07a - MTCNA PDF

MikroTik Certified Network Associate
(MTCNA)
“© MikroTik, www.mikrotik.com. All rights reserved. Reprinted with permission.”

Presentarse individualmente
• Nombre
• Compañía
• Conocimiento previo sobre RouterOS
• Conocimiento previo sobre Networking
• Qué espera de este curso?
Agenda
• Horario diario (3 días)

 9:00am a 6:00pm
• Descansos 15-20mins.
 10:30am y 3:00pm
• Almuerzo
 12:00pm to 1:00pm
• Examen
 Último día, 1 hora
3
Porque tomar el curso de MTCNA?
• Introducción a RouterOS y productos

RouterBOARD
• Provee un mayor panorama de las capacidades
de RouterOS y lo que puedes hacer con los
productos RouterBOARD.
• Te facilitará un fundamento sólido y
herramientas valiosas para hacer tu trabajo.
4
Objetivos del Curso
Al finalizar el curso el estudiante:

• Estará familiarizado con los productos
RouterOS y RouterBOARD.
• Podrá configurar, administrar y hacer
troubleshooting básico de routers MikroTik.
• Proveer servicios básico a clientes o empresas.
5
Otros..
• Este curso está basado en RouterOS 6 y

RB951G-2HnD
 Módulo 1 está basado en ROS 5.26
6
IMPORTANTE
En consideración hacia los demás

estudiantes e instructor:
• Teléfono u otro en modo silencioso

• Tomar llamadas fuera del salón
7
Introducción
Módulo 1
8
RouterOS y RouterBOARD
9
Que es RouterOS?
• MikroTik RouterOS es el sistema operativo del

RouterBOARD.
• Tiene todo los features necesarios para ISP o
administrador de redes tales como routing,
firewall, bandwidth management, wireless
access point, backhaul link, hotspot gateway,
VPN server y más.
10
Que es RouterOS?
• RouterOS es un Sistema operativo basado en el

Kernel v3.3.5 de Linux y provee toda las
funcionalidades en una simple y rápida
instalación con una interfaz o GUI fácil de
utilizar.
11
Que es RouterBOARD?
• Una gama de soluciones de hardware creadas

por MikroTik para poder cumplir con
necesidades de redes alrededor del mundo
• Todos operan con RouterOS.
www.mikrotik.com
www.routerboard.com
12
Soluciones Integradas
• Estas son provistas completas con cajas y

powersupplies.
• Listas para utilizar y preconfiguradas con las
configuraciones básicas.
• Lo único que tienes que hacer es conectarlas al
internet, oficina o casa.
13
RouterBOARD (boards solamente)
• Motherboard pequeños. Tu escoges caja,

powersupply e interfaces a utilizar.
• Perfectos para tu propio ensamblaje, proveen la

mayor personalización y configuración física.
14
Enclosures
• Cajas Indoor y Outdoor para RouterBOARDs.

Es seleccionado basado en:
 La localización a ser instalada
 El modelo de RouterBOARD
 El tipo de conección necesitada (USB, antennas,
etc.).
15
Interfaces
• Módulos ethernet, fiber SFPs o tarjetas wireless

para expandir la funcionabilidad de un
RouterBOARD o PCs con sistema RouterOS.
• Nuevamente, la selección es basada en tus
necesidades
16
Accesorios
• Estos son hechos para productos MikroTik –

power adapters, mounts, antennas y PoE
injectors.
17
MFM
• Con el programa MFM (Made for MikroTik)

tienes aún mas opciones adicionales para crear
tu propia solución o router.
18
Porque obtener un router integrado?
• Puedes trabajar con varias necesidades

• Opciones add-on adicionales
• Mínimo o Cero requerimiento de expansión
• Configuración predefinida
• Simple solución a su vez eficiente
19
Router integrados, ejemplos
RB951G-2HnD
• Excelente para Casa
o SoHo
• 5 puertos Gbps
• Wi-Fi 2.4Ghz
integrado
• Licencia Nivel 4
20
Routers integrados, ejemplos
SXT Sixpack
(1 OmniTIK U-5HnD with 5 SXT-
5HPnD)
• Excelente para WISP o
empresa con oficinas
remotas
• 5 puertos 100Mbps
• (OmniTik)
• 5 radios 5Ghz 802.11a/n
• Puede cubrir hasta 5Km
entre oficina principal y
remotas
21
Routers integrados, ejemplos
CCR1036-12G-4S
Cloud Router
Modelo Elite
• Excelente para ISPs o redes de

compañías
• 1 Unidad rack
• 12 puertos Gbps
• Puerto Serial, USB y touch
screen
• 4GB RAM, puede utilizar
cualquier tamaño de RAM
SO-DIMM
22
Nota de interés
• Los nombre de los routers son asignados

dependiendo su capacidad, ejemplos:
 CCR : Cloud Core Router
 RB : RouterBoard
 2, 5 : 2.4GHZ or 5GHz wifi radio
 H : High powered radio
 S : SFP
 U : USB
 i : Injector
 G : Gigabit ethernet
23
Porque construir tu propio router?
• Atacas una variedad de necesidades propias

• Muchas opciones add-on y expansión
• Configuraciones customizables
• Puede ser integrado en equipos o gabiente
existente de clientes
• Solución mas completa para necesidades
particulares
24
Routers customizados, ejemplos
Flexible CPE
• RB411UAHR
 1 puerto 100Mbps
 1 radio 2.4GHz radio (b/g)
 Licencia Nivel 4
• Añade Power supply o
módulo PoE
• Añade enclosure 3ero
• Añade modem 3G PCI-E
25
Routers customizados, ejemplos
HotSpot potente
• RB493G
 9 puertos giga
 Licencia nivel 4
• Añade power supply o
modulo PoE
• Añade R2SHPn (tarjeta 2.4GHz)
• Añade R5SHPn (tarjeta 5Ghz)
• Añade enclosure 3ero
• Añade tarjeta microSD
26
Primera vez accediendo el router
27
Explorador de internet
• Forma intuitiva de conectarse a un router con

RouterOS.
28
Explorador de Internet
• Conectas cable Ethernet al router

• Ejecutas explorador de internet
• Entras IP del router
• Si solicita login, usas “admin” sin contraseña
29
Internet browser
• Ejemplo:
30
WinBox y MAC-Winbox
• WinBox es la interface propietaria de MikroTik

para acceder los routers
• Puede ser descargado desde la página de
MikroTik.com o del mismo router
• Es utilizado para acceder a través de IP (OSI
Layer 3) o MAC (OSI Layer 2)
31
WinBox y MAC-Winbox
• En el navedor de
internet buscas
abajo donde se
muestran los
distintos iconos,
“click y save”.
32
WinBox y MAC-WinBox
• Ejecutas WinBox.
• IP 192.168.88.1 luego
“Connect”
• Pantalla default:
 “OK”
33
WinBox’s menus
• Toma 5 minutos para navegar los menus

• Toma nota en especial de lo siguiente:
 IP  Addresses
 IP  Routes
 System  SNTP
 System  Packages
 System  Routerboard
34
Console port
• Requiere que
conectes la
computadora al
router con un cable
serial
(RS-232 port).
 Default is
115200bps, 8 data
bits, 1 stop bit, no
parity
35
SSH y Telnet
• Herramientas IP estandar para acceder

• Comunicación con Telnet es “clear text”
 Disponible en la mayoría de sistemas operativos
 Inseguro!!
• Comunicación con SSH es encriptado
 Seguro!!
 Múltiplesherramientas tales como PuTTY
(http://www.putty.org/)
36
CLI
• Command Line Interface

• Es la interface utilizada cuando conectas con
Telnet, SSH y Serial
• Necesario en especial si utilizarás scripts!
37
Configuración Inicial (Acceso al
Internet)
38
Con o sin configuración básica?
• Puede que tengas o no una configuración básica

cuando instalas desde inicio
• Puedes escoger no iniciar con configuración
básica por default
• Verifica esta página para ver como se
comportaría tu router con configuración básica
incluida:
http://wiki.mikrotik.com/wiki/Manual:Default_Configurations
39
Configuración básica
• Dependiendo de tu hardware obtendrás

configuración básica, el cual puede incluir
 WAN port
 LAN port(s)
 DHCP client (WAN) and server (LAN)
 Basic firewall rules
 NAT rule
 Default LAN IP address
40
Configuració básica
• Cuando te conectas
por primera vez con
WinBox escojes
OK”
• Ahora el router
inicia con la
configuración
básica predefinida.
41
Sin configuración
• Puede ser utilizado en ocasiones donde la

configuración básica no es necesaria, ejemplo:
 No hay necesidad de reglas de firewall
 No hay necesidad de NAT
42
Sin configuración
• Los pasos mínimos para configurar acceso

hacia el internet si tu router no tiene la
configuración básica:
 LAN IP addresses, Default gateway and DNS server
 WAN IP address
 NAT rule (masquerade)
 SNTP client and time zone
43
Actualizando el router
44
Cuando actualizar?
• Corrección de un bug.
• Se requiere un nuevo Feature.
• Funcionamiento Mejorado.
NOTA: Siempre leer el changelog!!
45
Procedimiento
• Requiere planificación.
 Pasos pueden requerir un orden preciso.
• Requiere validación…
y validar…
 y seguir validando!!
46
Antes de actualizar
• Conoce la arquitectura (mipsbe, ppc, x86,

mipsle, tile) que vas a actualizar.
 Duda? Winbox indica la arquitectura en la extrema
izquierda
• Conoce que archivos son requeridos:
 NPK : Imagen base de RouterOS image con los
paquetes standard (Siempre)
 ZIP : Paquetes adicionales (Depende la necesidad)
 Changelog : Indica los cambios (Siempre)
47
Como actualizar
• Obtienes los archivos de Mikrotik.com

 Downloads
48
Como actualizar
• 3 Maneras
 Descargas el archivo y lo copias directo al router.
 “Check for updates” (System -> Packages)
 Auto Upgrade (System -> Auto Upgrade)
49
Descargando los archivos
• Lo copias al router a través del menu en

“Files”.
Ejemplo de archivo:
 routeros-mipsbe-5.25.npk
 ntp-5.25-mipsbe.npk
• Reinicio
• Valida el estado del router
50
Verificando actualizaciones
(con /system packages)
• En el menú
“System -> Packages”
• Click en “Check for
Updates” luego
“Download & Upgrade”
• Reinicia automáticamente
• Valida paquetes y estado
del router
51
Actualización Automática
• Copia todo los paquetes para todo los routers a

un router interno del network
• Configuras los routers para que apunten al que
contendrá los paquetes
• Presenta paquetes disponibles
• Selecciona y descarga los paquetes
• Reinicia y valida el estado del router
52
Actualización Automática
53
Actualización firmware
RouterBOOT
• Verificar version actual
[admin@MikroTik] > /system routerboard print
routerboard: yes
model: 951-2n
serial-number: 35F60246052A
current-firmware: 3.02
upgrade-firmware: 3.05
[admin@MikroTik] >
54
Actualización firmware
RouterBoot
• Actualiza si es requerido (requerido en el
ejemplo)
[admin@MikroTik] > /system routerboard upgrade
Do you really want to upgrade firmware? [y/n]
y
firmware upgraded successfully, please reboot for changes to
take effect!
[admin@MikroTik] > /system reboot
Reboot, yes? [y/N]:
55
Manejar logins de RouterOS
56
Cuenta de usuarios
• Crea cuentas de usuarios para:

 Manejar privilegios
 Verificar actividades por usuarios
• Crea grupos para
 Mayor flexibilidad cuando asignes
Privilegios.
57
Manejar Servicios de RouterOS
58
IP Services
• Administra IP Services para:

 Limitar uso de recursos (CPU, memory)
 Limitar vulnerabilidades (Puertos Abiertos)
 Cambiar puertos TCP
 Limitar IPs aceptadas o subnets
59
IP Services
• Para manejar ve a “IP -> Services”

• Habilita o deshabilita lo requerido.
60
Acceso a IP Services
• Doble-click a service
• Si es necesario
especifica que hosts o
subnets pueden accesar
el servicio,
- Muy Buena práctica el
limitar ciertos servicios a
administradores solamente.
61
Manejar configuraciones de
respaldo (Backup)
62
Tipos de respaldos (backups)
• Binary
• Configuration export
63
Binary backup
• Backup completo del sistema

• Incluye contraseñas
• Asume que la restauración será en el mismo
router
64
Export files
• Configuración complete o
parcial
• Genera un script file o lo
muestra en terminal
• Utiliza “compact” para
mostrar no
configuraciones default
(default en ROS6)
• Utiliza “verbose” para
mostrar configuraciones
default
65
Archivando backup files
• Luego de generrado, cópialos a un servidor u

otro.
 Con SFTP (modo seguro)
 Con FTP (si habilitado en IP Services)
 Utiliza drag and drop desde “Files”
• Dejar backups en el mismo router NO es una
estrategia correcta de respaldo
 No existen tape o CD backups para routers
66
Licencias RouterOS
67
Niveles de licencias
• 6 niveles de licencias
0 : Demo (24 hours)
 1 : Free (very limited)
 3 : WISP CPE (Wi-Fi client)
 4 : WISP (required to run an access point)
 5 : WISP (more capacities)
 6 : Controller (unlimited capacities)
68
Licencias
• Determina las capacidades permitidas en tu

router.
• RouterBOARD ya viene con licencia pre-
instalada.
 Niveles varian
• Licencias para sistemas x86 tienen que ser
compradas.
 Licencia solo es válida para un solo sistema.
69
Actualizando licencias
• Niveles son mostrados en

http://wiki.mikrotik.com/wiki/Manual:License
• Usos típicos
 Level 3: CPE, wireless client
 Level 4: WISP
 Level 5: Larger WISP
 Level 6: ISP internal infrastructure (Cloud Core)
70
Uso de licencias
• NO se puede actualizar nivel de licencia.

Compra el correcto requerido desde inicio.
• La licencia es atada al disco el cual es
instalado. Cuidado con formatear el disco con
herramientas que no sean de Mikrotik.
• Lee la página de licencias para mas info!
71
Netinstall
72
Usos de Netinstall
• Reinstala RouterOS si el original es

corrompido o afectado
• Reinstala RouterOS si la contraseña de
“admin” es perdida
• Se encuentra en la página de MikroTik en el
área de “Download”
73
Procedimiento: no serial
Para RBs sin puerto serial COM.

