”)
 Selecciona el directorio con el NPK

79
 Procedimiento: con Serial
• Reinicia el router
• Presiona “Enter” cuando lo indique
• Presiona “o” para boot device
• Presiona “e” para Ethernet
• Presiona “x” para salir del setup (router
reinicará)

80
 Procedimiento: con Serial
 Router aparecerá en la sección
“Routers/Drives”
 Selecciónalo
• Selecciona el paquete RouterOS que será
instalado
• Cliquea “Keep old configuration”
 El botón “Install” ahora estará

dispnoible, click!

81
 Procedimiento: con Serial

• La barra de progreso se tornará azul

mientras el NPK es transferido.
• Una vez finalizado, reconecta la
computadora en un pueto válido y el
internet al Puerto 1
• Utiliza WinBox para reconectar
 La opción “Keep old configuration” SI
funciona aquí!!

82
 Procedimiento: con serial
• Reinicia el router
• Presiona “Enter” cuando lo indique
• Presiona “o” para boot device
• Presiona “n” para NAND luego Ethernet
on fail
 Si se te olvida, siempre harás boot
desde el Ethernet
• Presiona “x” para salir (reiniciará el
router)
83
Recursos adicionales

84
 Wiki

http://wiki.mikrotik.com/wiki/Manual:TOC
• Wiki oficial de RouterOS
• Documentación de todo los comando
RouterOS
 Explicación
 Sintaxis
 Ejemplos
• Tips adicionales!!

85
 Tiktube

http://www.tiktube.com/
• Recurso de videos de varios temas
• Presentado por instructors, partners e
ISPs
• Puede incluir presentaciones en ppt o
pdf
• Varios lenguajes

86
 Forum
http://forum.mikrotik.com/
• Moderado por el equipo de Mikrotik
• Panel de discusion de varios temas
• MUCHA informacion aquí!!
- Podrás encontrar soluciones a tus
problemas!
• Primero investiga y busca antes de
postear una pregunta. Estandard ética de
foros!!
87
 Mikrotik support

support@mikrotik.com
• Procedimientos explicados en
http://www.mikrotik.com/support.html
• Soporte de MikroTik
-15 days (license level 4)
-30 days (license level 5 and level 6) si
licencia fue comprada con ellos

88
 Distributor / Consultant
support
• Soporte es provisto por Distribuidor
cuando equipo fue comprado al mismo.
• Consultores disponibles para ser
reclutados en trabajos especiales

Visita
http://www.mikrotik.com/consultants.html

89
Es tiempo de práctica!

Fin del modulo 1

90
 Laboratorio
• Metas del laboratorio
 Familiarizarse con métodos de accesos
 Configurar acceso al internet
 Actualizar RouterOS con el mas reciente
 Crear un grupo de acceso limitado, asignar
un usuario
 Manejar IP services
 Hacer un backup con configuración actual y
restaurar luego de hacer factory reset

91
Setup

92
 Laboratorio : Paso 1
• Configura tu computadora con el ip
estático que pertenece a tu POD
 Asigna Subnet Mask
 Asigna Default gateway (tu router)
 Asigna DNS server (tu router)
• Actualiza a RouterOS 6
• Una vez reiniciado el router, conéctate a
el de manera que tengas acceso completo

93
 Laboratorio : Paso 2

• Configura el IP de LAN del router

• Configura el IP de WAN del router
• Configura regla de NAT para internet*
• Configura el DNS del router
• Configura default route del router*

94
 Laboratorio : Paso 3
• Añade un group con el nombre “minimal”
 Dale derechos de “telnet”, “read” y “winbox”
• Añade un usuario con tu nombre
 Asígnalo al group “minimal”
 Asigna una contraseña
• Asigna una contraseña para usuario “admin”
 Asigna que sea “podX”, donde “X” es tu número de pod
 Accede con tu usuario y contraseña
 Abre un “New Terminal”. Que sucedió?

95
 Laboratorio : Paso 4
• Asegúrese que el RouterBoard firmware esté
actualizado.
• Copia el paquete NTP (NPK file)
 Verifica: System -> SNTP Client
 Verifica: NTP Client y NTP Server
 Que sucedió?
• Luego de reiniciar el router
 Verifica: -> SNTP Client
 Verifica -> NTP Client and NTP Server
• Configura el NTP client y Clock’s timezone
96
 Laboratorio: Paso 5

• Accesar el router con Telnet

• En el CLI deshabilitar los IP Service:
 SSH
 WWW
• Accesar el router via WEB
 Que sucedió?

97
 Laboratorio: Paso 6
• Abre “New Terminal” y “Files”
• Exporta la configuración a un archivo
llamado “modulo1-podX” (X es tu pod)
• Haz un backup binario (binary backup)
• Copia ambos archivos a tu computadora
 Abre ambos y mira el contenido
 Borra la regla de NAT e importa el backup
exportado para restaurar la regla.

98
 Laboratorio: Paso 7

• Mira la licencia del RouterBOARD

 Verifica el nivel de licencia de tu router.
 Que capacidades tiene tu router?

99
Fin del Laboratorio 1

100
 Routing

Módulo 2

101
Routing Overview

102
Conceptos de Routing
• Routing es un proceso en el Layer 3 del
modelo OSI.
• Routing define donde el tráfico de
comunicación será enviado (forwarded,
sent).
• Es requerido que multiples subnets se
puedan comunicar.
 Aún si se encuentran en el mismo “wire”
(hub, switch u otro que permita
comunicación)
103
Conceptos de Routing: Ejemplo 1
Computadoras no se podrán comunicar!!

104
Conceptos de Routing: Ejemplo 2
Computadoras Si se podrán comunicar.

105
Route Flags
• Las Rutas tienen estatus. En este curso
nos familiarizemos con:
 X : Disabled
 A : Active
 D : Dynamic
 C : Connected
 S : Static

106
Route flags

• Disabled : Ruta deshabilitada. No tiene

influencia en el proceso de
enrutamiento.
• Active : Ruta activa y Sí se toma en
cuenta en el proceso de enrutamiento.
• Dynamic : Ruta dinámica creada por el
proceso de enrutamiento, no
manualmente.
107
Route flags

• Connected : Rutas son creadas para

cada IP subnet que tenga una interface
active en el router.
• Static : Ruta creada manualmente para
forzar redireccionamiento de tráfico o
paquetes hacía un destino (gateway) en
específico.

108
Static Routing

109
Static routes
• Rutas a subnets que existen en un
router son automáticamente creadas y
conocidas solamente por ese router.
• Que sucede si necesitas alcanzar un
subnet que exista en otro router?
Configuras una ruta estática.
• Una ruta estática es una manera
manual de redirigir (forward) tráfico a
subnets no conocidos.
110
Static routes

111
Static routes
• Entendiendo los campos…
 Flags : El estado de cada ruta,
 Dst. Address : IP o Subnet de destino para el cual la ruta es
utilizada.
 Gateway : Típicamente, es el IP address del próximo salto
(next hop) el cual recibirá los paquetes destinados al “Dst.
Address”.
 Distance : Valor utilizado para selección de ruta. En
configuraciones donde varias rutas son posibles, la ruta con
el valor menor es la preferida.
 Routing Mark : Tabla de ruta (Routing table) que contiene
esta ruta. Tabla de ruta (routing table) default es “Main”.
 Pref. Source : La dirección IP de la interface local del
router resposanble de redireccionar (forward) los packets
enviados por el subnet anunciado (advertised).
112
Porqué utilizar rutas estáticas
(static routes)?
• Hace la configuración mas simple en un
network pequeño donde usualmente no
habrá crecimiento.
• Limita el uso de los recursos del router
(memory, CPU)

113
Limites de rutas estáticas

• No es escalable.
• Configuación manual es requerida para
cada nuevo subnet el cual se requiera
alcanzar.

114
 Límites de rutas estáticas:
Ejemplo:
Tu red crece y tienes la
necesida de agregar
enlaces a routers
remotos.
(Asumiendo que cada
router tiene 2 redes
LAN y 1 red WAN)

115
 Límites de rutas estáticas:
Ejemplo:
Router 3 a 5: 9 rutas
Router 2: 2 rutas
Router 6 y 7: 4 rutas

Total de 15 rutas
estáticas
manualmente! 

116
Creando rutas
• Para anadir una
ruta estática :
 IP -> Routes
 + (Add)
 Especifica subnet
y máscara
 Especifica
“Gateway” (next
hop)

117
Configurando el default route

• La ruta 0.0.0.0/0
 Conocido como el Default route.

 Es el destino donde todo tráfico a subnets o

IPs desconocidos será enviado.

 Al igual es una ruta estática.

118
Manejando rutas dinámicas
• Según mencionado, rutas dinámicas son
añadidas por el proceso de enrutamiento
no por el administrador.
• Es Automático.
• No puedes manipular rutas dinámicas.
Si la interface donde la ruta dinámica
está creada se desconecta o se va “down”,
también la ruta dinámica se elimina.

119
Manjenado rutas dinámicas
Ejemplo:

120
Implementando enrutamiento estático en
un simple network
Considera lo siguiente:

121
Implementando enrutamiento
estático

• Ejercicio:

Asumiendo que las direcciones IP han

sido entradas, Que comandos usarías
para lograr completa comunicación entre
ambos subnets (LAN1 and LAN2)?

(Respuesta en el próximo slide )

122
Implementando enrutamiento
estático

• router-1
/ip route
add gateway=172.22.0.18
add dst-address=10.1.2.0/24 gateway=10.0.0.2

• router-2
/ip route
add gateway=10.0.0.1

123
Es tiempo de ponerlo en práctica!

Fin del módulo 2

124
Laboratorio

• Metas del laboratorio

 Lograr conectividad a otros POD LANs
 Validar el uso de default route
 Lograr ver y explicar los Route Flags

125
Laboratorio : Setup

126
Laboratorio : Paso 1

• Eliminar la ruta default creada en el

módulo anterior
• Hacer ping a computadoras en otros
PODs, Resultado?
• Crear rutas estáticas a los demás POD
LANs
• Hacer ping a computadoras en otros
PODs, Resultados?
127
Laboratorio : Paso 2

• Abrir un explorador de internet y trata

de accesar la página de NINsys.com.
Resultado?
• Crear la ruta default hacía el router del
Trainer
• Trata de accesar nuévamente la página.
Resultado?

128
Fin del laboratorio 2

129
 Bridging
Módulo 3

130
Bridging overview

131
Conceptos de Bridging

• Bridges funcionan en OSI Layer 2.

• Tradicionalmente, eran utilizados par
unir 2 segmentos de tecnología distinta o
similar.

132
Conceptos de Bridging
• Bridges también eran utilizados para
crear pequeños collision domains .
 La meta era mejorar el funcionamiento
reduciendo el tamaño del subnet.
Especialmente eran muy útiles antes de la
llegada de los switches.
• Switches son conocidos como bridges
multi-puertos (multi-port)s
• Cada Puerto es un collision domain de UN
nodo o aparato!
133
Ejemplo 1
• Todo las computadoras se pueden comunicar
entre sí
• Cada una debe esperar que todas las
computadoras dejen de comunicar antes que
una pueda comenzar a transmitir!

134
Ejemplo 2
• Toda las computadoras se escuchan entre sí.
• Toda las computadoras ahora solo comparten la mitad
del “wire”
• Aún deben esperar que cada una termine de
transmitir antes de que otra pueda hacerlo pero el
grupo se ha reducido a la mitad.
• Mejor funcionamiento para todas!

135
Utilizando bridges
• Por default, en routers MikroTik,
puertos Ethernet son asociados (slave) a
un Puerto master
 Ventaja : Switching en velocidad wire (a
través del switch chip, no por software).
 Desventaja : No hay visibilidad del tráfico
en los puertos slave. No es deseable si
monitoreas los puertos y la red con SNMP.

136
Utilizando bridges

• Si eliminas la configuración de bridge

master y slave es necesario crear un
bridge para unir los puertos de LAN.
 Ventaja : Visibilidad total de los puertos
añadidos.
 Desventajas : Switching se por medio de
software. Aumento de procesamiento CPU.
Menor que óptimo la transferencia de
paquetes.
137
Creando bridges

• Utilizar los menus

 Bridge
 Add (+)
 Name the bridge
 Click “OK” and you’re done!

138
Creando bridges, ejemplo

139
Añadiendo puertos a bridges

• Cuando añades puertos esto define

cuales pertenecen al mismo subnet.
• Distintas tecnologías pueden ser
añadidas tales como interface Wi-Fi.

140
Añadiendo puertos a bridges

• Paso para añadir puerto

 Bridge
 Ports tab
 Add (+)
 Escoge la interface y el bridge
 Cliquea “OK” y listo!

141
Añadiendo puertos a bridges,
ejemplo

142
Bridging redes wireless

• Los mismo se puede hacer con interfaces

wireless.
• Lo veremos en el próximo módulot. Un
poco de paciencia!   

143
Tiempo de práctica!

Fin del módulo 3

144
Laboratorio

• Metas del lab

 Crear un bridge
 Asignar puertos al bridge
 Validar que al seguir estos pasos puedas
asignar todo los puertos al mismo subnet!