• Conecta computadora al puerto Ethernet 1
 Asigna una ip y máscara estática
• Ejecuta Netinstall
 Cliquea
“Net booting” y asigna un IP en el mismo
segmento de la computadora
• En “Packages”, cliquea “Browse” y selecciona
el directorio que contiene el paquete NPK.
74
• Presiona el botón de “reset” hasta que el Led

“ACT” se apague
 Elrouter aparecerá en la sección “Routers/Drives”,
luego selecciónalo!
• Escoge la version de RouterOS en la sección
“Packages”
 Elbotón de “Install” ahora se encuentra disponible,
click!
75
• La barra de progreso se tornará azul mientras el

archive NPK es transferido
• Al finalizar, reconecta la computadora en un
puerto y acceso al internet en el Puerto 1
• Utiliza MAC-Winbox para conectarse ya que
configuración estará en blanco
 Aún si “Keep old configuration” esteaba
seleccionado!!
76
• Sube configuración de backup y reinicia (La

importancia del manejo correcto de archivos de
backup!)
• Si el problema fue por pérdida de contraseña,
rehacer la configuración desde inicio, ya que
contraseña utilizará la misma contraseña
olvidada.
 (La importancia del manejo correcto de accesos!)
77
Procedimiento: con Serial
Para RBs con puerto serial COM

• Simimilar
 PC en Puerto ether 1 con ip estático
 Conecta Puerto serial de PC a Puerto COM del
RouterBOARD’s
 Ejecuta Netinstall (configura el parámetro “NET
Booting”)
 Selecciona el directorio con el NPK
78
• Reinicia el router
• Presiona “Enter” cuando lo indique
• Presiona “o” para boot device
• Presiona “e” para Ethernet
• Presiona “x” para salir del setup (router
reinicará)
79
 Routeraparecerá en la sección
“Routers/Drives”
 Selecciónalo
• Selecciona el paquete RouterOS que será
instalado
• Cliquea “Keep old configuration”

El botón “Install” ahora estará dispnoible, click!
80
• La barra de progreso se tornará azul mientras el

NPK es transferido.
• Una vez finalizado, reconecta la computadora
en un pueto válido y el internet al Puerto 1
• Utiliza WinBox para reconectar
 La opción “Keep old configuration” SI funciona
aquí!!
81
Procedimiento: con serial
• Reinicia el router
• Presiona “Enter” cuando lo indique
• Presiona “o” para boot device
• Presiona “n” para NAND luego Ethernet on fail
 Si
se te olvida, siempre harás boot desde el
Ethernet
• Presiona “x” para salir (reiniciará el router)
82
Recursos adicionales
83
Wiki
http://wiki.mikrotik.com/wiki/Manual:TOC
• Wiki oficial de RouterOS
• Documentación de todo los comando
RouterOS
 Explicación
 Sintaxis
 Ejemplos
• Tips adicionales!!
84
Tiktube
http://www.tiktube.com/
• Recurso de videos de varios temas
• Presentado por instructors, partners e ISPs
• Puede incluir presentaciones en ppt o pdf
• Varios lenguajes
85
Forum
http://forum.mikrotik.com/
• Moderado por el equipo de Mikrotik
• Panel de discusion de varios temas
• MUCHA informacion aquí!!
- Podrás encontrar soluciones a tus
problemas!
• Primero investiga y busca antes de postear una
pregunta. Estandard ética de foros!!
86
Mikrotik support
support@mikrotik.com
• Procedimientos explicados en
http://www.mikrotik.com/support.html
• Soporte de MikroTik
-15 days (license level 4)
-30 days (license level 5 and level 6) si
licencia fue comprada con ellos
87
Distributor / Consultant support
• Soporte es provisto por Distribuidor cuando

equipo fue comprado al mismo.
• Consultores disponibles para ser reclutados en
trabajos especiales
Visita http://www.mikrotik.com/consultants.html
88
Es tiempo de práctica!
Fin del modulo 1
89
Laboratorio
• Metas del laboratorio

 Familiarizarse con métodos de accesos
 Configurar acceso al internet
 Actualizar RouterOS con el mas reciente
 Crear un grupo de acceso limitado, asignar un
usuario
 Manejar IP services
 Hacer un backup con configuración actual y
restaurar luego de hacer factory reset
90
Setup
91
Laboratorio : Paso 1
• Configura tu computadora con el ip estático

que pertenece a tu POD
 Asigna Subnet Mask
 Asigna Default gateway (tu router)
 Asigna DNS server (tu router)
• Actualiza a RouterOS 6
• Una vez reiniciado el router, conéctate a el de
manera que tengas acceso completo
92
• Configura el IP de LAN del router

• Configura el IP de WAN del router
• Configura regla de NAT para internet*
• Configura el DNS del router
• Configura default route del router*
93
• Añade un group con el nombre “minimal”

 Dale derechos de “telnet”, “read” y “winbox”
• Añade un usuario con tu nombre
 Asígnalo al group “minimal”
 Asigna una contraseña
• Asigna una contraseña para usuario “admin”
 Asigna que sea “podX”, donde “X” es tu número de pod
 Accede con tu usuario y contraseña
 Abre un “New Terminal”. Que sucedió?
94
• Asegúrese que el RouterBoard firmware esté

actualizado.
• Copia el paquete NTP (NPK file)
 Verifica: System -> SNTP Client
 Verifica: NTP Client y NTP Server
 Que sucedió?
• Luego de reiniciar el router
 Verifica: -> SNTP Client
 Verifica -> NTP Client and NTP Server
• Configura el NTP client y Clock’s timezone
95
Laboratorio: Paso 5
• Accesar el router con Telnet

• En el CLI deshabilitar los IP Service:
 SSH
 WWW
• Accesar el router via WEB
 Que sucedió?
96
Laboratorio: Paso 6
• Abre “New Terminal” y “Files”

• Exporta la configuración a un archivo llamado
“modulo1-podX” (X es tu pod)
• Haz un backup binario (binary backup)
• Copia ambos archivos a tu computadora
 Abre ambos y mira el contenido
 Borra la regla de NAT e importa el backup exportado
para restaurar la regla.
97
Laboratorio: Paso 7
• Mira la licencia del RouterBOARD

 Verifica
el nivel de licencia de tu router.
 Que capacidades tiene tu router?
98
Fin del Laboratorio 1
99
Routing
Módulo 2
100
Routing Overview
101
Conceptos de Routing
• Routing es un proceso en el Layer 3 del modelo
OSI.
• Routing define donde el tráfico de
comunicación será enviado (forwarded, sent).
• Es requerido que multiples subnets se puedan
comunicar.
 Aún si se encuentran en el mismo “wire” (hub,
switch u otro que permita comunicación)
102
Conceptos de Routing: Ejemplo 1
Computadoras no se podrán comunicar!!
103
Conceptos de Routing: Ejemplo 2
Computadoras Si se podrán comunicar.
104
Route Flags
• Las Rutas tienen estatus. En este curso nos
familiarizemos con:
X : Disabled
 A : Active
 D : Dynamic
 C : Connected
 S : Static
105
Route flags
• Disabled : Ruta deshabilitada. No tiene

influencia en el proceso de enrutamiento.
• Active : Ruta activa y Sí se toma en cuenta en
el proceso de enrutamiento.
• Dynamic : Ruta dinámica creada por el proceso
de enrutamiento, no manualmente.
106
Route flags
• Connected : Rutas son creadas para cada IP

subnet que tenga una interface active en el
router.
• Static : Ruta creada manualmente para forzar
redireccionamiento de tráfico o paquetes hacía
un destino (gateway) en específico.
107
Static Routing
108
Static routes
• Rutas a subnets que existen en un router son
automáticamente creadas y conocidas
solamente por ese router.
• Que sucede si necesitas alcanzar un subnet que
exista en otro router? Configuras una ruta
estática.
• Una ruta estática es una manera manual de
redirigir (forward) tráfico a subnets no
conocidos.
109
Static routes
110
Static routes
• Entendiendo los campos…
 Flags : El estado de cada ruta,
 Dst. Address : IP o Subnet de destino para el cual la ruta es utilizada.
 Gateway : Típicamente, es el IP address del próximo salto (next hop) el
cual recibirá los paquetes destinados al “Dst. Address”.
 Distance : Valor utilizado para selección de ruta. En configuraciones
donde varias rutas son posibles, la ruta con el valor menor es la preferida.
 Routing Mark : Tabla de ruta (Routing table) que contiene esta ruta.
Tabla de ruta (routing table) default es “Main”.
 Pref. Source : La dirección IP de la interface local del router resposanble
de redireccionar (forward) los packets enviados por el subnet anunciado
(advertised).
111
Porqué utilizar rutas estáticas (static
routes)?
• Hace la configuración mas simple en un
network pequeño donde usualmente no habrá
crecimiento.
• Limita el uso de los recursos del router
(memory, CPU)
112
Limites de rutas estáticas
• No es escalable.
• Configuación manual es requerida para cada
nuevo subnet el cual se requiera alcanzar.
113
Límites de rutas estáticas:
Ejemplo:
Tu red crece y tienes la
necesida de agregar enlaces
a routers remotos.
(Asumiendo que cada
router tiene 2 redes LAN y
1 red WAN)
114
Límites de rutas estáticas:
Ejemplo:
Router 3 a 5: 9 rutas
Router 2: 2 rutas
Router 6 y 7: 4 rutas
Total de 15 rutas estáticas

manualmente! 
115
Creando rutas
• Para anadir una ruta
estática :
 IP -> Routes
 + (Add)
 Especifica subnet y
máscara
 Especifica “Gateway”
(next hop)
116
Configurando el default route
• La ruta 0.0.0.0/0
 Conocido como el Default route.
 Esel destino donde todo tráfico a subnets o IPs

desconocidos será enviado.
 Al igual es una ruta estática.
117
Manejando rutas dinámicas
• Según mencionado, rutas dinámicas son
añadidas por el proceso de enrutamiento no por
el administrador.
• Es Automático.
• No puedes manipular rutas dinámicas. Si la
interface donde la ruta dinámica está creada se
desconecta o se va “down”, también la ruta
dinámica se elimina.
118
Manjenado rutas dinámicas
Ejemplo:
119
Implementando enrutamiento estático en un
simple network
Considera lo siguiente:
120
Implementando enrutamiento estático
• Ejercicio:
Asumiendo que las direcciones IP han sido

entradas, Que comandos usarías para lograr
completa comunicación entre ambos subnets
(LAN1 and LAN2)?
(Respuesta en el próximo slide )
121
Implementando enrutamiento estático
• router-1
/ip route
add gateway=172.22.0.18
add dst-address=10.1.2.0/24 gateway=10.0.0.2
• router-2
/ip route
add gateway=10.0.0.1
122
Es tiempo de ponerlo en práctica!
Fin del módulo 2
123
Laboratorio

 Lograr conectividad a otros POD LANs
 Validar el uso de default route
 Lograr ver y explicar los Route Flags
124
Laboratorio : Setup
125
• Eliminar la ruta default creada en el módulo

anterior
• Hacer ping a computadoras en otros PODs,
Resultado?
• Crear rutas estáticas a los demás POD LANs
• Hacer ping a computadoras en otros PODs,
Resultados?
126
• Abrir un explorador de internet y trata de

accesar la página de mikrotik.com. Resultado?
• Crear la ruta default hacía el router del Trainer
• Trata de accesar nuévamente la página.
Resultado?
127
Fin del laboratorio 2
128
Bridging
Módulo 3
129
Bridging overview
130
Conceptos de Bridging
• Bridges funcionan en OSI Layer 2.

• Tradicionalmente, eran utilizados par unir 2
segmentos de tecnología distinta o similar.
131
Conceptos de Bridging
• Bridges también eran utilizados para crear
pequeños collision domains .
 Lameta era mejorar el funcionamiento reduciendo el
tamaño del subnet. Especialmente eran muy útiles
antes de la llegada de los switches.
• Switches son conocidos como bridges multi-
puertos (multi-port)s
• Cada Puerto es un collision domain de UN nodo o
aparato!
132
Ejemplo 1
• Todo las computadoras se pueden comunicar entre sí
• Cada una debe esperar que todas las computadoras
dejen de comunicar antes que una pueda comenzar a
transmitir!
133
Ejemplo 2
• Toda las computadoras se escuchan entre sí.
• Toda las computadoras ahora solo comparten la mitad del
“wire”
• Aún deben esperar que cada una termine de transmitir antes de
que otra pueda hacerlo pero el grupo se ha reducido a la mitad.
• Mejor funcionamiento para todas!
134
Utilizando bridges
• Por default, en routers MikroTik, puertos
Ethernet son asociados (slave) a un Puerto
master
 Ventaja : Switching en velocidad wire (a través del
switch chip, no por software).
 Desventaja : No hay visibilidad del tráfico en los
puertos slave. No es deseable si monitoreas los
puertos y la red con SNMP.
135
Utilizando bridges
• Si eliminas la configuración de bridge master y

slave es necesario crear un bridge para unir los
puertos de LAN.
 Ventaja : Visibilidad total de los puertos añadidos.
 Desventajas : Switching se por medio de software.
Aumento de procesamiento CPU. Menor que óptimo
la transferencia de paquetes.
136
Creando bridges
• Utilizar los menus

 Bridge
 Add (+)
 Name the bridge
 Click “OK” and you’re done!
137
Creando bridges, ejemplo
138
Añadiendo puertos a bridges
• Cuando añades puertos esto define cuales

pertenecen al mismo subnet.
• Distintas tecnologías pueden ser añadidas tales
como interface Wi-Fi.
139
Añadiendo puertos a bridges
• Paso para añadir puerto

 Bridge
 Portstab
 Add (+)
 Escoge la interface y el bridge
 Cliquea “OK” y listo!
140
Añadiendo puertos a bridges,
ejemplo
141
Bridging redes wireless
• Los mismo se puede hacer con interfaces

wireless.
• Lo veremos en el próximo módulot. Un poco
de paciencia!   
142
Tiempo de práctica!
Fin del módulo 3
143
Laboratorio
• Metas del lab

 Crear un bridge
 Asignar puertos al bridge
 Validar que al seguir estos pasos puedas asignar todo
los puertos al mismo subnet!
144
Laboratorio : Setup
145
• Ejecuta “ping –t –w 500 192.168.0.254”.
• Desconecta cable de network del puerto (#5) y
conéctalo a otro puerto.
• Resultados?.
• Deja la panatalla de CMD en tu computadora
abierta hacienda ping y visible a través de este
laboratorio.
146
• Conéctate a tu router de forma tal que puedas
trabajar con el .
• Crea una interface Bridge. Nómbrala “LAN” y
deja los demás parámetros por default.
• Asígnale el IP address de tu POD
(192.168.X.1) a la interface Bridge.
• Resultados?
147
Laboratorio: Paso 3
• Abre la ventaja de “Interfaces” y verifica cuales
están corriendo.
• Asigna puertos #2 al #5 a la interface bridge
“LAN”.
• Resultados? Cuando comenzó a responder el
ping nuévmaente?
• Cambia tu cable a unos de los puertos entre #2
al #5. Que sucedió? Que significa “I” en la
columna.
148
149
Wireless
Módulo 4
150
Conceptos 802.11
151
Frecuencias
• 802.11b
 2.4GHz (22MHz bandwidth), 11Mbps
• 802.11g
 2.4GHz (22MHz bandwidth), 54Mbps
• 802.11a
 5GHz (20MHz bandwidth), 54Mbps
• 802.11n
 2.4GHz or 5GHz up to 300Mbps, if using 40MHz
channel and 2 radios (chains)
152
Frecuencias
• 802.11b,g frequency range

• Canales 1, 6 and 11 non-overlapping
153
Frecuencias
• 802.11a frequency range

• 12 20MHz wide channels and 5 40MHz
channels
154
Frecuencias
• Bandas
 Mikrotik
soporta ambas bandas 5GHz (802.11a/n) y
2.4GHz (802.11b/g/n)
155
Frecuencias
• El feature “Advanced Channels” provee
posibilidades extendidas en la configuracion de
interface wireless:
 scan-list cubre multiples canales y tamaños de
canales (channel width)
 Frequencies non-standard channel center
(especificado con KHz granularity) para hardware
que lo soporte;
 non-standard channel widths (especificado con KHz
granularity) para hardware que lo soporte
156
Frecuencias
• Basic-rates son las velocidades que un cliente (CPE) DEBE
tener soporte para poder conectar al AP
• Supported-rates son las velocidades posibles luego que se logra
la conección (varios factores pueden influenciar en lograr la
velocidad mas alta)
• Data-rates son los rates aceptados según el estandar a ser
utilizado:
 802.11b : 1 a 11Mbps
 802.11a/g : 6 a 54Mbps
 802.11n : 6 a 300Mbps, de acuerdos a factores tales
como channel bandwidth (20 or 40 MHz), Guard
Interval (GI), and chains
157
Frecuencias
• HT chains
 Son antenas para un radio
 Utilizado para 802.11n y también es un factor en
cuanto a la capacidad de transferencia (Throughput)
158
Frecuencias
• Frequency mode
 Regulatory-domain : Limita canales y TX power
basado en las regulaciones del país (country
regulations)
 Manual-txpower : Igual que la anterior pero sin
restricción de TX power.
 Superchannel : Ignora toda restricción. (equivalente
a compliant test)
159
Frecuencias
• “Country”: Frecuencias y power son basadas en

las regulaciones del país (country). Utilizando
“no_country_set” configurará canales
aprovados por FCC.
160
Configurando un link wireless simple
• Configuración del Access Point

 Mode : ap bridge
 Band : Basado en las capacidades el AP y
cliente. Si el AP soporta múltiples bandas
(ej: B/G/N) selecciona la mejor opción
que cubra tu necesidad.
 Frequency : Cualquiera de los canales
disponibles (hablaremos de esto mas
adelante!!)
 SSID : La identidad del wireless network
y que los clientes buscarán.
 Wireless protocol : Basado en las
capacidades el AP y cliente. Para uso
“normal” AP a PC utiliza 802.11
161
• IMPORTANTE CONFIGURA
UN SECURITY-PROFILE!
 El no hacerlo es una vulnerabilidad en
tu network y permite acceso
completo.
162
• Para añadir un security profile

 Click on “Add” (+)
 Name : Nombre del profile
 Mode : Type of authentication to use
 Authentication types : Methods used
to authenticate a connection
 Ciphers : Encryption methods
163
• Ahora puedes utilizar tu Nuevo

security profile y aplicarlo en la
configuración.
164
• Volvemos a frecuencias! Cual

utilizar?
 Cliquea “Snooper”
 Pendiente! Esto DESCONECTA la
interface wlan y todo cliente que esté
conectado
165
 Ahora tienes un panorama de

toda las frecuencias en uso
 Selecciona un canal que esté no
esté en uso o al menos con
utilización baja
166
• Configuración de cliente
 Mode : station
 Band : Igual al AP.
 Frequency : No es necesario
para clientes
167
• Configuración de cliente
 SSID : Igual al AP que quieres
conectar
 Wireless protocol : Igual al AP que
quieres conectar
 Creand un security profile, según se
configuró con el “access point” y se
aplicó. Estos parámetros TIENEN
que ser iguales
168
MAC address filtering
• MAC address filtering es una forma

adicional de limitar conecciones de
clientes.
• Para añadir una entrada en el AP se
crea un Access List (Solo en AP!!),
seleccionas un nodo registrado y
cliqueas “Copy to Access list”
169
• Ahora tienes una entrada!
170
• Access lists son utilizados en

APs para restringir
conecciones clientes
específicos y controlar sus
parámetros.
 Las reglas son verificadas
secuencialmente
 Aplica solo a la primera regla
creada
 Si la opción “Default
Authenticate” (“Wireless” tab in
“Interface -> wlan” screen) NO
está escogida, clientes que no
hagan match con la lista no se
podrán conectar 171
• Authentication le dirá al “security-

profile” del AP que determine si la
conección sea aprovada. Si la opció
no está escogida la autenticación
fallará siempre.
• Forwarding le dirá al AP que
clientes pueden comunicarse entre sí
sin la asistencia del mismo AP. (hace
bypass de reglas de firewall que
hayan sido creadas). Para mayor
seguridad debes dejarlo sin escoger
172
• AP Tx Limit restringe el data rate

del AP hacia el cliente
 Si la configuración está puesta demasiado
baja puede ocasionar desconecciones.
Valida primero!
• Client TX Limit restringe el data rate
del Cliente al AP
 Solo aplica en conexiones donde Cliente es
RouterOS, ya que esto es propietario
 Nuevamente, valida primero para
asegurarte el funcionamiento correcto.
173
• Connect lists (en estación de cliente)

asigna prioridades basado en
potencia se señal y parámetors de
seguridad que indicant a que AP el
cliente puede conectarse.
 Reglas son verificadas
secuencialmente
 Aplica solo a la primera regla
 Si la opción “Default Authenticate”
(“Wireless” tab in “Interface -> wlan”
screen) NO está escogidad y no hay
match de regla connect-list, cliente
intentará la conección en la mejor
señal y parámetros de seguridad
174
• Ejemplo : Esta estación o cliente

no tiene SSID o Security profile
definido, pero como hace match
con un connect-list la conección
fue establecida
175
• Nota interesante: Si el campo de

SSID (en station connect rule) está
vacía, el cliente conectará a
cualquier SSID que haga match con
el Security profile.
• La interface SSID también debe
estar vacía!
176
• Default-authentication : Especifica el
comportammiento luego de verificar el acceso y el
connect lists.
 Para APs, si está configurado “Yes”, permitirá conecciones si
no hay un access-list, SSID y security profile. En otras
palabras, no habrá conexiones permitidas.
 Para stations o clientes, si está configurado “Yes”, si permitirá
conección si no hay un match de connect-list, SSID y security
profile. En otras palabras nuevamente, no habrá conexiones
permitidas.
177
• Default-authentication
 Si AP no tiene access list y default-authenticate no
está seleccionado, clientes nunca se conectarán
 Si la estación o cliente no tiene un connect list y
default-authenticate no está seleccionado nunca se
conectará al AP.
178
• Default-forwarding : Especifica el
comportamiento de transmisión luego de
validar el access lists.
- Si está en “Yes”, permitirá comunicación en
Layer 2 entre clientes.
- Si está en “No”, clientes se comunicarán entre sí
en Layer 3 si las reglas de Firewall lo permite.
179
Wireless security and encryption
• WPA, WPA2
 Wi-Fi Protected Access (I and II)
 Protocolo de autenticación creados luego de la
debilidad encontrada en WEP
 Si está correctamente configurado, WPA es muy
seguro

Debilidad a ataques de brute force fueron encontrados
cuando se utiliza WPS (Wi-Fi Protected Setup)

WPS no es utilizado por Mikrotik
180
• WPA
 Utilizado para reemplazar WEP
 Utiliza TKIP como protocolo de encripción

Genera una llave por cada paquete nuevo transmitido
181
• WPA2
 Utiliza CCMP como protocolo de encripción

Basado en AES

Mas fuerte que TKIP
 Es mandatorio en equipos certificados Wi-Fi desde el 2006.
 Debe ser utilizado para lograr mayores data rates o de otra
manera se limita a 54Mbps
(http://www.intel.com/support/wireless/wlan/4965agn/sb/cs-025643.htm)
182
• WPA-Personal
 Conocido también como WPA-PSK, está diseñado
para SOHO u Hogar
 No requiere servidor de autenticación
 La autenticación de cliente a AP es basada en una
llave de 256-bit key generada por el pre-shared key
(PSK), el cual puede ser una contraseña, frase o
ambos.
183
• WPA-Enterprise
 Conocido también como modo WPA-802.1X mode,
diseñado para redes empresariales
 Utiliza EAP para autenticación
 Requiere un servidor de RADIUS para la
autenticación
 Mas complejo para implementar, pero provee
features adicionales tales como: proteción contra
dictionary attacks en contraseñas débiles
184
Protocolos wireless MikroTik
• NV2 (Nstreme Version 2)

 Un protocolo propietario de MikroTik ya en su 2nda
version
 Para ser utilizado con tarjeta wireless Atheros 802.11
 Basada en TDMA (Time Division Multiple Access)
en vez de CSMA (Carrier Sense Multiple Access)
 Utilizado para mejorar funcionamiento en links de
larga distancia.
185
Protocolos wireless MikroTik
• Beneficios de NV2
 Aumento de velocidad
 Soporta mas conecciones de clientes en ambientes
mulitpoint (limite es de 511 clientes)
 Menos latencia
 No tiene limitación de distancia
 No tiene penalidad por distancias largas
186
Herramientas de monitoreo
• Hay varias herramientas que ayudarán analizar

que hay presente en el aire y así puedes
seleccionar la frecuencia que no tenga
interferencia (o al menos la que menos que
tenga)
187
• Wireless scan : Dos opciones
 Frequency usage
 Scan
188
• Wireless scan : Frequency
Usage
 Muestra toda las
frecuencias soportadas y
su utilización basado en
los AP de los neighbors
presentes
 También desconecta
clientes wireless que
estén conectados!
189
• Wireless scan : Scan
 Provee información
acerca de los Neighbor
APs
 También desconecta
clientes que estén
conectados!
190
• Snooper
 Provee información de
ambos Clientes y APs
presentes
 Sucede lo mismo 
191
Monitoring tools
• Snooper
 Provee información de
ambos Clientes y
Neighbor APs +
información de los
clientes
192
• Registration table : Utilizado para obtener

información de clientes estaciones (stations)
conectadas.
 Util solo en access points.
193
194
• Registration table
 Podemos ver estatus actual
de estaciones registradas
 Nota : Comentarios que
aparezcan encima de una
estación registrada
proviene del “Access List”
tab. Util para verificar bajo
cual criterio la estación o
cliente fue autenticado
195
Bridging wireless networks
• Station-bridge : Un modo propietario de

MikroTik para crear un bridge Layer 2 entre
routers MikroTik.
• Puede ser utilizado para extender un subnet o
segmento wireless a múltiples clientes.
196
YES!! Tiempo de laboratorio
Fin del módulo 4
197
Laboratorio
 Utilizar varias herramientas para analizar canales
utilizados y características de redes wireless, APs y
estaciones
 Configurar los PODs como cliente wireless para
contectar al AP del instructor
 Configurar los PODs como APs
 Familiarizarse con Access-list y Connection-List
198
Laboratorio : Setup
199
Laboratorio : Paso preliminar
• DETENTE, STOP, NO RESPIRES!!!

 Haz un binary backup de la configuración actual con
el nombre de:

Module3-podX donde X es tu número de POD
 Yasabes hacerlo, verdad?
 Que ventanas necesitas abrir?
200
• Ejecuta uno despues del otro:
 Frequency Usage

Anota los canales de mayor uso
 Scan

Haz un link entre frecuencias y SSIDs
 Snooper

Que puedes determinar de la red?

Que significa los símbolos a mano izquierda?
201
• Abre la ventana de “Bridge” y ve al tab de

“Ports”
• Utilizando los procedimientos aprendidos en
los módulos anteriores, añade la interface
“wlan1” al bridge “LAN”.
• Cierra la ventaja de “Bridge”
202
Laboratorio: Paso 3
• Abre la ventana de “Wireless” y asegúrate que

la interface “wlan1” esté habilitada.
203
Laboratorio: Paso 4
• Haz Double-click en “Interfaces” y ve a “Wireless”. También
puedes ir directo a “Wireless” en el menú. Luego cliquea
“Advanced Mode” y entra los siguientes parámetros:
 Mode : ap bridge
 Band : 2GHz-B/G/N
 Channel width : 20MHz
 Frequency : Odd pods use 2437, even pods use 2462
 SSID : podX
 Wireless protocol : 802.11
 Security Profile : default (recuerda solo haz esto en ambiente de prueba)
 Frequency Mode : Regulatory-domain
 Country : <where you are now>
 Default Authenticate is checked
204
Laboratorio: Paso 5
• Desconecta el cable entre tu laptop y el router.