145
Laboratorio : Setup

146
Laboratorio : Paso 1
• Ejecuta “ping –t –w 500 192.168.0.254”.
• Desconecta cable de network del puerto
(#5) y conéctalo a otro puerto.
• Resultados?.
• Deja la panatalla de CMD en tu
computadora abierta hacienda ping y
visible a través de este laboratorio.

147
Laboratorio : Paso 2
• Conéctate a tu router de forma tal que
puedas trabajar con el .
• Crea una interface Bridge. Nómbrala
“LAN” y deja los demás parámetros por
default.
• Asígnale el IP address de tu POD
(192.168.X.1) a la interface Bridge.
• Resultados?

148
Laboratorio: Paso 3
• Abre la ventaja de “Interfaces” y verifica
cuales están corriendo.
• Asigna puertos #2 al #5 a la interface
bridge “LAN”.
• Resultados? Cuando comenzó a
responder el ping nuévmaente?
• Cambia tu cable a unos de los puertos
entre #2 al #5. Que sucedió? Que
significa “I” en la columna.
149
Fin del laboratorio 3

150
 Wireless
Módulo 4

151
Conceptos 802.11

152
Frecuencias
• 802.11b
 2.4GHz (22MHz bandwidth), 11Mbps
• 802.11g
 2.4GHz (22MHz bandwidth), 54Mbps
• 802.11a
 5GHz (20MHz bandwidth), 54Mbps
• 802.11n
 2.4GHz or 5GHz up to 300Mbps, if using
40MHz channel and 2 radios (chains)
153
Frecuencias

• 802.11b,g frequency range

• Canales 1, 6 and 11 non-overlapping

154
Frecuencias

• 802.11a frequency range

• 12 20MHz wide channels and 5 40MHz
channels
155
Frecuencias

• Bandas
 Mikrotik soporta ambas bandas 5GHz
(802.11a/n) y 2.4GHz (802.11b/g/n)

156
Frecuencias
• El feature “Advanced Channels” provee
posibilidades extendidas en la
configuracion de interface wireless:
 scan-list cubre multiples canales y
tamaños de canales (channel width)
 Frequencies non-standard channel center
(especificado con KHz granularity) para
hardware que lo soporte;
 non-standard channel widths (especificado
con KHz granularity) para hardware que lo
soporte
157
Frecuencias
• Basic-rates son las velocidades que un cliente (CPE)
DEBE tener soporte para poder conectar al AP
• Supported-rates son las velocidades posibles luego que
se logra la conección (varios factores pueden
influenciar en lograr la velocidad mas alta)
• Data-rates son los rates aceptados según el estandar a
ser utilizado:
 802.11b : 1 a 11Mbps
 802.11a/g : 6 a 54Mbps

 802.11n : 6 a 300Mbps, de acuerdos a

factores tales como channel bandwidth (20
or 40 MHz), Guard Interval (GI), and
chains
158
Frecuencias

• HT chains
 Son antenas para un radio
 Utilizado para 802.11n y también es un
factor en cuanto a la capacidad de
transferencia (Throughput)

159
Frecuencias

• Frequency mode
 Regulatory-domain : Limita canales y
TX power basado en las regulaciones del
país (country regulations)
 Manual-txpower : Igual que la anterior
pero sin restricción de TX power.
 Superchannel : Ignora toda restricción.
(equivalente a compliant test)

160
Frecuencias

• “Country”: Frecuencias y power son

basadas en las regulaciones del país
(country). Utilizando “no_country_set”
configurará canales aprovados por FCC.

161
 Configurando un link wireless simple
• Configuración del Access Point
 Mode : ap bridge
 Band : Basado en las
capacidades el AP y cliente. Si el
AP soporta múltiples bandas (ej:
B/G/N) selecciona la mejor
opción que cubra tu necesidad.
 Frequency : Cualquiera de los
canales disponibles (hablaremos
de esto mas adelante!!)
 SSID : La identidad del wireless
network y que los clientes
buscarán.
 Wireless protocol : Basado en
las capacidades el AP y cliente.
Para uso “normal” AP a PC
utiliza 802.11
162
Configurando un link wireless simple

• IMPORTANTE
CONFIGURA UN
SECURITY-PROFILE!
 El no hacerlo es una
vulnerabilidad en tu network
y permite acceso completo.

163
 Configurando un link wireless simple

• Para añadir un security

profile
 Click on “Add” (+)
 Name : Nombre del profile
 Mode : Type of
authentication to use
 Authentication types :
Methods used to authenticate
a connection
 Ciphers : Encryption
methods

164
Configurando un link wireless simple

• Ahora puedes utilizar tu

Nuevo security profile y
aplicarlo en la
configuración.

165
Configurando un link wireless simple

• Volvemos a frecuencias!
Cual utilizar?

 Cliquea “Snooper”
 Pendiente! Esto
DESCONECTA la interface
wlan y todo cliente que esté
conectado

166
 Configurando un link wireless simple

 Ahora tienes un
panorama de toda las
frecuencias en uso
 Selecciona un canal que
esté no esté en uso o al
menos con utilización
baja

167
Configurando un link wireless simple

• Configuración de cliente
 Mode : station

 Band : Igual al AP.

 Frequency : No es
necesario para clientes

168
Configurando un link wireless simple

• Configuración de cliente
 SSID : Igual al AP que
quieres conectar
 Wireless protocol : Igual al
AP que quieres conectar
 Creand un security
profile, según se configuró
con el “access point” y se
aplicó. Estos parámetros
TIENEN que ser iguales

169
 MAC address filtering
• MAC address filtering es una
forma adicional de limitar
conecciones de clientes.
• Para añadir una entrada en el
AP se crea un Access List (Solo
en AP!!), seleccionas un nodo
registrado y cliqueas “Copy to
Access list”

170
MAC address filtering

• Ahora tienes una entrada!

171
 MAC address filtering
• Access lists son utilizados
en APs para restringir
conecciones clientes
específicos y controlar sus
parámetros.
 Las reglas son verificadas
secuencialmente
 Aplica solo a la primera
regla creada
 Si la opción “Default
Authenticate” (“Wireless”
tab in “Interface -> wlan”
screen) NO está escogida,
clientes que no hagan
match con la lista no se
podrán conectar 172
 MAC address filtering

• Authentication le dirá al
“security-profile” del AP que
determine si la conección sea
aprovada. Si la opció no está
escogida la autenticación
fallará siempre.
• Forwarding le dirá al AP que
clientes pueden comunicarse
entre sí sin la asistencia del
mismo AP. (hace bypass de
reglas de firewall que hayan
sido creadas). Para mayor
seguridad debes dejarlo sin
escoger
173
 MAC address filtering
• AP Tx Limit restringe el data
rate del AP hacia el cliente
 Si la configuración está puesta
demasiado baja puede ocasionar
desconecciones. Valida primero!

• Client TX Limit restringe el

data rate del Cliente al AP
 Solo aplica en conexiones donde
Cliente es RouterOS, ya que esto
es propietario
 Nuevamente, valida primero
para asegurarte el
funcionamiento correcto.

174
 MAC address filtering
• Connect lists (en estación de
cliente) asigna prioridades
basado en potencia se señal y
parámetors de seguridad que
indicant a que AP el cliente
puede conectarse.
 Reglas son verificadas
secuencialmente
 Aplica solo a la primera regla
 Si la opción “Default
Authenticate” (“Wireless” tab
in “Interface -> wlan” screen)
NO está escogidad y no hay
match de regla connect-list,
cliente intentará la conección
en la mejor señal y
parámetros de seguridad
175
 MAC address filtering

• Ejemplo : Esta estación o

cliente no tiene SSID o
Security profile definido,
pero como hace match con
un connect-list la conección
fue establecida

176
 MAC address filtering

• Nota interesante: Si el
campo de SSID (en station
connect rule) está vacía, el
cliente conectará a cualquier
SSID que haga match con el
Security profile.
• La interface SSID también
debe estar vacía!

177
MAC address filtering
• Default-authentication : Especifica el
comportammiento luego de verificar el acceso
y el connect lists.
 Para APs, si está configurado “Yes”, permitirá
conecciones si no hay un access-list, SSID y
security profile. En otras palabras, no habrá
conexiones permitidas.
 Para stations o clientes, si está configurado “Yes”,
si permitirá conección si no hay un match de
connect-list, SSID y security profile. En otras
palabras nuevamente, no habrá conexiones
permitidas.
178
MAC address filtering

• Default-authentication
 Si AP no tiene access list y default-
authenticate no está seleccionado, clientes
nunca se conectarán
 Si la estación o cliente no tiene un connect
list y default-authenticate no está
seleccionado nunca se conectará al AP.

179
MAC address filtering

• Default-forwarding : Especifica el
comportamiento de transmisión luego de
validar el access lists.
- Si está en “Yes”, permitirá comunicación en
Layer 2 entre clientes.
- Si está en “No”, clientes se comunicarán
entre sí en Layer 3 si las reglas de Firewall
lo permite.

180
Wireless security and encryption

• WPA, WPA2
 Wi-Fi Protected Access (I and II)
 Protocolo de autenticación creados luego de
la debilidad encontrada en WEP
 Si está correctamente configurado, WPA es
muy seguro
 Debilidad a ataques de brute force fueron
encontrados cuando se utiliza WPS (Wi-Fi
Protected Setup)
 WPS no es utilizado por Mikrotik

181
Wireless security and encryption

• WPA
 Utilizado para reemplazar WEP
 Utiliza TKIP como protocolo de encripción
 Genera una llave por cada paquete nuevo
transmitido

182
Wireless security and encryption

• WPA2
 Utiliza CCMP como protocolo de encripción

 Basado en AES
 Mas fuerte que TKIP
 Es mandatorio en equipos certificados Wi-Fi
desde el 2006.
 Debe ser utilizado para lograr mayores data
rates o de otra manera se limita a 54Mbps
(http://www.intel.com/support/wireless/wlan/4965agn/sb/cs-
025643.htm)

183
Wireless security and encryption

• WPA-Personal
 Conocido también como WPA-PSK, está
diseñado para SOHO u Hogar
 No requiere servidor de autenticación
 La autenticación de cliente a AP es basada
en una llave de 256-bit key generada por el
pre-shared key (PSK), el cual puede ser
una contraseña, frase o ambos.

184
Wireless security and encryption
• WPA-Enterprise
 Conocido también como modo WPA-802.1X
mode, diseñado para redes empresariales
 Utiliza EAP para autenticación
 Requiere un servidor de RADIUS para la
autenticación
 Mas complejo para implementar, pero
provee features adicionales tales como:
proteción contra dictionary attacks en
contraseñas débiles
185
Protocolos wireless MikroTik
• NV2 (Nstreme Version 2)
 Un protocolo propietario de MikroTik ya en
su 2nda version
 Para ser utilizado con tarjeta wireless
Atheros 802.11
 Basada en TDMA (Time Division Multiple
Access) en vez de CSMA (Carrier Sense
Multiple Access)
 Utilizado para mejorar funcionamiento en
links de larga distancia.

186
Protocolos wireless MikroTik
• Beneficios de NV2
 Aumento de velocidad
 Soporta mas conecciones de clientes en
ambientes mulitpoint (limite es de 511
clientes)
 Menos latencia
 No tiene limitación de distancia
 No tiene penalidad por distancias largas

187
Herramientas de monitoreo

• Hay varias herramientas que ayudarán

analizar que hay presente en el aire y
así puedes seleccionar la frecuencia que
no tenga interferencia (o al menos la que
menos que tenga)

188
Herramientas de monitoreo

• Wireless scan : Dos opciones

 Frequency usage
 Scan

189
 Herramientas de monitoreo
• Wireless scan :
Frequency Usage
 Muestra toda las
frecuencias
soportadas y su
utilización basado
en los AP de los
neighbors presentes
 También
desconecta
clientes wireless
que estén
conectados!
190
Herramientas de monitoreo
• Wireless scan :
Scan
 Provee
información
acerca de los
Neighbor APs
 También
desconecta
clientes que
estén
conectados!
191
Herramientas de monitoreo

• Snooper
 Provee
información de
ambos Clientes y
APs presentes
 Sucede lo
mismo 

192
 Monitoring tools

• Snooper
 Provee
información de
ambos Clientes y
Neighbor APs +
información de
los clientes

193
Herramientas de monitoreo

• Registration table : Utilizado para

obtener información de clientes
estaciones (stations) conectadas.
 Util solo en access points.

194
Herramientas de monitoreo

195
 Herramientas de monitoreo
• Registration table
 Podemos ver estatus
actual de estaciones
registradas
 Nota : Comentarios
que aparezcan
encima de una
estación registrada
proviene del “Access
List” tab. Util para
verificar bajo cual
criterio la estación o
cliente fue
autenticado
196
Bridging wireless networks

• Station-bridge : Un modo propietario

de MikroTik para crear un bridge Layer
2 entre routers MikroTik.
• Puede ser utilizado para extender un
subnet o segmento wireless a múltiples
clientes.