El cable entre tu router y el instructor debe
permanecer.
• Configura tu laptop para poder conectarse a tu
router
• Verifica conectividad hacia el router e Internet
• Navega!
205
Laboratorio: Paso 6
• Haz un binary backup de la configuración

actual bajo el nombre:
 Module4a-podX donde X es el número de tu POD
• En la ventana “File List” selecciona module3-
podX y haz un restore “Restore”
• Escoge “yes” para reiniciar
206
Laboratorio: Paso 7
• Reconecta el cable a tu router

• Desconecta el cable de tu router que conecta
con el router del instructor
• Ahora no debes tener acceso al internet
207
Configuración Preliminar
• IP address para WLAN1
 192.168.252.podX
• Habilita la interface wlan1 interface si se encuentra
deshabilitada
• Security profile
 Name : WPA2
 Authentication types : WPA2 PSK
 Unicast and group ciphers : aes ccm
 WPA2 pre-shared key : mtcna123!
208
• Activa el tab de “Advanced Mode” en la interface de
configuración “Wireless”
• Necesitas conectarte al AP de la clase. Utiliza los
siguientes parámetros el cual DEBEN ser compatible
para poder conectar:
- Mode : Station
 Band : 2GHz-only-N
 SSID : WISP
 Radio name : WISP-PODX
 Wireless protocol : 802.11
 Security profile : WPA2
209
Laboratorio : Pas 10
 Frequency Mode : regulatory-domain
 Country : Usualmente, seleccionas el país donde el
AP será instalado.
 Deje “Default Authenticate” seleccionado por ahora
• Cliquea OK, y selecciona el tab “Registration”
en la ventana de “Wireless Tables”
• Debes ver el registrado el AP del instructor. Si
lo vez, estás conectado!
 But wait!!!
210
• Antes que puedas navegar al hay que corregir
el routing table
 Redefine el default gateway a: 192.168.252.254
 Redefine la ruta de tu POD vecino LAN interface
(192.168.Y.1) para que salga por 192.168.252.Y
 Hazle Ping al LAN de tu POD vecino (192.168.Y.1)

Resultado?
211
Fin de laboratorio 4
212
Network management
Módulo 5
213
ARP
214
ARP modes
• Significa “Address Resolution Protocol”

• Protocolo que une el IP (Layer 3) al MAC
Adddress (Layer 2)
• Usualmente es utilizado dinámicamente, pero
puede ser configurado estáticamente en
situaciones donde se requiera mayor seguridad.
215
ARP modes
• “ARP modes” le indica a RouterOS de que manera se trabajará
con ARP.
 Modes son configurados por interface
• Los “modes” son
 Enabled : Modo default. ARP requests son respondido y el ARP table se
popula automáticamente.
 Disabled : La interface no enviará o responderá a ARP requests. A los
demás se le DEBE indicar cual es el MAC address del router.
 Proxy ARP : El router responderá ARP request que venga de la red
conectada diréctamente (no importando origen)
 Reply only : El router responderá ARP request. El ARP table hay que
popularla estáticamente.
216
RouterOS ARP table
• El ARP Table muestra todo los ARP entries y la

interface de donde aprendió cada MAC
• El ARP table provee:
 ElIP address de equipos conocidos
 Los MAC addresses asociados a cada IP address
 Las interfaces de donde lo aprendieron
217
RouterOS ARP table
• Para mayor seguridad puedes hacer entradas de

ARP estáticamente para mayor seguridad
 Protégéde ARP poisoning / ARP spoofing
 Requiere mucho esfuerzo y manejo
218
ARP syntax
• Ver ARP table :
 /ip arp print
• Añadir una entrada estática:
 /ip
arp add address=172.16.2.222 mac-
address=11:22:33:44:55:66 interface=Bridge-PC
• Configurar ARP mode :
 /interface ethernet set ether04 arp=proxy-arp
219
DHCP server y client
220
DHCP server
• Significa Dynamic Host Configuration Protocol

• Es utilizado para provisionar IP address,
netmask, default gateway y adicionalmente
otros parámetros que sea requeridos o
solicitados por equipos o nodos.
221
DHCP server setup
• La interface que tiene configurado el DHCP-

server debe tener su propio IP address que NO
esté en el pool
- Un pool es un rango de direcciones IP que serán

utilizados para la disponibilidad de los equipos que
soliciten.
222
DHCP server setup
• En la ventana de DHCP-server simplemente le
das click a “DHCP Setup” y contesta las
preguntas:
 DHCP Server Interface
 DHCP Address Space
 Gateway for DHCP Network
 Addresses to Give Out
 DNS Servers (more than one can be entered)
 Lease Time
223
DHCP server setup
• Que hace el setup automático:

 Crea un IP Pool

Un pool de IPs para asignar
 Crea el DHCP server

Su nombre y parámetros (tal como la interface donde
aceptará solicitudes de dhcp)
 Crea el address space

El IP Network y varios parámetros adicionales
224
DHCP server setup
• Resultados de configuración automática
225
DHCP server setup
• DHCP puede ser configurado con opciones tales
como:
 42 : NTP Servers
 70 : POP3-Server
 Visita http://www.iana.org/assignments/bootp-dhcp-
parameters/bootp-dhcp-parameters.xhtml para ver mas
opciones.
• Nota Importante
 Si haz creado un ambiente en bridge, El DHCP Server DEBE
ser configurado a la interface Bridge. Si se configure en la
interface física, el DHCP server no funcionará
226
DHCP server syntax
• Configurar un DHCP scope

 /ip dhcp-server setup
• Configurar un DHCP option
 /ip
dhcp-server option add name=46-node-type
code=46 value=0x0008
227
DHCP server syntax
• Asignar un DHCP option a la red

 /ip dhcp-server network print (to view available
networks)
 /ip dhcp-server network set dhcp-option=46-node-
type numbers=1
• Asignar un WINS server a la red
 /ip
dhcp-server network set wins-
server=172.16.2.100 numbers=1
228
Configuración DHCP server “Networks”
• Ejemplo de
configuración
básica
• Ejemplo de
configuración
expandida
229
DHCP client
• Permite a las interfaces a solicitor direcciones IP
 El servidor remoto de DCHP suplirá:

Address

Mask

Default gateway

Two DNS servers (si ha sido configurado de tal manera)
 El DHCP client suplirá opciones configurables:

Hostname

Clientid (en la forma de MAC address)
• Normalmente es utilizado en interfaces que conectan
al internet.
230
DHCP client syntax
• Para configurar una interface con DHCP-client
 /ip
dhcp-client add interface=ether5 dhcp-
options=clientid,hostname
• Para ver y habilitar un DHCP client
 /ip dhcp-client print
 /ip dhcp-client enable numbers=1
• Para ver la dirección recibida en el DHCP
client
 /ip address print
231
Lease management
• La sección "/ip dhcp-server lease" provee
información acerca de los DHCP clients y
leases
• Muestra leases dinámicos y estáticos
• Se puede cambiar un lease dinámico a no
estático
 Muy util cuando unoo equipo necesita mantener el
mismo IP address.
 Alerta! Si cambias la tarjeta de red el IP cambiará
debido al cambio de MAC address
232
Lease management
• El DHCP Server puede ser configurado a

proveer solo direccions estáticas
• Clientes entonces solo reciben direcciones
predefinidas
• Evalua tus requerimientos antes de hacerlo de
esta forma. Requerirá mucho manejo para una
red mas grande.
233
Lease management syntax
• Para ver DHCP leases
 /ip dhcp-server lease print
 /ip dhcp-server lease print detail (gives more detailed
information)
• Para configurar un IP address estático en el DCHP
server
 /ip dhcp-server lease make-static numbers=0
• Para modificar la entrada anterior
 /ip dhcp-server lease set address=192.168.3.100 numbers=0
234
RouterOS tools
235
E-mail
• Herramienta que te permite enviar un correo

• Puede ser utilizado junto a otras herramientas
(tools) para enviar regularmente backups al
administrador
• Comando:
 /tools e-mail
236
E-mail, ejemplo
• Configura el SMTP Server

/tool e-mail
set address=172.31.2.1 from=mymail@gmail.com last-status=succeeded
password=never123! port=\
587 start-tls=yes user=mymail@gmail.com
• Envia un archivo de configuracion via Email
/export file=export
/tool e-mail send to=home@gmail.com subject="$[/system identity get name]
export"\
body="$[/system clock get date] configuration file" file=export.rsc
237
Netwatch
• Herramiento que te permite monitorear el

estatus de equipos en el network
• Para cada entrada, puedes especificar:
 IP address
 Ping interval
 Scripts de Up o Down
238
Netwatch
• Es MUY útil..
 Recibir alertas de fallas en el network
 Automatizar el cambio de default gateway, por
ejemplo, en caso el router principal falle.
 Para saber qué está arriba y abajo!
 Cualquier otro que puedas configurar para
simplificarte el trabajo (y te haga ver mas eficiente
!)
239
Ping
• Herramienta básica de conectiviad el cual utiliza
mensajes ICMP Echo para determinar accesibilidad
del host remoto y delay en el viaje ida y vuelta del
paquete enviado
• Una de las primeras herramients a ser utilizada en el
troubleshooting. “Si da ping, está arriba (desde punto
de vista en la red)
• Utilízalo con otras herrramientas en combinación
cuando estás haciendo troubleshooting. No es la
herramienta mas eficaz pero con algo se debe
comenzar.
240
Ping syntax
• CLI
[admin@MikroAC1] > ping www.mikrotik.com
HOST SIZE TTL TIME STATUS
159.148.147.196 56 50 163ms
159.148.147.196 56 50 156ms
159.148.147.196 56 50 156ms
159.148.147.196 56 50 160ms
sent=4 received=4 packet-loss=0% min-rtt=156ms avg-rtt=158ms
max-rtt=163ms
 Debes oprimir “CTRL-C” para detener el ping en el
CLI de RouterOS
241
Traceroute
• Utilizado para mostrar todo los routers que se

atraviesa el paquete antes de llegar al destino
• Indica el delay para alcanzar cada router en el
camino hacia el destino final
• Muy bueno para detectar una falla o punto de
lentitud.
242
Traceroute
• CLI
 /tools traceroute www.mikrotik.com
[admin@MikroAC1] > /tool traceroute www.mikrotik.com
# ADDRESS LOSS SENT LAST AVG BEST WORST STD-DEV STATUS
1 100% 3 timeout
2 216.113.124.190 0% 3 13.9ms 12.2 11.1 13.9 1.2
3 216.113.122.230 0% 3 9.6ms 9 7.5 9.8 1
4 100% 3 timeout
5 216.6.99.14 0% 3 114.4ms 114.7 113.6 116.2 1.1 <MPLS:L=400657,E=0>
6 80.231.130.121 0% 3 104.5ms 105.7 104.5 107.1 1.1 <MPLS:L=420033,E=0>
7 80.231.130.86 0% 3 103.2ms 107.5 103.2 115.4 5.6 <MPLS:L=795472,E=0>
8 80.231.154.70 0% 3 136.5ms 119 104.3 136.5 13.3 <MPLS:L=485138,E=0>
9 80.231.153.122 0% 3 113ms 110.7 106.4 113 3.1
10 195.219.50.38 0% 3 111.9ms 115 110.7 122.5 5.3
11 87.245.233.178 0% 3 140.7ms 159.6 135.7 202.4 30.3
12 87.245.242.94 0% 3 169ms 173 169 178.4 4
13 85.254.1.226 0% 3 173.3ms 168.4 164.6 173.3 3.6 243

Profiler (CPU load)
• Herramienta que muestra la carga del CPU

• Muestro los procesos y tu carga por individual
• Nota : “idle” no es un proceso. Significa el
porciento de carga que NO se está utilizando en
el router
244
Profiler (CPU load)
• CLI
 /tool profile
[admin@MikroAC1] > /tool profile
NAME CPU USAGE
console all 0%
flash all 0%
networking all 0%
radius all 0%
management all 0.5%
telnet all 0.5%
idle all 99%
profiling all 0%
unclassified all 0%
-- [Q quit|D dump|C-z continue]
• Para mas detalles acerca de procesos y lo que significan and favor visitar
http://wiki.mikrotik.com/wiki/Manual:Tools/Profiler
245
System identity
• Aunque no es una herramienta, es importante para
indentificar el router.
 No puedes administrar 100 routers que tengan el mismo nombre.
Hace mas dificil el troubleshooting
 Una vez configurado, hará la identificación de tu router sea mas
simple.
• Syntax
 /system identity print (show current name)
 /system identity set name=my-router (sets the router's name)
246
Contactando a MikroTik support
247
Supout.rif
• Supout.rif es un archivo para el análisis

(debugging) de RouterOS y ayuda a MikroTik
a poder resolver problemas mas rápido
• Syntax
 CLI : /system sup-output
248
Supout.rif
• Una vez
generado, el
"supout.rif" lo
podrás encontrar
en “Files”
249
Supout.rif Viewer
• Para accesar el
"supout.rif viewer",
necesitas entrar a tu
cuenta de
MikroTik.com
 Debes tener una cuenta
250
Supout.rif Viewer
• Lo primero es
localizar archivo que
generaste en el router 2
1
y cargarlo a la página
• Comienza a navegar
toda tu configuración
• El view por default es
“resource”
3
251
Autosupout.rif
• Un archivo puede ser generado

automáticamente cuando hay una falla de
software (ej. kernel panic o si el Sistema no
responde por 1 minuto)
• Esto es ejecutado automáticamente con
WatchDog (-> system)
252
System logging y debug logs
• Logging es importante para asegurar un
historial (permanente o no) de los eventos del
router
• La forma mas facil de ver los eventos es a
través de “log” (Menu)
• Por CLI es..
 /log print
253
System logging
• Actions
 Acciones que el router ejecutará en un evento
 Los Rules le dice al router que “action” tomará
 Hay 5 tipos de “actions”, lo cual te permite
flexibilidad
254
System logging
• Actions, ejemplos
[admin@MikroTik] > /system logging action print

Flags: * - default
# NAME TARGET REMOTE
0 * memory memory
1 * disk disk
2 * echo echo
3 * remote remote 172.16.1.105
4 webproxy remote 172.16.1.105
5 firewallJournal remote 172.16.1.105
255
System logging
• Rules
 Le indican al RouterOS que “action” tomar para un evento
determinado (llamado “topic”)
 Puedes tener mas de un “Rule” para el mismo “topic”, cada
rule ejecutando un “action” diferente
 Puedes tener un “rule” con uno o mas “topics”, ejecutando un
“action”
 Añadir “rules” es simple, escoges uno o mas “topics”, le
asignas nombre al rule, y luego escoges un action. (Es por
esto que se sugiere configures un action primero)
256
System logging
• Rules, ejemplos
[admin@NINsys] > /system logging print
Flags: X - disabled, I - invalid, * - default
# TOPICS ACTION
PREFIX
0 * info memory INF
!firewall
1 * error memory ERR
2 * warning memory WRN
3 * critical memory CRT
4 firewall memory FW
5 firewall firewallJournal FW
6 info remote INF
!firewall
7 error remote ERR 257
System logging syntax
• Ver rules
 /system logging print
• Ver actions
 /system logging action print
• Almacenar mensajes del firewall a un syslog server
 /system logging action
 add bsd-syslog=yes name=firewallJournal remote=172.16.1.105 src-
address=10.5.5.5 syslog-facility=local5 target=remote
• Crear una regla de firewall para topics el cual utilizará la acción
previa
 /system logging
 add action=firewallJournal prefix=FW topics=firewall
258
Donde son enviado los logs
• Según indicado en “actions”, logs pueden ser
enviados a 5 opciones distintas:
 Disk : Un disco externo en el router
 Echo : La consola (Consola) del router (si está
presente por serial)
 Email : Una cuenta de email predefinida
 Memory : La memoria interna del router (según visto
en la ventana de “log”)
 Remote : A un syslog server
259
Configuraciones Leibles
• Alias “Que esté claro!”
• Mala documentación es tu peor enemigo. Mantén tus
configuraciones claras y leibles a través de
commentarios, nombres y uniformidad
 Comentarios : Asignale una descripción
 Nombres : Hazlo significativo
 Uniformidad : Haz lo mismo en todo lo demás
• Porque hacer todo esto?
 Por tu propio bién. En el camino te hará el trabajo mas facil y
te hace mas eficiente! (nuevamente)
260
Configuraciones Leibles
• Ejemplos
261
Diagramas del Network
• Un buen diagrama es necesario! Aún si estás recién
comenzando, tu network no siempre será pequeño
• Identifica todo los componentes claves
• Manténlo actualizado (donde fallamos casi todos)
• Es una gran herramienta de troubleshooting.
 Utilízalo para identificar puntos de falla
 Utilizando toda las herramientas repasadas en este modulo
(ping, traceroute), anota posibles situaciones
262
Diagramas del Network
• Ejemplo
 Todo los puertos están
marcados
 Equipos son
identificados
 Número de revision
está actualizado
263
Y continuamos con los laboratorios!!
Fin del módulo 5
264
Laboratorio

 Practicar conceptos de ARP repasados en el módulo
 Añadir funcionabilidad DHCP (client y server) a tu
router
 Utilizar varias herramientas de troubleshooting
265
Laboratorio : Setup
266
• Muestra las entradas de ARP de tu router
 Identifica
cada entrada
 Basado en el diagrama del lab, hace sentido?
Compara con el Puerto donde el MAC fue aprendido
• Valida en que ARP mode están tus interfaces
• Añade un MAC-Address falso como si hubiese
sido aprendido desde el bridge “LAN”
267
Laboratorio: Paso 2
• Añade un DHCP client en la interface WLAN1
• Solicítale al instructor que haga una reservació estática
en su DCHP server. El dígito final del IP debe ser el
de tu POD
• Proveele al el MAC-Address de tu interface WLAN ya
que aún no se han identificado los routers
• Elimina tu IP estática que tenias previa
• Renueva tu ip del DHCP client
• Cual IP obtuviste?
268
• Cleanup
 Cuando configuraste el DHCP cliente la opción “Add
default route” estaba en “yes”. Esto significa que el
DHCP Client recibe un default route (ruta cero)
 Muestra tus rutas. Que vez en el default route?
 Que debes hacer para limpiar la tabla de rutas
(Routing table)?
269
• Configura un DHCP para la computadora conectada en
el bridge “LAN”
• Asegura que la configuración..

Asigne dirección IP

Que el DNS sea el mismo que tu gateway (o sea tu router)
 Reconfigura tu computadora para recibir ip dinámica.
 Configura tu router para que siempre asigne el IP .20X (X es
tu POD)
 Que debes hacer para lograrlo?
270
• Cleanup
 Añade un comment a tu IP estática para indicar para
que es la reservación.
 En el tab de DCHP en el DHCP Server, asígnale un
nombre (el default es dhcp1)
271
• E-mail setup
 Configurael e-mail para permitir envío a un
email personal

Puedes utilizar el que desees
 Prueba el envío con la opción “Test Email”
272
• Netwatch
 Utilizaesta herramienta para monitorear un equipo
provisto por el instructor
 Para agilizar el tiempo, configura intérvalo de
monitoreo a 30 segundos.
273
• Netwatch
 Utiliza estos scripts (Copy & Paste):
Up
/tool e-mail send to="<your-e-mail-address>" subject="$[/system identity get name] Netwatch status" \
body="$[/system clock get date] $[/system clock get time] Node up."
Down
/tool e-mail send to=“<your-e-mail-address>" subject="$[/system2identity get name] Netwatch status" \
body="$[/system clock get date] $[/system clock get time] Node down."
1
3
274
• Netwatch
 Deshabilitael equipo de prueba. Verifica si recibes
un e-mail indicando el cambio de estatus. Debe
llegar un correo similar..
275
• Ping
 Utiliza
la herramienta de ping para validar que el
equipo de prueba responde paquetes ICMP echo
packets. Hazlo también por CLI
• Traceroute
 Utiliza
la herramienta para verificar que hay de por
medi entre tu router y el equipo de prueba.
Compáralo con el diagrama del lab. Hazlo también
por CLI
276
• Profiler
 Ejecuta el profiler y verifica los procesos corrriendo
en tu router.
 Que significa el porcentaje mayor?

Sortélo en la columna “usage”
277
• Supout.rif
 Crea un archivo supout.rif.
Donde lo almacenó?
 Cárgalo a tu cuenta de MikroTik.com y navega las
distintas áreas.
Nota importante: Si no tienes una cuenta en MikroTik.com, favor crearla ahora ya

que será necesaria para la toma del examen a final de curso.
278
• Logging
 Crea un “action”:

Type is “memory”
 Crea un “rule”:

topics “e-mail” y “debug”

Action “action1”
 Abre la ventaja de “log”
 Regresa a la herramienta de e-mail y envía un correo
de prueba. Que se muestra en el log?
279
• Cleaning
 Ve al a ventana de logging, actions tab y renombra
“action1” a “E-mail-Debug”
 Que sucedió? Renombra “action1” a “EmailDebug”
 Regresa al tabe de rules. Que notas de la entrada “e-
mail, debug”?
• Haz un binary backup de tu configuración con
la misma estructura de nombre del modulo
anterior (module5-podX)
280
• Por último, renombra tu router para que
muestre:
 Elnombre de tu Pod
 La primera letra mayúscula
• Crea 2 backups con nombre Module5-Podx
 Uno debe ser binary backup
 El Segundo export backup
281
282
Firewall
Módulo 6
283
Firewall Principles
284
Firewall principles
• Un Firewall es un servicio que permite o
bloquea paquetes de data que se transmiten
basado en reglas.
• El Firewall simula una pared entre 2 redes
• Un ejemplo común es tu LAN (trusted) y el
internet (not trusted).
285
Firewall principles
Como funciona el Firewall
• Opera utilizando reglas. Estas están divididas en 2 partes:
 The matcher : Las condiciones que se requieren para hacer “match”
 The Action : Que sucederá una vez tenga “match”
• Para hacer “match” se revisa lo siguiente:
 Source MAC address
 IP addresses (network o lista) y address types (broadcast, local, multicast, unicast)
 Puerto o Rango de puertos
 Protocolo
 Opciones de Protocol (ICMP type y code fields, TCP flags, IP options)
 La interface a donde llega o sale el paquete
 DSCP byte
 Y más…
286
Packet flows
• MikroTik creó los diagramas para lograr hacer

configuraciones mas complicadas
• Es bueno familiarizarse con estos para saber
que está sucediendo con los paquetes y en que
orden.
• Para este curso, lo mantenremos simple!
287
Packet flows
• Overall diagrams
288
289
Packet flows
290
Packet flows, ejemplo
• Complicado? Bienvenido al club!

• Este próximo ejemplo nos puede ayudar a
ilustrar un simple flow de paquetes: Haciendole
PING (nodo no existente) a la interface LAN
de un router a través de la interface WAN.
 IP del nodo hacienda ping: 172.16.2.100
 IP del nodo recibiendo ping: 192.168.3.2
 IP del WAN del router (ether1) : 192.168.0.3
291
Packet flows, ejemplo
Pinging
===PREROUTING===
Mangle-prerouting prerouting: in:ether1 out:(none), src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0),
172.16.2.100->192.168.3.2, len 60
dstnat dstnat: in:ether1 out:(none), src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0), 172.16.2.100-
>192.168.3.2, len 60
===FORWARD===
Mangle-forward forward: in:ether1 out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0),
172.16.2.100->192.168.3.2, len 60
Filter-forward forward: in:ether1 out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0),
172.16.2.100->192.168.3.2, len 60
===POSTROUTING===
Mangle-postrouting postrouting: in:(none) out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0),
172.16.2.100->192.168.3.2, len 60
srcnat srcnat: in:(none) out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0), 172.16.2.100-
>192.168.3.2, len 60
Reply out
===OUTPUT===
Mangle-output output: in:(none) out:ether1, proto ICMP (type 3, code 1), 192.168.0.3->172.16.2.100, len 88
Filter-output output: in:(none) out:ether1, proto ICMP (type 3, code 1), 192.168.0.3->172.16.2.100, len 88
===POSTROUTING===
Mangle-postrouting postrouting: in:(none) out:ether1, proto ICMP (type 3, code 1), 192.168.0.3->172.16.2.100, len
88
292
Packet flows, ejemplo explicado
/ip firewall filter
add action=log chain=input log-prefix=Filter-input protocol=icmp
add action=log chain=output log-prefix=Filter-output protocol=icmp
add action=log chain=forward log-prefix=Filter-forward protocol=icmp
/ip firewall mangle

add action=log chain=prerouting log-prefix=Mangle-prerouting protocol=icmp
add action=log chain=output log-prefix=Mangle-output protocol=icmp
add action=log chain=input log-prefix=Mangle-input protocol=icmp
add action=log chain=forward log-prefix=Mangle-forward protocol=icmp
add action=log chain=postrouting log-prefix=Mangle-postrouting protocol=icmp
/ip firewall nat

add action=log chain=srcnat log-prefix=srcnat protocol=icmp
add action=log chain=dstnat log-prefix=dstnat protocol=icmp
293
Connection tracking y states
• Connection tracking maneja la información acerca de toda las conecciones.
• Antes de crear filtros de firewall (o reglas), es bueno saber que tipo de tráfico
atraviesa tu router. El connection tracking se encarga de esto.
Flags: S - seen reply, A - assured

# PROTOCOL SRC-ADDRESS DST-ADDRESS TCP-STATE TIMEOUT
0 SA tcp 172.16.2.140:52010 17.172.232.126:5223 established 23h42m6s
1 ospf 172.16.0.6 224.0.0.5 5m49s
5 SA gre 172.16.0.254 172.16.0.1 4h44m11s
6 SA udp 172.16.0.254:4569 209.217.98.158:4569 13m9s
11 ospf 172.16.0.5 224.0.0.5 5m49s
294
• Si deshabilitas tracking por alguna razón, los siguientes features dejarán de
funcionar:
 NAT
 Firewall
-
connection-bytes - connection-mark
-
connection-type - connection-state
-
connection-limit - connection-rate
- layer7-protocol - p2p
- new-connection-mark - tarpit
 p2p matching in simple queues
• Por tal razón antes de deshabilitarlo asegúrase tener muy claro las razones y
el propósito!
295
Los Connection states son: (asumiendo cliente-A estáinicializando una conección hacia
cliente-B):
Established Una sesión TCP session hacia el host remoto es establecida,

proveyendo un “open connection” donde la data puede ser intercambiada
Time-wait Tiempo esperado para asegurarse que el host remoto a recibido un
“connection termination request (after “close”) de su connecion
Close Representa la espera para un “connection termination request” del
host remoto
Syn-sent Cliente-A esperando por un “matching connection request” luego que ha
enviado uno
Syn-received Cliente-B esperando por un confirming connection request
acknowledgement luego de haber enviado y recibido el connection request
296
• El uso del connection tracking permite también el

tracking de conecciones UDP aunque UDP es
“stateless”. Siendo así, el firewall de MikroTik's puede
filtrar “UDP "states".
297
Structure : chains y actions
• Un chain es un agrupamiento de reglas basadas en el mismo criterio. Hay 3
distintos tipos de chain predefinidos por RouterOS basados en el mismo
criterio:
 Input : Tráfico que va hacia el router
 Forward : Tráfico que atraviesa el router
 Output : Tráfico que es originado desde el router
• Puedes tener chains creados basados en tus propios criterios. Por ejemplo :
 Todo tráfico icmp
 Tráfico que llegue desde la interface Ether2 y con destino al bridge “LAN”.
• Chains definidos por usuario son creados cuando seleccionas “matchers” y
seleccionas “action -> jump”. Le asignas un nombre en el campo “jump
target”.
 Luego de esto, puedes comenzar a crear reglas utlizando este Nuevo “Chain”
seleccionándolo en el campo “chain” cuando creas la regla nueva de firewall.
298
Structure : chains y actions
• Un “action” dicta que hará el filtro cuando hay un
“match” de paquetes.
• Paquetes son verificados secuencialmente contra
cualquier regla que exista en el chain del firewall hasta
que ocurra un “match”. Cuando lo encuentra, la regla
se aplica.
• Ciertos “actions” requiere que paquetes sean menos o
mas procesados por otras reglas.
• Otros “actions” pueden demandar que un paquete sea
procesado en otro “chain”. Lo veremos mas adelante.
299
Firewall filters en acción
300
Filosofía básica de seguridad
• Puedes aplicar seguridad de varias maneras:
 Confiamos en el interior de la red, las reglas solo

afectará lo que venga de afuera
 Bloqueamos todo y decidimos que permitir.
 Permitimos todo y bloqueamos lo que es
problemático.
301
Tips y sugerencias básicas
• Antes de configurar y cambiar reglas activa

"safe mode".
• Luego de configurar o cambiar reglas, valida
utilizando herramientas. Ejemplo: ShieldsUP
(https://www.grc.com/x/ne.dll?bh0bkyd2)
 Provee reporte de debilidad o vulnerabilidad
302
• Antes que comiences, establece una política.
• Escribe en tu propio lenguaje las reglas básicas que requieres
establecer
 Luego que las entiendas y estes de acuerdo; las configuras en tu router
• Añade reglas de firewall progresivamente luego que ya estés de
acuerdo con las básicas.
 Si eres nuevo en la seguridad, no te ayudará comenzar a configurar en
toda las direcciones (disparar de la vaqueta!) Haz lo básico, pero hazlo
bién.
 Solo, no demores en añadir las demás reglas porque una cosa es hacerlo
bién y otro tema es abrir vulnerabilidades por el hecho de que quieres
validar primero las reglas básicas.
303
• Es una buena idea finalizar tus “chains” con una regla
“catch-all” y así poder ver que dejaste.
• Necesitarás 2 reglas "catch-all", una para hacer "log" y
la otra para hacer "drop" de tráfico que no haga match
con la regla. Ambas reglas tiene que ser basadas en los
mismos “matcher” para que te puedan ser útil.
• Una vez logras ver que llega a las reglas de "catch-all",
puedes añadir reglas en el firewall para que manipulen
estos paquetes a tu manerja.
304
Filter Matchers
• Antes de poder aplicarle "action" a un paquete el
mismo tiene que ser identificado primero.
• Son varios “Matchers”!
305
Filter actions
• Una vez un paquete ha sido aplicado a una regla, un action le será asignado
• Los firewalls de MikroTik tiene 10 “actions”.
Accept Accept the packet. Packet is not passed to next firewall rule.
Add-dst-to-address-list Add destination address to address list specified by address-list parameter. Packet is passed to next firewall
rule.
Add-src-to-address-list Add source address to address list specified by address-list parameter. Packet is passed to next firewall rule.
Drop Silently drop the packet. Packet is not passed to next firewall rule.
Jump Jump to the user defined chain specified by the value of jump-target parameter. Packet is passed to next firewall rule
(in the user-defined chain).
Log Add a message to the system log containing following data: in-interface, out-interface, src-mac, protocol, src-
ip:port->dst-ip:port and length of the packet. Packet is passed to next firewall rule.
Passthrough Ignore this rule and go to next one (useful for statistics).
Reject Drop the packet and send an ICMP reject message. Packet is not passed to next firewall rule.
Return Pass control back to the chain from where the jump took place. Packet is passed to next firewall rule (in
originating chain, if there was no previous match to stop packet analysis).
Tarpit Capture and hold TCP connections (replies with SYN/ACK to the inbound TCP SYN packet). Packet is not passed to
next firewall rule.
306
Protegiendo tu router (input)
• El input mira el tráfico dirigido hacia el router.
• La reglas que añadas en el input ayudan a
prevenir ataques de hackers o accesos no gratos
que deseen alcanzar tu router sin detener el
trabajo de tu router.
307
Protegiendo tu router (ejemplo)
• Lo siguiente son sugerencias!
 Asumamos que Ether01 está conectado al WAN (no confiable) y estamos
aplicando el método de seguridad “Confia en todo lo interno".