197
YES!! Tiempo de laboratorio

Fin del módulo 4

198
Laboratorio
• Metas del laboratorio
 Utilizar varias herramientas para analizar
canales utilizados y características de redes
wireless, APs y estaciones
 Configurar los PODs como cliente wireless
para contectar al AP del instructor
 Configurar los PODs como APs
 Familiarizarse con Access-list y
Connection-List

199
Laboratorio : Setup

200
Laboratorio : Paso preliminar

• DETENTE, STOP, NO RESPIRES!!!

 Haz un binary backup de la configuración
actual con el nombre de:
 Module3-podX donde X es tu número de POD
 Ya sabes hacerlo, verdad?
 Que ventanas necesitas abrir?

201
Laboratorio : Paso 1
• Ejecuta uno despues del otro:
 Frequency Usage
 Anota los canales de mayor uso
 Scan
 Haz un link entre frecuencias y SSIDs
 Snooper
 Que puedes determinar de la red?
 Que significa los símbolos a mano izquierda?

202
Laboratorio : Paso 2

• Abre la ventana de “Bridge” y ve al tab

de “Ports”
• Utilizando los procedimientos
aprendidos en los módulos anteriores,
añade la interface “wlan1” al bridge
“LAN”.
• Cierra la ventaja de “Bridge”

203
Laboratorio: Paso 3

• Abre la ventana de “Wireless” y

asegúrate que la interface “wlan1” esté
habilitada.

204
Laboratorio: Paso 4
• Haz Double-click en “Interfaces” y ve a “Wireless”.
También puedes ir directo a “Wireless” en el menú.
Luego cliquea “Advanced Mode” y entra los siguientes
parámetros:
 Mode : ap bridge
 Band : 2GHz-B/G/N
 Channel width : 20MHz
 Frequency : Odd pods use 2437, even pods use 2462
 SSID : podX
 Wireless protocol : 802.11
 Security Profile : default (recuerda solo haz esto en ambiente de
prueba)
 Frequency Mode : Regulatory-domain
 Country : <where you are now>
 Default Authenticate is checked 205
Laboratorio: Paso 5

• Desconecta el cable entre tu laptop y el

router. El cable entre tu router y el
instructor debe permanecer.
• Configura tu laptop para poder
conectarse a tu router
• Verifica conectividad hacia el router e
Internet
• Navega!
206
Laboratorio: Paso 6

• Haz un binary backup de la

configuración actual bajo el nombre:
 Module4a-podX donde X es el número de tu
POD
• En la ventana “File List” selecciona
module3-podX y haz un restore
“Restore”
• Escoge “yes” para reiniciar

207
Laboratorio: Paso 7

• Reconecta el cable a tu router

• Desconecta el cable de tu router que
conecta con el router del instructor
• Ahora no debes tener acceso al internet

208
Laboratorio : Paso 8
Configuración Preliminar
• IP address para WLAN1
 192.168.252.podX
• Habilita la interface wlan1 interface si se
encuentra deshabilitada
• Security profile
 Name : WPA2
 Authentication types : WPA2 PSK
 Unicast and group ciphers : aes ccm
 WPA2 pre-shared key : mtcna123!

209
Laboratorio : Paso 9
• Activa el tab de “Advanced Mode” en la
interface de configuración “Wireless”
• Necesitas conectarte al AP de la clase. Utiliza
los siguientes parámetros el cual DEBEN ser
compatible para poder conectar:
- Mode : Station
 Band : 2GHz-only-N
 SSID : WISP
 Radio name : WISP-PODX
 Wireless protocol : 802.11
 Security profile : WPA2
210
Laboratorio : Pas 10
 Frequency Mode : regulatory-domain
 Country : Usualmente, seleccionas el país
donde el AP será instalado.
 Deje “Default Authenticate” seleccionado
por ahora
• Cliquea OK, y selecciona el tab
“Registration” en la ventana de
“Wireless Tables”
• Debes ver el registrado el AP del
instructor. Si lo vez, estás conectado!
 But wait!!!
211
Laboratorio : Paso 11
• Antes que puedas navegar al hay que
corregir el routing table
 Redefine el default gateway a:
192.168.252.254
 Redefine la ruta de tu POD vecino LAN
interface (192.168.Y.1) para que salga por
192.168.252.Y
 Hazle Ping al LAN de tu POD vecino
(192.168.Y.1)
 Resultado?

212
Fin de laboratorio 4

213
 Network management

Módulo 5

214
ARP

215
ARP modes

• Significa “Address Resolution Protocol”

• Protocolo que une el IP (Layer 3) al MAC
Adddress (Layer 2)
• Usualmente es utilizado dinámicamente,
pero puede ser configurado
estáticamente en situaciones donde se
requiera mayor seguridad.

216
ARP modes
• “ARP modes” le indica a RouterOS de que manera se
trabajará con ARP.
 Modes son configurados por interface
• Los “modes” son
 Enabled : Modo default. ARP requests son respondido y el
ARP table se popula automáticamente.
 Disabled : La interface no enviará o responderá a ARP
requests. A los demás se le DEBE indicar cual es el MAC
address del router.
 Proxy ARP : El router responderá ARP request que venga
de la red conectada diréctamente (no importando origen)
 Reply only : El router responderá ARP request. El ARP
table hay que popularla estáticamente.

217
RouterOS ARP table

• El ARP Table muestra todo los ARP

entries y la interface de donde aprendió
cada MAC
• El ARP table provee:
 El IP address de equipos conocidos
 Los MAC addresses asociados a cada IP
address
 Las interfaces de donde lo aprendieron

218
RouterOS ARP table

• Para mayor seguridad puedes hacer

entradas de ARP estáticamente para
mayor seguridad
 Protégé de ARP poisoning / ARP spoofing
 Requiere mucho esfuerzo y manejo

219
ARP syntax
• Ver ARP table :
 /ip arp print
• Añadir una entrada estática:
 /ip arp add address=172.16.2.222 mac-
address=11:22:33:44:55:66
interface=Bridge-PC
• Configurar ARP mode :
 /interface ethernet set ether04 arp=proxy-
arp
220
DHCP server y client

221
DHCP server

• Significa Dynamic Host Configuration

Protocol
• Es utilizado para provisionar IP
address, netmask, default gateway y
adicionalmente otros parámetros que
sea requeridos o solicitados por equipos
o nodos.

222
DHCP server setup

• La interface que tiene configurado el

DHCP-server debe tener su propio IP
address que NO esté en el pool

- Un pool es un rango de direcciones IP que

serán utilizados para la disponibilidad de
los equipos que soliciten.

223
DHCP server setup
• En la ventana de DHCP-server
simplemente le das click a “DHCP
Setup” y contesta las preguntas:
 DHCP Server Interface
 DHCP Address Space
 Gateway for DHCP Network
 Addresses to Give Out
 DNS Servers (more than one can be
entered)
 Lease Time
224
DHCP server setup

• Que hace el setup automático:

 Crea un IP Pool
 Un pool de IPs para asignar
 Crea el DHCP server
 Su nombre y parámetros (tal como la interface
donde aceptará solicitudes de dhcp)
 Crea el address space
 El IP Network y varios parámetros adicionales

225
DHCP server setup

• Resultados de configuración automática

226
DHCP server setup
• DHCP puede ser configurado con opciones
tales como:
 42 : NTP Servers
 70 : POP3-Server
 Visita http://www.iana.org/assignments/bootp-
dhcp-parameters/bootp-dhcp-parameters.xhtml
para ver mas opciones.

• Nota Importante
 Si haz creado un ambiente en bridge, El DHCP
Server DEBE ser configurado a la interface
Bridge. Si se configure en la interface física, el
DHCP server no funcionará
227
DHCP server syntax

• Configurar un DHCP scope

 /ip dhcp-server setup
• Configurar un DHCP option
 /ip dhcp-server option add name=46-node-
type code=46 value=0x0008

228
DHCP server syntax

• Asignar un DHCP option a la red

 /ip dhcp-server network print (to view
available networks)
 /ip dhcp-server network set dhcp-
option=46-node-type numbers=1
• Asignar un WINS server a la red
 /ip dhcp-server network set wins-
server=172.16.2.100 numbers=1

229
 Configuración DHCP server “Networks”

• Ejemplo de
configuración
básica

• Ejemplo de
configuración
expandida

230
DHCP client
• Permite a las interfaces a solicitor direcciones
IP
 El servidor remoto de DCHP suplirá:
 Address
 Mask
 Default gateway
 Two DNS servers (si ha sido configurado de tal manera)
 El DHCP client suplirá opciones configurables:
 Hostname
 Clientid (en la forma de MAC address)
• Normalmente es utilizado en interfaces que
conectan al internet.

231
DHCP client syntax
• Para configurar una interface con
DHCP-client
 /ip dhcp-client add interface=ether5 dhcp-
options=clientid,hostname
• Para ver y habilitar un DHCP client
 /ip dhcp-client print
 /ip dhcp-client enable numbers=1
• Para ver la dirección recibida en el
DHCP client
 /ip address print
232
Lease management
• La sección "/ip dhcp-server lease" provee
información acerca de los DHCP clients
y leases
• Muestra leases dinámicos y estáticos
• Se puede cambiar un lease dinámico a
no estático
 Muy util cuando unoo equipo necesita
mantener el mismo IP address.
 Alerta! Si cambias la tarjeta de red el IP
cambiará debido al cambio de MAC address
233
Lease management

• El DHCP Server puede ser configurado a

proveer solo direccions estáticas
• Clientes entonces solo reciben
direcciones predefinidas
• Evalua tus requerimientos antes de
hacerlo de esta forma. Requerirá mucho
manejo para una red mas grande.

234
Lease management syntax
• Para ver DHCP leases
 /ip dhcp-server lease print
 /ip dhcp-server lease print detail (gives more
detailed information)
• Para configurar un IP address estático en el
DCHP server
 /ip dhcp-server lease make-static numbers=0
• Para modificar la entrada anterior
 /ip dhcp-server lease set address=192.168.3.100
numbers=0

235
RouterOS tools

236
E-mail

• Herramienta que te permite enviar un

correo
• Puede ser utilizado junto a otras
herramientas (tools) para enviar
regularmente backups al administrador
• Comando:
 /tools e-mail

237
 E-mail, ejemplo

• Configura el SMTP Server

/tool e-mail
set address=172.31.2.1 from=mymail@gmail.com last-status=succeeded
password=never123! port=\
587 start-tls=yes user=mymail@gmail.com

• Envia un archivo de configuracion via Email

/export file=export
/tool e-mail send to=home@gmail.com subject="$[/system identity get name]
export"\
body="$[/system clock get date] configuration file" file=export.rsc

238
Netwatch

• Herramiento que te permite monitorear

el estatus de equipos en el network
• Para cada entrada, puedes especificar:
 IP address
 Ping interval
 Scripts de Up o Down

239
Netwatch

• Es MUY útil..
 Recibir alertas de fallas en el network
 Automatizar el cambio de default gateway,
por ejemplo, en caso el router principal
falle.
 Para saber qué está arriba y abajo!
 Cualquier otro que puedas configurar para
simplificarte el trabajo (y te haga ver mas
eficiente !)
240
Ping
• Herramienta básica de conectiviad el cual
utiliza mensajes ICMP Echo para determinar
accesibilidad del host remoto y delay en el
viaje ida y vuelta del paquete enviado
• Una de las primeras herramients a ser
utilizada en el troubleshooting. “Si da ping,
está arriba (desde punto de vista en la red)
• Utilízalo con otras herrramientas en
combinación cuando estás haciendo
troubleshooting. No es la herramienta mas
eficaz pero con algo se debe comenzar.
241
 Ping syntax
• CLI
[admin@MikroAC1] > ping www.mikrotik.com
HOST SIZE TTL TIME STATUS
159.148.147.196 56 50 163ms
159.148.147.196 56 50 156ms
159.148.147.196 56 50 156ms
159.148.147.196 56 50 160ms
sent=4 received=4 packet-loss=0% min-rtt=156ms avg-rtt=158ms
max-rtt=163ms

 Debes oprimir “CTRL-C” para detener el

ping en el CLI de RouterOS

242
Traceroute

• Utilizado para mostrar todo los routers

que se atraviesa el paquete antes de
llegar al destino
• Indica el delay para alcanzar cada
router en el camino hacia el destino final
• Muy bueno para detectar una falla o
punto de lentitud.