Acepta ICMP Echo replies (Deseas hacerle ping a un servidor en el internet y quieres
recibir respuesta!)

Drop icmp echo requests (No deseas que otros te hagan ping. Quedarte por debajo del
radar!)

Acept todo lo "established" y "related" en tráfico input (Deseas que se responda a todo lo
que el router pida como, como NTP and DNS)

Drop all "invalid" input traffic (Todo lo que el router recibió que no haya solicitado)

Log the rest of input traffic (Dejé algo importante?)

Drop the rest of input traffic (Quiero estar seguro!)
308
Protegiendo tus clientes (forward)
• Según mencionado, el forward chain mira el

tráfico que a traviesa el router.
• Las que añadas en el Forward chain debe
prevenir el ataque de hackers a tu red interna
sin detener el trabajo del router.
309
Protegiendo tus clientes (ejemplo)
• Lo siguiente son sugerencias!
 Nuevamente, asumiendo que el ether01 está conectado al WAN (no
confiable) y estamos utilizando el método “Confia en todo lo interno” :

Accept all "established" y "related" forward traffic (Quieres respuesta a tu red
de todo lo que se solicite como HTTP, DNS, ect.)

Drop all "invalid" forward traffic (Todo aquello que recibas el cual no
solicitaste)

Log the rest of forward traffic (Dejé algo?)

Drop the rest of forward traffic (Quiero estar seguro!)
310
Como se vería..
311
Firewall filter (rule) syntax
• Ver reglas o filtros existentes
 /ip firewall filter print (mas claro para leer)
 /ip firewall filter export (todo el syntax)
• Crea varias reglas (desde /ip firewall filter)
 add chain=input comment="Established-Related (in)" connection-
state=established in-interface=ether01
 add chain=forward comment="Established-Related (fwd)" connection-
state=established in-interface=ether01
 add action=log chain=input comment="===CATCH-ALL==" in-
interface=ether01 log-prefix="CATCH-ALL(in)"
 add action=drop chain=input in-interface=ether01
 add action=add-dst-to-address-list address-list=temp-list address-list-
timeout=3d1h1m1s chain=input protocol=tcp src-address=172.16.2.0/24
312
Basic address-list
313
Basic address-list
• Address lists son grupos de IPs
• Se utilizan para simplificar reglas
 Por ejemplo, puedes crear 100 reglas para bloquear 100 IP, o!!
 Puedes crear un grupo con 100 IP solo crear una regla.
• Los grupos (address lists) pueden representar
 IT Admins con accesos especiales
 Hackers
 Cualquier otra cosa que se te ocurra…
314
Basic address-list
• Puede ser utilizados en firewall filters, mangle y NAT.
• La configuración de address lists puede ser
automatizada utilizando los actions add-src-to-
address-list o add-dst-to-address-list en reglas de
firewall, mangle o NAT.
 Es una manera excelente de bloquear IPs sin tener que
entrarlos uno por uno
 Ejemplo : add action=add-src-to-address-list address-
list=BLACKLIST chain=input comment=psd in-
interface=ether1-Internet psd=21,3s,3,1
315
Address list syntax
• Ver address list existentes
 /ip firewall address-list print
• Crear un address list permanente
 /ip firewall address-list add address=1.2.3.4 list=hackers
• Crear un address list utilizando una regla
 /ip firewall filter add action=add-dst-to-address-list address-list=temp-list
address-list-timeout=3d1h1m1s chain=input protocol=tcp src-
address=172.16.2.0/24
 /ip firewall nat add action=add-src-to-address-list address-list=NAT-AL
chain=srcnat
 /ip firewall mangle add action=add-dst-to-address-list address-list=DST-
AL address-list-timeout=10m chain=prerouting protocol=tcp
316
Source NAT
317
NAT
• Network Address Translation (NAT) permite utilizar
un set de IP en el LAN y otro grupo de IPs en el lado
del WAN .
• Source NAT traduce direcciones IP (en el LAN) a
direcciones IP públicas cuando se accede al internet.
Lo mismo sucede cuando el tráfico viene del internet.
A veces se le conoce como “ocultar o esconder" (tu
red) detrás del IP provisto por el ISP.
318
Masquerade y src-nat action
• El primer chain para NATing es "srcnat". Es utilizado para todo
tráfico que sale del router.
• Muy parecido a reglas de firewall, reglas de NAT tiene muchas
propiedades y acciones (13 actions!).
• La primera regla básica de NAT, solo utiliza el action de
"masquerade.
• Masquerade reemplaza el source IP en los paquetes
determinado por el funcionamiento de routing.
 Típicamente, el source IP de los paquete.s que van hacia el internet serán
reemplazadas por el IP del WAN. Esto es requerido para el tráfico que
regresa para así poder llegar al IP de donde fue originado.
319
Masquerade y src-nat action
• El action de "src-nat" cambia el source IP y

puerto de los paquetes a quellos asignados por
el administrador de red
 Ejemplo básico: 2 compañías (Alpha y Omega) se
han unido y ambos utilizan el mismo
direccionamiento de IP interno (ex. 172.16.0.0/16).
Ellos van a utilizar un segmento totalmente distinto
para unirlos. Ambos requerirán reglas src-nat y dst-
nat
320
Destination NAT
321
Dst-nat y redirection action
• "Dst-nat" es un action utilizado con dstnat para

redirigir tráfico entrante a un IP o Puerto
distinto.
- Ejemplo: Utilizando el ejemplo anterior de Alpha y
Omega vemos que reglas dst-nat serán requeridas para
convertir el IP de un lado
322
Dst-nat y redirection action
• "Redirect" cambia el Puerto de destino a uno

que se especifique en "to-ports" en el router
 Ejemplo: Todo tráfico http (TCP, port 80) va a ser
enviado al servicio de web proxy en el Puerto TCP
8080.
323
NAT Syntax
• Source NAT (from /ip firewall nat)

 Añadir la regla de “masquerade”

add action=masquerade chain=srcnat
 Cambiar el Source IP address

add chain=srcnat src-address=192.168.0.109 action=src-nat to-addresses=10.5.8.200
• Destination NAT
 Redirigir todo tráfico http (TCP, port 80) al servicio de web proxy en el router TCP 8080

add action=redirect chain=dstnat dst-port=80 protocol=tcp to-ports=8080
324
Hora del Lab!!
Fin del módulo 6
325
Laboratorio
• Metas del lab

 Configurar reglas básicas de Firewall
 Configurar un address-list
 Aplicar reglas de source NAT rules y ponerlas a
prueba
 Aplicar reglas destination NAT y ponerlas a prueba
326
Laboratory : Setup
327
• Antes de comenzar con reglas de Firewall, haremos prueba con
una regla de NAT: Masquerading
 Verifica en tu configuración si ya tienes una regla de NAT “masquerade”.
Crea una si no la tienes pero déjala DESHABILITADA. Si ya la tienes
asegúrate que esté apagada.
 Ejecuta WinBox y conéctate al POD de un compañero.
 En la sección IP FIREWALL CONNECTION, revisa las conecciones
activas. Que vez?
 Configura la opción que permite hacer “track” de las conecciones. Verifica
los resultados.
 HABILITA la regla de NAT Masquerade y nuevamente verifica el
connection tracking
328
• Ahora para hacerlo interesante configuremos reglas de
firewall. Aplica las siguientes reglas al tráfico entrante
en la interface WAN.
 Accept icmp echo replies
 Drop icmp echo requests
 Accept all "established" and "related" input and forward
traffic
 Drop all "invalid" input and forward traffic
 Log the rest of input and forward traffic
 Drop the rest of input and forward traffic
 Add meaningful comments to all rules.
 Do the same for the "log" rules' prefixes.
329
• Ahora que tienes reglas, verifica tus logs. Mira
los mensajes y el formato
• Viendo lo que muestra ahora, crees que hacer
troubleshooting de conecciones sería mas fácil
ahora?
330
Laboratorio: Paso 4
• Crea address list que represente cada POD
• Utiliza el siguiente formato:
 Name : Pod1
 Address : <network/mask> of the LAN
 Name : Pod1
 Address : <IP> of the WAN interface
• Hazlo para todo, también el tuyo
331
Laboratory : step 5
• Pods should be matched in pairs for the following tests
• Close your WinBox window and reopen it, connecting
to your peer pod. What's happening?
• With one filter rule ONLY, allow all IP addresses from
you peer pod to connect to your router with WinBox
(TCP, 8291)
 Make sure that it's in the right spot so that it works
 And DON'T forget comments!
332
• Para validar funcionamiento de Port

Redirection, tenemos que hacer un pequeño
cambio en los IP SERVICES de tu router.
 Enla sección de IP Services section, cambia el
puerto de WinBox a 8111.
333
• Cierra y abre nuevamente el WinBox sin añadir
ningún character adicional. Resultados?
• Entra al router con WinBox en el puerto 8111.
• Crea una regla de dst-nat con redirect action al puerto
8111 en todo tráfico TCP 8291.
• Cierra y abre nuevamente el WinBox sin el puerto
luego del IP. Funciona?
• Entra al router del POD de tu vecino. Que sucede?
334
• Regresa la configurión del Puerto de WinBox

en IP SERVICES a 8291.
• Deshabilita (no borres) la regla de dstnat
"redirect".
• Cierra WinBox y valida que puedas entrar a tu
router y el de tu vecino normalmente.
335
• Crea una regla dst-nat rule con un redirection
action al Puerto 8291 a todo tráfico TCP 1313
que entre por el Puerto de WAN.
• Abre WinBox y entra a tu router utilizando
Puerto 1313.
• Abre WinBox y entra al router de tu vecino
utilizando Puerto 1313.
• Resultados?
336
• Haz un export backup y un binary backup bajo

el nombre module6-podX
(x = tu POD).
337
338
QoS
Módulo 7
339
Simple queue
340
Introducción
• QoS (quality of service) es el arte de manejar
recursos de ancho de banda en vez de
simplemente limitar ancho de banda a ciertos
nodos.
• QoS puede darle prioridad a tráfico basado en
métricas. Bueno para:
 Aplicaciones Críticas
 Tráfico sensible tales como video y voz.
341
Introducción
• Simple queues son eso mismo… simples…

formas de limitar ancho de banda a:
 Upload de clientes
 Download de clientes
 Agregación de clientes (download y upload)
342
Target
• Target a quién el simple queue es aplicado
• Un target DEBE ser especificado. Puede ser:
 Un IP address
 Un subnet
 Una interface
• El orden de los Queue ES importante. Cada
paquete tiene que atravesar cada simple queue
hasta que ocurra un match.
343
Destinations
• IP address a donde el tráfico dirigido o,

• Interface por donde fluirá el tráfico del destino.
• No es compulsorio como lo es el campo de
“Target”.
• Puede ser utilizado para limitar las restricciones
de los queue.
344
Max-limit and limit-at
• El parámetro "max-limit" es el máximo data rate que

un target puede alcanzar
Visto como MIR (maximum information rate)
 “En el mejor de los casos”
• El parámetro "limit-at" es una garantía minima de data
rate para el target definido
 Visto como CIR (committed information rate)
 “En el peor de los casos”
345
Bursting
• Bursting permite a usuarios obtener mayor

bandwidth que lo configurado en “max-limit,
pero solo por un período corto.
• Util para impulsar tráfico que no utiliza ancho
de banda frecuentemente. Por ejemplo, HTTP.
Descarga una página mas rápido por unos
segundos.
346
Bursting
• Definitions.
 Burst-limit : Maximum data rate while burst is allowed.
(mientras burst es permitido)
 Burst-time : Time, in seconds, over which the sampling is
made. It is NOT the period during which traffic will burst.
(tiempo en segs. donde es verificado para ejecutar el burst)
 Burst-threshold : The value that will determine if a user will
be permitted to burst (define si el usario podrá hacer burst)
 Average-rate : An average of data transmission calculated in
1/16th parts of "burst-time".
 Actual-rate : Current (real) rate of data transfer.
347
Bursting
• Como funciona.
 Bursting es permitido mientras average-rate se quede por debajo del
burst-threshold.
 Bursting será limitado al rate especificado por burst-limit.
 Average-rate es calculando 16 samples o pruebas (averaging) en los
segundos de burst-time

Si burst-time es 16 segundos, entonces un sample es tomado cada segundo

Si burst-time es 8 seconds, entonces un sample es tomado cada ½ segundo. Y
así sucesivamente…
 When bursting starts, it will be allowed for longest-burst-time seconds,
which is

(burst-threshold X burst-time) / burst-limit.
348
Bursting
Con un burst-time de 16 segundos
349
Bursting
Con un burst-time de 8 segundos
350
Syntax
• Un Simple Queue
 add max-limit=2M/2M name=queue1 target=192.168.3.0/24
• El mismo Simple Queue pero con Burst
add burst-limit=4M/4M burst-threshold=1500k/1500k burst-time=8s/8s limit-at=\
1M/1M max-limit=2M/2M name=queue1 target=192.168.3.0/24
351
Tip
• Si te fijas, los iconos de cada Queue cambian

de color de acuerdo a la utilización que está
teniendo cada uno.
 Green : 0 – 50% del ancho de banda utilizado

 Yellow : 51 – 75% del ancho de banda utilizado
 Red : 76 – 100% del ancho de banda utilizado
352
Un Simple queue para toda la red
(PCQ)
353
Porque tener un Queue para todo?
• Per Connection Queue (PCQ) es una forma

dinámica de darle forma al tráfico para
múltipes usuarios utilizando una configuración
más simple.
• Define parámetros, luego cada sub-stream
(Direcciones IP por ejemplo) tendrá las mismas
limitaciones.
354
Configuración de Pcq-rate
• El parámetro de pcq-rate limita el data rate
permitido por el Queue Type.
• Classifier es lo que el router verifica para ver
como aplica la limitación. Puede ser un IP
address o Puerto source o destino. Puedes
también limitar por el tipo de tráfico (HTTP for
example).
355
Configuración Pcq-limit
• Este parámetro es medido en paquetes.
• Un valor de pcq-limit alto
 Creará un buffer mayor, reduciendo la pérdidad de paquetes
 Aumentará la latencia
• Un valor de pcq-limit pequeño
 Aumentará la pérdida de paquetes (ya que buffer es mas
pequeño) y forzará al source a reenviar el paquete reduciendo
la latencia.
 Hará un cambio en el TCP Windows solicitándole al source
que reduzca el rate de transmission.
356
Configuración Pcq-limit
• Que valor utilizar? No hay una respuesta sencilla.
 Siempre comienza con "Trial & Error" por aplicación
 Si usuarios se quejan de latencia, reduce el valor de pcq-limit
(queue length)
 Si los paquetes tienen que transitar a través de una
configuración de firewall compleja, tal vez tengas que
incrementar el queue length ya que puede crear delays
 Interfaces más rápidas (como Gigabit) requiere Queues mas
pequeños ya que en estas se reducen los delays.
357
PCQ, ejemplo
• Supongamos que tenemos usuarios
compartiendo un WAN link limitado. Le vamos
a asignar los siguientes data rates:
 Download : 2Mbps
 Upload : 1Mbps
• WAN está en la interface Ether1
• El subnet del LAN es 192.168.3.0/24
358
PCQ, ejemplo
/ip firewall mangle
add action=mark-packet chain=forward new-packet-mark=client_upload \
out-interface=ether1 src-address=192.168.3.0/24
add action=mark-packet chain=forward dst-address=192.168.3.0/24 \
in-interface=ether1 new-packet-mark=client_download
/queue type
add kind=pcq name=PCQ_download pcq-classifier=dst-address pcq-rate=2M
add kind=pcq name=PCQ_upload pcq-classifier=src-address pcq-rate=1M
/queue tree
add name=queue_upload packet-mark=client_upload parent=global queue=\
PCQ_upload
add name=queue_download packet-mark=client_download parent=global queue=\
PCQ_download
359
Ejemplo explicado
• Mangle : Le estamos diciendo al router que marque los paquetes con la
marca "client_upload" ó "client_download", dependiendo si:
 Los paquetes provienen del LAN y salen por el ether1 (upload) ó,
 Paquetes están entrando por el ether1 y saliendo por el LAN (download).
• Queue types : Aqui definimos los data rates y classifiers 2 sub-streams
distintos (source or destination).
• Queue tree : Las combinaciones son verificadas para validar si los paquetes
cualifican para traffic shaping y que aplicarle.
Por ejemplo, en el caso de tráfico upload, verificamos interfaces input y output
(global) para paquetes con el marcado "client_upload" y le aplicamos el queue type
de "PCQ_upload" queue type.
360
Monitoreo
361
Interface traffic monitor
• La herramienta de traffic monitor es
utilizada para ejecutar scripts cuando el
tráfico de una interface alcanza un nivel
específico (threshold)
Ejemplo
/tool traffic-monitor
add interface=ether1 name=TrafficMon1 on-event=script1 threshold=1500000 \
traffic=received
/system script
add name=script1 policy=ftp,read,test,winbox,api source="/tool e-mail send to=\"\
YOU@DOMAIN.CA\" subject=([/system identity get name] . \" Log \
\" . [/system clock get date]) body=\"Hello World. You're going too fast!\""
362
Torch
• Torch es una herramienta de monitoreo en vivo

(real-time) el cual puede ser utilizada para
monitorear tráfico dirigiéndose a una interface
específica.
• Por CLI es BIEN flexible, por WinBox es
intuitive.
363
Torch, CLI
[admin@Pod3] /tool> torch interface=ether2 port=winbox
SRC-PORT DST-PORT TX RX TX-PACKETS RX-PACKETS
53217 8291 (winbox) 12.0kbps 4.7kbps 7 6
12.0kbps 4.7kbps 7 6
[admin@Pod3] /tool> torch interface=ether2 port=any

SRC-PORT DST-PORT TX RX TX-PACKETS RX-
PACK
53217 8291 (winbox) 15.2kbps 5.1kbps 7
62414 53 (dns) 728bps 600bps 1
53538 80 (http) 92.8kbps 5.3kbps 12
62437 53 (dns) 744bps 616bps 1
53540 80 (http) 182.2kbps 8.4kbps 18
53541 80 (http) 191.1kbps 8.6kbps 19
59150 53 (dns) 760bps 632bps 1
53542 80 (http) 112.9kbps 7.0kbps 12
53543 443 (https) 34.8kbps 6.3kbps 6
53544 80 (http) 860.4kbps 20.0kbps 73
53545 80 (http) 4.5kbps 5.6kbps 4
53546 80 (http) 122.0kbps 6.3kbps 12
53547 80 (http) 122.0kbps 5.8kbps 12
65144 53 (dns) 1064bps 608bps 1
53548 80 (http) 1392bps 5.7kbps 3
1743.1kbps 87.0kbps 182

For fun, try this
[admin@Pod3] /tool> torch interface=ether2 port=<TAB>
364
Torch, Winbox
365
Graphs
• Graphing es una herramienta utilizada para monitorear varios
parámetros de RouterOS en un lapso de tiempo específico y
colocar la data colectada en gráficas.
• Los siguientes parámetros pueden ser colectados.
 Voltage and temperature
 CPU, memory and disk usage
 Interface traffic
 Queue traffic
• Graphs puede ser accedido entrand a http://<router-IP-
address>/graphs
366
Graphs
Primeros pasos.
[admin@Pod3] /tool graphing> set store-every=5min page-refresh=300
[admin@Pod3] /tool graphing> print
store-every: 5min
page-refresh: 300
[admin@Pod3] /tool graphing>
Luego añadimos los valores para las gráficas

[admin@Pod3] /tool graphing> interface add allow-address=0.0.0.0/0 interface=all
[admin@Pod3] /tool graphing> queue add allow-address=0.0.0.0/0 simple-queue=test-queue1
[admin@Pod3] /tool graphing> resource add allow-address=0.0.0.0/0
367
Graphs
368
SNMP
• SNMP, Simple Network Management Protocol, es un
protocol estandar utilizados para manejar equipos IP
en una red.
• Muchas herramientos, tanto open source como
comercial, está disponibles para trabajar con SNMP y
automatizar trabajos.
• Como todo, la configuración debe ser planificada ya
que este protocolo es propenso a ataques.
369
SNMP
Primeros pasos..
[admin@Pod3] /snmp> set enabled=yes
[admin@Pod3] /snmp> set contact=YOU
[admin@Pod3] /snmp> set location=OFFICE
[admin@Pod3] /snmp> print
enabled: yes
contact: YOU
location: OFFICE
engine-id:
trap-target:
trap-community: (unknown)
trap-version: 1
trap-generators:
[admin@Pod3] /snmp>
370
SNMP
• Hay que prestarle atención a los “Communities”.
• Los mismos dictan privilegios.
[admin@Pod3] /snmp community> print detail
Flags: * - default
0 * name="public" addresses=0.0.0.0/0 security=none read-access=yes write-
access=no
authentication-protocol=MD5 encryption-protocol=DES authentication-
password=""
encryption-password=""
[admin@Pod3] /snmp community>
371
SNMP
372
Lab, lab y mas lab!!
Fin del módulo 7
373
Laboratorio
• Metas del lab

 Configurar y validar un simple queue
 Configurar y validar una configuración basada en
PCQ.
 Poder diferenciar entre uno y el otro.
 Poner a prueba herramientas de monitoreo y ver
como te pueden ayudar en el día a día.
374
Laboratorio : Setup
375
• Antes de continuar, instala un MIB browser en

tu computadora
• Además, los PODs deben unirse en pareja ya
que los pasos van a requerir que mas de 1
computadora esté conectada al router.
376
• Valida el throughput utilizando una página de prueba
de velocidad (speedtest). Anota los resultados.
• Configura un simple queue (nómbralo "lab7") el cual
limite todo tu LAN a 4Mbps y 2Mbps upload.
• Valida nuevamente el throughput.
• Solicita a un compañero que se conecte a tu router y
repite la prueba de velocidad. Resultado? Sucede lo
mismo si te conectas al router de tu compañero?
377
• Añade bursting en el queue "lab7". Parámetros
son :
 Burst limit 4M (upload), 6M (download)
 Burst-threshold 3M (upload), 5M (download)
 Burst-time 16 para ambos
 Repitelas mismas pruebas anteriores y valida.
• Una vez finalizado, deshabilita el simple queue.
378
• Configura queue PCQ para que todas las
computadoras en el mismo LAN tengan un límite de
4Mbps de download y 2Mbps de upload. Asegúrate
ponerle nombres que que hagan sentido!
• Haz una prueba de velocidad (speedtest) cualquier
página en línea. Resultados?
• Solicítale a tu compañero que se conecte a tu routter y
haz la misma prueba. Resultado? Sucede lo mismo si
te conectas al router de tu compañero?
379
• Configura traffic monitoring de forma tal que te

envíe un email cuando el tráfico inbound
exceda los 3Mbps en tu interface wireless.
380
• Utiliza la herramienta de Torch de tal manera

que puedas ver el IP del source para cualquier
tráfico desde cualquier IP y cualquier Puerto en
la interface wireless. Experimenta con Torch en
CLI y WinBox.
381
• Habilita los Graphs en:

 Interface
Wireless
 Recursos de Hardware
• Navégalos en tu explorador
382
Laboratorio : Step 8
• Habilita SNMP, y provee la siguiente

información:
 Tu nombre como contacto.
 Tu número de Pod como “location” (Podx).
 Deja el resto en “default”.
• Utilizando el MIB Browser, scanea los MIBs
de tu router. Puedes ver tu nombre e
información?
383
• Como siempre, haz un binary backup y export

backup según efectuado en los pasados
laboratorios.
384
385
Tunnels
Módulo 8
386
Tunnels
• Los Túneles son una forma de expandir tu red privada
a través de una red pública tal como lo es el internet.
• También son conocidos como “VPNs” (virtual private
networks).
• Los conceptos de seguridad son aplicados en los
VPNs. Son utilizados, ya que todo tráfico es
transmitido por redes públicas y no por la red privada
del cliente final.
387
PPP settings
388
PPP profile
• PPP profiles representan los parámetros de configuración el cual serán utlizados por
los PPP clients tales como los siguientes y otros:
– IP Address local y remota o pools
– Compression
– Encryption
/ppp profile (ejemplo desde un cliente)

add change-tcp-mss=yes name=Profile-external use-compression=\
yes use-encryption=yes use-vj-compression=no
/ppp profile (ejemplo desde un servidor)

add change-tcp-mss=yes local-address=192.168.222.1 name=Profile-external \
remote-address=192.168.222.2 use-compression=yes use-encryption=yes \
use-vj-compression=no
add change-tcp-mss=no dns-server=192.168.5.1 local-address=192.168.5.1 name=\
Profile-internal remote-address=Pool-VPN use-compression=yes \
use-encryption=yes use-vj-compression=no
389
PPP secret
• PPP secrets están localizados en los PPP servers y los mismos especifican los parámetros básicos
requeridos para autenticar un cliente, tales como:
– Name : ID del usuario
– Password : Contraseña
– Service : Servicio con el cual se trabajará (Si es dejado como "any", el PPP secret autenticará al
usuario con cualquiera de los protocolos (PPPoE, L2TP, PPTP, etc.)
– Profile : Las configuraciones pertinentes al usuario. Los parámetros de Profiles permite el ser
utilizado para múltiples usuarios sin tener que entrarlos por independiente
– Clientes no utilizan los PPP secrets como sus credenciales de autenticación. Los mismos son
especificados en la interface PPP del cliente bajo los parámetros "user" y "password“.
/ppp secret
add name=Pod4-external password=pod4-123 profile=Profile-external routes=\
192.168.4.0/24
add name=alain password=alain!! profile=Profile-internal
390
PPP status
• Representa el estatus actual de la connection. Util para hacer “debug” y
verificar la operación correcta de los túneles.
[admin@Pod5] > /ppp active print detail

Flags: R - radius
0 name="alain" service=pppoe caller-id="28:D2:44:2C:06:EE" address=192.168.5.100
uptime=3m56s
encoding="MPPE128 statefull" session-id=0x81B00044 limit-bytes-in=0 limit-bytes-
out=0
1 name="Pod4-external" service=pppoe caller-id="D4:CA:6D:8E:1A:97"

address=192.168.222.2 uptime=37s
encoding="MPPE128 stateless" session-id=0x81B00045 limit-bytes-in=0 limit-bytes-
out=0
[admin@Pod5] > /ppp active print

Flags: R - radius
# NAME SERVICE CALLER-ID ADDRESS UPTIME ENCODING
0 alain pppoe 28:D2:44:2C:06:EE 192.168.5.100 4m12s MPPE128 statefull
1 Pod4-exte... pppoe D4:CA:6D:8E:1A:97 192.168.222.2 53s MPPE128 stateless
391
IP pool
392
Configurando un pool
• IP pools define un rango de IP addresses para los
clientes.
• No solo es utilizado para DHCP como vimos en el
módulo anterior, sino que a su vez se utiliza para PPP
y clientes Hotspots.
• Util para cuando una interface va a servir múltiples
clientes. IP addresses son asignados dinámicamente.
393
IP Pool ranges
• IP pool ranges son listas de IP que no coinciden entre
sí y que pueden ser asignadas a clientes a través de
servicios DHCP, PPP, PPP y Hotspots.
• Vamos a ver el ejemplo: Tienes 50 computadoras en la
red de la empresa y 50 computadoras provenientes a
través del VPN.
/ip pool
add name=Pool-PC ranges=192.168.5.50-192.168.5.99
add name=Pool-VPN ranges=192.168.5.100-192.168.5.149
394
IP Pool ranges
• Necesitas añadir 50 computadoras mas en el IP Address Pool.
/ip pool print
# NAME RANGES
0 Pool-PC 192.168.5.50-192.168.5.99
1 Pool-VPN 192.168.5.100-192.168.5.149
/ip pool
set 0 ranges=192.168.5.50-192.168.5.99,192.168.5.150-192.168.5.199
/ip pool> print

# NAME RANGES
0 Pool-PC 192.168.5.50-192.168.5.99
192.168.5.150-192.168.5.199
1 Pool-VPN 192.168.5.100-192.168.5.149
395
Asignándolo a un servicio
• Pools según mencionamos pueden ser añadidos

a varios servicios como DHCP, PPP y Hotspot.
• Veremos la configuración mas adelante...
396
Secure local networks
397
PPPoE
• Point-to-point over Ethernet es un protocolo en