243
 Traceroute
• CLI
 /tools traceroute www.ninsys.com
[admin@MikroAC1] > /tool traceroute www.mikrotik.com
# ADDRESS LOSS SENT LAST AVG BEST WORST STD-DEV STATUS
1 100% 3 timeout
2 216.113.124.190 0% 3 13.9ms 12.2 11.1 13.9 1.2
3 216.113.122.230 0% 3 9.6ms 9 7.5 9.8 1
4 100% 3 timeout
5 216.6.99.14 0% 3 114.4ms 114.7 113.6 116.2 1.1 <MPLS:L=400657,E=0>
6 80.231.130.121 0% 3 104.5ms 105.7 104.5 107.1 1.1 <MPLS:L=420033,E=0>
7 80.231.130.86 0% 3 103.2ms 107.5 103.2 115.4 5.6 <MPLS:L=795472,E=0>
8 80.231.154.70 0% 3 136.5ms 119 104.3 136.5 13.3 <MPLS:L=485138,E=0>
9 80.231.153.122 0% 3 113ms 110.7 106.4 113 3.1
10 195.219.50.38 0% 3 111.9ms 115 110.7 122.5 5.3
11 87.245.233.178 0% 3 140.7ms 159.6 135.7 202.4 30.3
12 87.245.242.94 0% 3 169ms 173 169 178.4 4
13 85.254.1.226 0% 3 173.3ms 168.4 164.6 173.3 3.6
14 85.254.1.6 0% 3 165.2ms 166.7 165.1 169.7 2.1
15 159.148.16.2 0% 3 165.3ms 166.1 165.3 167.3 0.8
16 159.148.42.129 0% 3 167.6ms 166.6 165.6 167.6 0.8
17 100% 3 timeout
18 100% 3 timeout
19 100% 3 timeout
20 100% 2 timeout
21 159.148.147.196 0% 2 156.9ms 155.7 154.5 156.9 1.2
-- [Q quit|D dump|C-z pause]

244
Profiler (CPU load)

• Herramienta que muestra la carga del

CPU
• Muestro los procesos y tu carga por
individual
• Nota : “idle” no es un proceso. Significa
el porciento de carga que NO se está
utilizando en el router

245
Profiler (CPU load)
• CLI
 /tool profile
[admin@MikroAC1] > /tool profile
NAME CPU USAGE
console all 0%
flash all 0%
networking all 0%
radius all 0%
management all 0.5%
telnet all 0.5%
idle all 99%
profiling all 0%
unclassified all 0%
-- [Q quit|D dump|C-z continue]

• Para mas detalles acerca de procesos y lo que significan and

favor visitar http://wiki.mikrotik.com/wiki/Manual:Tools/Profiler

246
System identity
• Aunque no es una herramienta, es importante
para indentificar el router.
 No puedes administrar 100 routers que tengan el
mismo nombre. Hace mas dificil el troubleshooting
 Una vez configurado, hará la identificación de tu
router sea mas simple.
• Syntax
 /system identity print (show current name)
 /system identity set name=my-router (sets the
router's name)

247
Contactando a MikroTik
support

248
Supout.rif

• Supout.rif es un archivo para el análisis

(debugging) de RouterOS y ayuda a
MikroTik a poder resolver problemas
mas rápido
• Syntax
 CLI : /system sup-output

249
Supout.rif
• Una vez
generado, el
"supout.rif" lo
podrás
encontrar en
“Files”

250
Supout.rif Viewer

• Para accesar el
"supout.rif
viewer", necesitas
entrar a tu
cuenta de
MikroTik.com
 Debes tener una
cuenta

251
 Supout.rif Viewer
• Lo primero es
localizar archivo
que generaste en
el router y
cargarlo a la
página
• Comienza a
navegar toda tu 3
configuración
• El view por default
es “resource”
252
Autosupout.rif

• Un archivo puede ser generado

automáticamente cuando hay una falla
de software (ej. kernel panic o si el
Sistema no responde por 1 minuto)
• Esto es ejecutado automáticamente con
WatchDog (-> system)

253
System logging y debug logs
• Logging es importante para asegurar un
historial (permanente o no) de los
eventos del router
• La forma mas facil de ver los eventos es
a través de “log” (Menu)
• Por CLI es..
 /log print

254
System logging

• Actions
 Acciones que el router ejecutará en un
evento
 Los Rules le dice al router que “action”
tomará
 Hay 5 tipos de “actions”, lo cual te permite
flexibilidad

255
System logging

• Actions, ejemplos

[admin@MikroTik] > /system logging action print

Flags: * - default
# NAME TARGET REMOTE
0 * memory memory
1 * disk disk
2 * echo echo
3 * remote remote 172.16.1.105
4 webproxy remote 172.16.1.105
5 firewallJournal remote 172.16.1.105

256
System logging
• Rules
 Le indican al RouterOS que “action” tomar para
un evento determinado (llamado “topic”)
 Puedes tener mas de un “Rule” para el mismo
“topic”, cada rule ejecutando un “action” diferente
 Puedes tener un “rule” con uno o mas “topics”,
ejecutando un “action”
 Añadir “rules” es simple, escoges uno o mas
“topics”, le asignas nombre al rule, y luego escoges
un action. (Es por esto que se sugiere configures
un action primero)

257
 System logging
• Rules, ejemplos
[admin@NINsys] > /system logging print
Flags: X - disabled, I - invalid, * - default
# TOPICS ACTION
PREFIX
0 * info memory INF
!firewall
1 * error memory ERR
2 * warning memory WRN
3 * critical memory CRT
4 firewall memory FW
5 firewall firewallJournal FW
6 info remote INF
!firewall
7 error remote ERR
8 warning remote WRN
9 critical remote CRT
10 X snmp memory SNMP
11 web-proxy webproxy PROXY
!debug

258
System logging syntax
• Ver rules
 /system logging print
• Ver actions
 /system logging action print
• Almacenar mensajes del firewall a un syslog server
 /system logging action
 add bsd-syslog=yes name=firewallJournal
remote=172.16.1.105 src-address=10.5.5.5 syslog-
facility=local5 target=remote
• Crear una regla de firewall para topics el cual
utilizará la acción previa
 /system logging
 add action=firewallJournal prefix=FW topics=firewall
259
Donde son enviado los logs
• Según indicado en “actions”, logs pueden
ser enviados a 5 opciones distintas:
 Disk : Un disco externo en el router
 Echo : La consola (Consola) del router (si
está presente por serial)
 Email : Una cuenta de email predefinida
 Memory : La memoria interna del router
(según visto en la ventana de “log”)
 Remote : A un syslog server

260
Configuraciones Leibles
• Alias “Que esté claro!”
• Mala documentación es tu peor enemigo.
Mantén tus configuraciones claras y leibles a
través de commentarios, nombres y
uniformidad
 Comentarios : Asignale una descripción
 Nombres : Hazlo significativo
 Uniformidad : Haz lo mismo en todo lo demás
• Porque hacer todo esto?
 Por tu propio bién. En el camino te hará el trabajo
mas facil y te hace mas eficiente! (nuevamente)

261
 Configuraciones Leibles

• Ejemplos

262
Diagramas del Network
• Un buen diagrama es necesario! Aún si estás
recién comenzando, tu network no siempre
será pequeño
• Identifica todo los componentes claves
• Manténlo actualizado (donde fallamos casi todos)
• Es una gran herramienta de troubleshooting.
 Utilízalo para identificar puntos de falla
 Utilizando toda las herramientas repasadas en
este modulo (ping, traceroute), anota posibles
situaciones

263
 Diagramas del Network

• Ejemplo
 Todo los puertos
están marcados
 Equipos son
identificados
 Número de
revision está
actualizado

264
Y continuamos con los laboratorios!!

Fin del módulo 5

265
Laboratorio

• Metas del laboratorio

 Practicar conceptos de ARP repasados en el
módulo
 Añadir funcionabilidad DHCP (client y
server) a tu router
 Utilizar varias herramientas de
troubleshooting

266
Laboratorio : Setup

267
Laboratorio : Paso 1
• Muestra las entradas de ARP de tu
router
 Identifica cada entrada
 Basado en el diagrama del lab, hace
sentido? Compara con el Puerto donde el
MAC fue aprendido
• Valida en que ARP mode están tus
interfaces
• Añade un MAC-Address falso como si
hubiese sido aprendido desde el bridge
“LAN”
268
Laboratorio: Paso 2
• Añade un DHCP client en la interface WLAN1
• Solicítale al instructor que haga una
reservació estática en su DCHP server. El
dígito final del IP debe ser el de tu POD
• Proveele al el MAC-Address de tu interface
WLAN ya que aún no se han identificado los
routers
• Elimina tu IP estática que tenias previa
• Renueva tu ip del DHCP client
• Cual IP obtuviste?

269
Laboratorio : Paso 3

• Cleanup
 Cuando configuraste el DHCP cliente la
opción “Add default route” estaba en “yes”.
Esto significa que el DHCP Client recibe
un default route (ruta cero)
 Muestra tus rutas. Que vez en el default
route?
 Que debes hacer para limpiar la tabla de
rutas (Routing table)?

270
Laboratorio : Paso 4
• Configura un DHCP para la computadora
conectada en el bridge “LAN”
• Asegura que la configuración..
 Asigne dirección IP
 Que el DNS sea el mismo que tu gateway (o sea tu
router)
 Reconfigura tu computadora para recibir ip
dinámica.
 Configura tu router para que siempre asigne el IP
.20X (X es tu POD)
 Que debes hacer para lograrlo?

271
Laboratorio : Paso 5

• Cleanup
 Añade un comment a tu IP estática para
indicar para que es la reservación.
 En el tab de DCHP en el DHCP Server,
asígnale un nombre (el default es dhcp1)

272
Laboratorio : Paso 6

• E-mail setup
 Configura el e-mail para permitir
envío a un email personal
 Puedes utilizar el que desees

 Prueba el envío con la opción “Test

Email”

273
Laboratorio : Paso 7

• Netwatch
 Utiliza esta herramienta para monitorear
un equipo provisto por el instructor
 Para agilizar el tiempo, configura intérvalo
de monitoreo a 30 segundos.

274
 Laboratorio : Paso 8
• Netwatch
 Utiliza estos scripts (Copy & Paste):

Up
/tool e-mail send to="<your-e-mail-address>" subject="$[/system identity get name]
Netwatch status" \
body="$[/system clock get date] $[/system clock get time] Node up."

Down
/tool e-mail send to=“<your-e-mail-address>" subject="$[/system identity get name]
2
Netwatch status" \
body="$[/system clock get date] $[/system clock get time] Node down."

275
Laboratorio : Paso 9

• Netwatch
 Deshabilita el equipo de prueba. Verifica si
recibes un e-mail indicando el cambio de
estatus. Debe llegar un correo similar..

276
Laboratorio : Paso 10
• Ping
 Utiliza la herramienta de ping para validar
que el equipo de prueba responde paquetes
ICMP echo packets. Hazlo también por CLI
• Traceroute
 Utiliza la herramienta para verificar que
hay de por medi entre tu router y el equipo
de prueba. Compáralo con el diagrama del
lab. Hazlo también por CLI

277
Laboratorio : Paso 11

• Profiler
 Ejecuta el profiler y verifica los procesos
corrriendo en tu router.
 Que significa el porcentaje mayor?
 Sortélo en la columna “usage”

278
Laboratorio : Paso 12

• Supout.rif
 Crea un archivo supout.rif.
Donde lo almacenó?
 Cárgalo a tu cuenta de MikroTik.com y
navega las distintas áreas.

Nota importante: Si no tienes una cuenta en MikroTik.com, favor crearla

ahora ya que será necesaria para la toma del examen a final de curso.

279
Laboratorio : Paso 13
• Logging
 Crea un “action”:
 Type is “memory”
 Crea un “rule”:
 topics “e-mail” y “debug”
 Action “action1”
 Abre la ventaja de “log”
 Regresa a la herramienta de e-mail y envía
un correo de prueba. Que se muestra en el
log?

280
Laboratorio : Paso 14
• Cleaning
 Ve al a ventana de logging, actions tab y
renombra “action1” a “E-mail-Debug”
 Que sucedió? Renombra “action1” a
“EmailDebug”
 Regresa al tabe de rules. Que notas de la
entrada “e-mail, debug”?
• Haz un binary backup de tu
configuración con la misma estructura
de nombre del modulo anterior
(module5-podX)
281
Laboratorio : Paso 15
• Por último, renombra tu router para que
muestre:
 El nombre de tu Pod
 La primera letra mayúscula
• Crea 2 backups con nombre Module5-
Podx
 Uno debe ser binary backup
 El Segundo export backup

282
Fin del laboratorio 5

283
 Firewall
Módulo 6

284
Firewall Principles

285
Firewall principles
• Un Firewall es un servicio que permite o
bloquea paquetes de data que se
transmiten basado en reglas.
• El Firewall simula una pared entre 2
redes
• Un ejemplo común es tu LAN (trusted) y
el internet (not trusted).

286
Firewall principles
Como funciona el Firewall
• Opera utilizando reglas. Estas están divididas en 2 partes:
 The matcher : Las condiciones que se requieren para hacer “match”

 The Action : Que sucederá una vez tenga “match”

• Para hacer “match” se revisa lo siguiente:

 Source MAC address

 IP addresses (network o lista) y address types (broadcast, local,

multicast, unicast)
 Puerto o Rango de puertos
 Protocolo
 Opciones de Protocol (ICMP type y code fields, TCP flags, IP
options)
 La interface a donde llega o sale el paquete
 DSCP byte
 Y más… 287
Packet flows

• MikroTik creó los diagramas para lograr

hacer configuraciones mas complicadas
• Es bueno familiarizarse con estos para
saber que está sucediendo con los
paquetes y en que orden.
• Para este curso, lo mantenremos simple!

288
Packet flows
• Overall diagrams

289
290
Packet flows

291
Packet flows, ejemplo

• Complicado? Bienvenido al club!

• Este próximo ejemplo nos puede ayudar
a ilustrar un simple flow de paquetes:
Haciendole PING (nodo no existente) a
la interface LAN de un router a través
de la interface WAN.
 IP del nodo hacienda ping: 172.16.2.100
 IP del nodo recibiendo ping: 192.168.3.2
 IP del WAN del router (ether1) : 192.168.0.3
292
 Packet flows, ejemplo
Pinging
===PREROUTING===
Mangle-prerouting prerouting: in:ether1 out:(none), src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0),
172.16.2.100->192.168.3.2, len 60
dstnat dstnat: in:ether1 out:(none), src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0), 172.16.2.100-
>192.168.3.2, len 60
===FORWARD===
Mangle-forward forward: in:ether1 out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0),
172.16.2.100->192.168.3.2, len 60
Filter-forward forward: in:ether1 out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0),
172.16.2.100->192.168.3.2, len 60
===POSTROUTING===
Mangle-postrouting postrouting: in:(none) out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0),
172.16.2.100->192.168.3.2, len 60
srcnat srcnat: in:(none) out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0), 172.16.2.100-
>192.168.3.2, len 60

Reply out
===OUTPUT===
Mangle-output output: in:(none) out:ether1, proto ICMP (type 3, code 1), 192.168.0.3->172.16.2.100, len 88
Filter-output output: in:(none) out:ether1, proto ICMP (type 3, code 1), 192.168.0.3->172.16.2.100, len 88
===POSTROUTING===
Mangle-postrouting postrouting: in:(none) out:ether1, proto ICMP (type 3, code 1), 192.168.0.3->172.16.2.100,
len 88

293
Packet flows, ejemplo explicado
/ip firewall filter
add action=log chain=input log-prefix=Filter-input protocol=icmp
add action=log chain=output log-prefix=Filter-output protocol=icmp
add action=log chain=forward log-prefix=Filter-forward protocol=icmp

/ip firewall mangle

add action=log chain=prerouting log-prefix=Mangle-prerouting protocol=icmp
add action=log chain=output log-prefix=Mangle-output protocol=icmp
add action=log chain=input log-prefix=Mangle-input protocol=icmp
add action=log chain=forward log-prefix=Mangle-forward protocol=icmp
add action=log chain=postrouting log-prefix=Mangle-postrouting protocol=icmp

/ip firewall nat

add action=log chain=srcnat log-prefix=srcnat protocol=icmp
add action=log chain=dstnat log-prefix=dstnat protocol=icmp

294
Connection tracking y states
• Connection tracking maneja la información acerca de toda las
conecciones.
• Antes de crear filtros de firewall (o reglas), es bueno saber que tipo de
tráfico atraviesa tu router. El connection tracking se encarga de esto.
Flags: S - seen reply, A - assured
# PROTOCOL SRC-ADDRESS DST-ADDRESS TCP-STATE TIMEOUT
0 SA tcp 172.16.2.140:52010 17.172.232.126:5223 established 23h42m6s
1 ospf 172.16.0.6 224.0.0.5 5m49s
2 SA tcp 172.16.2.100:49164 172.16.9.254:445 established 23h42m51s
3 SA tcp 172.16.2.122:61739 206.53.159.211:443 established 23h44m8s
4 SA tcp 172.16.2.130:58171 17.149.36.108:443 established 23h43m41s
5 SA gre 172.16.0.254 172.16.0.1 4h44m11s
6 SA udp 172.16.0.254:4569 209.217.98.158:4569 13m9s
7 SA tcp 172.16.2.130:58174 173.252.103.16:443 established 23h42m40s
8 SA tcp 172.16.2.140:52032 69.171.235.48:443 established 23h43m27s
9 SA tcp 172.16.2.107:47318 173.252.79.23:443 established 23h43m26s
10 SA tcp 172.16.2.102:57632 173.252.102.241:443 established 23h44m15s
11 ospf 172.16.0.5 224.0.0.5 5m49s
12 SA tcp 172.16.2.102:56774 65.54.167.16:12350 established 23h35m28s
13 SA tcp 172.16.2.102:56960 173.194.76.125:5222 established 23h43m57s
14 SA tcp 172.16.0.254:37467 172.16.0.1:1723 established 4h44m11s
15 SA tcp 172.16.2.107:39374 79.125.114.47:5223 established 23h29m1s

295
Connection tracking y states
• Si deshabilitas tracking por alguna razón, los siguientes features
dejarán de funcionar:

 NAT
 Firewall
- connection-bytes - connection-mark
- connection-type - connection-state
- connection-limit - connection-rate
- layer7-protocol - p2p
- new-connection-mark - tarpit
 p2p matching in simple queues

• Por tal razón antes de deshabilitarlo asegúrase tener muy claro

las razones y el propósito!

296
Connection tracking y states
Los Connection states son: (asumiendo cliente-A estáinicializando una
conección hacia cliente-B):

Established Una sesión TCP session hacia el host remoto es

establecida, proveyendo un “open connection” donde la
data puede ser intercambiada
Time-wait Tiempo esperado para asegurarse que el host remoto a
recibido un “connection termination request (after
“close”) de su connecion
Close Representa la espera para un “connection termination
request” del host remoto
Syn-sent Cliente-A esperando por un “matching connection
request” luego que ha enviado uno
Syn-received Cliente-B esperando por un confirming connection
request acknowledgement luego de haber enviado y
recibido el connection request

297
Connection tracking y states

• El uso del connection tracking permite

también el tracking de conecciones UDP
aunque UDP es “stateless”. Siendo así, el
firewall de MikroTik's puede filtrar “UDP
"states".

298
Structure : chains y actions
• Un chain es un agrupamiento de reglas basadas en el mismo
criterio. Hay 3 distintos tipos de chain predefinidos por
RouterOS basados en el mismo criterio:
 Input : Tráfico que va hacia el router
 Forward : Tráfico que atraviesa el router

 Output : Tráfico que es originado desde el router

• Puedes tener chains creados basados en tus propios criterios. Por

ejemplo :
 Todo tráfico icmp
 Tráfico que llegue desde la interface Ether2 y con destino al bridge
“LAN”.
• Chains definidos por usuario son creados cuando seleccionas
“matchers” y seleccionas “action -> jump”. Le asignas un nombre
en el campo “jump target”.
 Luego de esto, puedes comenzar a crear reglas utlizando este Nuevo
“Chain” seleccionándolo en el campo “chain” cuando creas la regla
nueva de firewall.
299
Structure : chains y actions
• Un “action” dicta que hará el filtro cuando hay
un “match” de paquetes.
• Paquetes son verificados secuencialmente
contra cualquier regla que exista en el chain
del firewall hasta que ocurra un “match”.
Cuando lo encuentra, la regla se aplica.
• Ciertos “actions” requiere que paquetes sean
menos o mas procesados por otras reglas.
• Otros “actions” pueden demandar que un
paquete sea procesado en otro “chain”. Lo
veremos mas adelante.
300
Firewall filters en acción

301
Filosofía básica de seguridad
• Puedes aplicar seguridad de varias
maneras:

 Confiamos en el interior de la red, las

reglas solo afectará lo que venga de afuera
 Bloqueamos todo y decidimos que permitir.
 Permitimos todo y bloqueamos lo que es
problemático.

302
Tips y sugerencias básicas

• Antes de configurar y cambiar reglas

activa "safe mode".
• Luego de configurar o cambiar reglas,
valida utilizando herramientas.
Ejemplo: ShieldsUP
(https://www.grc.com/x/ne.dll?bh0bkyd2)
 Provee reporte de debilidad o
vulnerabilidad

303
Tips y sugerencias básicas
• Antes que comiences, establece una política.
• Escribe en tu propio lenguaje las reglas básicas que
requieres establecer
 Luego que las entiendas y estes de acuerdo; las configuras en
tu router

• Añade reglas de firewall progresivamente luego que

ya estés de acuerdo con las básicas.
 Si eres nuevo en la seguridad, no te ayudará comenzar a
configurar en toda las direcciones (disparar de la vaqueta!)
Haz lo básico, pero hazlo bién.
 Solo, no demores en añadir las demás reglas porque una cosa
es hacerlo bién y otro tema es abrir vulnerabilidades por el
hecho de que quieres validar primero las reglas básicas.

304
Tips y sugerencias básicas
• Es una buena idea finalizar tus “chains” con
una regla “catch-all” y así poder ver que
dejaste.
• Necesitarás 2 reglas "catch-all", una para
hacer "log" y la otra para hacer "drop" de
tráfico que no haga match con la regla. Ambas
reglas tiene que ser basadas en los mismos
“matcher” para que te puedan ser útil.
• Una vez logras ver que llega a las reglas de
"catch-all", puedes añadir reglas en el firewall
para que manipulen estos paquetes a tu
manerja.
305
Filter Matchers
• Antes de poder aplicarle "action" a un paquete
el mismo tiene que ser identificado primero.
• Son varios “Matchers”!

306
 Filter actions
• Una vez un paquete ha sido aplicado a una regla, un action le será asignado
• Los firewalls de MikroTik tiene 10 “actions”.

Accept Accept the packet. Packet is not passed to next firewall rule.
Add-dst-to-address-list Add destination address to address list specified by address-list parameter. Packet is
passed to next firewall rule.
Add-src-to-address-list Add source address to address list specified by address-list parameter. Packet is passed to
next firewall rule.
Drop Silently drop the packet. Packet is not passed to next firewall rule.
Jump Jump to the user defined chain specified by the value of jump-target parameter. Packet is
passed to next firewall rule (in the user-defined chain).
Log Add a message to the system log containing following data: in-interface, out-interface,
src-mac, protocol, src-ip:port->dst-ip:port and length of the packet. Packet is passed
to next firewall rule.
Passthrough Ignore this rule and go to next one (useful for statistics).
Reject Drop the packet and send an ICMP reject message. Packet is not passed to next firewall
rule.
Return Pass control back to the chain from where the jump took place. Packet is passed to next
firewall rule (in originating chain, if there was no previous match to stop packet analysis).
Tarpit Capture and hold TCP connections (replies with SYN/ACK to the inbound TCP SYN
packet). Packet is not passed to next firewall rule.

307
Protegiendo tu router (input)
• El input mira el tráfico dirigido hacia el
router.
• La reglas que añadas en el input ayudan
a prevenir ataques de hackers o accesos
no gratos que deseen alcanzar tu router
sin detener el trabajo de tu router.

308
 Protegiendo tu router (ejemplo)
• Lo siguiente son sugerencias!
 Asumamos que Ether01 está conectado al WAN (no confiable) y
estamos aplicando el método de seguridad “Confia en todo lo
interno".
 Acepta ICMP Echo replies (Deseas hacerle ping a un servidor en el
internet y quieres recibir respuesta!)
 Drop icmp echo requests (No deseas que otros te hagan ping. Quedarte
por debajo del radar!)
 Acept todo lo "established" y "related" en tráfico input (Deseas que se
responda a todo lo que el router pida como, como NTP and DNS)
 Drop all "invalid" input traffic (Todo lo que el router recibió que no haya
solicitado)
 Log the rest of input traffic (Dejé algo importante?)
 Drop the rest of input traffic (Quiero estar seguro!)

309
Protegiendo tus clientes (forward)

• Según mencionado, el forward chain

mira el tráfico que a traviesa el router.
• Las que añadas en el Forward chain
debe prevenir el ataque de hackers a tu
red interna sin detener el trabajo del
router.

310
 Protegiendo tus clientes (ejemplo)
• Lo siguiente son sugerencias!
 Nuevamente, asumiendo que el ether01 está conectado al
WAN (no confiable) y estamos utilizando el método “Confia
en todo lo interno” :
 Accept all "established" y "related" forward traffic (Quieres
respuesta a tu red de todo lo que se solicite como HTTP, DNS,
ect.)
 Drop all "invalid" forward traffic (Todo aquello que recibas el
cual no solicitaste)
 Log the rest of forward traffic (Dejé algo?)
 Drop the rest of forward traffic (Quiero estar seguro!)