Layer 2
• Es utilizado frecuentemente por ISPs para
controlar accesos a sus redes.
• Puede ser utilizado como método de acceso a
cualquier tecnologí en Layer 2 tales como
802.11 o Ethernet.
398
PPPoE service-name
• El service-name puede ser visto como un SSID
de 802.11, lo que significa sería el nombre de la
red que el cliente está buscando.
• A diferencia de un SSID, si el cliente no
especifica uno, el access concentrator (PPPoE
server) enviará todo los service-names que
tiene. El cliente responderá al primero que
reciba.
399
Creando un PPPoE server
• Un PPPoE server es el que provee en servicio de
tunneling.
• Permite a clientes obtener un servicio de VPN Layer 3
seguro sobre una infraestructura Layer 2.
• NO PUEDES alcanzar un PPPoE server a través de
routers. Debido a que es un protocolo Layer 2, el
servidor solo puede ser alcanzado a través del mismo
Ethernet Broadcast domain donde se encuentra los
clientes.
400
Creando un PPPoE server
• Antes de crear el servidor, establece los parámetros
que requieres configurar (valores aparte de los default)
tales como:
 IP pools
 PPP profiles
 PPP secrets
• Crea la interface del PPPoE server en la interface
física que mira o conecta a los clientes diréctamente.
Creando un PPPoE server, ejemplo
/ip pool
add name=Pool-PC ranges=192.168.5.50-192.168.5.99,192.168.5.150-192.168.5.199
add name=Pool-VPN ranges=192.168.5.100-192.168.5.149
/ppp profile
add change-tcp-mss=yes local-address=192.168.222.1 name=Profile-external \
remote-address=192.168.222.2 use-compression=yes use-encryption=yes \
use-vj-compression=no
add change-tcp-mss=no dns-server=192.168.5.1 local-address=192.168.5.1 name=\
Profile-internal remote-address=Pool-VPN use-compression=yes use-encryption=\
yes use-vj-compression=no
402
Creando un PPPoE server, ejemplo
/ppp secret
add name=Pod4-external password=pod4-123 profile=Profile-external
routes=\
192.168.4.0/24
/interface pppoe-server server

add authentication=mschap2 default-profile=Profile-external disabled=no \
interface=ether1 mrru=1600 service-name=PPPoE-external
add authentication=mschap2 default-profile=Profile-internal disabled=no \
interface=ether5 mrru=1600 service-name=PPPoE-internal
403
Point-to-point addresses
• La forma más facil de configurar addresses es es
haciéndolo manualmente.
• Direcciones IP de /ppp secret tienen prioridad sobre
/ppp profile, y toman prioridad a su vez sobre /ip pool
• Ambas direcciones local y remotas pueden ser únicas
o provenientes de un pool.
• Static IP addresses o DHCP en interfaces de clientes
PPPoE. Deja que la infraestructura específicamente lo
que se ha establecido!
404
Creando clientes PPPoE en RouterOS
• Si deseas utilizar un profile distinto al default, créalo primero.
Así no tienes que regresar a la configuración nuevamente.
• Crea la interface del cliente que mira al ISP.
• Listo!
Tip :
Tu router no tiene que tener configurado un cliente DHCP en
la interface WAN y aún así funcionará si el PPPoE server está en
la misma infraestructura Layer 2 del Puerto WAN.
405
PPPoE client en RouterOS, ejemplo
/ppp profile
add change-tcp-mss=yes name=Profile-external use-compression=yes \
use-encryption=yes use-vj-compression=no
/interface pppoe-client
add ac-name="" add-default-route=yes allow=mschap2 \
default-route-distance=1 dial-on-demand=no disabled=no \
interface=ether1 keepalive-timeout=60 max-mru=1480 max-mtu=1480 \
mrru=disabled name=Client-PPPoE password=pod4-123 profile=\
Profile-external service-name="" use-peer-dns=no user=\
Pod4-external
• Habilita la interface del client.
406
Secure remote networks
communication
407
PPTP clients y servers
• PPTP es un protocolo de tunel en Layer 3 y utiliza información de routing y direcciones IP para
conectar al cliente con el servidor.
• El PPTP se define casi de igual forma al de PPPoE, con la excepción que no se tiene que
establecer una interface en específico
• El cliente es definido casi de igual forma que el cliente PPPoE, con la excepción de que una
dirección IP tiene que ser especificada para el server.
• Tip : Debes permitir Puerto TCP 1723 en el firewall del router (el PPTP server) para que el tunel
pueda levanter o conectar
/interface pptp-server server
set authentication=mschap2 default-profile=Profile-external enabled=yes
/interface pptp-client
add add-default-route=yes allow=mschap2 connect-to=192.168.0.5 \
default-route-distance=1 dial-on-demand=no disabled=no keepalive-timeout=60 \
max-mru=1450 max-mtu=1450 mrru=1600 name=Client-PPTP password=pod4-123 profile=\
Profile-external user=Pod4-external
408
SSTP clients y servers sin certificados
• Definir el SSTP server es similar al de PPTP, excepto a que defines un puerto TCP a
donde conectarse (default 443).
• El cliente es definido de igual manera al cliente PPTP, excepto que debes especificar
un puerto TCP a utilizarse (default 443).
• Tip : Debes permitir el Puerto TCP 443 para que logre levantar el tunel. También,
deja configurado el Puerto 443 para que funcione la seguridad de comunicación via
SSL.
/interface sstp-server server

set authentication=mschap2 enabled=yes
/interface sstp-client
add add-default-route=no authentication=mschap2 certificate=none connect-to=\
192.168.0.5:443 dial-on-demand=no disabled=no http-proxy=0.0.0.0:443 \
keepalive-timeout=60 max-mru=1500 max-mtu=1500 mrru=1600 name=Client-SSTP \
password=pod4-123 profile=Profile-external user=Pod4-external \
verify-server-address-from-certificate=no verify-server-certificate=n
409
Configura rutas entre redes
• Una vez el tunel esté arriba, necesitas rutas para poder transferir
paquetes ida y vuelta.
• La primera forma para un solo tunel, es la ruta que fue creada
automáticamente para ese tunel.
/ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADS 0.0.0.0/0 192.168.0.254 0
1 ADC 192.168.0.0/24 192.168.0.5 ether1 0
2 ADC 192.168.5.0/24 192.168.5.1 Bridge-PC 0
3 ADC 192.168.5.101/32 192.168.5.1 <pptp-alain> 0
410
Configura rutas entre redes
• La segunda forma es especificando una o múltiples rutas en el PPP secret para el cliente.
/ppp secret export

add name=Pod4-external password=pod4-123 profile=Profile-external routes=192.168.4.0/24
/ppp secret print

Flags: X - disabled
# NAME SERVICE CALLER-ID PASSWORD PROFILE REMOTE-
ADDRESS
0 Pod4-external any pod4-123 Profile-external
1 alain any alain!! Profile-internal
/ppp secret
set 0 routes=192.168.4.0/24,10.10.2.0/24
/ppp secret export

add name=Pod4-external password=pod4-123 profile=Profile-external
routes=192.168.4.0/24,10.10.2.0/24
411
Configurando rutas entre redes
• La tercera forma es añadiendo rutas estáticas a una o multiples
redes través del tunel.
• Este método es útil si ambos routers tienen su propia ruta
default (ruta cero), pero implica mas mantenimiento y
parámetros.
/ip route
add comment="TO OFFICE LOOPBACKS" distance=1 dst-address=10.10.2.0/24
gateway=192.168.254.10
add comment="TO OFFICE NETWORKS" distance=1 dst-address=172.16.8.0/21
gateway=192.168.254.10
412
Nota final
VPN Encryption Ports Compatible Notes
Protocol with
PPTP MPPE with RC4 1723 TCP Windows XP, Vista, 7 PPTP is the most widely used VPN protocol
128 bit key Mac OS X today.
iPhone OS It is easy to setup and can be used to bypass all
Android Internet restrictions.
PPTP is considered less secure.
SSTP SSL with AES 443 TCP Windows 7 SSTP uses a generic port that is never blocked
2048 bit key certificate by firewalls.
256 bit key for You can use SSTP to bypass corporate or
encryption school firewalls.
SSTP is considered a very secure protocol.
Quieres conocer mas?

• http://wiki.mikrotik.com/wiki/Manual:Interface/PPTP
• http://wiki.mikrotik.com/wiki/Manual:Interface/SSTP
• http://www.highspeedvpn.net/PPTP-L2TP-SSTP-OpenVPN.aspx
• http://www.squidoo.com/advantages-and-disadvantages-of-vpn-protocols
• http://www.vpnonline.pl/en/protokoly-vpn-porownanie (muy bueno!)
413
Vamos para el último LAB!!
Fin del módulo 8
414
Laboratorio
• Metas del lab

– Crear PPP profiles y secrets
– Crear y asignar IP pools a servicios
– Crear PPPoE VPN entre una computadora y un
router
– Crear tuneles PPTP y SSTP entre los PODs
– Asegurarse de enrutamiento correcto
415
Laboratorio : Configuración
416
Estudiantes trabajarán este laboratorio en par. Estudiantes
configurarán 3 PPP Profiles:
– 2 para ser utilizado con el POD del vecino
• Uno para el servicio de server.
• Uno para el servicio del cliente.
– Uno para ser utilizado por clientes conectados.
• Estudiantes configurarán 2 PPP secrets:
– Uno para permitir conectar al POD vecino
– Uno para lograr conectar los clientes locales.
• Estudiantes se pondrán de acuerdo en la configuración de
parámetros a utilizarse. Por motivo de tiempo, SEAMOS
SIMPLES EN LA CONFIGURACION!!
417
• Crea un IP pool para ser utilizado por los

clientes que deseen conectarse a través de VPN
- Tu pool estará en una red distinta a tu LAN existente.
- Asigna el pool al profile a ser utilizado por tu futuro
“VPN Corporativo”.
418
• Selecciona un Puerto disponible en tu router (ether5
preferible) y remuévela de cualquier bridge o Puerto
master a el cual esté asignada. No debe tener IP o
DHCP configurado.
• Configura un PPPoE server en ese Puerto del router.
Debes utilizar el profile que usastes para los clientes
VPN. Habilita solo MSChap2 como método de
autenticación. Lee el material del curso referente a
configuración de compression y encryption.
419
• Configura tu computadora para conectarse al router

como cliente PPPoE.
• Conéctate y navega el internet!
Avisos!
– Verifica la interface donde configuraste el server (y el Puerto
que al cual conectaste tu computadora)
– Verifica las configuraciones de los profiles en el PPPoE
server y PPP secret.
420
• Conecta tu computadora nuevamente a un Puerto
Ethernet normal.
• Los PODs con números pares crearán un PPTP server
y un SSTP client.
• Los PODs impares crearán un PPTP client y un SSTP
server.
• Utiliza los profiles y secrets previamente creados.
• SSTP no puede utilizar certificados!
• Sube los túneles de VPN y verifica que sucedió.
421
• Nada? Que se nos olvidó?

– Ayuda : Una regla nueva de firewall talvez?
• Una vez los túneles ya estén arriba, verifica el
estatus de conecciones activas.
422
• Remueve las rutas estáticas de tu table de rutas.
Solo debes tener una a tu POD.
• Ejecuta un ping al IP Address del LAN de tu
POD vecino. Funciona? Pero si el tunel está
arriba, porque no funciona? (Deja el ping
corriendo)
• Puedes hacerle ping a la dirección IP remota
del tunel? Si funciona significa no todo está
mal configurado .
423
• En el PPP secret de tu router y en el campo "Routes",
añade el network y el mask de tu POD vecino.
• Un vez se configure esto en ambos PODs, reinicia el
tunel del cliente.
• Nota el efecto que tiene en tu tabla de enrutamiento. El
subnet de tus peer's han aparecido una vez tu POD
vecino se logea en el VPN. Una vez ambos estén
arriba, podrán hacerse Ping.
• Nota también las direcciones IP en el IP address list.
424
• Como usual, haz un binary backup y export

backup utilizando el mismo format de los
demás laboratorios.
425
Fin del Laboratorio 8 y el curso en
su totalidad!! 
426
LE DESEAMOS EXITO EN EL EXAMEN, YA
QUE SUERTE LA TIENE CUALQUIER
PERSONA!!


07a - MTCNA PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

07a - MTCNA PDF

Cargado por

Copyright:

Formatos disponibles

MikroTik Certified Network Associate

“© MikroTik, www.mikrotik.com. All rights reserved. Reprinted with permission.”

• Horario diario (3 días)

• Introducción a RouterOS y productos

Al finalizar el curso el estudiante:

• Este curso está basado en RouterOS 6 y

En consideración hacia los demás

• Teléfono u otro en modo silencioso

• MikroTik RouterOS es el sistema operativo del

• RouterOS es un Sistema operativo basado en el

• Una gama de soluciones de hardware creadas

• Estas son provistas completas con cajas y

• Motherboard pequeños. Tu escoges caja,

• Perfectos para tu propio ensamblaje, proveen la

• Cajas Indoor y Outdoor para RouterBOARDs.

• Módulos ethernet, fiber SFPs o tarjetas wireless

• Estos son hechos para productos MikroTik –

• Con el programa MFM (Made for MikroTik)

• Puedes trabajar con varias necesidades

• Excelente para ISPs o redes de

• Los nombre de los routers son asignados

• Atacas una variedad de necesidades propias

• Forma intuitiva de conectarse a un router con

• Conectas cable Ethernet al router

• WinBox es la interface propietaria de MikroTik

• Toma 5 minutos para navegar los menus

• Herramientas IP estandar para acceder

• Command Line Interface

• Puede que tengas o no una configuración básica

• Dependiendo de tu hardware obtendrás

• Puede ser utilizado en ocasiones donde la

• Los pasos mínimos para configurar acceso

• Conoce la arquitectura (mipsbe, ppc, x86,

• Obtienes los archivos de Mikrotik.com

• Lo copias al router a través del menu en

• Copia todo los paquetes para todo los routers a

• Crea cuentas de usuarios para:

• Administra IP Services para:

• Para manejar ve a “IP -> Services”

• Backup completo del sistema

• Luego de generrado, cópialos a un servidor u

• Determina las capacidades permitidas en tu

• Niveles son mostrados en

• NO se puede actualizar nivel de licencia.

• Reinstala RouterOS si el original es

Para RBs sin puerto serial COM.

• Presiona el botón de “reset” hasta que el Led

• La barra de progreso se tornará azul mientras el

• Sube configuración de backup y reinicia (La

Para RBs con puerto serial COM

• La barra de progreso se tornará azul mientras el

• Soporte es provisto por Distribuidor cuando

Fin del modulo 1

• Metas del laboratorio

• Configura tu computadora con el ip estático

• Configura el IP de LAN del router

• Añade un group con el nombre “minimal”

• Asegúrese que el RouterBoard firmware esté

• Accesar el router con Telnet

• Abre “New Terminal” y “Files”

• Mira la licencia del RouterBOARD

• Disabled : Ruta deshabilitada. No tiene

• Connected : Rutas son creadas para cada IP