311
Como se vería..

312
Firewall filter (rule) syntax
• Ver reglas o filtros existentes
 /ip firewall filter print (mas claro para leer)
 /ip firewall filter export (todo el syntax)
• Crea varias reglas (desde /ip firewall filter)
 add chain=input comment="Established-Related (in)"
connection-state=established in-interface=ether01
 add chain=forward comment="Established-Related (fwd)"
connection-state=established in-interface=ether01
 add action=log chain=input comment="===CATCH-ALL=="
in-interface=ether01 log-prefix="CATCH-ALL(in)"
 add action=drop chain=input in-interface=ether01
 add action=add-dst-to-address-list address-list=temp-list
address-list-timeout=3d1h1m1s chain=input protocol=tcp
src-address=172.16.2.0/24
313
Basic address-list

314
Basic address-list
• Address lists son grupos de IPs
• Se utilizan para simplificar reglas
 Por ejemplo, puedes crear 100 reglas para
bloquear 100 IP, o!!
 Puedes crear un grupo con 100 IP solo crear una
regla.
• Los grupos (address lists) pueden representar
 IT Admins con accesos especiales
 Hackers
 Cualquier otra cosa que se te ocurra…

315
Basic address-list
• Puede ser utilizados en firewall filters, mangle
y NAT.
• La configuración de address lists puede ser
automatizada utilizando los actions add-src-
to-address-list o add-dst-to-address-list en
reglas de firewall, mangle o NAT.
 Es una manera excelente de bloquear IPs sin tener
que entrarlos uno por uno
 Ejemplo : add action=add-src-to-address-list
address-list=BLACKLIST chain=input
comment=psd in-interface=ether1-Internet
psd=21,3s,3,1
316
Address list syntax
• Ver address list existentes
 /ip firewall address-list print
• Crear un address list permanente
 /ip firewall address-list add address=1.2.3.4 list=hackers
• Crear un address list utilizando una regla
 /ip firewall filter add action=add-dst-to-address-list address-
list=temp-list address-list-timeout=3d1h1m1s chain=input
protocol=tcp src-address=172.16.2.0/24
 /ip firewall nat add action=add-src-to-address-list address-
list=NAT-AL chain=srcnat
 /ip firewall mangle add action=add-dst-to-address-list
address-list=DST-AL address-list-timeout=10m
chain=prerouting protocol=tcp

317
Source NAT

318
NAT
• Network Address Translation (NAT) permite
utilizar un set de IP en el LAN y otro grupo de
IPs en el lado del WAN .
• Source NAT traduce direcciones IP (en el
LAN) a direcciones IP públicas cuando se
accede al internet. Lo mismo sucede cuando el
tráfico viene del internet. A veces se le conoce
como “ocultar o esconder" (tu red) detrás del
IP provisto por el ISP.

319
Masquerade y src-nat action
• El primer chain para NATing es "srcnat". Es utilizado
para todo tráfico que sale del router.
• Muy parecido a reglas de firewall, reglas de NAT tiene
muchas propiedades y acciones (13 actions!).
• La primera regla básica de NAT, solo utiliza el action
de "masquerade.
• Masquerade reemplaza el source IP en los paquetes
determinado por el funcionamiento de routing.
 Típicamente, el source IP de los paquete.s que van hacia el
internet serán reemplazadas por el IP del WAN. Esto es
requerido para el tráfico que regresa para así poder llegar al
IP de donde fue originado.

320
Masquerade y src-nat action

• El action de "src-nat" cambia el source

IP y puerto de los paquetes a quellos
asignados por el administrador de red
 Ejemplo básico: 2 compañías (Alpha y
Omega) se han unido y ambos utilizan el
mismo direccionamiento de IP interno (ex.
172.16.0.0/16). Ellos van a utilizar un
segmento totalmente distinto para unirlos.
Ambos requerirán reglas src-nat y dst-nat

321
Destination NAT

322
Dst-nat y redirection action

• "Dst-nat" es un action utilizado con

dstnat para redirigir tráfico entrante a
un IP o Puerto distinto.
- Ejemplo: Utilizando el ejemplo anterior de
Alpha y Omega vemos que reglas dst-nat serán
requeridas para convertir el IP de un lado

323
Dst-nat y redirection action

• "Redirect" cambia el Puerto de destino a

uno que se especifique en "to-ports" en el
router
 Ejemplo: Todo tráfico http (TCP, port 80)
va a ser enviado al servicio de web proxy en
el Puerto TCP 8080.

324
NAT Syntax

• Source NAT (from /ip firewall nat)

 Añadir la regla de “masquerade”
 add action=masquerade chain=srcnat
 Cambiar el Source IP address
 add chain=srcnat src-address=192.168.0.109 action=src-nat to-
addresses=10.5.8.200

• Destination NAT
 Redirigir todo tráfico http (TCP, port 80) al servicio de web proxy en el
router TCP 8080
 add action=redirect chain=dstnat dst-port=80 protocol=tcp to-
ports=8080

325
Hora del Lab!!

Fin del módulo 6

326
Laboratorio

• Metas del lab

 Configurar reglas básicas de Firewall
 Configurar un address-list
 Aplicar reglas de source NAT rules y
ponerlas a prueba
 Aplicar reglas destination NAT y ponerlas
a prueba

327
Laboratory : Setup

328
Laboratorio : Paso 1
• Antes de comenzar con reglas de Firewall, haremos
prueba con una regla de NAT: Masquerading
 Verifica en tu configuración si ya tienes una regla de NAT
“masquerade”. Crea una si no la tienes pero déjala
DESHABILITADA. Si ya la tienes asegúrate que esté
apagada.
 Ejecuta WinBox y conéctate al POD de un compañero.
 En la sección IP FIREWALL CONNECTION, revisa las
conecciones activas. Que vez?
 Configura la opción que permite hacer “track” de las
conecciones. Verifica los resultados.
 HABILITA la regla de NAT Masquerade y nuevamente
verifica el connection tracking

329
Laboratorio : Paso 2
• Ahora para hacerlo interesante configuremos
reglas de firewall. Aplica las siguientes reglas
al tráfico entrante en la interface WAN.
 Accept icmp echo replies
 Drop icmp echo requests
 Accept all "established" and "related" input and
forward traffic
 Drop all "invalid" input and forward traffic
 Log the rest of input and forward traffic
 Drop the rest of input and forward traffic
 Add meaningful comments to all rules.
 Do the same for the "log" rules' prefixes.
330
Laboratorio : Paso 3
• Ahora que tienes reglas, verifica tus
logs. Mira los mensajes y el formato
• Viendo lo que muestra ahora, crees que
hacer troubleshooting de conecciones
sería mas fácil ahora?

331
Laboratorio: Paso 4
• Crea address list que represente cada
POD
• Utiliza el siguiente formato:
 Name : Pod1
 Address : <network/mask> of the LAN
 Name : Pod1
 Address : <IP> of the WAN interface
• Hazlo para todo, también el tuyo

332
Laboratory : step 5
• Pods should be matched in pairs for the
following tests
• Close your WinBox window and reopen it,
connecting to your peer pod. What's
happening?
• With one filter rule ONLY, allow all IP
addresses from you peer pod to connect to your
router with WinBox (TCP, 8291)
 Make sure that it's in the right spot so that it
works
 And DON'T forget comments!
333
Laboratorio : Paso 6

• Para validar funcionamiento de Port

Redirection, tenemos que hacer un
pequeño cambio en los IP SERVICES de
tu router.
 En la sección de IP Services section,
cambia el puerto de WinBox a 8111.

334
Laboratorio : Paso 7
• Cierra y abre nuevamente el WinBox sin
añadir ningún character adicional.
Resultados?
• Entra al router con WinBox en el puerto 8111.
• Crea una regla de dst-nat con redirect action
al puerto 8111 en todo tráfico TCP 8291.
• Cierra y abre nuevamente el WinBox sin el
puerto luego del IP. Funciona?
• Entra al router del POD de tu vecino. Que
sucede?
335
Laboratorio : Paso 8

• Regresa la configurión del Puerto de

WinBox en IP SERVICES a 8291.
• Deshabilita (no borres) la regla de
dstnat "redirect".
• Cierra WinBox y valida que puedas
entrar a tu router y el de tu vecino
normalmente.

336
Laboratorio : Paso 9
• Crea una regla dst-nat rule con un
redirection action al Puerto 8291 a todo
tráfico TCP 1313 que entre por el Puerto
de WAN.
• Abre WinBox y entra a tu router
utilizando Puerto 1313.
• Abre WinBox y entra al router de tu
vecino utilizando Puerto 1313.
• Resultados?
337
Laboratorio : Paso 10

• Haz un export backup y un binary

backup bajo el nombre module6-podX
(x = tu POD).

338
Fin del Laboratorio 6

339
 QoS

Módulo 7

340
Simple queue

341
Introducción
• QoS (quality of service) es el arte de
manejar recursos de ancho de banda en
vez de simplemente limitar ancho de
banda a ciertos nodos.
• QoS puede darle prioridad a tráfico
basado en métricas. Bueno para:
 Aplicaciones Críticas
 Tráfico sensible tales como video y voz.

342
Introducción

• Simple queues son eso mismo…

simples… formas de limitar ancho de
banda a:
 Upload de clientes
 Download de clientes
 Agregación de clientes (download y upload)

343
Target
• Target a quién el simple queue es
aplicado
• Un target DEBE ser especificado. Puede
ser:
 Un IP address
 Un subnet
 Una interface
• El orden de los Queue ES importante.
Cada paquete tiene que atravesar cada
simple queue hasta que ocurra un
match. 344
Destinations

• IP address a donde el tráfico dirigido o,

• Interface por donde fluirá el tráfico del
destino.
• No es compulsorio como lo es el campo
de “Target”.
• Puede ser utilizado para limitar las
restricciones de los queue.

345
Max-limit and limit-at

• El parámetro "max-limit" es el máximo data

rate que un target puede alcanzar
Visto como MIR (maximum information rate)
 “En el mejor de los casos”
• El parámetro "limit-at" es una garantía
minima de data rate para el target definido
 Visto como CIR (committed information rate)
 “En el peor de los casos”

346
Bursting

• Bursting permite a usuarios obtener

mayor bandwidth que lo configurado en
“max-limit, pero solo por un período
corto.
• Util para impulsar tráfico que no utiliza
ancho de banda frecuentemente. Por
ejemplo, HTTP. Descarga una página
mas rápido por unos segundos.

347
Bursting
• Definitions.
 Burst-limit : Maximum data rate while burst is
allowed. (mientras burst es permitido)
 Burst-time : Time, in seconds, over which the
sampling is made. It is NOT the period during
which traffic will burst. (tiempo en segs. donde es
verificado para ejecutar el burst)
 Burst-threshold : The value that will determine
if a user will be permitted to burst (define si el
usario podrá hacer burst)
 Average-rate : An average of data transmission
calculated in 1/16th parts of "burst-time".
 Actual-rate : Current (real) rate of data transfer.
348
Bursting
• Como funciona.
 Bursting es permitido mientras average-rate se quede por
debajo del burst-threshold.
 Bursting será limitado al rate especificado por burst-limit.
 Average-rate es calculando 16 samples o pruebas
(averaging) en los segundos de burst-time
 Si burst-time es 16 segundos, entonces un sample es tomado
cada segundo
 Si burst-time es 8 seconds, entonces un sample es tomado
cada ½ segundo. Y así sucesivamente…
 When bursting starts, it will be allowed for longest-burst-
time seconds, which is
 (burst-threshold X burst-time) / burst-limit.

349
Bursting

Con un burst-time de 16 segundos

350
Bursting

Con un burst-time de 8 segundos

351
Syntax

• Un Simple Queue
 add max-limit=2M/2M name=queue1 target=192.168.3.0/24

• El mismo Simple Queue pero con Burst

 add burst-limit=4M/4M burst-threshold=1500k/1500k burst-
time=8s/8s limit-at=\
1M/1M max-limit=2M/2M name=queue1 target=192.168.3.0/24

352
Tip

• Si te fijas, los iconos de cada Queue

cambian de color de acuerdo a la
utilización que está teniendo cada uno.

 Green : 0 – 50% del ancho de banda utilizado

 Yellow : 51 – 75% del ancho de banda utilizado
 Red : 76 – 100% del ancho de banda utilizado

353
Un Simple queue para toda
la red (PCQ)

354
Porque tener un Queue para
todo?
• Per Connection Queue (PCQ) es una
forma dinámica de darle forma al tráfico
para múltipes usuarios utilizando una
configuración más simple.
• Define parámetros, luego cada sub-
stream (Direcciones IP por ejemplo)
tendrá las mismas limitaciones.

355
Configuración de Pcq-rate
• El parámetro de pcq-rate limita el data
rate permitido por el Queue Type.
• Classifier es lo que el router verifica
para ver como aplica la limitación.
Puede ser un IP address o Puerto source
o destino. Puedes también limitar por el
tipo de tráfico (HTTP for example).

356
Configuración Pcq-limit
• Este parámetro es medido en paquetes.
• Un valor de pcq-limit alto
 Creará un buffer mayor, reduciendo la pérdidad de
paquetes
 Aumentará la latencia
• Un valor de pcq-limit pequeño
 Aumentará la pérdida de paquetes (ya que buffer
es mas pequeño) y forzará al source a reenviar el
paquete reduciendo la latencia.
 Hará un cambio en el TCP Windows solicitándole
al source que reduzca el rate de transmission.

357
Configuración Pcq-limit
• Que valor utilizar? No hay una respuesta
sencilla.
 Siempre comienza con "Trial & Error" por
aplicación
 Si usuarios se quejan de latencia, reduce el valor
de pcq-limit (queue length)
 Si los paquetes tienen que transitar a través de
una configuración de firewall compleja, tal vez
tengas que incrementar el queue length ya que
puede crear delays
 Interfaces más rápidas (como Gigabit) requiere
Queues mas pequeños ya que en estas se reducen
los delays.
358
PCQ, ejemplo
• Supongamos que tenemos usuarios
compartiendo un WAN link limitado. Le
vamos a asignar los siguientes data
rates:
 Download : 2Mbps
 Upload : 1Mbps
• WAN está en la interface Ether1
• El subnet del LAN es 192.168.3.0/24

359
PCQ, ejemplo
/ip firewall mangle
add action=mark-packet chain=forward new-packet-mark=client_upload \
out-interface=ether1 src-address=192.168.3.0/24
add action=mark-packet chain=forward dst-address=192.168.3.0/24 \
in-interface=ether1 new-packet-mark=client_download

/queue type
add kind=pcq name=PCQ_download pcq-classifier=dst-address pcq-rate=2M
add kind=pcq name=PCQ_upload pcq-classifier=src-address pcq-rate=1M

/queue tree
add name=queue_upload packet-mark=client_upload parent=global queue=\
PCQ_upload
add name=queue_download packet-mark=client_download parent=global queue=\
PCQ_download

360
Ejemplo explicado
• Mangle : Le estamos diciendo al router que marque los paquetes
con la marca "client_upload" ó "client_download",
dependiendo si:
 Los paquetes provienen del LAN y salen por el ether1 (upload) ó,
 Paquetes están entrando por el ether1 y saliendo por el LAN
(download).
• Queue types : Aqui definimos los data rates y classifiers 2 sub-
streams distintos (source or destination).
• Queue tree : Las combinaciones son verificadas para validar si
los paquetes cualifican para traffic shaping y que aplicarle.
Por ejemplo, en el caso de tráfico upload, verificamos interfaces
input y output (global) para paquetes con el marcado
"client_upload" y le aplicamos el queue type de "PCQ_upload"
queue type.

361
Monitoreo

362
 Interface traffic monitor
• La herramienta de traffic monitor
es utilizada para ejecutar scripts
cuando el tráfico de una interface
alcanza un nivel específico
(threshold)

Ejemplo
/tool traffic-monitor
add interface=ether1 name=TrafficMon1 on-event=script1 threshold=1500000 \
traffic=received

/system script
add name=script1 policy=ftp,read,test,winbox,api source="/tool e-mail send to=\"\
YOU@DOMAIN.CA\" subject=([/system identity get name] . \" Log \
\" . [/system clock get date]) body=\"Hello World. You're going too fast!\""

363
Torch

• Torch es una herramienta de monitoreo

en vivo (real-time) el cual puede ser
utilizada para monitorear tráfico
dirigiéndose a una interface específica.
• Por CLI es BIEN flexible, por WinBox es
intuitive.

364
Torch, CLI
[admin@Pod3] /tool> torch interface=ether2 port=winbox
SRC-PORT DST-PORT TX RX TX-PACKETS RX-PACKETS
53217 8291 (winbox) 12.0kbps 4.7kbps 7 6
12.0kbps 4.7kbps 7 6

[admin@Pod3] /tool> torch interface=ether2 port=any

SRC-PORT DST-PORT TX RX TX-PACKETS RX-
PACK
53217 8291 (winbox) 15.2kbps 5.1kbps 7
62414 53 (dns) 728bps 600bps 1
53538 80 (http) 92.8kbps 5.3kbps 12
62437 53 (dns) 744bps 616bps 1
53540 80 (http) 182.2kbps 8.4kbps 18
53541 80 (http) 191.1kbps 8.6kbps 19
59150 53 (dns) 760bps 632bps 1
53542 80 (http) 112.9kbps 7.0kbps 12
53543 443 (https) 34.8kbps 6.3kbps 6
53544 80 (http) 860.4kbps 20.0kbps 73
53545 80 (http) 4.5kbps 5.6kbps 4
53546 80 (http) 122.0kbps 6.3kbps 12
53547 80 (http) 122.0kbps 5.8kbps 12
65144 53 (dns) 1064bps 608bps 1
53548 80 (http) 1392bps 5.7kbps 3
1743.1kbps 87.0kbps 182

For fun, try this

[admin@Pod3] /tool> torch interface=ether2 port=<TAB>

365
Torch, Winbox

366
Graphs
• Graphing es una herramienta utilizada para
monitorear varios parámetros de RouterOS en un
lapso de tiempo específico y colocar la data colectada
en gráficas.
• Los siguientes parámetros pueden ser colectados.
 Voltage and temperature
 CPU, memory and disk usage
 Interface traffic
 Queue traffic
• Graphs puede ser accedido entrand a http://<router-
IP-address>/graphs

367
Graphs
Primeros pasos.
[admin@Pod3] /tool graphing> set store-every=5min page-refresh=300
[admin@Pod3] /tool graphing> print
store-every: 5min
page-refresh: 300
[admin@Pod3] /tool graphing>

Luego añadimos los valores para las gráficas

[admin@Pod3] /tool graphing> interface add allow-address=0.0.0.0/0 interface=all

[admin@Pod3] /tool graphing> queue add allow-address=0.0.0.0/0 simple-queue=test-queue1

[admin@Pod3] /tool graphing> resource add allow-address=0.0.0.0/0

368
Graphs

369
SNMP
• SNMP, Simple Network Management
Protocol, es un protocol estandar utilizados
para manejar equipos IP en una red.
• Muchas herramientos, tanto open source como
comercial, está disponibles para trabajar con
SNMP y automatizar trabajos.
• Como todo, la configuración debe ser
planificada ya que este protocolo es propenso a
ataques.

370
SNMP
Primeros pasos..
[admin@Pod3] /snmp> set enabled=yes
[admin@Pod3] /snmp> set contact=YOU
[admin@Pod3] /snmp> set location=OFFICE
[admin@Pod3] /snmp> print
enabled: yes
contact: YOU
location: OFFICE
engine-id:
trap-target:
trap-community: (unknown)
trap-version: 1
trap-generators:
[admin@Pod3] /snmp>

371
 SNMP

• Hay que prestarle atención a los “Communities”.

• Los mismos dictan privilegios.
[admin@Pod3] /snmp community> print detail
Flags: * - default
0 * name="public" addresses=0.0.0.0/0 security=none read-access=yes write-
access=no
authentication-protocol=MD5 encryption-protocol=DES authentication-
password=""
encryption-password=""
[admin@Pod3] /snmp community>

372
SNMP

373
Lab, lab y mas lab!!

Fin del módulo 7

374
Laboratorio

• Metas del lab

 Configurar y validar un simple queue
 Configurar y validar una configuración
basada en PCQ.
 Poder diferenciar entre uno y el otro.
 Poner a prueba herramientas de monitoreo
y ver como te pueden ayudar en el día a
día.

375
Laboratorio : Setup

376
Laboratorio : Paso 1

• Antes de continuar, instala un MIB

browser en tu computadora
• Además, los PODs deben unirse en
pareja ya que los pasos van a requerir
que mas de 1 computadora esté
conectada al router.

377
Laboratorio : Paso 2
• Valida el throughput utilizando una página de
prueba de velocidad (speedtest). Anota los
resultados.
• Configura un simple queue (nómbralo "lab7")
el cual limite todo tu LAN a 4Mbps y 2Mbps
upload.
• Valida nuevamente el throughput.
• Solicita a un compañero que se conecte a tu
router y repite la prueba de velocidad.
Resultado? Sucede lo mismo si te conectas al
router de tu compañero?
378
Laboratorio : Paso 3
• Añade bursting en el queue "lab7".
Parámetros son :
 Burst limit 4M (upload), 6M (download)
 Burst-threshold 3M (upload), 5M
(download)
 Burst-time 16 para ambos
 Repite las mismas pruebas anteriores
y valida.
• Una vez finalizado, deshabilita el simple
queue.
379
Laboratorio : Paso 4
• Configura queue PCQ para que todas las
computadoras en el mismo LAN tengan un
límite de 4Mbps de download y 2Mbps de
upload. Asegúrate ponerle nombres que que
hagan sentido!
• Haz una prueba de velocidad (speedtest)
cualquier página en línea. Resultados?
• Solicítale a tu compañero que se conecte a tu
routter y haz la misma prueba. Resultado?
Sucede lo mismo si te conectas al router de tu
compañero?
380
Laboratorio : Paso 5

• Configura traffic monitoring de forma

tal que te envíe un email cuando el
tráfico inbound exceda los 3Mbps en tu
interface wireless.

381
Laboratorio : Paso 6

• Utiliza la herramienta de Torch de tal

manera que puedas ver el IP del source
para cualquier tráfico desde cualquier IP
y cualquier Puerto en la interface
wireless. Experimenta con Torch en CLI y
WinBox.

382
Laboratorio : Paso 8

• Habilita los Graphs en:

 Interface Wireless
 Recursos de Hardware
• Navégalos en tu explorador

383
Laboratorio : Step 8

• Habilita SNMP, y provee la siguiente

información:
 Tu nombre como contacto.
 Tu número de Pod como “location” (Podx).
 Deja el resto en “default”.
• Utilizando el MIB Browser, scanea los
MIBs de tu router. Puedes ver tu
nombre e información?

384
Laboratorio : Paso 9

• Como siempre, haz un binary backup y

export backup según efectuado en los
pasados laboratorios.

385
Fin del Laboratorio 7

386
 Tunnels

Módulo 8

387
Tunnels
• Los Túneles son una forma de expandir tu red
privada a través de una red pública tal como
lo es el internet.
• También son conocidos como “VPNs” (virtual
private networks).
• Los conceptos de seguridad son aplicados en
los VPNs. Son utilizados, ya que todo tráfico
es transmitido por redes públicas y no por la
red privada del cliente final.

388
PPP settings

389
PPP profile
• PPP profiles representan los parámetros de configuración el cual serán
utlizados por los PPP clients tales como los siguientes y otros:
– IP Address local y remota o pools
– Compression
– Encryption

/ppp profile (ejemplo desde un cliente)

add change-tcp-mss=yes name=Profile-external use-compression=\
yes use-encryption=yes use-vj-compression=no

/ppp profile (ejemplo desde un servidor)

add change-tcp-mss=yes local-address=192.168.222.1 name=Profile-external \
remote-address=192.168.222.2 use-compression=yes use-encryption=yes \
use-vj-compression=no
add change-tcp-mss=no dns-server=192.168.5.1 local-address=192.168.5.1 name=\
Profile-internal remote-address=Pool-VPN use-compression=yes \
use-encryption=yes use-vj-compression=no

390
PPP secret
• PPP secrets están localizados en los PPP servers y los mismos especifican los
parámetros básicos requeridos para autenticar un cliente, tales como:
– Name : ID del usuario
– Password : Contraseña
– Service : Servicio con el cual se trabajará (Si es dejado como "any", el PPP secret
autenticará al usuario con cualquiera de los protocolos (PPPoE, L2TP, PPTP, etc.)
– Profile : Las configuraciones pertinentes al usuario. Los parámetros de Profiles
permite el ser utilizado para múltiples usuarios sin tener que entrarlos por
independiente
– Clientes no utilizan los PPP secrets como sus credenciales de autenticación. Los
mismos son especificados en la interface PPP del cliente bajo los parámetros "user"
y "password“.
/ppp secret
add name=Pod4-external password=pod4-123 profile=Profile-external routes=\
192.168.4.0/24
add name=alain password=alain!! profile=Profile-internal

391
PPP status
• Representa el estatus actual de la connection. Util para hacer
“debug” y verificar la operación correcta de los túneles.

[admin@Pod5] > /ppp active print detail

Flags: R - radius
0 name="alain" service=pppoe caller-id="28:D2:44:2C:06:EE" address=192.168.5.100
uptime=3m56s
encoding="MPPE128 statefull" session-id=0x81B00044 limit-bytes-in=0 limit-bytes-
out=0

1 name="Pod4-external" service=pppoe caller-id="D4:CA:6D:8E:1A:97"

address=192.168.222.2 uptime=37s
encoding="MPPE128 stateless" session-id=0x81B00045 limit-bytes-in=0 limit-bytes-
out=0

[admin@Pod5] > /ppp active print

Flags: R - radius
# NAME SERVICE CALLER-ID ADDRESS UPTIME ENCODING
0 alain pppoe 28:D2:44:2C:06:EE 192.168.5.100 4m12s MPPE128 statefull
1 Pod4-exte... pppoe D4:CA:6D:8E:1A:97 192.168.222.2 53s MPPE128 stateless

392
IP pool

393
Configurando un pool
• IP pools define un rango de IP addresses para
los clientes.
• No solo es utilizado para DHCP como vimos en
el módulo anterior, sino que a su vez se utiliza
para PPP y clientes Hotspots.
• Util para cuando una interface va a servir
múltiples clientes. IP addresses son asignados
dinámicamente.

394
IP Pool ranges
• IP pool ranges son listas de IP que no
coinciden entre sí y que pueden ser asignadas
a clientes a través de servicios DHCP, PPP,
PPP y Hotspots.
• Vamos a ver el ejemplo: Tienes 50
computadoras en la red de la empresa y 50
computadoras provenientes a través del VPN.

/ip pool
add name=Pool-PC ranges=192.168.5.50-192.168.5.99
add name=Pool-VPN ranges=192.168.5.100-192.168.5.149

395
IP Pool ranges
• Necesitas añadir 50 computadoras mas en el IP
Address Pool.

/ip pool print

# NAME RANGES
0 Pool-PC 192.168.5.50-192.168.5.99
1 Pool-VPN 192.168.5.100-192.168.5.149

/ip pool
set 0 ranges=192.168.5.50-192.168.5.99,192.168.5.150-192.168.5.199

/ip pool> print

# NAME RANGES
0 Pool-PC 192.168.5.50-192.168.5.99
192.168.5.150-192.168.5.199
1 Pool-VPN 192.168.5.100-192.168.5.149

396
Asignándolo a un servicio

• Pools según mencionamos pueden ser

añadidos a varios servicios como DHCP,
PPP y Hotspot.
• Veremos la configuración mas
adelante...

397
Secure local networks

398
PPPoE

• Point-to-point over Ethernet es un

protocolo en Layer 2
• Es utilizado frecuentemente por ISPs
para controlar accesos a sus redes.
• Puede ser utilizado como método de
acceso a cualquier tecnologí en Layer 2
tales como 802.11 o Ethernet.

399
PPPoE service-name
• El service-name puede ser visto como un
SSID de 802.11, lo que significa sería el
nombre de la red que el cliente está
buscando.
• A diferencia de un SSID, si el cliente no
especifica uno, el access concentrator
(PPPoE server) enviará todo los service-
names que tiene. El cliente responderá
al primero que reciba.
400
Creando un PPPoE server
• Un PPPoE server es el que provee en servicio
de tunneling.
• Permite a clientes obtener un servicio de VPN
Layer 3 seguro sobre una infraestructura
Layer 2.
• NO PUEDES alcanzar un PPPoE server a
través de routers. Debido a que es un protocolo
Layer 2, el servidor solo puede ser alcanzado a
través del mismo Ethernet Broadcast domain
donde se encuentra los clientes.

401
Creando un PPPoE server
• Antes de crear el servidor, establece los
parámetros que requieres configurar (valores
aparte de los default) tales como:
 IP pools
 PPP profiles
 PPP secrets

• Crea la interface del PPPoE server en la

interface física que mira o conecta a los
clientes diréctamente.
Creando un PPPoE server, ejemplo
/ip pool
add name=Pool-PC ranges=192.168.5.50-192.168.5.99,192.168.5.150-
192.168.5.199
add name=Pool-VPN ranges=192.168.5.100-192.168.5.149

/ppp profile
add change-tcp-mss=yes local-address=192.168.222.1 name=Profile-
external \
remote-address=192.168.222.2 use-compression=yes use-encryption=yes
\
use-vj-compression=no
add change-tcp-mss=no dns-server=192.168.5.1 local-address=192.168.5.1
name=\
Profile-internal remote-address=Pool-VPN use-compression=yes use-
encryption=\
yes use-vj-compression=no
403
Creando un PPPoE server, ejemplo
/ppp secret
add name=Pod4-external password=pod4-123 profile=Profile-
external routes=\
192.168.4.0/24
add name=alain password=alain!! profile=Profile-internal

/interface pppoe-server server

add authentication=mschap2 default-profile=Profile-external
disabled=no \
interface=ether1 mrru=1600 service-name=PPPoE-external
add authentication=mschap2 default-profile=Profile-internal
disabled=no \
interface=ether5 mrru=1600 service-name=PPPoE-internal

404
Point-to-point addresses
• La forma más facil de configurar addresses es
es haciéndolo manualmente.
• Direcciones IP de /ppp secret tienen prioridad
sobre /ppp profile, y toman prioridad a su vez
sobre /ip pool
• Ambas direcciones local y remotas pueden ser
únicas o provenientes de un pool.
• Static IP addresses o DHCP en interfaces de
clientes PPPoE. Deja que la infraestructura
específicamente lo que se ha establecido!

405
Creando clientes PPPoE en RouterOS
• Si deseas utilizar un profile distinto al default, créalo
primero. Así no tienes que regresar a la configuración
nuevamente.
• Crea la interface del cliente que mira al ISP.
• Listo!

Tip :
Tu router no tiene que tener configurado un cliente
DHCP en la interface WAN y aún así funcionará si el
PPPoE server está en la misma infraestructura Layer
2 del Puerto WAN.

406
PPPoE client en RouterOS, ejemplo

/ppp profile
add change-tcp-mss=yes name=Profile-external use-compression=yes \
use-encryption=yes use-vj-compression=no
/interface pppoe-client
add ac-name="" add-default-route=yes allow=mschap2 \
default-route-distance=1 dial-on-demand=no disabled=no \
interface=ether1 keepalive-timeout=60 max-mru=1480 max-mtu=1480 \
mrru=disabled name=Client-PPPoE password=pod4-123 profile=\
Profile-external service-name="" use-peer-dns=no user=\
Pod4-external

• Habilita la interface del client.

407
Secure remote networks
communication

408
PPTP clients y servers
• PPTP es un protocolo de tunel en Layer 3 y utiliza información de routing y
direcciones IP para conectar al cliente con el servidor.
• El PPTP se define casi de igual forma al de PPPoE, con la excepción que no se
tiene que establecer una interface en específico
• El cliente es definido casi de igual forma que el cliente PPPoE, con la excepción de
que una dirección IP tiene que ser especificada para el server.
• Tip : Debes permitir Puerto TCP 1723 en el firewall del router (el PPTP server)
para que el tunel pueda levanter o conectar
/interface pptp-server server
set authentication=mschap2 default-profile=Profile-external enabled=yes
/interface pptp-client
add add-default-route=yes allow=mschap2 connect-to=192.168.0.5 \
default-route-distance=1 dial-on-demand=no disabled=no keepalive-timeout=60 \
max-mru=1450 max-mtu=1450 mrru=1600 name=Client-PPTP password=pod4-
123 profile=\
Profile-external user=Pod4-external

409
SSTP clients y servers sin certificados
• Definir el SSTP server es similar al de PPTP, excepto a que defines un
puerto TCP a donde conectarse (default 443).
• El cliente es definido de igual manera al cliente PPTP, excepto que debes
especificar un puerto TCP a utilizarse (default 443).
• Tip : Debes permitir el Puerto TCP 443 para que logre levantar el tunel.
También, deja configurado el Puerto 443 para que funcione la seguridad
de comunicación via SSL.

/interface sstp-server server

set authentication=mschap2 enabled=yes
/interface sstp-client
add add-default-route=no authentication=mschap2 certificate=none connect-to=\
192.168.0.5:443 dial-on-demand=no disabled=no http-proxy=0.0.0.0:443 \
keepalive-timeout=60 max-mru=1500 max-mtu=1500 mrru=1600 name=Client-SSTP \
password=pod4-123 profile=Profile-external user=Pod4-external \
verify-server-address-from-certificate=no verify-server-certificate=n

410
Configura rutas entre redes
• Una vez el tunel esté arriba, necesitas rutas para
poder transferir paquetes ida y vuelta.
• La primera forma para un solo tunel, es la ruta que
fue creada automáticamente para ese tunel.

/ip route print

Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADS 0.0.0.0/0 192.168.0.254 0
1 ADC 192.168.0.0/24 192.168.0.5 ether1 0
2 ADC 192.168.5.0/24 192.168.5.1 Bridge-PC 0
3 ADC 192.168.5.101/32 192.168.5.1 <pptp-alain> 0

411
Configura rutas entre redes
• La segunda forma es especificando una o múltiples rutas en el PPP secret para el
cliente.

/ppp secret export

add name=Pod4-external password=pod4-123 profile=Profile-external routes=192.168.4.0/24
add name=alain password=alain!! profile=Profile-internal

/ppp secret print

Flags: X - disabled
# NAME SERVICE CALLER-ID PASSWORD PROFILE REMOTE-
ADDRESS
0 Pod4-external any pod4-123 Profile-external
1 alain any alain!! Profile-internal

/ppp secret
set 0 routes=192.168.4.0/24,10.10.2.0/24

/ppp secret export

add name=Pod4-external password=pod4-123 profile=Profile-external
routes=192.168.4.0/24,10.10.2.0/24
add name=alain password=alain!! profile=Profile-internal

412
Configurando rutas entre redes
• La tercera forma es añadiendo rutas estáticas a una o
multiples redes través del tunel.
• Este método es útil si ambos routers tienen su propia
ruta default (ruta cero), pero implica mas
mantenimiento y parámetros.

/ip route
add comment="TO OFFICE LOOPBACKS" distance=1 dst-
address=10.10.2.0/24 gateway=192.168.254.10
add comment="TO OFFICE NETWORKS" distance=1 dst-
address=172.16.8.0/21 gateway=192.168.254.10

413
Nota final
VPN Compatible
Encryption Ports Notes
Protocol with
PPTP MPPE with RC4 1723 TCP Windows XP, Vista, PPTP is the most widely used VPN
128 bit key 7 protocol today.
Mac OS X It is easy to setup and can be used to
iPhone OS bypass all Internet restrictions.
Android PPTP is considered less secure.

SSTP Windows 7 SSTP uses a generic port that is never

SSL with AES
blocked by firewalls.
2048 bit key
You can use SSTP to bypass corporate or
certificate 443 TCP
school firewalls.
256 bit key for
SSTP is considered a very secure
encryption
protocol.

Quieres conocer mas?

• http://wiki.mikrotik.com/wiki/Manual:Interface/PPTP
• http://wiki.mikrotik.com/wiki/Manual:Interface/SSTP
• http://www.highspeedvpn.net/PPTP-L2TP-SSTP-OpenVPN.aspx
• http://www.squidoo.com/advantages-and-disadvantages-of-vpn-protocols
• http://www.vpnonline.pl/en/protokoly-vpn-porownanie (muy bueno!)

414
Vamos para el último LAB!!

Fin del módulo 8

415
Laboratorio

• Metas del lab

– Crear PPP profiles y secrets
– Crear y asignar IP pools a servicios
– Crear PPPoE VPN entre una computadora
y un router
– Crear tuneles PPTP y SSTP entre los PODs
– Asegurarse de enrutamiento correcto

416
Laboratorio : Configuración

417
Laboratorio : Paso 1
Estudiantes trabajarán este laboratorio en par.
Estudiantes configurarán 3 PPP Profiles:
– 2 para ser utilizado con el POD del vecino
• Uno para el servicio de server.
• Uno para el servicio del cliente.
– Uno para ser utilizado por clientes conectados.
• Estudiantes configurarán 2 PPP secrets:
– Uno para permitir conectar al POD vecino
– Uno para lograr conectar los clientes locales.
• Estudiantes se pondrán de acuerdo en la configuración
de parámetros a utilizarse. Por motivo de tiempo,
SEAMOS SIMPLES EN LA CONFIGURACION!!

418
Laboratorio : Paso 2

• Crea un IP pool para ser utilizado por

los clientes que deseen conectarse a
través de VPN
- Tu pool estará en una red distinta a tu LAN
existente.
- Asigna el pool al profile a ser utilizado por
tu futuro “VPN Corporativo”.

419
Laboratorio : Paso 3
• Selecciona un Puerto disponible en tu router
(ether5 preferible) y remuévela de cualquier
bridge o Puerto master a el cual esté asignada.
No debe tener IP o DHCP configurado.
• Configura un PPPoE server en ese Puerto del
router. Debes utilizar el profile que usastes
para los clientes VPN. Habilita solo MSChap2
como método de autenticación. Lee el material
del curso referente a configuración de
compression y encryption.

420
Laboratorio : Paso 4

• Configura tu computadora para conectarse al

router como cliente PPPoE.
• Conéctate y navega el internet!

Avisos!
– Verifica la interface donde configuraste el server (y
el Puerto que al cual conectaste tu computadora)
– Verifica las configuraciones de los profiles en el
PPPoE server y PPP secret.

421
Laboratorio : Paso 5
• Conecta tu computadora nuevamente a un
Puerto Ethernet normal.
• Los PODs con números pares crearán un
PPTP server y un SSTP client.
• Los PODs impares crearán un PPTP client y
un SSTP server.
• Utiliza los profiles y secrets previamente
creados.
• SSTP no puede utilizar certificados!
• Sube los túneles de VPN y verifica que
sucedió.
422
Laboratorio : Paso 6

• Nada? Que se nos olvidó?

– Ayuda : Una regla nueva de firewall talvez?
• Una vez los túneles ya estén arriba,
verifica el estatus de conecciones
activas.

423
Laboratorio : Paso 7
• Remueve las rutas estáticas de tu table
de rutas. Solo debes tener una a tu POD.
• Ejecuta un ping al IP Address del LAN
de tu POD vecino. Funciona? Pero si el
tunel está arriba, porque no funciona?
(Deja el ping corriendo)
• Puedes hacerle ping a la dirección IP
remota del tunel? Si funciona significa
no todo está mal configurado .
424
Laboratorio : Paso 8
• En el PPP secret de tu router y en el campo
"Routes", añade el network y el mask de tu
POD vecino.
• Un vez se configure esto en ambos PODs,
reinicia el tunel del cliente.
• Nota el efecto que tiene en tu tabla de
enrutamiento. El subnet de tus peer's han
aparecido una vez tu POD vecino se logea en
el VPN. Una vez ambos estén arriba, podrán
hacerse Ping.
• Nota también las direcciones IP en el IP
address list. 425
Laboratorio : Paso 9

• Como usual, haz un binary backup y

export backup utilizando el mismo
format de los demás laboratorios.

426
Fin del Laboratorio 8 y el
curso en su totalidad!! 

427
LE DESEAMOS EXITO EN EL EXAMEN, YA
QUE SUERTE LA TIENE CUALQUIER
PERSONA!!
